随着网络的飞速发展和普及,网络安全问题日益严重,传统的防火墙等安全措施已经不能防范手段越来越复杂的攻击,入侵检测系统越来越受到人们的重视。传统的IDS系统只能处理几百兆的网络速度,已经不能适应当前高速的网络环境。于是采用并行处理技术的并行入侵检测系统应运而生,提高了整个系统的处理速度和效率。负载均衡是影响并行入侵检测性能的关键部件,因此采用合理的分流策略,把数据流划分到多个处理节点成为当前研究的热点。本文简要介绍了入侵检测系统的相关技术和传统的负载均衡技术。与传统的负载均衡技术相比,入侵检测系统中负载均衡有些特殊要求,需要保持流的相关性、最小化丢包率和保证自身安全等。入侵检测中负载均衡动态调整算法一般分两大类,基于流束的调整和基于会话状态表的调整。前者会破坏流束中的所有流,后者需要较大的存储空间且不能保证自身安全,两者都没有考虑网络流的特性。本文针对这一问题提出了基于活跃流的负载均衡算法,并对算法进行了验证。主要研究内容包括:首先通过真实的trace研究了网络流量的Zip定律,根据这一规律发现网络中小部分流占据的网络流量很大,本文提出了活跃流的概念。活跃流在一定周期内只有少数,占整个流数目的比例很小,但是它们的网络流量却在整个网络流量中占据很大的比例。其次在分析活跃流特点的基础上,给出了基于活跃流负载均衡算法的框图,对其中的关键部分给了详细的说明。此外,设计了模拟实验,给出了仿真结果。通过与W.SHI等人提出的SHI算法在各个评价指标上进行了比较,结果表明该算法在负载均衡度和丢包率等方面都有了很大的改善,同时该算法的存储开销也较小。最后通过Verilog硬件描述语言对算法逻辑进行了设计,设计了数据源并通过了采用该算法的系统,通过Modelsim功能仿真验证,结果表明该算法容易实现且均衡效果明显,可应用于网络入侵检测中。