A. 在淘宝里如何申请小号
1、打开淘宝首页,进入到如下页面,点击上方我的淘宝。
B. 计算机网络管理技术的目录
第1章网络管理技术概述
1.1网络管理的概念和类型
1.1.1网络管理的概念
网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的一些需求,如实时运行性能、服务质量等。网络管理常简称为网管。
1.1.2网络管理的类型
事实上,网络管理技术是伴随着计算机、网络和通信技术的发展而发展的,二者相辅相成。从网络管理范畴来分类,可分为对网“路”的管理。即针对交换机、路由器等主干网络进行管理;对接入设备的管理,即对内部PC、服务器、交换机等进行管理;对行为的管理。即针对用户的使用进行管理;对资产的管理,即统计IT软硬件的信息等。根据网管软件的发展历史,可以将网管软件划分为三代:
第一代网管软件就是最常用的命令行方式,并结合一些简单的网络监测工具,它不仅要求使用者精通网络的原理及概念,还要求使用者了解不同厂商的不同网络设备的配置方法。
第二代网管软件有着良好的图形化界面。用户无须过多了解设备的配置方法,就能图形化地对多台设备同时进行配置和监控。大大提高了工作效率,但仍然存在由于人为因素造成的设备功能使用不全面或不正确的问题数增大,容易引发误操作。
第三代网管软件相对来说比较智能,是真正将网络和管理进行有机结合的软件系统,具有“自动配置”和“自动调整”功能。对网管人员来说,只要把用户情况、设备情况以及用户与网络资源之间的分配关系输入网管系统,系统就能自动地建立图形化的人员与网络的配置关系,并自动鉴别用户身份,分配用户所需的资源(如电子邮件、Web、文档服务等)。
1.1.3网络管理的基本内容
1.1.4网络管理服务的层次划分
1.2网络管理的结构模式
1.2.1集中式网络管理
1.2.2层次化网络管理
1.2.3分布式网络管理
1.3网络管理的功能简介
1.3.1故障管理
指系统出现异常情况下的管理操作,是用来动态地维持网络正常运行并达到一定的服务水平的一系列活动。
电信管理网管理功能的一个子集。故障管理能够进行失效的检测、定位和维修的安排以及对其维修设备完成测试并使其恢复业务。
1.3.2配置管理
配置管理(Configuration Management,CM)是通过技术或行政手段对软件产品及其开发过程和生命周期进行控制、规范的一系列措施。配置管理的目标是记录软件产品的演化过程,确保软件开发者在软件生命周期中各个阶段都能得到精确的产品配置。
1.3.3性能管理
性能管理(Performance Management)
性能管理是对电信设备的性能和网络单元的有效性进行评估,并提出评价报告的一组功能。包括性能测试,性能分析 及性能控制。
性能管理(Performance Management)性能管理指的是优化网络以及联网的应用系统性能的活动,包括对网络以及应用的监测、及时发现网络堵塞或中断情况、全面的故障排除、基于事实的容量规划和有效地分配网络资源。
1.3.4计费管理
1.3.5安全管理
1.4网络管理协议和技术
1.4.1SNMP
SNMP(Simple Network Management Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,人们对SGMP进行了很大的修改,特别是加入了符合Internet定义的SMI和MIB:体系结构,改进后的协议就是着名的SNMP。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台,因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP已经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。
1.4.2CMIP协议
