|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
入侵取证是指通过特定的软件和工具,从计算机及网络系统中提取攻击证据。依据证据信息变化的特点,可以将证据信息分成两大类:第一类是实时信息或易失信息,例如内存和网络连接;第二类是非易失信息,不会随设备断电而丢失。通常,可以作为证据或证据关联的信息有以下几种:
|
|
|
|
|
|
. 文件,如操作系统文件大小、文件内容、文件创建日期、交换文件等;
|
|
|
|
|
|
|
|
. 系统状态,如系统开放的服务及网络运行的模式等;
|
|
|
|
|
|
. 磁盘介质,包括硬盘、光盘、USB等,特别是磁盘隐藏空间。
|
|
|
|
|
|
第一步,取证现场保护。保护受害系统或设备的完整性,防止证据信息丢失。
|
|
|
|
第二步,识别证据。识别可获取的证据信息类型,应用适当的获取技术与工具。
|
|
|
|
第三步,传输证据。将获取的信息安全地传送到取证设备。
|
|
|
|
第四步,保存证据。存储证据,并确保存储的数据与原始数据一致。
|
|
|
|
第五步,分析证据。将有关证据进行关联分析,构造证据链,重现攻击过程。
|
|
|
|
第六步,提交证据。向管理者、律师或者法院提交证据。
|
|
|
|
在取证过程中,每一步的执行都涉及相关的技术与工具。
|
|
|
|
|
|
此类技术用于从受害系统获取原始证据数据,常见证据有系统时间、系统配置信息、关键系统文件、系统用户信息、系统日志、垃圾箱文件、网络访问记录、恢复已删除的文件、防火墙日志、IDS日志等。典型工具有ipconfig、ifconfig、netstat、fport、lsof、date、time、who、ps、TCPDump等。
|
|
|
|
|
|
此类技术用于保护受害系统的证据的完整性及保密性,防止证据受到破坏或非法访问,如用md5sum、Tripwire保护相关证据数据的完整性,使用PGP加密电子邮件。
|
|
|
|
|
|
此类技术用于分析受害系统的证据数据,常见的技术方法有关键词搜索、可疑文件分析、数据挖掘等。利用grep、find可搜索日志文件中与攻击相关的信息;使用OllyDbg、GDB、strings分析可疑文件;对tracert、IDS报警数据和IP地址地理数据进行关联分析,可以定位攻击源。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
在整个项目生命周期中,干系人的参与对项目的成功至关重要。应该比较所有干系人的当前参与程度与项目成功所需的参与程度,通过分析识别出当前参与程度与所需参与程度之间的差距,以便制订行动和沟通方案消除差距。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.领导:了解项目和潜在影响,积极致力于保证项目成功。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(3)继续反向扫描日志文件,查找该事务的其他更新操作,并做同样的处理,直到事务的开始标志。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
数据分析是大数据处理过程中的重要组成部分,是大数据价值体现的核心环节。经典的机器学习方法是最常见的数据智能分析方法,近年来迅速发展的深度学习在某些领域取得了惊人的效果。在应用开发上,也形成了几种主流的大数据处理框架。
|
|
|
|
机器学习中算法很多,也有很多不同种类的分类方法,一般分为监督学习和非监督学习(或无监督学习)。其中,监督学习是指利用一组已知类别的样本调整分类器的参数,使其达到所要求性能的过程,也称为监督训练,是从标记的训练数据来推断一个功能的机器学习任务。根据训练集中的标识是连续的还是离散的,可以将监督学习分为两类:回归和分类。
|
|
|
|
