入侵检测系统的出现在传统防火墙的基础上又迈进了一大步。然而,入侵检测系统本质上是被动和失效开放的。因为它们的主要任务是分类,并没有采取任何方法阻止攻击得逞。入侵防御系统中增加了保护机制,它具备失效安全性、自动响应能力以及很强的适应能力。文章中设计了一套自适应入侵防御系统,这是一种能够主动保护服务器或主机安全的混合式系统,它可以防御二进制代码的注入式攻击。自适应入侵防御系统使用了两个主要功能部件:一个是集成了异常检测和特征过滤功能的代理服务器,由于一般的代理服务器都具有基本的特征匹配检测功能,所以在此基础上加入一个基于马尔可夫链的异常检测器就可以实现系统预期的功能;另一个是使用异构指令集技术的监督框架,我们使用主从式应用服务器并行处理请求、反馈信息,并在从服务器中改写了DAISY的源代码来模拟Crusoe处理器的代码融合软件层实现对异构指令集的支持。因为异构指令集可以防御注入式攻击并且能够精确地识别注入的代码,系统就可以对这些反馈的信息建立起学习机制来调整检测器和过滤器。捕获到的注入码也可以使自适应入侵防御系统为zero-day性质的exploits代码创建攻击特征。过滤器和检测器既能够对已知的恶意输入进行匹配,也能够让非恶意的新型输入顺利通过,有效地保护应用程序免受以后相同类型的攻击(即使这些攻击已经进行了变形),同时又不会出现大量误报。测试结果证明,系统的异常检测器能够有效地分类出异常数据流。主从式服务器不但能够适应未知攻击,而且还可以适应新型的正常网络流量。如果适当选择并行处理的函数,那么从服务器就不会对系统的性能造成影响,反而还可以提高应用服务器的效率。自适应入侵防御系统可以很方便地部署到客户机或服务器,而对它们的性能产生的影响非常小。文章描述的原型是用来保护HTTP服务器的,但拓展后的系统也可以用于各种服务器和客户端中。