第一篇:北郵 大數據技術課程重點總結
大數據技術
1.什么是數據挖掘,什么是機器學習: 什么是機器學習
關注的問題:計算機程序如何隨著經驗積累自動提高性能; 研究計算機怎樣模擬或實現人類的學習行為,以獲取新的知識或技能,重新組織已有的知識結構使之不斷改善自身的性能; 通過輸入和輸出,來訓練一個模型。
2.大數據分析系統層次結構:應用層、算法層、系統軟件層、基礎設施層 3.傳統的機器學習流程
預處理-》特征提取-》特征選擇-》再到推理-》預測或者識別。
手工地選取特征是一件非常費力、啟發式(需要專業知識)的方法,如果數據被很好的表達成了特征,通常線性模型就能達到滿意的精度。
4.大數據分析的主要思想方法
4.1三個思維上的轉變
關注全集(不是隨機樣本而是全體數據):面臨大規模數據時,依賴于采樣分析;統計學習的目的——用盡可能少的數據來證實盡可能重大的發現;大數據是指不用隨機分析這樣的捷徑,而是采用大部分或全體數據。關注概率(不是精確性而是概率):大數據的簡單算法比小數據的復雜算法更有效 關注關系(不是因果關系而是相關關系):建立在相關關系分析法基礎上的預測是大數據的核心,相關關系的核心是量化兩個數據值之間的數理關系,關聯物是預測的關鍵。
4.2數據創新的思維方式
可量化是數據的核心特征(將所有可能與不可能的信息數據化);挖掘數據潛在的價值是數據創新的核心;三類最有價值的信息:位置信息、信令信息以及網管和日志。數據混搭為創造新應用提供了重要支持。
數據墳墓:提供數據服務,其他人都比我聰明!
數據廢氣:是用戶在線交互的副產品,包括了瀏覽的頁面,停留了多久,鼠標光標停留的位置、輸入的信息。
4.3大數據分析的要素
大數據“價值鏈”構成:數據、技術與需求(思維);數據的價值在于正確的解讀。5.數據化與數字化的區別
數據化:將現象轉變為可制表分析的量化形式的過程;
數字化:將模擬數據轉換成使用0、1表示的二進制碼的過程
6.基于協同過濾的推薦機制
基于協同過濾的推薦(這種機制是現今應用最為廣泛的推薦機制)——基于模型的推薦(SVM、聚類、潛在語義分析、貝葉斯網絡、線性回歸、邏輯回歸)余弦距離(又稱余弦相似度):表示是否有相同的傾向 歐幾里得距離(又稱歐幾里得相似度):表示絕對的距離 這種推薦方法的優缺點:
它不需要對物品或者用戶進行嚴格的建模,而且不要求物品的描述是機器可理解的;推薦是開放的,可以共用他人的經驗,很好的支持用戶發現潛在的興趣偏好。數據稀疏性問題,大量的用戶只是評價了一小部分的項目,而大多數的項目是沒有進行評分;冷啟動問題,新物品和新用戶依賴于用戶歷史偏好數據的多少和準確性,一些特殊品味的用戶不能給予很好的推薦。
7.機器學習:構建復雜系統的可能方法/途徑
機器學習使用場景的核心三要素:存在潛在模式、不容易列出規則并編程實現、有歷史的數據
8.機器學習的基礎算法之PLA算法和Pocket算法(貪心PLA)
感知器——線性二維分類器,都屬于二分類算法
二者的區別:迭代過程有所不同,結束條件有所不同; 證明了線性可分的情況下是PLA和Pocket可以收斂。
9.機器為什么能學習
學習過程被分解為兩個問題:
能否確保Eout(g)與 Ein(g)足夠相似? 能否使 Ein(g)足夠小?
規模較大的N,有限的dVC,較低的Ein條件下,學習是可能的。
切入點:利用具體特征的,基于有監督方式的,批量學習的分析,進行二分類預測。
10.VC維:
11.噪聲的種類:
12.誤差函數(損失函數)
13.給出數據計算誤差
14.線性回歸算法:簡單并且有效的方法,典型公式
線性回歸的誤差函數:使得各點到目標線/平面的平均距離最小!
15.線性回歸重點算法部分:
16.線性分類與線性回歸的區別:
17.過擬合:
原因:模型復雜太高,噪聲,數據量規模有限。解決方案:使用簡單的模型,數據清洗(整形),正則化,驗證。
18.正則化
19.分布式文件系統: 一種通過網絡實現文件在多臺主機上進行分布式存儲的文件系統;分布式文件系統一般采用C/S模式,客戶端以特定的通信協議通過網絡與服務器建立連接,提出文件訪問請求;客戶端和服務器可以通過設置訪問權限來限制請求方對底層數據存儲塊的訪問。
20.計算機集群結構:
分布式文件系統把文件分布存儲到多個計算機節點上,成千上萬的計算機節點構成計算機集群。
與之前使用多個處理器和專用高級硬件的并行化處理裝置不同的是,目前的分布式文件系統所采用的計算機集群都是由普通硬件構成的,因此大大降低了硬件上的開銷。
21.分布式文件系統的結構:
分布式文件系統在物理結構上是由計算機集群中的多個節點構成,這些節點分為兩類,一類叫“主節點”(MasterNode)或者也被稱為“名稱結點”(NameNode),另一類叫“從節點”(Slave Node)或者也被稱為“數據節點。
22.HDFS 主要特性:兼容廉價的硬件設備、支持大數據存儲、流數據讀寫、簡單的文件模型、強大的跨平臺兼容性;
局限性:不適合低延遲數據處理、無法高校存儲大量小文件、不支持多用戶寫入及任意修改文件
塊:
hdfs的名稱節點存儲元數據、元數據保存在內存中、保存文件,block,datanode之間的映射關系;hdfs的數據節點存儲文件內容、文件內容保存在磁盤、維護了block id到datanode本地文件的映射關系。
23.分布式數據庫概述:
四類典型的作用于大數據存儲和管理的分布式數據庫:并行數據庫、NoSQL數據管理系統、NewSQL數據管理系統、云數據管理系統。并行數據庫:
NoSQL數據管理系統:
NewSQL數據管理系統:
云數據管理系統:
Nosql簡介:數據模型靈活、簡潔;水平可擴展性強;系統吞吐量高; 關系數據庫無法滿足大數據表現:無法滿足海量數據的管理需求、無法滿足數據高并發的需求、無法滿足高可拓展性和高可用性的需求。
Nosql與關系數據庫的比較:
NoSQL的四大類型:鍵值數據庫、列族數據庫、文檔數據庫、圖形數據庫
NoSQL的理論基礎(CAP與ACID、BASE)CAP:
一個分布式系統不可能同時滿足一致性、可用性和分區容忍性這三個需求。
ACID(關系數據庫的事務具有的四個特性)
BASE
NoSQL到NewSQL:
大數據應用:
百度大數據引擎的構成:開放云、數據工廠、百度大腦 開放云:
數據工廠:
百度大腦:
阿里大數據應用:去IOE
大數據在電信行業的應用:
24.分布式并行編程框架MapReduce 25.MapReduce的體系結構:Client、JobTracker、TaskTracker、Task
MapReduce的工作流程:
Split(分片):
Map端的Shuffle過程詳解:
Reduce端的shuffle詳解:
MapReduce小結:
26.Spark特點:
Hadoop的局限性:
Spark生態系統:
RDD:
RDD的優勢:
RDD之間依賴關系的兩種類型:
Stage劃分:
Sprak小結:
流數據:
流計算處理流程:數據實時采集(保證實時性、低延遲、可靠穩定)、數據實時計算、實時查詢服務(實時查詢服務可以不斷更新結果,并將用戶所需的結果實時推送給用戶)。
流處理系統與傳統數據處理系統的區別:
開源流計算框架——Storm(免費、開源的分布式實時計算系統):
Storm的工作流程:
流計算小結:
圖計算系統——Pregel簡介:
BSP模型:
圖計算小結:
Pregel計算模型:
Pregel執行過程:
Pregel容錯機制:
HBase:
BigTable:特點:
HBase:
HBase與傳統關系數據庫的對比:
HBase數據模型:
HBased 中的數據坐標:
HBase功能組件:
Region的定位:
HBased 系統架構:
Region服務器工作原理:
第二篇:信息安全課程總結(北郵)
1.It has been shown that complex networks including the internet are resilient to indepent random falilures but fragile to intentional atacks.2.什么是信息安全管理:信息的保密性、完整性和有效性,業務的永續性。有效的信息共享機制 3.信息資產:硬件,軟件,網絡,通訊,資料,人員,服務
4.信息安全:是保護資產的一種概念、技術及管理方法。是信息資產免受有意或無意的泄露、破壞、遺失、假造以及未經授權的獲取、使用和修改。
5.安全屬性,通俗的說,進不來,拿不走,改不了,看不懂,跑不了
6.從目標保護角度看信息安全:涉及機密性、完整性、可用性(信息安全金三角)。7.機密性:confidentiality 完整性integrity 可用性availability 真實性Authentication 不可抵賴性non-repudiation 8.ITU-T的安全框架X-80-端到端通信的安全架構,三個平面,三個層次,8個維度 9.三個平面:p1最終用戶平面,p2控制平面,p3管理平面 10.三個層次:L1應用安全,L2服務安全,L3基礎設置安全
11.8個維度訪問控制,認證,不可否認,數據保密性,通信安全,數據完整性,可用性,隱私。12.安全模型
1)風險評估常用模型
2)縱深防御模型3)(基于時間的安全體系)模型P>D+R P:protection防護手段所能支持的視覺D:detection檢測手段發現入侵所需要的時間R:事件響應機制采取有效措施所需的時間