CMIP协议是在OSI制订的网络治理框架中提出的网络治理协议。与其说它是一个网络治理协议,不如说它是一个网络治理体系。这个体系包含以下组成部分:一套用于描述协议的模型,一组用于描述被管对象的注册、标识和定义的治理信息结构,被管对象的具体说明以及用于远程治理的原语和服务。CMIP与SNMP一样,也是由被管代理和治理者、治理协议与治理信息库组成。在CMIP中,被管代理和治理者没有明确的指定,任何一个网络设备既可以是被管代理,也可以是治理者。
CMIP治理模型可以用三种模型进行描述:组织模型用于描述治理任务如何分配;功能模型描述了各种网络治理功能和它们之间的关系;信息模型提供了描述被管对象和相关治理信息的准则。从组织模型来说,所有CMIP的治理者和被管代理者存在于一个或多个域中,域是网络治理的基本单元。从功能模型来说,CMIP主要实现失效治理、配置治理、性能治理、记帐治理和安全性治理。每种治理均由一个非凡治理功能领域MFA,)负责完成。从信息模型来说,CMIP的MIB库是面向对象的数据存储结构,每一个功能领域以对象为MIB库的存储单元。
CMIP是一个完全独立于下层平台的应用层协议,它的五个非凡治理功能领域由多个系统治理功能(SMF)加以支持。相对来说,CMIP是一个相当复杂和具体的网络治理协议。它的设计宗旨与SNMP相同,但用于监视网络的协议数据报文要相对多一些。CMIP共定义了11类PDU。在CMIP中,变量以非常复杂和高级的对象形式出现,每一个变量包含变量属性、变量行为和通知。CMIP中的变量体现了CMIPMIB库的特征,并且这种特征表现了CMIP的治理思想,即基于事件而不是基于轮询。每个代理独立完成一定的治理工作。
……
第2章SNMP网络管理架构
第3章网络流量监控技术与方法
第4章磁盘管理
磁盘管理是一项计算机使用时的常规任务,它是以一组磁盘管理应用程序的形式提供给用户的,它们位于计算机管理控制台中.它包括查错程序和磁盘碎片整理程序以及磁盘整理程序。
第5章用户管理
第6章级策略管理
第7章补丁管理
第8章IP地址管理
第9章VLAN管理
第10章网络存储管理
参考文献
……
C. 服务器异常怎么办
造成服务器异常的原因
有好多种
1、服务器所在的机房设备出现故障
2、用户操作不当
3、病毒侵害
4、服务器故障
5、网络故障
二、服务器常见的异常问题及解决办法
1、机房设备故障引发的服务器不能正常运行
在机房配备专业人员做好日常管理和维护,及时检查和购买新的设备或者服务器。
2、用户操作不当引发的异常
公司要雇用专业人员管理和维护好服务器,降低出现故障的几率,以便第一时间能够及时处理问题,降低风险,减少损失。
3、网站打不开、被跳转、网站显示错误等
这时候可以下载专业的正版查毒软件,对电脑进行定期的全面病毒查杀,以绝后患。
4、用户无法打开网页
出现这种问题,可以耐心等候一段时间再进行再次访问,也可以多刷新几遍网页试试,并赶紧对服务器进行修复。
5、被DNS劫持出现的网络故障
这种情况是电脑上的其他应用都可以正常运行,但是网站却打不开,很有可能就是网站被DNS劫持了,需要重新设置或修改DNS地址。
6、系统蓝屏、频繁死机、重启、反映速度迟钝
服务器的结构与普通电脑的构成是十分相似的,出现这种情况是感染了病毒引起的,也有可能是系统漏洞、软件冲突、硬件故障等原因造成的。遇到这种问题就要及时杀毒,修复系统漏洞和硬件故障,清理缓存垃圾。
7、远程桌面连接超出最大连接数
如果登录后忘记注销服务器默认允许的2个连接,而是直接关闭远程桌面,这种时候可能就要重启服务器,并且是在高峰期的话,就很容易造成损失。这种异常问题,就要利用“mstsc/console”指令进行强行登陆,具体操作就是打开“运行”框,输入“mstsc/v:xxx.xxx.xxx.xxx(服务器IP)/console”,即可强行登陆到远程桌面。
8、出现无法删除的文件
如果这些无法删除的文件还在运行中,可以重启电脑,然后删除。另一种办法是,运行CMD,输入“arrtib-a-s-h-r”和想要删除的文件夹名,最后输入“del”,这样想要删除的文件夹即可删除,但是运行该命令后无法恢复,要谨慎使用。
