前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的五言絕句主題范文,僅供參考,歡迎閱讀并收藏。
原文:荊溪白石出,天寒紅葉稀。 山路元無雨,空翠濕人衣。
譯文:荊溪潺湲流過白石粼粼顯露,天氣變得寒冷紅葉落落稀稀。彎曲的山路上原本沒有雨,但蒼翠的山色卻濃得仿佛就要潤濕了人的衣裳一樣。
解析:這幅由白石磷磷的小溪、鮮艷的紅葉和無邊的濃翠所組成的山中冬景,色澤斑斕鮮明,富于詩情畫意,毫無蕭瑟枯寂的情調(diào)。和作者某些專寫靜謐境界而不免帶有清冷虛無色彩的小詩比較,這一首所流露的感情與美學(xué)趣味都似乎要更健康一些。
(來源:文章屋網(wǎng) )
同學(xué)們、老師們:
大家中午好!今天我廣播的題目是:怎樣拒絕吸煙。
戒煙是人類的怪異行為之一。指染上煙癮的人,通過主動或被動的方法,可能是化學(xué)的、物理的、精神的、行為的,去除煙癮的行為。
在醫(yī)學(xué)上,煙癮的學(xué)名是尼古丁上癮癥或尼古本依賴癥,是指長期吸煙的人對煙草中所含主要物質(zhì)尼古丁產(chǎn)生上癮的癥狀,所以戒煙也叫戒除尼古丁依賴癥或戒除尼古丁上癮癥.
1987年11月,世界衛(wèi)生組織(WHO)在日本東京舉行的第6屆吸煙與健康國際會議上,建議把1988年4月7日,也就是世界衛(wèi)生組織成立40周年紀(jì)念日,作為世界無煙日,提出要吸煙還是要健康的口號。1989年,世界衛(wèi)生組織又把這一天改定在每年的5月31日。
目前我國吸煙現(xiàn)狀卻不容樂觀:煙民人數(shù)不斷增加,達(dá)3.2億人,煙民平均年齡在降低,女煙民及青少年吸煙的數(shù)量在不斷增加。
我國煙草生產(chǎn)和消費還居八個世界第一:烤煙種植面積世界第一;烤煙產(chǎn)量世界第一:烤煙增長速度世界第一;卷煙產(chǎn)銷量世界第一;卷煙增長速度世界第一;吸煙人數(shù)世界第一;吸煙人數(shù)增加數(shù)量世界第一;煙稅增長速度世界第一。 煙草業(yè)稅收占全國總稅收的10%。從經(jīng)濟(jì)學(xué)的分類來說,雖然政府從煙草中得到稅收,但是,煙草收入永遠(yuǎn)彌補不了因煙害而導(dǎo)致的疾病、早亡、病假工資、醫(yī)療費用等損失.
吸煙有害健康,這句話人人會講,但是,你可知道,吸煙危及生命的概率究竟達(dá)到了何種程度嗎?
戒煙后人體主要臟器發(fā)病率的變化
1、呼吸系統(tǒng): 吸煙者患肺癌的相對危險度是不吸煙者的10-15倍,而一個吸煙者戒煙10年后,他患肺癌的危險性將是繼續(xù)吸煙者的30%-50%。戒煙還可降低患肺炎、支氣管炎的危險性。吸煙是慢性阻塞性肺病(COPD)的主要原因,戒煙后,其隨著年齡增長而發(fā)生的肺功能下降的速度將接近于不吸煙者的情況。
2、循環(huán)系統(tǒng): 吸煙者死于冠心病的危險度是從不吸煙者的2倍。而吸煙者戒煙后一年之內(nèi),這種危險度就會降低50%。堅持戒煙15年后這種危險度就會接近于從不吸煙者的水平。
3、神經(jīng)系統(tǒng): 與不吸煙者相比,吸煙者死于腦卒中的相對危險度要高一倍。有些吸煙者在戒煙后5年內(nèi)就可把這種危險度降低到不吸煙者的水平,而有些人卻需要堅持15年才能收到這種效果,此外,戒煙能改善腦血流量。
4、孕婦吸煙 :使胎兒和嬰兒死亡率高250%,嬰兒出生時體重平均低于正常值200克。如果能在懷孕前就戒煙,她們所生出的嬰兒的體重將和從不吸煙的母親所生嬰兒體重基本相同。
5、 不會影響體重:有些人擔(dān)心自己體重會增加,但大量研究顯示,戒煙者體重平均增加只有2.3公斤。這個體重增加量對健康幾乎沒有任何影響。當(dāng)然也有極個別戒煙后、體重增加較多(超過9公斤)但戒煙出現(xiàn)這種情況的可能性只有4%。
吸煙為什么會上癮?
煙民往往都有煙癮,這主要是尼古丁長期作用的結(jié)果。尼古丁就像其他麻醉劑一樣,剛開始吸食時并不適應(yīng),會引起胸悶、惡心、頭暈等不適,但如果吸煙時間久了,血液中的尼古丁達(dá)到一定濃度,反復(fù)刺激大腦并使各器官產(chǎn)生對尼古丁的依賴性,此時煙癮就纏身了。若停止吸煙,會暫時出現(xiàn)煩躁、失眠、厭食等所謂的戒斷癥狀,加上很多吸煙者對煙草產(chǎn)生一種心理上的依賴,認(rèn)為吸煙可以提神、解悶、消除疲勞等,所以煙癮越來越大,欲罷不能。
其實煙草與吸食海洛因引起的成癮性不同,前者是完全可以戒掉的,關(guān)鍵要戒除心理上對煙草的依賴。這種心理依賴導(dǎo)致吸煙者的一種行為依賴,使得吸煙者感到戒煙困難甚大,無形中增加了戒煙的難度。
二手煙危害他人健康?
一個人吸煙似乎無關(guān)他人,其實不然,其家人正受到被動吸煙的危害。根據(jù)世界衛(wèi)生組織的定義,被動吸煙是指不吸煙者一周中有一天以上每天吸入吸煙者呼出的煙霧長于十五分鐘。中國71%的家庭、32.5%的公共場所和25%的工作場所,因有人吞云吐霧而成為被動吸煙場所。
戒煙為何戒不了?
有研究表明,吸煙者中有11.7%的人是復(fù)吸者,而且復(fù)吸者的肺部損傷程度較一直吸煙者為重,原因有多方面:復(fù)吸者較其他吸煙者更易成癮,復(fù)吸后其吸入香煙的數(shù)量更多,且每口煙的吸入程度更深,對身體的影響不言而喻。對于每一個吸煙者來說,在一些特定的危險情形下(當(dāng)周圍人吸煙、感到壓力大、心情煩躁、飲酒后)會更有吸煙的沖動,那么請盡量避免這些情況的發(fā)生,當(dāng)有吸煙沖動時做幾次緩慢的深呼吸或從事其他活動轉(zhuǎn)移注意力是個好方法。
戒煙后生活會變化嗎
如果您選擇戒煙,您將選擇告別咳嗽氣喘、煙灰異味、污濁空氣、皮膚衰老、疾病困擾讓我們看看您戒煙后生活發(fā)生了哪些變化:8小時后血液的氧合作用恢復(fù)正常,患心肌梗塞的風(fēng)險開始降低;24小時后口氣清新,肺開始排泄粘液和焦油,患呼吸道感染、支氣管炎和肺炎的風(fēng)險開始降低;48小時后血液中不再檢測出尼古丁;1周后味覺、嗅覺得以改善;39月后呼吸得以改善(咳嗽、氣喘減少),肺功能提高5%1年后患心臟病(如心肌梗塞)的風(fēng)險減半;5年后患腦中風(fēng)、口腔癌、食道癌、膀胱癌的風(fēng)險減半;10年后患肺癌的風(fēng)險減半,患腦血管突發(fā)事件(腦中風(fēng))的風(fēng)險與未吸煙者持平所以選擇了戒煙,你就選擇了一個健康清新的生活。
吸煙危及生命的概率是50%,戒煙等于自救。這是法國國家戒煙委員會和煙草預(yù)防辦公室在巴黎舉行的第30屆法國醫(yī)學(xué)沙龍上對所有吸煙者發(fā)出的警示和呼吁。
如果你在35歲前戒煙成功,那么你的預(yù)期壽命將和正常人一樣。
如何戒煙(一):
1.戒煙從現(xiàn)在開始,完全戒煙或逐漸減少吸煙次數(shù)的方法,通常3~4個月就可以成功。
2.丟掉所有的香煙、打火機(jī)、火柴和煙灰缸。
3.避免參與往常習(xí)慣吸煙的場所或活動。
4.餐后喝水、吃水果或散步,擺脫飯后一支煙的想法。
5.煙癮來時,要立即做深呼吸活動,或咀嚼無糖分的口香糖,避免用零食代替香煙,否則會引起血糖升高,身體過胖。
6.堅決拒絕香煙的引誘,經(jīng)常提醒自己,再吸一支煙足以令戒煙的計劃前功盡棄。
如何度過戒煙最難熬的前5天?提供以下七項戒煙方法(二):
(l)兩餐之間喝6-8杯水,促使尼古丁排出體外。
(2)每天洗溫水浴,忍不住煙癮時可立即淋裕
(3)在戒煙的5日當(dāng)中要充分休息,生活要有規(guī)律。
(4)飯后到戶外散步,做深呼吸1530分鐘。
(5)不可喝刺激性飲料,改喝牛奶、新鮮果汁和谷類飲料。
(6)要盡量避免吃家禽類食物、油炸食物、糖果和甜點。
(7)可吃多種維生素B群,能安定神經(jīng)除掉尼古丁
醫(yī)師指出,過了最初五天可按照下列方法保持戒煙戰(zhàn)果
(1)飯后刷牙或漱口,穿干凈沒煙味的衣服。
(2)用鋼筆或鉛筆取代手持香煙的習(xí)慣動作。
(3)將大部分時間花在圖書館或其它不準(zhǔn)抽煙的地方。
(4)避免到酒吧和參加宴會,避免與煙癮很重的人在一起。
(5)將不抽煙省下的錢給自己買一項禮物。
(6)準(zhǔn)備在23周戒除想抽煙的習(xí)慣。
一二兩者結(jié)合戒煙沒問題,重要是有恒心,呵呵。
另外還有戒煙門診,覆蓋人群有限,可看看介紹:
吸煙者戒煙要經(jīng)歷幾個階段:考慮前,考慮戒煙,準(zhǔn)備戒煙,采取戒煙行動,維持戒煙狀態(tài)或復(fù)吸。許多人在徹底戒煙之前可能會反復(fù)重復(fù)以上過程,但也有一些人反映他們發(fā)現(xiàn)戒煙比想象的要容易。不同的階段需要不同的建議和處理。
關(guān)鍵詞:分布式拒絕服務(wù);拒絕服務(wù);預(yù)防機(jī)制;過濾
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2012)24-5777-03
Research on the Prevention of DDoS Attack
TANG Li-juan, SUN Ke-zhen
(Nantong Commercial Vocational College, Nantong 226000,China)
Abstract:Distributed denial of service attack is very popular in the current network, because it was difficult to defense. The best way to prevent any attack, use effective DDoS prevention mechanism to prevent the system from attack before the attack, so the study on the effec tive prevention method of DDoS attack is very important. A comprehensive study on DDoS prevention mechanism , and analyzes each kind of defense mechanism characteristic, users can in accordance with the actual configuration, select a suitable system of DDoS preven? tion mechanism.
