目前,国内外对入侵防御系统的研究已经取得了很大进展,但是还存在几个方面的难题:(1)对网络性能的影响和较高的入侵检测漏报率制约了入侵防御系统的发展和应用;(2)传统的基于模式匹配的入侵防御系统无法理解各层协议和应用层的操作命令,所以无法对所有的网络行为和连接事件加以完整地重组和记录;(3)基于特征检测的入侵防御系统其检测与防御规则库依赖于攻击事件特征描述,需要频繁更新且永无止境,使得系统始终处于被动检测和防御的地位。庞大的规则库制约了系统的检测性能。本文的主要研究内容是构建一个完整的具有可完备规则库的智能化入侵防御系统。通过优化千兆线速以太网下的数据包捕获性能,设计一种高速的基于多线程处理的nCap结构数据包捕获方案,此方案极大的提高了千兆线速条件下的数据包捕获性能。在千兆线速数据包捕获的基础上设计一种基于节点共享计数型布鲁姆过滤器高效的动态数据包过滤方案,将丢包率减到忽略不计的程度,且将大部分的系统CPU周期用于数据分析和规则更新。同时,针对分片攻击以及分片重组过程中的安全性问题提出了一种基于改进的RFC815和伸展树的IP分片重组算法。为了保证正确、高效的重组应用层数据提出一种基于伸展树的TCP流重组算法。在建立一套高效的分片重组和数据流重组机制之后,又详细介绍了协议分析技术的两大功能:协议解码和命令解析,并设计一种基于正则表达式的动态应用层协议识别方案和基于插件技术的应用层命令解析器。配合协议分析技术实现一种基于网络行为描述DNA序列和应用层命令序列的智能化入侵防御模型。在此入侵防御模型基础上建立一套可完备化的规则库。通过对规则内核的合理的、有效的、有限时间和次数内的智能学习和更新,构造完备的入侵检测和防御系统。研究了受保护网络结构的入侵模式完备性及建立方法和遍历性智能入侵模式学习算法(Teiresias算法)。每章的实验和分析论证了以上方案的有效性、高效性、资源的消耗率及算法的时间复杂度和空间复杂度。