13.安全---及時的檢測和處理指導思想:快速檢測、有限影響、快速溯源、快速恢復相應的安全機制。14.其他模型,PDRR—保護,檢測,響應,恢復P2DR 策略P,保護P,檢測D,響應R 15.APT(Advanced Persistent Threat)高級,持續的攻擊
16.攻擊的分類:active attack,主動攻擊 Passive attack被動攻擊 17.攻擊的一般過程:預攻擊,攻擊,后攻擊
18.預攻擊,目的,收集新,進行進一步攻擊決策。內容:獲得域名及IP分布,獲得拓撲及OS等,獲得端口和服務獲得應用系統情況跟蹤新漏洞發布
19.攻擊,目的:進行攻擊。內容:獲得權限,進一步擴展權限,進行實質性操作
20.后攻擊, 目的:消除痕跡,長期維持一定的權限內容:植入后門木馬,刪除日志,修補明顯的漏洞,進一步滲透擴展。
21.IP網絡面臨的安全威脅
1)惡意攻擊:網絡掃描,Ddos,會話劫持,欺騙和網絡釣魚 2)誤用和濫用(內部和外部)配置錯誤、缺省配置,內部竊取,內部越權,操作行為抵賴 3)惡意代碼:病毒和蠕蟲,木馬邏輯炸彈,時間炸彈。
22.漏洞預防:安全意識,安全審記 23.漏洞檢測:滲透測試,風險評估 24.漏洞修復:補丁(patch)管理 25.源代碼審核(白盒),逆向工程(灰盒),FUZZing(黑盒)
26.密碼學在信息網絡安全中的作用:機密性,完整性,鑒別性,抗抵賴性。27.密碼學(cryptology):密碼編碼學(cryptography)和密碼分析學(cryptanalytics)28.密碼編碼學就是研究對數據進行變換的原理、手段和方法的技術和科學。
29.密碼分析學是為了取得秘密的信息,而對密系統及其流動的數據進行分析,是對密碼原理、手段和方法進行分析、攻擊的技術和科學。
30.明文plain text,clear text:需姚秘密傳送的消息 31.密文:cipher text:明文經過密碼變換后的消息 32.加密:Encryption:由明文到密文的變換
33.解密:Decryption:從密文恢復出明文的過程。
34.破譯:Cryptanalysis:非法接受者視圖從密文分析出明文的過程
35.加密算法Encryption algorithm:對明文進行加密時采用的一組規則 36.解密算法:Decryption Algorithm:對密文進行解密時采用的一組規則 37.密鑰Key:加密和解密時使用的一組秘密信息
38.密碼系統:一個密碼系統可以用以下數學符號描述:S=(P,C,K,E,D)P=明文空間C=密文空間K=密鑰空間E加密算法D=解密算法
39.當給定秘鑰k屬于K時,加解密算法分別記作Ek、Dk,密碼系統表示為:Sk={P,C,k,Ek,Dk} C=Ek(P)P=Dk(C)=Dk(Ek(P))40.安全性體現在:1)破譯的成本超過加密信息的價值2)破譯的時間超過該信息有用的生命周期
41.無條件安全:若密文中不含明文的任何信息,則認為該密碼體制是安全的,否則就認為是不安全的。無論提供的密文有多少,由一個加密方案產生的密文中包含的信息不足以唯一地決定對應的明文
42.對于一個加密方案,如果任意概率多項式時間(PPT)的敵手在上述游戲中的優勢是可忽略的,則稱該加密方案是IND-CCA,安全,建成CCA安全。對應選擇明文攻擊游戲,成為IND—CPA安全,簡稱CPA安全。43.CPA安全是公鑰加密機制的最基本要求,CCA安全是公鑰加密機制更強的安全性要求
44.密鑰的選擇,1)Degree of security 2)speed :加密與解密運算速度 3)key length 關系到key的存儲空間,算法的安全性,key space 密鑰空間 4)public/private:通常公開的算法,經過了更多的測試 5)專利的出口限制問題
45.密碼算法分類:1)受限制的(restricted)算法:算法的保密性基于保持算法的秘密。2)基于密鑰(key-based)的算法:算法的保密性基于對密鑰的保密
46.古典密碼學被傳統密碼學所借鑒,加解密都很簡單,易被攻破,屬于對稱密鑰算法;包括置換密碼、代換密碼。
47.古典密碼:1)置換密碼,用加密置換去對消息進行加密 2)代換密碼:明文中的字幕用相應的密文字幕進行替換,單表代換密碼,多表代換密碼。
48.編碼的原則:加密算法應建立在算法的公開不影響明文和密鑰的安全的基礎上。這條原則成為判定密碼強度的衡量標準,實際上也是古典密碼和現代密碼的分界線。2)其基本特點:加密和解密采用同一個繆爾3)基本技術,替換/置換和移位
49.密碼學的第一次飛躍:1949年Shannon發表了《保密通信的信息理論》論文。50.密碼學的第二次飛躍:《密碼編碼學新方向》提出公開密鑰的思想
51.DES,數據加密標準,EES,密鑰托管加密標準DSS數字簽名標準,AES高級數據加密標準
52.基于密鑰的算法,按照密鑰的特點分類
1)對稱密鑰算法(symmetric cipher):又稱傳統密碼算法(conventional cipher),就是加密密鑰和解密密鑰相同,或實質上等同,即從一個易于退出另一個。又稱秘密密鑰算法或單密鑰算法2)非對稱密鑰算法:(asymmetric cipher):加密密鑰和解密密鑰不同,從一個很難推出另外一個。又稱公開密鑰算法(public-key cipher)。公開密鑰算法用一個密鑰進行加密,而用另一個進行解密,其中的加密密鑰可以公開,又稱為公開密鑰(publickey),簡稱公鑰。解密密鑰必須保密,又稱為四人密鑰(private key)私鑰,簡稱私鑰3)混合密鑰體制
53.分組密碼(block cipher):將明文分成固定長度的組,用同一密鑰和算法對每一塊加密,輸出也是固定長度的密文。
54.流密碼(stream cipher):又稱序列密碼。序列密碼每次加密一位的明文。序列密碼是手工和機械密碼時代的主流。
55.密碼模式:以某個分組密碼算法為基礎,對任意長度的明文加密的方法 56.電碼本ECB(Electronic Code Book)
57.密碼分組鏈接CBC(Cipher Block Chaining)58.密碼反饋CFB(Cipher FeedBack)59.輸出反饋OFB(Output FeedBack)60.計數器模式(counter mode)61.分組鏈接BC(Block Chaining)
62.擴散密碼分組鏈接PCBC(Propagating Cipher Block Chaining)
63.ECB?1實現簡單, 2不同明文分組的加密可并行處理硬件實現3密文中的誤碼不會影響其它分組的解密4無法恢復同步錯誤5相同明文分組對應相同密文分組,因而不能隱蔽明文分組的統計規律和結構規律5不能抵抗替換攻擊.(特別當明文為結構數據時),需增加完整性檢查字段
ECB應用:1單分組明文的加密2各明文塊間無冗余信息:如隨機數 65 密碼分組鏈接CBC加密算法的輸入是當前明文組與前一密文組的異或。
密碼反饋(CFB-Cipher Feedback)模式,CBC模式,整個數據分組需要接收完后才能進行加密。若待加密消息需按字符、字節或比特處理時,可采用CFB模式。并稱待加密消息按j 比特處理的CFB模式為j 比特CFB模式。適用范圍:適用于每次處理j比特明文塊的特定需求的加密情形,能靈活適應數據各格式的需要.67 優點:(1)適用于每次處理j比特明文塊的特定需求的加密情形;(2)具有有限步的錯誤傳播,可用于完整性認證;(3)可實現自同步功能:該工作模式本質上是將分組密碼當作序列密碼使用的一種方式,DES分組加密并不直接對明文加密,它產生的亂數j可作為流加密的key!68 缺點:加密效率低。
輸出反饋(OFB-Output Feedback)模式
OFB模式在結構上類似于CFB模式,但反饋的內容是DES輸出的j位亂數而不是密文!70 優點:(1)這是將分組密碼當作序列密碼使用的一種方式,序列密碼與明文和密文無關!(2)不具有錯誤傳播特性!71 適用范圍:(1)明文的冗余度特別大,信道不好但不易丟信號,明文有誤碼也不影響效果的情形。如圖象加密,語音加密等。(2)OFB安全性分析表明,j應與分組大小相同。72 缺點:(1)不能實現報文的完整性認證。(2)亂數序列的周期可能有短周期現象
總評:1)ECB模式簡單、高速,但最弱,易受重發和替換攻擊。商業軟件中仍應用,可用于無結構小數據。2)低丟包率,低誤碼率,對明文的格式沒有特殊要求的環境可選用CBC模式。需要完整性認證功能時也可選用該模式。3)高丟包率,或低誤碼率,對明文格式有特殊要求的環境(如字符處理),可選用CFB模式。4)低丟包率,但高誤碼率,或明文冗余多,可選用OFB模式。(但加密前先將明文壓縮是一種安全的方法)
對稱加密,1)對稱加密算法中加密和解密使用相同的密鑰。2)對稱加密算法工作原理可以用下列公式表示:加密(明文,密鑰)=密文解密(密文,密鑰)=明文
對稱密鑰算法的優缺點,優點,加解密速度快。缺點:1)網絡規模擴大后,密鑰管理很困難2)無法解決消息確認問題3)缺乏自動檢測密鑰泄露的能力
DES(Data Encryption Standard)是第一個得到廣泛應用的密碼算法;DES是一個分組加密算法,它以64位為分組對數據加密。同時DES也是一個對稱算法,即加密和解密用的是同一個算法。它的密鑰長度是56位 77 分組密碼設計準則