9、系统端口隐患
对于服务器来说,首先要保证的就是它的稳定性和安全性。因此,我们只要保留的是服务器最基本的功能就可以了,声卡一般都是默认禁止的。我们不会用到很多功能,也不需要很多的端口支持。这时候,我们就关掉一些不必要的、风险大的端口,例如3389、80等端口,用修改注册表的方式将其设置成不特殊的秘密端口,这样可以消除服务器端口的安全隐患。
D. WI-FI连接不上是什么原因呢!有网络
如果您使用的是一加手机,遇到WiFi无法连接的情况,建议您按如下步骤进行排查:
确认您的路由器有打开,并且您位于路由器信号覆盖的范围内。如果你和路由器的距离太远,将无法获取到路由器的信号。确保你所在的位置是在路由器覆盖的范围内,可以搜索到WiFi信号,并且信号稳定。
确认WiFi密码输入是否正确。
确认路由器服务器是否设置了限制,例如设置了MAC地址或IP地址过滤权限等,这类情况可联系路由器管理员处理,或尝试更换其他WiFi路由器。
若以前可以连接,但是现在无法连接,建议分别重启手机和路由器。
建议取消WiFi保存密码,重新输入密码连接。
如果问题仍然无法解决,建议尝试备份数据后重置WLAN、蓝牙与移动数据网络设置,路径:【设置】-【其他设置】-【还原手机】-【还原无线设置】
E. 家里的网络不好怎么办啊
无线网络信号不好可以有以下五种解决方法:
1、无线路由器的天线摆放角度是有一定讲究的,如果天线没有完全展开,或者是角度不正确,就会导致WIFI信号不好。要根据说明书上路由器天线的角度来设置,能够达到最佳的效果。
2、如果家里的户型面积比较大,当手机离无线路由器比较远时,就会发现WIFI信号很弱了。这时可以把无线路由器放置在家里的中间位置,不管是放在地面上,还是墙上、天棚上都是可以的,这样可以最大限度的扩大信号到达的范围。
3、摆放无线路由器的位置尽量要空旷,没有遮挡。要让WIFI信号尽可能少的穿过墙体,那样信号强度就会减弱很多。另外,路由器旁边也尽量不要有大型的金属物体,这些都会阻挡WIFI信号的。
4、可以用WIFI信号放大器,放置在距离无线路由器较远的位置,以供更远位置的设备和手机使用信号扩大器发出的WIFI信号,这也是比较有效的一个方法。
5、最有效的方法就是更换一个非常好的无线路由器。现在市场上有非常多的品牌无线路由器,而且型号也很多,价格也差距比较大,低端、廉价的机型在发射信号表现上就要差一些。要想从根本上解决WIFI信号不好的问题,只能是更换掉这个不好的路由器。
(5)网络流量异常分类扩展阅读:
无线网络分类:
1、无线个人网
无线个人网(WPAN)是在小范围内相互连接数个设备所形成的无线网络,通常是个人可及的范围内。例如蓝牙连接耳机及膝上计算机,ZigBee也提供了无线个人网的应用平台。
2、无线局域网
无线局域网(WLAN)类似其他无线设备,利用无线电而非电缆在同一个网络上传送数据、甚至无线上网,是IEEE 802.11系列标准。
Wi-Fi
Fixed Wireless Data
3、无线城域网
无线城域网是连接数个无线局域网的无线网络型式。
WiMAX
4、移动设备网络
全球移动通信系统(GSM):GSM网络分成三个主要系统:转接系统、基地系统、操作和支持系统。移动电话连接到基地系统,然后连接到操作和支持系统;然后连接到转接系统后,电话就会被转到要到的地方。GSM是大多数手机最常见的使用标准。
个人通信服务(PCS):PCS是北美地区的一种可借由移动电话使用的无线电频带。斯普林特(Sprint)正好是第一家创立PCS的服务。
D-AMPS:即数字高端移动电话服务,由AMPS升级的版本,但是因为技术的进步。新的网络如GSM、3G等正取代较旧的AMPS系统。
F. 我的笔记本联网的时候显示dns服务器异常,这是网络服务商的问题还是我的本设置有问题
、背景
