随着互联网的飞速发展以及网络应用的日新月异,网络安全问题也变得益复杂和突出。入侵检测系统作为一种能够主动、实时地保障网络信息安全的动态安全设施,是继“防火墙”、“身份认证”“数据加密”等传统安全保护措施新一代的安全保障技术,它不仅能检测来自外部的入侵行为,还能同时检测来自内部的入侵活动。Snort是一个强大的轻量级的网络入侵检测系统,它具有很好的扩展性和可移植性,其强大的功能和灵活性可以满足多种应用环境的需求。本文在介绍入侵检测系统的基础上,着重研究了网络入侵检测系统Snort。通过对Snort系统体系结构各模块功能、工作流程和规则结构的深入分析,指出了制约Snort性能的瓶颈所在,提出了改进Snort性能的三种方法:第一,采用协议流分析技术,丢弃来自于受保护服务器的数据流,以提高攻击检测的效率。第二,采用规则优化技术创建高效的规则集,以提高规则匹配的速度。第三,改进模式匹配算法,减少了模式匹配所花费的时间,论文给出了一个改进后的综合模型。针对当前校园网中存在的ARP欺骗、DHCP FLOOD攻击以及私设PROXY等非规范行为。在原有Snort系统的基础上,通过增加ARP检测模块,加强了Snort自身对ARP欺骗的免疫性,实现了对ARP欺骗的防御与检测;通过编写Snort规则实现了对私设PROXY的检测;通过设计预处理插件,实现了对DHCPFLOOD攻击的检测。实验结果表明通过扩展Snort系统的功能,对以上非规范行为防御和检测具有良好的效果。