Key words:DDoS;DOS;prevention technology;filtering
DDoS攻擊的巨大危害性,引起了全世界的高度重視,黑客采用DDoS攻擊成功地攻擊了幾個著名的網(wǎng)站,包括雅虎、微軟以及SCO、、ebuy、、、ZDNet、等國內(nèi)外知名網(wǎng)站,致使網(wǎng)絡(luò)中斷數(shù)小時,造成的經(jīng)濟(jì)損失到數(shù)百萬美元。由于其巨大的危害性,引起了人們的高度重視,科研機(jī)構(gòu)、大學(xué)以及國內(nèi)外的一些大公司紛紛對DDoS攻擊的防御展開了深入的研究。
1 DDoS攻擊的預(yù)防機(jī)制
預(yù)防任何攻擊的最好方法是完全阻止攻擊的發(fā)起,常用的DDoS攻擊的預(yù)防機(jī)制如表1所示,下面分析每種機(jī)制的實現(xiàn)原理及特點。
1.1過濾機(jī)制
早期對DDoS攻擊的預(yù)防主要通過過濾機(jī)制來實現(xiàn),過濾機(jī)制可以分為輸入過濾、輸出過濾、基于路由器的包過濾、基于歷史IP地址的過濾和SOS過濾。
1.1.1輸入過濾
DDoS攻擊一般通過偽IP地址的數(shù)據(jù)包發(fā)動攻擊,如果能夠防止攻擊者偽造IP地址,那么DDoS攻擊就不會像現(xiàn)在這么猖獗。輸入過濾就提供了解決偽IP地址的方法。輸入過濾通過路由建立存儲IP地址的方法,例如不接受具有非法的源地址的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)。由Ferguson和Senie提出的輸入過濾[1],通過限制連接來降低在路由器的入口處的IP地址和域前綴不匹配的流量。如果所有的域都用上的話,這種機(jī)制能夠明顯的降低DoS攻擊。當(dāng)用C. Perkins提出的移動IP[2]來連接移動節(jié)點和外部網(wǎng)絡(luò)時,該輸入過濾有時誤將合法的數(shù)據(jù)包丟掉。
輸入過濾存在著一些不足:首先不能防止攻擊者偽造IP地址為同一網(wǎng)段內(nèi)的其他IP地址;其次輸入過濾可能會影響到一些動態(tài)的網(wǎng)絡(luò)應(yīng)用服務(wù);最后,如果想讓輸入過濾機(jī)制真正起到預(yù)防DDoS攻擊的效果,就必須在整個網(wǎng)絡(luò)中全局部署,起碼現(xiàn)在這樣部署是不可能的,因為這需要和ISP進(jìn)行合作,而且會影響到某些動態(tài)網(wǎng)絡(luò)服務(wù)的運行,同時增加系統(tǒng)管理員的負(fù)擔(dān)和路由器的負(fù)載。
1.1.2輸出過濾
輸出過濾[3]是外部過濾,它保證了只有分配或指定的IP地址可以訪問網(wǎng)絡(luò)資源。除了配置問題,輸出過濾和輸入過濾類似。
1.1.3基于路由器的包過濾
由Park和Lee[4]提出的基于路由的包過濾,其實現(xiàn)原理是邊界路由器根據(jù)路由信息來判斷接收到的數(shù)據(jù)包中的源IP地址以及目的地址是否合法,若不合法則過濾掉該數(shù)據(jù)包。這種方法能夠過濾出大量的偽源IP地址的數(shù)據(jù)包,從而阻止這些偽IP地址的數(shù)據(jù)包發(fā)動攻擊,該方法也可以用來幫助IP追蹤?;诼酚蛇^濾的最大優(yōu)點是可以進(jìn)行增量配置(據(jù)調(diào)查報告顯示,部署只需占18%的自治系統(tǒng)AS拓?fù)渚涂梢苑乐箓蜪P地址的數(shù)據(jù)包流向其它AS),不像輸入過濾那樣必須全局部署才起到作用。更重要的是,在Inter? net上的路由信息是根據(jù)時間來改變的,這樣基于路由的過濾器就具有實時更新的功能。這種方法的主要缺點是它需要事先知道全局的網(wǎng)絡(luò)連接和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),這樣測量方面存在困難。
1.1.4基于歷史IP地址的過濾
由Peng等提出了基于歷史IP地址的過濾[5],該過濾機(jī)制是從另一個技術(shù)角度來阻止DDoS攻擊。這種方法的實現(xiàn)思想的是,邊路由器根據(jù)已經(jīng)建立的IP地址數(shù)據(jù)庫來允許請求的數(shù)據(jù)包通過,而IP地址數(shù)據(jù)庫是根據(jù)邊路由器以前連接的歷史而建立的,這種防御機(jī)制很健壯,因為它不需要和ISP進(jìn)行合作,而且可以適用于很多數(shù)據(jù)流類型,需要的配置也少。然而,若攻擊者知道IP包過濾器是基于先前連接建立的,它們可以誤導(dǎo)服務(wù)器使它包括在IP地址數(shù)據(jù)庫中。
1.1.5安全覆蓋服務(wù)
安全覆蓋服務(wù)[6]是一種體系結(jié)構(gòu),在這種體系結(jié)構(gòu)中包是來自小數(shù)量的叫做Servlets的節(jié)點,并假設(shè)這些合法的客戶端流量通過基于Hash路由的覆蓋網(wǎng)絡(luò)就能夠到達(dá)servlets節(jié)點,而其它的請求由覆蓋網(wǎng)絡(luò)來過濾。為了訪問覆蓋網(wǎng)絡(luò),客戶端必須復(fù)制其中的一個訪問要點對自己進(jìn)行鑒別。SOS以修改客戶端系統(tǒng)為代價,對特定的目標(biāo)起到很好的防御作用,因此它不適合用來保護(hù)公共服務(wù)器。
1.2其它有效的DDoS預(yù)防技術(shù)1.2.1關(guān)閉不用的服務(wù)
關(guān)閉不用的服務(wù)是另一種對付DDoS攻擊的方法。如果網(wǎng)絡(luò)中用不到UDP回應(yīng)包或者是特征產(chǎn)生器服務(wù),那我們可以關(guān)閉這些功能,這樣有利于防御DDoS攻擊。通常地,如果我們關(guān)閉網(wǎng)絡(luò)服務(wù)中用不到的功能,相應(yīng)服務(wù)的系統(tǒng)漏洞就不會出現(xiàn),那么提供給攻擊者的攻擊漏洞就會少很多,這樣有利于系統(tǒng)預(yù)防攻擊。
1.2.2安裝安全補丁
通過安裝安全補丁,也能夠保護(hù)主機(jī)免受DDoS攻擊。我們可以通過在網(wǎng)絡(luò)服務(wù)系統(tǒng)的主機(jī)上安裝最新的安全補丁,這樣提供給攻擊者可用的漏洞就會少很多,再結(jié)合當(dāng)前最有效的防御技術(shù),可以大大降低DDoS攻擊造成的影響。
1.2.3變換IP地址(Changing IP Address)
變換IP地址的防御思想,是通過用新的IP地址來代替受害者計算機(jī)的當(dāng)前IP地址從而使得當(dāng)前的IP地址無效,這樣就轉(zhuǎn)移了目標(biāo)。一旦受害主機(jī)的IP地址變更完成,將通知所有的Internet上的路由器,邊路由器收到通知后立刻丟掉攻擊包。利用該方案,盡管攻擊者可以向新的IP地址發(fā)起攻擊,但是這種基于變換IP地址的方法對局部的DDoS攻擊是可行的。這種方法的缺點是,攻擊者可以通過對DDoS攻擊工具增加域名服務(wù)跟蹤的功能,從而使得該方案無效。
1.2.4關(guān)閉IP廣播
通過關(guān)閉IP廣播功能,ICMP洪水攻擊和Smurf攻擊中主服務(wù)器就不會被用作攻擊放大器,從而使攻擊者無法發(fā)起大規(guī)模的攻擊。然而,要使這種防御機(jī)制有效,必須要求所有鄰近網(wǎng)段全部關(guān)閉IP廣播功能。
1.2.5負(fù)載平衡
負(fù)載平衡技術(shù)也是一種防御DDoS攻擊的有效方案,網(wǎng)絡(luò)提供者通過在關(guān)鍵線路增加網(wǎng)絡(luò)帶寬,以防止他們在受到攻擊時網(wǎng)絡(luò)癱瘓。而且在多層服務(wù)器架構(gòu)中,使用負(fù)載均衡是非常有必要的,不僅可以改善常規(guī)的服務(wù),而且對DDoS攻擊的預(yù)防和緩解也起到很大的作用。
1.2.6蜜罐技術(shù)
蜜罐技術(shù)是近幾年發(fā)展起來的,一種基于誘騙理論主動防御的網(wǎng)絡(luò)安全技術(shù)。蜜罐系統(tǒng)不是真正的系統(tǒng),它使用有限的安全策略欺騙攻擊者來攻擊蜜罐。蜜罐不僅可以用在防護(hù)系統(tǒng)中,而且可以用它們存儲攻擊活動的記錄和知道攻擊者攻擊的類型以及攻擊者用的是什么軟件工具進(jìn)行的攻擊,從而來獲得關(guān)于攻擊者的信息。當(dāng)前的研究討論用蜜罐來模仿合法網(wǎng)絡(luò)工作的各個方面(例如Web服務(wù)器,郵件服務(wù)器,客戶端等)來吸引潛在的DDoS攻擊者。這種思想是引誘攻擊者相信,它找到了可用的系統(tǒng)(如蜜罐)來作為合作伙伴進(jìn)行攻擊,并且吸引它在蜜罐上面安裝操縱端或者端的代碼。這樣就會防止一些合法的系統(tǒng)受到利用,跟蹤操縱者或者端,這樣可以更好的了解如何防御以后的DDoS攻擊的配置。故相對于入侵檢測、防火墻等傳統(tǒng)的安全防御技術(shù),蜜罐技術(shù)可使在防御DDoS攻擊中變被動為主動,從而有效的預(yù)防DDoS攻擊的發(fā)生。
