网络的普及和广泛应用极大地方便了人们的日常工作和生活,与此同时各种网络攻击和网络犯罪活动也日益严重,网络的安全问题就显得尤为重要。入侵检测技术作为一种能主动探测攻击、保护信息系统不被破坏的网络技术被广泛应用。Snort是一典型的开源入侵检测系统,具有对网络流量进行实时分析、对网络数据包进行记录、对协议进行分析和对数据包内容进行搜索匹配等多种功能。但随着网络带宽的不断提高,Snort需要处理的网络流量日益增大,这就对Snort的检测速度提出了更高的要求。本文系统分析了Snort的规则结构、检测流程和快速规则匹配引擎构建过程,提出了按规则中包含模式串的个数对规则进行分类的思路。对仅包含单个模式串的规则,借助多模式匹配所得信息,用边界条件检查函数代替单模式重复匹配过程,使Snort入侵检测系统的检测速度提高了1.28%。另外分析研究了现有模式匹配算法的优缺点,提出了一种改进的AC_BMH多模式匹配算法。改进算法利用双字符进行跳跃,在增大模式串失配概率的同时能跳过更大的距离,再结合QS算法的优点,进一步增大模式串匹配失败时的跳跃距离,同时借助压缩存储机制有效降低了算法的内存使用量。在VC6.0环境下对改进算法的匹配速度和内存使用量进行了测试,测试结果表明该算法比原算法在模式匹配速度上提高了29.30%-52.82%,在模式串较多时,内存使用量可减少90%以上。最后将该算法应用到Snort入侵检测系统中,使Snort入侵检测系统的检测速度提高了5.95%-25.54%。