主动式计算机网络(精选12篇)
主动式计算机网络 第1篇
1 优越性
1.1 统一管理
当设置的外置代理系统的接口与网络管理者之间的接口相一致时,便可实现对不同网络系统进行统一管理的目的。并且由于接口可以由网络管理者自行定义。因此,在操作上也比较方便。
1.2 优化网络管理方案
主动式网络管理主要是将数据的收集、分析以及处理等任务分配到具有较高性能的外置代理系统上,从而使得网络管理站能够放弃大量初级信息处理工作,进而使管理行为更好地体现了管理策略和方案,并且由外置代理系统发送给网络管理站的数据信息,基本上都是处理好的,这样使网上的数据流量大幅度减少,有效地节约了公共网络的带宽,尤其是在网络管理站通过Internet进行远程网络管理时,这一优点更为明显。
1.3 增强开放性
每一个网络设备厂商都有其自己的代理技术,并且没有任何一个厂商愿意将自己的代理技术公开,这就使得网络系统的研发及应用受到了极大的限制。为了使主动式网络管理能够更好地在不断扩展的网络环境中发挥其应有的作用,通过基于外置代理的网络管理体系结构,使其能够实现更全面的管理策略。
1.4 智能化网络管理平台
由于外置代理系统具有较好的开放性,以及在网络管理者和设备代理商之间构建了一个可编程的代理平台,从而为主动式网络管理模式的应用提供必要的基础保证。
2 实现主动式网络管理的要求及功能
2.1 基本要求
要想实现主动式的网络管理,必须做好以下几方面的工作:
(1)对网络的当前状态进行评估。网络的当前状态主要包括:网络中有哪些设备以及设备的配置情况、运行状况、性能级别和当前发生的问题等。可通过网络信息并按照事件的关联性,对发生的问题进行评估,并以此来达到主动式的网络管理。
(2)确定网络发展的趋势。通过对网络发展趋势的确定,进而确定应如何对配置更改、网络设备更换等操作,来对网络进行优化。利用采集历史数据信息能够实现这一目标。
(3)通过设定关键网络设备的阈值,来对可能发生的故障进行预测并防止其发生。
2.2 功能
(1)网络信息呈现。实现主动式网络管理的前提和基础是要尽量收集当前网络的所有状态信息,而网络管理系统则借此对管理对象的实际状态进行持续检查,其中包括运行状态、关闭状态、临界状态以及网络拓扑变化等,并将这些信息体现在状态拓扑图上。
(2)事件监视。这一功能主要是指系统能够在重要事件发生时对网络管理者主动进行提醒,即利用拓扑图中设备符号的颜色变化来反映正在发生的事件,并通过报警的方式进行报告。其中每一种报警的类别都有与之相对应的按钮,按钮上的颜色也是可以改变的,这样能够便于反映出这一类别中当前报警情况的严重程度,从而使用户及时地了解潜在的问题或是当前可能存在的问题。此外,还可以通过对报警情况进行浏览借此来诊断问题,并根据特定节点对报警进行查看,以此来快速解决当前发生的问题。
(3)接入监控。采取必要的策略控制用户随意修改网络配置及非法接入网络,如IP地址与交换机端口绑定、IP地址与MAC地址绑定、IP地址与主机名绑定等等。对一些不符合合法性验证的设备进行自动拦截,并将结果显示在网络拓扑图上。
(4)主动预防。以往大部分传统的网络管理软件基本上都是以收集和分析网络数据信息为主,而对于故障问题仅是进行报警或以报表的形式做事后分析处理,并能对当前发生在网络中的故障进行积极、主动的解决处理。主动式网络管理系统则可为较为关键的网络及设备配置相应的阈值,从而达到监视其运行状态的目的。就主动式网络管理系统而言,其软件不但要能够及时、迅速地发现网络中出现的故障、报警、通知网络管理人员之外,同时,还需为故障的处理提供一定的方式或途径,从而确保网络的正常运行。
(5)智能知识库。该功能的主要作用是为已发生的故障诊断及处理提供建议和向导,并提供知识的发布功能。对通过处理排除后的故障,形成一个问题知识库,其可以不断地积累处理各种故障的经验及知识,而且还可以使各种知识资源得到共享,进而提高技术人员对故障处理的水平。
3 具体方法
3.1 提高综合素质
就主动式网络管理而言,其并不仅仅是做好网络设备管理及排除网络故障,而是要对整个网络系统进行全方位的管理,主要涉及以下几个方面的内容:网络上不同操作系统的管理、不同硬件设备的管理、不同的应用系统管理以及不同的数据库系统管理等。作为一名优秀的网络管理人员,必须具备扎实的网络技术知识,了解操作系统、应用系统、数据库等方面的知识,同时还应具有一定的信息安全方面的知识。并且要熟悉被管理的网络的具体类型、拓扑结构以及主要功能,清楚各类通信设备的性能,熟练掌握各种设备和系统的操作及配置。只有这样,才能在网络或系统出现故障时,及时、迅速地找到问题,进而给出最佳的解决方案,使网络能够以最快的速度恢复正常工作。
3.2 重视网络规划和基础设施建设
为了能够更好地实现主动式网络管理,应根据不同的使用要求做好网络规划。对整个网络中不同的接入区域尽量明确地划分出其网络拓扑结构,有效地实现网络的可管理性。此外,应主动参与到整个网络的基础建设中去,并严把质量关,借此建设一个较为良好的网络环境,为实现主动式网络管理奠定坚实的基础。
3.3 谨慎选择网络设备
当前,随着网络技术的不断发展,网络设备的生产厂家也随之增多,虽然一些小厂商的设备价格比较低,但其产品的质量及售后服务却不是很好。因此,应尽可能选择质量及信誉有保障的大厂商的网络设备。此外,由于网络厂商对网络管理信息中的一些私有部分都进行了信息封锁,一旦选择了不同厂商的设备,会导致互联互通性差,不利于进行主动式网络管理。
3.4 加强安全防护措施
(1)完善网络监测和锁定。网络管理人员应对网路环境进行实时监控,并由服务器记录下用户对网络资源的访问,一旦出现非法的访问,服务器需及时报警,以便引起网络管理员得注意。如果有用户试图以非法的形式进入网络,服务器应能对具体次数进行记录,当次数达到服务器预先设定的数值后,该用户将被服务器自动锁定。
(2)端口的安全控制。在网络中,通常都是用静默调制解调器和自动回呼设备来对服务器的端口进行保护的。自动回呼设备的主要功能是用来防止不法分子冒充合法用户;而静默调制解调器则是用来防范黑客对计算机程序进行非法攻击的。网络也会对服务器端及用户端采取必要的内控制,如用户身份验证等,而用户必须通过身份验证后方可进入用户端,进入后在由服务器端与客户端进行相互验证。
(3)设置防火墙。防火墙技术属于隔离控制技术,是内部网与外部网之间的“门户”,也是保护计算机网络安全最有效的技术措施之一。其主要是通过在网络之间设置屏障,阻止对信息资源的非法入侵,从而确保了内部与外部之间安全畅通的信息交换。防火墙采用网络地址转化、信息过滤、邮件过滤以及网关等技术,使外部网无法获悉内部网的具体情况,并对用户使用网络有详细的记录和严格控制。
(4)杀毒软件。其主要作用是杀毒和防止病毒入侵。但有一点需特别注意,杀毒软件必须定期进行升级,使之达到最新的版本,因为计算机病毒始终都在不断更新,只有杀毒软件也随之不断更新,才能更有效地做到防毒、杀毒。
(5)数据资源加密技术。对数据资源进行加密是一种较为主动的安全防卫措施,加密实际上就是对信息重新编码,使信息的具体内容得以隐藏,资源信息经过加密处理后,其安全性和保密性能够得到有效保障。加密按照具体作用的不同可分为以下几种技术:密匙管理、数据完整性鉴别、数据传输以及数据存储。
(6)资料备份。由于网络数据重要性相对较高,因此,为了避免因病毒、黑客攻击等原因引起系统崩溃而导致数据信息丢失,需对较为重要资料进行备份。目前,通常都是采用资料备份软件进行这项工作,再配合以各种资料恢复软件效果会更好。
4 结语
随着我国信息化建设进程的不断加快,计算机网络中承载的重要信息将会越来越多,为了更好地加强对网络环境的管理,必须转变传统的被动管理模式,积极探索主动式的网络管理方法,并借此对网络进行科学的管理,使网络环境不断优化,发挥出网络的最大价值。
参考文献
[1]季福坤,王志伟.网络管理协议与应用实践研究[A].中国计算机用户协会网络分会2008年年会论文集[C],2008,(12).
[2]张志,张华忠,刘成志.Mobile IP网络中基于移动Agent的网络管理系统设计[J].计算机工程与设计,2006,(03).
[3]丁玲,余敬东.Ad hoc网中一种改进的基于移动代理的拓扑发现策略[A].无线传感器网及网络信息处理技术2006年通信理论与信号处理年会论文集[C],2006,(10).
[4]王建国,李增智,寇雅楠,王宇.一种基于主动网络的高效的网络管理模型[J].小型微型计算机系统,2008,(03).
