检测服务网络架构(检测服务网络架构设计)
本篇文章给大家谈谈检测服务网络架构,以及检测服务网络架构设计对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
在企业网络架构中,能否用ips完全替代防火墙?为什么
不能吧,因为各自侧重点不同,二者配置使用效果更佳。
防火墙对原始流量做基于5元组的ACL过滤,IPS再对通过的流量做7层过滤。例如:防火墙只允许通过 目的IP是WEB服务器,目的端口是80,协议是TCP的流量,IPS再对通过的流量做7层检测,防止病毒随着网站一起“混入”,阻拦包含SQL注入等恶意URL的流量。防火墙防外不防内,不能防病毒。
IPS一般也有直接对源IP过滤的黑白名单机制,主要还是7层特征码过滤,如果IPS过滤策略中不写7层特征码,就相当于简单的5元组过滤防火墙了,另外,IPS可以设置被阻拦对象的阻拦时间,从1秒到无限时长,防止特征码有误,而防火墙策略一般是无限时长的阻拦。高级防火墙策略还包括时间、带宽、流量、会话数等对象,这个就不是IPS所擅长的了。
还有就是最近几年兴起的NGFW下一代防火墙,也能作用与第7层应用层,功能很全,还可以“联动”IPS,或者加载IPS模块。
什么是入侵检测,以及入侵检测的系统结构组成?
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现: · 监视、分析用户及系统活动; · 系统构造和弱点的审计; · 识别反映已知进攻的活动模式并向相关人士报警; · 异常行为模式的统计分析; · 评估重要系统和数据文件的完整性; · 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录***和报警等。 信息收集入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。 当然,入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息,例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样,而实际上不是。例如,unix系统的PS指令可以被替换为一个不显示侵入过程的指令,或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。 入侵检测利用的信息一般来自以下四个方面: 1.系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 2.目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。 3.程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统***、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统***也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。
如何构建安全的网络架构的方案
“人在江湖漂,哪能不挨刀”--这应该算得上是引用率非常高的一句经典俏皮话。如今,企业在网络中如何避免这句谶语落到自家头上也成了企业互相慰问或扪心自问时常常想起的一件事。而在构建安全的企业网络这样一个并不简单的问题上,看看别人的应用实践和组网思路,应该可以让企业尽早懂得如何利用自己的长处来保护自己。 网络江湖防身术 - 实践中,网络平台从总体上可以分为用户接入区和应用服务区。应用服务区从结构上又可以分成三部分:发布区即外部区域,面向公众供直接访问的开放网络;数据区,通过防火墙隔离的、相对安全和封闭的数据***区,把大量重要的信息***服务器放置在该区域内,在较严密的安全策略控制下,不直接和外网访问用户发生连接;内部工作区主要连接内网服务器和工作站,完成网站管理、信息***集编辑等方面的工作。 布阵 ***用两台防火墙将整个网络的接入区和应用服务区彻底分开。接入区通过接入交换机,利用光纤、微波、电话线等通信介质,实现各部门、地市的网络接入。出于性能和安全上的考虑,数据区放在第二道防火墙之后。对于Web服务器的服务请求,由Web服务器提交应用服务器、数据库服务器后,进行相关操作。 为避免网站内容遭到入侵后被篡改,在数据区还设置一个Web页面恢复系统,通过内部通讯机制,Web恢复系统会实时检测WWW服务器的页面内容,如果发现未授权的更改,恢复系统会自动将一份拷贝发送到Web服务器上,实现Web页面的自动恢复。