入侵检测的分类情况

入侵检测的分类情况,第1张

入侵检测系统所采用的技术可分为特征检测与异常检测两种。 (警报)

当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示。如果是远程控制台,那么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员。 (异常)

当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警。一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时,IDS就会告警,例如有人做了以前他没有做过的事情的时候,例如,一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能。 (IDS硬件)

除了那些要安装到现有系统上去的IDS软件外,在市场的货架上还可以买到一些现成的IDS硬件,只需将它们接入网络中就可以应用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS是由Max Visi开发的一个攻击特征数据库,它是动态更新的,适用于多种基于网络的入侵检测系统。

ARIS:Attack Registry & Intelligence Service(攻击事件注册及智能服务)

ARIS是SecurityFocus公司提供的一个附加服务,它允许用户以网络匿名方式连接到Internet上向SecurityFocus报送网络安全事件,随后SecurityFocus会将这些数据与许多其它参与者的数据结合起来,最终形成详细的网络安全统计分析及趋势预测,发布在网络上。它的URL地址是。 (攻击)

Attacks可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信息以及破坏目标网络或系统功能的行为。以下列出IDS能够检测出的最常见的Internet攻击类型:

攻击类型1-DOS(Denial Of Service attack,拒绝服务攻击):DOS攻击不是通过黑客手段破坏一个系统的安全,它只是使系统瘫痪,使系统拒绝向其用户提供服务。其种类包括缓冲区溢出、通过洪流(flooding)耗尽系统资源等等。

攻击类型2-DDOS(Distributed Denial of Service,分布式拒绝服务攻击):一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击,却无法发出足够的信息包来达到理想的结果,因此就产生了DDOS,即从多个分散的主机一个目标发动攻击,耗尽远程系统的资源,或者使其连接失效。

攻击类型3-Smurf:这是一种老式的攻击,还时有发生,攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping *** 作,然后所有活动主机都会向该目标应答,从而中断网络连接。

攻击类型4-Trojans(特洛伊木马):Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马,木马中藏有希腊士兵,当木马运到城里,士兵就涌出木马向这个城市及其居民发起攻击。在计算机术语中,它原本是指那些以合法程序的形式出现,其实包藏了恶意软件的那些软件。这样,当用户运行合法程序时,在不知情的情况下,恶意软件就被安装了。但是由于多数以这种形式安装的恶意程序都是远程控制工具,Trojan这个术语很快就演变为专指这类工具,例如BackOrifice、SubSeven、NetBus等等。 (自动响应)

除了对攻击发出警报,有些IDS还能自动抵御这些攻击。抵御方式有很多:首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其次,通过在网络上发送reset包切断连接。但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后IDS就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对“自己人”拒绝服务了。发送reset包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标准IP栈需求。 (Computer Emergency Response Team,计算机应急响应小组)

这个术语是由第一支计算机应急反映小组选择的,这支团队建立在Carnegie Mellon大学,他们对计算机安全方面的事件做出反应、采取行动。许多组织都有了CERT,比如CNCERT/CC(中国计算机网络应急处理协调中心)。由于emergency这个词有些不够明确,因此许多组织都用Incident这个词来取代它,产生了新词Computer Incident Response Team(CIRT),即计算机事件反应团队。response这个词有时也用handling来代替,其含义是response表示紧急行动,而非长期的研究。 (Common Intrusion Detection Framework;通用入侵检测框架)

CIDF力图在某种程度上将入侵检测标准化,开发一些协议和应用程序接口,以使入侵检测的研究项目之间能够共享信息和资源,并且入侵检测组件也能够在其它系统中再利用。 (Computer Incident Response Team,计算机事件响应小组)

CIRT是从CERT演变而来的,CIRT代表了对安全事件在哲学认识上的改变。CERT最初是专门针对特定的计算机紧急情况的,而CIRT中的术语incident则表明并不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。 (Common Intrusion Specification Language,通用入侵规范语言)

CISL是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试,因此CISL就是对入侵检测研究的语言进行标准化的尝试。 (Common Vulnerabilities and Exposures,通用漏洞披露)

关于漏洞的一个老问题就是在设计扫描程序或应对策略时,不同的厂商对漏洞的称谓也会完全不同。还有,一些产商会对一个漏洞定义多种特征并应用到他们的IDS系统中,这样就给人一种错觉,好像他们的产品更加有效。MITRE创建了CVE,将漏洞名称进行标准化,参与的厂商也就顺理成章按照这个标准开发IDS产品。 (自定义数据包)

建立自定义数据包,就可以避开一些惯用规定的数据包结构,从而制造数据包欺骗,或者使得收到它的计算机不知该如何处理它。 (同步失效)

Desynchronization这个术语本来是指用序列数逃避IDS的方法。有些IDS可能会对它本来期望得到的序列数感到迷惑,从而导致无法重新构建数据。这一技术在1998年很流行,已经过时了,有些文章把desynchronization这个术语代指其它IDS逃避方法。 (列举)

经过被动研究和社会工程学的工作后,攻击者就会开始对网络资源进行列举。列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。由于行动不再是被动的,它就有可能被检测出来。当然为了避免被检测到,他们会尽可能地悄悄进行。 (躲避)

Evasion是指发动一次攻击,而又不被IDS成功地检测到。其中的窍门就是让IDS只看到一个方面,而实际攻击的却是另一个目标,所谓明修栈道,暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL(有效时间)值,这样,经过IDS的信息看起来好像是无害的,而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。一旦经过了IDS并接近目标,无害的部分就会被丢掉,只剩下有害的。 (漏洞利用)

对于每一个漏洞,都有利用此漏洞进行攻击的机制。为了攻击系统,攻击者编写出漏洞利用代码或脚本。

对每个漏洞都会存在利用这个漏洞执行攻击的方式,这个方式就是Exploit。为了攻击系统,黑客会利用漏洞编写出程序。

漏洞利用:Zero Day Exploit(零时间漏洞利用)

零时间漏洞利用是指还未被了解且仍在肆意横行的漏洞利用,也就是说这种类型的漏洞利用当前还没有被发现。一旦一个漏洞利用被网络安全界发现,很快就会出现针对它的补丁程序,并在IDS中写入其特征标识信息,使这个漏洞利用无效,有效地捕获它。 (漏报)

漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。

False Positives(误报)

误报是指实际无害的事件却被IDS检测为攻击事件。

Firewalls(防火墙)

防火墙是网络安全的第一道关卡,虽然它不是IDS,但是防火墙日志可以为IDS提供宝贵信息。防火墙工作的原理是根据规则或标准,如源地址、端口等,将危险连接阻挡在外。 (Forum of Incident Response and Security Teams,事件响应和安全团队论坛)