构建网络互动式阅读教学论文 第2篇
建立“网络互动式”学习小组,这是在语文课堂教学中更好地实施新教法的有效条件。即把全班分成三到五个大组。每个大组再分成若干小组,每小组四到六人,并选一个小组长。小组长负责组织小组的同学,开展各种的学习活动。学生、教师、教材以及课外学习资源均可视作“网络”上的一个节点。小组的学生就构成一“小组网”,课堂可视作“课内域网”,课外可视作“课外网络地带”。教学过程就是师生“上网”交流合作的过程。这样可以给学生提供更多直接参与学习的机会;有利于培养学生的参与意识和组织能力;促进师生之间、学生之间的互动作用,使学生民主合作的精神得以形成。
第二,阅读教学中,发挥小组的“网络互动功能”。
旧式阅读教学,课堂大部分时间由教师掌握,学生阅读不到位,学生所面对的往往不是课文本身,而主要是“揣摩”思考与练习的“答案”,往往以教师的“分析”来代替学生的阅读实践,学生主要的任务是“听记”教师的“分析”思考练习的“答案”。换句话说,是重复、模仿他人(教材编撰者、教参、教师)的阅读。使学生丧失了自我的话语权。没有学习的过程,没有情感体验,严重地违反了“三维”的统一性。
新课标指出,语文教学要使学生“成为真正的学习主人”,学生独特的阅读感受是至关重要的,老师绝对不能取代学生的阅读。所以一定要把阅读的时间、阅读的权力还给学生。老师的主要任务是帮助学生激活原有知识,引导学生走进课文。例如学习《期行》之前,可以让“小组网”发挥网络的通信与合作功能,由小组长组织同学作一次小小的社会调查,了解新近的关于守信、礼貌的事件和新闻报道,或收集有关的名言名句和故事等等。然后,在进入课文前,让各个小组把最精彩的片段在班中展示。这样就为学生创设了进入新课文的情景,提高了学生理解课文的欲望和能力,也充分调动了学生间、小组间的“网络互动功能”。
引导学生走进课文以后,给学生一定的时间,用自己小组喜欢的方式去阅读理解课文,可以各自反复阅读,根据注释理解文意;可以小组一起朗读,再互相之间对译,找出难以理解的字、词、句互相讨论;也可以用说读的办法理解句意,再整篇翻译。对于典型的疑难点进行全班交流探讨。在理解课文的基础上,再给学生提供一个适宜的环境——一个没权威的、没有批判的、民主的、自由的环境。把思考和言说权留给学生。
再如《期行》一文,在理解课文后,对人物进行评价时,有些老师会不自觉地、权威地传授:“陈元方有礼,陈太丘守信,而友人则无礼无信。”要学生接受。而在民主自由的“网络互动小组”中,学生除了以上的说法外,有的会说,陈元方也不见得有礼,他“入门不顾”;有的人会说,友人迟到可能另有苦衷;有人会说……只要理由充分都应该给予肯定,让学生畅所欲言。在这样的辩论后,学生会自然体会到:做人要有礼、守信;看问题不能只从单一个角度看;评价一个人要有一定的根据;…… 这样学生的阅读学习就在“网络”中“互动”,在“互动”中“体验情感”,在“体验情感”过程中形成个人的价值观和人生观。
第三,引导学生“登陆”“课外网络地带”。
阅读教学,不只是阅课文教学,还要注意课外资源的开发,使学生的课堂学习与生活紧密结合。老师“引导学生走进课文”,也得要“引导学生走出课文”,去“登陆课外网络地带”。
首先,要善于帮助学生开发“课外网络地带”。如图书、报刊,电视、广播,演讲会、辩论会,图书馆、博物院,自然风光、风俗民情,国内外的重要事件,学生的家庭生活等都可以成为“课外网络地带”。只要与学生学习的内容一致,符合其身心发展的特点,满足其兴趣爱好和发展要求,都可以引导其“登陆”。如学习了《回忆我的母亲》、《小巷深处》,小组可以开展一次“了解母亲,关爱母亲”的亲子活动,然后把活动的过程和体会在班上交流,把课文中的“母亲”带进生活,再把生活中的“母亲”请回课堂,实现“网络”的“资源共享”。
其次,要注意发挥“网络互动功能”,激发学生的阅读兴趣。新课标指出“规定了阅读的量,要求课外阅读总量不少于260万字,名著每年阅读两三部”。扩大阅读的空间是提高语文水平的重要保证。那如何使学生喜欢阅读、大量阅读呢?以读去促读,以写去促读,以讲去促读。如学习《忆读书》,就可以引导学生去读一读“精彩的《西游记》”、“人物如生的《水浒传》”,学习《西游记》精彩的描写手法和《水浒传》人物形象的表现手法,以读促读。学生读了课外书后,要注意指导他们写好读后感,做好读书笔记,并且让优秀的读后感,在班上发表,使学生体会到成就感,也激发其他学生的阅读兴趣,以写去促读。还可以适当举行一些“推荐好书”的演讲会,让学生展现自已所看过的好书的精彩内容,激起学生“登陆”的兴趣和频率,以讲去促读。使课内阅读向“课外网络地带”无限延伸。
牢牢掌握网络舆论工作主动权 第3篇
互联网看起来是一个虚拟空间,实际上却是现实生活的延伸。互联网如同一把双刃剑,用好了,就能如虎添翼,变成正能量的扩音器,成为党和政府宣传主流舆论的新平台;用不好,就会适得其反,变成负能量的生成器,成为经济社会健康发展的“心腹之患”。
如今,互联网已经成为舆论斗争的主战场。能否掌握网络舆论工作的主动权,事关宣传思想工作全局,事关改革发展稳定大局,事关意识形态安全和政权安全。这就要求我们要把网上舆论工作作为宣传思想工作的重中之重,努力提高互联网的运用和管理水平,牢牢掌握网络舆论工作主动权,网聚正能量,同筑中国梦。
让互联网为我所用,就要加强网上舆论引导。依托互联网覆盖广泛、传播快捷、信息海量的独特优势,加强自治区网络阵地、网络内容建设,让更多的主流舆论和正面信息占领网络。要努力将互联网建成宣传党的主张的重要阵地,推动传统主流媒体向互联网、手机等新兴传播领域延伸,在网上大力宣传党的路线方针政策和中央重大决策补助,宣传真善美,宣传新风正气,营造出网上良好的舆论氛围。
让互联网为我所用,还要重视群众呼声。当前,互联网已经成为人民群众传递声音的主要平台,是群众呼声和诉求的重要传播载体。我们要重视这些声音,回应这些诉求,让互联网成为通达社情民意的重要渠道,成为党和政府联系群众、服务群众的桥梁纽带,心往一处想,劲儿往一处使,就能借助互联网凝聚更多的正能量。
“明者因时而变,知者随事而制”。做好网络时代的宣传思想工作,最忌固步自封、抱残守缺,一成不变地用老思想、老套路来应对新形势。网络时代的舆论控制和引导,应该主动出击,主动作为,积极创新,更有效地传播新风正气,更深刻地揭露和反击错误的思想、观点和倾向,营造风清气正的网络舆论氛围。
人才是做好一切工作的前提,互联网的舆论引导工作也不例外。要掌握网络舆论工作主动权,关键在班子、在队伍、在人才,必须要选准人、用对人,才能顶得住、打得赢。否则,我们在网络舆论工作上就可能会吃败仗。要加快培育一批懂技术、懂网络宣传的行家里手,团结一批网络名人,组织一支网络宣传队伍,建设一支强大的网军。此外,我们还需研究网络舆论的特点和规律,严密防范和有效遏制互联网的攻击和渗透行为,积极主动地开展网上舆论斗争。
掌握网络舆论的主动权,更需要依法管理,确保互联网可管可控。对于互联网的舆论而言,法律是最有效的武器,我们要用好它,更要用对它。要全面落实《关于加强网络信息保护的决定》精神,加强网络社会的管理,一方面要及时有力地对网上的一些错误观点和错误思潮进行批驳,另一方面更要严厉打击网络违法犯罪活动,对那些恶意造谣生事的言论,不仅要在网络上严加控制,更要追究到人,严厉惩处。
谣言往往比真相先一步抵达,这是网络传播的基本规律。对于一些已经形成的谣言,“清者自清”的规律在互联网舆论工作中已经不适用,要想让谣言不攻自破,就必须用真相来破解。所以,做好网络舆论引导工作,我们的应对策略应该是“及时主动地回应”,变被动防御为主动出击,以真话、真相为武器,让那些来自互联网的鬼魅伎俩无处容身。
总之,在人人都有麦克风的互联网时代,网络的舆论引导没有局外人,更不需要旁观者。各级要明确自身肩负的责任,牢固树立阵地意识,破除畏难情绪,积极介入,因势利导,依法管理,灵活运用,形成掌握网络舆论的强大合力,不断开创我区宣传思想工作的新局面。
(作者单位:内蒙古日报社)
高校网络安全主动式防御策略的研究 第4篇
高校校园网是一个特殊的网络。目前多数校园网内部包括学生网络、办公网络、一卡通金融网络。校园网内部之间要求信息共享度高,又要满足不同需求。学生们好奇心强且好动,对待新事物、新技术常常乐此不疲的进行尝试。校园网内部用户密集、局域网多、对网络畅通要求极高,而内部用户的计算机普遍存在安全漏洞,木马病毒。校园网又常面临来自内外最新、最潮流的木马软件和病毒的侵扰,对网络正常有效的运行,提出更高的要求。
2 传统的被动式网络防御
在计算机网络中,传统的安全防御策略主要有:数据加解密、配置防火墙、基本的数据访问控制策略、漏洞扫描打补丁策略、路由隔离和映射策略、数据备份恢复策略等。它们基于静态网络体系建立的,多数依靠特征库进行攻击检测和人工对设备的管理配置来实现,难以对新的动态网络威胁做出快速有效的反应,网络防护处于被动地位。
3 传统的网络安全策略
3.1 数据加密策略
网络数据加密技术是为了加强数据的保密性,防止非法篡改和数据盗取所采取的一种防护手段。网络上数据流的加密方式主要有:节点之间的加密、端到端的加密以及数据链路的加密。
3.2 配置防火墙
防火墙是一种数据隔离技术,利用代理服务和数据包过滤技术进行信息扫描和过滤,把不常使用的端口进行屏蔽,执行的一种数据访问控制尺度,它即能允许你“同意”的数据和用户进入你的网络,又能将你“不同意”的用户和数据拒之门外,防止非法网络入侵。防火墙主要由服务访问规则、验证工具、包过滤路由器和应用层网关4个部分组成。
3.3 安全路由技术
路由技术应用于网络层。它可实现各网络间的互联和隔离,保持网络的独立性,防止重要信息误传,而造成数据被盗取和窃听。安全的路由技术可有效的隔离和限制广播消息,防止病毒的肆意破坏。常用安全路由技术包括路由器技术、VLAN划分、VPN数据信息共享技术。
3.4 地址映射技术
地址映射技术可将网络IP地址进行替换,主要有两个作用:一是隐藏真实IP地址;二是把外网地址映射成内部网虚地址,对外网来说是无效的,不能直接访问,从而进行了网络的隔离,提高了安全性。
3.5 访问控制策略