发布区域的主机充分暴露,有WWW、FTP、DNS、E-mail。在与二个防火墙的两个接口上使用入侵检测系统实时检测网络的使用情况,防止对系统的滥用和入侵行为。 中心交换机可选用高性能路由交换器,例如Catalyst 6000,它具有提供虚网划分及内部路由连接功能,避免了网络广播风暴,减轻了网络负荷,同时也提供了一定的安全性。冗余电源及冗余连接为网络正常运行打下了较好的基础,把第二层交换机的转发性能和路由器的可伸缩性及控制能力融于一身。第二级交换机可选用类似Catalyst 3500级别的设备,它支持VLAN功能,交换能力强大,提供高密度端口集成,配置光纤模块,提供与Catalyst 6000的高带宽上行连接,保证了部门接入网络、工作站的高带宽应用。 网络平台总体结构图 招数 首先,把第一台防火墙设置在路由器与核心交换机之间,实现较粗的访问控制,以降低安全风险。设置第二台防火墙则主要为了保护数据区内的服务器,合理地配置安全策略,使服务器的安全风险降到最低。只开放服务器必要的服务端口,对于不必要的服务端口一律禁止。 其次,IP地址分配。所有部门的接入网络都在防火墙之后,一律使用内部保留IP地址。每个部门各分配一个完整的C类地址。 再次,中心交换机VLAN配置。具体划分***用基于端口的虚拟LAN方式,将每一个部门作为一个 VLAN, VLAN间的路由协议***用 RIP。 此外,通用信息服务设计。外网的建设,突出了统一规划、***共享的原则。除了在安全问题上由网络平台统一考虑外,对于各部门需要通用的信息服务系统如域名系统、邮件系统、代理系统等,也统一设计、统一实施。 最后,邮件服务器统一规划,***用集中的邮件服务,给用户提供了完整的TCP/IP支持下的邮件系统。 秘笈 网站建设主要体现以下技术特点: 其一,网站应用系统从传统的两层客户机/服务器结构,转向BWAD(浏览器+Web 应用服务器+数据库)的三层体系架构。这种跨平台、多技术融合的三层结构的技术方案,保证网站应用系统的先进性和可扩展性。 其二,***用非结构化和结构化数据库技术,灵活支持、方便扩展宽带应用和多媒体应用,使用户界面不只是文字和图片,而是以文字、声音、图像、***等发布的全媒体界面,提高用户的关注率、提升服务水平。 其三,***用自主开发的网站动态管理平台技术,可以任意组合和改变网页界面风格,定义不同模板,将网站管理的人力成本降低,并降低由于网站管理复杂而产生的技术风险和人员更迭风险。降低和减少了页面开发的工作量,使大量的人力可以投入到具体的政务应用系统中去。 其四,网站管理系统为网站的建设、管理、维护、统计分析提供了一个统一的环境。提供各类业务系统上网发布接口,以及信息发布模板和工具,使普通用户不需要编程就可建立信息发布栏目,并可自行对栏目信息进行编辑与维护。网站管理系统具有灵活的功能,方便的内容创作环境,灵活的发布方式,强大的信息查询能力,能进行实用而有效的模板设计、支持丰富的内容类型,按照栏目结构进行信息组织。它***用了ASP、JSP和数据库的技术,基于B/S结构,还可以对用户的IP地址进行限定信息检索功能。 战绩 从运行的效果上看,所设定的方案合理、可靠,有效地保护了内部网络,因为所有的访问都是一个间接过程,直接攻击比较困难。代理技术的使用,随着内部网络规模的扩大,重复访问的可能性就越大,使传输效果的改善也就越明显,同时也提高了信道的利用率,降低了网络使用成本。
detection基本知识介绍(一)---模型架构
如何从图像中解析出可供计算机理解的信息,是机器视觉的中心问题。深度学习模型由于其强大的表示能力,加之数据量的积累和计算力的进步,成为机器视觉的热点研究方向。
那么,如何理解一张图片?根据后续任务的需要,有三个主要的层次。
一是分类(Classification),即是将图像结构化为某一类别的信息,用事先确定好的类别(string)或实例ID来描述图片。这一任务是最简单、最基础的图像理解任务,也是深度学习模型最先取得突破和实现大规模应用的任务。其中,ImageNet是最权威的评测集,每年的ILSVRC催生了大量的优秀深度网络结构,为其他任务提供了基础。在应用领域,人脸、场景的识别等都可以归为分类任务。
二是检测(Detection)。分类任务关心整体,给出的是整张图片的内容描述,而检测则关注特定的物体目标,要求同时获得这一目标的类别信息和位置信息。相***类,检测给出的是对图片前景和背景的理解,我们需要从背景中分离出感兴趣的目标,并确定这一目标的描述(类别和位置),因而,检测模型的输出是一个列表,列表的每一项使用一个数据组给出检出目标的类别和位置(常用矩形检测框的坐标表示)。