FIRST是由国际性政府和私人组织联合起来交换信息并协调响应行动的联盟,一年一度的FIRST受到高度的重视。 (分片)

如果一个信息包太大而无法装载,它就不得不被分成片断。分片的依据是网络的MTU(Maximum Transmission Units,最大传输单元)。例如,灵牌环网(token ring)的MTU是4464,以太网(Ethernet)的MTU是1500,因此,如果一个信息包要从灵牌环网传输到以太网,它就要被分裂成一些小的片断,然后再在目的地重建。虽然这样处理会造成效率降低,但是分片的效果还是很好的。黑客将分片视为躲避IDS的方法,另外还有一些DOS攻击也使用分片技术。 (启发)

Heuristics就是指在入侵检测中使用AI(artificial intelligence,人工智能)思想。真正使用启发理论的IDS已经出现大约10年了,但他们还不够“聪明”,攻击者可以通过训练它而使它忽视那些恶意的信息流。有些IDS使用异常模式去检测入侵,这样的IDS必须要不断地学习什么是正常事件。一些产商认为这已经是相当“聪明”的IDS了,所以就将它们看做是启发式IDS。但实际上,真正应用AI技术对输入数据进行分析的IDS还很少很少。 (Honeynet工程)

Honeynet是一种学习工具,是一个包含安全缺陷的网络系统。当它受到安全威胁时,入侵信息就会被捕获并接受分析,这样就可以了解黑客的一些情况。Honeynet是一个由30余名安全专业组织成员组成、专门致力于了解黑客团体使用的工具、策略和动机以及共享他们所掌握的知识的项目。他们已经建立了一系列的honeypots,提供了看似易受攻击的Honeynet网络,观察入侵到这些系统中的黑客,研究黑客的战术、动机及行为。 (蜜罐)

蜜罐是一个包含漏洞的系统,它模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成,因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间。与此同时,最初的攻击目标受到了保护,真正有价值的内容将不受侵犯。

蜜罐最初的目的之一是为起诉恶意黑客搜集证据,这看起来有“诱捕”的感觉。但是在一些国家中,是不能利用蜜罐收集证据起诉黑客的。 (IDS分类)

有许多不同类型的IDS,以下分别列出:

IDS分类1-Application IDS(应用程序IDS):应用程序IDS为一些特殊的应用程序发现入侵信号,这些应用程序通常是指那些比较易受攻击的应用程序,如Web服务器、数据库等。有许多原本着眼于 *** 作系统的基于主机的IDS,虽然在默认状态下并不针对应用程序,但也可以经过训练,应用于应用程序。例如,KSE(一个基于主机的IDS)可以告诉我们在事件日志中正在进行的一切,包括事件日志报告中有关应用程序的输出内容。应用程序IDS的一个例子是Entercept的Web Server Edition。

IDS分类2-Consoles IDS(控制台IDS):为了使IDS适用于协同环境,分布式IDS代理需要向中心控制台报告信息。许多中心控制台还可以接收其它来源的数据,如其它产商的IDS、防火墙、路由器等。将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。有些控制台还将它们自己的攻击特征添加到代理级别的控制台,并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。

IDS分类3-File Integrity Checkers(文件完整性检查器):当一个系统受到攻击者的威胁时,它经常会改变某些关键文件来提供持续的访问和预防检测。通过为关键文件附加信息摘要(加密的杂乱信号),就可以定时地检查文件,查看它们是否被改变,这样就在某种程度上提供了保证。一旦检测到了这样一个变化,完整性检查器就会发出一个警报。而且,当一个系统已经受到攻击后,系统管理员也可以使用同样的方法来确定系统受到危害的程度。以前的文件检查器在事件发生好久之后才能将入侵检测出来,是“事后诸葛亮”,出现的许多产品能在文件被访问的同时就进行检查,可以看做是实时IDS产品了。该类产品有Tripwire和Intact。

IDS分类4-Honeypots(蜜罐):关于蜜罐,前面已经介绍过。蜜罐的例子包括Mantrap和Sting。

IDS分类5-Host-based IDS(基于主机的IDS):这类IDS对多种来源的系统和事件日志进行监控,发现可疑活动。基于主机的IDS也叫做主机IDS,最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。除了完成类似事件日志阅读器的功能,主机IDS还对“事件/日志/时间”进行签名分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的,系统的错误就可以很快地检测出来,技术人员和安全人士都非常喜欢它。基于主机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。

IDS分类6-Hybrid IDS(混合IDS):现代交换网络的结构给入侵检测 *** 作带来了一些问题。首先,默认状态下的交换网络不允许网卡以混杂模式工作,这使传统网络IDS的安装非常困难。其次,很高的网络速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS(混合IDS)正是解决这些问题的一个方案,它将IDS提升了一个层次,组合了网络节点IDS和Host IDS(主机IDS)。虽然这种解决方案覆盖面极大,但同时要考虑到由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合IDS。有些产商把完成一种以上任务的IDS都叫做Hybrid IDS,实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。

IDS分类7-Network IDS(NIDS,网络IDS):NIDS对所有流经监测代理的网络通信量进行监控,对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带有IDS过滤器的混合信息包嗅探器,但是它们变得更加智能化,可以破译协议并维护状态。NIDS存在基于应用程序的产品,只需要安装到主机上就可应用。NIDS对每个信息包进行攻击特征的分析,但是在网络高负载下,还是要丢弃些信息包。网络IDS的产品有SecureNetPro和Snort。

IDS分类8-Network Node IDS(NNIDS,网络节点IDS):有些网络IDS在高速下是不可靠的,装载之后它们会丢弃很高比例的网络信息包,而且交换网络经常会妨碍网络IDS看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机,从而缓解了高速和交换的问题。虽然NNIDS与个人防火墙功能相似,但它们之间还有区别。对于被归类为NNIDS的个人防火墙,应该对企图的连接做分析。例如,不像在许多个人防火墙上发现的“试图连接到端口xxx”,一个NNIDS会对任何的探测都做特征分析。另外,NNIDS还会将主机接收到的事件发送到一个中心控制台。NNIDS产品有BlackICE Agent和Tiny CMDS。

IDS分类9-Personal Firewall(个人防火墙):个人防火墙安装在单独的系统中,防止不受欢迎的连接,无论是进来的还是出去的,从而保护主机系统。注意不要将它与NNIDS混淆。个人防火墙有ZoneAlarm和Sybergen。

IDS分类10-Target-Based IDS(基于目标的IDS):这是不明确的IDS术语中的一个,对不同的人有不同的意义。可能的一个定义是文件完整性检查器,而另一个定义则是网络IDS,后者所寻找的只是对那些由于易受攻击而受到保护的网络所进行的攻击特征。后面这个定义的目的是为了提高IDS的速度,因为它不搜寻那些不必要的攻击。 (Intrusion Detection Working Group,入侵检测工作组)

