随着互联网(Internet)业务的迅速发展，网络安全事件频繁发生，各种攻击方法层出不穷。其中分布式拒绝服务(Distributed Denial of Service，DDoS)攻击由于破坏性大、隐蔽性强、容易实现和难以防御等特点，现已成为常见的网络攻击手段。 本文是我们的网络入侵防御系统研发项目的延续。该系统采用隐半马尔可夫模型(Hidden Semi-Markov Model，HSMM)建立检测模型，以便有效地区分大型活动网站Web业务量与DDoS泛洪攻击流，并达到抑制攻击流的目的。整个系统在网络处理器IXP2400上编程实现。它首先对Web用户基于Cookie分类，然后使用基于HSMM的检测模型实时检测到达系统的数据流，根据检测结果确定数据流的正常程度。正常程度越高的数据流越优先得到服务，正常程度越低的数据流则越后获得服务。 针对模块运行速度差异所导致的系统问题，本文提出一种改进方案。该方案改进系统架构和模块功能，主要包括：在用户分类模块中实现形成观测向量的功能；正确实现正常程度计算模块；设计用户分类模块与正常程度计算模块接口；合理配置系统全局资源。经改进后，本文实现了系统对Web数据流的正常程度计算功能，完成了系统的模块整合。 最后，本文对改进后的模块、接口和整个系统的基本功能和性能进行软件仿真和硬件实验。实验数据验证了所作改进的有效性和系统工作的正确性。