域名系统(Domain Name System,DNS)是互联网的重要基础设施之一,负责提供域名和IP地址之间的映射和解析,是网页浏览、电子邮件等几乎所有互联网应用中的关键环节。因此,域名系统的稳定运行是实现互联网正常服务的前提。近年来,针对域名系统的网络攻击行为日益猖獗,DNS滥用现象层出不穷,再加上DNS协议本身固有的局限性,域名系统的安全问题正面临着严峻的考验。如何快速有效的检测域名系统的行为异常,避免灾难性事件的发生,是当今域名系统乃至整个互联网所面临的一个重要议题。
DNS服务器通过对其所接收的DNS查询请求进行应答来实现对外域名解析服务,因此DNS查询数据流直接反映了DNS服务器对外服务的整个过程,通过对DNS流量异常情况的检测可以对DNS服务器服务状况进行有效的评估。由于导致DNS流量异常的原因是多方面的,有些是由针对DNS服务器的网络攻击导致的,有些是由于DNS服务系统的软件缺陷或配置错误造成的。不同的原因所引起的DNS流量异常所具备的特征也各不相同,这给DNS流量异常检测带来了诸多困难。
目前,在DNS异常流量检测方面,比较传统的方法是对发往DNS服务器端的DNS查询请求数据流中的一个或多个测量指标进行实时检测,一旦某时刻某一指标超过规定的阈值,即做出流量异常报警。这种方法虽然实现简单,但是仅仅通过对这些指标的独立测量来判定流量是否异常过于片面,误报率通常也很高,不能有效的实现异常流量的检测。
近年来,随着模式识别、数据挖掘技术的发展,开始有越来越多的数据模型被引入到DNS异常流量检测领域,如在[Tracking]中,研究人员通过一种基于关联特征分析的检测方法,来实现对异常DNS服务器的识别和定位;[Context]则引入了一种上下文相关聚类的方法,用于DNS数据流的不同类别的划分;此外,像贝叶斯分类[Bayesian]、时间序列分析[Similarity]等方法也被先后引入到DNS异常流量检测中来。
不难发现,目前在DNS异常流量检测方面,已有诸多可供参考利用的方法。但是,每种方法所对应的应用场合往往各不相同,通常都是面向某种特定的网络攻击活动的检测。此外,每种方法所采用的数据模型往往也比较复杂,存在计算代价大,部署成本高的弊端。基于目前DNS异常流量检测领域的技术现状,本文给出了两种新型的DNS流量异常检测方法。该两种方法能够有效的克服目前DNS异常流量检测技术所存在的弊端,经验证,它们都能够对DNS流量异常实施有效的检测。
2、具体技术方案
1)利用Heap’sLaw检测DNS流量异常
第一种方法是通过利用Heap’s定律来实现DNS流量异常检测。该方法创新性的将DNS数据流的多个测量指标进行联合分析,发现它们在正常网络状况下所表现出来的堆积定律的特性,然后根据这种特性对未来的流量特征进行预测,通过预测值和实际观测值的比较,实现网络异常流量实时检测的目的。该方法避免了因为采用某些独立测量指标进行检测所导致的片面性和误报率高的缺点,同时,该方法具有计算量小,部署成本低的特点,特别适合部署在大型DNS服务器上。
堆积定律(Heap’sLaw)[Heap’s]最早起源于计算语言学中,用于描述文档集合中所含单词总量与不同单词个数之间的关系:即通过对大量的英文文档进行统计发现,对于给定的语料,其独立的单词数(vocabulary的size)V大致是语料大小N的一个指数函数。随着文本数量的增加,其中涉及的独立单词(vocabulary)的个数占语料大小的比例先是突然增大然后增速放缓但是一直在提高,即随着观察到的文本越来越多,新单词一直在出现,但发现整个字典的可能性在降低。
DNS服务器通过对其所接收的DNS查询请求进行应答来实现对外域名解析服务。一个典型的DNS查询请求包由时间戳,来源IP地址,端口号,查询域名,资源类型等字段构成。我们发现,在正常网络状况下,某时间段内DNS服务器端所接收的DNS查询请求数和查询域名集合的大小两者间遵循堆积定律的特性,同样的,DNS查询请求数和来源IP地址集合的大小两者间也存在这种特性。因此,如果在某个时刻这种增长关系发生突变,那么网络流量发生异常的概率也会比较高。由于在正常网络状况下DNS服务器端所接收的查询域名集合的大小可以根据这种增长关系由DNS查询请求数推算得到。通过将推算得到的查询域名集合大小与实际观测到的查询域名集合的大小进行对比,如果两者的差值超过一定的阈值,则可以认为有流量异常情况的发生,从而做出预警。类似的,通过将推算得到的来源IP地址集合大小与实际观测到的来源IP地址集合的大小进行对比,同样可以达到异常流量检测的目的。