入侵检测工作组的目标是定义数据格式和交换信息的程序步骤,这些信息是对于入侵检测系统、响应系统以及那些需要与它们交互作用的管理系统都有重要的意义。入侵检测工作组与其它IETF组织协同工作。 (事件处理)

检测到一个入侵只是开始。更普遍的情况是,控制台 *** 作员会不断地收到警报,由于根本无法分出时间来亲自追踪每个潜在事件, *** 作员会在感兴趣的事件上做出标志以备将来由事件处理团队来调查研究。在最初的反应之后,就需要对事件进行处理,也就是诸如调查、辩论和起诉之类的事宜。 (事件响应)

对检测出的潜在事件的最初反应,随后对这些事件要根据事件处理的程序进行处理。 (孤岛)

孤岛就是把网络从Internet上完全切断,这几乎是最后一招了,没有办法的办法。一个组织只有在大规模的病毒爆发或受到非常明显的安全攻击时才使用这一手段。 (混杂模式)

默认状态下,IDS网络接口只能看到进出主机的信息,也就是所谓的non-promiscuous(非混杂模式)。如果网络接口是混杂模式,就可以看到网段中所有的网络通信量,不管其来源或目的地。这对于网络IDS是必要的,但同时可能被信息包嗅探器所利用来监控网络通信量。交换型HUB可以解决这个问题,在能看到全面通信量的地方,会都许多跨越(span)端口。

Routers(路由器)

路由器是用来连接不同子网的中枢,它们工作于OSI 7层模型的传输层和网络层。路由器的基本功能就是将网络信息包传输到它们的目的地。一些路由器还有访问控制列表(ACLs),允许将不想要的信息包过滤出去。许多路由器都可以将它们的日志信息注入到IDS系统中,提供有关被阻挡的访问网络企图的宝贵信息。 (扫描器)

扫描器是自动化的工具,它扫描网络和主机的漏洞。同入侵检测系统一样,它们也分为很多种,以下分别描述。

扫描器种类1-NetworkScanners(网络扫描器):网络扫描器在网络上搜索以找到网络上所有的主机。传统上它们使用的是ICMP ping技术,但是这种方法很容易被检测出来。为了变得隐蔽,出现了一些新技术,例如ack扫描和fin扫描。使用这些更为隐蔽扫描器的另一个好处是:不同的 *** 作系统对这些扫描会有不同的反应,从而为攻击者提供了更多有价值的信息。这种工具的一个例子是nmap。

扫描器种类2-Network Vulnerability Scanners(网络漏洞扫描器):网络漏洞扫描器将网络扫描器向前发展了一步,它能检测目标主机,并突出一切可以为黑客利用的漏洞。网络漏洞扫描器可以为攻击者和安全专家使用,但会经常让IDS系统“紧张”。该类产品有Retina和CyberCop。

扫描器种类3-Host VulnerabilityScanners(主机漏洞扫描器):这类工具就像个有特权的用户,从内部扫描主机,检测口令强度、安全策略以及文件许可等内容。网络IDS,特别是主机IDS可以将它检测出来。该类产品有SecurityExpressions,它是一个远程Windows漏洞扫描器,并且能自动修复漏洞。还有如ISS数据库扫描器,会扫描数据库中的漏洞。 (脚本小子)

有些受到大肆宣扬的Internet安全破坏,如2000年2月份对Yahoo的拒绝服务攻击,是一些十来岁的中学生干的,他们干这些坏事的目的好象是为了扬名。安全专家通常把这些人称为脚本小子(Script Kiddies)。脚本小子通常都是一些自发的、不太熟练的cracker,他们使用从Internet 上下载的信息、软件或脚本对目标站点进行破坏。黑客组织或法律实施权威机构都对这些脚本小孩表示轻蔑,因为他们通常都技术不熟练,手上有大把时间可以来搞破坏,他们的目的一般是为了给他们的朋友留下印象。脚本小子就像是拿着抢的小孩,他们不需要懂得d道理论,也不必能够制造q支,就能成为强大的敌人。因此,无论何时都不能低估他们的实力。 (躲避)

躲避是指配置边界设备以拒绝所有不受欢迎的信息包,有些躲避甚至会拒绝来自某些国家所有IP地址的信息包。 (特征)

IDS的核心是攻击特征,它使IDS在事件发生时触发。特征信息过短会经常触发IDS,导致误报或错报,过长则会减慢IDS的工作速度。有人将IDS所支持的特征数视为IDS好坏的标准,但是有的产商用一个特征涵盖许多攻击,而有些产商则会将这些特征单独列出,这就会给人一种印象,好像它包含了更多的特征,是更好的IDS。大家一定要清楚这些。 (隐藏)

隐藏是指IDS在检测攻击时不为外界所见,它们经常在DMZ以外使用,没有被防火墙保护。它有些缺点,如自动响应。

晋普山煤矿自建矿到1993年,煤巷及半煤岩巷支护一直沿用传统的支护方式,1994年至1998年,曾在9号煤半煤岩巷道使用过工字钢梯形棚支架、“顶锚(钢缝锚杆)+帮墙(料石墙)”联合支护。自1998年以来,在9号煤光爆工作面采用“顶锚(树脂锚杆)+帮锚(W钢带+树脂锚杆)”联合支护,2003年,在9号煤回采巷道综掘工作面采用“顶锚(树脂锚杆+混凝土锚索)+帮锚(树脂锚杆)”联合支护。随着锚杆支护技术的不断推广和深化,井下监测技术也得到了提高。

1 半煤岩巷锚杆支护技术

11 锚杆支护的作用机理

通过理论分析与井下试验,发现锚杆支护的实质是通过约束效应使锚杆支护体(包括锚杆、托梁、金属网、锚索)与围岩共同形成承载结构,以提高围岩自身的承载能力,特别是在围岩产生塑性破坏后,能大幅度提高围岩的残余强度,保证巷道安全使用。

12 半煤岩巷锚杆支护设计方法

晋普山煤矿半煤岩巷锚杆支护设计方法是一种全新的基于井下实测地质力学资料的动态信息设计方法。该动态信息设计法具有两大特点:一是设计不是一次完成的,而是一个动态的过程;二是设计充分利用每个过程中提供的信息。该动态信息设计法包括5个部分,即:试验点调查和地质力学评估、初始设计、井下综合监测、信息反馈和修正设计、日常监测。其中,试验点调查包括地应力、围岩强度、围岩结构及锚固性能测试等内容,然后,在此基础上进行地质力学评估,为初始设计提供可靠的设计参数。初始设计以数值计算方法为主,结合解析法和经验法,根据围岩参数和已有的实测数据确定出比较合理的初始设计。最后将初始设计实施于井下半煤岩巷道的支护,并进行详细的围岩位移和锚杆受力监测,根据监测结果验证或修正初始设计。正常施工后还要进行日常监测,保证巷道安全。综上所述,该动态信息设计法是一个动态可控逐步改进的过程,符合煤矿井下复杂多变的自然条件,是一种先进实用的设计方法。