1)混淆(confusion):用于掩蓋明文和密文間的關系。在加密變換過程中使明文、密鑰以及密文之間的關系盡可能地復雜化,以防密碼破譯者采用統計分析法,通過研究密文以獲取冗余度和統計模式。2)擴散(diffusion):通過將明文冗余度分散到密文中使之分散開來。密碼分析者尋求這些冗余度將會更難。(擴散函數,通過換位,亦稱置換)3)迭代結構:選擇某個較為簡單的密碼變換,在密鑰控制下以迭代方式多次利用它進行加密變換,就可以實現預期的擴散和混亂效果。(輪函數)
密鑰編排算法ki是64bit密鑰k產生的子密鑰,Ki是48bit。密鑰k長度:56比特,每7比特后為一個奇偶校驗位(第8位),共64比特
DES的破譯分析:56比特密鑰太短,已抵擋不住窮盡密鑰搜索攻擊
3DES 是DES算法擴展其密鑰長度的一種方法,可使加密密鑰長度擴展到128位(112位有效)或192位(168位有效)。其基本原理是將128位的密鑰分為64位的兩組,對明文多次進行普通的DES加解密操作,從而增強加密強度。
AES(Advanced Encryption Standard)高級加密標準
公鑰密碼學的出現使大規模的安全通信得以實現–解決了密鑰分發問題;
非對稱密碼技術又稱公鑰密碼技術,或雙鑰密碼技術,即加密和解密數據使用不同的密鑰。
RSA是一種分組密碼,其理論基礎是一種特殊的可逆模指數運算,其安全性基于分解大整數的困難性 85 RSA算法的使用加密,簽名,密鑰交互
1.加解密2.數字簽名與身份認證3.加密和數字簽名同時使用4.密鑰交換 86 非對稱密鑰算法的優缺點優點:1)可以適用網絡的開放性要求,密鑰管理相對簡單;2)可以實現數字簽名,認證鑒權和密鑰交換等功能。缺點,算法一般比較復雜,加解密速度慢
私有密鑰法和公開密鑰法比較
1)加密、解密的處理效率2)密鑰的分發與管理
3)安全性4)數字簽名和認證
88.在上述流程中利用接收方公開密鑰對加密信息原文的密鑰P進行加密后再定點傳送,這就好比用一個安全的“信封”把密鑰P封裝起來,所以稱做數字信封。因為數字信封是用消息接收方的公鑰加密的,只能用接收方的私鑰解密打開,別人無法得到信封中的密鑰P,好像掛號信,必須有私人簽章才能獲得一樣。采用公開密鑰加密法的數字信封,實質上是一個能分發、傳播稱密鑰的安全通道。89.ABE(Attribute-Based Encryption)基于屬性的密碼系統
90.消息認證MAC(Message Authentication Code)消息摘要Message Digest消息摘要算法采用單向散列(hash)函數從明文產生摘要密文。摘要密文又稱為數字指紋(Digital Fingerprint)、數據認證碼DAC(Data authentication code)、篡改檢驗碼MDC(Manipulation detection code)消息的散列值由只有通信雙方知道的秘密密鑰K來控制,此時散列值稱作消息認證碼MAC(Message Authentication Code)91.消息認證使收方能驗證消息發送者及所發消息內容是否被竄改過。當收發者之間沒有利害沖突時,這對于防止第三者的破壞來說是足夠了。但當收者和發者之間有利害沖突時,就無法解決他們之間的糾紛。在收發雙方不能完全信任的情況下,引入數字簽名來解決上述問題 92.傳統簽名的基本特點1)不可重用,與被簽的文件在物理上不可分割2)不可抵賴,簽名者不能否認自己的簽名3)簽名不能被偽造4)容易被驗證
數字簽名是傳統簽名的數字化1)能與所簽文件“綁定”2)簽名者不能否認自己的簽名 3)容易被自動驗證4)簽名不能被偽造
93.普通數字簽名算法1)RSA 2)ElGamal /DSS/DSA 3)ECDSA Elliptic Curve Digital Signature Algorithm盲簽名算法群簽名算法
94.數字簽名標準DSS(Digital Signature Standard)DSS和DSA是有所不同的:前者是一個標準,后者是標準中使用的算法
95.DSA與RSA 反對DSA的意見主要包括:1)DSA不能用于加密或密鑰分配2)DSA是由NSA研制的,并且算法中可能存在陷門3)DSA比RSA要慢
二者產生簽名的速度相同,但驗證簽名時DSA要慢10至40倍,其產生密鑰的速度比RSA快。4)RSA是事實上的標準5)DSA的選擇過程不公開,并且提供的分析時間不充分6)DSA可能侵犯其他專利:DSA侵犯了三個專利:Diffle-Hellman、Merkle-Hellman、Schnorr,前兩個1997年已到期,Schnorr專利到2008年。7)密鑰長度太小 96.其他簽名方案:盲簽名群簽名環簽名Ring signature門限簽名
97.數字水印(Digital Watermark)是指永久鑲嵌在其它數據(主要指宿主數據)中具有可鑒別性的數字信號或數字模式。數字水印的主要特征:1)不可感知性2)魯棒性3)可證明性4)自恢復性5)安全保密性
98.密鑰管理技術是信息安全的核心技術之一。包括密鑰的產生,生成,分發,驗證,存儲,備份,保護,吊銷,更新。
99.密鑰的組織結構——多層密鑰系統基本思想:用密鑰保護密鑰一個系統中常有多個密鑰
100.密鑰分發(分配,交換)密鑰分發是密鑰管理中的一個關鍵因素,目前已有很多密鑰分配協議,但其安全性是一個很重要的問。按分發的內容1)秘密密鑰的分發2)公開密鑰的分發
101.密鑰分發中的威脅1:消息重放應對:在認證交換中使用序列號,使每一個消息報文有唯一編號。僅當收到的消息序數順序合法時才接受
101.抵抗消息重放的方法1)時間戳2)挑戰/應答方式
103.密鑰分發中的威脅2:中間人攻擊對策:使用數字簽名的密鑰交換聯鎖協議是阻止中間人攻擊的好辦法 104 典型的自動密鑰分配途徑有兩類:集中式分配方案和分布式(無中心的)分配方案。1)集中式分配是指利用網絡中的“密鑰管理中心”來集中管理系統中的密鑰,“密鑰管理中心”接受系統中用戶的請求,為用戶提供安全分配密鑰的服務。
105)分布式分配方案取決于它們自己的協商,不受任何其他方面的限制。105 密鑰管理體制主要有三種:1)適用于封閉網的技術,以傳統的密鑰管理中心為代表的KMI機制(Key Management Infrastructure,密鑰管理基礎設施);2)適用于開放網的PKI機制(Public Key Infrastructure,公開密鑰基礎設施);3)適用于規模化專用網的SPK 106 Public Key infrastructure,公鑰基礎設施。數字證書(Digital Certificate)提供一種在Internet上驗證身份的方式,是用來標志和證明網絡通信雙方身份的數字信息文件。使公鑰系統得以提供認證、數據完整性、機密性和不可否認等安全服務
107數字證書的內容,最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名 107數字證書格式。1)證書的版本號2)數字證書的序列號3)證書擁有者的姓名 4)證書擁有者的公開密鑰5)公開密鑰的有效期6)簽名算法7)頒發數字證書的驗證 108 證書機構Certification Authority(CA)證書機構就是可以簽發數字證書的信任機構 109 公鑰密碼標準PKCSpkcs7包括6種數據內容:數據(data),簽名數據(sign),數字信封數據(enveloped),簽名數字信封數據(signed_and_enveloped),摘要數據(digest),加密數據(encrypted)
CMP(Certificate Management Protocol)證書管理協議CMC(Certificate Management Messages)證書管理信息
證書吊銷1)CA在證書過期之前使證書失效2)CA需要兩種方法來吊銷證書并通知吊銷的終端實體– CRL(Certificate Revocation List)– OCSP,CRL,Certificate Revocation List,證書吊銷列表
112Online Certificate StatusProtocol,在線證書狀態協議 1)請求-響應模式2)客戶發送OCSP請求(證書有效嗎?)3)服務器發送OCSP響應(證書有效/無效/不確定)112交叉證明指CA之間互相證明以建立一種橫向信任關系,這是一種對等信任模型
混合(Hybrid)模型是證書層次結構同交叉證明的結合。交叉證明可以在兩個層次結構的任何兩個CA間進行,信任僅存在于這兩個CA及其下面的子CA之間
114.PMI授權管理基礎設施 1)授權服務管理2)訪問控制機制
PMI系統主要分為授權管理中心(又稱AA中心)和資源管理中心(又稱RM中心)兩部分。116 PMI以資源管理為核心,對資源的訪問控制權統一交由授權機構統一處理,即由資源的所有者來進行訪問控制。同公鑰基礎設施PKI相比,兩者主要區別在于:
1)PKI證明用戶是誰,而PMI證明這個用戶有什么權限,能干什么。2)PMI(授權管理基礎設施)需要PKI(公鑰基礎設施)為其提供身 份認證。
PMI與PKI在結構上是非常相似的。信任的基礎都是有關權威機構,由他們決定建立身份認證系統和屬性特權機構。1)在PKI中,由有關部門建立并管理根CA,下設各級CA、RA和其它機構; 2)在PMI中,由有關部門建立授權源SOA,下設分布式的AA和其它機構。
1、誤用檢測模型(Misuse Detection):收集非正常操作的行為特征,建立相關的特征庫,當監測的用戶或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。
