入侵检测系统(Intrusion Detection Systems, IDS)被定义为对恶意行为进行分析和处理的系统,保护对象是计算机和网络的资源。在入侵检测系统中,模式匹配算法属于核心技术之一,系统的性能效率很大程度上取决于模式匹配算法的效率。Snort系统是免费且开源的,同时在Snort系统检验的方法能够移植到其他IDS中去,所以被入侵检测系统的开发者广泛使用。Snort入侵检测系统的工作主要包括数据包捕获、数据包解码、预处理(包重组、去除附加信息)、数据包检测。其中数据包检测模块是入侵检测系统的核心部分,数据包检测模块包括规则解析和规则匹配,而模式匹配算法主要工作于数据包检测模块的规则匹配中,从而奠定了模式匹配算法在Snort入侵系统中的重要地位。因此本文对Snort入侵检测系统中使用的模式匹配算法进行深入研究,同时分析部分现有的单模式算法和多模式匹配算法,针对BMHS_W算法在面对极端分布情况下的局限性提出了使用双向匹配机制来提高匹配效率的思想,同时针对N-BMHS算法跳跃距离的局限性提出提出了通过匹配融合机制来扩大算法的跳跃距离的改进思路,另外加入字符块机制来增大最大跳跃距离出现的概率,最后把双向匹配机制、匹配融合机制和字符块机制应用于新的算法-BCB (Bi-direction Character Block)算法中。BCB算法在保留原始BM算法中坏字符规则前提下,同时使用双向匹配、字符块和匹配融合机制来实现,从而达到加快匹配速度。通过实验验证了这两种改进思路的正确性以及新算法的性能,实验证明新算法无论是在微观表现(字符匹配个数、跳跃次数)还是宏观表现(匹配所需时间)都有所提高。