访问控制是指合法的经过授权的用户,使用权限内特定的资源,防止非正常使用网络资源。访问控制策略所指范围较广,包括网络登录控制、使用权限控制、目录级控制、端口节点控制,以及数据属性控制等多种机制。
4 网络主动式防御技术策略
4.1 入侵检测系统
入侵检测系统是主动式网络防御最基本的环节。它是指实时监测网络中用户和数据信息的异常状况,及时做出警告,必要时启动反制机制。入侵检测系统包括实时监控异常的网络连接、检查系统日志、记录跟踪数据、协议数据分析等。实时的入侵检测可有效的抵御网络的安全威胁,缩短网络侵入时间,在及时发现网络入侵时记录必要的信息,对用户恢复数据和系统,追踪入侵提供帮助,这样可有效的增强网络系统的稳定性和安全性。
4.2 安全漏洞评估策略
安全漏洞评估策略就是对网络系统进行检查,发现和报告漏洞,评估风险的工具。安全漏洞评估技术使得网络安全因素分析的更准确,提醒网络管理人员按风险度高低,依次加强网络管理。安全漏洞评估系统中的路径分析技术,可以帮助管理员找出网络漏洞的根本原因,排除安全隐患。
4.3 网络诱骗策略
网络诱骗类似于军事上诱敌深入策略。它提前在网络中设置一些诱饵或陷阱,当入侵者进入网络后寻找目标时,被诱骗到管理者设置好的埋伏圈内,从而被监控和进行入侵分析,为网络管理者研究网络安全提供资料。网络诱骗技术把网络安全的被动防御变为主动防御,对提高网络安全性起到了积极的作用。
4.4 网络伪装策略
网络伪装策略是指在网络信息中掺入虚假数据,使得入侵者对数据进行扫描后,无法做出正确的判断,不能采取有效的攻击。网络环境的不一样,攻击方式要做响应的调整。虚假信息使得入侵者无法对网络实施有效的攻击。
4.5 攻击追踪技术
攻击追踪技术是指捕获攻击包后,对攻击行为予以分析,还原攻击路径,必要时加以反击。目前攻击追踪技术中包括回溯技术、数据包标记技术、过滤技术等。
4.6 安全策略中人员的管理
网络安全管理中核心的是人员问题,一切网络安全都需要相关人员的参与。技术再先进、网络设备再好,若没有合格的人员,那么最终也是不行的。加强网络安全教育,提高网络知识水平,培养日常安全意识,是各级网络人员和用户改善网络安全环境中非常重要的环节。
4.7 多层网络防御策略
多层立体网络防护策略使得网络处于多种安全机制之下,多种安全机制协同工作,交叉应用,多个冗余的安全防御响应备份系统,使得网络安全系数成倍提高,网络入侵成本成倍的增加,让入侵者打消入侵念头。
5 结束语
随着社会的发展,网络攻击技术越发变得灵活和多变,传统的网络安全技术有一定的局限性。网络安全主动防御策略中,传统的网络安全技术是基础,综合地有效的使用各种主动防御策略和技术,保证网络体系的安全性,是当前网络安全技术发展的趋势。
摘要:计算机网络带给人们便利的同时,其安全问题日显重要。传统的网络安全策略过于被动,对于网络威胁显得越力不从心。网络安全主动式防御策略能更加积极的采取措施提高网络的安全性,降低潜在的威胁,是当今网络安全发展的主流趋势。文中结合传统的网络安全措施,对主动式防御策略作了一些分析和阐述。
关键词:计算机网络,主动式防御,网络安全
参考文献
[1]刘宝旭,李雪莹.网络安全主动防御技术综述[C].中国山东长岛:中国电子学会核电子学与核探测技术分会、中国核学会核电子学与核探测技术分会,2003.
[2]石立宪,许榕生.基于网络陷阱的追踪系统[C].全国网络与信息安全技术研讨会论文集,2005,8.
主动式计算机网络 第5篇
-------农村教师网络提升四步:寻—学—思--践
摘要:农村教师普遍年龄偏大、结构不合理,短缺学科教师偏多,低学历教师占整体教师比例大,而广大农村教师由于各种原因无法同步享有城市先进教育理念,很少共享城市教师专业文化发展的成果,这些问题直接影响了我国教育的全面发展。而农村教师主动运用网络信息促成自身专业发展也不失为一种行之有效的办法。
关键词:新课程;网络交流;农村教师;专业发展
与现代技术的两个案例:
案例一:张老师是一位年近50岁的农村教师,最近比较烦:面对新课程他这个老革命算是遇到了新问题.但他又找不到解答者,想问问年轻人,又拉不下这个脸面。听说网络上有这些方面的知识,但自己没有接触过计算机,不能独立操作计算机,不会运用网络进行教学,更不懂得信息技术,他觉得有些茫然了。
案例二:李老师可以算是镇上一位老“名师”,前些年的教学业绩一向在县里是名列前茅,但不知何时,近些年辉煌时代正悄然而去,原先自己擅长的一支粉笔一张嘴一本书走天下的拿手模式渐渐有些不敌年轻人的多媒体教学模式,这两年教学成绩也在不可遏制地有些走下坡路,感觉自己越来越不是新教师的对手。为什么会这样?李老师困惑了。
两位农村老师都碰到了一个共同的问题:因农村条件限制没有学习信息技术而导致落后,这也成为农村教师专业发展之路上的重要障碍。
2011年,教育部师范教育司领导强调,在中小学教师的培训,特别是农村中小学教师的培训方面,通过信息化的方式加强对教师的培训是非常重要的。[1] 各级政府已经组织或即将组织一系列农村教师培训或者“国培计划”农村教师远程培训体系。事实上,现阶段这个体系是农村教师培训的主力军。
“农村中小学现代远程教育工程”的实施和社会各种力量的支持,西部农村学校的物质环境和办学条件得到了根本性的改善,现在西部农村教育工作的重点正在由教育条件的改善转向教育质量的提高。[2] 除此之外,我们自己还可以主动利用正在普及的网络,加速我们的成长.以适应农村教育教学新形势。
一、改进观念,紧跟课改
新课程与以往课程相比,发生了质的变化。新课程改革倡导关注学生发展,强调教师成长,重视以学定教;新课程倡导合作学习,探究学习,实践学习,通过师生互动,生生互动来掌握和运用知识。这些新理念对农村教师提出了新的挑战和要求。
农村教师要突出重围,就应该让网络发展模式逐渐成为继续教育的常态,它能最大程度地促进农村教师的自主学习和个性化的专业发展,它能“带来”一些名师与专家,能近距离聆听他们指导,领悟他们如何理解课改,以不断更新观念。如果能与他们通过博客、QQ、邮件、论坛等形式交流,甚至有时得到他们的回复和建议,我们会感觉课改并不遥远,它就在身边,农村教师也跟上新课程的脚步也许就不仅仅是一个梦。
二、查寻资料,理清思路,展开教研
与新课程相伴的新教材与以往的老教材有很大差别,不少老师特别是农村教师囿于以往经验而对教材理解和用教材教的做法都不甚了解。
工欲善其事,必先利其器。随着信息化的发展,网络中的教学交流平台也应运而生,比如网络学习、网络研讨等,已经成为农村教师专业发展的重要途径。
网上教育教学资源无比丰富,教学资源包括新教材介绍、教学课件、教案、案例、试题、媒体素材、专题讲座、文献资料等;还有不少一线教师对教育教学实践中的教学过程中学生学习、老师教学等的不同把握,也有研究案例研讨。通过学习优秀教师对课堂对学生对过手把握以及对课堂突发事件的应对策略等,通过长期深入的系统总结反思和教师间的充分交流碰撞,农村教师才能将优秀教师个人头脑中的教学实践情境和理论逐渐挖掘、显现出来,再通过整理和内化,实现智慧共享。正如人们常说的赠人玫瑰,手有余香,这也能实现各类教师双向有利的共赢局面。
农村教师根据教育教学需求出发,通过在网络平台发布研讨主题公告,阐述自己对问题的理解、困惑,吸引有共同兴趣的各类教师参与讨论,用他山之玉来攻自己的“石”,以收相互学习交流提高的效果。
利用网络优势还在于可以研究课程,磨合教育教学资源和方法。教师通过各种网上交流平台进行针对性的备课、上课、评课,对教育一言堂困惑、解疑等进行研究;研课磨课教师从自身教学实践角度,对教育教学过程各类事项各抒己见,自由点评,进行资源共享,思想碰撞,通过网络老师群体间平等对话来不断拓展和加深对教育教学思考的广度与深度。
农村教师也可以利用如QQ、MSN、电话、短信等形式等形式,结交校内校外教师朋友,并开展教师间即时交流。网络教研的运用,借力网络教研平台的信息发布功能、教研信息与资源交流共享功能、教研活动前引后拓功能与教研监控推进功能等,则会有效避免问题,放大教研的效率与效益。
在这个过程中,如果各级研修员、培训教师和学校等主管者能够同时成为农村老师网络交流的组织者、引领者,又是平等对话的参与者,会大大规范网络交流。各类学科带头人、专家、教授等,能够积极参与网上网下答疑解惑活动,提供咨询与指导服务,则农村教师网络学习效果一定会更好。
三、学习利用博客,提升素质
教师博客是教师进行网络研讨学习的一个很好的平台,是有效实现终身学习、促进教师专业成长的便捷通道。寻找和团结众多博友,利用一些老师博客的空间建立一个丰富的教育教学资源网络宝库,经验丰富老师的博客一般分类都比较全面,比如班主任工作、教育教学、听课评课、教学实录、反思、上级文件等等,这些都方便教师访客针对性学习,博客里面有许多教育教学方面的宝贵经验和优秀做法值得农村教师去学习去思考。
在学习教师博客中反思教育教学,学习新知识。在阅读、品评、交流的过程中,农村教师的认识会逐渐升华,教师不但获得了教学所需的信息,而且可以总结信息收集、处理的经验,这就在不知不觉中提高了教师的信息素养。在教师枯燥的生活中打开一个新天地。
当然,教育教学的QQ群等也同样具有以上功能,这也是农村教师可以充分利用的网络平台。
四、教学实践反思后进行网络创作,提高系统理论总结
(一)、记录教学点滴,积累素材,进行网络交流,提升自己
传统的教师之间的交流带有很强的地域性与局限性,由于交流对象范围小,交流层次有限,同时对农村教师而言交流成本也比较高,谛听城市教研的机会并不多,这些会大大制约了农村教师交流的能动性。而网络博客给了农村教师很大的交流的空间,教师可以在博客里讲述自己的经验、心得,记录教学点滴,也可以从其它教师那取得经验。
教师可以遨游在互联网的世界里,跨地域、跨层次地和志同道合的教师相互交流,这可以强化自身的专业知识,也是继续教育的形式之一。
通过学习模仿,农村教师可以建立自己的博客,及时记录自己的教学过程、教学方法、课堂中的意外事件及处理办法等,尤其可以进行教学反思,其他教师也可对不同教师博客文章交流自己的看法。我们将教学的过程中自己突然闪现出一些思想的火化,记录下来,为自己以后上课,积累素材,也为同行提供参考。博客上常常记录下来的都是我们教学工作中瞬间的灵感,对教学的感悟,经过多日思考和实践的结果,对某个教育教学问题的解决方案等等,这些都是财富。