2、有時也被稱為特征分析(Signature Analysis)或基于知識的檢測(Knowledge-based Detection).異常檢測模型(Anomaly Detection):首先總結正常操作應該具有的特征(Normal Usage Profile)),當用戶活動與正常行為有重大偏離時即被認為是入侵(度量及門限)
3、入侵檢測系統,通常來說包括三個主要功能部件(1)信息收集(2)信息分析(3)結果處理
4、信息收集的來源:系統或網絡的日志文件、系統目錄和文件的異常變化、程序執行中的異常行為、網絡流量
5、數據預處理模塊:從各種數據源采集上來的數據,需要經過預處理才能夠加以分析。
6、分析模塊:分析模塊是入侵檢測系統的核心模塊,它完成對事件的分析和處理。分析模塊可以采用現有的各種方法對事件進行分析,在對事件進行分析后,確定該事件是否是攻擊,如果是就產生報警,如果不能夠確定,也要給出一個懷疑值。分析模塊根據分析的結果,決定自己懷疑的數據是否要送給關聯模塊進行數據融合。
7、關聯模塊:關聯模塊進行數據融合的主要目的就是綜合不同分析模塊送報上來的已給出懷疑值的事件,判斷是否存在分布式攻擊。
8、管理模塊:管理模塊接到報警等信息后,決定是否采取響應,采取何種響應。
9、入侵檢測技術可分為兩類:誤用檢測(Misuse Detection):首先定義違背安全策略的事件的特征,檢測主要判別這類特征是否在所收集到的數據中出現。?異常檢測(Anomaly Detection):建立系統“正常”情況的模型,后將系統運行時的數值與所定義的“正常”情況比較,得出是否有被攻擊的跡象。
10、入侵檢測的常用方法專家系統、統計分析、利用人工智能自動規則發現:神經網絡,模糊系統,遺傳算法,免疫系統,數據挖掘,深度學習
11、模式匹配的方法用于誤用檢測。它建立一個攻擊特征庫,然后檢查發過來的數據是否包含這些攻擊特征,判斷它是不是攻擊。算法簡單,準確率相對異常檢測高。缺點只能檢測已知攻擊,對于無經驗知識的入侵與攻擊行為無能為力模式庫需要不斷更新,且模式更復雜(實時性,誤報率)對于高速大規模網絡,由于要處理分析大量的數據包,這種方法的速度成問題。
12、基于統計分析的檢測技術根據系統中特征變量(如:事件的數量、間隔時間、資源消耗、流量等)的歷史數據建立統計模型historical statistical profile)對正常數據的各個特征進行統計,根據統計結果對每一個特征設定一個正常范圍的門限。
這些特征和相應的門限組成檢測的統計模型動態更新:模式向量隨時間衰減,并將新的用戶行為所產生的審計數據嵌入到知識庫中,計算出新的模式向量存儲在知識庫中。運用該模型對特征變量未來的取值進行預測和檢驗偏離,從而判斷是否發生入侵。(異常檢測)
13、統計檢測
1、操作模型:假設異常可通過測量結果與一些固定指標相比較得到,固定指標根據經驗值或一段時間內的統計平均得到,例:短時間內的多次失敗的登錄可能是口令嘗試攻擊;
2、多元模型,操作模型的擴展,同時分析多個參數實現檢測;
3、方差模型,計算參數的方差,設定其置信區間,當測量值超過置信區間的范圍時表明有可能是異常;
4、馬爾柯夫Markov過程模型,將每種類型的事件定義為系統狀態,用狀態轉移矩陣來表示狀態的變化,當一個事件發生時,或狀態矩陣該轉移的概率較小則可能是異常事件;
5、時間序列分析,將事件計數與資源耗用根據時間排成序列,如果一個新事件在該時間發生的概率較低,則該事件可能是入侵。優點:
?不需要很多先驗知識,有較為成熟的統計方法可以應用
?動態性好,用戶行為改變時,相對應的度量能產生一致性的變化,保證行為模式的更新 ?問題:
?難以提供實時檢測和自動響應功能:大多數統計分析系統是以批處理的方式對審計記錄進行分析的,因此檢測系統總是滯后于審計記錄的產生
?對入侵發生的順序不敏感:許多預示著入侵行為的系統異常都依賴于事件的發生順序,但是統計分析的特性導致了它不能反映事件在時間順序上的前后相關性,因此事件發 生的順序通常不作為分析引擎所考察的系統屬性;?閾值難以確定:門限值如選擇得不當,就會導致系統出現大量的錯誤報警。專家系統
入侵的特征抽取與表達,是入侵檢測專家系統的關鍵。基于規則的入侵檢測技術:在系統實現中,將有關入侵的知識轉化為if-then結構,條件部分為入侵特征,then部分 是系統防范措施。
基于狀態轉移圖的入侵檢測技術:狀態轉移圖用來描述復雜和動態入侵過程的時序模式特征,可以表示入侵事件發生的時序關系和相關性,使入侵的行為、狀態、上下文環境背景和發生的過程與步驟得到直觀的描述。
基于專家系統的檢測技術的特點: ?誤報少準確性高
?只能發現已知攻擊,難以準確識別同一種攻擊的變種,對未知的攻擊不具備檢測的能力。同時規則庫的建立及維護代價高,且容易出現冗余、矛盾、蘊含等問題。
運用專家系統防范有特征入侵行為的有效性完全取決于專家系統知識庫的完備性,知識庫的完備性又取決于審計記錄的完備性與實時性。基于生物系統模擬的檢測技術
基于神經網絡:由神經元通過突觸連接。如BP網絡是一種多層前饋神經網絡,包括輸入層、隱層和輸出層。當學習樣本提供給網絡后,在輸出層得到對輸入的響應,按照減少目標輸出與實際輸出誤差的方向,從輸出層經過各隱層逐層修正各連接權值,以達到神經網絡 的實際輸出與期望輸出的最大擬和,從而實現分類。特點:
?需要學習訓練,系統有可能趨向于形成某種不穩定的網絡結構,不能從 訓練數據中學習到特定的知識
?不使用固定的系統屬性集來定義用戶行為,具備了非參量化統 計分析的優點
?通常無法對判斷為異常的事件提供任何解釋或說明信息,不利于對入侵 進行分析并采取相應對策
人工免疫的檢測技術:生物免疫系統具有健壯性、記憶能力、容錯能力、動態穩定性以 及異常檢測等良好特性”這些特性與一個合格的網絡入侵檢測系統有很高的相似性
遺傳算法:基于選擇、交叉和變異等基因操作。以適應度函數fittest function為啟發式搜索函數,通常以分類正確率為度量,確定能表達某一類攻擊的各參數特征。基于數據挖掘
數據挖掘(data mining)也稱為知識發現技術,其目的是要從海量數據中提取出我們所感興趣的數據信息(知識):統計學的數學理論+機器學習的計算機實踐
?預測:根據數據其他屬性的值來預測特定屬性的值
?分類的任務是對數據集進行學習,從而構造擁有預測功能的分類函數或分類模型(分類器),把未知樣本標注為某個預先定義的類別。
?離群點分析(outlier mining):發現離群點并對其進行處理的過程。離群點是與數據集中大部分數據的觀測值明顯不同的數據。
?描述:發現概括數據中潛在的聯系模式 ?聚類分析特別適合用來討論樣本間的相互關聯,在事先對數據集的分布沒有任何了解的情況下,按照數據之間的相似性度量標準將數據集自動劃分為多個簇。
?關聯分析用于尋找數據集中不同項之間的潛在的聯系。例如,通過關聯規則挖掘發現數據間的關系,或通過序列分析發現有序事物間的先后關系。
入侵檢測系統中的數據挖掘算法,目前主要包括3種:: ?數據分類(data classification):連接(會話)記錄的誤用檢測 ?關聯分析(association analysis):用戶行為模式的異常檢測 ?序列挖掘(sequence mining):用戶行為模式的異常檢測
MADAMID(Mining Audit Data for Automated Model for Intrusion Detection)?誤用檢測,離線檢測,利用規則分類算法RIPPER對審計數據進行歸納學習來得到描述類的模型 ? ADAM(Audit Data Analysis and Mining)項目?異常檢測,關聯規則與分類 告警融合
網絡入侵檢測系統分析的數據源是網絡數據包,在一些情況下很容易突然產生大量相似的警報,稱之為警報洪流。?例如攻擊者可以通過發送大量經過精心設計的數據包使得入侵檢測系統出現警報洪流,或是所檢測的網絡中某些服務器提供的一些固有服務產生的數據可能被誤檢測為入侵數據從而出現警報洪流。
?在出現警報洪流時,入侵檢測系統檢測到的真正入侵行為所產生的警報就會被淹沒,很難被管理員發現。因此有必要實現告警融合。
?研究:關聯分析方法對IDS產生的告警進行關聯 告警聚集
由于警報洪流中的警報一般是相似的,相似的報警在一個較短時間內多次出現是沒有必要的,因此可以通過將多條相似的警報合并成為一條警報從而避免出現警報洪流或降低警報洪流的規模。這就叫做告警聚類,將特征相似的警報合并在一起,聚類(cluster)算法所依據的規則是警報的相似規則。
?通過事先定義好的攻擊過程進行事件關聯:通過機器學習或人類專家來得到各種攻擊過程,將這些攻擊過程作為模板輸入到系統中去,然后系統就可以將新的報警同這些攻擊過程模板相比較,進行實時關聯。
?通過事件的前因和后果進行事件關聯:任何一個攻擊都具有前因和后果。所謂前因就是攻擊要實施所必須具有的前提條件,后果就是攻擊成功實施后所造成的結果。在一個有多個攻擊動作組成的入侵過程中,一個攻擊的后果就是下一個攻擊前因。基于這一思想,首先定義每一個單獨攻擊的前因、后果,然后就可以將具有因果關系的攻擊關聯在一起,重現整個攻擊過程。
大題:
一.攻擊的分類:1)active attack,主動攻擊包括:網絡掃描、拒絕服務攻擊、緩沖區溢出、欺騙和網絡釣魚(Phishing)、信息篡改、會話劫持、隱密通道(covert channel)等攻擊方法2)Passive attack被動攻擊包括:嗅探、流量分析、信息收集等攻擊方法
1)從攻擊的目的來看,可以有拒絕服務攻擊(Dos)、獲取系統權限的攻擊、獲取敏感信息的攻擊; 2)從攻擊的切入點來看,有緩沖區溢出攻擊、系統設置漏洞的攻擊等;
