伴随着网络的快速发展，个人数据和重要企业资源等信息泄露的现象已经越来越普遍。企业数据因网络受黑客入侵而遭到不同程度破坏的事件层出不穷。其中影响最大的是：2011年12月CSDN、人人网、多玩网等多家网站的数千万用户的密码遭泄露。信息安全问题也随之逐渐引起人们的注意，入侵检测技术同防火墙、数据加密等传统安全保护措施一样，成为网络安全中的重要的组件，它对网络进行实时的监控和防范。当前入侵检测系统的检测方法主要分为：异常检测和误用检测两种。异常检测是提前定义正常数据的标准，若是检测到行为与标准不相同则发出警报，误报率较高。误用检测是保存入侵行为的特征，若是检测到行为与入侵行为的特征匹配则发出警报，漏报率较高。Snort入侵检测系统是一个开源的基于特征检测的入侵检测系统，具有跨平台、轻量级等优点。本文首先分析了当前网络应用环境中的诸多安全威胁，引入了入侵检测系统的重要性；然后介绍入侵检测系统的组件、工作原理等；紧跟着对Snort的最主要的检测引擎和规则进行分析；接下来介绍提高入侵检测性能的关键技术以及目前入侵检测系统面临的日益增长的工作量与日渐庞大的规则库之间的矛盾；在此基础上首先提取共性选项，在深度优先搜索算法基础上增加宽度优先搜索算法；其次提出一个C/S模式Snort的构想，为传统Snort增加服务器支持，来分担客户端Snort的工作量。从而，在两个方面，提高Snort的工作效率。