121 巷道围岩地质力学测试

采用煤炭科学研究总院北京开采研究所开发研制的巷道围岩地质力学快速测试系统,进行井下地应力测量与巷道围岩强度测定。

1211 地应力测试

地应力测试采用水压致裂测量法,测量仪器为SYY—56型水压致裂应力测量装置。采用小孔径钻孔(56 mm),最大测量深度为30 m,可在井下进行快速、大面积地应力测量。同一钻孔还可以用于巷道围岩强度测量。该仪器由分隔器、印模器、定位器、手动泵、隔爆油泵及记录仪等组成。

1212 巷道围岩强度测试

采用WQCZ—Ⅱ型围岩强度测试测定装置进行井下围岩强度测试。该装置由围岩强度测定仪、探头、手摇泵、高压管、延长杆等部件组成。探头直径d 56 mm,测量深度为30 m,非常适合井下快速测量。岩体强度的测定在井下巷道围岩钻孔中进行。探头内的活塞在高压油的驱动下发生移动,使端部顶针压向钻孔孔壁。根据顶针压破钻孔孔壁的临界压力,经过简单计算,便可得到该点的岩体单轴抗压强度。为了测定钻孔长度上岩层的抗压强度,每隔200 mm~300 mm取一个测试井下监测剖面。围岩强度测试与地应力测量同步进行,共设4个测站,把测试结果添入相应的表格内,为初始设计提供理论计算参数。

122 井下综合监测

井下综合监测是煤巷半煤岩巷锚杆支护技术的重要组成部分。锚杆支护初始设计实施于井下后,对围岩变形状况,锚杆(索)受力分布和大小进行全方位监测,以获得支护体和围岩的位移和应力信息,从而判断锚杆支护初始设计的合理性和可靠性,巷道围岩的稳定程度和安全性。进而根据监测信息,修改初始设计,使其逐步趋于合理。根据晋普山煤矿半煤岩巷道的具体条件,确定锚杆支护的综合监测内容。

(1)采用十字布点法安设表面位移监测断面,在顶底板中部垂直方向和两帮水平方向钻孔,打木桩和测钉。一般每个测站布置2个监测断面,沿巷道轴向间隔06 m ~10 m。

(2)采用顶板离层指示仪测试顶板岩层锚固范围内外位移值。离层指示仪深基点锚头应固定在稳定岩层内,浅基点固定在锚杆端部位置。顶板离层指示仪应尽量靠近工作面安装,以检测顶板离层的全过程。

(3)锚杆(索)受力监测有2种形式:一种是测量端部锚固锚杆(索)工作阻力的锚杆测力计,另一种是测量加长锚固、全长锚固锚杆受力分布的测力锚杆。

锚杆测力计的种类很多,如KS型锚杆测力计,由传力油压枕和振弦式压力传感器组成,接收仪器为KSE—1型矿用频率计;CH90A型锚杆测力计为电阻应变片式测力计,通过测量应变求出锚杆受力;YGS—200/300型锚杆(索)测力计,采用液压式,载荷直读,无需配套仪器。在晋普山煤矿,端部锚固锚杆受力测量就采用这种仪器。该测量仪器是本安型井下巷道锚杆受力的专用测量仪器,这种测量仪器主要包括测力锚杆、静态电阻应变仪与转换开关。使用时,安设在(需要测量的)普通锚杆的设计位置上,通过测量锚杆不同部位的应变值,确定锚杆受力大些�

123 信息反馈和修正初始设计

1231 信息反馈指标的确定

由于井下测量数据很多,必须从众多的数据中选醛�修改、调整初始设计的反馈信息指标。指标应简单、易于测取,而且是影响支护参数的关键数据。为此,根据晋普山巷道地质与生产条件,选用顶板离层值、两帮相对移近量、锚杆受力3个方面的5个指标。其中,顶板离层值包括锚固区内外顶板离层值2个。锚杆受力选用2个指标,全长锚固1个,端头锚固1个。反馈信息指标数据必须确定准确,因为它是关系到巷道锚杆支护的安全性和经济性的重要指标。

1232 修正初始设计的准则

经过对井下实测数据与信息反馈指标的对比比较,就可以判断支护初始设计的合理性,必要时修正初始设计。根据晋普山煤矿半煤岩巷道的条件,确定其修改初始设计的准则。

(1)初始设计不修改。如果实测值都小于反馈指标值,则初始设计不修改。

(2)初始设计要修改。如果实测值有一个或几个大于反馈指标值,就需要修改初始设计。第一,如果锚固区内离层值大于反馈指标值,则每排增加一根锚杆或缩小排距100 mm。第二,如果锚杆受力大于反馈指标值,则将锚杆直径加大2 mm。如果直径超过22 mm,改为强度更大的材料。第三,如果锚固区外离层值大于信息反馈指标值,则加大顶板锚杆长度,增加200 mm;如果锚杆长度大于24 m,则加大锚索密度,降低一排锚杆排距。第四,如果两帮移近量大于反馈指标值,则加大帮锚杆的长度,增加200 mm;如果帮锚杆长度大于2 m,则每排增加1根锚杆或缩小排距100 mm。修改后的支护设计实施于井下后,还要继续进行现场监测,评价支护效果和巷道的安全程度。

124 日常监测

锚杆支护正常施工后,还要进行日常监测,确保巷道的安全状态。日常监测包括3部分内容。

(1)锚杆锚固力抽检。巷道掘进施工过程中安排专人,按不小10 %的比例和不大于2 d的时间间隔对锚杆锚固力进行抽检。抽检时只做非破坏性拉拔,达到规定值后停止拉拔。

(2)顶板离层监测。顶板离层指示仪除做综合监测外,还用作日常监测。巷道每隔25 m~30 m,安设一个顶板指示仪。在距掘进工作面30 m内,观测顶板离层值。30 m以外,除非离层松动仍有明显增长的趋势,一般可停止测读具体数据,改为观察2个刻度坠的颜色。由当班班长和跟班技术员负责观察,其余人员也应随时注意观察,以便及早发现异常现象,确保安全。