蜜罐按照其與入侵者交互程度可劃分為低交互和高交互蜜罐,交互度反映了攻擊者在蜜罐上進(jìn)行攻擊活動的自由度。低交互蜜罐一般僅僅模擬操作系統(tǒng)和網(wǎng)絡(luò)服務(wù),入侵者不可能得到真正系統(tǒng)的訪問權(quán)限,而高交互蜜罐具有一個真實的操作系統(tǒng),它對攻擊者提供真實的系統(tǒng),所以危險性比較大。在預(yù)防實施時,可以通過在受害者增加一臺高性能的專用機(jī)器和一個蜜罐子網(wǎng),當(dāng)檢測模塊檢測到系統(tǒng)遭到DDoS攻擊時,將數(shù)據(jù)流遷移到專用機(jī)器上,將請求用戶的IP地址與IP表中的用戶對照(這里的IP表和緩解模塊中的IP表可以共用),不在IP表中的用戶將牽引到蜜罐子網(wǎng),而在IP表中的用戶將繼續(xù)訪問真實的系統(tǒng),這樣不影響VIP用戶的正常訪問。蜜罐主機(jī)系統(tǒng)記錄攻擊的行為,并將這些信息保存到日志文件中,日志文件可以存放在受害者主機(jī),但要求有嚴(yán)格的訪問權(quán)限,受害者可以通過這些日志信息,通知追蹤模塊,重構(gòu)出攻擊路徑。
2結(jié)論
對DDoS的預(yù)防機(jī)制進(jìn)行了全面的研究,并分析了每種防御機(jī)制的特點,用戶可根據(jù)系統(tǒng)的實際配置,選擇適合自身系統(tǒng)的DDoS預(yù)防機(jī)制。預(yù)防機(jī)制增強(qiáng)了系統(tǒng)的安全,但是它不能夠完全移除DDoS攻擊的威脅,因為預(yù)防的措施都是針對已存在的DDoS攻擊類型,對新類型的攻擊總是存在缺陷,因為這些新類型的DDoS攻擊的認(rèn)證和補丁還沒有存儲在數(shù)據(jù)庫中,因此要結(jié)合攻擊的檢測、追蹤和響應(yīng)等措施,以保證系統(tǒng)的安全。
參考文獻(xiàn):
[1] P. Ferguson,D. Senie,Network ingress filtering:defeating Denial of Service attacks which employ IP source address spoofing,RFC 2827[R], 2001.
[2] C. Perkins,IP mobility support for IPv4,IETF RFC 3344[R],2002.
[3] Global Incident analysis Center Special Notice Egress filtering[C]/y2k/egress.
[4] K. Park.On the effectiveness of route-based packet filter for Distributed DoS attack prevention in powerlaw Internets [C].New York, 2001: 15-26.
【摘 要】本文針對拒絕服務(wù)攻擊中的SYN/Flooding攻擊,提出了采用一種利用計時位,進(jìn)行FIFO(先進(jìn)先出)替換法的策略研究。采用Linux平臺,通過模擬攻擊實驗驗證該方法的防御效果。
【關(guān)鍵詞】拒絕服務(wù)攻擊;SYN/Flooding;FIFO(先進(jìn)先出)
在網(wǎng)絡(luò)攻擊技術(shù)中,拒絕服務(wù)攻擊是常用的一種,它是一種遍布全球的系統(tǒng)漏洞,這種攻擊主要是用來攻擊域名服務(wù)器、路由器以及其它網(wǎng)絡(luò)操作服務(wù),使被攻擊者無法正常的服務(wù),這是一類危害極大的攻擊方式,嚴(yán)重的時候可以導(dǎo)致一個網(wǎng)絡(luò)癱瘓。本文模擬了一種SYN/Flooding攻擊實驗并提出了一種FIFO(先進(jìn)先出)淘汰法的對策研究。
一、方案設(shè)計
1.攻擊實驗。本實驗起用了兩臺Linux主機(jī)作為攻擊工作站。為了檢驗啟用防御方法的有效性,首先做了一個攻擊實驗:一臺Linux主機(jī)作為攻擊目標(biāo),另一臺主機(jī)作為攻擊方。具體操作如下:用netstat -na命令觀察服務(wù)器在沒受攻擊情況下的狀況。用編譯好的syn攻擊程序在攻擊方主機(jī)上運行,攻擊linux主機(jī),并偽裝一個攻擊主機(jī)IP地址為202.115.1.1,在被攻擊方Linux主機(jī)上用netstat-na命令觀察。將結(jié)果比較,在正常情況下,其連接狀態(tài)一般處于ESTABLISHED ,而在系統(tǒng)受到攻擊時,發(fā)現(xiàn)收到很多來自IP地址為202.115.1.1的連接請求,其狀態(tài)處于SYN_RECV,占用了很大的空間,說明受到了syn/flooding攻擊。
2.對策研究。(1)加大工作站的backlog長度,這樣可以延長隊列被占滿的時間。在Linux系統(tǒng)下,為了能方便有效的比較改變隊列長度前后的不同,先把被攻擊的Linux主機(jī)的隊列改小一些,設(shè)置成長度為16。通過下面的語句來實行:echo 16>/proc/sys/net/ipv4/tcp_max_syn_backlog,在改變了系統(tǒng)的backlog隊列參數(shù)后,在主機(jī)上運行syn攻擊程序來進(jìn)行一組攻擊實驗。首先偽裝IP地址為202.115.1.3,同樣使用netstat -na命令,觀察被攻擊方的工作狀態(tài)。結(jié)果發(fā)現(xiàn)緩沖隊列很快就被填滿,通過連接被攻擊的端口,此時已經(jīng)連接不上了,這說明此端口已經(jīng)癱瘓掉。接下來執(zhí)行第二步工作,加大backlog隊列的長度,例如設(shè)置其值為2048,同樣使用下面的命令:echo2048>/proc/sys/net/ipv4/tcp_max_syn_backlog,再利用攻擊程序來看看改變參數(shù)后的情況。這次采用偽IP地址為202.115.1.2,使用netstat-na命令查看攻擊情況,觀察到比加大緩沖隊列以前的連接請求容許數(shù)量增多。這時連接被攻擊端口,發(fā)現(xiàn)被攻擊工作站還是可以連接上,加大緩沖隊列后端口并沒有癱瘓,說明加大隊列的長度相對提高了抗攻擊能力。(2)查找計時位,進(jìn)行FIFO替換:由于緩存隊列中自身帶有對收到的每個連接請求設(shè)置的計時位,以便在超時后刪除此項?,F(xiàn)在利用這一超時計時位,當(dāng)backlog隊列滿而又有新的連接請求到達(dá)時,查找隊列中各項的計時位并進(jìn)行比較,將新到達(dá)的連接請求替換計時位最大的項,達(dá)到服務(wù)器總不拒絕新的連接請求。此項步驟總的流程如下:當(dāng)新的syn請求來到時,首先查看緩存隊列是否已滿,若未滿,按照正常情況加入隊列中保存下來,轉(zhuǎn)到步驟3。若緩存已滿,查找隊列中時間最大的項,用新的syn請求替換它。查找方法如圖1所示。
注:Timemax為隊列中最大時間值,Timequeue[i]是backlog隊列中第i項的時間值,Lengthqueue為backlog隊列的最大長度。返回的i既為查找的緩存隊列中時間最大的項。我們就用新的請求替換第i項。(3)新的連接請求入緩沖隊列以后,按照原來的TCP/IP協(xié)議棧三次握手原則進(jìn)行syn請求連接。
二、實驗分析
該方法的優(yōu)點是不管受到怎樣高強(qiáng)度的SYN/Flooding攻擊,系統(tǒng)總不拒絕新來的連接請求,可以滿足高速的合法用戶請求連接,就不會因為不能接收請求而癱瘓,這種思想彌補了傳統(tǒng)防范技術(shù)的不足。但加大backlog隊列,替換backlog隊列中時間最長的請求,也導(dǎo)致一些缺陷:一是消耗了系統(tǒng)資源;二是可能替換了合法的用戶請求。
參 考 文 獻(xiàn)
[1]Eric Cole.黑客——攻擊透析與防范[M].電子工業(yè)出版社
[2]張小斌.嚴(yán)望佳.黑客分析與防范技術(shù)[M].清華大學(xué)出版社
【關(guān)鍵詞】數(shù)據(jù)倉庫 數(shù)據(jù)挖掘 電子商務(wù)
