隨著計算機網絡的普及，網絡的安全性也逐漸受到關注。如何在受到攻擊時及時保存重要數據、如何實時記錄導致系統損壞的操作變得至關重要，針對上述問題，本文提出了網絡黑匣子的概念。文中首先介紹了國內外對此技術的研究現狀，分析了實現該系統所需的相關技術，最后給出了網絡黑匣子系統的設計與實現方案。
關鍵詞：網絡黑匣子；網絡安全；數據包捕獲；數據挖掘
在飛機上有一種裝置俗稱為“黑匣子”，它能記錄飛機處于運行狀態時的各種參數，一旦飛機發生事故，人們通過分析這個“黑匣子”，就能查出飛機失事的原因。在這個想法的啟發下，設計一個安裝在計算機或網絡系統中類似的裝置，記錄系統實時信息以及網絡數據的存儲情況。針對上述問題的提出，國內外許多機構已經開始投入對“黑匣子”系統的研究工作。概括其研究成果及已發布的產品，在功能上只是單一的實現網絡系統的監視，沒有涉及到事后的事件分析功能；設計原理上，對事件的記錄也僅僅是簡單的日志記錄和系統流量的監視；作為網絡系統的安全監控設備，尚未實現獨立分離于受監控系統，存在安全隱患。
由此本文提出黑匣子新的設計方案：與其他領域的各種“黑匣子”記錄的內容都是模擬量不同，本項目是專用于計算機及其網絡系統的數字信息設備，因此為其取名為“網絡黑匣子”。它不僅能記錄系統的鍵盤敲擊過什么字符，屏幕顯示過什么信息，還能記錄系統打開過哪些應用程序，執行的瞬間現場狀態、讀寫磁盤情況、網絡發送與接收數據報和連接建立情況。當系統崩潰或是受到意外災害事故時，可以通過分析“黑匣子”，回放系統事故發生瞬間和發生前一段時間的系統運行記錄、相關參數和運行現場，為事故分析、責任分析、系統恢復、系統運行中斷接續、避免同樣事故的發生提供輔助手段。
這個裝置無論對于軍用的災備計劃還是民用的網絡取證及數據恢復都具有不言而喻的重
大意義。