(3)锚杆预紧力矩检测。巷道掘进施工过程中,安排专人按不小于30 %的比例和不大于1 d的时间间隔,用力矩示值扳手对锚杆螺母预紧力进行抽测,达到规定值后即为合格。

13 半煤岩巷锚杆支护材料与监测仪器

锚杆支护材料包括锚杆杆体、锚固剂、托盘、螺母、钢筋托梁、金属锚索等。近年来,高强度、高刚度锚杆材料的使用,已经成为煤巷半煤岩巷锚杆支护的主要形式。它在保证巷道安全状态,提高支护可靠性和支护施工速度,加快采煤工作面快速推进等方面起到了重要作用。

在矿压监测方面,购置了LBY型顶板离层指示仪、YGS型锚杆(索)测力计、CM—200型测力锚杆等仪器,并应用于锚杆支护技术中。

2 晋普山煤矿半煤岩巷锚杆支护矿压监测软件

为减轻工程技术人员的工作量,编制了LAMD软件,使技术人员能够及时、准确地处理大量矿压监测数据,判断初始设计的合理性,必要时进行修改。

21 软件的组成

数据库系统:输入、存储和输出需要处理的矿压监测数据。绘图系统:根据数据库提供的矿压监测数据,绘制各种矿压监测曲线。判断系统:判断锚杆支护初始设计的合理性。

22 系统功能

该系统提供的主要功能包括:处理巷道表面位移、巷道顶板离层、全长锚固测力锚杆、端部锚固锚杆的观测数据、分析数据处理结果,并以图形方式直观表示观测结果;根据观测结果验证初始设计,当初始设计不符合要求时,提出修改初始设计的各项建议。

3 半煤岩巷锚杆支护应用及锚杆支护展望

31 半煤岩巷锚杆支护应用

晋普山半煤岩巷锚杆支护在901回风巷、903皮带巷、903回风巷、902回风巷等采区巷道及901采区回采巷道得到广泛应用。

32 锚杆支护展望

进一步在3#煤回采巷道及大断面硐室进行推广,争取实现所有巷道支护锚网化。 在矿井范围内再补充进行地应力测试,为锚杆支护初始设计提供更详细的资料。 对锚杆支护巷道煤柱尺寸进行优化,在保证巷道稳定性的条件下,提高资源回收率。 开发研制煤巷及半煤岩巷快速掘进技术与工艺,提高锚杆支护成巷速度。

4 结语

(1)现场监测是锚杆支护技术的重要组成部分。锚杆支护实施后最大限度地获得了各种巷道围岩和支护体的位移和应力信息,是判断巷道围岩的稳定性,验证和修改初始设计的必要基穿�

(2)锚杆支护实施于井下后,应进行综合监测,包括巷道表面位移、顶板离层、锚杆(索)受力情况。

(3)锚杆支护正常施工后,还应进行长期的日常监测,包括顶板离层、锚杆锚固力抽检等内容,以确保巷道的安全状况。

(4)根据晋普山煤矿半煤岩巷巷道条件,确定了5个信息反馈指标,并在大量监测数据的基础上,给出了相应的指标数值。在今后应用中,只要将实测数据与反馈指标数值进行比较,就可以判断初始设计是否合理,并给出相应的设计方法。

(5)晋普山煤矿半煤岩巷道锚杆支护监测软件的编制,提高了监测数据处理的速度和准确性,减轻了工程技术人员的工作量,对促进矿压监测的日常化和规范化有重要意义。

怎么做好文档测试

仔细阅读,跟随每个步骤,

检查每个图形,尝试每个示例。

检查文档的编写是否满足文档编写的目的

内容是否齐全,正确

内容是否完善

标记是否正确

怎样做好文档测试 5分

以软件测试工程师非常重要,用我们的话来说很吃香。现在从事程序员的人有很多,做测试工程师的人少点,工作压力不太大

测试工程师应该具备的三项基本素质[1] 很多年轻或者刚刚从事测试工作的工程师,经常会问:“测试工程师需要什么技能或者具有什么素质才是合格的?”与开发人员相比,测试人员不但需要一技之长,还需要掌握诸如 *** 作系统、数据库、网络等多方面的知识。

经过这几年的发展,国内IT公司的测试水平有了很大的提高,但是与此同时,很多测试工程师也迎来了个人的发展瓶颈:很多人从测试工程师做到了测试经理的职位,不知道下一步如何发展;或者每天机械地从事著功能测试工作。

根据作者多年的经验,一个有竞争力的测试人员要具有下面三个方面的素质:

计算机专业技能

计算机领域的专业技能是测试工程师应该必备的一项素质,是做好测试工作的前提条件。尽管没有任何IT背景的人也可以从事测试工作,但是一名要想获得更大发展空间或者持久竞争力的测试工程师,则计算机专业技能是必不可少的。计算机专业技能主要包含三个方面:

测试专业技能

现在软件测试已经成为一个很有潜力的专业。要想成为一名优秀的测试工程师,首先应该具有扎实的专业基础,这也是本书的编写目的之一。因此,测试工程师应该努力学习测试专业知识,告别简单的“点击”之类的测试工作,让测试工作以自己的专业知识为依托。

测试专业知识很多,本书内容主要以测试人员应该掌握的基础专业技能为主。测试专业技能涉及的范围很广:既包括黑盒测试、白盒测试、测试用例设计等基础测试技术,也包括单元测试、功能测试、集成测试、系统测试、性能测试等测试方法,还包括基础的测试流程管理、缺陷管理、自动化测试技术等知识。

软件编程技能

“测试人员是否需要编程?”可以说是测试人员最常提出的问题之一。实际上,由于在我国开发人员待遇普遍高于测试人员,因此能写代码的几乎都去做开发了,而很多人则是因为做不了开发或激不能从事其它工作才“被迫”从事测试工作。最终的结果则是很多测试人员只能从事相对简单的功能测试,能力强一点的则可以借助测试工具进行简单的自动化测试(主要录制、修改、回放测试脚本)。

软件编程技能实际应该是测试人员的必备技能之一,在微软,很多测试人员都拥有多年的开发经验。因此,测试人员要想得到较好的职业发展,必须能够编写程序。只有能给编写程序,才可以胜任诸如单元测试、集成测试、性能测试等难度较大的测试工作。

此外,对软件测试人员的编程技能要求也有别于开发人员:测试人员编写的程序应着眼于运行正确,同时兼顾高效率,尤其体现在与性能测试相关的测试代码编写上。因此测试人员要具备一定的算法设计能力。依据作者的经验,测试工程师至少应该掌握Java、C#、C++之类的一门语言以及相应的开发工具。

网络、 *** 作系统、数据库、中间件等知识:

