网络监控系统(监控延时20多秒是什么原因)
资讯
2023-12-04
345
1. 网络监控系统,监控延时20多秒是什么原因?
监控画面出现延迟,问题的原因可能出现在网线质量、交换机的性能、传输中继设备跳转次数过多引起的
①交换机的性能,当网络的流量变大时,交换机的数据吞吐量增大,而质量较差的交换机在时延、丢包率、背板带宽、交换容量、包转发率等因素上会影响监控画面传输的稳定,因此在200万以上的高清监控组网中,需要选择优质交换机、控制网络流量,一般情况下,交换机接入摄像头数量最多不能超过端口数量的80%
②
网线的质量不佳,通常情况下网线的质量好坏直接影响监控画面传输的稳定,在监控的组网布线中,最好选择无氧铜材质的网线,因为无氧铜网线的电阻小,衰减低,传输距离最远能达150m,在网线的单股电阻测量中,每10米是小于1Ω的,如果超过该阻值越多,传输效果就越差。
③
中继设备跳转次数多,在画面传输过程中,每跳转一次,就要增加一次中转设备的处理时间,跳转的次数越多,造成的时间损耗就越大。多级跳转也会使信号衰减严重,因此,在监控布线时要尽量减少跳转次数能有效减少延迟现象。
④后端NVR解码性能不佳,后端NVR设备在接收到通过编码后的数字信号后,需要时间对其进行解码输出并录像存储,网络高清视频对后NVR的解码能力要求很高,一台好的NVR解码速度会更快,所需时间会更短,延迟就会更小。
⑤
摄像机码流值过高,高清画面预览延时,可以适当降低子码流码流上限,在录像机编码参数—子码流参数中每个通道码流上限降低,降低之后重启录像画面延迟就会有所改善。
2. 监控系统输入密码显示1015咋回事?
可能是设备没有添加成功。
首先无线监控摄像头设备一套,现在无线监控摄像头都是一个整体,把无线网络监控摄像头接到电脑上。
打开电脑后,把无线摄像头的驱动安装好,在电脑上,可以看到无线网络监控摄像头的端口,IP地址,可以默认,也可以自己手动设置一下。
手机里安装对应的网络监控摄像头的APP,一般情况买摄像头的时候卖家都会一起给软件的,有时候需要自己在手机里下载一下。
把无线摄像机设置成支持远程监控,开启监控摄像机的录像功能,然后插电测试录像机的画质,分别设置登录用户名和密码。
然后用手机登录一下APP,测试一下远程效果就可以了。
3. dss显示网络关闭是怎么回事?
意思是网络不可用了,长按右下角那个关机键会出来个菜单,点“移动网络”那一栏就行了,如果网络已经被你关了的话这一栏下面显示的小字是“互联网连接关闭”,点一下就会打开了。如果显示的是“互联网连接打开”的话网络就是开的,信号栏上面会有“E”,我也是为了省流量,不用的时候就把它关掉,用的时候再打开的。
4. 监控系统中的数字监控探头和网络监控探头有哪些不同?
都是样是数字信号,只不过网络探头是用网线口,数字探头有可能用网口,或者是光纤接口
5. 云视通网络监控系统密码错误怎么办?
摄像头的初始管理员密码一般和用户名一样,或者空或者888888或者666666.如果修改后忘记的话。 一种是摄像头直接有恢复默认值的按钮,长按一下就行了。另外一种需要问厂家技术要解决办法了。一般厂家需要用专用的客户端软件,搜索到摄像头的IP,然后启动恢复初始值,输入厂家计算出的一个密码,点确定就可以了。建议具体操作方法问厂家客服。
6. 网络入侵检测的一些定义?