3)從攻擊的縱向實施過程來看,有獲取初級權限攻擊、提升最高權限的攻擊、后門攻擊、跳板攻擊等; 4)從攻擊的目標來看,包括對各種應用系統的攻擊(系統攻防)、對網絡設備的攻擊(網絡攻防)二常見的網絡攻擊:
TCP SYN拒絕服務攻擊一般情況下,一個TCP連接的建立需要經過三次握手的過程,即:
1、建立發起者向目標計算機發送一個TCP SYN報文;
2、目標計算機收到這個SYN報文后,在內存中創建TCP連接控制塊(TCB),然后向發起者回送一個TCP ACK報文,等待發起者的回應;
3、發起者收到TCP ACK報文后,再回應一個ACK報文,這樣TCP連接就建立起來了。利用這個過程,一些惡意的攻擊者可以進行所謂的TCP SYN拒絕服務攻擊:
1、攻擊者向目標計算機發送一個TCP SYN報文;
2、目標計算機收到這個報文后,建立TCP連接控制結構(TCB),并回應一個ACK,等待發起者的回應;
3、而發起者則不向目標計算機回應ACK報文,這樣導致目標計算機一致處于等待狀態。可以看出,目標計算機如果接收到大量的TCP SYN報文,而沒有收到發起者的第三次ACK回應,會一直等待,處于這樣尷尬狀態的半連接如果很多,則會把目標計算機的資源(TCB控制結構,TCB,一般情況下是有限的)耗盡,而不能響應正常的TCP連接請求 三: 身份認證技術是在計算機網絡中確認操作者身份的過程而產生的有效解決方法。計算機網絡世界中一切信息包括用戶的身份信息都是用一組特定的數據來表示的,計算機只能識別用戶的數字身份,所有對用戶的授權也是針對用戶數字身份的授權。如何保證以數字身份進行操作的操作者就是這個數字身份合法擁有者,也就是說保證操作者的物理身份與數字身份相對應,身份認證技術就是為了解決這個問題,作為防護網絡資產的第一道關口,身份認證有著舉足輕重的作用
在真實世界,對用戶的身份認證基本方法可以分為這三種:
(1)根據你所知道的信息來證明你的身份(what you know,你知道什么);(2)根據你所擁有的東西來證明你的身份(what you have,你有什么);
(3)直接根據獨一無二的身體特征來證明你的身份(who you are,你是誰),比如指紋、面貌等
四、A用戶公鑰P(A),S(A),B用戶有公鑰P(B),私鑰S(B).A與B之間需對大量電子公文進行交互,為保證機密性,完整性,并完成身份認證,請簡述A向B發送公文T的工作步驟,并指出這一過程中的消息摘要,消息認證碼,數字簽名,數字信封分別是什么?
1、A用自己的私鑰加密信息,從而對文件簽名
2、A將簽名的文件發送給接受者B
3、B利用A的公鑰解密文件,從而嚴重簽名 消息摘要:是一個唯一對應一個消息或文本的固定長度的值,它由一個單向Hash加密函數對消息進行作用而產生。消息認證碼是基于密鑰和消息摘要所獲得的一個值,可用于數據源認證和完整性校驗。數字簽名:是使用公鑰加密領域極速實現,用于鑒別數字信息的方法,它是一種物理簽名 數字信封:是將對稱密鑰通過非對稱加密的結果分發對稱密鑰的方法。IP網絡面臨的安全威脅(我自己加的)
1、惡意攻擊網絡掃描、DdoS、竊取機密數據(竊聽,中間人),流量分析、欺騙和網絡釣魚(Phishing)、會話劫持、消息竄改,插入,刪除,重發、物理破壞
2誤用和濫用(內部和外部)配置錯誤、缺省配置、內部竊取:客戶資料、充值卡等、內部越權、操作行為抵賴 ?垃圾流量、郵件、電話和短信
3惡意代碼:病毒和蠕蟲,木馬、邏輯炸彈,時間炸彈
第三篇:北郵2014《現代通信技術》實驗報告二
2014《現代通信技術》實驗報告二
信息與通信工程學院
現代通信技術實驗報告
班
級:
姓
名:
序
號: 學
號: / 18
2014《現代通信技術》實驗報告二
日
期:2014年4月16日/30日
目錄
實驗一 微波通信實驗..................................................................................................3
一、實驗原理........................................................................................................3
二、實驗過程........................................................................................................3
三、實驗心得體會................................................................................................3 實驗二 組網及VLAN的應用....................................................................................4
一、實驗目的........................................................................................................4
二、實驗內容........................................................................................................4
三、實驗原理........................................................................................................5
1、VLAN簡介..............................................................................................5
2、交換機的端口..........................................................................................6
3、廣播風暴..................................................................................................7
四、實驗過程........................................................................................................7
五、結果與體會..................................................................................................12 附錄..............................................................................................................................14
/ 18
2014《現代通信技術》實驗報告二
實驗一 微波通信實驗
一、實驗原理
微波是指頻率為300MHz到300GHz的電磁波。微波具有直線傳播的特性,為了克服地球的凸起必須采用中繼接力的方式。實際中一般距離50km就有一個中繼站。一條數字微波通信線路由兩端的終端站,若干中繼站和電波的傳播空間構成。典型的數字微波端站由微波天線,射頻收發模塊,基帶收發部分,傳輸接口等部分組成。
微波發信機多采用中頻調制的方式。中頻信號是已經經過調制的信號,上變頻器將中頻信號搬移到指定的微波波道,然后經過微波功放,經過天線發射出去。
微波收信機多采用超外差式接收結構。通過本振與接收的微波信號進行混頻,得到固定中頻信號,然后對中頻進行放大和濾波。
二、實驗過程
本實驗數字微波通信系統為:34Mbit/s QPSK系統 ,中頻頻率是70MHz,射頻頻率是6GHz。在實驗中信號不是直接發送出去,而且通過實體線路連接到接收方,通過信道衰減器模擬微波的遠距離傳輸。
我們觀察了眼圖,將示波器連接到中頻接收機的眼圖觀測點,通過控制信道衰減器來控制接收噪聲的大小。我們觀察到,一開始,信噪比大,眼圖輪廓很清晰,眼睛睜得很開。微波站兩邊電話通話聽的清楚。不過隨著我們控制信道,使其衰減加劇,我們可以觀察到示波器里眼圖的眼睛輪廓慢慢不清晰了,眼睛越來越小。在眼睛還沒完全閉上之前,我們還是能聽到電話的聲音,但是此時已經有一些雜音了。最后在眼圖完全閉上后,我們就只能聽到電話里的噪聲了,不管對方聲音多大也不能在這邊的電話里面聽到了。從混亂的眼圖,我們可以知道信噪比急劇惡化,判決出錯,無法還原出信號。
實驗室的頻譜儀雖然老,但是它能觀察到的頻譜范圍很寬,能觀察到6GHz的頻譜。我們在頻譜儀上觀察了射頻的頻譜。
三、實驗心得體會
第三次實驗課結束后,我沒有及時記錄,到寫報告的時候已經過去三周了,所以有些實驗現象忘了。下次要吸取這個教訓,實驗結束后要及時記錄下來。
在實驗課的開頭,老師帶我們回憶了通信原理的框圖,信源編碼,信道編碼,調制,解調,信道解碼,信源解碼,線路碼,交織等等,幫助我們從整體框架上