回归是研究一个或一组随机变量对一个或一组属性变量的相依关系的统计分析方法。线性回归模型是假设自变量和因变量满足线性关系。Logistic回归一般用于分类问题,而其本质是线性回归模型,只是在回归的连续值结果上加了一层函数映射。
|
|
|
|
分类是机器学习中的一个重要问题,其过程也是从训练集中建立因变量和自变量的映射过程,与回归问题不同的是,分类问题中因变量的取值是离散的,根据因变量的取值范围,可将分类问题分为二分类问题、三分类问题和多分类问题。根据分类采用的策略和思路的不同,分类算法大致包括:基于示例的分类方法,如K最近邻(K-Nearest Neighbor,KNN)方法;基于概率模型的分类方法,如朴素贝叶斯、最大期望算法EM等;基于线性模型的分类方法,如SVM;基于决策模型的分类方法,如C4.5、AdaBoost、随机森林等。
|
|
|
|
在实际应用中,缺乏足够的先验知识,因此难以人工标注类别或进行人工类别标注的成本太高,学习模型是为了推断出数据的一些内在结构。因此,根据类别未知(没有被标记)的训练样本解决模式识别中的各种问题,称为无监督学习。常见的算法有:关联规则挖掘,是从数据背后发现事物之间可能存在的关联或联系。比如数据挖掘领域著名的“啤酒-尿不湿”的故事。K-means算法,基本思想是两个对象的距离越近,其相似度越大;相似度接近的若干对象组成一个簇;算法的目标是从给定数据集中找到紧凑且独立的簇。
|
|
|
|
近年来发展起来的深度学习算法是基于原有的神经网络算法发展起来的,包括BP神经网络、深度神经网络。
|
|
|
|
BP神经网络是一种反向传播的前馈神经网络,所谓前馈神经网络就是指各神经元分层排列,每个神经元只与前一层的神经元相连,接收前一层的输出,并输出给下一层。所谓反向传播是指从输出层开始沿着相反的方向来逐层调整参数的过程。BP神经网络由输入层、隐含层和输出层组成。
|
|
|
|
深度神经网络主要包括卷积神经网络、循环神经网络等,也包括它们的各种改进模型。
|
|
|
|
(1)卷积神经网络(Convolutional Neural Network,CNN)是一种前馈神经网络,其结构包括输入层、卷积层、池化层、全连接层以及输出层等。该算法在图像处理、模式识别等领域取得了非常好的效果。在CNN的发展过程中,最经典的模型是AlexNet,针对不同的应用需要,又产生了全卷积模型(FCN)、残差神经网络模型(ResNet)、DeepFace等模型结构。
|
|
|
|
(2)循环神经网络(Recurrent Neural Network,RNN)是一种人工神经网络,在该网络中,除了层间的连接以外,同层各单元之间连接构成了一个有向图序列,允许它显示一个时间序列的动态时间行为。RNN可以使用它们的内部状态来处理输入序列,这使得它们适用于诸如未分割的、连续的手写识别或语音识别等任务。传统的RNN是很难训练的,往往会出现梯度消失或梯度爆炸等情况,因此又出现了多个扩展版本,如BiRNN、LSTM等。
|
|
|
|
随着深度学习的快速发展和应用的普及,开始出现了一些深度学习框架。深度学习框架是一种界面、库或工具,可以使用户在无需深入了解底层算法的细节的情况下,能够更容易、更快速地构建深度学习模型。深度学习框架利用预先构建和优化好的组件集合定义模型,为模型的实现提供了一种清晰而简洁的方法。常见的深度学习框架有:Caffe,是一个广泛使用的开源深度学习框架,支持常用的网络模型,比如Lenet、AlexNet、ZFNet、VGGNet、GoogleNet、ResNet等;TensorFlow,是一个使用数据流图进行数值计算的开源软件库,图中的节点表示数学运算,而图边表示节点之间传递的多维数据阵列(又称张量),其为大多数复杂的深度学习模型预先编写好了代码,比如递归神经网络和卷积神经网络,灵活架构使我们能够在一个或多个CPU(以及GPU)上部署深度学习模型;Keras,是一个由Python编写的开源人工神经网络库,可以作为TensorFlow、Microsoft-CNTK和Theano的高阶应用程序接口,进行深度学习模型的设计、调试、评估、应用和可视化,Keras完全模块化并具有可扩展性,并试图简化复杂算法的实现难度。