三是分割(Segmentation)。分割包括语义分割(semantic segmentation)和实例分割(instance segmentation),前者是对前背景分离的拓展,要求分离开具有不同语义的图像部分,而后者是检测任务的拓展,要求描述出目标的轮廓(相比检测框更为精细)。分割是对图像的像素级描述,它赋予每个像素类别(实例)意义,适用于理解要求较高的场景,如无人驾驶中对道路和非道路的分割。
两阶段模型因其对图片的两阶段处理得名,也称为基于区域(Region-based)的方法,我们选取R-CNN系列工作作为这一类型的代表。
本文的两大贡献:1)CNN可用于基于区域的定位和分割物体;2)监督训练样本数紧缺时,在额外的数据上预训练的模型经过fine-tuning可以取得很好的效果。第一个贡献影响了之后几乎所有2-stage方法,而第二个贡献中用分类任务(Imagenet)中训练好的模型作为基网络,在检测问题上fine-tuning的做法也在之后的工作中一直沿用。
传统的计算机视觉方法常用精心设计的手工特征(如SIFT, HOG)描述图像,而深度学习的方法则倡导习得特征,从图像分类任务的经验来看,CNN网络自动习得的特征取得的效果已经超出了手工设计的特征。本篇在局部区域应用卷积网络,以发挥卷积网络学习高质量特征的能力。
R-CNN将检测抽象为两个过程,一是基于图片提出若干可能包含物体的区域(即图片的局部裁剪,被称为Region Proposal),文中使用的是Selective Search算法;二是在提出的这些区域上运行当时表现最好的分类网络(AlexNet),得到每个区域内物体的类别。
另外,文章中的两个做法值得注意。
一是数据的准备。输入CNN前,我们需要根据Ground Truth对提出的Region Proposal进行标记,这里使用的指标是IoU(Intersection over Union,交并比)。IoU计算了两个区域之交的面积跟它们之并的比,描述了两个区域的重合程度。
文章***别提到,IoU阈值的选择对结果影响显著,这里要谈两个threshold,一个用来识别正样本(如跟ground truth的IoU大于0.5),另一个用来标记负样本(即背景类,如IoU小于0.1),而介于两者之间的则为难例(Hard Negatives),若标为正类,则包含了过多的背景信息,反之又包含了要检测物体的特征,因而这些Proposal便被忽略掉。
另一点是位置坐标的回归(Bounding-Box Regression),这一过程是Region Proposal向Ground Truth调整,实现时加入了log/exp变换来使损失保持在合理的量级上,可以看做一种标准化(Normalization)操作。
R-CNN的想法直接明了,即将检测任务转化为区域上的分类任务,是深度学习方法在检测任务上的试水。模型本身存在的问题也很多,如需要训练三个不同的模型(proposal, classification, regression)、重复计算过多导致的性能问题等。尽管如此,这篇论文的很多做法仍然广泛地影响着检测任务上的深度模型革命,后续的很多工作也都是针对改进这一工作而展开,此篇可以称得上"The First Paper"。
文章指出R-CNN耗时的原因是CNN是在每一个Proposal上单独进行的,没有共享计算,便提出将基础网络在图片整体上运行完毕后,再传入R-CNN子网络,共享了大部分计算,故有Fast之名。
上图是Fast R-CNN的架构。图片经过feature extractor得到feature map, 同时在原图上运行Selective Search算法并将RoI(Region of Interset,实为坐标组,可与Region Proposal混用)映射到到feature map上,再对每个RoI进行RoI Pooling操作便得到等长的feature vector,将这些得到的feature vector进行正负样本的整理(保持一定的正负样本比例),分batch传入并行的R-CNN子网络,同时进行分类和回归,并将两者的损失统一起来。
文章最后的讨论也有一定的借鉴意义:
