随着网络带宽容量迅速增加,网络设施日益更新,入侵方式也层出不穷。蠕虫等网络入侵攻击不仅对个人计算机、服务器的正常运行造成破坏,甚至会对路由、交换等网络基础设备的正常工作造成影响,大大降低了网络服务的可靠性和性能。如何对付越来越频繁出现的网络攻击和黑客行为,保证网络服务的正常运行,已成为网络安全领域最重要的研究方向之一。本文研究工作主要包括:作者在分析网络安全相关技术(入侵检测技术和响应技术)的基础上,设计了一个网络自防御系统原型。通过研究检测技术特点,针对现有检测系统实时性差、无法检测新攻击的缺点,设计了一个分层式入侵检测模型。该模型综合采用流量异常检测、有效负载异常检测与误用检测方法,按层次分别对网络流量与有效负载进行检测,以提高检测速度,达到对新的与未知攻击的检测。在对流量异常检测方法进行的研究分析工作中,提出了改进的K-means聚类算法,经实验表明具有较好的检测率;在对基于有效负载的异常检测方法进行的研究分析工作中,通过分析网络数据有效负载的字节分布,建立网络数据有效负载正常特征,来达到对入侵攻击的检测,并通过实验验证;在对检测模型整合异常与误用检测技术的检测机制进行了研究分析工作中,提出了一种结合多种检测方法的模型框架,以提高检测的准确性。最后给出了检测到入侵攻击后的响应技术,介绍了自防御系统采用的响应处理模型,通过网络自动重配置实现对入侵攻击的控制及攻击源或感染源的隔离;并采用了一种基于TCP/IP会话劫持技术的实时告警方法,对被隔离用户进行及时告警通知。