信息技术的飞速发展带来便利的同时也带来了更加严重的网络安全问题。传统的网络安全技术如防火墙、入侵检测系统等存在着很大的不足:一方面,防止越来越频发的“瞬间攻击”(一个会话达到攻击目的)无能为力;另一方面,这些技术在实时阻断入侵攻击方面存在着明显的不足。因此网络安全专家提出入侵防御系统概念,特别是千兆网络环境下的入侵防御系统,被认为必将成为网络安全的主流技术。入侵防御系统主要分为三大部分:数据包处理、入侵检测和入侵防御,其中数据包处理的主要功能是对数据包进行协议解析、包重组。本文主要针对千兆网络入侵防御系统中数据包处理后的入侵检测部分进行了研究,综合分析了多种安全防御的机制,详细研究了千兆网络入侵防御系统的特点、实现原理、工作方式以及关键技术,并在此基础上给出了一种高效的基于负载均衡的入侵防御系统解决方案。主要内容涉及了以下几个方面:1.详细介绍了千兆网络入侵防御系统的总体方案,包括硬件的选择、主要的软件架构、入侵检测模块的设计和性能的考虑等。尽可能的提高网络入侵防御系统的性能、增强其适应性。2.针对网络带宽的增加对网络入侵检测系统提出的性能要求,提出了利用多核专用网络处理器进行入侵检测,并给出相应的负载均衡策略。检测引擎采用snort,实现到多核平台的移植和改进。3.详细介绍了入侵检测模块的架构,包括检测引擎数据流图,单检测引擎的规则组织结构改进、模式匹配算法在不同环境下适应性改进。4.搭建了测试环境,编写了测试程序,对本文讨论的千兆网络入侵防御系统的负载均衡子系统进行了功能测试和性能测试,并进行了性能分析。测试结果表明,本文讨论的千兆网络入侵防御系统中数据包处理子系统的功能和性能都能够达到预期的设计目标,并具有实用性。