当前网络安全形势日益严峻,基于模式匹配的入侵检测系统成为近年来的研究热点。然而现有的算法中,基于软件的算法很难满足高速网络的要求,而基于硬件的算法又存在功耗过大等缺点。本文首先概述了入侵检测系统和入侵检测技术,介绍了著名的开源入侵检测系统Snort的结构和工作原理,尤其是对其规则库进行了细致的介绍和分析。本文随后介绍了CAM/TCAM和Bloom Filter。其中,CAM/TCAM具备高速精确匹配的优点,但是具有功耗过大的缺陷;而Bloom filter具有占用存储小、快速匹配和绝不漏报的优点,但是它的匹配结果带有一定的误报率。本文提出了一种两级结构的多模式匹配算法:BF-TCAM,将Bloom filer作为第一级的过滤性匹配,TCAM作为第二级的精确匹配。BF-TCAM通过将模式集合按照长度分组,建立相应的(BF,TCAM)匹配对,提高了存储效率,降低了存储开销;通过Bloom filter的过滤性匹配,降低了TCAM的启动次数,从而克服了TCAM功耗过大的缺点;通过TCAM的精确匹配,克服了Bloom filter误报的缺点,实现了精确匹配。通过对BF-TCAM的结构和性能分析得知,由于模式集合的离散特性,使得当模式集合很大时BF-TCAM的结构过于复杂。因此本文应用字符串截短理论,对BF-TCAM进行了改进,提出了新的两级多模式匹配结构TBF-TCAM,在性能与BF-TCAM一致的前提下,结构变得更加简洁,更加易于实现。本文对BF-TCAM和TBF-TCAM进行了仿真,重点关注了二者的存储开销和功耗性能。实验表明,BF-TCAM和TBF-TCAM与TCAM-W相比,可以节省功耗20倍左右,节约存储3倍左右,实现了低存储开销、低功耗精确匹配。