隨著科學(xué)技術(shù)的不斷進(jìn)步,計算機(jī)互聯(lián)網(wǎng)技術(shù)日趨成熟,并且在人們的日常生產(chǎn)生活中得到了廣泛地應(yīng)用。計算機(jī)互聯(lián)網(wǎng)技術(shù)的發(fā)展,促進(jìn)了電子商務(wù)的發(fā)展,電子商務(wù)對當(dāng)下商品經(jīng)濟(jì)產(chǎn)生了巨大的沖擊。電子商務(wù)發(fā)展過程中,涉及到了數(shù)據(jù)倉庫和數(shù)據(jù)挖掘技術(shù),如何有效應(yīng)用數(shù)據(jù)倉庫和數(shù)據(jù)挖掘技術(shù),有利于使企業(yè)明確社會經(jīng)濟(jì)發(fā)展情況,并對消費者的消費心理進(jìn)行有效把握,從而更好地實現(xiàn)企業(yè)的經(jīng)濟(jì)效益。本文對這一問題的研究,注重分析了數(shù)據(jù)倉庫與數(shù)據(jù)挖掘的重要作用,如何將數(shù)據(jù)信息進(jìn)行轉(zhuǎn)化,為企業(yè)生產(chǎn)經(jīng)營決策提供有效依據(jù),提升企業(yè)市場競爭實力,是本文探究的一個重要問題。
1 數(shù)據(jù)倉庫與數(shù)據(jù)挖掘概念分析
1.1 數(shù)據(jù)倉庫概念
數(shù)據(jù)倉庫主要是指企業(yè)發(fā)展過程中,用于自身經(jīng)營決策的數(shù)據(jù)集,對企業(yè)未來發(fā)展,具有指導(dǎo)性意義的數(shù)據(jù)信息倉庫。數(shù)據(jù)倉庫具有分析性作用,能夠?qū)ι鐣?jīng)濟(jì)發(fā)展現(xiàn)狀進(jìn)行有效分析,提升企業(yè)經(jīng)濟(jì)決策的準(zhǔn)確性。數(shù)據(jù)倉庫具有面向主題、集成化、非違約性、時變性等特征。
1.2 數(shù)據(jù)挖掘概念
數(shù)據(jù)挖掘是指立足于開放性的互聯(lián)網(wǎng)信息環(huán)境背景,對潛在的信息進(jìn)行挖掘,可以更好地把握社會經(jīng)濟(jì)發(fā)展形勢,具有較強(qiáng)的規(guī)律性。數(shù)據(jù)挖掘注重對潛在信息的把握,具有較強(qiáng)的預(yù)見性特征。
數(shù)據(jù)挖掘和數(shù)據(jù)倉庫具有協(xié)作性特征,可以更好地為企業(yè)決策提供必要信息,幫助企業(yè)正確的進(jìn)行經(jīng)濟(jì)決策,使企業(yè)在未來發(fā)展過程中,更好地獲取經(jīng)濟(jì)效益。數(shù)據(jù)挖掘和數(shù)據(jù)倉庫是信息化時代背景的產(chǎn)物,是電子商務(wù)發(fā)展的重要推動力,這兩項技術(shù)在當(dāng)下電商發(fā)展過程中,得到了較為廣泛地應(yīng)用。
2 電子商務(wù)概念分析
電子商務(wù)是基于信息技術(shù)發(fā)展過程中,一種新的商品經(jīng)濟(jì)發(fā)展形勢,注重利用互聯(lián)網(wǎng)信息技術(shù),實現(xiàn)網(wǎng)絡(luò)營銷。這種商業(yè)發(fā)展模式,具有龐大的覆蓋范圍,以企業(yè)――企業(yè)、企業(yè)――消費者的經(jīng)營模式為主,更好地促進(jìn)了商品經(jīng)濟(jì)的發(fā)展和進(jìn)步。除此之外,電子商務(wù)發(fā)展過程中,個人也可以獲取較大的經(jīng)濟(jì)利益,主要通過網(wǎng)上開店的形式,消費者利用網(wǎng)上購物,通過第三方支付手段,獲取經(jīng)濟(jì)效益。
3 數(shù)據(jù)倉庫與數(shù)據(jù)挖掘在電子商務(wù)中應(yīng)用研究
3.1 控制商品庫存
在電子商務(wù)發(fā)展過程中,產(chǎn)品的庫存控制,對于企業(yè)實現(xiàn)經(jīng)濟(jì)效益,節(jié)約成本來說,具有十分重要的意義。例如在利用數(shù)據(jù)倉庫和數(shù)據(jù)挖掘時,得知某種產(chǎn)品將會獲得更好地銷售機(jī)遇,提升這種商品的庫存,可以幫助企業(yè)或是個人獲取更大的經(jīng)濟(jì)效益。同樣地,若是某種商品可能會出現(xiàn)降價或是滯銷的情況,提前進(jìn)行庫存清理,可以幫助商家降低損失,或是幫助商家盡早實現(xiàn)經(jīng)濟(jì)效益。
3.2 實現(xiàn)對客戶的有效把握
電子商務(wù)發(fā)展過程中,如何把握住客戶,抓住客戶消費心理,培養(yǎng)更多的忠實客戶,是電子商務(wù)商家必須考慮的一個重要問題。據(jù)相關(guān)數(shù)據(jù)調(diào)查顯示,80%以上的在線消費沒有對客戶進(jìn)行跟蹤;95%以上的在線交易沒有為客戶提供針對性的服務(wù);75%的在線交易無法識別“回頭客”。這樣一來,商家想要把握住客戶,將其培養(yǎng)成自身的忠實客戶,根本無從談起??蛻羰瞧髽I(yè)實現(xiàn)自身經(jīng)濟(jì)效益的根本前提,利用數(shù)據(jù)倉庫與數(shù)據(jù)挖掘,可以對客戶交易信息進(jìn)行有效存儲和把握,根據(jù)客戶的需求情況,進(jìn)行商品生產(chǎn),抓住客戶的消費心理,有利于商家更好地實現(xiàn)經(jīng)濟(jì)效益。在實際應(yīng)用過程中,數(shù)據(jù)倉庫能夠更好地為客戶提供拓展服務(wù),客戶可以根據(jù)數(shù)據(jù)倉庫,選擇自己所需產(chǎn)品;數(shù)據(jù)挖掘根據(jù)客戶瀏覽信息進(jìn)行有效分析,發(fā)掘客戶潛在的消費意識,對客戶的理解程度越深,越有利于商家生產(chǎn)適銷對路的產(chǎn)品。
3.3 提供優(yōu)質(zhì)化服務(wù)
隨著社會經(jīng)濟(jì)的發(fā)展,市場競爭越發(fā)激勵,企業(yè)在發(fā)展過程中,生產(chǎn)能力的提升,使服務(wù)品質(zhì)以及服務(wù)質(zhì)量成為把握客戶的重要衡量標(biāo)準(zhǔn)。如何提升服務(wù)質(zhì)量,是提高客戶忠誠度的關(guān)鍵。數(shù)據(jù)倉庫與數(shù)據(jù)挖掘在電子商務(wù)中的應(yīng)用,對于提升服務(wù)質(zhì)量來說,具有十分重要的意義。例如客戶在進(jìn)行信息瀏覽過程中,會對自身喜愛的東西進(jìn)行收藏,并根據(jù)自身的需求,從收藏中的商品中進(jìn)行選擇。利用數(shù)據(jù)挖掘技術(shù)發(fā)掘客戶信息,我們可以看出,客戶在選擇商品過程中,往往會根據(jù)自身喜好選擇多種同類型或是相近似的商品,通過比較商家的服務(wù)、價格,最終確立自己的選擇。數(shù)據(jù)倉庫將客戶信息進(jìn)行存儲,利用數(shù)據(jù)挖掘,商家可以更好地了解到客戶的消費心理,這樣一來,才進(jìn)行商品銷售過程中,根據(jù)客戶的實際需要進(jìn)行服務(wù),將在很大程度上提升成交幾率。
3.4 提供必要的決策信息
數(shù)據(jù)倉庫可以對客戶的消費情況、消費信息進(jìn)行集中儲存;數(shù)據(jù)挖掘技術(shù)可以根據(jù)客戶消費情況,為企業(yè)進(jìn)行經(jīng)濟(jì)決策提供必要的信息,根據(jù)這些信息,企業(yè)進(jìn)行經(jīng)濟(jì)決策時,將具有更高的可靠性。全方位的決策信息支持,將更好地促進(jìn)企業(yè)生產(chǎn)發(fā)展,實現(xiàn)商家銷售量的大幅度提升。
4 結(jié)束語
數(shù)據(jù)倉庫和數(shù)據(jù)挖掘能夠?qū)蛻粝M信息進(jìn)行有效把握,為企業(yè)或是商家實現(xiàn)經(jīng)濟(jì)效益提供重要的信息依據(jù),提升決策信息的準(zhǔn)確性,幫助企業(yè)生產(chǎn)出適銷對路的產(chǎn)品,幫助商家獲取更大的利潤空間。因此,電子商務(wù)發(fā)展過程中,必須要注重對數(shù)據(jù)倉庫和數(shù)據(jù)挖掘技術(shù)的有效把握,以此實現(xiàn)電子商務(wù)的長足發(fā)展和進(jìn)步。
參考文獻(xiàn)
[1]段曉華.數(shù)據(jù)挖掘技術(shù)在電子商務(wù)客戶關(guān)系管理中的應(yīng)用研究[J].湖南文理學(xué)院學(xué)報(自然科學(xué)版),2010,02:90-94.
