随着网络带宽的不断增加，以及多种DDoS<[1]>工具的不断出现，使DDoS攻击更加泛滥，严重威胁着网络系统安全。许多大型网站对此攻击未能作出有效防御，导致网络附近充斥着大量的攻击包，使网络拥塞，网络性能下降。而传统的入侵检测系统对可疑流量一般是进行简单的丢弃，这就很有可能把合法用户流误判为攻击流，系统则变得不适用。 本系统针对目前入侵防御系统的不足以及大型网站的发展需求，实现了基于网络处理器的新型网络入侵防御系统。该系统提出了细粒度流量分类方案，利用cookie进行用户区分，在web服务器的配合下，把cookie标识放到每个浏览网站用户的报文当中，通过唯一的cookie值达到细粒度区分的目的。这样就可以区分隐藏在代理服务器和NAT服务器背后的用户，减少误判率。此外，对每个统计采用隐半马尔科夫模型<[2-4]>进行检测，判断用户的正常程度，并据此分配带宽，正常度高的带宽分配较多，正常度低的则分配较少，这样对正常度低的包并非简单的丢弃，提高了容错性能。 本文主要是在网络处理器上实现字符串匹配以及id管理映射，并与其余两大模块连接以实现整个系统的功能。