按照数据—信息—知识逐层提炼的模式,基于记忆的APT攻击检测系统结构分为三级,系统整体架构图如下:
基于记忆的检测系统架构图
存储层
存储层完成对从互联网直接获取的实时数据流的预处理和存储管理工作。对实时数据流首先进行传输层的会话还原,消除因网络条件造成的乱序、重传、延迟等对后续分析的干扰;然后进行应用协议识别,判断数据流上所承载的具体应用;最终从非结构化的数据流中抽取结构化的元数据信息,以便后续的各类统计和关联分析。
预处理后的原始数据流,既包括完整的全流量数据,又包括提取后的元数据。考虑到海量数据的存储压力,可对不同类型的数据采取灵活的管理策略:
(1) 对于全流量数据,进行窗口长度为星期级的存储。由于全流量数据会占用海量存储空间,不宜进行长期存储,但全流量数据对于后续的回溯分析又是必须的。为此采用折中的存储策略:只存储最近几周(例如1-2周)的全流量信息,对于超期的数据进行降解处理。
(2) 对于元数据,进行年度级的存储。提取后的元数据只包含应用层会话的关键信息,其数据量大约相当于全流量信息的5%,这类信息对后续的统计、关联和数据挖掘具有重要的作用,且占用的空间在可接受范围内,因此在平台中进行长期存储。
分析层
分析层完成从原始流量数据中产生独立报警信息的工作,主要方法包括:
(1) 对于能引起网络流量显著异常的攻击,如DDoS、扫描、蠕虫传播等,可通过异常流量检测和统计分析的方式进行识别。通过建立全面、完整的安全基准指标体系,可以快速识别网络流量异常;通过统计分析,可准确定位异常的位置和原因。
(2) 对于不引起流量异常的未知攻击,可通过可疑行为建模的方式进行识别。例如对于尚未提取特征的木马,其连接控制端的时候可能会存在未知的加密传输、疑似心跳信号的间歇性连接、恶意域名访问、异常的上下行流量比等行为,通过对这些可疑行为进行关联,就有可能检测到木马连接行为。
(3) 对于通过异常检测模块产生的各类报警,由于缺乏攻击签名信息进行验证,其准确度往往低于基于特征匹配的误用检测。为此还需要结合原始报文,对报警的有效性进一步确认。通过报文所承载的应用层对象做细粒度的协议解析和还原,可辅助分析人员判定会话内容是否包含攻击数据,从而进一步产生精确报警。
展示层
展示层完成从孤立的攻击报警信息生成完整的攻击场景的关联工作,并提供可视化分析前端工具,帮助分析人员从存储的海量历史数据中获取知识。对于攻击场景关联,常见的方法是基于关联规则匹配攻击场景。由于APT攻击手段的复杂性,在实际环境中往往会因为报警事件的缺失导致无法进行完整攻击路径图的匹配,进而导致建立APT场景失败,为此要解决基于不完整攻击路径的攻击场景匹配问题。对于多维数据可视化分析,要提供给分析人员一套能从地址、端口、协议类型等维度对数据进行统计展示的工具,并支持按照不同的粒度对数据进行钻取,方便分析人员在大数据中定位可疑行为。
用手机上网会不会中病毒呢?原因什么呢?
