随着计算机入侵事件的频频发生,计算机网络安全问题也越来越引起人们的重视。入侵检测系统正是在这样的背景下应运而生。入侵检测系统能够主动查找和评估风险,是防火墙的重要补充。目前的入侵检测系统一般是基于软件或基于网络处理器的方式实现,然而随着网络速度的不断提升,对入侵检测系统的处理速度提出了更高的要求。入侵检测系统需要将收集到数据与特征库进行匹配,这就造成了处理速度瓶颈的存在。因此,如果采用硬件的方式对特征匹配进行加速处理,将会大大的提高入侵检测系统的性能。正是在这样的背景下,提出了一种嵌入式入侵检测系统的SOPC(System On Programmable Chip)实现架构,包含基于NiosII处理器的软件模块和硬件加速模块。其中,软件模块采用协议分析技术检测网络层、传输层的疑似威胁信息;硬加速模块包含包头匹配、正则表达式匹配等两个子模块匹配Snort规则库。包头匹配模块采用Tree-bit map算法实现;正则表达式匹配模块采用NFA(None-Deterministic Finite Automata)状态机实现。该架构在Altera CycloneII FGPA上实现,并在Altera DEII开发板上进行了验证,实验结果表明系统能够正确检测网络流量中的威胁信息,硬件加速器的吞吐率可达1.6Gbps。同时,充分考虑了设计的可升级性,开发了用软件能够读取规则集并自动生成HDL代码。本文首先阐述了入侵检测系统的发展背景、趋势及基本理论。其次重点介绍了用于包头匹配的Tree-bit map算法以及用于正则表达式匹配的由正则表达式构造NFA状态机的算法;随后提出了基于SOPC的入侵检测系统的总体设计方案;然后分别从硬件实现部分以及软件设计部分对系统的构建进行阐述;最后,对系统在FPGA上的测试做了分析,并给出测试结果。