由于DNS流量异常发生时,DNS服务器端接收的DNS查询请求通常会异常增多,但是单纯凭此就做出流量异常的警报很可能会导致误报的发生。此时就可以根据观测查询域名空间大小的相应变化情况来做出判断。如果观测到的域名空间大小与推算得到的预测值的差值在允许的阈值范围之内,则可以认定DNS查询请求量的增多是由于DNS业务量的正常增长所致。相反,如果观测到的域名空间大小未发生相应比例的增长,或者增长的幅度异常加大,则做出流量异常报警。例如,当拒绝服务攻击(DenialofService)发生时,攻击方为了降低本地DNS缓存命中率,提高攻击效果,发往攻击对象的查询域名往往是随机生成的任意域名,这些域名通常情况下不存在。因此当该类攻击发生时,会导致所攻击的DNS服务器端当前实际查询域名空间大小异常增大,与根据堆积定律所推算出预测值会存在较大的差距,即原先的增长关系会发生突变。如果两者间的差距超过一定的阈值,就可以据此做出流量异常报警。
通过在真实数据上的测试和网络攻击实验的模拟验证得知,该方法能够对常见的流量异常情况进行实时高效的检测。
2)利用熵分析检测DDoS攻击
通过分析各种网络攻击数据包的特征,我们可以看出:不论DDoS攻击的手段如何改进,一般来说,各种DDoS工具软件所制造出的攻击都要符合如下两个基本规律:
1、攻击者制造的攻击数据包会或多或少地修改包中的信息;
2、攻击手段产生的攻击流量的统计特征不可能与正常流量一模一样。
因此,我们可以做出一个大胆的假设:利用一些相对比较简单的统计方法,可以检测出专门针对DNS服务器的DDoS攻击,并且这中检测方法也可以具有比较理想的精确度。
“熵”(Entropy)是德国物理学家克劳修斯(RudolfClausius,1822~1888)在1850年提出的一个术语,用来表示任何一种能量在空间中分布的均匀程度,也可以用来表示系统的混乱、无序程度。信息理论创始人香农(ClaudeElwoodShannon,1916~2001)在1948年将熵的概念引入到信息论中,并在其经典着作《通信的数学原理》中提出了建立在概率统计模型上的信息度量,也就是“信息熵”。熵在信息论中的定义如下:
如果在一个系统S中存在一个事件集合E={E1,E2,…,En},且每个事件的概率分布P={P1,P2,…,Pn},则每个事件本身所具有的信息量可由公式(1)表示如下:
熵表示整个系统S的平均信息量,其计算方法如公式(2)所示:
在信息论中,熵表示的是信息的不确定性,具有高信息度的系统信息熵是很低的,反过来低信息度系统则具有较高的熵值。具体说来,凡是导致随机事件集合的肯定性,组织性,法则性或有序性等增加或减少的活动过程,都可以用信息熵的改变量这个统一的标尺来度量。熵值表示了系统的稳定情况,熵值越小,表示系统越稳定,反之,当系统中出现的不确定因素增多时,熵值也会升高。如果某个随机变量的取值与系统的异常情况具有很强的相关性,那么系统异常时刻该随机变量的平均信息量就会与系统稳定时刻不同。如果某一时刻该异常情况大量出现,则系统的熵值会出现较大幅度的变化。这就使我们有可能通过系统熵值的变化情况检测系统中是否存在异常现象,而且这种强相关性也使得检测方法能够具有相对较高的准确度。
