随着计算机及网络技术的飞速发展,当越来越多的公司及个人成为Internet用户后,黑客入侵、信息泄密以及病毒泛滥所带来的危害引起了世界各地的高度重视。在这样的背景下,网络入侵检测系统作为一种检测工具—使计算机和网络系统免遭非法攻击破坏的重要部件应运而生。网络入侵检测系统作为一种主动的信息安全保障措施,它对计算机和网络资源的恶意使用行为进行识别,并为对抗入侵提供重要信息,有效的弥补了访问控制、防火墙和身份认证等传统安全防护技术的缺陷。通过对网络入侵检测系统Snort的分析,以提高入侵检测效率为出发点,对检测引擎采用的模式匹配算法和规则匹配性能两个方面进行深入研究。选取单模式Boyer-Moore算法和多模式Aho-Corasick-Boyer-Moore算法进行分析,并结合单模式Boyer-Moore-Horspool算法在匹配中的跳跃原理,在此基础上提出一种改进的AC-BM算法。在对Snort规则匹配性能瓶颈进行分析的基础上,参考国外先进的入侵检测设计思想,根据规则唯一性参数来创建更轻量级的规则子集,并对规则匹配的次序进行动态调整,从而实现规则优化。检测引擎使用多模式匹配技术在处理带有content关键字的入侵规则与数据包的有效载荷进行匹配时,要调用多模式匹配插件,其核心是一个可配置的多模式匹配引擎。采用规则优化、多规则搜索引擎和基于排除的模式匹配策略等优化技术,改进Snort的规则编译模块和数据包检测引擎,依此设计网络入侵检测系统并实现其主要功能。实验证明:改进的AC-BM算法与AC-BM算法相比,在占用内存增加不多的情况下,有较低的时间复杂度,检测效率得到进一步提高,运用于网络入侵检测系统有一定的实用性。