Fast R-CNN的这一结构正是检测任务主流2-stage方法所***用的元结构的雏形。文章将Proposal, Feature Extractor, Object ClassificationLocalization统一在一个整体的结构中,并通过共享卷积计算提高特征利用效率,是最有贡献的地方。
Faster R-CNN是2-stage方法的奠基性工作,提出的RPN网络取代Selective Search算法使得检测任务可以由神经网络端到端地完成。粗略的讲,Faster R-CNN = RPN + Fast R-CNN,跟RCNN共享卷积计算的特性使得RPN引入的计算量很小,使得Faster R-CNN可以在单个GPU上以5fps的速度运行,而在精度方面达到SOTA(State of the Art,当前最佳)。
本文的主要贡献是提出Regional Proposal Networks,替代之前的SS算法。RPN网络将Proposal这一任务建模为二分类(是否为物体)的问题。
第一步是在一个滑动窗口上生成不同大小和长宽比例的anchor box(如上图右边部分),取定IoU的阈值,按Ground Truth标定这些anchor box的正负。于是,传入RPN网络的样本数据被整理为anchor box(坐标)和每个anchor box是否有物体(二分类标签)。RPN网络将每个样本映射为一个概率值和四个坐标值,概率值反应这个anchor box有物体的概率,四个坐标值用于回归定义物体的位置。最后将二分类和坐标回归的损失统一起来,作为RPN网络的目标训练。
由RPN得到Region Proposal在根据概率值筛选后经过类似的标记过程,被传入R-CNN子网络,进行多分类和坐标回归,同样用多任务损失将二者的损失联合。
Faster R-CNN的成功之处在于用RPN网络完成了检测任务的"深度化"。使用滑动窗口生成anchor box的思想也在后来的工作中越来越多地被***用(YOLO v2等)。这项工作奠定了"RPN+RCNN"的两阶段方法元结构,影响了大部分后续工作。
单阶段模型没有中间的区域检出过程,直接从图片获得预测结果,也被成为Region-free方法。
YOLO是单阶段方法的开山之作。它将检测任务表述成一个统一的、端到端的回归问题,并且以只处理一次图片同时得到位置和分类而得名。
YOLO的主要优点:
1.准备数据:将图片缩放,划分为等分的网格,每个网格按跟Ground Truth的IoU分配到所要预测的样本。
2.卷积网络:由GoogLeNet更改而来,每个网格对每个类别预测一个条件概率值,并在网格基础上生成B个box,每个box预测五个回归值,四个表征位置,第五个表征这个box含有物体(注意不是某一类物体)的概率和位置的准确程度(由IoU表示)。测试时,分数如下计算:
等式左边第一项由网格预测,后两项由每个box预测,以条件概率的方式得到每个box含有不同类别物体的分数。 因而,卷积网络共输出的预测值个数为S×S×(B×5+C),其中S为网格数,B为每个网格生成box个数,C为类别数。
3.后处理:使用NMS(Non-Maximum Suppression,非极大抑制)过滤得到最后的预测框
损失函数被分为三部分:坐标误差、物体误差、类别误差。为了平衡类别不均衡和大小物体等带来的影响,损失函数中添加了权重并将长宽取根号。
YOLO提出了单阶段的新思路,相比两阶段方法,其速度优势明显,实时的特性令人印象深刻。但YOLO本身也存在一些问题,如划分网格较为粗糙,每个网格生成的box个数等限制了对小尺度物体和相近物体的检测。
SSD相比YOLO有以下突出的特点:
SSD是单阶段模型早期的集大成者,达到跟接近两阶段模型精度的同时,拥有比两阶段模型快一个数量级的速度。后续的单阶段模型工作大多基于SSD改进展开。
最后,我们对检测模型的基本特征做一个简单的归纳。
检测模型整体上由基础网络(Backbone Network)和检测头部(Detection Head)构成。前者作为特征提取器,给出图像不同大小、不同抽象层次的表示;后者则依据这些表示和监督信息学习类别和位置关联。检测头部负责的类别预测和位置回归两个任务常常是并行进行的,构成多任务的损失进行联合训练。
另一方面,单阶段模型只有一次类别预测和位置回归,卷积运算的共享程度更高,拥有更快的速度和更小的内存占用。读者将会在接下来的文章中看到,两种类型的模型也在互相吸收彼此的优点,这也使得两者的界限更为模糊。
关于检测服务网络架构和检测服务网络架构设计的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。
