A system and method for detecting network intrusions using a protocol stack
multiplexor is described. A network protocol stack includes a plurality of
hierarchically structured protocol layers. Each such protocol layer
includes a read queue and a write queue for staging transitory data
packets and a set of procedures for processing the transitory data packets
in accordance with the associated protocol. A protocol stack multiplexor
is interfaced directly to at least one such protocol layer through a set
of redirected pointers to the processing procedures of the interfaced
protocol layer. A data packet collector references at least one of the
read queue and the write queue for the associated protocol layer. A data
packet exchanger communicates a memory reference to each transitory data
packet from the referenced at least one of the read queue and the write
queue for the associated protocol layer. An analysis module receives the
communicated memory reference and performs intrusion detection based
thereon.
Un système et une méthode pour détecter des intrusions de réseau à l'aide d'un multiplexeur de protocol stack est décrit. Un protocol stack de réseau inclut une pluralité de couches hiérarchiquement structurées de protocole. Chaque une telle couche de protocole inclut une file d'attente lue et une file d'attente d'inscription pour les paquets transitoires de données d'échafaudage et un ensemble de procédures pour traiter les paquets transitoires de données selon le protocole associé. Un multiplexeur de protocol stack est connecté directement au moins à une telle couche de protocole par un ensemble d'indicateurs réorientés aux procédures de traitement de la couche connectée de protocole. Un collecteur de paquet de données met en référence au moins un de la file d'attente indiquée et de la file d'attente d'inscription pour la couche associée de protocole. Un échangeur de paquet de données communique une référence de mémoire à chaque paquet transitoire de données de au moins référencé de la file d'attente lue et de la file d'attente d'inscription pour la couche associée de protocole. Un module d'analyse reçoit la référence communiquée de mémoire et effectue la détection d'intrusion basée là-dessus.