会中病毒,我用手机上网曾经中过,中毒之后手机自动删除了我好多重要的电话号码,给我添了好多麻烦。 1、手机病毒的实现原理 手机病毒其实也和计算机病毒一样,它可以通过电脑执行从而向手机乱发短信息。 严格的讲手机病毒应该是一种电脑病毒,这种病毒只能在计算机网络上进行传播而不能通过手机进行传播,因此所谓的手机病毒其实是电脑病毒程序启动了电信公司的一项服务,例如电子邮件到手机短信息的功能,而且它发给手机的是文档,根本就无破坏力可言。 当然也有的手机病毒破坏力还是比较大的,一旦发作可能比个人电脑病毒更厉害,其传播速度,甚至会比“我爱你”病毒更快。 侵袭上网手机的病毒,会自动启动电话录音功能,并将录音四处传送,病毒也会自动打出电话、删除手机上的档案内容,以及制造出金额庞大的电话账单。 由于部分手机病毒是从自动打出电话时散播,因为手机网络联系得太完善,因而它比电脑病毒影响更广,而将来随手机设计更复杂及功能更多元化,病毒带来的灾害亦会更广。 另外由于手机还有其他的数据通讯方式,例如短信息,WAP服务,一方面他们确实能给我们带来方便,只需按几个键就可以换个LOGO,下载你喜爱的铃声。 但也正是这些功能,可以写入系统或记忆体的指令,破坏者只要找出缺口,传出一个带毒的短信息,以Assembly Programming改变系统的机内码(machine code),将指令藏在记忆体中,然后在开启其他手机的电话本,大肆传播病毒,在一定时间内发作,破坏手机的开机系统。 2、手机病毒的攻击方式 现在有不少手机用户担心WAP手机将会成为黑客攻击的重要对象。 因为通过网络直接对WAP手机进行攻击比对GSM手机进行攻击更加简便易行。 对此,一些专家曾指出,由于此类技术难度很大,加之手机网络运营商大多已在WAP服务器和“网关”部位设置安全系统,所以一般用户基本不用担心。 黑客如果对手机进行攻击,通常有三种表现方式:一是攻击WAP服务器使 WAP手机无法接受正常信息。 二是攻击、控制“网关”,向手机发送垃圾信息。 三是直接攻击手机本身,使手机无法提供服务。 这种破坏方式难度相对较大,但目前的技术水平还很难达到。 基于上面的攻击方式,WAP手机等一切与计算机信息系统网络相关的产品将面临新的安全要求,这一切至少告诉我们,基于WAP“网关”防毒的产品需求已经产生,有关的手机厂商们,电信公司们该把这个问题提到议程上来了。 对于WAP手机用户,也要随时留意新的信息,防患于未然。 3、手机病毒的主要类型 目前市面上已经出现的病毒共有6种,它们分别是: A、第一种是“EPOC_ALARM”,它总是持续发出警告声音,虽无大害,却也颇为烦人; B、第二种是“EPOC_BANDINFO.A”,它发作时会将用户信息变更为“Somefoolownthis”; C、第三种是“EPOC_FAKE.A”,它会在手机的屏幕上显示格式化内置硬盘时画面,无需惊慌,因为实际上手机并不会执行格式化操作的; D、第四种是“EPOC_Ghost.A”,它会在画面上显示“Everyonehatesyou”的话; E、第五种是“EPOC_LIGHTS.A”,它会使背景灯BackLight持续闪烁; F、第六种是“EPOC_ALONE.A”,它可以使键盘操作失效;等等。 这六种病毒中前五种的危害并不很大,并且还有种恶作剧的味道,但第六种“EPOC_ALONE.A”却是一种恶性病毒。 当电脑执行有毒的程序时,会显示红外线通信接收文件时所显示的画面,并在此时将病毒悄悄地藏入内存之中。 当病毒在内存中安营扎寨之后,会在电脑画面上显示“Warning-Virus”的信息,此后手机便不接受任何键盘操作。 当您发现以后,可以输入“leavemealone”来解除病毒常驻。 4、对手机病毒采取的措施 A、关闭乱码电话 当对方的电话打过来时,本来屏幕上显示的应该是来电电话号码,但却显示别的字样或奇异的符号。 如果遇到上述场合,接电话者应不回答或立即把电话关闭。 如接听来电,则会感染上这种病毒,同时机内所有新名词及设定将被破坏。 B、尽量少从网上下载信息
为什么年纪越大,时间过得越快?
小时候一年总是那么长,天天盼望着放假的时光;现在日子似乎一晃就过,不经意间已是春秋几何。 为什么年纪越大,时间感觉过得越快?心理学家说,这跟记忆力和注意力有关。
记忆是如何计算时间的呢?研究者们已经提出了一些令人信服的模型。
物理事件按客观时间轴进行,生物周期受内部时钟(比如心脏的起搏)调节,人类则有对时间流逝的知觉,而且我们对时间长度的知觉在很大程度上会因情景不同而变化。 认知心理学家丹•扎凯(Dan Zakay)在最新版的《心理学家》(The Psychologist)中解释了这一现象。 请坚持读到最后,你将会获得非常有价值的信息!