(二)、整理反思教学,进行教学随笔写作
反思是理论提高和教育教学能力提高的起点,有了起点,有了坚持一定有所收获吧。时间转瞬即逝,一个学期已经过去,回想展望,我有几多感概,几多收获。[3]怎么办?写在博客里面。
教师博客还可以作为教师职业培训的数字档案和学习记录,通过该种博客日志,既可以使教师相互之间进行协作和交流,也可以对教师进行远程的培训。许多教师正是通过教师博客与其它教师分享自已的教学体会和经验。这样的效果是非常明显的。
通过博客可以反思自己的教育教学行为,可以帮助开展教学反思,促进专业化成长。记录教育教学过程中的所得、所失、所感,促使自己对教育教学时时反思和对教育新理念的内化。日后的整理和利用,更能够使自己在更广泛的层面上实现与他人交流、分享;归纳对照农村教学,倾诉农村教师心声。
(三)能促进教师对教学研究的不断学习和思考。
教师博客间交流的开放可以起到事半功倍之效:这个问题我解决了,那个问题他解决了。大家互通有无,建立起一个社群,对工作、对教师个人都有益处,好过闭门造车。注重积累相关理论。理论积累无任何捷径,平常扎实地研读并作好摘抄,久而久之,再处理起素材来自然会得心应手。
如果笔耕不止,善于反思,只要有好文章,投稿报刊杂志的网站,说不定自己的观点也会变成铅字。
博客更容易增加了教师的成就感:博客可以记录教师的教学心得、可以得到学生的拥护和爱戴,当一篇篇文章得到大家的热评和转载,这增加了教师的成就感,丰富了教师的情感世界。也使教师更加热爱教育事业,促成教学相长良性循环。
通过网络寻—学—思--践四步,农村教师也能够较好接受网络这一新生事物,一方面有助于使自己在分享交流中促进自身教育能力更快的提高和发展,另一方面也可以为其他教师提供教育思维的前提和原始资料。这样对教师的成长是非常有利的。
如果固步自封,不去主动学习网络信息技术,思想的落后会成为农村教师教育教学发展路上的拦路虎。
参考文献:
[1] 远程培训灵活贴近农村教师实际需求
李鸣
杨扬
[N] 《 中国青年报 》(2011年11月26日 02 版)
[2]石义堂 李瑾瑜 吕世虎 创新培训模式提升西部农村教师素质 [J] 《人民教育》 2008年(05)[3] 孙丽敏
例谈网络互动式作文评改法 第6篇
这次习作的要求是,抓住特定季节的典型景物,运用多种写作手法描写景物特征。实际教学中,大部分学生对于片段的描写较为成功,但整合成文时,他们要么不能反映出景物之间的关联,要么在过渡和段落层次安排上出现了逻辑混乱。此时,教师需要为学生营建写作语境,让语言活动赖以进行的时间、场合、地点等因素符合逻辑,同时使得表达、衔接等自然紧密。因此,笔者尝试在教育云平台上即时搜集学生上传的写作片段进行示范讲评,然后引导他们利用相应的模板对文章的内容、结构等进行重组。
教师在线搜集了学生写春花、春雨、春树、春鸟的四个片段,然后出示“我喜爱( )季的( ),我喜爱( )季的( ),我喜爱( )季的( ),我喜爱( )季的( )”的模板,让学生在线把这四个内容概括出来。学生很容易组织出“我喜爱春季的花朵,我喜爱春季的雨水,我喜爱春季的树木,我喜爱春季的鸟鸣”四句话。接着,教师又展示了搜集的学生描写春花的几个片段,这些片段分别对花的颜色、味道、形状、习性等进行了较为详细、生动的描写。教师在学生阅读这些片段后,又出示了相应的模板,让学生根据生活积累,具体描述花朵的特征,学生大都写得较为成功。然后,教师运用这样的方法,让学生分别描述雨水、树木、鸟鸣的特征,学生也顺利地完成了任务。最后,教师让学生将最初的几个总起句分别放到每一段的开头。这样,整篇文章就结构自然,逻辑严密了。
如果说在线点评还局限在师生的互动之中,那么在线修改则将师生、生生、家校等资源都充分调动起来了。
指导学生在线互动修改《我喜欢的季节》时,教师先将使用相同模板的学生分到一组,要求1号成员改2号成员的作品,2号成员改3号成员的作品,以此类推。修改后,小组成员依次将文章发布到QQ讨论组中,由组内成员进行评价。由于每一组学生采用的模板是相同的,因此生生评价主要集中在语句是否通顺、优美上。如果是,就采用QQ符号评价;如果还有问题,就复制出问题部分,在“修改为”后面添加修改意见。
QQ小组互评之后,学生把二次修改后的文章统一发到QQ群中,由全班学生同时阅读,然后按文章顺序逐篇进行评价。这次评价与上次不同的是,文章使用的模板不同,因此不仅要看语句,还要看结构。为了方便操作,好评仍然要求直接采用QQ符号
汇集了众人的意见后,学生再次在线修改,并将习作上传到云平台上,由学生、家长、教师自主留言评价。
网络互动式评改扩大了学生习作的传播范围,调动了多方评改力量。它既能增强学生习作的自信心,又能提升学生修改、评价的能力,其前景十分广阔。
(作者单位:武汉市武昌区付家坡小学)
责任编辑 姜楚华
现代计算机网络主动防御技术探讨 第7篇
随着移动计算、云计算等互联网应用技术的快速发展,在传统分布式应用管理系统的基础上,又诞生了微博、微信等移动互联网应用程序,为人们提供了高效快捷的沟通工具,提高了工作、学习的效率。网络应用的普及和推广,网络的开放性和自由性在为人们带来方便的同时,也给人们使用网络带来了潜在的威胁。本文详细地分析了现代计算机网络面临的安全威胁,提出一种网络主动防御模型,并且分析了其相关技术。
2 现代计算机网络面临的安全威胁
随着新时期计算机网络的使用和发展,网络用户大规模上升,用户计算机专业技术水平不一,导致网络网络安全问题也日益凸显,主要表现在形式多样化的网络威胁、居高不下的漏洞数量和多种多样的病毒传播方式等方面。
2.1 形式多样化的网络威胁
计算机网络安全主要的威胁来自黑客攻击,它主要是经过挖掘实际操作系统中潜在的技术漏洞,来访问与处理最高权限的信息资源。黑客还能够经过信息搜集与欺骗的方式,来对计算机网络的薄弱环节进行攻击。黑客采用的攻击手段主要有:采用网站和电子邮件实现诈骗、采用网络银行盗号木马、木马软件等对网络实施攻击,同时在网络上制作、散布恶意代码,窃取敏感信息。原来网络黑客的攻击只是来获取经济方面的利益,目前网络黑客已经发展到对特定目标的网络进行攻击。
2.2 居高不下的漏洞数量
计算机网络面临最大的安全隐患就是针对漏洞发起的各种攻击,尤其是计算机操作系统中隐含的安全漏洞。在网络使用过程中,各个主机系统的安全性制约着网络系统的安全性,因此计算机网络安全需要安全的操作系统来给予支持。Unix、Windows Server、Linux等是当前计算机网络经常使用的操作系统, 它们都符合C2级安全级别,但是同样也有很多的漏洞,如IIS漏洞、Unix的自身安全漏洞等。
2.3 多种多样的病毒传播方式
和传统单机病毒明显不同, 网络病毒的传播速度快、传播途径广,也不需要普通用户的参与,对网络造成的危害特别大。网络病毒包括FTP病毒、邮件病毒以及网页病毒等, 比如熊猫烧香病毒、震荡波病毒、ARP病毒、AV终结者病毒等, 都严重威胁着计算机网络的安全。这些病毒通过入侵网站、隐藏在电子邮件中或通过移动存储介质流转等方式侵入校园网,自动地探测计算机中所存在的漏洞, 或者会自动地对有用信息进行收集,比如网络中传送的明文口令、邮件地址列表等。
3 网络主动防御模型及技术
3.1 现代网络主动防御模型
现代网络主动防御模型包括三层, 分别是管理、策略和技术。
(1)管理。网络运行过程中,网络管理具有重要的作用,其位于安全模型的核心层次。网络管理的对象包括网络技术、网络用户和网络制度等。网络技术的管理可以采用相关的策略,促使网络安全技术成为一个集成化的、纵深化的有机整体,以便能够有效地提高网络安全的防护性能。网络用户是网络的使用者,使网络发挥作用的发起者, 并且网络用户的计算机使用专业水平不同,层次良莠不齐,因此需要加强网络用户管理。网络用户管理可以通过制定相关的网络安全防范制度、网络使用政策等,通过学习、培训,提高网络用户的安全意识,增强网络用户的警觉性。
(2)策略。网络安全防御策略能够将相关的网络技术有机整合,优化组合在一起,根据网络用户的规模、网络的覆盖范围、网络的用途等,制定不同等级的安全策略,实现网络安全运行的行为准则。
(3)技术。网络防御技术是实现网络安全的具体实现措施, 也是网络管理和网络安全防御策略实现的基础,通常情况下,网络主动防御技术包括六种,分别是网络预警、保护、检测、响应、恢复、反击等,从六个不同层面进行深度防御,能够及时有效地发现网络中存在的安全威胁,采取保护措施,也可以使用入侵检测等主动发现网络中潜在的攻击行为,做出响应,恢复网络运行,并且可以根据网络攻击行为进行反击。
3.2 现代主动防御技术
现代计算机网络主动防御技术可以有效地检测已经发生的、潜在的安全威胁,采取保护、响应和反击措施,阻止网络安全威胁破坏网络,保证网络安全运行。
(1)预警。网络预警技术可以预测网络可能发生的攻击行为,及时发出警告。网络应包括漏洞预警、行为预警、攻击趋势预警、情报收集分析预警等多种技术。漏洞预警可以根据已经发现的系统漏洞,预测未来发生的网络威胁;行为预警可以分析黑客行为,将其分类存储在专家系统中,基于黑客行为预测网络威胁;攻击趋势预警可以采集已经发生或当前正在发生的网络攻击数据,分析攻击趋势;情报收集分析预警可以通过各类数据挖掘算法,采集、分类、建立情报信息攻击模型,发现网络攻击趋势。
(2)保护。网络安全保护是指采用静态保护措施 ,保证网络信息的完整性、机密性,通常采用防火墙、虚拟专用网等具体技术实现。
(3)检测。检测是网络主动防御系统的重要环节之一,其可以采用入侵检测技术、网络安全扫描技术、网络实时监控技术等及时地检测网络中是否存在非法的数据流、本地网络是否存在安全漏洞,目的是发现网络中潜在的攻击行为,有效地阻止网络攻击。