与开发人员相比,测试人员掌握的知识具有“博而不精”的特点,“艺多不压身”是个非常形象的比喻。由于测试中经常需要配置、调试各种测试环境,而且在性能测试中还要对各种系统平台进行分析与调优,因此测试人员需要掌握更多网络、 *** 作系统、数据库等知识。

在网络方面,测试人员应该掌握基本的网络协议以及网络工作原理,尤其要掌握一些网络环境的配置,这些都是测试工作中经常遇到的知识。

*** 作系统和中间件方面,应该掌握基本的使用以及安装、配置等。例如很多应用系统都是基于Unix、linux来运行的,这就要求测试人员掌握基本的 *** 作命令以及相关的工具软件。而WebLogic、Websphere等中间件的安装、配置很多时候也需要>>

怎么做好文档测试 文档资料

由于ERP项目涉及到相关双方或多方的人员、资金等资源,时间跨度相对比较长、实施难度比较大,涉及方方面面的信息流,并且所有与项目相关的需求、建议、解决方案与结论等都需要标准化、文档化,因此,

如何做好测试策略?

测试策略的输出:做对的事!

测试计划的输出:把事做对!

测试策略不是测试计划。

总得来说,通过TestBird的经验来说,APP测试计划会更多包含:测试活动的先后序列,资源调度分配的安排。而测试策略会更多包含:测试重点的确立,测试技术类型的分析和选取。

编写软件测试文档需要注意哪些要点?

貌似每个公司都会给你一个本公司的模板的,一般的测试文档包括以下内容:1简介(目的、背景、范围、项目标示等)

2测试需求

3测试策略:测试类型(数据和数据库完整性测试、功能测试、业务周期测试、用户界面测试、性能评价、负载测试强度测试、容量测试、安全性和访问控制测试、故障转移和回复测试、配置测试、安装测试)

测试工具

4测试资源(角色、系统)

5项目里程碑

6可交付工件(测试日志、缺陷报告)

7附录(项目任务于修订历史记录等)

一个菜鸟怎样做好功能测试

1 首先学习软件测试基本知识和软件流程。功能测试最开始最基础的就是分析需求编写测试用例,测试是把握质量的守关人,保证不漏测的第一步就是要编写尽可能全面的测试用例。可以学习用例编写方法、黑盒测试方法,阅读一些书籍,比如:软件测试艺术;此外,了解软件流程也很重要,根据迭代所处阶段测试可以做不同的事情,需求宣讲阶段制定测试计划、分析需求编写测试用例;开发阶段了解实现技术细节准备开发自测用例;提测后按用例测试,每天抛出风险和进度,根据执行质量考虑是否测试多轮,根据质量判断是非可以上线发布;上线后及时根据运营问题;

2 基础打牢后多实践。测试是讲究经验的职业,从简单需求开始,制定测试计划,编写用例执行,执行过程及时调整计划爆出风险和进度给团队知道非常重要。从简单需求到复杂需求到迭代跟进,除了执行,技术了解和bug跟进分析很重要,了解技术实现可以帮助你设计更全面的用例,更好评估功能质量风险;bug分析也是,往往一个经典的bug分析出来会发现更多隐蔽问题;功能测试完成建议编写测试总结,对测试方案、逻辑实现、发现问题和自己分析过程进行整理;

3 进行下去后会更加深入了解被测对象,从而可以做更多深入测试。比如稳定性测试,性能专项测试,接口测试等;团队合作下去可能会发现一些流程上的问题,可以思考如何优化流程让合作更高效,以及沉淀文档和规则;迭代跟进后会有一些质量效率问题,需要思考如何优化:自动化、精准测试、重复工作脚本化、工具化;根据每个迭代总结和测试数据分析也需要思考哪些数据待提高:漏测情况、bug发现情况;用户反馈问题多了,可以思考如何专题解决、如何快速定位……将这些工作完成并记录沉淀下来形成方法论,多做分享扩大自己影响面;

4 团队扩展后就需要思考如何培养新人,如何开展团队工作,帮助大家一起进步、高效工作;

项目支持是基本,在这基础上多发现问题多实践多思考,扩大自己影响。

如何编写一份好的测试报告

项目简介:一些需要介绍的内容,项目简称的解释,项目背景等等。 测试内容:测试内容的大纲。 测试环境:测试环境的描述,包括客户端和网络环境。 测试资源:测试过程中的测试资源使用。 测试的数据:bug数,解决数,遗留数。模块bug分布,bug走势图,缺陷遗留,需要说明的问题。 测试数据分析:对于整个过程测试的一个分析,得出结论。 遗留问题:对于软件遗留问题有详细说明。 报告的内容每个人都可以说清楚,但是仅仅简单的罗列,也能使看的人很费劲。如何展现这些东西使你的测试报告丰满而又有说服力,并且易读易看呢? 1、内容简洁:说话抓住重点,不说废话,简单易懂,能用表格的尽量用表格展示。 2、不罗列详细数据,挑拣一些能说明问题分析数据的:比如缺陷走势图,模块的bug分布等等。加必要的简短的分析。图形简单易懂,且比较直观。如果不能说明问题或者一些不重要的图表就不用都一一列在报告中了,会显得报告比较罗嗦。 3、遗留问题说明很重要:遗留问题列表:当遗留问题比较多时,要择优选择,因为大家都有这样的感受,10个问题,大家都会仔细看,100个问题就没有心情和时间仔细看了,会感觉重点不突出,这就需要测试人员挑出比较重要的问题展示出来,并且说明重要问题的影响。 4、分析结论一定要给出,并且明显的位置。让项目经理清楚你的测试结论是什么,当时间比较紧的时候他看到结论心里就有数了。 5、把其他的详细数据付成附件,可供想得到详细数据学习的人去学习理解。

如何做好测试需求分析

测试需求主要通过以下途径来收集:

1) 与待测软件相关的各种文档资料。如软件需求规格、Use case、界面设计、项目会议或与客户沟通时有关于需求信息的会议记录、其他技术文档等。 2) 与客户或系统分析员的沟通。

3) 业务背景资料。如待测软件业务领域的知识等。 4) 正式与非正式的培训。

5) 其他。如果以旧系统为原型,以全新的架构方式来设计或完善软件,那么旧系统的原有功能跟特性就成为了最有效的测试需求收集途径。

在整个信息收集过程中,务必确保软件的功能与特性被正确理解。因此,测试需求分析人员必须具备优秀的沟通能力与表达能力。

参考:wenkubaidu/pWekse

如何做一个好的测试工程师?