[2]吳金炎.數(shù)據(jù)挖掘與數(shù)據(jù)倉庫技術(shù)在電子商務(wù)中的應(yīng)用綜述[J].福建教育學(xué)院學(xué)報,2010,04:126-128.
[3]龐英智.Web數(shù)據(jù)挖掘技術(shù)在電子商務(wù)中的應(yīng)用[J].情報科學(xué),2011,02:235-240.
【關(guān)鍵詞】:linux;防御拒絕;服務(wù)系統(tǒng)
中圖分類號:C932 文獻(xiàn)標(biāo)識碼: A
1、前言
防火墻主動防御技術(shù)體系作為網(wǎng)絡(luò)安全領(lǐng)域的一個重要分支,越來越受到業(yè)界關(guān)注。目前,基于給予各種操作系統(tǒng)的防火墻大多采用被動防御技術(shù),如特征匹配、手動更新、流量控制、訪問控制等。但是它們在抵御拒絕服務(wù)攻擊方面,有太多的不足之處。針對于此,本文以下內(nèi)容將對基于linux防御拒絕服務(wù)系統(tǒng)的研究與實現(xiàn)進(jìn)行分析和探討,以供參考。
2、linux內(nèi)核防火墻分析
Linux平臺為用戶提供了構(gòu)建防火墻的框架,用戶在此框架上構(gòu)建符合需要的防火墻。為了使防火墻更加安全、效率更高、更充分利用內(nèi)核已有功能,需要深入分析內(nèi)核源代碼,提煉出重要數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)處理流程,全面掌握Linux內(nèi)核的防火墻框架的實現(xiàn)機(jī)制。
2.1,什么是netfilter
netfilter提供了一個抽象、通用化的框架,該框架定義的一個子功能的實
現(xiàn)就是包過濾子系統(tǒng)。netfilter比以前任何一版Linux內(nèi)核的防火墻子系統(tǒng)都要完善強(qiáng)大,架設(shè)一個防火墻或者偽裝網(wǎng)關(guān)只是netfilter功能的一部分。
2.2, netfilter的總體結(jié)構(gòu)
網(wǎng)絡(luò)數(shù)據(jù)按照來源和去向,可以分為三類:流入的、流經(jīng)的和流出的,其中
流入和流經(jīng)的數(shù)據(jù)需要經(jīng)過路由才能區(qū)分,而流經(jīng)和流出的數(shù)據(jù)則需要經(jīng)過投
遞。netfilter是Linux2.4以后版本內(nèi)核提供的防火墻內(nèi)核級框架,IPv4協(xié)議棧為了實現(xiàn)對netfilter架構(gòu)的支持,在IP packet在IPv4協(xié)議棧上的游歷路線之中,仔細(xì)選擇了五個參考點。在這五個參考點上,各引入了一行對NF- HOOK()宏函數(shù)的一個相應(yīng)的調(diào)用。
數(shù)據(jù)包從左邊進(jìn)入系統(tǒng),校檢IP,由NF-IP-PRE-ROUTING鉤子函數(shù)進(jìn)行處理。然后路由判斷,看數(shù)據(jù)包是轉(zhuǎn)發(fā)還是進(jìn)入本機(jī)。如是轉(zhuǎn)發(fā),則進(jìn)入NF-IP -PORWARD鉤子處理,否則進(jìn)入NF IP LOC虬IN鉤子處理,并在處理后傳給上層協(xié)議。本地產(chǎn)生的數(shù)據(jù)包先經(jīng)過NF-IP-LOCAL-0UT鉤子處理,再進(jìn)行路由判斷,決定是否發(fā)至外網(wǎng)。所有外發(fā)包都要經(jīng)過NF-IP-POST-ROUTING處理,然后再發(fā)至外網(wǎng)。
內(nèi)核模塊可以對一個或多個這樣的鉤子函數(shù)進(jìn)行注冊掛接,并在數(shù)據(jù)包經(jīng)過這些鉤子函數(shù)是被調(diào)用。這樣模塊就可以修改數(shù)據(jù)包,并向netfitter返回所需數(shù)據(jù)。
3、主動防御拒絕服務(wù)系統(tǒng)的設(shè)計與實現(xiàn)
3.1,基于Linux內(nèi)核的透明防火墻
通常一個防火墻像一個路由器一樣工作:內(nèi)部系統(tǒng)被設(shè)置為將防火墻看作是通向外部網(wǎng)絡(luò)的網(wǎng)關(guān),并且外部的路由器被設(shè)置為將防火墻看作是連往內(nèi)部被保護(hù)的網(wǎng)絡(luò)的網(wǎng)關(guān)。而一個網(wǎng)橋則是一個聯(lián)結(jié)一個或多個網(wǎng)段的設(shè)備,在各個網(wǎng)段之間轉(zhuǎn)發(fā)數(shù)據(jù),而網(wǎng)絡(luò)中其他設(shè)備并不會感覺到存在一個網(wǎng)橋。換句話說,一個路由器將兩個網(wǎng)絡(luò)連接在一起,在兩者之間傳輸數(shù)據(jù);一個網(wǎng)橋則更像一段網(wǎng)線,將一個網(wǎng)絡(luò)的兩個部分連接在一起。一個透明防火墻則像網(wǎng)橋一樣工作,而不被兩端設(shè)備發(fā)現(xiàn),但是同樣具有過濾通過它的數(shù)據(jù)包的功能。
主動防御型防火墻的第一部分是采用Linux2.6內(nèi)核下的兩個模塊來實現(xiàn):一個是bridge橋接模塊,一個是netfilter/ipmbles模塊。bridge的作用就是讓多塊網(wǎng)卡變成一個橋接設(shè)備,每一個網(wǎng)卡就是橋的一個端口,在橋的端口之間完全透明的轉(zhuǎn)發(fā)數(shù)據(jù)包。而讓netfilter/iptables在轉(zhuǎn)發(fā)過程中起到過濾的作用。bridge分別在2.2、2.4、2.6版本的內(nèi)核中均有實現(xiàn),在這里以2.6內(nèi)核為基礎(chǔ)實現(xiàn),因為2.6內(nèi)核不需要任何外加的補丁無縫的集成了netfilter的鉤子函數(shù),在處理數(shù)據(jù)包時又是線速的。
3.2,防御SYN洪水攻擊模塊
此模塊實現(xiàn)了抵御最常見、最容易被利用又最難防御的一種DDOS攻擊手法,為了提高防火墻抵御洪水攻擊的效率,采取了在網(wǎng)絡(luò)協(xié)議棧的底層將攻擊包過濾,使得上層感覺不到攻擊的發(fā)生,從而節(jié)省了系統(tǒng)資源。
抵御SYN洪水攻擊較常用的方法為網(wǎng)關(guān)防火墻法、中繼防火墻法和SYN cookies。按網(wǎng)絡(luò)在防火墻內(nèi)側(cè)還是外側(cè)將其分為內(nèi)網(wǎng)、外網(wǎng)(內(nèi)網(wǎng)是受防火墻保護(hù)的)。其次,設(shè)置防火墻的SYN重傳計時器。超時值必須足夠小,避免backlog隊列被填滿:同時又要足夠大保證用戶的正常通訊。
在dev.c的頭文件netdevice.h中,加入返回值的宏定義和過濾鉤子結(jié)構(gòu)體聲明,當(dāng)模塊調(diào)用中返回值是PACKET_FILTER DROP代表數(shù)據(jù)包要被過濾掉,通知內(nèi)核釋放該數(shù)據(jù)包,當(dāng)模塊調(diào)用中返回值是PACKET-FILTER-ACCEPT代表數(shù)據(jù)包經(jīng)過模塊安全檢測通知內(nèi)核繼續(xù)處理。在dev.c中首先定義packet- filter-register-hook函數(shù)和packet- filter-urtregister-hook函數(shù),分別在模塊中注冊和注銷過濾鉤子時調(diào)用。Packet-falter-register-hook函數(shù)將用戶態(tài)模塊的鉤子結(jié)構(gòu)體定義的回調(diào)函數(shù)傳值給內(nèi)核變量packet-filter-hook,該結(jié)構(gòu)體中的函數(shù)指針被用戶賦值為回調(diào)函數(shù)的地址,而注銷鉤子是在函數(shù)模塊卸載時則將packet-filter-hook賦值空,定義完后需要用EXPORT-SYMBOL宏定義將過濾注冊函數(shù)和過濾注銷函數(shù)export出來,這樣模塊才可以調(diào)用這兩個內(nèi)核函數(shù)。