/ 18
2014《現代通信技術》實驗報告二
理解通信原理。老師指著微波站,介紹說這個微波站就是典型的通信原理框圖。實驗室的微波站是比較老式的,比較大,所以我們能看到微波站的各個部分和通信原理的框圖對應的很好。通過對微波站各個部分的介紹,我們對通信原理的框圖有了感性的認識。老師還幫我們回顧了采樣,量化,編碼等。通信里面的定理并不多,比如香農定理,奈奎斯特采樣定理等。奈奎斯特采樣定理架起了模擬信號與數學信號之間的橋梁,將信源進行數字化,發揮了重大的作用。
之前我在學習通信原理第四章模擬調制的時候,我不太明白為什么要先調制到中頻,而不直接調制到指定的射頻頻段。經過這次實驗我知道了中頻頻率為70MHz。把射頻信號變到較低的中頻信號的好處是,便于解調器的實現,便于更好得濾波,不同頻率的接收機可以共用一套電路,只須改變本振和射頻調諧回路的諧振頻率即可。通過這次微波通信的實驗,我們對通信系統用了比較完整的了解,讓我們在通信原理里面學的理論知識在現實中有了對應,理解了通原里的框圖在現實中是如何實現的。
這學期的課程里我也選了《移動通信》這門課,所以對微波、中繼等知識的了解還是有一定的鋪墊。雖然微波現在用得不那么多了,但是它卻是不可或缺的備用路徑。像無法架設光纖或者假設成本過高的地方如海底、山區、高原,微波通信非常必要。而像災害易發區,比如萬一地震了,光纖斷了,那么牢固的微波中繼站既不易損害,又容易修復,是盡快恢復災區通信的必要手段。老師說汶川地震的時候從災區傳出來的第一條消息就是由那里的無線電愛好者發出來的。這次實驗中,老師有問到怎樣避免連續的比特錯誤,我脫口而出我知道的交織技術。原來我們之前學習的知識就是這樣一步步為我們的通信服務的。
實驗二 組網及VLAN的應用
一、實驗目的
1.熟悉組成LAN的主要設備,了解掌握LAN的基本特點以及LAN中的常用技術;
2.認識了解LAN、VLAN以及子網的建立和聯網、網絡配置和協議; 3.進一步了解VLAN的隔離廣播功能; 4.了解VLAN的互訪功能。
二、實驗內容
(1)通過Console口訪問以太網交換機、路由器
/ 18
2014《現代通信技術》實驗報告二
(2)通過微機Telnet到以太網交換機、路由器(3)(4)(5)(6)初步了解一些簡單命令
用ping命令測試Vlan網絡連通性,加深對Vlan的基本原理和特點的認識 通過多臺交換機串聯擴大網絡實現組播功能 觀察廣播風暴現象
(7)簡單介紹路由器的相關知識
三、實驗原理
1、VLAN簡介
VLAN,是英文Virtual Local Area Network的縮寫,中文名為“虛擬局域網”,VLAN是一種將局域網(LAN)設備從邏輯上劃分(注意,不是從物理上劃分)成一個個網段(或者說是更小的局域網LAN),從而實現虛擬工作組(單元)的數據交換技術。
VLAN這一新興技術主要應用于交換機和路由器中,但目前主流應用還是在交換機之中。不過不是所有交換機都具有此功能,只有三層以上交換機才具有此功能,這一點可以查看相應交換機的說明書即可得知。VLAN的好處主要有三個:
/ 18
2014《現代通信技術》實驗報告二
(1)端口的分隔。即便在同一個交換機上,處于不同VLAN的端口也是不能通信的。這樣一個物理的交換機可以當作多個邏輯的交換機使用。
(2)網絡的安全。不同VLAN不能直接通信,杜絕了廣播信息的不安全性。
(3)靈活的管理。更改用戶所屬的網絡不必換端口和連線,只更改軟件配置就可以了。VLAN(虛擬局域網)主要有以下幾種劃分方式,分別為:(1)基于端口劃分的VLAN;(2)基于MAC地址劃分VLAN;(3)基于網絡層劃分VLAN;(4)根據IP組播劃分VLAN;(5)按策略劃分的VLAN;
(6)按用戶定義、非用戶授權劃分的VLAN。
基于端口的VLAN的方式是最常應用的一種VLAN劃分方法,應用也最為廣泛、最有效,目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法。老師課上講到的就是基于端口劃分的VLAN。
2、交換機的端口
交換機端口鏈路類型介紹
交換機以太網端口共有三種鏈路類型:Access、Trunk和Hybrid。(1)Access類型的端口只能屬于1個VLAN,一般用于連接計算機的端口;
(2)Trunk類型的端口可以屬于多個VLAN,可以接收和發送多個VLAN的報文,一般用于交換機之間連接的端口;
(3)Hybrid類型的端口可以屬于多個VLAN,可以接收和發送多個VLAN的報文,可以用于交 換機之間連接,也可以用于連接用戶的計算機。
其中,Hybrid端口和Trunk端口的相同之處在于兩種鏈路類型的端口都可以允許多個VLAN的報文發送時打標簽;不同之處在于Hybrid端口可以允許多個VLAN的報文發送時不打標簽,而Trunk端口只允許缺省VLAN的報文發送時不打標簽。
三種類型的端口可以共存在一臺以太網交換機上,但Trunk端口和Hybrid端口之間不能直接切換,只能先設為Access端口,再設置為其他類型端口。例如:Trunk端口不能直接被設置為Hybrid端口,只能先設為Access端口,再設置為Hybrid端口。各類型端口使用注意事項:
配置Trunk端口或Hybrid端口,并利用Trunk端口或Hybrid端口發送多個VLAN報文時一定要注意:本端端口和對端端口的缺省VLAN ID(端口的PVID)要保持一致。
當在交換機上使用isolate-user-vlan來進行二層端口隔離時,參與此配置的端口的鏈路類型會自動變成Hybrid類型。
Hybrid端口的應用比較靈活,主要為滿足一些特殊應用需求。此類需求多為在無法下發訪問控制規則的交換機上,利用Hybrid端口收發報文時的處理機制,來完成對同一網段的PC機之間的二層訪問控制。
/ 18
2014《現代通信技術》實驗報告二
3、廣播風暴
所謂廣播風暴,簡單的講,當廣播數據充斥網絡無法處理,并占用大量網絡帶寬,導致正常業務不能運行,甚至徹底癱瘓,這就發生了“廣播風暴”。一個數據幀或包被傳輸到本地網段(由廣播域定義)上的每個節點就是廣播;由于網絡拓撲的設計和連接問題,或其他原因導致廣播在網段內大量復制,傳播數據幀,導致網絡性能下降,甚至網絡癱瘓,這就是廣播風暴。
四、實驗過程
1.通過Console口訪問以太網交換機 示意圖:
2.打開超級終端,新建連接時進行設置 / 18
2014《現代通信技術》實驗報告二
3.打開交換機,選擇更改界面語言
4.鍵入?查看可用命令 / 18
2014《現代通信技術》實驗報告二
5.嘗試鍵入一些簡單命令
6.VLAN的基本配置 示意圖
首先建立兩個VLAN:VLAN2和VLAN3
/ 18
2014《現代通信技術》實驗報告二
分別進入E0/
1、E0/
2、E0/3以太網端口視圖進行配置
使用display interface命令查看,可以看到E0/
1、E0/2的默認VLAN變為VLAN2,E0/3的默認VLAN變為VLAN3
/ 18
2014《現代通信技術》實驗報告二
下面可以通過在計算機上使用ping命令檢測設置是否正確
在設置VLAN前,從Host3:192.168.0.3能夠ping通Host1:192.168.0.1,而設置VLAN后則ping不同
設置VLAN后,從Host2:192.168.0.2上能夠ping通Host1:192.168.0.1,而不能夠ping通Host3:192.168.0.3
/ 18
2014《現代通信技術》實驗報告二
五、結果與體會
這次實驗,我們組四個女生都沒有參加過計網的課設,所以我們中間遇到了很多問題,然后跑去別的組請教做過課設的同學,磕磕絆絆地最終完成了。一開始我們連好線路,打開超級終端,設置好各種參數后,我們按照講義一步一步地執行,但是我們第一步便出了點小問題:我們想先ping一下我們的連線有沒有連好,IP設置是否如我們所料,于是用超級終端ping。但是始終顯示的結果是連接不上。后來我猜測,有可能不是用超級終端ping,而是在命令提示符上ping。一試果然成功。后來,我們繼續按照教程做。但是我們遇到了一個問題:怎么把尖括號變成方括號?我們都記得老師上課有講過,但是因為接受的內容一下子太多了,我們沒記住那么多,于是我只好跑去問臨組做過計網課設的同學。之后進行得后面的步驟。后來我們翻了一下教程的前一頁,是有介紹的,只怪我們太粗心沒有發現。一開始我們沒考慮那么多(當然在做之前也不知道),隨便插的端口,14,16,20端口。后來,在執行display命令的時候,我們就哭了。因為它從1號端口一個個顯示,要一直摁回車到20端口!吃一塹長一智,我們再做不會再隨便插大數字端口了。而我們真正的問題是在廣播風暴上。我們發現我們一連好線路就會產生廣播風暴。我們一開始以為這不正確,后來問了做過計網課設的同學后,他告訴我們這是正常的。組織廣播風暴的方法老師也講過,一種是硬件上的,即切斷線路。
/ 18
2014《現代通信技術》實驗報告二
這在實際操作中是不太可能的;另一種就是軟件上的,我們需要輸入一個命令,從軟件上阻止廣播風暴。遺憾的是我并不了解軟件上的阻止廣播風暴機理是怎樣的,只知道輸入命令便可以阻止了。以下是我們做VLAN部分的ping結果:
/ 18
2014《現代通信技術》實驗報告二
通過實驗我初步了解了VLAN,交換機端口類型,廣播風暴等內容。我準備讀研的時候就讀網絡方向的,這次的實驗真的給我一個切身的體會,讓我對計算機網絡產生了極大的興趣。理論與實踐的結合,讓我印象更加深刻。但是遺憾的一點是我們操作不夠熟練,沒有完成老師布置的選作任務。如果還有機會的話我肯定會把后面的實驗也一起做了。