1能够编写测试计划、规划详细的测试方案、编写测试用例;

2能够根据测试计划搭建和维护测试环境;

3 能够执行测试工作,提交测试报告。包括编写用于测试的自动测试脚本,完整地记录测试结果,编写完整的测试报告等相关的技术文档;

4能够对测试中发现的问题进行详细分析和准确定位,与开发人员讨论缺陷解决方案;

5能够提出对产品的进一步改进的建议,并评估改进方案是否合理;对测试结果进行总结与统计分析,对测试进行跟踪,并提出反馈意见;

6能够为业务部门提供相应技术支持,确保软件质量指标。

如何做好测试计划和测试用例工作

个人认为做好测试计划的编写工作应该从以下几个方面考虑问题:

1、要充分考虑测试计划的实用性,即,测试计划与实际之间的接近程度和可 *** 作性。

2、要坚持“5W1H”的原则,明确测试内容与过程。

明确测试的范围和内容(WHAT);

明确测试的目的(WHY);

明确测试的开始和结束日期(WHEN);

明确给出测试文档和软件册存放位置(WHERE);

明确测试人员的任务分配(WHO);

明确指出测试的方法和测试工具(HOW)。

3、采用评审和更新机制,确保测试计划满足实际需求。

因为软件项目是一个渐进的过程,中间不可避免地会发生需求变化,为满足需求变化,测试计划也需要及时地进行变更。

之所以采取相应的评审制度,就是要对测试计划的完整性、正确性、可行性进行评估,以保证测试的质量。

4、测试策略要作为测试的重点进行描述。

测试策略是测试计划中的重要组成部分,测试计划是从宏观上说明一个项目的测试需求、测试方法、测试人员安排等因素,

打个不太恰当的比喻,你可以认为测试计划就是测试工作的预期输出,而测试执行是测试工作的实际输出,在预期输出!=实际输出

至于测试用例工作,我认为我们首先要明确测试用例在整个测试工作中的地位及其作用。个人认为,测试用例在整个测试工作中的

地位和作用主要体现在以下几个方面:

1、测试用例是测试执行的实体,是测试方法、测试质量、测试覆盖率的重要依据和表现形式;

2、测试用例是团队内部交流以及交叉测试的依据;

3、在回归测试中,测试用例的存在可以大大的降低测试的工作量,从而提高测试的工作效率;

4、测试用例便于测试工作的跟踪管理,包括测试执行的进度跟踪,测试质量的跟踪,以及测试人员的工作量的跟踪和考核;

5、在测试工作开展前完成测试用例的编写,可以避免测试工作开展的盲目性;

6、测试用例是说服用户相信产品质量的最佳依据,同时也可以提供给客户作为项目验收的依据。

当我们认识到测试用例在政工测试工作中的地位及其作用之后,相信大家都已经认识到了测试用例对测试工作的重要性和必要性,

1、做好测试人员的项目培训(主要指对需求分析、软件设计、测试计划的认知程度)工作。要想发挥团队中每一个成员的所有能力,最好的办法就是让他们每一个人都清楚这个项目中的所有细节,以及自己要在这个项目中所承担的责任。

2、尽可能的利用以往其他项目的测试用例;并将该项目中类似模块进行归类,按类编写测试用例,再根据每个模块的特点进行修改,要充分利用测试用例的可重用性。

3、在时间资源紧张的情况下,可以按照测试的关键路径编写测试用例,针对关键路径的测试用例一定要详尽,其他边缘模块的测试用例可以考虑仅通过性测试(既仅证真测试)。

4、采用针对测试用例的模块化编写。个人建议将测试用例和测试数据分开,测试用例中的 *** 作步骤应主要体现于业务流程的检验,而测试数据主要体现于针对系统的数据处理结果的检验。考虑到软件项目的需求变更问题,建议将这两项分开,通过测试用例编号进行关联,以应对需求变化造成的测试用例的修改,从而减少测试用例的修改量,缩短项目周期,提高工作效率。

IDS分类 IDS有许多不同类型的,以下分别列出: ●IDS分类1-Application IDS(应用程序IDS):应用程序IDS为一些特殊的应用程序发现入侵信号,这些应用程序通常是指那些比较易受攻击的应用程序,如Web服务器、数据库等。有许多原本着眼于 *** 作系统的基于主机的IDS,虽然在默认状态下并不针对应用程序,但也可以经过训练,应用于应用程序。例如,KSE(一个基于主机的IDS)可以告诉我们在事件日志中正在进行的一切,包括事件日志报告中有关应用程序的输出内容。应用程序IDS的一个例子是Entercept的Web Server Edition。 ●IDS分类2-Consoles IDS(控制台IDS):为了使IDS适用于协同环境,分布式IDS代理需要向中心控制台报告信息。现在的许多中心控制台还可以接收其它来源的数据,如其它产商的IDS、防火墙、路由器等。将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。有些控制台还将它们自己的攻击特征添加到代理级别的控制台,并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。 ●IDS分类3-File Integrity Checkers(文件完整性检查器):当一个系统受到攻击者的威胁时,它经常会改变某些关键文件来提供持续的访问和预防检测。通过为关键文件附加信息摘要(加密的杂乱信号),就可以定时地检查文件,查看它们是否被改变,这样就在某种程度上提供了保证。一旦检测到了这样一个变化,完整性检查器就会发出一个警报。而且,当一个系统已经受到攻击后,系统管理员也可以使用同样的方法来确定系统受到危害的程度。以前的文件检查器在事件发生好久之后才能将入侵检测出来,是“事后诸葛亮”,最近出现的许多产品能在文件被访问的同时就进行检查,可以看做是实时IDS产品了。该类产品有Tripwire和Intact。 ●IDS分类4-Honeypots(蜜罐):关于蜜罐,前面已经介绍过。蜜罐的例子包括Mantrap和Sting。 ●IDS分类5-Host-based IDS(基于主机的IDS):这类IDS对多种来源的系统和事件日志进行监控,发现可疑活动。基于主机的IDS也叫做主机IDS,最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。除了完成类似事件日志阅读器的功能,主机IDS还对“事件/日志/时间”进行签名分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的,系统的错误就可以很快地检测出来,技术人员和安全人士都非常喜欢它。现在,基于主机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。 ●IDS分类6-Hybrid IDS(混合IDS):现代交换网络的结构给入侵检测 *** 作带来了一些问题。首先,默认状态下的交换网络不允许网卡以混杂模式工作,这使传统网络IDS的安装非常困难。其次,很高的网络速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS(混合IDS)正是解决这些问题的一个方案,它将IDS提升了一个层次,组合了网络节点IDS和Host IDS(主机IDS)。虽然这种解决方案覆盖面极大,但同时要考虑到由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合IDS。有些产商把完成一种以上任务的IDS都叫做Hybrid IDS,实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。 ●IDS分类7-Network IDS(NIDS,网络IDS):NIDS对所有流经监测代理的网络通信量进行监控,对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带有IDS过滤器的混合信息包嗅探器,但是近来它们变得更加智能化,可以破译协议并维护状态。NIDS存在基于应用程序的产品,只需要安装到主机上就可应用。NIDS对每个信息包进行攻击特征的分析,但是在网络高负载下,还是要丢弃些信息包。网络IDS的产品有SecureNetPro和Snort。 ●IDS分类8-Network Node IDS(NNIDS,网络节点IDS):有些网络IDS在高速下是不可靠的,装载之后它们会丢弃很高比例的网络信息包,而且交换网络经常会防碍网络IDS看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机,从而缓解了高速和交换的问题。虽然NNIDS与个人防火墙功能相似,但它们之间还有区别。对于被归类为NNIDS的个人防火墙,应该对企图的连接做分析。例如,不像在许多个人防火墙上发现的“试图连接到端口xxx”,一个NNIDS会对任何的探测都做特征分析。另外,NNIDS还会将主机接收到的事件发送到一个中心控制台。NNIDS产品有BlackICE Agent和Tiny CMDS。 ●IDS分类9-Personal Firewall(个人防火墙):个人防火墙安装在单独的系统中,防止不受欢迎的连接,无论是进来的还是出去的,从而保护主机系统。注意不要将它与NNIDS混淆。个人防火墙有ZoneAlarm和Sybergen。 ●IDS分类10-Target-Based IDS(基于目标的IDS):这是不明确的IDS术语中的一个,对不同的人有不同的意义。可能的一个定义是文件完整性检查器,而另一个定义则是网络IDS,后者所寻找的只是对那些由于易受攻击而受到保护的网络所进行的攻击特征。后面这个定义的目的是为了提高IDS的速度,因为它不搜寻那些不必要的攻击。