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现: · 监视、分析用户及系统活动; · 系统构造和弱点的审计; · 识别反映已知进攻的活动模式并向相关人士报警; · 异常行为模式的统计分析; · 评估重要系统和数据文件的完整性; · 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。编辑本段分类情况 入侵检测系统所采用的技术可分为特征检测与异常检测两种。特征检测 特征检测 (Signature-based detection) 又称 Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。异常检测 异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。编辑本段工作步骤 对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。编辑本段常用术语 随着IDS(入侵检测系统)的超速发展,与之相关的术语同样急剧演变。本文向大家介绍一些IDS技术术语,其中一些是非常基本并相对通用的,而另一些则有些生僻。由于IDS的飞速发展以及一些IDS产商的市场影响力,不同的产商可能会用同一个术语表示不同的意义,从而导致某些术语的确切意义出现了混乱。对此,本文会试图将所有的术语都囊括进来。Alert (警报) 当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示。如果是远程控制台,那么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员。Anomaly (异常) 当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警。一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时 入侵检测图片(2),IDS就会告警,例如有人做了以前他没有做过的事情的时候,例如,一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能。Appliance (IDS硬件) 除了那些要安装到现有系统上去的IDS软件外,在市场的货架上还可以买到一些现成的IDS硬件,只需将它们接入网络中就可以应用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。ArachNIDS ArachNIDS是由Max Visi开发的一个攻击特征数据库,它是动态更新的,适用于多种基于网络的入侵检测系统。 ARIS:Attack Registry & Intelligence Service(攻击事件注册及智能服务) ARIS是SecurityFocus公司提供的一个附加服务,它允许用户以网络匿名方式连接到Internet上向SecurityFocus报送网络安全事件,随后SecurityFocus会将这些数据与许多其它参与者的数据结合起来,最终形成详细的网络安全统计分析及趋势预测,发布在网络上。它的URL地址是。Attack (攻击) Attacks可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信息以及破坏目标网络或系统功能的行为。以下列出IDS能够检测出的最常见的Internet攻击类型: 攻击类型1-DOS(Denial Of Service attack,拒绝服务攻击):DOS攻击不是通过黑客手段破坏一个系统的安全,它只是使系统瘫痪,使系统拒绝向其用户提供服务。其种类包括缓冲区溢出、通过洪流(flooding)耗尽系统资源等等。 攻击类型2-DDOS(Distributed Denial of Service,分布式拒绝服务攻击):一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击,却无法发出足够的信息包来达到理想的结果,因此就产生了DDOS,即从多个分散的主机一个目标发动攻击,耗尽远程系统的资源,或者使其连接失效。 攻击类型3-Smurf:这是一种老式的攻击,但目前还时有发生,攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping操作,然后所有活动主机都会向该目标应答,从而中断网络连接。 攻击类型4-Trojans(特洛伊木马):Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马,木马中藏有希腊士兵,当木马运到城里,士兵就涌出木马向这个城市及其居民发起攻击。在计算机术语中,它原本是指那些以合法程序的形式出现,其实包藏了恶意软件的那些软件。这样,当用户运行合法程序时,在不知情的情况下,恶意软件就被安装了。但是由于多数以这种形式安装的恶意程序都是远程控制工具,Trojan这个术语很快就演变为专指这类工具,例如BackOrifice、SubSeven、NetBus等等。Automated Response (自动响应) 除了对攻击发出警报,有些IDS还能自动抵御这些攻击。抵御方式有很多:首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其次,通过在网络上发送reset包切断连接。但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后IDS就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对“自己人”拒绝服务了。