网络入侵检测系统通过监听网络连接对到达的包组进行安全性分析。随着现代网络技术的发展，网络速度逐步大幅提高，千兆以太网己成为了大型网络的标准，这对网络入侵检测带来了新的挑战。为了保护大型网络的安全，针对目前日益增长的网络流量，一种新型的基于网络的入侵检测方法显得尤为重要。网络的速度增长，逐渐超过了处理器处理速度的增长，因此集中式的处理方式已经达到了极限。特别是要进行深度(in depth)而stateful的检测分析的时候，尤为力不从心。在这种情况下，感应器必须持续保留入侵的信息。例如，在多步(multi-steps attacks)入侵的情况下，同时还往往必须持续在应用层面上分析包组的内容。这些任务如果都在单一节点上完成的话，将无法避免影响基本的包组接收工作。为了能够进行深度、stateful的分析，必须将传输的卷组(volume)分解，从而能让感应器(snort)进行彻底分析。不仅如此，一些网络特征，如平均包组大小、交互到达时间以及协议的变化时间通常随着时间而固定变化。另外，网络的负载特征也能够被入侵者进行有意地操纵，从而绕过NIDS的检测。 本文所提供的方法，利用一个动态反馈的机制，缓解了以上的问题。控制管理器(control manager)，能够实时检查所有感应器(snort)的相关数据，如cpu、内存的使用情况以及PDU(Packet Data Units)的数量，从而判断感应器的负载情况，并将这些情况反馈到分发器(splitter)，从而进行必要的分发调整。这个平衡负载的方法，能快速地适应各种变化的情况。 另外，我们使用了K.G Anagnostatic[5]改进的EX2B算法，修改了信号模式的分布，还使用了高密度模式(condensed patterns technique)技术去减低搜索的次数，从而提高了效率。本文提到的方法在“Snort”入侵检测系统上成功进行了扩展实现。实验表明，本文提供的方法在检测率上和效率上都有一定的提高。