定義packet-filter-hook-call函數(shù),函數(shù)實現(xiàn)調(diào)用從用戶態(tài)模塊中定義并傳入的回調(diào)函數(shù),即調(diào)用內(nèi)核中過濾鉤子結(jié)構(gòu)體變量packet-filterhook的函數(shù)指針成員packet-filter-hookfn*hook。如果回調(diào)函數(shù)的返回值是PACKET-FILTER-DROP,說明模塊通知內(nèi)核釋放該包,調(diào)用kfrce-skb(skb)將skb緩沖區(qū)釋放返回PACKET-FILTER-DROP。否則返回PACKET-FILTER-ACCEPT。
在process-backlog函數(shù)定義中添加鉤子調(diào)用點,在包傳給netif-receive-skb函數(shù)前嵌入鉤子點,用函數(shù)packet-filter-hook-call調(diào)用模塊中定義的函數(shù);如果函數(shù)沒有定義那么繼續(xù)把包傳給netif-receive-skb,否則經(jīng)過模塊自己定義的函數(shù)進(jìn)行處理。根據(jù)返回值情況處理數(shù)據(jù)包,如果返回值是PACKET-FILTER-DROP說明模塊通知內(nèi)核將該包丟掉,于是內(nèi)核釋放數(shù)據(jù)包后跳轉(zhuǎn)到packet-filter-done,即跨過netif-receive-skb函數(shù)調(diào)用直接結(jié)束該數(shù)據(jù)包的處理,否則傳給netif-rceeive-skb,繼續(xù)由內(nèi)核處理該數(shù)據(jù)包。
4、結(jié)尾
本文以上內(nèi)容對基于linux防御拒絕服務(wù)系統(tǒng)的研究與實現(xiàn)進(jìn)行了分析和探討,不過,在運行本系統(tǒng)中發(fā)現(xiàn),當(dāng)受到SYN洪水攻擊時,主動防御系統(tǒng)資源有所消耗,但是對網(wǎng)絡(luò)正常使用沒有任何影響,沒有一個SYN拒絕服務(wù)攻擊包通過防御系統(tǒng),達(dá)到了預(yù)期防護(hù)拒絕服務(wù)攻擊的目的。
【參考文獻(xiàn)】
[1]《系統(tǒng)安全與入侵檢測》王航等,清華大學(xué)出版社
【關(guān)鍵詞】數(shù)據(jù)挖掘 教務(wù)管理 應(yīng)用研究
一、引言
我院教務(wù)管理信息系統(tǒng)從2004年在學(xué)院應(yīng)用于教學(xué)管理至今,基本滿足了在學(xué)院規(guī)模擴(kuò)大,學(xué)生人數(shù)大幅度增加、多校區(qū)辦學(xué)等情況下,學(xué)院在學(xué)生管理、教學(xué)管理等方面工作需求。教務(wù)系統(tǒng)運行近十年來,學(xué)生學(xué)籍?dāng)?shù)據(jù)有2多萬條記錄,選課數(shù)據(jù)達(dá)5萬條記錄,等級考試報名數(shù)據(jù)達(dá)到6萬條記錄,成績歷史數(shù)據(jù)達(dá)到50萬條記錄,雖然教務(wù)系統(tǒng)收集了大量的數(shù)據(jù),初步實現(xiàn)了對教務(wù)數(shù)據(jù)的管理功能,但是數(shù)據(jù)分析功能比較弱,沒有完全發(fā)揮信息技術(shù)的管理潛能。沒有去挖掘大量數(shù)據(jù)中所隱含的規(guī)律,從而應(yīng)用這些規(guī)律去指導(dǎo)學(xué)校的工作。因此,教務(wù)管理沒有站在學(xué)校的角度去考慮如何借用信息化的手段來改善整個學(xué)校的管理,提高管理效率和管理效果的問題。
二、數(shù)據(jù)挖掘的理論基礎(chǔ)
(一)數(shù)據(jù)挖掘理論的提出
進(jìn)入信息時代,保存在計算機(jī)中的文件和數(shù)據(jù)庫中的數(shù)據(jù)量正在以指數(shù)速度增長,同時人們期望從數(shù)據(jù)中獲得更有用的信息。實際上,這些數(shù)據(jù)中只有一小部分有用,但人們卻渴求獲得知識,正面臨“數(shù)據(jù)豐富而知識貧乏”的問題,所以迫切需要一種新的技術(shù)從海量數(shù)據(jù)中自動、高效地提取所需的有用知識,這時,數(shù)據(jù)挖掘技術(shù)由此而生。數(shù)據(jù)挖掘(Data Mining)是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)中提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識的過程。簡單的說,數(shù)據(jù)挖掘就是從大量的數(shù)據(jù)中提取和“挖掘”知識。
(二)數(shù)據(jù)挖掘工具――數(shù)據(jù)倉庫工具與關(guān)鍵技術(shù)
數(shù)據(jù)倉庫技術(shù)從本質(zhì)上講,是一種信息集成技術(shù),它從多個信息源中獲取原始數(shù)據(jù),經(jīng)過加工處理后,存儲在數(shù)據(jù)倉庫的內(nèi)部數(shù)據(jù)庫中。通過向它提供訪問工具,為數(shù)據(jù)倉庫的用戶提供統(tǒng)一、協(xié)調(diào)和集成的信息環(huán)境,支持企業(yè)全局的決策過程和對企業(yè)經(jīng)營管理的深入綜合分析。數(shù)據(jù)倉庫的體系結(jié)構(gòu)如下圖所示:
可以看到,在一個數(shù)據(jù)倉庫中,源數(shù)據(jù)來源與已有的生產(chǎn)系統(tǒng),是操作型數(shù)據(jù)。提供源數(shù)據(jù)的數(shù)據(jù)源可以是各種數(shù)據(jù)庫管理系統(tǒng),或各種格式的數(shù)據(jù)文件或外部數(shù)據(jù)源。由于數(shù)據(jù)倉庫是一種信息集成手段,因此在實際工程中,面對的數(shù)據(jù)源可能千差萬別。只要能夠為數(shù)據(jù)倉庫所支持的決策和分析過程提供所需的信息,就可能成為數(shù)據(jù)倉庫的數(shù)據(jù)源。數(shù)據(jù)進(jìn)入數(shù)據(jù)倉庫之前必須經(jīng)過檢驗,以排除數(shù)據(jù)中可能隱藏的錯誤。為了滿足決策支持和深入分析的需要,數(shù)據(jù)要經(jīng)過特別整理、加工和重新組織,然后裝載到一個或多個數(shù)據(jù)倉庫的數(shù)據(jù)庫中。所有這些工作都是數(shù)據(jù)抽取和轉(zhuǎn)換工具完成的,數(shù)據(jù)倉庫中裝載數(shù)據(jù)的數(shù)據(jù)庫即為數(shù)據(jù)倉庫中的目標(biāo)數(shù)據(jù)庫。
三、數(shù)據(jù)挖掘技術(shù)在教學(xué)管理中的運用
隨著數(shù)據(jù)挖掘技術(shù)的不斷發(fā)展,在教育信息化中也得到了廣泛應(yīng)用?,F(xiàn)基于實際工作經(jīng)驗,通過對數(shù)據(jù)挖掘的關(guān)鍵技術(shù)的研究,結(jié)合教學(xué)管理具體要求,挖掘出數(shù)據(jù)背后所隱藏的信息,從而幫助學(xué)校制定人才培養(yǎng)方案,幫助老師了解學(xué)生的學(xué)習(xí)效果,指導(dǎo)和加強(qiáng)教學(xué)管理,提高教師的教學(xué)水平和質(zhì)量。
(一)學(xué)生評教數(shù)據(jù)分析
學(xué)生評教是學(xué)校教學(xué)管理的一個重要環(huán)節(jié)之一,是幫助教師改進(jìn)教學(xué)、提高教育教學(xué)質(zhì)量的重要手段。
1.學(xué)生評教數(shù)據(jù)分析的現(xiàn)狀和不足
