近年来,互联网的爆炸式发展,给人类社会、经济、文化等带来了无限的机遇,同时也给信息安全带来严峻挑战。人们采用反病毒,防火墙和入侵检测等技术手段来保证网络信息安全。随着网络安全技术的不断发展,入侵检测技术已经成为网络安全体系结构中不可或缺的一部分。Snort入侵检测系统作为一种著名的开源网络入侵检测系统,能够有效保护系统信息安全,在业界得到了广泛研究和使用。Snort的检测原理采用简单的模式匹配策略。但随着网络带宽不断提高,以及网络攻击种类的急剧增加,致使Snort的检测任务越来越重,从而有可能漏掉一些造成严重后果的网络攻击行为。因此,设计高效的模式匹配算法对于提高入侵检测系统的性能有很大意义。本论文以Snort为研究对象,开展如下三方面的研究工作:1)在介绍Snort基于规则驱动基本理论基础上,系统分析Snort系统四大组成模块的工作原理和流程;采用GNU profiler工具Gprof剖析Snort系统中各个主要函数在系统运行过程中所占时间的百分比,得出模式匹配算法是Snort系统性能瓶颈的结论。2)分析Snort检测引擎采用的BM、AC、MWM算法。针对Snort已有模式匹配算法已经成为Snort性能瓶颈的现状,提出一种基于后缀树自动机的Snort检测算法(Fast String Matching Algorithm, FSM)。该算法构建一个后缀树自动机Suffix Automaton,匹配中应用好后缀启发机制进行启发跳跃,忽略不必要的比较,提高了检测速度。3)将FSM算法在Snort2.4.3系统中实现,并用麻省理工林肯实验室的“DARPA1999入侵检测数据集”对FSM算法和Snort现用的BM、AC、MWM算法进行对比测试。针对混合攻击和特定攻击两方面实验表明,采用FSM算法后,在耗费一定空间基础上,Snort的检测速度比原引擎有较大的提高。