网格计算出现于90年代早期,被誉为继互联网和万维网之后出现的第三次信息技术浪潮,有望能提供下一代分布式应用和服务,这对信息系统的研究和发展有着深远的影响,但同时也对信息系统安全体制提出了严峻的挑战。 入侵检测(Intrusion Detection)作为一种主动的信息系统安全保障措施,有效地弥补了传统安全防护技术的缺陷。随着计算机技术和网络技术的不断发展,分布式入侵检测(Distributed Intrusion Detection,DID)逐渐成为入侵检测乃至整个信息系统安全领域的研究重点。 尽管当前的分布式入侵检测可以用于保护面向网络的攻击,但是由于它缺乏按需动态组织入侵检测的敏捷性,难以适应网格计算环境下大规模协同工作的动态组建和快速变迁,因此难以应对频繁变化、不可预测的网格计算应用、网格计算应用的安全链结构、大规模分布式协同攻击等挑战。本文将针对面向网格计算的分布式入侵检测关键问题进行研究。 本文首先针对网格计算的动态共享性与多域集成性等特点,利用共享数据环境,提出了按需入侵检测模型(On-Demand Intrusion Detection Model,ODIDM)与基于该模型的按需入侵检测系统(On-Demand Intrusion Detection System,ODIDS),旨在敏捷地构建虚拟入侵检测系统,以监视动态出现的网格计算安全隐患。实验证明基于该模型的入侵检测系统是可行的。 针对ODIDS要求的动态数据访问负载平衡问题,利用水力学中的连通器原理与负载平衡原理的相似性,本文提出了一种动态负载平衡水力学方法以及实现该方法的细胞自动机规划求解算法,旨在构建动态而有效的数据访问负载平衡服务,以减少由于数据访问的不平衡而带来的稳定性、可用性、性能甚至安全的影响。理论证明与数值实验表明细胞自动机规划求解算法是快速收敛的。 针对ODIDS面临的合谋攻击威胁,利用LaGrange插值多项式,本文提出了基于主从秘密碎片的(k,t,n)主属门限秘密共享体制(Principal and Subordinate Threshold Secret Sharing System,PSTSSS)与基于PSTSSS的多域资源秘密共享体制(Multi-Domain Resources Threshold Secret Sharing System,MDRTSSS),使得秘密的解析不仅依赖t个秘密碎片(必须获取的从属秘密碎片的最少个数),也取决于门限的k个关键(主要)秘密碎片的获得。应用PSTSSS到ODIDS的关键服务中,可以构建能预防合谋攻击的入侵容忍系统。理论证明基于主从秘密碎片的门限秘密共享体制是安全的、高信息率的、易实现的。 与当前的分布式入侵检测系统相比,按需入侵检测系统更强调敏捷性,能根据频繁变化的、不可预测的网格计算应用动态检测需求,快速地调整检测资源的