在网络安全状况日益复杂的今天,安全技术不仅要能够快速、精确地检测出已知的攻击,还需要具备发现未知攻击的能力,此外及时、准确的响应能力也必不可少。由此人们提出IPS的概念来取代IDS,但单一的安全手段已不能满足需要,各种安全技术间的联动才是正确的解决方案。已有的安全技术各有各的缺点,主要表现在:防火墙只能预防外部攻击,却不能很好地抵御从内部发起的攻击,而且防火墙能抵御的攻击种类有限;入侵检测系统从本质上讲是一种事后检测的技术,它只能检测出已知的攻击,却无法识别未知攻击,且具有误报率和漏报率高的缺点;蜜罐(网)本身并没有很好的检测手段,它只能被动地吸引攻击,攻击者有可能察觉并加以利用,这就存在一种数据访问授权与访问控制的权衡问题。本文在分析了这些单一安全技术的缺点之后,罗列了一些针对它们的攻击手段,主要有分片攻击、木马与后门攻击、DDoS、僵尸网络等,而这些攻击正是当前的几大主要网络安全事件。虽然当前单一安全技术的发展已经能够解决某些问题,但更多的却需要各种安全技术间的联动才能有效解决,由此引出了IPS的概念。本文中的IPS是由防火墙、IDS和蜜罐(网)组成的有机体系,它将取长补短,充分发挥各种技术的联动作用。为了实现多种安全技术间的联动,通用的通信协议必不可少。一个完整的通信协议主要包括以下几个方面:通信对象的选择与表征、通信的可靠传输、通信安全。目前业界已经提出了一些通用的通信协议,这以CIDF为代表。本文在介绍了CIDF的体系结构之后,就其存在的一些缺点或不足之处作了讨论和分析,在此基础上提出了IPS内部和IPS间联动的通用通信协议解决方案。与以往的通用通信协议不同,本文采取了层次化的通信结构模型,以实现全球范围内安全技术的联动。它把整个通信过程分为IPS内部通信与IPS间联动两个层次。其中IPS内部通信是基于GIDO对象的,而IPS间的通信则是面向规则的。前者提供了微观意义上的协作,后者则着眼于宏观意义上的协作;前者关注通信的速度与带宽需求,而后者则注重通信对象的可靠性与安全性。本文并不关注IPS系统各个模块的实现方式,只是在假定通信对象已经产生之后,着力于解决通信过程中会产生的多路判决与规则融合问题。本文就此给出了一些可行的判定规则,并在特定的情况下作了具体的实现。