(4)响应。如果网络预警攻击即将发生或者网络攻击已经发生, 网络主动响应技术可以及时做出攻击防范,使攻击给网络带来的危害降低到最小程度。网络主动响应技术能够及时判断攻击源位置,搜集网络攻击数据,阻断网络攻击。响应需要将多种技术进行整合,比如使用网络监控系统、防火墙等阻断网络攻击;可以采用网络僚机技术或网络攻击诱骗技术,将网络攻击引导到一个无用的主机上去, 避免网络攻击造成网络瘫痪,无法使用。网络响应的另外一项功能就是及时获取攻击特征信息,分析网络攻击源、攻击类型、攻击目标、危害程度、现场状态等信息,实现电子取证。
(5)恢复。网络攻击发生后 ,可以及时采用恢复技术,使网络服务器等系统提供正常的服务,降低网络攻击造成的损害。
因此, 为了能够确保网络受到攻击后及时恢复系统, 需要在网络日常运行过程中做好系统备份工作,系统备份可以采用的技术包括现场内备份、现场外备份、冷热备份等。
(6)反击。网络反击是主动防御系统区别于静态防御系统的一个非常重要的特征,网络反击可以采用的具体措施包括病毒类攻击、欺骗类攻击、控制类攻击、漏洞类攻击、阻塞类攻击、探测类攻击等,这些攻击手段可以有效地阻止网络攻击行为继续发生,但是反击需要遵循网络安全管理法规等。
4 结束语
主动网络中网络安全现状及解决 第8篇
主动网络的基本思想是将程序注入数据包, 这可以使程序和数据一起在网络上传输;而同时他的另一个特点就是实现网络中间节点可以运行程序, 这样就可以充分利用中间节点的功能对数据包中的数据进行处理;从而实现传统网络中“存储转发”的处理模式变为“存储计算转发”处理模式的目标。
这样看来, 主动网络有了两个新的功能:一是有了被称为ANN的网络中间节点 (主要包括路由器、交换机, 其他中间设备也可以) , 这些中间节点不但要完成以前的存储转发还要拥有处理数据包中的数据和代码计算能力。其具体的执行过程就是中间节点收到数据包, 其中包含数据与程序, 拥有计算处理功能的中间节点处理数据包, 执行相应的程序, 然后将数据包发送给其他网络节点。二是用户可以根据自己的需求, 通过网络编程对中间节点的计算或者处理功能进行自定义, 实现中间节点功能的个性化和专业化。
主动网络中能够携带程序代码的分组称为主动分组, 能够处理主动分组并执行主动分组中所带程序的中间节点称为主动节点, 如主动路由器和主动交换机。
2 主动网络的安全威胁
主动网络作为一种新兴的、可编程的、数据的交换网络, 其功能及其强大, 且应用非常方便。但是, 至今主动网络却还没有得到市场的认可, 仅仅能在小范围中或者说是仅能在实验室中存在, 其最重要的原因就是安全性无法保证。其安全性却与其核心功能, 即允许用户对网络的中间节点编程, 相互联系紧密, 作为主动网络核心的节点编程、提供特色服务变成了最大的安全隐患, 这是整个问题关键所在, 这个特性由于在执行的过程中需要请求相关中间节点的服务和访问相关节点资源, 因此几乎无法控制其安全性, 导致巨大威胁。而若无法解决安全性问题, 该网络就不存在真正的实用价值。
现在我们来看看其主要面对安全威胁如下:
2.1 来自本身的威胁1) 主动节点
主动节点无法保证在整个过程当中始终掌握着自己的主动权, 很多时候他不得不交出自己的控制权, 把控制权交给主动分组使用。而未经授权的主动分组是主动节点必须阻止的对象, 因此如何确保自己的服务可被分组获得, 如何保护自己节点状态完整以及保护自己状态屏蔽未授权的请求成为主要问题。一般认为主动节点可能受到来自执行环境的威胁, 因为执行环境会主动使用节点资源或者更改节点状态等。主动节点本身最主要的任务就是管理好自己, 以便更好的为经过授权的主动代码服务, 此外主动节点必须能够识别邻居节点, 这样能够确保将主动报文传送到可信任的相邻主动节点上。
2) 用户
用户或者说源节点都不希望自己的信息在传送过程中被未授权的节点或者用户截获、窃取, 所以用户一定会在自己的网络节点上加上一些措施, 以使自己有安全感。
所以, 对于本身而言, 用户的验证事实上是双向的, 即节点验证经过他传送的每一个用户的资质已决定自己是否会运行他中间包含的程序或者读取其中的数据, 而每一个用户都会在自己发出的信息中加上验证程序, 以帮助自己将信息交给想交给的节点, 而不是在整个传送过程中毫无保留的全面公开自己的传送信息。
2.2 来自网络中的安全威胁1) 环境
作为对于主动节点威胁最大的执行环境而言其本身也受到安全方面的威胁, 这些危险主要来自于自其它的执行环境、来自主动分组或者来自主动代码。因为在一个主动节点中可能存在着多个执行环境, 而环境交错的情况下如果其中一个执行环境任务过重, 占用节点资源太多, 那么其他成员必然受到影响。同样当恶意代码出现在主动节点时他可能进行一系列的破坏行动, 这些行动往往会在交错的所有环境中扩散, 比如一个恶意的代码修改了主动节点的参数那么其他的主动代码将无法再为其他的相关代码服务, 这将会导致一系列的问题产生。
2) 主动分组
主动代码可以向主动节点发出各种请求, 但其根本目的还是操作节点进行其需要的计算或者完成其本身的任务, 相对主动节点而言, 同样的主动代码对于主动分组是能够识别的, 并且可以进行相应操作。这种情况下, 主动分组必须要保证自己的数据或者程序只受到授权者的操作, 即数据不被随意修改、服务不被随意使用以避免出现本地资源被大量占用、本地数据被随意修改的情况。这种情况下主动分组的修改者往往会被局限于其发出人和受到相关分组影响的节点, 而必须屏蔽无关者对分组的操作, 以保证分组的安全以及整个网络的安全。
3 主动网络的保护方法
3.1 访问控制方面的保护
现在国际上主要使用的解决节点安全性方法是认证和授权:如Smart Packet采用了认证技术对信包的创建者进行身份认证, 采用访问控制列表 (Access Control List, ACL) 来仲裁主动信包的访问权限和可访问的资源。这样做的目的就是实现主动节点的访问控制, 他可以实现以下三个功能:
1) 采用有效的安全验证机制保证主动节点安全;2) 可以实现主动网络的身份验证系统, 节点只服务于经过验证的、安全的数据包;3) 主动节点有时需要运行一些程序, 那么主动节点必须具有程序扫描功能, 有此功能后, 只要在提供足够的缓存空间就可以实现程序运行前的安全扫描, 大大提高节点的安全性。
现在还有一种使用了强类型语言来限制资源访问的方法:如BBN公司的Smart Packet系统采用了Sprocket语言, 宾夕法尼亚大学的Switchware系统采用了PLAN语言。这种方法虽然能够保证一定的安全, 但与他们所采用的语言有着密切的关系, 不具有通用性。
3.2 网络设备、功能方面保护
根据主动网络的特点我们不得不去面对网络中分组易被毁坏、被窃取信息以及节点资源被恶意占用、节点拒绝服务或者服务被恶意改变等现象。而为了改变这些现象我们除了采用上面说的严格的用户验证机制之外我们还必须提供容错、加密功能。加密可以使得主动分组只为我们指定的主动节点所接受、处理, 避开了网络中大量的节点验证、处理时间, 同时可以防止我们的数据被窃取和破坏;而容错则是充分利用新式网络强大的计算、处理功能, 在特定的节点实现分组的备份, 以备发出点或者中继点出现问题, 这样的操作可以帮助我们实现中药重要数据的全面安全保证。
除了以上方法外, 我们还可以使用直接限定最大值的方法实现网络中分组流动的数量, 我们直接在主动信包 (Capsule) 中限定AC的最大跳数, 这样可以避免耗费过多的资源。但是这种方法最大的问题是不具备统一性或者说是通用性, 因为不同AC所访问的资源量不同以及节点环境的动态性, 所以在实现过程中该最大值最终难以确定。
当然硬件的方法也是有的:如Switchware在安全方面做的研究工作并取得了一定的研究成果, 通过在底层使用硬件AEGIS来安全地引导主动节点操作系统。但是这种基于硬件的安全策略使其通用性方面受到了影响。
由此可见至现在为止并没有一种完整的技术可以帮助我们在主动网络中遨游同时又不必处处小心我们的网络安全问题, 国际上的多种解决方案帮助我们实现了一部分的目标, 但是没一个都不是很全面, 这点很遗憾。
4 主动网络安全传输方案
4.1 合法节点之间的安全传输
可以说所谓合法的网络节点就是可信的网络节点, 而之所以可信我们认为是因为它取得了网络认证协议的认证, 凡是通过发出者认证的主动节点都是合法节点, 主动分组出发前主机向全网络征求节点认证, 在获得认证的节点的基础上挑选合适的节点完成本次数据的传输, 这种方法实质上实在数据的传输之前就将路径通过认证饿方式确认, 可以保证网络传输的安全, 但是同样也有缺点, 就是在网络传输开始的初期建立信任表的时间会较长, 将在初期影响设备的工作效率。
4.2 不可信节点参与的安全通信
不可信节点在网络中存在的可能性是百分之百的, 而怎么样才能通过这些不可信节点实现数据的传输呢?我建议可以采用加密的方式, 在公钥由事先选定的管理者掌管的情况下我们可以对整个网络中传送的所有认证完成的节点的数据进行加密, 这样, 不信任节点虽然也有数据经过, 但是由于加密的完成使得其无法了解传送的内容, 而接受者只要向公共密钥管理者询问密钥即可获得发送者发出的全部内容。
这种解决方案重点强调的是认证机制的健全或者是全面, 认证机制必须保证其认证方法的科学性和敏感性, 即一方面必须确保所有安全节点在运行过程中逐步的加入到我们的网络中来, 同时不能够加入有威胁的网站, 或者说即便加入了威胁网站, 也必须要具有在发现其威胁之后、在其对整个网络造成大规模伤害之前将其迅速清理的能力。而实现这样的功能, 可以通过结合硬件安全体系和认证机制实现, 同时我们可以在这样的网络中进行跳数的限制以帮助网络节点对通过验证, 但是在网络中长久游荡的分组进行回收。
5 总结
主动网络作为一种动态的运行环境, 它使得以前我们使用的网络面临巨大挑战, 其所提供的大量网络服务特别是支持的用户自定义服务将是革命性的。当然主动网络技术的问题也不少, 它在安全、路由、资源分配、网络管理服务以及移动性等方面还有待进一步地研究, 直到现在很多的研究还局限在演示阶段。可虽然目前主动网络尚在研究试验阶段, 未曾有实际网络投入使用, 主动网络技术的可行性已经开始改变我们对计算机网络的概念, 它对未来技术的形成起到重要的推动作用。
参考文献
[1]刘岩.主动网络的安全体系及故障管理[J].中国教育网络, 2009 (3) .
