随着网络应用的普及和发展，网络系统面临越来越大的挑战。层出不穷的各种攻击方式成为网络安全的巨大隐患。DDoS(DistributedDenialofService)是其中一种威力极大的攻击，并由于其攻击源隐蔽性强等特点，尚不能得到有效防御。而现有的入侵检测系统对可疑流量的处理一般都限于简单的丢弃或过滤，易于发生误判漏判。 针对目前的网络安全状况和发展需求，本文实现了一个基于网络处理器IntelIXP2400的用于服务器前端的入侵控制系统。该系统对不同用户的流量进行分类，为正常程度较高的流量提供较高优先级的服务，为正常程度比较低的流量提供低优先级的服务，而低正常程度的流并非完全地被丢弃。本系统降低了对检测模块准确性的要求，减少了因误判漏判带来的影响，为大型网站防御DDoS攻击提供了实用性方案。