近年来，入侵检测技术不仅成为网络安全研究的热点，而且具有广阔的市场前景。信息安全技术逐步打破常规的被动检测和过滤的方法，正朝着主动防御的方向发展，以防火墙为主的安全架构模式已经难以满足网络安全的需求，在这样的形势下，入侵检测越来越受到人们的重视。入侵检测已被普遍认为是网络防火墙的补充，扩展了系统管理员的安全管理能力。 然而，随着互联网的迅猛发展，网络带宽较以前越来越高，网络速度越来越快，对入侵检测系统来说就需要提高它的检测效率，而提高系统效率的根本就是要对入侵检测系统的核心—检测引擎，进行优化改进。 Snort是一个强大的轻量级的网络入侵检测系统，它具有数据流量实时分析和IP数据包日志的能力，能够进行协议分析，对内容进行搜索或者匹配。它能够检测各种不同的攻击方式，并对攻击进行实时警报。此外，Snort具有很好的扩展性和可移植性。 本文在对Snort系统的体系结构、工作流程和规则结构进行分析的基础上，对系统的检测引擎及其采用的模式匹配算法进行了重点研究和探讨，针对原系统模式匹配算法的不足，采用了一种基于哈希方法的多模式匹配算法—LRK算法，并对LRK算法进行了改进，优化了算法，并应用到Snort的检测引擎模块中。通过实验，证明改进的LRK算法是有效的，比原系统检测引擎的匹配速度有了较大提高。 随后，针对Snort系统集中式的体系结构，本文对Snort在分布式网络环境下的应用进行了研究。通过设置多个Snort检测节点，在上面开发可视化管理界面的方法，通过层次化的分布式结构实现了分布式检测和集中式管理的统一，增强了Snort的易用性，同时，也大大减轻了Snort检测引擎的负担，提高了Snort适应高带宽网络的能力。 最后，我们对工作进行了总结，并给出了进一步的优化改进建议。