发送reset包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标准IP栈需求。CERT (Computer Emergency Response Team,计算机应急响应小组) 这个术语是由第一支计算机应急反映小组选择的,这支团队建立在Carnegie Mellon大学,他们对计算机安全方面的事件做出反应、采取行动。现在许多组织都有了CERT,比如CNCERT/CC(中国计算机网络应急处理协调中心)。由于emergency这个词有些不够明确,因此许多组织都用Incident这个词来取代它,产生了新词Computer Incident Response Team(CIRT),即计算机事件反应团队。response这个词有时也用handling来代替,其含义是response表示紧急行动,而非长期的研究。CIDF (Common Intrusion Detection Framework;通用入侵检测框架) CIDF力图在某种程度上将入侵检测标准化,开发一些协议和应用程序接口,以使入侵检测的研究项目之间能够共享信息和资源,并且入侵检测组件也能够在其它系统中再利用。CIRT (Computer Incident Response Team,计算机事件响应小组) CIRT是从CERT演变而来的,CIRT代表了对安全事件在哲学认识上的改变。CERT最初是专门针对特定的计算机紧急情况的,而CIRT中的术语incident则表明并不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。CISL (Common Intrusion Specification Language,通用入侵规范语言) CISL是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试,因此CISL就是对入侵检测研究的语言进行标准化的尝试。CVE (Common Vulnerabilities and Exposures,通用漏洞披露) 关于漏洞的一个老问题就是在设计扫描程序或应对策略时,不同的厂商对漏洞的称谓也会完全不同。还有,一些产商会对一个漏洞定义多种特征并应用到他们的IDS系统中,这样就给人一种错觉,好像他们的产品更加有效。MITRE创建了CVE,将漏洞名称进行标准化,参与的厂商也就顺理成章按照这个标准开发IDS产品。Crafting Packet (自定义数据包) 建立自定义数据包,就可以避开一些惯用规定的数据包结构,从而制造数据包欺骗,或者使得收到它的计算机不知该如何处理它。Desynchronization (同步失效) Desynchronization这个术语本来是指用序列数逃避IDS的方法。有些IDS可能会对它本来期望得到的序列数感到迷惑,从而导致无法重新构建数据。这一技术在1998年很流行,现在已经过时了,有些文章把desynchronization这个术语代指其它IDS逃避方法。Eleet 当黑客编写漏洞开发程序时,他们通常会留下一个签名,其中最声名狼藉的一个就是elite。如果将eleet转换成数字,它就是31337,而当它是指他们的能力时,elite=eleet,表示精英。31337通常被用做一个端口号或序列号。目前流行的词是“skillz”。Enumeration (列举) 经过被动研究和社会工程学的工作后,攻击者就会开始对网络资源进行列举。列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。由于现在的行动不再是被动的,它就有可能被检测出来。当然为了避免被检测到,他们会尽可能地悄悄进行。Evasion (躲避) Evasion是指发动一次攻击,而又不被IDS成功地检测到。其中的窍门就是让IDS只看到一个方面,而实际攻击的却是另一个目标,所谓明修栈道,暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL(有效时间)值,这样,经过IDS的信息看起来好像是无害的,而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。一旦经过了IDS并接近目标,无害的部分就会被丢掉,只剩下有害的。Exploit (漏洞利用) 对于每一个漏洞,都有利用此漏洞进行攻击的机制。为了攻击系统,攻击者编写出漏洞利用代码或教本。 对每个漏洞都会存在利用这个漏洞执行攻击的方式,这个方式就是Exploit。为了攻击系统,黑客会编写出漏洞利用程序。 漏洞利用:Zero Day Exploit(零时间漏洞利用) 零时间漏洞利用是指还未被了解且仍在肆意横行的漏洞利用,也就是说这种类型的漏洞利用当前还没有被发现。一旦一个漏洞利用被网络安全界发现,很快就会出现针对它的补丁程序,并在IDS中写入其特征标识信息,使这个漏洞利用无效,有效地捕获它。False Negative (漏报) 漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。 False Positives(误报) 误报是指实际无害的事件却被IDS检测为攻击事件。 Firewalls(防火墙) 防火墙是网络安全的第一道关卡,虽然它不是IDS,但是防火墙日志可以为IDS提供宝贵信息。防火墙工作的原理是根据规则或标准,如源地址、端口等,将危险连接阻挡在外。FIRST (Forum of Incident Response and Security Teams,事件响应和安全团队论坛) FIRST是由国际性政府和私人组织联合起来交换信息并协调响应行动的联盟,一年一度的FIRST受到高度的重视。Fragmentation
7. 如何解决设置的IP数已经超过254的问题?
