入侵预防系统(IPS，Intrusion Prevention System)是近两年新兴起的一种网络安全技术。IPS比防火墙和入侵检测系统(IDS，Intrusion Detection System)具有更高的主动性，具备一定程度的智能性，能够保护计算机网络系统免受未知类型的攻击。本文对IPS的研究与设计进行了探讨，分析了IPS的基本原理、IPS的安全策略、所采用的关键技术、IPS的优势和存在的问题，并对一种基本的基于网络的入侵预防系统(NIPS)的设计与实现作了研究。 IPS基于PDRR动态网络安全模型，体现了动态防御、整体防御、纵深防御的思想。IPS实现了将访问控制和分析检测两个模块紧耦合在一个系统中，两个模块可以密切合作，实现了两种技术的优势互补，提高了总体的安全性能，将网络安全提升到一个更高的层次。 IPS的目标是防护，检测的目的也是为了防护，这与IDS检测的目的是为了审计不同。IPS采用嵌入式在线运行方式，从而能够实时阻断入侵者的攻击，IPS的响应比IDS更为主动化。 IPS采用动态访问控制策略，即IPS安全控制策略是动态的，实时变化的，能够随着网络环境的变化而不断变化，具备一定的自适应能力。IPS不需要人工的干预，能够自动更新访问控制规则库，自动阻截攻击，具有较高的主动性和针对性。 NIPS解决了数据包内容的深度检测可能产生的负载问题，提高了系统的效率。并可以做到对网络数据作出基于流的行为分析，而不仅仅是单数据包的分析，从而提高了检测的深度和广度。 IPS可以采用比IDS更为高级的检测技术，如文章中所介绍的行为分析技术、深度内容搜索技术、基于应用程序的分析技术、弱点保护技术、协议分析技术、基于攻击模式的检测技术等等。文章中NIPS的设计与实现主要考虑了两大基础检测技术的实现：深度内容搜索技术和行为分析技术，这两项技术实现了IPS的基础同时也是主体的检测功能，其它检测技术的实现大多要建立在这两项技术基础之上。