1、入侵檢測系統作為一種檢測系統入侵行為的安全防護設備，在信息安全領域發(fā)揮著重要作用。提高入侵檢測系統的檢測速度并減少入侵檢測系統誤報率和漏報率是信息安全領域的研究重點。
　　Snort作為輕量級的開源入侵檢測系統得到廣泛地應用和研究，本文在對其系統架構深入分析的基礎上，從空間和時間兩個方面對其性能進行優(yōu)化，主要工作包括：
　　1、從時間方面提高Snort的檢測性能：優(yōu)化處理了Snort規(guī)則集，通過刪除部分不影響匹配結果的規(guī)則和

2、修改部分規(guī)則，達到了用相對較少的規(guī)則匹配較多特征的目的，并能減少檢測報文時的計算量，從而提高了系統檢測速度。
　　2、從空間方面提高Snort的檢測性能：為減少入侵檢測系統運行時的內存占有量，優(yōu)化了Snort快速檢測引擎結構，通過改變快速檢測引擎的源端口和目的端口集的規(guī)則節(jié)點與通用規(guī)則集的規(guī)則節(jié)點的連接方式，形成了一種新的快速檢測引擎結構，可以在不影響檢測性能的前提下減少內存占有量。
　　3、設計檢測http協議數據報文特征

3、方法。使用這種檢測方法檢測數據報文的協議特征時只檢測數據報文的IP協議標識、TCP協議標識和http協議標識，與原始Snort系統相比，新的檢測方法減少了運算量，使Snort可以在相同的時間處理更多的報文，檢測報文時提取http會話中每個報文的數據部分并將這些數據整合到一個虛擬數據包中，然后由檢測引擎對虛擬數據包進行檢測，使用這種檢測方法進行檢測能降低Snort檢測報文的誤報率和漏報率。
　　本文利用在實際網絡環(huán)境中捕獲的數據報文