将熵的理论运用到DNS系统的DDoS攻击检测中来,就是通过测量DNS数据包的某些特定属性的统计特性(熵),从而判断系统是否正在遭受攻击。这里的熵值提供了一种对DNS的查询数据属性的描述。这些属性包括目标域名长度、查询类型、各种错误查询的分布以及源IP地址的分布,等等。熵值越大,表示这些属性的分布越随机;相反,熵值越小,属性分布范围越小,某些属性值出现的概率高。在正常稳定运行的DNS系统中,如果把查询数据作为信息流,以每条DNS查询请求中的某种查询类型的出现作为随机事件,那么在一段时间之内,查询类型这个随机变量的熵应该是一个比较稳定的值,当攻击者利用DNS查询发起DDoS攻击时,网络中会出现大量的攻击数据包,势必引起与查询类型、查询源地址等相关属性的统计特性发生变化。即便是黑客在发动攻击时,对于发送的查询请求的类型和数量进行过精心设计,可以使从攻击者到目标服务器之间某一路径上的熵值维持在稳定的水平,但绝不可能在所有的路径上都做到这一点。因此通过检测熵值的变化情况来检测DNS系统中异常状况的发生,不仅是一种简便可行的方案,而且还可以具有很好的检测效果。
DNS系统是通过资源记录(ResourceRecord,RR)来记录域名和IP地址信息的,每个资源记录都有一个记录类型(QType),用来标识资源记录所包含的信息种类,如A记录表示该资源记录是域名到IP地址的映射,PTR记录IP地址到域名的映射,NS记录表示域名的授权信息等,用户在查询DNS相关信息时,需要指定相应的查询类型。按照前述思想,我们可以采用DNS查询数据中查询类型的出现情况作为随机事件来计算熵的变化情况,从而检测DDoS攻击是否存在。检测方法的主要内容如图1所示。可以看出,通过比较H1和H2之间的差别是否大于某一个设定的阈值,可以判定系统是否正在遭受DDoS攻击。随着查询量窗口的不断滑动,这种比较会随着数据的不断更新而不断继续下去。检测算法的具体步骤如下所示:
1、设定一个查询量窗口,大小为W,表示窗口覆盖了W条记录。
2、统计窗口中出现的所有查询类型及其在所属窗口中出现的概率,根据公式(2)计算出该窗口的熵H1。
图1熵分析检测方法
3、获取当前窗口中第一条查询记录所属的查询类型出现的概率,求出该类型所对应的增量
4、将窗口向后滑动一条记录,此时新窗口中的第一条记录为窗口滑动前的第二条记录。
5、获得窗口移动过程中加入的最后一条记录所代表的查询类型在原窗口中出现的概率以及对应的增量
6、计算新窗口中第一条记录所对应的查询类型出现在新窗口中出现的概率,以及对应的增量
7、计算新窗口中最后一条记录所属的查询类型在当前窗口出现的概率以及对应的增量
8、根据前面的结果计算窗口移动后的熵:
重复步骤2至步骤8的过程,得到一系列的熵值,观察熵值的变化曲线,当熵值曲线出现剧烈波动时,可以断定此时的DNS查询中出现了异常。
窗口的设定是影响检测算法的一个重要因素,窗口越大,熵值的变化越平缓,能够有效降低误检测的情况发生,但同时也降低了对异常的敏感度,漏检率上升;反之,能够增加检测的灵敏度,但准确性相应的会降低。因此,窗口大小的选择,需要根据实际中查询速率的大小进行调整。
2009年5月19日,多省市的递归服务器由于收到超负荷的DNS查询而失效,中国互联网出现了大范围的网络瘫痪事故,这起事故可以看作是一起典型的利用DNS查询发起的分布式拒绝服务攻击,这种突发的大量异常查询混入到正常的DNS查询中,必然会使DNS查询中查询类型的组成发生变化。我们利用从某顶级结点的DNS权威服务器上采集到的2009年5月19日9:00-24:00之间的查询日志,来检验算法是否能够对DNS中的异常行为做出反应。图2和图3分别是窗口大小为1,000和10,000时所得到的熵变化曲线,图4是该节点的查询率曲线。
图2窗口大小为1,000时熵的变化情况
图3窗口大小为10,000时熵的变化情况
图4查询率曲线