至此現代通信技術實驗課也結束了。我真的感覺這門課開設的實驗很有用,不僅掃盲,而且真正讓我們認識到了我們學的是什么,我們為什么學這方面的知識,通信到底是什么。作為一名未來的通信人,我終于對我們的專業有了一個新的認知與定位,獲益匪淺。
附錄
VLAN部分的操作: [H3C]vlan 2 [H3C-vlan2]quit [H3C]vlan 3 [H3C-vlan3]quit [H3C]int [H3C]interface e [H3C]interface Ethernet 1/0/14 [H3C-Ethernet1/0/14]port link-type access [H3C-Ethernet1/0/14]port access vlan 2 [H3C-Ethernet1/0/14]quit [H3C]interface e [H3C]interface Ethernet 1/0/16 [H3C-Ethernet1/0/16]port link [H3C-Ethernet1/0/16]port link-type access [H3C-Ethernet1/0/16]port [H3C-Ethernet1/0/16]port a [H3C-Ethernet1/0/16]port access vlan 2
/ 18
2014《現代通信技術》實驗報告二
[H3C-Ethernet1/0/16]quit [H3C]inter [H3C]interface e [H3C]interface Ethernet 1/0/20 [H3C-Ethernet1/0/20]port link [H3C-Ethernet1/0/20]port link-type access [H3C-Ethernet1/0/20]port a [H3C-Ethernet1/0/20]port access vlan 3 [H3C-Ethernet1/0/20]quit
Ethernet1/0/14是 UP 發送的IP幀的幀格式是 PKTFMT_ETHNT_2 硬件地址是000f-e25f-688c 導線類型是 雙絞線 端口環回沒有設置
端口硬件類型是 100_BASE_TX 100Mbps-速度 模式, 全雙工 模式
鏈路速度類型是自協商, 鏈路雙工類型是自協商, 流量控制: 不使能
最大幀長 1536 最多允許廣播報文占用接口流量的百分比: 100% 缺省VLAN ID: 2 網線類型為: normal 端口模式: access Tagged
VLAN ID : 無
Untagged VLAN ID : 2 最后 300 秒鐘的輸入: 0包/秒 0字節/秒
最后 300 秒鐘的輸出: 0包/秒 6字節/秒
輸入(合計):
219 報文, 28361 字節
/ 18
2014《現代通信技術》實驗報告二
廣播包, 24 多播包, 0 暫停包
輸入(正常):
219 報文, 28361 字節
廣播包, 24 多播包, 0 暫停包
輸入 :
0 輸入錯誤, 0 超短包, 0 超長包, 輸入碰撞錯誤, 0 輸入描述符錯誤,奇偶錯誤
輸出(合計):
389 報文, 56227 字節
253 廣播包, 76 多播包, 0 暫停包
輸出(正常):
389 報文,暫停包
輸出 :
0 輸出錯誤, 緩沖失敗
0 丟失, 0 延時, 0 沖突, 0 被滯后沖突
-包被滯后發送,不完整, 0 校驗和錯誤
0 幀錯誤, 丟失,字節
227 廣播包, 77 多播包,下溢錯誤,丟失載波
Ethernet1/0/20是 UP 發送的IP幀的幀格式是 PKTFMT_ETHNT_2 硬件地址是000f-e25f-688c 導線類型是 雙絞線 端口環回沒有設置
端口硬件類型是 100_BASE_TX 100Mbps-速度 模式, 全雙工 模式
鏈路速度類型是自協商, 鏈路雙工類型是自協商, 流量控制: 不使能
最大幀長 1536 最多允許廣播報文占用接口流量的百分比: 100%
/ 18
2014《現代通信技術》實驗報告二
缺省VLAN ID: 3 網線類型為: normal 端口模式: access Tagged
VLAN ID : 無
Untagged VLAN ID : 3 最后 300 秒鐘的輸入: 0包/秒 2字節/秒
最后 300 秒鐘的輸出: 0包/秒 2字節/秒
輸入(合計):
187 報文, 25382 字節
廣播包, 22 多播包, 0 暫停包
輸入(正常):
187 報文, 25382 字節
廣播包, 22 多播包, 0 暫停包
輸入 :
0 輸入錯誤, 0 超短包, 0 超長包, 輸入碰撞錯誤, 0 輸入描述符錯誤,奇偶錯誤
輸出(合計):
315 報文, 44026 字節
218 廣播包, 75 多播包, 0 暫停包
輸出(正常):
315 報文,暫停包
輸出 :
0 輸出錯誤, 緩沖失敗
0 丟失, 0 延時, 0 沖突, 0 被滯后沖突
-包被滯后發送,-丟失載波
/ 18
第四篇:北郵數據庫期中知識點總結
Chapter 1.Introduction to Database 數據庫很重要
數據庫的前身是文件系統: 概念 自己管自己 –> 數據孤立 冗余 數據依賴性差(一個改了與它相關的全部重寫)文件格式不相容
查詢固定 應用程序翻新 數據庫的定義
數據庫表現了實體(staff)屬性(staffno)邏輯關系(外鍵)DBMS 定義
提供了DDL DML 語句 視圖機制 環境五要素 硬件(電腦)
軟件(APPDBMS自身)數據
過程(登陸)
人(DA DBA,DB designer,app developer,user)
歷史
第一代 SYSTEM R 第二代 關系DBMS 第三代 面向對象的 對象關系的
優缺點
Chapter 2.Database Environment 最常用的DBMS就是ANSI-SPARC結構
目標 結構
外部 用戶 【視圖】 概念 團體 【表】 內部 文件 【索引】
層與層之間的關系
外部/概念映射 概念/內部映射
Chapter 4.Relational Algebra 根據2.3 data model 我們知道 數據模型分為:
面向對象的 基于關系的:
Relation data model
Network data model Physical data model 物理的
而數據模型的三個組成部分為: ·結構[由一組創建數據庫的規則組成](SEE IN CHAPTER 3)
數據模型之關系模型的結構是用表表示的,表的組成,也就是表的結構,如行,列等在第三章講過。
·操作
這一章主要講關系模型的操作,該操作是通過關系代數來完成的。
·完整性
SEE IN 3.3 關系模型的完整性:
NULL 沒有值得時候用NULL表示 而不是0或空格 Entity integrity 主鍵不能為空
Reference 如果一個鍵是外鍵 不能憑空在這里加東西 Enterprise 自定義約束
關系的操作是閉包的,關系的運算結果還是關系。五大基本關系運算:
·選擇selection 相當于WHERE ·投影projection =SELECT ·笛卡兒積cartesian product ·并 union ·集合差 set difference Join連接 intersection 交 division 除 都能用五大基本操作表示 其中 選擇和投影是一元操作
·選擇:σpredicate(R)= select* from R where predicate=‘’ i.e.σsalary > 10000(Staff)·投影:Πcol1,..., coln(R)= select col1,..., coln from R ΠstaffNo, fName, lName, salary(Staff)= select staffno, fname,lname
From staff ·并 Πcity(Branch)∪ Πcity(PropertyForRent)·減 ·交 ·笛卡爾 ·連接
Theta join(θ-join)R FS = σF(R Χ S)R與S 在F 條件下連接 自然連接 有公共的連接起來
左外連
有公共的+左邊的 右外連
有公共+右邊 全外連 有公共+全部
半連接 參與θ
連接的左邊的屬性
·除
第五篇:北郵計算機大三上課程學習心得
大三上課程學習心得
英語篇:
關于六級:
四級可以不背單詞,但是六級不看單詞一定會死的很慘。單詞書我覺得新東方的那本不錯,風靡全國。
六級真題還是真的值得買的,因為六級一次能過的人不少,但是僅考一次的人很少。真題也不宜做的太早,考前一個月開始就足夠了。
關于選課:
大三上有4門英語可選。科技文閱讀、情景、寫作和口語。
科技文閱讀就是一個200人大教室,老師在講臺上放PPT。據說內容很麻煩,我聽他們期末背單詞那叫一個痛苦。
情景英語是在教一的語音室上課,30人小教室,上課內容都是結合教材的內容討論事情。
口語和寫作不是很清楚情況,希望別人來介紹一下。
得分的話,以前之所以情景得分最高,是因為情景班集中了四級分數高分段的同學。所以實力決定一切。從我們07級開始就是大家任意選四門課了。
情景英語篇:
小班教學的好處就是老師和同學比較熟悉。上課都是老師出一個題目,同學們分組討論。建議口語不好的同學慎選,從小開始就是學啞巴英語的同學勿選!