针对每一个问答都本着绝不大胆胡说,只管小心求证的态度,疯评科技来解答您的提问。
在IP数量超过254后,用C类子网掩码已经无法保证在同一个局域网了,为了保证网络监控的正常运行,其实可以合理利用网络技术来进行解决,下面提出几种可行的解决方案。
解决方法1:将C类24位的子网掩码进行缩小,增加主机位来扩大容纳的主机数子网掩码决定了一个网络内能容纳主机的多少,我们日常中用的最多的就是24位子网掩码也就是255.255.255.0,看其最后一位,可知容纳的主机数是256-2=254个(除掉第一个的网络地址专用,最后一个广播地址专用)。
一旦主机数超出254,在用255.255.255.0的子网掩码,必然容纳不了,既然容纳不了,我就改成能够容纳就可以了。那就是放大子网掩码,增大主机位数。
怎么增加主机位数呢?因为在子网掩码的二进制表示中,连续的1代表所对应的IP地址位进行了固定的网络位,连续的0代表未固定的主机位,我们现在要做的就是放大这个连续的0的位数。
因此,根据实际主机的多少,来统一子网掩码即可。主机数在1~254,的用255.255.255.0的子网掩码,主机地址范围为10.0.0.1~10.0.0.254;主机数在255~510的用255.255.254.0的子网掩码,主机地址范围为10.0.0.1~10.0.1.254;主机数在510~1022范围的用255.255.252.0的子网掩码,主机地址范围为10.0.0.1~10.0.3.254;
依次类推,通过增加主机位,来进行主机数的增加,即可解决IP数超过254的问题。
监控服务器跟所有主机都在一个局域网,所以可以正常监控。
注意问题
虽然可以通过主机位增加来解决这类问题,但随着一个大的局域网的产生,产生广播风暴的概率就加大了,对整个网络来说并不利,这个是需要注意的地方。
解决方法2:将不同的网络地址段的主机通过路由器连接,用路由来联通所有主机路由器的作用就是连接不同网络地址段的主机来进行通信的,因此可以用这个来解决IP数超过254的问题。
将两个不同的网络地址段的IP主机通过交换机连接到一个或多个路由器,通过在路由器中设置路由,来保证不同地址段的IP通信,从而也就可以进行网络监控了。
这类路由器通常就需要选择企业路由器,不能用家庭路由器了,要支持一定的路由功能才行。当然,具备条件的话,三层交换机就最简单了。
不管监控服务器位于那一端,都可以通过路由器的作用,与所有主机进行通信,所以可以正常监控。
解决方法3:通过将不同网络地址段的主机分别接入路由器Wan口和Lan口,通过NAT来解决将监控服务器放置于路由器的Lan口所在网络,将另一部分超出254的数量的主机放置于路由器wan口所在网络。
监控服务器与所有同在路由器Lan口的主机可以直接通信,因此这部分主机可以监控;
监控服务器访问wan口所在网络的主机时,ip地址在出wan口时通过NAT转换成了wan口的ip地址,从而可以正常访问到外部的主机,因此这部分主机也可以进行监控。
监控服务器可以直接监控所在路由器Lan口的主机,并可以通过路由器的NAT转换监控到外部的主机。
解决方案4:通过将不同网络地址段的主机分别接入路由器Wan口和Lan口,通过端口映射来解决将监控服务器放置于路由器的wan口所在交换机上,将超出254数的主机放置于路由器的Lan口所在交换机。
对于同在wan口的主机,监控服务器可以直接通信,所以可以监控到;
对于在Lan口的主机,略微麻烦一点,在路由器上做端口映射,将内部主机分别映射到wan口ip 192.168.0.1的不同端口上,这样监控服务器直接访问路由器的wan口的这些端口就是访问到了lan口的内部主机了,也就可以监控到了。
监控服务器直接监控到wan口所有主机,并通过路由器的端口映射监控到内部主机。
在解决超过254个主机的方案中,方案1算是有些偷懒的方法,如果事先进行了规划,还是可以应用的,如果已经有了上百台主机设定好了子网掩码,这个改动也非常大,或许其它方案更好;方案2,3,4则需要对路由器有着全面的掌握,充分加以利用,方案2需要的路由器可能要路由功能强一些,方案3和4在普通路由器即可实施。
本站涵盖的内容、图片、视频等数据系网络收集,部分未能与原作者取得联系。若涉及版权问题,请联系我们删除!联系邮箱:ynstorm@foxmail.com 谢谢支持!
1. 网络监控系统,监控延时20多秒是什么原因?
