随着计算机网络技术的飞速发展，各种基于网络的信息系统在社会生活的各个方面得到了广泛的应用。然而，在计算机网络给我们带来方便和效率的同时，频频发生的网络攻击也给我们带来了严重的安全威胁。网络入侵检测系统是对抗网络攻击的一种安全设施，因其基本不影响被保护系统、配置管理方便而得到了广泛的应用。网络入侵检测系统通过捕获并分析网络数据包来检测其中可能包含的攻击，需要消耗大量的处理资源。随着网络带宽的不断增长，网络入侵检测系统的处理速度越来越难以跟上网络的速度，很可能因为来不及处理高速到达的数据包而漏检攻击。实际上，网络入侵检测系统的处理能力已经成为制约其进一步发展的重要因素。 并行处理是提高性能的有效手段，并行入侵检测系统通过使用多个处理机或者处理器并行地处理网络流量来提高系统整体的处理能力。但是，对网络流最进行并行处理以提高性能的同时必须保证并行处理不会影响对攻击的正常检测。现有研究往往只侧重于并行入侵检测某一方面，缺乏对并行入侵检测整体的分析。本文对并行入侵检测相关问题做了比较全面的研究，主要研究成果如下： (1)提出了一种并行入侵检测模型。从理论上分析了并行入侵检测系统巾的流量划分算法、攻击检测算法及其相互间的制约关系。分析了系统丢包率同系统利用率的关系，指出为提高性能设计流量划分算法应遵循的原则。提出并证明了流量划分不影响攻击检测的三个定理。三个定理对流量划分算法、攻击检测算法有不同的要求，适用于不同的情况，能够指导并行入侵检测系统的设计。 (2)提出了一种具体的流量划分算法：PABCS(Partition Algorithm Based onConnectionsStates)。PABCS根据17CP连接的状态和探测器反馈的负载信息对网络流量进行划分。从负载均衡、攻击证据保持和效率三个方面对该算法进行的分析以及实验表明，PABCS能够保证划分后的流量不丢失检测单连接攻击所需要的证据，其负载均衡能力优于常用的、基于Hash的流量划分算法，并且具有很高的运行效率。 (3)提出了一种用于并行入侵检测的DoS(Denial of Service)攻击检测算法CUS(Count of Unacknowledged Segments)。CUS根据朱确认的TCP报文段出现的概率进行攻击检测。由于PABCS算法能够保证未确认报文段出现的概率不会因流最划分而改变，所以，探测器可以独立地使用CUS检测DoS攻击，检测结果不会受到流最划分的影响。同时，实验还表明CUS不仅能够用于并行入侵检测，其检测准确性优于基于出入流量不平衡的DoS攻击检测算法。 (4)提出了一种基于Dempster—Shafer证据理论的端口扫描检测算法。该算法使用Dempster—Shafer证据理论对两种检测算法产生的数据进行数据融合。一种足已有的基于序列假设测试的扫描检测算法，一种足本文提出的基于端口分布特征的扫描检测算法。经证明，基于序列假设测试和基于端口分布特征的扫描检测算法均不受PABCS流量划分算法的影响。因此，基于Dempster—Shafer证据理论的扫描检测算法也能够用丁并行入侵检测。此外，实验还表明，基于Dempstetr—Shfafer证据理论的扫描检测算法比单独使用其中任何一种检测算法都更加准确。 (5)提出了一种基于SMP(symmetric Multi—Processor)的并行入侵检测结构及其上的并行处理算法。基于SMP的并行入侵检测结构对入侵检测任务进行了适当地划分，将最耗时的部分进行并行化，并行处理算法避免了线程间互斥地访问共亨缓冲区，保证了线程同步的效率。同单CPU的系统相比，基于SMP的并行入侵检测系统在不影响攻击正常检测的前提下，大幅度地提高了检测性能。