在网络安全所面临环境日渐复杂的今天,安全技术不仅要能够快速、精确地检测出已知的攻击,还需要具备预警和防御未知攻击的能力,此外及时、准确的响应能力也至关重要。由此人们提出IPS(Intrusion Prevention System)的概念来加强由IDS(Intrusion Detection System)和防火墙构筑的安全屏障,通过各种安全技术间的联动构成更完善的防范解决方案。入侵防御系统是近几年新兴起的网络安全概念。IPS比防火墙和入侵检测系统(IDS)更具主动性,具备一定智能,能够保护计算机网络系统抵御未知类型的攻击。IPS的目标是防护,这与传统IDS检测的目的是为了审计不同。IPS采用嵌入式在线运行方式,能够像防火墙一样实时阻断入侵者的攻击。同时,IPS将访问控制和分析检测两个模块整合在一个系统中,通过两个模块的密切合作实现动态的实时变化的访问控制策略,实现了两种技术的优势互补,从而提高系统总体的安全防护性能。也就是说IPS不需要人工的太多干预,就能够随着网络环境的变化而不断变化,具备一定的自适应能力,可以自动更新访问控制规则库,自动阻截攻击,具有较高的主动性和针对性。本文对IPS的研究与设计进行了探讨,在PDRR动态网络安全模型的基础上,以动态防御、整体防御、纵深防御的思想为依据,分析了IPS的基本原理、安全策略、所采用的关键技术以及优势和存在的问题,并对一种基本的基于网络的入侵防御系统NIPS (Network-based Intrusion Prevention System)的设计与实现作了初步研究。文中主要研究了深度内容搜索技术和行为分析技术两大基础检测技术和访问控制策略的实现,并对所采用的BM算法及其改进进行了进一步探讨。