|
|
|
|
随着大数据技术的广泛深入,大数据应用已经形成了庞大的生态系统,很难用一种架构或处理技术覆盖所有应用场景。下文介绍几种当前主流的大数据分布式计算架构。
|
|
|
|
Apache Hadoop是用于开发可靠、可伸缩、分布式计算的开源软件,是一套用于在由通用硬件构建的大型集群上运行应用程序的框架。包含的模块有:Hadoop分布式文件系统(HDFS),提供对应用程序数据的高吞吐量访问的分布式文件系统;Hadoop YARN,作业调度和集群资源管理的框架;Hadoop MapReduc,一个用于大型数据集并行处理的基于YARN的系统;Hadoop Ozone,Hadoop的对象存储;Hadoop Submarine,Hadoop的机器学习引擎。
|
|
|
|
Apache Spark是加州大学伯克利分校的AMP实验室所开源的类Hadoop MapReduce的通用并行框架。Spark是一个分布式的内存计算框架,是专为大规模数据处理而设计的快速通用的计算引擎。Spark的计算过程保持在内存中,不需要读写HDFS,减少了硬盘读写,提升了计算速度。除了Map和Reduce操作外,Spark还延伸出如filter、flatMap、count、distinct等更丰富的操作。同时通过Spark Streaming支持处理数据流。
|
|
|
|
Apache Storm是一个免费的开源分布式实时计算系统,可以可靠地处理无边界的数据流变,可以实现实时处理。Apache Storm速度很快,它是可扩展的,容错的,并且易于设置和操作。Apache Storm应用于实时分析、在线机器学习、连续计算、分布式RPC、ETL等等。Storm的核心是拓扑(Topology),拓扑被提交给集群,由集群中的主控节点分发代码,将任务分配给工作节点执行。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
把数据库从错误状态恢复到某一个已知的正确状态的功能,称为数据库的恢复。数据恢复的基本原理就是冗余,建立冗余的方法有数据备份和登录日志文件等。可根据故障的不同类型,采用不同的恢复策略。
|
|
|
|
|
|
事务故障的恢复是由系统自动完成的,对用户是透明的(不需要DBA的参与)。其步骤如下:
|
|
|
|
|
|
|
|
③继续反向扫描日志文件,查找该事务的其他更新操作,并做同样处理。
|
|
|
|
④如此处理下去,直至读到此事务的开始标记,事务故障恢复完成。
|
|
|
|
|
|
系统故障的恢复在系统重新启动时自动完成,不需要用户干预。其步骤如下:
|
|
|
|
①正向扫描日志文件,找出在故障发生前已经提交的事务,将其事务标识记入重做(Redo)队列。同时找出故障发生时尚未完成的事务,将其事务标识记入撤销(Undo)队列。
|
|
|
|
②对撤销队列中的各个事务进行撤销处理:反向扫描日志文件,对每个Undo事务的更新操作执行逆操作。
|
|
|
|
③对重做队列中的各个事务进行重做处理:正向扫描日志文件,对每个Redo事务重新执行日志文件登记的操作。
|
|
|
|
|
|
|
|
①装入最新的数据库后备副本,使数据库恢复到最近一次备份时的一致性状态。
|
|
|
|
②从故障点开始反向扫描日志文件,找出已提交事务标识并记入Redo队列。
|
|
|
|
③从起始点开始正向扫描日志文件,根据Redo队列中的记录,重做已完成的任务,将数据库恢复至故障前某一时刻的一致状态。
|
|
|
|
|
|
检查点记录的内容可包括建立检查点时刻所有正在执行的事务清单,以及这些事务最近一个日志记录的地址。采用检查点的恢复步骤如下:
|
|
|
|
①从重新开始文件中找到最后一个检查点记录在日志文件中的地址,由该地址在日志文件中找到最后一个检查点记录。
|
|
|
|
②由该检查点记录得到检查点建立时所有正在执行的事务清单队列(A)。
|
|
|
|
③建立重做队列(R)和撤销队列(U),把A队列放入U队列中,R队列为空。
|
|
|
|