从图2和图3中可以发现,大约从16:00时开始,熵值剧烈上升,这是由于此时系统中查询类型为A和NS的查询请求大量涌入,打破了系统原有的稳定态势,在经历较大的波动之后,又回复到一个稳定值。随着系统中缓存失效的递归服务器不断增多,该根服务器收到的异常数据量逐渐增大,在16:45左右熵值达到一个较低点,此时系统中已经混入了大量的异常查询数据。由于各省递归服务器的缓存设置的不一致,不断的有递归服务器崩溃,同时不断缓存失效的递归服务器加入,一直到21:00左右,这种异常查询量到达峰值,表现为熵值到达一个极低的位置,随着大批递归服务器在巨大的压力下瘫痪,查询数据的组成再次发生剧烈波动,接下来随着大面积断网的发生,异常查询无法到达该根服务器,熵值在经历波动之后又重新回到较稳定的状态,图4中的流量变化也证实了这一点。
图2和图3分别将查询窗口设为1,000和10,000,对比两图可以看出,图2中的熵值变化较为频繁,反映出对DNS异常更加敏感,但同时误检测的几率也较高,图3中熵值的变化相对平缓,对异常情况敏感程度较低,同时误检率也相对较低。
上述例子表明该方法能够及时发现DNS查询中针对DNS服务器的DDoS攻击。将该算法应用到DNS查询流量的实时监测中,可以做到准实时的发现DNS异常从而能够及早采取应对措施。此外,结合使用错误查询类型或者源IP地址等其他属性的分布来计算熵,或是采用时间窗口划分流量等,可以进一步提高异常检测的准确率。
3)利用人工神经网络分类器检测DDoS攻击
针对DDoS攻击检测这样一个典型的入侵检测问题,可以转换为模式识别中的二元分类问题。利用人工神经网络分类器和DNS查询数据可以有效检测针对DNS名字服务器的DDoS攻击。通过分析DNS权威或者递归服务器的查询数据,针对DDoS攻击在日志中所表现出来的特性,提取出若干特征向量,这些特征向量用作分类器的输入向量。分类器选择使用多层感知器,属于神经网络中的多层前馈神经网络。人工神经网络在用于DDoS攻击检测时具有以下显着优点:
1、灵活性。能够处理不完整的、畸变的、甚至非线性数据。由于DDoS攻击是由许多攻击者联手实施的,因此以非线性的方式处理来自多个数据源的数据显得尤其重要;
2、处理速度。神经网络方法的这一固有优势使得入侵响应可以在被保护系统遭到毁灭性破坏之前发出,甚至对入侵行为进行预测;
3、学习性。该分类器的最大优点是能够通过学习总结各种攻击行为的特征,并能识别出与当前正常行为模式不匹配的各种行为。
由于多层感知器具有上述不可替代的优点,因此选择它作为分类器。分类器的输出分为“服务正常”和“遭受攻击”两个结果,这个结果直接反应出DNS服务器是否将要或者正在遭受DDoS攻击。如果检测结果是“遭受攻击”,则相关人员可以及时采取措施,避免攻击行为的进一步发展。
图5DDoS攻击检测
如图5所示,本检测方法主要分为特征提取、模型训练和线上分类三个阶段。在特征提取阶段,需要利用DNS查询数据中已有的信息,结合各种DNSDDoS攻击的特点,提取出对分类有用的特征。模型训练阶段是通过大量的特征数据,模拟出上百甚至上千的DDoS攻击序列,对多层感知器进行训练,多层感知器在训练过程中学习攻击行为的特征,增强识别率。线上分类属于应用阶段,利用软件实现将本方法部署在DNS权威或递归服务器上。通过实时读取DNS查询数据,并将经过提取的特征输入到多层感知器中,就可以快速地识别出本服务器是否将要或正在遭受DDoS攻击,以便采取进一步防范措施。
多层感知器分类的精确率,在很大程度上取决于作为输入的特征向量是否能够真正概括、体现出DDoS攻击的特征。本方法通过仔细分析各种DNSDDoS攻击,以分钟为时间粒度提取出八种能够单独或者联合反映出攻击的特征:
1、每秒钟DNS查询量。这个特征通过对每分钟查询量进行平均获得;
2、每分钟时间窗口内查询率的标准差。公式如下:
其中,n表示每分钟内查询数据中记录的秒数,Xi表示某一秒钟的查询量,m表示一分钟内每秒钟查询量的均值;
3、IP空间大小。表示一分钟内有多少个主机发出了DNS查询请求;
4、域名空间大小。表示一分钟内有多少域名被访问;
5、源端口设置为53的查询数量。由于某些针对DNS的DDoS攻击将源端口设置为53,因此对这一设置进行跟踪十分必要;
6、查询记录类型的熵的变化情况。公式如下:
其中n表示时间窗口内记录类型的种类数,Pi表示某种记录类型出现的概率,Xi表示某种记录类型。
