随着计算机及网络的飞速发展，当越来越多的公司及个人成为Internet用户后，计算机网络安全作为一个无法回避的问题呈现在人们面前。用户传统上采用防火墙作为安全第一道防线，而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂，单纯的防火墙已经无法保护网络安全，必须采用一种纵深、多样的手段。在这样的背景下，自九十年代以来，入侵检测一直是一个非常活跃的研究领域。入侵检测系统(Intrusion Detection System)作为一种检测针对计算机和网络系统非法攻击使之免遭破坏的重要部件应运而生。 由于近年来网络以令人难以置信的速度向前发展，网络技术日新月异，大型网络以及千兆以太网的出现，使目前的网络入侵检测系统很难跟上网络快速发展的步伐，传统的入侵检测方法面临严峻挑战。 本文首先介绍了入侵检测系统的模型、组成、分类、发展趋势以及面临的众多问题，然后从原理上、技术上介绍了目前使用最广泛的模式匹配检测方法，以常用的网络入侵检测系统snort为例，详细讨论了BM、BMH和AC＿BM三种模式匹配算法的基本思想以及性能参数，并且编程实现了前两种算法。通过分析得出模式匹配检测方法存在的问题以及瓶颈所在，提出了两种改进问题的算法。第一种是一种预处理算法，可以减少多余的比较。第二种是基于位逻辑运算符的算法，该算法采用了BM的坏字符规则，在实际运行中速度很快。两种算法都给出了伪代码。 接着，介绍了第三代入侵检测技术——协议分析。重点介绍了协议分析的工作原理，并以Nimda病毒为例分析了该检测方法能够检测出这种攻击的原因，并概括出其具有模式匹配无法比拟的优势。 最后，针对目前入侵检测领域对两种检测方法过分喧嚣的争论，作者将两种检测方法从多角度多层面进行对比，客观冷静地分析，总结问题，得出结论。在文章最后根据网络入侵检测的发展趋势，提出了一种适合目前情况的入侵检测系统模型，该模式将两种检测方法结合在一起，发挥各自的优点， 西南交通大学硕土研究生学位论文 第11页实现入侵检测的功能。