期末很簡單,和平時一樣,討論幾個話題,但是機器會錄好音,老師會回去聽。10分鐘結束。
這門課很訓練聽力和口語。
其余幾門期待其他同學現身說法。
毛鄧三篇:
可以肯定的是,上一年出過的大題,今年鐵定不會出現在大題里。想得高分一個字:背。06級學長編寫的《毛鄧三葵花寶典》風靡全校,實乃居家旅行必備資料啊。
另外,不要迷戀重點,重點只是一個傳說。我們07級考的論述題是論分配制度和論外交。外交在06級學長編寫的“葵花寶典”中涉及很少。
操作系統篇:
關于老師:
上課的幾位老師,我認為最好的還是孟祥武老師,十分風趣,課堂很活躍。不過不要光聽他講笑話了,要學習老師的思路。葉文老師的語速較快,每節課信息量很大,我自己也很難跟上老師的腳步,建議要多復習。
關于教材及內容:
操作系統,選用的是英文教材。PPT也是英文,期末出題也是英文,不過大題都可以用中文答題。書名既然叫《操作系統概念》,本書最多的還是講授了一下操作系統中的各種概念。不過在這些零零碎碎的概念中間,還夾雜了幾個非常重要的算法或者應用:
銀行家算法、信號量、實存的EAT、虛存的EAT、頁置換算法(FCFS,LRU等等)、進程調度算法及效率(吞吐量、平均等待時間、平均周轉時間)。
以上羅列的都是很重點的東西,每年大題都會從這里出。
關于平時:
由于選用的教材沒有中文版,平時大家就得辛苦的看很厚很厚的英文書。英文書的表達很地道,但是我更愿意在重點的概念旁邊加一下中文的注解,哪怕是這段文字的直譯,這樣非常有利于復習。
作業一定要自己做,雖然流傳著答案,但我更希望答案是用來做完后訂正的,而不是把自己當做抄寫員,把現成的答案抄給給老師看。
老師應該都會布置實驗。孟祥武老師布置的都是與各種算法相關的實驗,而葉文老師則是布置的是針對Linux操作系統進行觀察、自己動手的實驗。一句話,要想學到東西,實驗自己動手。
關于考試特點:
得大題者得天下,以上我說的重點都掌握了,你就穩拿60%以上的分數。對于書中各個概念的考察,就集中在填空、選擇、簡答題中間。對于書中概念的復習,可以參照葉文老師給的大綱,見附件:
計算機網絡篇:
關于老師:
我們07級無緣聆聽王曉茹老師的教誨啊,08級的孩子們估計能遇見王曉茹老師吧。在我聽過課的兩位老師中,我覺得蔣硯軍老師講的真不錯。
關于教材:
強烈推薦計算機網絡(第四版 潘愛民譯),一本黑皮的書。英文原版可以不買。
教材中心和學林書店都是主要賣英文版教材,我可以告訴大家,我英文版教材翻了20頁就再也沒有碰過了。這門課PPT是用英文寫的,老師用中文教,期末出題都是中文的。操作系統之所以推薦看英文教材,一方面是沒有對應版本的中文翻譯教材,另一方面是期末出題是英文。
畢竟看計網英文版教材很費腦子,大三最好還是省點力氣吧。何況,復習的時候,計網中文版教材都是搶手貨。
關于平時:
計網東西很多,你要想平時一點都不付出就想得高分,不啻于癡人說夢。像我上面提到的,讀中文教材效率很高。這門課概念之多,我認為僅次于匯編與接口。最好每章都有總結,復習的時候也就不會手忙腳亂了。
計網我們07級只有兩個實驗,一個是數據鏈路層的滑動窗口協議,另一個是用Wireshark等協議分析軟件抓包。
第一個實驗以小組來做,其實一個人足矣。書上的偽碼基本和C語言差不多,不過細微之處還得自己研究一下。
第二個實驗更簡單,強烈推薦獨自完成。Wireshark抓包實驗,有助于對網絡層和傳輸層協議進行更加深刻的理解。
作業當然也有參考答案,還是一句話,最好自己獨立完成。
關于考試:
我對于這門考試有些怨念,操作系統是得大題者得天下,而計網考試的大題僅占占卷面分數的40%以下。也就是說,你要把各種概念都復習到才有可能得高分。
即使大題不重要,我也說說重點吧:
路由算法(鏈路狀態算法、距離矢量算法)、網橋逆向學習法和flooding算法、漏桶與令牌桶算法、TCP發送窗口算法、IP與TCP頭、IP數據報切分、滑動窗口協議的效率、路由器路由表選擇。
另外,我們07級講到了應用層,而以往各屆的試卷都沒涉及到應用層,所以沒有復習到應用層的人,對于這次的試卷怨念更深了。
論壇上流傳的那份計網重點還是有相當大的參考價值,不過不完全匹配。
總之,復習的時候要對照PPT,把各種基本的概念都了解清楚,對于我提到的重點完全掌握,我覺得這門課取得高分不難。
通信原理篇:
北郵不愧是信息界的黃埔軍校,每個專業都會學這門課。不過咱們比信通院學的要簡單不少。
教材選擇的還不錯,非常貼近咱們學的深度。
關于考試:
期中考試是開卷,大家盡情發揮主觀能動性吧。
期末的卷子流傳極少,我們今年看到居然是01級學長做過的卷子。不過參考價值還很大。通原這門課也是大題萬變不離其宗。期末主要考數字部分。
期末重點:
卷積碼,循環碼和生成矩陣、監督矩陣,各種數字調制的波形,部分響應系統等等。
我這里有羅紅老師給的期末范圍:
關于平時:
作業要比期末難,如果作業自己能完全做對,書上該掌握的都掌握了,期末一定沒問題。
編譯原理篇:
這門課很抽象,跟硬件、操作系統都有一定聯系。跟大二下學的形式語言與自動機的內容緊密聯系。內容繁瑣,過程很有套路但是很復雜。期末是雷打不動的六道大題。
關于平時:
編譯這門課的重頭戲在語法分析上,我們講了近一個月的語法分析。而且語法分析作業也很多,那章的作業平均10頁作業紙。由于課程很抽象,建議大家還是自己弄明白再做作業吧。
我們07級布置了兩個實驗,三個程序,分別是語法分析器兩個、詞法分析器。強烈建議語法分析器自己編寫,通過編寫這兩個程序,會對語法分析那一章有更加深刻的印象。
關于考試:
期中我們考了4道大題,其中最后一道就是語法分析。這是我們考過的卷子和答案:
期末考試是6道大題。我們今年語法分析這一章考了45分。后面的內容考察了訪問鏈與控制棧、程序塊劃分、語法制導定義、參數傳遞機制、類型表達式。卷子請到精華區找找。
匯編語言與接口技術篇:
關于教材:
老師推薦的那本實在不怎么樣,建議再買兩本,05級用過的兩本——《IBM-32位機匯編語言》和《接口技術》(本書強烈推薦)。
老師是按自己課件內容講的,和書的內容不完全一致,接口部分建議是新書舊書聯合起來看。
關于平時:
課件只是指引作用,詳細內容還得看書,尤其新舊兩本書聯合起來看。
作業布置很少,非常不利于督促大家學習。建議買一本微機原理與接口技術的練習冊做一做。
接口實驗有5個,最好準備好了再去實驗室。
另外,匯編的程序也要好好編。
關于考試:
如果計算機學院要評N大名捕,我第一個提名這門課。內容多,書不好,作業少,聽不會,看不懂。
由于本人考的比較差,自認沒有實力點評此課,期待大牛不吝賜教。
這門課勉強算全校統考,不過咱們院比其他院難一些,卷子有70%一樣。
![下載北郵 大數據技術課程重點總結[五篇范文]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 