[2]敖志刚.主动网络及其实现技术[M].中国水利水电出版社, 2007.
[3]张千里.网络安全新技术[M].北京:人民邮电出版社, 2003.
[4]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社, 2006.
[5]常建平, 靳慧云.娄梅枝.网络安全与计算机犯罪[M].北京:中国人民公安大学出版社, 2002.
[6]李双元, 王海浪.电子商务法若干问题研究[M].北京:北京大学出版社, 2003.
主动网络技术研究综述 第9篇
1 主动网络简介
主动网络是由美国国防部高级防御研究计划署[1](Defense Advanced Research Projects Agency,DARPA)的研究会于1995年,针对当时网络中存在的几个问题而提出的:
首先,把新的技术和标准引入现有的网络中的困难;
其次,由于几个网络协议层的冗余操作而使网络性能下降;
再次,在已存在的结构模块中加入新服务的困难。
“主动”意味着网络的节点可以进行计算,可以修改数据分组的内容,可以完成更复杂的任务,而且这个处理过程可以根据不同的用户、不同的应用进行定制。主动网络使得用户可以向网络节点注入定制的程序代码,以便修改、存储、重定向网络中的数据流。例如,用户可以向主动网络中的各个节点发送一个病毒扫描程序,并要求网络节点执行这个程序。
2 主动网络体系结构
主动网络是由网络上的主动节点以及一些传统节点构成的可编程网络[4]。在主动网络中传输的数据包被称为主动包或主动报文[2],它不仅能够携带用户的数据信息,还携带一段可执行的程序代码。主动网络中的节点通过执行主动包中的可执行代码实现网络基本结构的动态扩展和配置,同时用户还可通过编程来定制他们所需要的业务,如远程管理网络等。所以主动网络中的节点不仅具有传统网络的存储转发功能还具有计算功能。
主动节点和主动报文是构成主动网络体系结构的主要功能性实体,如图1。
2.1 主动节点
每个主动节点上运行一个节点操作系统(Node OS,Node Operation System)和一个或多个执行环境(EE,Execution Environments),主动应用(AA,Active Applications)在执行环境中运行,如图2。
其中,节点操作系统负责分配和安排节点的资源(链路带宽、CPU周期和存储),每个EE实现了一个虚拟机,解释到达节点的主动分组,不同的执行环境定义不同的虚拟机。用户通过AA从主动网络获得服务,用户应用的各种特定计算处理是AA利用EE所提供的网络应用编程接口实现的。EE由主动分组中所包含的可执行代码控制,负责对到达主动节点的主动包进行解释、处理,为用户提供端到端网络的服务接口,人们可以方便地在主动网络体系结构中开发新的技术和协议,而不需要复杂的标准化过程;普通用户也可以通过设计和开发自己的EE来对网络进行编程,从而可以设置个性化网络。
节点操作系统(Node OS):提供了执行环境所需要的基本功能,管理主动节点的资源(包括带宽、CPU和存储资源),同时为执行环境EE提供了安全保障。节点操作系统有三种资源:通道、线程和缓存,线程和缓存的含义与传统操作系统一样,而创建通道是节点操作系统特有的功能。通道分为主动通道和直通通道,根据用户的数据包,若是主动包则通过主动通道传递到EE去执行,若是普通包则通过直通通道转发出去。可见,节点操作系统将执行环境从资源管理的细节和其他执行环境的行为影响中分离了出来。
执行环境(EE):它是主动节点和核心,作用是管理和执行主动代码,处理主动报文和普通报文。EE定义了一个虚拟机VM和基于主动技术的网络用户可编程接口,提供了最基本的网络功能和资源管理、代码和节点安全机制。
主动应用(AA):由一段移动代码和与主动代码相关的数据、状态参数等组成,通过EE对AA的调用和执行可以实现用户定制的网络服务。
2.2 主动报文
网络上的任何一方都可以开发新的网络服务并使它在网络上广泛使用,开发的第一步就是编写一组新的转发程序,实现所需的功能,该程序被封装在数据包中,这个数据包就是主动报文。主动报文与传统网络数据报文的区别就是主动报文包含可执行代码。为了使主动节点能够识别主动报文,并在收到时确定处理它们的EE,以及能够安全地传递它们,主动报文须采用一定的封装格式。目前,常用的封装格式有两种:主动网络封装协议ANEP和主动IP信包。
DARPA主动网络工作组定义了主动网络封装协议(ANEP,Active Network Encapsulation Protocol),该协议详细描述了主动报文的格式。该格式是一种通用的、可扩展的,适合于各种主动网络执行环境的可互操作的包格式,如图3。
从ANEP报文格式可以看出其主要特点是:寻址方便和错误控制及时。主动节点接收到的数据包可以快速地判定要在哪个执行环境中执行计算,同时当指定EE不存在时,如何处理该包将由ANEP头部信息决定。
主动IP信包方法是通过扩展IP数据包的选项域来实现主动包,即提供了一种在传统IP报文中携带程序代码的机制。主动报文中源地址和目的地址都可以是IP地址。IP选项部分用于网络测试和排错,包含主动类型、长度、代码三部分,主动类型有四种(00:数据报控制;01:保留;10:排错和管理;11:保留)。版本号表示主动网络的版本,它决定了其余字段的定义。类型字段识别一个相关的转发程序,以及相关的代码组和协议。前地址用于
表示一个先前经过的网络结点的地址,用于在网络中传递主动代码。其他字段的数量和长度都取决于主动报文的类型。主动报文的载荷中包含高层信息,对网络内部是透明的。
主动IP信包的主要优点在于与传统的数据包是完全兼容的,就是在传统数据包中携带一定的程序代码,这对于主动网络与传统网路兼容非常有利。
3 主动网络的应用
Internet的新型服务项目包括远程教学、电子商务、IP电话和各种娱乐广播等。人们很难预料今后在Internet上还会出现什么样的新型服务项目,因而很难将目前的网络优化成支持未来的网络服务。而当新的服务项目出现时,它应当能够利用现有的网络资源。所以网络资源应当是逐步更新的,兼容传统的服务,同时支持新型服务。
主动网络的应用主要表现在它的动态控制功能方面,这使得当前许多受网络条件限制的应用性能得到大幅度提高。下面介绍几种主动网络的典型应用。
3.1 Web-caching
Web代理提供用户透明的服务并对Web页面进行缓存。主动网的Web代理能够对大量的Web页面进行动态计算,而不仅仅是进行被动地缓存,这使得Web代理能够进行主动缓存,存储并执行生成页面的程序。
Web-caching是一种能使web流量增长,同时又避免使网络产生阻塞的行为,它能够大大减少网络负载。在Web缓存方面,进一步研究热点是网络上各个缓存之间的信息共享。一个核心问题是:如何通过搜索缓存来定位文档的一个副本,以及如何将文档传输到缓存中,使其适合于未来的访问。一种直接而有效的方法是把网络查询的路由与缓存行为结合起来。在将一个查询从客户端传递到服务器时,首先查询附近的缓存,当文档从服务器传输到客户端时,同时也放入缓存。这样就可以避免文档的重复传输。
3.2 主动可靠的组播
在TCP/IP协议中,IP层不保证数据的可靠性,这使多播通信遇到了很多问题,如反馈风暴等。在主动网络中,主动节点能及时处理流经它的反馈包,保存发送者的信息,当同样的包经过时,节点将直接丢弃它,从而减少反馈风暴的发生;每个网络节点可以与邻近节点建立联系,当一个网络节点收到的数据有问题时,它可以从邻近节点获取正确数据,而不用要求发送端重传,减少了延迟;此外可以在主动包中包含处理可靠性的程序,发送者、接收者和主动节点通过执行这些程序,实现可靠处理工作。
主动可靠的组播要求对每一个组播的数据分组进行握手应答,其在组播树中嵌入主动路由器,这些路由器在处理分组的丢失和恢复方面与传统路由器不同,他可以利用自己的计算和存储能力提高组播的性能。这种丢失恢复处理功能的主要特点是使用双重的NACK过滤,使用尽力而为的组播数据缓存以备恢复时重传,以及在重传过程中使用局部组播以减少数据重传所需的带宽。这种组播方式不要求每个结点是主动的,在丢失恢复过程中没有“必须”存在的路由器,所以它是一个健壮的可扩展系统,可以减少恢复数据所需的网络带宽。
3.3 主动拥塞控制
传统的网络拥塞控制中,拥塞的检测和控制是在端到端的基础上由源端通过各种隐含信号推测出来并进行控制的,而不是由发生拥塞的网络节点及时和主动的进行的。这不但延缓了对网络拥塞的检测和控制,还有可能造成更严重的网络拥塞。
主动拥塞控制(ACC,Active Congestion Control)将网络中的拥塞控制算法分布到各个结点,使其能够对拥塞现象做出立即反应。在一般的网络中,结点可以停止向发生拥塞得结点发出分组以避免冲突。主动网络的可编程性使得网络中可以实现各种不同的拥塞信息反馈控制算法。例如,在视频信息传输中,主动网络可以根据网络拥塞的情况来决定数据压缩的比例。
在主动网络中,拥塞可以在路由器结点中进行检测并做出反应,而不需要在终点做出反应。路由器可以立即对已经进入网络的分组采取措施比如数据压缩,这样可以消除反馈的时间延迟,使网络系统的稳定性得到提高。主动节点能够监控可用带宽,控制数据流的传输率,必要时在主动节点缓存报文解决拥塞问题。
4 主动网络的优势
主动网络的发展源于在网络中引入了可编程性,从而增强了网络结构的灵活性。这种灵活性使得用户可以通过向网络插入程序来对网络编程,因此主动网络能快速升级网络服务和部署原来不可能的服务在传统的存储转发网络中,路由器检查包的目的地址,根据路由表把它转发到目的地。在主动网络系统中,路由器可能执行支持某种应用的插入程序。
主动网络是采用基于“存储-计算-转发”的网络传输模式,它改变了传统网络的体系结构,其优势主要表现在:
1)可编程性:主动网络的最大特色就是可编程性。主动网络的报文、服务等可以用一种或多种语言描述,其功能远比传统网络“存储-转发”的功能强,用户通过构建封装在主动包中的程序代码对网络进行编程。
2)可移动性:主动网络能够传送携带程序代码的主动包,主动包能在不同的平台间移动,流经的主动节点可以获取主动包中的代码并执行。
3)可扩展性:主动网络具有灵活扩展功能的能力,因为它的网络节点是可编程的,所以用户或服务开发商、服务供应商等可以很容易将服务代码注入到网络节点中,对其功能进行扩展。这样一来加速了网络革新的步伐,从传统的面向供应商驱动的网络服务向面向用户驱动的网络服务转变。
5 小结
互联网的蓬勃发展产生了许多新的网络服务要求,网络应用是不断变化的,这就要求能够在现有网络中方便地增加新的网络服务和协议,并且要求能够根据需要定制这些服务而不需要通过漫长的标准化过程。现有的IP网络不能真正实现某种应用的可定制性,这种可定制性的缺乏和难于变化的特性推动了主动网络的研究和发展。
为了使主动网络成为一种实用的网络体系结构,对主动网络各个方面,例如体系结构、应用问题、安全方面还需进一步加强研究。
摘要:主动网络是一种新型的网络体系结构。首先介绍了传统网络存在的弊端引入了主动网络技术,对主动网络的体系结构做了分析研究,举例说明了主动网络在动态控制方面的应用,分析了其存在的优势。
关键词:主动网络,主动节点,主动报文,网络体系,主动应用
参考文献
[1]David L.Tennenhouse and David J.Wetherall,Towards an Active Network Architecture,Computer Communication Review,Vol.26,No.2,April1996.
