互联网的迅速发展不仅丰富了社会财富和方便了人们生活,同时也带来了日益严重的安全问题。尤其是当前我们正处在互联网同现实生活不断融合的背景之下,一些以网络攻击为手段,获取非法利益的黑色产业链条的形成更是加剧了网络安全问题对现实生活的干扰。因此,网络安全技术越来越受到计算机研究人员的重视。作为一项新兴的网络安全技术,入侵防御主要是由入侵检测发展而来,并结合了防火墙功能,其摆脱了防火墙静态防护、入侵检测被动检测的局限性,采用主动的网络安全模型实施防护。根据后续模型设计的需要,本文首先研究了入侵检测领域的警报分析问题,并且针对基于警报相似性和基于统计因果分析这两种警报分析算法各自的不足,提出一种新的警报分析算法。该算法引入警报分类机制替代原先的警报组优先级设定过程,降低对于先验知识的依赖性,简化因果关系分析。针对中小型网络环境的动态防护需求,融合深度防御思想,本文主要研究并实现了一个基于嵌入技术的分布式入侵防御系统模型EBDIPS。在防御机制的设计上,采用外联式、内嵌式相结合的防御机制,组成两层防线;在检测机制的设计上,定义入侵、可疑和正常三种事件类型,避免误报造成的可用性损失。内嵌式防御由分布在各主机前端的嵌入式防御单元构成,各单元负责检测进出主机的网络流量,对入侵数据进行阻断,对可疑数据发出警报。外联式防御使用警报分析算法聚合相似警报重建攻击场景,并提取攻击者信息,通过边界阻断模块执行过滤。本文最后分别对嵌入式防御单元和警报分析算法进行了测试。结果表明嵌入式防御单元能够满足内嵌式防御要求;警报分析算法通过聚合有效减少了警报数量,同时在关联规则的指导下生成了正确的攻击场景,能够有助于提高外联式防御的准确性。