监控画面出现延迟,问题的原因可能出现在网线质量、交换机的性能、传输中继设备跳转次数过多引起的
①交换机的性能,当网络的流量变大时,交换机的数据吞吐量增大,而质量较差的交换机在时延、丢包率、背板带宽、交换容量、包转发率等因素上会影响监控画面传输的稳定,因此在200万以上的高清监控组网中,需要选择优质交换机、控制网络流量,一般情况下,交换机接入摄像头数量最多不能超过端口数量的80%
②
网线的质量不佳,通常情况下网线的质量好坏直接影响监控画面传输的稳定,在监控的组网布线中,最好选择无氧铜材质的网线,因为无氧铜网线的电阻小,衰减低,传输距离最远能达150m,在网线的单股电阻测量中,每10米是小于1Ω的,如果超过该阻值越多,传输效果就越差。
③
中继设备跳转次数多,在画面传输过程中,每跳转一次,就要增加一次中转设备的处理时间,跳转的次数越多,造成的时间损耗就越大。多级跳转也会使信号衰减严重,因此,在监控布线时要尽量减少跳转次数能有效减少延迟现象。
④后端NVR解码性能不佳,后端NVR设备在接收到通过编码后的数字信号后,需要时间对其进行解码输出并录像存储,网络高清视频对后NVR的解码能力要求很高,一台好的NVR解码速度会更快,所需时间会更短,延迟就会更小。
⑤
摄像机码流值过高,高清画面预览延时,可以适当降低子码流码流上限,在录像机编码参数—子码流参数中每个通道码流上限降低,降低之后重启录像画面延迟就会有所改善。
2. 监控系统输入密码显示1015咋回事?
可能是设备没有添加成功。
首先无线监控摄像头设备一套,现在无线监控摄像头都是一个整体,把无线网络监控摄像头接到电脑上。
打开电脑后,把无线摄像头的驱动安装好,在电脑上,可以看到无线网络监控摄像头的端口,IP地址,可以默认,也可以自己手动设置一下。
手机里安装对应的网络监控摄像头的APP,一般情况买摄像头的时候卖家都会一起给软件的,有时候需要自己在手机里下载一下。
把无线摄像机设置成支持远程监控,开启监控摄像机的录像功能,然后插电测试录像机的画质,分别设置登录用户名和密码。
然后用手机登录一下APP,测试一下远程效果就可以了。
3. dss显示网络关闭是怎么回事?
意思是网络不可用了,长按右下角那个关机键会出来个菜单,点“移动网络”那一栏就行了,如果网络已经被你关了的话这一栏下面显示的小字是“互联网连接关闭”,点一下就会打开了。如果显示的是“互联网连接打开”的话网络就是开的,信号栏上面会有“E”,我也是为了省流量,不用的时候就把它关掉,用的时候再打开的。
4. 监控系统中的数字监控探头和网络监控探头有哪些不同?
都是样是数字信号,只不过网络探头是用网线口,数字探头有可能用网口,或者是光纤接口
5. 云视通网络监控系统密码错误怎么办?
摄像头的初始管理员密码一般和用户名一样,或者空或者888888或者666666.如果修改后忘记的话。 一种是摄像头直接有恢复默认值的按钮,长按一下就行了。另外一种需要问厂家技术要解决办法了。一般厂家需要用专用的客户端软件,搜索到摄像头的IP,然后启动恢复初始值,输入厂家计算出的一个密码,点确定就可以了。建议具体操作方法问厂家客服。
6. 网络入侵检测的一些定义?
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现: · 监视、分析用户及系统活动; · 系统构造和弱点的审计; · 识别反映已知进攻的活动模式并向相关人士报警; · 异常行为模式的统计分析; · 评估重要系统和数据文件的完整性; · 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。编辑本段分类情况 入侵检测系统所采用的技术可分为特征检测与异常检测两种。特征检测 特征检测 (Signature-based detection) 又称 Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。异常检测 异常检测 (Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。编辑本段工作步骤 对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。编辑本段常用术语 随着IDS(入侵检测系统)的超速发展,与之相关的术语同样急剧演变。本文向大家介绍一些IDS技术术语,其中一些是非常基本并相对通用的,而另一些则有些生僻。由于IDS的飞速发展以及一些IDS产商的市场影响力,不同的产商可能会用同一个术语表示不同的意义,从而导致某些术语的确切意义出现了混乱。对此,本文会试图将所有的术语都囊括进来。Alert (警报) 当一个入侵正在发生或者试图发生时,IDS系统将发布一个alert信息通知系统管理员。