[2]Calvert K L,Bhatmcharjee,Directions in Active Networks[J],IEEE Communication Magazine,1998,36(1),72-78.
[3]邱航,主动网络技术研究[J].计算机应用,2003,23(8):93-96.
[4]任丰源,任勇,山秀明.主动网络的研究与进展[J].软件学报,2001,12(11):1614-1622.
赵阳:网络安全防御需主动出击 第10篇
三点需求推动安全服务发展
赵阳表示,从市场需求分析来看推动目前安全服务快速发展主要由业务驱动需求、价值驱动需求以及政策合规需求组成。随着目前企业信息化的不断深入,电子数据存储的不断增加,企业外部合作伙伴的不断扩大,企业对于业务驱动的需求呈现出发展快速、需求多样化、依赖度高三个特点。
据了解,安全服务目前主要由MSS监控服务、基础安全服务、高级安全服务和紧急响应服务四方面组成。赵阳指出,价值驱动目前已成为推动产业链上下游发展的主要驱动力,它将企业发展、管理构建与开支成本紧密地联系在一起。
另外,政策的合规需求也是推动安全服务发展的主要力量。目前我国无论是国家级政策还是行业标准制定均为安全服务市场的快速发展提供了政策导向,例如我国颁布的《中华人民共和国计算机信息系统安全保护条例》为国内整体IT安全风险控制领域提出了需要遵循的法律要求。
网络防御变被动为主动
目前我国的政策等级保护主要规范了风险评估常态化、应急灾备常态化以及等级评测体系。在我国等级保护制度中规定,所有网络信息系统必须实行定级备案,三级系统每年至少进行一次安全评估,而四级系统每半年至少进行一次评估,同时所有网络评估等级必须大于三级。
赵阳指出,随着网络攻击技术的不断变化与演进,其目前已呈现多样化、综合化、隐蔽化以及盈利化等趋势发展,网络防御体系也需要在运营商的设备升级中不断地建设完成,以应对来自网络各方面的攻击,因此大规模网络安全体系的提出与建设就为运营商迎解了目前所遇到的问题。
赵阳表示,在目前SOC体系已全部部署完成后首先需要保障大网业务客户的安全,同时需要在安全体系中做到客户细分,推出大规模网络对政企客户、家庭客户、个人客户提供安全的服务,完成一体化思路。据了解,大规模网络安全体系由应用安全、业务网安全与承载网安全三层结构组成,而这一建设思路也符合未来NGN的发展思路,与运营商未来网络发展相统一。
大规模网络安全防护的架构在二级以上加入了动态感知系统,同时与SOC进行紧密结合。动态感知系统能够将网络攻击与网络防御两端的动态变化进行分析处理,而SOC则能根据网络攻击具体情况进行感知并有效地提出应对攻击的主动防范思路。
巧用图形计算器引导学生主动探究 第11篇
【关键词】 图形计算器 探究性教学 数学
在现在的教育教学中,教师往往都是运用信息技术通过投影的方式将过程与方法展示给学生看,虽然逼真、形象的反映出知识的发生和发展过程,但学生的自主探究、动手实践、亲身体验得不到很好的体现,只能是被动地接受教师所展示的数学知识,学生的创新意识和创造能力得不到很好的发展。因此迫切需要一种能使每个学生都能拥有的方便的信息技术工具,能够让每个学生自主地探究体验数学知识的发生、发展过程。前苏联著名数学家A.H.柯尔莫戈洛夫所指出的:“只要有可能,数学家总是尽力把他们正在研究的问题从几何上视觉化”。《普通高中数学课程标准(实验稿)》指出:高中数学课程应提倡利用信息技术来呈现以往教学中难以呈现的课程内容,尽可能使用科学型计算器、各种数学教育技术平台,加强数学教学与信息技术的结合,鼓励学生应用计算
机、计算器等进行探索和发现。
一、图形计算器在高中数学新课程代数教学中的应用
“函数”的概念、性质、图像是中学数学中最基本、最重要的部分,它的思维方法渗透在高中数学的每一个部分;函数的概念是一个比较抽象的思维,学生在学习这一内容时必须要借助其对应图像来参透、理解函数的性质。为了解决数形结合的问题,在有关函数的传统教学中,教师多以手工绘图为主,其缺陷就是绘图有不精确、速度慢,而且没有动态的变化效果。而通过应用图形计算器,学生不但可以快速直观的观察函数的图形特点及其变化过程,而且可以自主操作,亲身体验知识的发生发展过程,提高了数学思维的能力,增强了学习数学的兴趣。
运用图形计算器可以帮助我们解决一些我们平常很难解决,较难想象的数学问题,而且可以培养学生从多角度来分析问题:
例如:求函数 的最值。
在常规的数学教学中,我们一般采用分解构造转变的方法,将函数解析式配方变形为: ,将求函数的最值转化为:求在X轴上找一点M(x,0)到 P(2,1)、Q(3,3)两点距离之和|PM|+|QM|的最值问题,这种解法借助数形结合,有较强的技巧性,学生感觉很困难。
如果运用图形计算器,方案如下:
(1),令 ,学生知道y1与y2的图象类似于抛物线,那么, 的图象呢?通过在同一坐标系内画出三个函数的图象(如图1)。显然,我们可以看出 有最小值,单击函数最小值按键 ,就可以实现,当x=2.25时,y的最小值为4.1231056(图2)
(2) 也可以从函数最值计算的角度,使用计算器中内置的高级数学软件( fMax,fMin)直接求出函数最值:
命令如下:,fMin( ),结论如下:
即当 时函数取得最小值,并可计算出其最小值为4.1231056;
命令如下:fMax( )
结论如下:
(即:求出函数取得最大值时x的值为∞或-∞,也就是说:当x=∞时,函数的最
大值并不是一个真正的数)函数没有最大值。
通过图形计算器,教师和学生可以一起“看见”以往我们只能想象的数学,从函数的图象、函数的计算和数形转化等三个方面来目睹解决方案的多样性。
二、图形计算器在高中数学新课程平面解析几何教学中的应用
平面解析几何是通过代数方法来研究几何问题的一门学科,它主要是根据题目的已知条件,选择适当的坐标系,借助形和数的对应关系,求出表示平面曲线的方程,把形的问题转化为数来研究;再通过方程,研究平面曲线的性质,把数转化为形来讨论。
然而学生在学习过程中经常会碰到一些数转化为形时需要对形进行动态的变化来求最佳点。但曲线与方程的对应关系比较抽象,而且手画又不能体现一个连续的过程,需要学生有较强的动态想象能力,导致学生不易理解。因此,展示几何图形变形与运动的整体过程在解析几何教学中是非常重要的。而图形计算器有较强的运算与图形图像功能,在教学以及学生自主学习中发挥着重大作用:它能作出数学中的普通方程、参数方程、极坐标方程中的曲线,并且能显示图像中各项的量进行度量、运算;能动态的对题中的变量进行追踪,显示其每个位置的变化参量;甚至是对于超越方程这种难以求解的问题也可以通过其图形判断零点及其变化趋势。
例如:(1) 求函数 的最值
在解决这个问题时通常利用其几何性质转化为求过动点 与定点 的直线的斜率范围来确定函数的最值。运用图形计算器方案如下:
①作单位圆 上取动点 ,连接CD,通过度量求直线CD斜率的最值(如图3)
②也可以直接作出 的图像,通过最值键 、 求出最值,过程中还可以看到函数的单调性和最值分布情况。(如图4、5)
即:当x=0.701758时y取得最小值,最小值为0.8452994
当x=4.40542时y取得最大值,最大值为3.1547005
三、图形计算器在高中数学新课程立体几何教学中的应用
立体几何是在学生已有的平面图形知识的基础上讨论空间图形的性质;它需要学生拥有较强的空间想象能力。但是刚开始学习时,大多数学生不具备丰富的空间想象的能力及较强的平面与空间图形的转化能力:两条垂直直线从二维平面夹角90°到三维空间的45°,正方体的各个面也不是画成正方形。这样一来,学生不得不根据歪曲真象的图形去想象真实情况,给学生认识立体几何图形增加了困难。所以他们需要通过一定的模型和实物样子以及其相应线条图形的的对比来慢慢适应从平面到空间的视角改变。
通过图形计算器,学生可以自主地画出空间立体图形,而且可以通过旋转多角度地观察立体图形,在头脑里形成立体图像线条画。
例如: 的空间图形(图4) ;的空间图形 (图5)
当点击上下左右的方向键时,可以从各个角度观察图像的形状特点。通过旋转的动态展示,学生慢慢地适应了空间立体图形的平面化体现,同时也让学生欣赏到数学的美,激发学生学习数学的兴趣,创建一个轻松、乐学的氛围。
我们可以看到通过运用图形计算器进行数学教学:(1)可以让学生积极参与,自行探索,获得亲身体验,对数学的概念与内涵有更为深入的理解,达到可持续发展的要求。(2)可以更好地暴露知识发生、发展的过程,揭示知识之间的内在联系。在教师的指导下,一些教学内容可以让同学们亲自动手操作、观察、分析、比较、发现、猜想,开展交流,不必再用“教师讲学生听”的教学方式进行。(3)数学应用和数学建模问题越来越受到人们的普遍重视,计算器为数学教学提供了一种帮助学生探究、理解和应用数学的有力工具。人教A版高中数学课标教材非常强调信息技术运用于数学教学,设置了相关的栏目与内容,为计算器与数学教学的整合搭建了平台,提供了计算器与高中数学教学整合的更广阔空间。
参考文献:
[1]叶立军.数学新课程理念与实施[M].浙江大学出版社,2005.
