随着网络技术的快速发展,网络环境日新月异,网络给大众所提供的服务越来越多,人们对于网络的依赖也越来越严重。与网络技术相对应,黑客攻击技术也在快速的发展。伴随网络普及的同时,用户被攻击事件也在不断地增长。不只是普通用户,越来越多的黑客把自己的攻击目标锁定为政府机构、社会团体甚至是各国军方的机密文件。于是网络安全的发展,被越来越多的人们所关注。各国政府也在这方面投入了大量的人力和资本,以求维护本国网络的安全,使本国的机密文件可以处于安全的环境中。由于杭州华三通信技术有限公司(H3C)的主营业务是为各个高校和企业网络的搭建提供相应的设备,因此在现如今的网络环境下,公司对于其产品在网络安全方面的功能也提出了相应的要求,于是决定开发自己的入侵防御系统(Intrusion Prevention System,IPS)。由于以前没有这方面的设计,所以主要将会面临以下三个问题:1、已有的IPS产品与公司的产品不兼容,无法直接使用,因此需要进行移植;2、已有的IPS大多数是应用层的,效率比较低,需要进行改进;3、IPS内部算法效率低,需要进行改进;为了解决以上问题,本文通过对国内外IPS发展现状的了解,结合H3C公司产品的需求以及需要部署网络的环境等方面内容的研究,设计实现了一个基于Snort的IPS。主要完成了以下三个方面:1、通过对IPS发展过程的研究,选定了将要进行移植的系统——Snort系统。这是一款入侵检测系统(Intrusion Detection System,IDS),IDS是IPS的基础,也是IPS的核心部分。Snort系统是世界上最广泛使用的一种IDS,具有高效、灵活和简洁的特点。作为开源系统,使用该系统进行移植,也可以降低开发成本。2、为了提高IPS的效率,也为了满足公司产品的需求,对Snort系统进行了改进,从原来的用户层面修改到了内核层面,因此对Snort的一些模块进行了修改,并增加了新的模块。3、对于内部算法效率低的问题,引入了多模式匹配算法,通过该算法可以只用一次比较,就得出某一字符串中是否包含另外几种字符串,大大的提高了对于报文进行比对的效率。本文通过对基于Snort的IPS进行需求分析,了解到系统需要实现的各个功能点。然后针对各个功能点,结合Snort系统,对IPS进行模块划分和设计,并实现了各个模块。最后搭建环境对各个功能点进行了详细的测试,修改了测试中出现的错误,保证最后的系统可以实现需求中全部的功能。