入侵检测系统是一种能有效发现和防御网络入侵的网络安全防护手段,本文研究了入侵检测系统在网络安全中应用和实现的几个问题。首先,对网络安全体系作了全面概述,介绍了目前常见安全技术手段,分析了入侵检测系统在网络安全中的重要作用。分析了著名的开源入侵检测系统Snort的新特性,对入侵规则、系统结构进行了详细的剖析,重点阐述了其最新版本中采用的快速包分类机制和多模式匹配算法带来的性能提升,并分析和介绍了Snort的常用插件。在此基础上,实现了基于Snort的支持规则动态更新的入侵检测系统——Snorting。Snorting采用多线程技术,将检测线程与规则解析线程分离,这使它能在不丢弃数据包、不中断连接信息、不丢失统计信息的情况下对规则进行增加、删除或对插件进行重启。其友好的用户界面还能帮助使用者生成Snort规则,并能对Snorting自动配置。Snorting增强了Snort的通讯能力,使其结构更为清晰,为今后实现Snort的产品化、实现嵌入式IDS提供了准备。此外,本文在研究目前已有的入侵检测评估手段的基础上,引入多种测试手段,从各个角度分别对Snorting与Snort进行测试与评估,证明Snort本身的性能也较其过去的版本有显著提高,而Snorting能长时间稳定运行,没有带来性能的损失。