在你回想已经发生的事情的持续时间时,必须依靠对这个事件的记忆,即“回溯计时”。 用来解释回溯计时的一个重要的心理学模型是“情境变化模型”(contextual change model)。 你通过回顾记忆中关于某事的数据,来估计这件事持续了多久。 存储的数据越多,估计的时间就越长。
然而,受一些因素的影响,在同样的时间间隔中,存进记忆中的信息量可能不同。 例如,处理信息的强度就是影响因素之一,强度越高,我们感觉到的时间就越长。 在一个经典实验中,被试要记忆一个简单的图像(比如一个圆)或一个复杂的图像。 尽管分配给每个任务的时间相等,被试在实验后对记忆复杂图像所用时间的估计显著长于记忆简单图像所用时间。
另外一些使回溯计时变长的因素还包括在这段时间里环境变化了多少,或者是这段时间被分割成了多少子区间。 情境变化模型会将这些因素简单地解释为存储信息量的增加。
另外一类对时间的估计叫做“预期计时”。 还以记忆简单或复杂图形的任务为例,不同的是,在任务开始前就让你估计完成任务所需要的时间。 这次你将会使用的就是预期计时,得到的结果和回溯计时相反——你估计的记忆复杂图形的时间要短于记忆简单图形的时间。 回溯计时和预期计时基于的认知过程不同,前者基于注意过程(attentional processes),而不是记忆过程。 “注意闸门模型”(attentional gate model)可以解释预期计时。
生物周期是由一个发出稳定信号的内部时钟测量的。 一定的时间内发出的信号次数由一个叫做“累加器”的东西计数。 动物将信号次数存储在记忆中,当累积信号次数达到某个特定值时,就说明过去了某段特定的时间。 这个过程在动物体内不断重复,它不需要对时间流逝的觉察。
然而,人类在特定时间段内能意识到时间的流逝,而且容易受到注意需求的影响。 人类有一个“注意闸门”,人体内部时钟的信号只有通过闸门才能到达累加器。 如果你认为这段时间很重要,注意闸门就会大开,最大化信号次数积累速度;如果你认为这段时间不重要,那么闸门就会关小一些,累积的信号也会变少。 假如对于时间的估计取决于累加器的计数的话,那么很容易发现,在客观时长相同时,为什么等面试时的 15 分钟比休闲时的 15 分钟要长得多。 在之前的例子中,记忆复杂图形比记忆一个圆需要更多的注意力资源,导致闸门变窄,累加器计算的信号变少。
使用预期计时的注意闸门模型可以解释为什么“心急吃不了热豆腐”,为什么地震时感觉很漫长,为什么回程的路感觉要短一些。
最后,本文提供一种 “保证” 延长你的生命的方法。 小时候的假期看起来漫无止境,但是当你慢慢长大,时间好像跑得越来越快。 “时间” 和你接收了多少信息有关——信息能够延长时间。 孩提时代的早 9 点到下午 3 点半就像成人的 20 个小时。 孩子们每天经历很多新事物,时间过得慢,但是随着年龄增长,他们经历的新事物变少,信息延长时间的效果就会变弱。 所以,打破常规,确保生活充满新鲜积极的经历,比如到新地方旅行、培养新的兴趣,以及花更多的时间活在当下,都可以 “延长” 你的生活。
(来自果壳)
经常喝水对身体有多少好处?
基于实验结果,专家总结出以下餐前喝水的六大好处:1. 提高注意力:能帮助大脑保持活力,把新信息牢牢存到记忆中去。 2. 提高免疫力:可以提高免疫系统的活力,对抗细菌侵犯。 3. 抗抑郁:能刺激神经生成抗击抑郁的物质。 4. 抗失眠:水是制造天然睡眠调节剂的必需品。 5. 抗癌:使造血系统运转正常,有助于预防多种癌症。 6. 预防疾病:能预防心脏和脑部血管堵塞。 健康小贴士:喝水时间表专家推荐了一个“喝水行程表”,提供给您以作参考。 ※ 6:30经过一整夜的睡眠,身体开始缺水,起床之际先喝250CC的水,可帮助肾脏及肝脏解毒。 ※ 8:30清晨从起床到办公室的过程,时间总是特别紧凑,情绪也较紧张,身体无形中会出现脱水现象,所以到了办公室后,先别急着泡咖啡,给自己一杯至少250CC的水!※ 11:00在冷气房里工作一段时间后,一定得趁起身动动的时候,再给自己一天里的第三杯水,补充流失的水分,有助于放松紧张的工作情绪!※ 12:50用完午餐半小时后,喝一些水,可以加强身体的消化功能。 ※ 15:00以一杯健康矿泉水代替午茶与咖啡等提神饮料吧!能够提神醒脑。 ※ 17:30下班离开办公室前,再喝一杯水,增加饱足感,待会吃晚餐时,自然不会暴饮暴食。 ※ 22:00睡前1至半小时再喝上一杯水!今天已摄取2000CC水量了。 不过别一口气喝太多,以免晚上上洗手间影响睡眠质量。
发表评论