如果控制台与IDS系统同在一台机器,alert信息将显示在监视器上,也可能伴随着声音提示。如果是远程控制台,那么alert将通过IDS系统内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员。Anomaly (异常) 当有某个事件与一个已知攻击的信号相匹配时,多数IDS都会告警。一个基于anomaly(异常)的IDS会构造一个当时活动的主机或网络的大致轮廓,当有一个在这个轮廓以外的事件发生时 入侵检测图片(2),IDS就会告警,例如有人做了以前他没有做过的事情的时候,例如,一个用户突然获取了管理员或根目录的权限。有些IDS厂商将此方法看做启发式功能,但一个启发式的IDS应该在其推理判断方面具有更多的智能。Appliance (IDS硬件) 除了那些要安装到现有系统上去的IDS软件外,在市场的货架上还可以买到一些现成的IDS硬件,只需将它们接入网络中就可以应用。一些可用IDS硬件包括CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。ArachNIDS ArachNIDS是由Max Visi开发的一个攻击特征数据库,它是动态更新的,适用于多种基于网络的入侵检测系统。 ARIS:Attack Registry & Intelligence Service(攻击事件注册及智能服务) ARIS是SecurityFocus公司提供的一个附加服务,它允许用户以网络匿名方式连接到Internet上向SecurityFocus报送网络安全事件,随后SecurityFocus会将这些数据与许多其它参与者的数据结合起来,最终形成详细的网络安全统计分析及趋势预测,发布在网络上。它的URL地址是。Attack (攻击) Attacks可以理解为试图渗透系统或绕过系统的安全策略,以获取信息、修改信息以及破坏目标网络或系统功能的行为。以下列出IDS能够检测出的最常见的Internet攻击类型: 攻击类型1-DOS(Denial Of Service attack,拒绝服务攻击):DOS攻击不是通过黑客手段破坏一个系统的安全,它只是使系统瘫痪,使系统拒绝向其用户提供服务。其种类包括缓冲区溢出、通过洪流(flooding)耗尽系统资源等等。 攻击类型2-DDOS(Distributed Denial of Service,分布式拒绝服务攻击):一个标准的DOS攻击使用大量来自一个主机的数据向一个远程主机发动攻击,却无法发出足够的信息包来达到理想的结果,因此就产生了DDOS,即从多个分散的主机一个目标发动攻击,耗尽远程系统的资源,或者使其连接失效。 攻击类型3-Smurf:这是一种老式的攻击,但目前还时有发生,攻击者使用攻击目标的伪装源地址向一个smurf放大器广播地址执行ping操作,然后所有活动主机都会向该目标应答,从而中断网络连接。 攻击类型4-Trojans(特洛伊木马):Trojan这个术语来源于古代希腊人攻击特洛伊人使用的木马,木马中藏有希腊士兵,当木马运到城里,士兵就涌出木马向这个城市及其居民发起攻击。在计算机术语中,它原本是指那些以合法程序的形式出现,其实包藏了恶意软件的那些软件。这样,当用户运行合法程序时,在不知情的情况下,恶意软件就被安装了。但是由于多数以这种形式安装的恶意程序都是远程控制工具,Trojan这个术语很快就演变为专指这类工具,例如BackOrifice、SubSeven、NetBus等等。Automated Response (自动响应) 除了对攻击发出警报,有些IDS还能自动抵御这些攻击。抵御方式有很多:首先,可以通过重新配置路由器和防火墙,拒绝那些来自同一地址的信息流;其次,通过在网络上发送reset包切断连接。但是这两种方式都有问题,攻击者可以反过来利用重新配置的设备,其方法是:通过伪装成一个友方的地址来发动攻击,然后IDS就会配置路由器和防火墙来拒绝这些地址,这样实际上就是对“自己人”拒绝服务了。发送reset包的方法要求有一个活动的网络接口,这样它将置于攻击之下,一个补救的办法是:使活动网络接口位于防火墙内,或者使用专门的发包程序,从而避开标准IP栈需求。CERT (Computer Emergency Response Team,计算机应急响应小组) 这个术语是由第一支计算机应急反映小组选择的,这支团队建立在Carnegie Mellon大学,他们对计算机安全方面的事件做出反应、采取行动。现在许多组织都有了CERT,比如CNCERT/CC(中国计算机网络应急处理协调中心)。由于emergency这个词有些不够明确,因此许多组织都用Incident这个词来取代它,产生了新词Computer Incident Response Team(CIRT),即计算机事件反应团队。response这个词有时也用handling来代替,其含义是response表示紧急行动,而非长期的研究。