由于网络环境的复杂性,攻击手段的多样性,单一的安全技术已经无法满足对网络安全的需求。入侵防御系统是网络安全领域为弥补入侵检测系统以及防火墙的不足而新兴发展的一种安全技术。本文从入侵检测系统相关研究现状入手,系统研究了入侵检测技术,入侵防御技术,协议分析技术,防火墙联动技术。针对传统入侵检测系统中对应用层攻击的检测能力有限,并且当发现攻击行为的时候阻断攻击能力有限的缺点,本文主要研究设计了新型的基于应用层协议解析的入侵防御系统。主要工作如下:设计高效的系统总体结构,此结构保证了系统的模块化,有利于系统的动态扩展,具有高可靠性,以及有利于在真实网络环境中的部署和使用。根据此结构把系统分为网络数据捕获、检测引擎、响应决策、报警数据web显示、防火墙联动、防御策略管理GUI等六个模块。详细设计了各个功能模块,其中重点设计检测引擎模块和防火墙联动模块。在检测引擎设计过程中利用协议分析技术提高了检测效率。并增加了对应用层协议的解析能力。而防火墙联动模块主要为防火墙和入侵防御系统提供通信接口以便它们互换消息,当有入侵事件发生时,防火墙联动模块将控制信息发送给防火墙,阻断攻击数据包。详细研究了系统实现中的关键技术难题。研究了协议分析技术,并分析了利用协议分析技术检测常见攻击的过程。详细设计了两种最常见的应用层解析器:http和ftp解析器。详细设计了防火墙联动实现中的细节问题,包括控制信息格式设计,通信接口设计,数据加密技术,防火墙动态规则加载等。最后利用DARPA1999数据集测试了本系统,并统计分析了本入侵防御系统的检测率和误报率,提出了系统的改进方向。测试的结果表明,我们的系统达到了设计目标,检测率和误报率都达到了相当高的指标,具有一定的实用价值。