随着网络安全问题的日益严峻,入侵检测系统凭借其自身特点有效地弥补了传统安全保护措施的不足,已成为计算机与网络安全的重要组成部分。规则匹配是基于特征匹配的入侵检测系统中的核心,规则匹配的效率决定这类入侵检测系统的性能。本文分析研究了基于特征匹配的网络入侵检测系统Snort2.4.4。给出了Snort系统的体系结构和规则组织形式,进一步说明了入侵检测系统的工作原理和规则匹配算法,为修改snort2.4.4的检测方法打下了基础。论文对几个经典的模式匹配算法的原理进行了分析研究,包括单模式匹配算法BM算法,多模式匹配WM算法以及Snort系统默认使用的MWM算法。论文针对MWM算法的不足及规则库中规则的特征,对原系统进行了改进。给出了在遍历匹配规则子集时,将模式串分为两组,长度小于3的模式串为一组,其他为一组,分别应用不同算法;同时增加哈希冲突二次散列处理以减少匹配节点数,减少匹配时间。论文同时对规则列表的组织结构进行了改进,将规则的规则头列表应用改进的动态调整法。对以上改进在Snort2.4.4系统中进行测试,通过与原系统的比较,得出运用改进后系统检测的耗费时间有所减少,证实了改进的有效性和实用性。