[2]张奠宙.中国数学双基教学[M].上海教育出版社,2006
[3]中华人民共和国教育部.普通高中数学课程标准(实验)[M].人民教育出版社,2003
浅析计算机病毒主动防御技术 第12篇
近些年来, 随着计算机的普及与应用和因特网的高速发展, 网络通信已成为人们获取各类信息和相互之间联系的重要手段, 计算机病毒制作与传播已从以往的证明作者计算机技术水平演变成各种隐性犯罪的工具。由于以往计算机反病毒的工作流程是, 病毒发作后, 专业人员获取病毒样本后再进行样本研究, 再把解决办法通过网络升级反病毒软件传到计算机用户手中进行杀毒, 其最快的流程也需6-7小时, 所以经常造成一个基于网络攻击技术的病毒流行就能导致全球成百上千万台计算机染毒的病毒灾难。
为了解决这些日益严重的新威胁, 反病毒技术分两个方向同时启步。一方面是采用传统的特征识别、加强引擎脱壳、加强样本的收集、加快病毒特征的更新等等。时至今日, 这仍然是最主要的, 效率最高的应对方法。但是, 不可避免会有电脑成为新病毒的牺牲品。另一方面, 就是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。本文重点介绍主动防御技术。
1 传统反病毒技术及其局限性
1.1 特征码技术:基于对已知病毒分析、查解的反病毒技术
目前的大多数杀病毒软件采用的方法主要是特征码查毒方案与人工解毒并行, 亦即在查病毒时采用特征码查毒, 在杀病毒时采用人工编制解毒代码。
特征码查毒方案实际上是人工查毒经验的简单表述, 它再现了人工辨识病毒的一般方法, 采用了“同一病毒或同类病毒的某一部分代码相同”的原理, 也就是说, 如果病毒及其变种、变形病毒具有同一性, 则可以对这种同一性进行描述, 并通过对程序体与描述结果 (亦即“特征码”) 进行比较来查找病毒。而并非所有病毒都可以描述其特征码, 很多病毒都是难以描述甚至无法用特征码进行描述。使用特征码技术需要实现一些补充功能, 例如近来的压缩包、压缩可执行文件自动查杀技术。
但是, 特征码查毒方案也具有极大的局限性。特征码的描述取决于人的主观因素, 从长达数千字节的病毒体中撷取十余字节的病毒特征码, 需要对病毒进行跟踪、反汇编以及其他分析, 如果病毒本身具有反跟踪技术和变形、解码技术, 那么跟踪和反汇编以获取特征码的情况将变得极其复杂。此外, 要撷取一个病毒的特征码, 必然要获取该病毒的样本, 再由于对特征码的描述各个不同, 特征码方法在国际上很难得到广域性支持。特征码查病毒主要的技术缺陷表现在较大的误查和误报上, 而杀病毒技术又导致了反病毒软件的技术迟滞。
1.2 虚拟机技术:启发式探测未知病毒的反病毒技术
虚拟机技术的主要作用是能够运行一定规则的描述语言。由于病毒的最终判定准则是其复制传染性, 而这个标准是不易被使用和实现的, 如果病毒已经传染了才判定它是病毒, 定会给病毒的清除带来麻烦。
虚拟机在反病毒软件中应用范围广, 己成为目前反病毒软件的一个趋势。一个比较完整的虚拟机, 不仅能够识别新的未知病毒, 而且能够清除未知病毒, 我们会发现这个反病毒工具不再是一个程序。首先, 虚拟机必须提供足够的虚拟, 以完成或将近完成病毒的“虚拟传染”;其次, 尽管根据病毒定义而确立的“传染”标准是明确的, 但是, 这个标准假如能够实施, 它在判定病毒的标准上仍然会有问题;第三, 假如上一步能够通过, 那么, 我们必须检测并确认所谓“感染”的文件确实感染的就是这个病毒或其变形。
目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word/excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的, 但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样, 针对虚拟机的新病毒可以轻易使得虚拟机失效。虽然虚拟机也会在实践中不断得到发展。但是, pc的计算能力有限, 反病毒软件的制造成本也有限, 而病毒的发展可以说是无限的。让虚拟技术获得更加实际的功效, 甚至要以此为基础来清除未知病毒, 其难度相当大。
事实上, 无论是启发式, 亦或是虚拟机, 都只能是一种工程学的努力, 其成功的概率永远不可达到100%。这是惟一的却又是无可奈何的缺憾。
2 主动防御技术研究与实现
2.1 什么是“主动防御”
一般意义上的“主动防御”, 就是全程监视进程的行为, 一但发现“违规”行为, 就通知用户, 或者直接终止进程。它类似于警察判断潜在罪犯的技术, 在成为一个罪犯之前, 大多数人都有一些异常行为, 比如“性格孤僻, 有暴力倾向, 自私自利, 对现实不满”等先兆, 但是并不是说有这些先兆的人就都会发展为罪犯, 或者说罪犯都有这些先兆。
2.2“主动防御”的技术实现
在“主动防御”技术的的实现上, 主要是通过函数来进行控制。因为一个程序如果要实现自己的功能, 就必须要通过接口调用操作系统提供的功能函数。以前在DOS里几乎所有的系统功能或第三方插件都是通过中断提供的, 在Windows里一般是通过DLL里的API提供, 也有少数通过INT 2E或SYSENTER提供。一个进程有怎么样的行为, 通过看它调用了什么样的API就大概清楚了。比如它要读写文件就必然要调用Create File () , Open File () , Nt Open File () , Zw Open File () 等函数;要访问网络就必然要使用Socket函数。因此只要挂接系统API (尽量挂接RING0层的API, 如果挂接RING3层的API将有可能被绕过) , 就可以知道一个进程将有什么动作, 如果有危害系统的动作该怎么样处理等等。例如瑞星反病毒系统, 用户可以在它的安装目录里找到几个驱动文件, 其实这些驱动就是挂接了ntoskrnl.exe、ndis.sys等系统关键模块里的API, 从而对进程的普通行为、网络行为、注册表行为进行监视。
在此基础上, 用户可以自己设想一个“主动防御”的操作流程:通过挂接系统建立进程的API, 系统就可以在一个进程建立前对进程的代码进行扫描, 如果发现SGDT、SIDT、自定位指令, 系统就进行提示, 如果用户放行, 就让进程继续运行;接下来监视进程调用API的情况, 如果发现以读写方式打开一个EXE文件, 可能进程的线程想要感染PE文件, 就会发出警告;如果收发数据违反了规则, 就会发出提示;如果进程调用了Create Remote Thread () , 则发出警告 (危险的API, 木马用得最多) 。
3 目前运用主动防御技术的产品
(1) Cisco ASA 5500
Cisco ASA 5500系列IPS版在一个易于部署的平台中提供防火墙、应用安全性和入侵防御功能, 将防火墙技术的功能和稳定性, 与IPS技术的高级检查功能有机地结合在一起, 防止各机构的服务器和基础设施遭受攻击。
(2) ESET NOD32
NOD32拥有一个高度优化的引擎, 担任统一的安全保护, 防止病毒、蠕虫、间谍程序的恶意攻击, 并且在不断的更新。此外, NOD32拥有先进的Threat Sense技术, 这种基于虚拟机的启发式杀毒技术可以有效侦测未知的病毒。NOD32的Threat Sense技术, 对于未知病毒的侦测准备率高达70%~90%。
(3) Symantec Man Hunt 3.0
Symantec Man Hunt 3.0可使用其混合检测体系结构发现恶意活动、实时识别网络入侵并对常见攻击和异常攻击作出迅速响应。这种混合检测体系结构使用一组检测方法来有效检测攻击和准确识别攻击。
(4) Tipping Point X505
Tipping Point X505具有全面的入侵防御系统, 不断地清理网络, 使其不受诸如蠕虫、病毒、木马、网络钓鱼的尝试、间谍软件、网络电话Vo IP威胁以及其他恶意网络流量的侵害。为了确保实时的保护, Tipping Point数字疫苗安全团队不断地开发出新的攻击过滤器, 以预先防护新的零日攻击漏洞的被利用。
(5) 东方微点主动防御套件
微点的主动防御套件以行为杀毒技术为基础, 依靠分布在操作系统的众多探针, 动态监视所运行程序调用各种应用编程接口 (API) 的动作, 自动分析程序动作之间的逻辑关系, 自动判定程序行为的合法性。
参考文献
[1]卢昱, 林琪.网络安全技术.北京:中国物资出版社.2000.12.
[2]徐国爱.网络安全.北京:北京邮电大学出版社.2004.5.
[3]http://it.rising.com.cn/newSite/Channels/Anti_Virus/Antivirus_Base/TopicDatabasePackage/06-131000167.htm.