目前任課教師的教學(xué)評教基本上都是通過教學(xué)管理系統(tǒng)來完成,一般采用系部評教、教師自評、學(xué)生評教三種方式。教師自評和系部評教是對任課教師授課水平、教學(xué)的組織能力,教師的業(yè)務(wù)能力、教學(xué)的態(tài)度等多方面進(jìn)行評價。學(xué)生評教則從任課教師能否熟練講授教學(xué)內(nèi)容,方法是否能被學(xué)生所接受,授課的責(zé)任感和態(tài)度等多方面給分。各類評教結(jié)束后,教務(wù)處根據(jù)各項所占權(quán)重,進(jìn)行綜合評分,得出各個任課教師在本學(xué)期教學(xué)的一個成績,根據(jù)此成績來進(jìn)行評優(yōu)的依據(jù)之一。
2.數(shù)據(jù)挖掘技術(shù)在學(xué)生評教數(shù)據(jù)中應(yīng)用的需求
數(shù)據(jù)挖掘技術(shù)則可以從大量評教數(shù)據(jù)中獲得有指導(dǎo)性意義的信息:
(1)教學(xué)評價結(jié)果有針對性。以往評教結(jié)果只能是對反映任課教師的綜合情況,但需要改進(jìn),或發(fā)揚的具體因素并不能明顯的體現(xiàn),使得我們不能找出影響教學(xué)質(zhì)量整體的重要因素。
(2)指導(dǎo)教師改進(jìn)教學(xué)。通過對優(yōu)秀老師的數(shù)據(jù)分析,找出他們之間的共同點,并對其進(jìn)行分析,提供給其他任課教師參考學(xué)習(xí),反思自己在教學(xué)環(huán)境中的不足之處,加以改進(jìn)。
(3)指導(dǎo)學(xué)校管理人才。通過評教數(shù)據(jù)分析,歸納出作為優(yōu)秀老師應(yīng)具備的一些基本條件,并以此為標(biāo)準(zhǔn),為學(xué)校招賢納士。
3.學(xué)生評教數(shù)據(jù)挖掘
對于學(xué)生評教數(shù)據(jù)的挖掘,主要是為了找出學(xué)生最關(guān)注的、對教學(xué)效果影響最大、學(xué)好該課程的關(guān)鍵因素,通過對學(xué)生評教數(shù)據(jù)的分析,使用關(guān)聯(lián)規(guī)則找出評教分?jǐn)?shù)趨于兩端的數(shù)據(jù)頻繁項集,從課程基本信息、任課教師信息和課程安排內(nèi)容等數(shù)據(jù)中分析出影響教學(xué)效果的主要因素,給教學(xué)管理者提供指導(dǎo)性意見。
四、學(xué)生成績分析
學(xué)生成績是教學(xué)成果具體展現(xiàn)的一部分,以專業(yè)為單位分析學(xué)生成績可以間接的了解該專業(yè)學(xué)生知識掌握情況。然而學(xué)生成績的影響因素眾多,涉及的信息量很大,所以需要通過數(shù)據(jù)挖掘技術(shù)來將其相關(guān)信息進(jìn)行分類整理并從中獲取所真正有用的數(shù)據(jù)。
(一)學(xué)生成績分析現(xiàn)狀和不足
學(xué)生成績可以適當(dāng)?shù)姆从吵鲈搶W(xué)生在校學(xué)習(xí)的情況。目前,教學(xué)管理系統(tǒng)中已經(jīng)累加了近二十萬條學(xué)生成績的數(shù)據(jù),而每個學(xué)期老師錄入成績之后,系統(tǒng)中只能做出簡單的匯總統(tǒng)計,得到每個任課班級學(xué)生成績分布圖,成績分段圖等,從圖的分布情況中了解到該班學(xué)生學(xué)習(xí)情況是否正常。教學(xué)管理部門也只能通過這些簡單的匯總統(tǒng)計,了解到每個班級的學(xué)習(xí)情況是否穩(wěn)定,針對某些班級學(xué)生成績分布不正常的情況展開調(diào)查。
(二)數(shù)據(jù)挖掘技術(shù)在學(xué)生成績數(shù)據(jù)中應(yīng)用的需求
數(shù)據(jù)挖掘技術(shù)可以從大量學(xué)生成績數(shù)據(jù)中獲得以下有價值的信息:
1.教學(xué)計劃的實施對學(xué)生成績的影響。從學(xué)生成績中部分課程的成績中發(fā)掘課程之間的關(guān)聯(lián)信息,比對教學(xué)計劃的制定,查看是否存在課程安排不符合該專業(yè)人才培養(yǎng)的規(guī)劃,導(dǎo)致課程之間銜接不上,學(xué)生學(xué)習(xí)吃力的問題。
2.教學(xué)任務(wù)對學(xué)生成績的影響。教學(xué)任務(wù)中的課程任課老師的基本信息結(jié)合任課教師授課情況與學(xué)生該門課程成績相關(guān)聯(lián),查看任課教師對學(xué)生成績的影響是否存在。
3.教學(xué)安排對學(xué)生成績的影響。課程安排中了解課程安排的時間和地點是否對學(xué)生成績也存在影響。
學(xué)生自身學(xué)習(xí)情況,學(xué)生的成績有高有底,分析過程中需要選取有效學(xué)生數(shù)據(jù),不能讓少數(shù)學(xué)生信息(偏科、全優(yōu)、不學(xué)等情況)影響其分析過程。
(三)學(xué)生成績數(shù)據(jù)挖掘
對于學(xué)生成績數(shù)據(jù)的挖掘,主要是為了找出影響學(xué)生成績的關(guān)鍵因素,從課程信息表中課程的性質(zhì)、課程類別等;教學(xué)安排中課程上課時間、上課地點、任課教師的選擇、起止周等;學(xué)生基本信息中學(xué)生的性別、考生類型等;該門課程的任課教師職稱、學(xué)位等信息,通過以上各類表中的字段和學(xué)生成績表中的字段進(jìn)行選擇性關(guān)聯(lián),使用改進(jìn)過的 Apriori 算法找出學(xué)生成績趨于兩端(即優(yōu)秀、不及格)的數(shù)據(jù)頻繁項集,從找出的頻繁項集產(chǎn)生關(guān)聯(lián)規(guī)則。分析出影響學(xué)生成績的主要因素,給任課教師和有關(guān)教學(xué)管理者提供教學(xué)指導(dǎo)性意見。
當(dāng)然,現(xiàn)在院校所用的教務(wù)管理信息系統(tǒng)中的所收集到的數(shù)據(jù)囊括了學(xué)院管理的許多方面,通過數(shù)據(jù)挖掘技術(shù)對管理系統(tǒng)中的信息進(jìn)行分析,可以獲得對管理者有決策參考價值的信息,對高職學(xué)院教務(wù)管理工作有很大的推動作用。
參考文獻(xiàn):
[1]王耀,鄭玲.數(shù)據(jù)挖掘在教務(wù)管理中的應(yīng)用[J].電子商務(wù).2013(1)
[2].數(shù)據(jù)挖掘在高職院校教學(xué)管理中的應(yīng)用[J]. 廣東技術(shù)師范學(xué)院學(xué)報. 2010(09)
[3]潘鋒.淺談數(shù)據(jù)挖掘技術(shù)在高校教學(xué)管理中的應(yīng)用[J]. 重慶科技學(xué)院學(xué)報(社會科學(xué)版). 2008(04)
[4]段利文,包華林.數(shù)據(jù)挖掘理論在教學(xué)管理中的應(yīng)用探析[J]. 重慶電子工程職業(yè)學(xué)院學(xué)報. 2009(03)
作者簡介:
鄧懷勇(1979――),重慶永川人,講師,碩士,研究方向:計算機(jī)應(yīng)用
【關(guān)鍵詞】:Linux;防御;拒絕服務(wù)系統(tǒng);研究
中圖分類號:C35文獻(xiàn)標(biāo)識碼: A
1、前言
隨著科技的發(fā)展,網(wǎng)絡(luò)技術(shù)越來越被廣泛的應(yīng)用到人們的生產(chǎn)和生活中,為經(jīng)濟(jì)發(fā)展和改善人們的生活作出了巨大的貢獻(xiàn),但是網(wǎng)絡(luò)攻擊也隨之出現(xiàn),據(jù)相關(guān)統(tǒng)計,網(wǎng)絡(luò)攻擊手段有數(shù)千種之多,使得網(wǎng)絡(luò)安全問題變得極其嚴(yán)峻,而且其帶來的經(jīng)濟(jì)損失甚至達(dá)到了數(shù)萬億美元,可見對網(wǎng)絡(luò)進(jìn)行安全防御具有非常重要的意義,本文以下內(nèi)容將對基于Linux防御拒絕服務(wù)系統(tǒng)的研究與實現(xiàn)進(jìn)行分析和探討,以供參考。
2、Linux內(nèi)核防火墻