关于IDS分类的意思,计算机专业术语名词解释

有许多不同类型的IDS,以下分别列出:  ●IDS分类1-Application IDS(应用程序IDS):应用程序IDS为一些特殊的应用程序发现入侵信号,这些应用程序通常是指那些比较易受攻击的应用程序,如Web服务器、数据库等。有许多原本着眼于 *** 作系统的基于主机的IDS,虽然在默认状态下并不针对应用程序,但也可以经过训练,应用于应用程序。例如,KSE(一个基于主机的IDS)可以告诉我们在事件日志中正在进行的一切,包括事件日志报告中有关应用程序的输出内容。应用程序IDS的一个例子是Entercept的Web Server Edition。●IDS分类2-Consoles IDS(控制台IDS):为了使IDS适用于协同环境,分布式IDS代理需要向中心控制台报告信息。现在的许多中心控制台还可以接收其它来源的数据,如其它产商的IDS、防火墙、路由器等。将这些信息综合在一起就可以呈现出一幅更完整的攻击图景。有些控制台还将它们自己的攻击特征添加到代理级别的控制台,并提供远程管理功能。这种IDS产品有Intellitactics Network Security Monitor和Open Esecurity Platform。  ●IDS分类3-File Integrity Checkers(文件完整性检查器):当一个系统受到攻击者的威胁时,它经常会改变某些关键文件来提供持续的访问和预防检测。通过为关键文件附加信息摘要(加密的杂乱信号),就可以定时地检查文件,查看它们是否被改变,这样就在某种程度上提供了保证。一旦检测到了这样一个变化,完整性检查器就会发出一个警报。而且,当一个系统已经受到攻击后,系统管理员也可以使用同样的方法来确定系统受到危害的程度。以前的文件检查器在事件发生好久之后才能将入侵检测出来,是"事后诸葛亮",最近出现的许多产品能在文件被访问的同时就进行检查,可以看做是实时IDS产品了。该类产品有Tripwire和Intact。  ●IDS分类4-Honeypots(蜜罐):关于蜜罐,前面已经介绍过。蜜罐的例子包括Mantrap和Sting。●IDS分类5-Host-based IDS(基于主机的IDS):这类IDS对多种来源的系统和事件日志进行监控,发现可疑活动。基于主机的IDS也叫做主机IDS,最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。除了完成类似事件日志阅读器的功能,主机IDS还对"事件/日志/时间"进行签名分析。许多产品中还包含了启发式功能。因为主机IDS几乎是实时工作的,系统的错误就可以很快地检测出来,技术人员和安全人士都非常喜欢它。现在,基于主机的IDS就是指基于服务器/工作站主机的所有类型的入侵检测系统。该类产品包括Kane Secure Enterprise和Dragon Squire。  ●IDS分类6-Hybrid IDS(混合IDS):现代交换网络的结构给入侵检测 *** 作带来了一些问题。首先,默认状态下的交换网络不允许网卡以混杂模式工作,这使传统网络IDS的安装非常困难。其次,很高的网络速度意味着很多信息包都会被NIDS所丢弃。Hybrid IDS(混合IDS)正是解决这些问题的一个方案,它将IDS提升了一个层次,组合了网络节点IDS和Host IDS(主机IDS)。虽然这种解决方案覆盖面极大,但同时要考虑到由此引起的巨大数据量和费用。许多网络只为非常关键的服务器保留混合IDS。有些产商把完成一种以上任务的IDS都叫做Hybrid IDS,实际上这只是为了广告的效应。混合IDS产品有CentraxICE和RealSecure Server Sensor。  ●IDS分类7-Network IDS(NIDS,网络IDS):NIDS对所有流经监测代理的网络通信量进行监控,对可疑的异常活动和包含攻击特征的活动作出反应。NIDS原本就是带有IDS过滤器的混合信息包嗅探器,但是近来它们变得更加智能化,可以破译协议并维护状态。NIDS存在基于应用程序的产品,只需要安装到主机上就可应用。NIDS对每个信息包进行攻击特征的分析,但是在网络高负载下,还是要丢弃些信息包。网络IDS的产品有SecureNetPro和Snort。  ●IDS分类8-Network Node IDS(NNIDS,网络节点IDS):有些网络IDS在高速下是不可靠的,装载之后它们会丢弃很高比例的网络信息包,而且交换网络经常会防碍网络IDS看到混合传送的信息包。NNIDS将NIDS的功能委托给单独的主机,从而缓解了高速和交换的问题。虽然NNIDS与个人防火墙功能相似,但它们之间还有区别。对于被归类为NNIDS的个人防火墙,应该对企图的连接做

以上就是关于入侵检测的分类情况全部的内容,包括:入侵检测的分类情况、有谁知道煤矿支护生产过程、如何做好文档测试等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/sjk/9514034.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-04-29
下一篇 2023-04-29

发表评论

登录后才能评论

评论列表(0条)

保存