随着信息技术的进步和互联网的发展,IPv4网络的局限性以及其存在的各类问题逐渐显现出来,IPv6取代IPv4成为必然。与此同时,网络安全起着越来越重要的作用,IPv4网络的入侵防御系统(Intrusion Prevention System, IPS)给网络安全提供了很好的保障,同样IPv6网络也需要IPS的防护。然而,IPv6因其自身的特点与IPv4互不兼容,完成两者的过渡并不能一蹴而就,它们将长期共存,因此研究IPv6过渡阶段的入侵防御系统十分必要。本研究以开源Snort平台为基础,结合IPv6协议分析技术,总结了IPv6网络特征。针对现有网络安全架构中存在的缺陷,设计了过渡环境下入侵防御系统的总体架构IFIS(IDS and Firewall and IDS System),并给出了架构中关键模块的具体实现。本文主要的研究内容及展开的工作包括以下几点：1、研究了IPv6协议相对于IPv4协议的优势,分析了IPv6本身和网络的安全机制,总结了IPv6及过渡阶段存在的网络安全问题。研究了IPS的原理、分类及优缺点,并对本研究涉及的关键技术进行深入分析。基于上述研究,设计了入侵检测系统与应用层防火墙间接联动的IPS网络安全模型,本模型实现了联动控制台、IDS和应用层防火墙的三方联动,并在Snort平台上提出了一种兼容IPv6网络的IPSec数据包检测的方案。2、针对Snort不支持IPv6网络环境下入侵防御的情况,利用Linux内核Netfilter框架和IP6_QUEUE机制,实现了Snort在IPv6网络环境下的线上(Inline)工作模式,而不单纯是旁路方式,使得Snort的入侵防御机制能够对IPv6网络环境提供支持。在此基础上,设计并实现过渡解析模块,完成了过渡环境下的防御。3、研究Snort解析数据包的工作流程,针对Snort无法检测经过IPSec作用的网络数据包问题,采用IPv6协议分析技术在协议包解析模块中设计并实现了DecodeAH函数,完成了Snort对经过身份认证扩展首部的数据包的检测,提高了Snort检测IPv6数据包的能力。4、研究Linux内核中的IP_Queue机制、Linux系统内核空间与用户空间通信的实现方式及Netfilter的钩子函数,在PREROUTING处设计并实现了IPv6路由扩展首部的注册模块queue_iprt0钩子函数。该钩子函数实现了类似iptables规则的功能,提高了系统对IPv6路由扩展首部数据包截获和防御的能力。本文设计的IFIS总体架构包括入侵防御子系统、防火墙子系统、联动控制台子系统和管理控制台子系统。本文从理论上对IFIS系统架构与当前的IPS进行了比较,显示出了IFIS系统的优势；从实现上,本文实现了模型中的关键模块,包括IPv6环境下的入侵防御、网络中传输数据包的解析、过渡阶段选项模块及Netfilter中注册的IPv6扩展首部钩子函数等。实验证明IFIS对现有IPS进行了改进,扩展了IPS的功能,拓展了网络应用环境,其既可以应用于现阶段的IPv4/IPv6过渡网络环境,也可以用于纯IPv6网络环境,对今后过渡阶段入侵防御技术的研究提供了一定的参考价值。