Linux平臺為用戶提供了構(gòu)建防火墻的框架,用戶在此框架上構(gòu)建符合需要的防火墻,為了使防火墻更加安全、效率更高、更充分利用內(nèi)核已有功能,需要深入分析內(nèi)核源代碼,提煉出重要數(shù)據(jù)結(jié)構(gòu)和數(shù)據(jù)處理流程。
Netfilter提供了一個抽象、通用化的框架,該框架定義的一個子功能的實現(xiàn)就包括過濾子系統(tǒng)。Netfilter比以前任何一版Linux內(nèi)核的防火墻子系統(tǒng)都要完善強(qiáng)大,加設(shè)一個防火墻或者偽裝網(wǎng)關(guān)只是netfilter功能的一部分,其框架包含如下三個方面內(nèi)容:一是為每種網(wǎng)絡(luò)協(xié)議定義一套鉤子函數(shù),這些鉤子函數(shù)在數(shù)據(jù)包流過協(xié)議棧的幾個關(guān)鍵點被調(diào)用,在這幾個點中,協(xié)議棧將把數(shù)據(jù)包級鉤子函數(shù)標(biāo)號作為參數(shù)調(diào)用netfilter框架。二是內(nèi)核的任何模塊可以對每種協(xié)議的一個或多個鉤子進(jìn)行注冊,實現(xiàn)掛接,這樣當(dāng)某個數(shù)據(jù)包被傳遞給netfilter框架時,內(nèi)核能檢測是否有任何模塊對該協(xié)議和鉤子函數(shù)進(jìn)行了注冊,若注冊了,則調(diào)用該模塊的注冊時使用的回調(diào)函數(shù),這樣模塊就有機(jī)會檢查該數(shù)據(jù)包、丟棄該數(shù)據(jù)包級指示netfilter將該數(shù)據(jù)包傳入用戶空間的隊列。三是那些排隊的數(shù)據(jù)包時被傳遞給用戶空間的異步地進(jìn)行處理,一個用戶進(jìn)程能檢查數(shù)據(jù)包,修改數(shù)據(jù)包,甚至可以重新將該數(shù)據(jù)包通過離開內(nèi)核的同一個鉤子函數(shù)中注入到內(nèi)核中。
Netfilter防火墻由規(guī)則表構(gòu)成,而規(guī)則表又由規(guī)則鏈構(gòu)成,數(shù)據(jù)包依次到達(dá)每個規(guī)則鏈,然后按鏈中的規(guī)則進(jìn)行匹配,根據(jù)匹配結(jié)果執(zhí)行相應(yīng)策略,從此可以看出netfilter框架在數(shù)據(jù)包接收、轉(zhuǎn)發(fā)、發(fā)送過程中,都要經(jīng)過NF-HOOK宏處理,NF-HOOK又調(diào)用相應(yīng)鉤子函數(shù)執(zhí)行一個通用函數(shù)ipt-do table()。此函數(shù)從設(shè)置好的規(guī)則鏈中取出規(guī)則,對數(shù)據(jù)包進(jìn)行匹配目標(biāo)處理等操作,最后返回處理結(jié)果,設(shè)置規(guī)則是通過iptables進(jìn)行的。Iptables是Linux系統(tǒng)為用戶提供的基于netfilter的一個用以配置防火墻的工具。此工具提供了一個命名規(guī)則集,數(shù)據(jù)包經(jīng)過每個鉤子點時,都應(yīng)遍歷規(guī)則集中的相應(yīng)規(guī)則鏈,用戶可以直接操作iptables,iptables又通過socket系統(tǒng)調(diào)用訪問內(nèi)核netfilter。Iptables規(guī)則表注冊后,用戶可以用getsockotp()系統(tǒng)調(diào)用得到它的內(nèi)容,也可以調(diào)用getsockotp()修改它。Iptables作為netfilter的用戶配置工具,它為用戶配置防火墻提供了強(qiáng)大的功能和方便的途徑。
3、基于Linux2.6內(nèi)核的透明防火墻
通常一個防火墻像一個路由器一樣工作,內(nèi)部系統(tǒng)被設(shè)置為將防火墻看作是通向外部網(wǎng)絡(luò)的網(wǎng)關(guān),并且外部的路由器被設(shè)置為將防火墻看作是連往內(nèi)部被保護(hù)的網(wǎng)絡(luò)的網(wǎng)關(guān),而一個網(wǎng)橋則是一個連接一個或多個網(wǎng)段的設(shè)備,在各個網(wǎng)段之間轉(zhuǎn)發(fā)數(shù)據(jù),而網(wǎng)絡(luò)中其他設(shè)備并不會感覺到存在一個網(wǎng)橋,換句話說,一個路由器將兩個網(wǎng)絡(luò)連接在一起,在兩者之間傳輸數(shù)據(jù),一個網(wǎng)橋則更像一段網(wǎng)線,將一個網(wǎng)絡(luò)的兩個部分連接在一起,一個透明防火墻則像網(wǎng)橋一樣工作,而不是兩端設(shè)備發(fā)現(xiàn),但是同樣具有過濾通過它的數(shù)據(jù)包的功能。
Linux2.6內(nèi)核實現(xiàn)了支持iptables的網(wǎng)橋,因此任何穿過網(wǎng)橋的數(shù)據(jù)包可以被遞交給iptables規(guī)則進(jìn)行過濾處理,結(jié)果是防火墻可以是完全透明于網(wǎng)絡(luò),不需要特殊的路由功能,就互聯(lián)網(wǎng)而言,防火墻并不存在,除了特定的連接被阻塞,網(wǎng)橋軟件是一個內(nèi)核補丁來支持已有網(wǎng)橋代碼可以連同iptables一起工作。
主動防御防火墻就是利用Linux2.6內(nèi)核下的bridge橋接模塊和netfilter/iptables模塊這兩個模塊來實現(xiàn),bridge的作用就是讓多塊網(wǎng)卡變成一個橋接設(shè)備,每一個網(wǎng)卡就是橋的一個端口,在橋的端口之間完全透明的轉(zhuǎn)發(fā)數(shù)據(jù)包,而讓netfilter/iptables在轉(zhuǎn)發(fā)過程中起到過濾的作用。網(wǎng)橋處理包遵循的原則有:在一個接口接收到的包不會再該接口上發(fā)送這個數(shù)據(jù)包;每個接收到的數(shù)據(jù)包都要學(xué)習(xí)其源MAC地址;如果數(shù)據(jù)包是多包或廣播包,則要再同一個網(wǎng)段中除了接收端口外的其他所有端口發(fā)送這個數(shù)據(jù)包,如果上層協(xié)議棧對多播包感興趣,則需要把數(shù)據(jù)包提交給上層的協(xié)議棧;如果數(shù)據(jù)包的目的MAC地址不能再出口信息列表中找到,則要再同一個網(wǎng)段中除了接收端口外的其他所有端口發(fā)送這個數(shù)據(jù)包;如果能夠在出口信息列表中查詢到目的MAC地址,則再特定的端口上發(fā)送這個數(shù)據(jù)包,如果發(fā)送端口和接收端口是同一個端口,則不發(fā)送。
4、結(jié)尾
本文以上內(nèi)容對基于Linux防御拒絕服務(wù)系統(tǒng)的研究與實現(xiàn)進(jìn)行了分析和探討,表達(dá)了觀點和見解,作為一名真知的學(xué)習(xí)者,我認(rèn)為,在信息技術(shù)發(fā)展迅速的今天,必須加大對網(wǎng)絡(luò)防御的研究和實踐,也必須加大對理論知識的學(xué)習(xí),只有這樣才能更好的將理論與實踐結(jié)合起來,以確保網(wǎng)絡(luò)健康的運行。
【參考文獻(xiàn)】
[1]《網(wǎng)絡(luò)安全從入門到精通》馬樹齊等,電子工業(yè)出版社
[2]《網(wǎng)絡(luò)安全技術(shù)》盧星等, 中國物資出版社
《夜送趙縱》是唐代詩人楊炯創(chuàng)作的一首五言絕句。詩一開始用連城璧來比趙縱,以美玉比人,把趙縱的風(fēng)貌、才能具體化了。后兩句才由壁及人,說到送趙縱還舊府之事,一語雙關(guān),送還舊府的還有壁,只是人顯里隱罷了。結(jié)句描繪在灑滿月光的夜色中,沿著河川送別趙縱的情景,其中飽含著詩人對摯友的深厚情誼,點出送別的時間,且隱約表達(dá)了一路平安的祝愿。這首詩巧用典故,比興得體,語言明白曉暢,形象鮮明可感。深入淺出,比喻設(shè)譬通俗易懂,寫景自然貼切。
《送朱大入秦》是唐代詩人孟浩然創(chuàng)作的一首五言絕句。這首詩寫解下千金劍
(來源:文章屋網(wǎng) )