7、设置递归查询的比例。由于某些DDoS攻击会通过将查询设置为递归查询来增大攻击效果,因此对这一设置进行跟踪十分必要;
8、域名的平均长度。由于某些DDoS攻击所查询的域名是由程序随机产生的,这必然在查询数据上引起域名平均长度的变化,因此对域名的平均长度进行跟踪也很有意义。
图6人工神经网络分类器的结构
神经网络分类器的大致结构如图6所示。如图中所示,本分类器分为三个层次,一个输入层,一个隐藏层,一个输出层。输入层包含八个单元,隐藏层包含20个单元,按照神经网络理论[3],隐藏层的单元数和输入层的单元数应满足以下关系:
H表示隐藏层单元数,N表示输入层单元数。输出层只含有一个单元,输出值包含两个:“1”表示“遭受攻击”,“0”表示“服务正常”。
本检测方法的关键技术点包括以下两个方面:
1、特征的抽取。这些特征必须能够充分、足够地反映DDos攻击发生时带来的查询状况的改变;
2、学习、分类方法。选取多层感知器作为分类器,设计调整了该分类器的具体结构和相关参数,并利用后向传播算法对分类器进行训练。通过将DDoS攻击检测问题转化为包含“服务正常”和“遭受攻击”两种类别的二元分类问题,能够有效地对DNSDDoS攻击进行实时检测。
G. 北京哪里比较好玩有没有推荐的地方
北京比较好玩的地方有大栅栏、卢沟桥、国子监街、烟袋斜街、明十三陵、北京古观象台、东坝古镇等,推荐去的地方有大栅栏、卢沟桥、国子监街、烟袋斜街、明十三陵。
1、大栅栏
大栅栏(Dàshílànr),是北京市前门外一条着名的商业街。现也泛指大栅栏街及廊房头条、粮食店街、煤市街在内的一个地片。
大栅栏地处古老北京中心地段,是南中轴线的一个重要组成部分,位于天安门广场以南,前门大街西侧,从东口至西口全长275米。自1420年(明朝永乐十八年)以来,经过500多年的沿革,逐渐发展成为店铺林立的商业街了。
2、卢沟桥
卢沟桥(Lugou Bridge)亦称芦沟桥,位于北京市丰台区永定河,因横跨卢沟河(即永定河)而得名,是北京市现存古老的石造联拱桥。
南宋淳熙十六年(1189年)六月,卢沟桥始建;1961年卢沟桥被公布为第一批国家重点文物保护单位; 1985年卢沟桥正式退役;1991年卢沟桥实现封闭管理。
5、明十三陵
明十三陵,世界文化遗产,全国重点文物保护单位,国家重点风景名胜区,国家AAAAA级旅游景区。共埋葬了十三位皇帝、二十三位皇后、二位太子、三十余名妃嫔、两位太监。截止2011年,已开放景点有长陵、定陵、昭陵、神路。
H. 如何检测网络数据丢包的现象(网络行家进)
1、同时按下键盘中的Win + R 组合快捷。
I. 常规在哪里
常规化验常指较为简单的化验或常用化验,是一类公认的常用化验项目组合,比如血常规化验、尿常规化验、脑脊液常规等。常规化验也可以是某些医院或科室自行组合的一类化验项目,比如“生化常规1组”、“生化常规2组”,“免疫化验常规”等。常规化验是在各级医院实验室中均能开展的较为普及、方便、实用、快速的检验内容。
三大常规化验特指血、尿、便三大常规检查。“常规”二字的英文为“routine”,常缩写为“RT”或“Rt”。因此血常规又可写为“血RT”或“血Rt”、尿常规又写为“尿RT”或“尿Rt”、便常规又写作“便RT”或“便Rt”,其他项目的常规化验也可用“Rt”或“RT”代替“常规”二字,如“精液RT”,“胸水RT”等。
1.血常规
是临床上最基础的化验检查之一,一般包括有红细胞(RBC),血红蛋白(Hb),白细胞(WBC)及白细胞分类计数,红细胞比容(HCT)及血小板(PL)。其中白细胞分类计数又包括中性杆状核粒细胞、中性分叶核粒细胞、嗜酸性粒细胞、嗜碱性粒细胞、淋巴细胞、单核细胞等。
2.尿常规
对尿液的物理、化学及形态学的检查。内容包括尿外观(颜色及透明度)、气味、比重、酸碱度、蛋白及糖定性试验、沉渣检查(显微镜检查)等项目。
3.便常规
包括检验粪便中有无红细胞和白细胞、细菌敏感试验、潜血试验以及查虫卵等。