CIDF (Common Intrusion Detection Framework;通用入侵检测框架) CIDF力图在某种程度上将入侵检测标准化,开发一些协议和应用程序接口,以使入侵检测的研究项目之间能够共享信息和资源,并且入侵检测组件也能够在其它系统中再利用。CIRT (Computer Incident Response Team,计算机事件响应小组) CIRT是从CERT演变而来的,CIRT代表了对安全事件在哲学认识上的改变。CERT最初是专门针对特定的计算机紧急情况的,而CIRT中的术语incident则表明并不是所有的incidents都一定是emergencies,而所有的emergencies都可以被看成是incidents。CISL (Common Intrusion Specification Language,通用入侵规范语言) CISL是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试,因此CISL就是对入侵检测研究的语言进行标准化的尝试。CVE (Common Vulnerabilities and Exposures,通用漏洞披露) 关于漏洞的一个老问题就是在设计扫描程序或应对策略时,不同的厂商对漏洞的称谓也会完全不同。还有,一些产商会对一个漏洞定义多种特征并应用到他们的IDS系统中,这样就给人一种错觉,好像他们的产品更加有效。MITRE创建了CVE,将漏洞名称进行标准化,参与的厂商也就顺理成章按照这个标准开发IDS产品。Crafting Packet (自定义数据包) 建立自定义数据包,就可以避开一些惯用规定的数据包结构,从而制造数据包欺骗,或者使得收到它的计算机不知该如何处理它。Desynchronization (同步失效) Desynchronization这个术语本来是指用序列数逃避IDS的方法。有些IDS可能会对它本来期望得到的序列数感到迷惑,从而导致无法重新构建数据。这一技术在1998年很流行,现在已经过时了,有些文章把desynchronization这个术语代指其它IDS逃避方法。Eleet 当黑客编写漏洞开发程序时,他们通常会留下一个签名,其中最声名狼藉的一个就是elite。如果将eleet转换成数字,它就是31337,而当它是指他们的能力时,elite=eleet,表示精英。31337通常被用做一个端口号或序列号。目前流行的词是“skillz”。Enumeration (列举) 经过被动研究和社会工程学的工作后,攻击者就会开始对网络资源进行列举。列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。由于现在的行动不再是被动的,它就有可能被检测出来。当然为了避免被检测到,他们会尽可能地悄悄进行。Evasion (躲避) Evasion是指发动一次攻击,而又不被IDS成功地检测到。其中的窍门就是让IDS只看到一个方面,而实际攻击的却是另一个目标,所谓明修栈道,暗渡陈仓。Evasion的一种形式是为不同的信息包设置不同的TTL(有效时间)值,这样,经过IDS的信息看起来好像是无害的,而在无害信息位上的TTL比要到达目标主机所需要的TTL要短。一旦经过了IDS并接近目标,无害的部分就会被丢掉,只剩下有害的。Exploit (漏洞利用) 对于每一个漏洞,都有利用此漏洞进行攻击的机制。为了攻击系统,攻击者编写出漏洞利用代码或教本。 对每个漏洞都会存在利用这个漏洞执行攻击的方式,这个方式就是Exploit。为了攻击系统,黑客会编写出漏洞利用程序。 漏洞利用:Zero Day Exploit(零时间漏洞利用) 零时间漏洞利用是指还未被了解且仍在肆意横行的漏洞利用,也就是说这种类型的漏洞利用当前还没有被发现。一旦一个漏洞利用被网络安全界发现,很快就会出现针对它的补丁程序,并在IDS中写入其特征标识信息,使这个漏洞利用无效,有效地捕获它。False Negative (漏报) 漏报是指一个攻击事件未被IDS检测到或被分析人员认为是无害的。 False Positives(误报) 误报是指实际无害的事件却被IDS检测为攻击事件。 Firewalls(防火墙) 防火墙是网络安全的第一道关卡,虽然它不是IDS,但是防火墙日志可以为IDS提供宝贵信息。防火墙工作的原理是根据规则或标准,如源地址、端口等,将危险连接阻挡在外。FIRST (Forum of Incident Response and Security Teams,事件响应和安全团队论坛) FIRST是由国际性政府和私人组织联合起来交换信息并协调响应行动的联盟,一年一度的FIRST受到高度的重视。Fragmentation
7. 如何解决设置的IP数已经超过254的问题?
