本文提出一种基于CORBA(Common Object Request Broker Agent)的分布式入侵防御系统(DIPS,Distributed Intrusion Protection System),较之传统的入侵监测系统,具有实时、易扩展、能预先防御入侵的性能,能适应大规模和宽带高速网络的入侵防御.该系统中的嗅探器以分布对象的方式实现,采用协议分析和针对规则匹配而改进的匹配算法预先分析处理数据包,改善了网络阻塞,能实时预报所在网络环境中的入侵事件.网络分流器的加入有效防止了交换式网络中因数据量过大引起的数据丢失;IPS部件通过主动和被动响应方式,发送报警日志给管理员、切断攻击者的连接等手段来阻止其它部件检测到的攻击,该部件中的蜜罐系统能识别加密和IPV6攻击,并向系统提供详细的攻击者信息,对攻击者的攻击行为提供证掘;分析器产生的新检测规则要经由控制台的人工识别进行更新,才能进入规则库,避免了由机器学习产生的高误警;本地控制台负责本地各分布部件的协调配置工作,及时处理本地嗅探器和分析器检测到的入侵事件及分析器产生的新检测规则,产生报警,通知响应部件实时响应.有效改善了集中式结构产生的系统瓶颈,提高了系统的健壮性;各部件通过CORBA3.0提供的安全服务和IDWG(Intrusion Detection Working Group)发布的即将成为RFC的入侵检测交换协议(IDXP,Intrusion Detection Exchange Protocol)进行通信,保证了系统安全和通信协议的统一;CORBA与其它技术的良好通用性和Java开发工具的平台无关性增加了系统的透明性、可扩展性和互操作性.该系统在获得互操作性和可扩展性的同时,需要在组件的协调上做更多的工作,可进一步改进.