自从计算机问世以来，安全问题就一直存在。随着Internet的快速发展和电子商务的兴起，网络安全变得日益重要。各种网络安全解决方案和网络防护软件也不断出现。入侵检测是一种保护网络免受攻击的网络安全技术，是继“防火墙”、“数据加密”等传统安全保护措施后的新一代技术。 大多数商业的基于网络的入侵检测系统配置和操作都比较复杂和难以掌握，而且比较昂贵，一般的公司无法承受。Snort是一个强大的轻量级的网络入侵检测系统，它具有实时数据流量分析和同志IP网络数掘包的能力，能够进行协议分析，对内容搜索或者匹配。它能够检测各种不同的攻击方式，并对攻击进行实时警报。此外，Snort具有很好的扩展性和可移植性。这个软件还遵循通用公共许可证GPL，所以只要遵守GPL任何组织和个人都可以自由使用，它不仅可以为企业提供简单实用的解决方案，更可以为研究者深入了解入侵检测技术提供合适的研究范本。 本文尝试分析Snort入侵检测系统，对Snort应用作一些实验研究工作以适应网络实际环境的需求，详细分析了Snort系统的架构、工作流程和三维规则链表，并着重分析了该系统的检测引擎及其采用的模式匹配算法。在此基础上，本文结合本单位的数据中心，设计了分布式三层Snort系统的具体方案，并阐述了如何构建传感器层、服务器层和分析控制台。 最后，本文对Snort的规则匹配算法进行了改进，提出了增加广度搜索的方法，并验证了这种方法有效的提高了入侵检测的速度。