④从检查点开始正向扫描日志文件,若有新开始的事务T1,则把T1放入U队列;若有提交的事务T2,则把T2从U队列移到R队列;直至日志文件结束。
|
|
|
|
⑤对U队列的每个事务执行Undo操作,对R队列的每个事务执行Redo操作。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
文件操作是指对音频文件进行整体操作,主要包括音频文件的格式转化、数据率的压缩、音频文件的刻录等操作。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
文件分析就是通过分析现有文档,识别与需求相关的信息,来挖掘需求。可供分析的文档很多,包括商业计划、营销文献、协议、建议邀请书、现行流程、逻辑数据模型、业务规则库、应用软件文档、业务流程或接口文档、用例、其他需求文档、问题日志、政策、程序和法规文件等。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(1)BMP:PC上最常用的位图格式,有压缩和不压缩两种形式,该格式可表现2~24位的色彩,分辨率也可从480×320至1024dpi× 768dpi。
|
|
|
|
(2)DIB(Device Independent Bitmap):描述图像的能力基本与BMP相同,并且能运行于多种硬件平台,只是文件较大。
|
|
|
|
(3)PCP(PC Paintbrush):由Zsoft公司创建的一种经过压缩且节约磁盘空间的PC位图格式,它最高可表现24位图形(图像)。
|
|
|
|
(4)DIF(Drawing Interchange Format):AutoCAD中的图形文件,它以ASCII(American Standard Code for Information Interchange,美国国家信息交换标准码)方式存储图形,表现图形在尺寸大小方面十分精确。
|
|
|
|
(5)WMF:Microsoft Windows图元文件,具有文件短小、图案造型化的特点。该类图形比较粗糙,并只能在Microsoft Office中调用编辑。
|
|
|
|
(6)GIF(Graphics Interchange Format):在各种平台的各种图形处理软件上均可处理的经过压缩的图形格式。缺点是存储色彩最高只能达到256种,由于存在这种限制,目前除了Web网页还在使用它外,其他场合已很少使用了。
|
|
|
|
(7)JPG(Joint Photographics Expert Group):可以大幅度地压缩图形文件的一种图形格式。对于同一幅画面,JPG格式存储的文件是其他类型图形文件的1/10~1/20,而且色彩数最高可达到24位,所以它应用相当广泛。
|
|
|
|
(8)TIF:文件体积庞大,但存储信息量亦巨大,细微层次的信息较多,有利于原稿阶调与色彩的复制。该格式有压缩和非压缩两种形式,最高支持的色彩数可达1.6×107种。
|
|
|
|
(9)EPS(Encapsulated PostScript):用PostScript语言描述的ASCII图形文件,在PostScript图形打印机上能打印出高品质的图形(图像),最高能表示32位图形(图像)。
|
|
|
|
(10)PSD(Photoshop Standard):Photoshop中的标准文件格式,专门为Photoshop而优化的格式。
|
|
|
|
(11)CDR(CorelDraw):CorelDraw的文件格式。另外,CDX是所有CorelDraw应用程序均能使用的图形(图像)文件,是发展成熟的CDR文件。
|
|
|
|
(12)IFF(Image File Format):用于大型超级图形处理平台,如AMIGA机,好莱坞的特技大片多采用该图形格式处理。图形(图像)效果,包括色彩纹理等能逼真地再现原景。当然,该格式耗用的内存外存等的计算机资源也十分巨大。
|
|
|
|
