随着计算机技术与网络数据通信技术的飞速发展,计算机信息与网络的安全问题日益突出。基于模式匹配入侵检测技术因其检测速度慢、准确性低和资源消耗大等缺点已不能适应入侵检测的需求。协议分析技术充分利用了网络协议的高度规则性,能快速地探测不安全因素的存在。因其检测速度快、准确率高、漏报率和误报率低以及占用系统资源少等优点而倍受青睐。模式匹配是入侵检测系统的核心部分,它直接影响着系统的整体性能。本文首先重点分析了入侵检测系统中几种常用的模式匹配算法,在深入研究经典模匹配算法——Boyer-Moore(BM)算法的基础上,结合Boyer-Moore-Horspool(BMH)算法和Boyer-Moore-Horspool-Sunday(BMHS)算法的优点,提出一种改进的Boyer-Moore算法。该算法针对BM算法预处理时间开销大的缺点,通过减少模式串的移动次数和增大最大移动距离m+1的出现概率,来减少模式匹配所需要的时间,进而提高模式匹配的效率。其次,全面分析了模式匹配和协议分析的特点,针对基于模式匹配的入侵检测系统的计算量大、漏报率和误报率高等问题,本文提出了一种基于模式匹配与协议分析相结合的入侵检测系统。该系统把模式匹配和协议分析有效地结合起来,充分利用网络协议的高度规则性来快速探测已知和未知漏洞、攻击的存在。通过定义标准化、层次化、格式化的网络协议,在检测过程中对网络数据进行逐层分析,不仅能提高检测速度和准确率,而且还能有效地控制漏报率和误报率。最后总结了本文的研究工作,指出了下一步工作的方向。