网络入侵检测系统把网络数据包作为检测对象,实时的分析网络上的数据流量。随着ATM、千兆以太网、G比特光纤网等大量的高速网络技术在近几年内不断涌现,单一的基于模式匹配的传统入侵检测技术不能满足高速网络环境下对数据包处理和分析的要求。所以,如何优化入侵检测系统,提高其工作效率,具有十分重要的理论意义与实际应用价值。论文把零拷贝技术运用在数据包捕获环节,使检测程序能直接对捕获的网络数据进行访问,减少数据在内存中的拷贝次数和检测程序对系统内核的调用,实现CPU的零参与,消除CPU在这方面的负担。入侵检测系统采用协议分析和模式匹配相结合的方式,协议分析技术利用网络协议的高度标准化、层次化、格式化对网络数据包逐层分析,快速探测攻击的存在,提高检测速度和准确度,降低漏报率和误报率,还使检测所消耗的系统资源大大减少。对比较常见的单模匹配算法和多模匹配算法进行分析研究,通过散列函数把模式串和文本串分别转化为整数对进行匹配,并给出了理论证明,对算法做出了细节性描述。优化后的入侵检测系统经测试证明,具备在千兆网络环境高效实时的进行网络检测的能力。