(13)TGA(Tagged Graphic):是Truevision公司为其显示卡开发的图形文件格式,创建时期较早,最高色彩数可达32位。VDA、PIX、WIN、BPX、ICB等均属其旁系。
|
|
|
|
(14)PCD(Photo CD):由KODAK公司开发,其他软件系统对其只能读取。
|
|
|
|
(15)MPT(Macintosh Paintbrush)或MAC:Macintosh机所使用的灰度图形(图像)模式,在Macintosh Paintbrush中使用,其分辨率只能是720 × 567dpi。
|
|
|
|
(16)SWF(Flash):Flash是Adobe公司制定的一种应用于Internet的动画格式,它是以矢量图作为基本的图像存储形式的。
|
|
|
|
除此之外,Macintosh机专用的图形(图像)格式还有PNT、PICT、PICT2等。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
由于计算机系统处理的信息量越来越大,所以不可能将所有的信息保存到主存中。特别是在多用户系统中,既要保证各用户文件存放的位置不冲突,又要防止任一用户对外存储器(简称外存)空间占而不用;既要保证各用户文件在未经许可的情况下不被窃取和破坏,又要允许在特定的条件下多个用户共享某些文件。因此,需要设立一个公共的信息管理机制来负责统一管理外存和外存上的文件。
|
|
|
|
所谓文件管理系统,就是操作系统中实现文件统一管理的一组软件和相关数据的集合,专门负责管理和存取文件信息的软件机构,简称文件系统。文件系统的功能包括按名存取,即用户可以“按名存取”,而不是“按地址存取”;统一的用户接口,在不同设备上提供同样的接口,方便用户操作和编程;并发访问和控制,在多道程序系统中支持对文件的并发访问和控制;安全性控制,在多用户系统中的不同用户对同一文件可有不同的访问权限;优化性能,采用相关技术提高系统对文件的存储效率、检索和读/写性能;差错恢复,能够验证文件的正确性,并具有一定的差错恢复能力。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
运维是运行维护的简称,是一种IT服务形态。在《信息技术服务分类与代码》(GB/T 29264-2012)中,对运行维护服务(operation maintenance service)给出的定义是“采用信息技术手段及方法,依据需方提出的服务级别要求,对其信息系统的基础环境、硬件、软件及安全等提供的各种技术支持和管理服务”。
|
|
|
|
运维是信息系统全生命周期中的重要阶段,也是内容最多、最繁杂的部分,是对信息系统提供维护和技术支持以及其他相关的支持和服务。运维服务的主要对象包括基础设施、硬件平台、基础软件、应用软件以及依赖于IT基础设施的数据中心、业务应用等信息系统,其范围可以是单个IT基础设施的运维,也可以是整体IT基础设施和业务应用的总体运维。运维服务交付内容主要包括咨询评估、例行操作、响应支持和优化改善。
|
|
|
|
在《信息技术服务分类与代码》(GB/T 29264-2012)中,将运行维护服务分成基础环境运维、硬件运维服务、软件运维服务、安全运维服务、运维管理服务和其他运行维护服务六类,每类运维服务及其说明见下表。
|
|
|
|
|
|
|
|
|
|
任何组织和个人提供运维服务需要依据需方提出的服务级别要求,并确保提供的运行维护服务符合与需方约定的质量要求。因此,具备相应运维服务能力是服务组织提供服务的必要条件,比如规范和明确运维人员的岗位职责和工作安排、提供绩效考核量化依据、提供解决事故和问题经验、提供知识的积累和共享手段、实现完善的IT运维管理、提高组织经营水平和服务水平等等。在《信息技术服务运行维护第1部分:通用要求》(GB/T 28827.1-2012)中给出了供方运维服务的能力模型,该模型定义了运行维护服务能力的四个关键要素:人员、资源、技术和过程,每个要素通过关键指标反映应具备的条件和能力。模型也给出了供方为持续提升运维能力的管理方法。
|
|
|
|
|
|
|
|
|
|
|
|
|
