随着计算机和网络技术的应用日益普及,各种网络安全问题也日益突出,为此人们开发出了许多针对具体安全问题的安全技术和系统。入侵检测系统(IDS)和防火墙是其中两种主要的网络安全技术。但是这二者都存在着各自的缺陷,不能很好地解决日趋严重的网络安全问题。本文首先介绍和分析了入侵检测系统和防火墙各自的原理和缺陷,并且分析了使用入侵检测系统与防火墙联动来防御网络攻击的方法在性能和可靠性方面的不足之处。随后,本文提出了融合审计和网络防御功能的入侵防御系统(IPS)的系统架构设计方案。该系统针对攻击防御任务的特殊要求,对探测攻击行为的检测分析组件进行优化,添加了攻击行为特征分析和防御策略生成模块; 策略执行组件使用专用防御引擎执行防御策略,为系统提供深层防御能力。分布式拒绝服务攻击(DDoS)是目前危害最严重,最难以防范的一种网络攻击方式。传统的入侵检测技术和防火墙技术都不能有效地对DDoS攻击进行防御。所以,对分布式拒绝服务攻击的防御是本文设计的入侵防御系统(IPS)需要解决的关键问题。本文系统地论述了DDoS攻击的现状、特点及形式,分析了现有防御技术的缺陷,提出了在特征分型的基础上,针对DDoS攻击的特殊行为模式进行防御的思想,并设计了基于状态控制机制和分级保护策略的DDoS攻击三层防御模型。本文实现了该防御模型中的关键模块,并通过实验证明了其有效性和可靠性。