网络数据量日益庞大是入侵检测系统面临的重要问题之一。如果入侵检测系统的检测速度跟不上网络数据的传输速度,那么检测系统就会漏掉其中的部分数据包,从而导致漏报而影响系统的准确性和有效性。针对这一问题,本文提出了改进方案,主要着眼点是网络入侵检测系统对负载的适应性,根据不同的工作环境作动态的适应性调整,以提高检测效率。并以Snort作为平台验证了算法的可行性和有效性。本文主要工作如下:流媒体数据是数据量大且危险性较低的数据,在网络数据量较大而入侵检测系统处理能力有限的情况下,可以对流媒体数据予以放行,使得检测能力尽可能用在危险性较大的数据上。流媒体的传输需要合适的传输协议,目前比较成熟的流媒体传输一般都是采用建立在UDP协议上的RTP/RTCP实时传输协议。本文通过对RTP协议的分析,设计了识别和放行RTP数据包的方法,并设计了能够根据网络负载的变化,自动调整处理策略的主动自适性RTP数据处理算法,实验证明该算法能够将有限的检测能力尽量用于危险性高的数据包,并能有效降低丢包率。合理构建Snort规则树可以减少匹配过程中的冗余操作,提高匹配的并行程度。当前规则树的构建主要是依赖于专家的人为指定或者利用数据挖掘的优化方法,这样不能反映实际工作环境的特点,从而造成某些重要属性得不到优先匹配,影响检测效率。本文主要是基于对网络实际数据的统计来构建规则树,提出了一种属性重要性的测度方法,使得规则树能够适应网络实际的工作环境,从而提高了规则匹配的速度。