针对每一个问答都本着绝不大胆胡说,只管小心求证的态度,疯评科技来解答您的提问。
在IP数量超过254后,用C类子网掩码已经无法保证在同一个局域网了,为了保证网络监控的正常运行,其实可以合理利用网络技术来进行解决,下面提出几种可行的解决方案。
解决方法1:将C类24位的子网掩码进行缩小,增加主机位来扩大容纳的主机数子网掩码决定了一个网络内能容纳主机的多少,我们日常中用的最多的就是24位子网掩码也就是255.255.255.0,看其最后一位,可知容纳的主机数是256-2=254个(除掉第一个的网络地址专用,最后一个广播地址专用)。
一旦主机数超出254,在用255.255.255.0的子网掩码,必然容纳不了,既然容纳不了,我就改成能够容纳就可以了。那就是放大子网掩码,增大主机位数。
怎么增加主机位数呢?因为在子网掩码的二进制表示中,连续的1代表所对应的IP地址位进行了固定的网络位,连续的0代表未固定的主机位,我们现在要做的就是放大这个连续的0的位数。
因此,根据实际主机的多少,来统一子网掩码即可。主机数在1~254,的用255.255.255.0的子网掩码,主机地址范围为10.0.0.1~10.0.0.254;主机数在255~510的用255.255.254.0的子网掩码,主机地址范围为10.0.0.1~10.0.1.254;主机数在510~1022范围的用255.255.252.0的子网掩码,主机地址范围为10.0.0.1~10.0.3.254;
依次类推,通过增加主机位,来进行主机数的增加,即可解决IP数超过254的问题。
监控服务器跟所有主机都在一个局域网,所以可以正常监控。
注意问题
虽然可以通过主机位增加来解决这类问题,但随着一个大的局域网的产生,产生广播风暴的概率就加大了,对整个网络来说并不利,这个是需要注意的地方。
解决方法2:将不同的网络地址段的主机通过路由器连接,用路由来联通所有主机路由器的作用就是连接不同网络地址段的主机来进行通信的,因此可以用这个来解决IP数超过254的问题。
将两个不同的网络地址段的IP主机通过交换机连接到一个或多个路由器,通过在路由器中设置路由,来保证不同地址段的IP通信,从而也就可以进行网络监控了。
这类路由器通常就需要选择企业路由器,不能用家庭路由器了,要支持一定的路由功能才行。当然,具备条件的话,三层交换机就最简单了。
不管监控服务器位于那一端,都可以通过路由器的作用,与所有主机进行通信,所以可以正常监控。
解决方法3:通过将不同网络地址段的主机分别接入路由器Wan口和Lan口,通过NAT来解决将监控服务器放置于路由器的Lan口所在网络,将另一部分超出254的数量的主机放置于路由器wan口所在网络。
监控服务器与所有同在路由器Lan口的主机可以直接通信,因此这部分主机可以监控;
监控服务器访问wan口所在网络的主机时,ip地址在出wan口时通过NAT转换成了wan口的ip地址,从而可以正常访问到外部的主机,因此这部分主机也可以进行监控。
监控服务器可以直接监控所在路由器Lan口的主机,并可以通过路由器的NAT转换监控到外部的主机。
解决方案4:通过将不同网络地址段的主机分别接入路由器Wan口和Lan口,通过端口映射来解决将监控服务器放置于路由器的wan口所在交换机上,将超出254数的主机放置于路由器的Lan口所在交换机。
对于同在wan口的主机,监控服务器可以直接通信,所以可以监控到;
对于在Lan口的主机,略微麻烦一点,在路由器上做端口映射,将内部主机分别映射到wan口ip 192.168.0.1的不同端口上,这样监控服务器直接访问路由器的wan口的这些端口就是访问到了lan口的内部主机了,也就可以监控到了。
监控服务器直接监控到wan口所有主机,并通过路由器的端口映射监控到内部主机。
在解决超过254个主机的方案中,方案1算是有些偷懒的方法,如果事先进行了规划,还是可以应用的,如果已经有了上百台主机设定好了子网掩码,这个改动也非常大,或许其它方案更好;方案2,3,4则需要对路由器有着全面的掌握,充分加以利用,方案2需要的路由器可能要路由功能强一些,方案3和4在普通路由器即可实施。
本站涵盖的内容、图片、视频等数据系网络收集,部分未能与原作者取得联系。若涉及版权问题,请联系我们删除!联系邮箱:ynstorm@foxmail.com 谢谢支持!