⑴ 信息系统的应用
5.3.1企业资源规划
企业资源规划(Enterprise Resources Planning,ERP)是对企业所拥有的资源(人、财、物、信息等)进行综合管理的、高度集成的计算机管理系统。及相应的计算机管理系统经历了基本MRP阶段、闭环 MRP阶段、MRP-Ⅱ阶段及 ERP阶段。
5.3.1.1物料需求计划(Material Requirement Planning,基本 MRP)
物料需求计划借助计算机的运算能力及系统对客户订单、在库物料、产品构成的管理能力,实现依据客户订单,按照产品结构清单展开并计算物料需求计划。实现减少库存,以达到“既要降低库存,又要不出现物料短缺”的目的。
MRP主要用于制造业,具有从供应方买来原材料,经过加工或装配,制造出产品,销售给需求方的管理功能。任何制造业的经营生产活动都是围绕其产品开展的,制造业的信息系统也体现了这种特点。MRP就是从产品的结构或物料清单出发,实现了物料信息的集成。
物料的需求信息、产品结构、采供提前期、库存信息是运行 MRP的四项主要数据。这些数据的准确度,决定了MRP的有效性。
MRP一般包含以下模块:主生产计划(Master Proction Schele,MPS)模块,是将生产计划大纲规定的产品系列或大类转换成特定的产品或特定部件的计划,据此可以制定物料需求计划、生产进度计划与能力需求计划;物料需求计划(MRP)模块,用来计算出物料需求的时间和数量,特别是相关需求物料的数量和时间;物料清单(Bill of Material,BOM)模块,用来计算每一种产品的产品结构和所有要使用到的物料;库存控制(Inventory Control,IC)模块,是按照存储论的方法,计算企业所有产品、零部件、在制品、原材料等变化数据的模块;采购订单(Purchasing Order,PO)模块,是向供应商订货的模块;加工订单(Manufacturing Order,MO)模块,用来生成加工产品的订单。
5.3.1.2闭环 MRP
由于基本MRP是建立在下面两个假设的基础上:一是生产计划是可行的,即假定有足够的设备、人力和资金来保证生产计划的实现;二是假设采购计划是可行的,即有足够的供货能力和运输能力来保证完成物料供应。但在实际生产中,能力资源和物料资源总是有限的,因而往往会出现生产计划无法完成的情况。MRP系统在20世纪70年代发展为闭环 MRP系统。闭环MRP系统除了物料需求计划外,还将生产能力需求计划、车间作业计划和采购作业计划也全部纳入MRP,形成一个封闭的系统。
简单地说,闭环 MRP的形成是在基本 MRP基础上增加了能力需求计划,形成了“计划—执行—反馈—计划”的闭环系统。MRP系统的正常运行,需要有一个现实可行的主生产计划。它除了要反映市场需求和合同订单以外,还必须满足企业的生产能力约束条件。因此,除了要编制资源需求计划外,我们还要制定能力需求计划,同各个工作中心的能力进行平衡。只有在采取了措施做到能力与资源均满足负荷需求时,才能开始执行计划。而要保证实现计划就要控制计划,执行MRP时要用派工单来控制加工的优先级,用采购单来控制采购的优先级。这样,基本MRP系统进一步发展,把能力需求计划和执行及控制计划的功能也包括进来,形成一个环形回路,称为闭环MRP。
5.3.1.3制造资源规划(Manufacture Resource Planning,MRPⅡ)
闭环 MRP系统的出现,使生产活动方面的各种子系统得到了统一。但这还不够,因为在企业的管理中,生产管理只是一个方面,它所涉及的仅仅是物流,而与物流密切相关的还有资金流。这在许多企业中是由财会人员另行管理的,这就造成了数据的重复录入与存储,甚至造成数据的不一致性。于是,20世纪80年代,人们把生产、财务、销售、工程技术、采购等各个子系统集成为一个一体化的系统,并称为制造资源计划(Manufacturing Resource Planning)系统,英文缩写还是 MRP,为了区别物流需求计划(亦缩写为MRP)而记为MRPⅡ。
MRPⅡ与 MRP的主要区别就是它运用管理会计实现物料信息同资金信息的集成,用货币形式管理执行企业“物料计划”带来的经济效益。
在 MRPⅡ系统中,以MRP的产品结构为基础,从最底层采购件的材料费开始,逐层向上将每一件物料的材料费、人工费和制造费(间接成本)进行累计,得出每一层零部件直至最终产品的成本。再进一步结合市场营销,分析各类产品的赢利性。
MRPⅡ的基本思想就是把企业作为一个有机整体,从整体最优的角度出发,通过运用科学方法对企业各种制造资源和产、供、销、财各个环节进行有效地计划、组织和控制,使他们得以协调发展,并充分地发挥作用。MRPⅡ把传统的账务处理同发生账务的事务结合起来,不仅管理账务的资金现状,而且追溯资金的来龙去脉。一般包括如下模块:产品数据管理模块、主生产计划模块、物料需求计划模块、库存管理模块、能力需求模块、销售管理模块、采购模块、车间作业管理模块、财务管理模块、质量管理模块。这些模块结构上相互独立,但功能上相互依存。
5.3.1.4ERP
ERP的概念,是美国Gartner Group公司于1990年提出的,其确切定义是:MRPⅡ(企业制造资源计划)下一代的制造业系统和资源计划软件。MRPⅡ主要侧重对企业内部人、财、物等资源的管理,ERP系统在 MRPⅡ的基础上扩展了管理范围,它把客户需求和企业内部的制造活动,以及供应商的制造资源整合在一起,形成企业一个完整的供应链,并对供应链上所有环节如订单、采购、库存、计划、生产制造、质量控制、运输、分销、服务与维护、财务管理、人事管理、实验室管理、项目管理、配方管理等进行有效管理。随着IT技术的飞速发展,网络通信技术的应用,ERP系统采用客户/服务器(C/S)体系结构和分布式数据处理技术,支持 Internet/Intranet/Extranet、电子商务(E-business、E-commerce)、电子数据交换(EDI)。此外,还能实现在不同平台上的互操作。
ERP把客户需求和企业内部的制造活动以及供应商的制造资源整合在一起,形成企业一个完整的供应链,其核心管理思想主要体现在以下三个方面:①体现对整个供应链资源进行管理的思想;②体现精益生产、敏捷制造和同步工程的思想;③体现事先计划与事前控制的思想。
ERP出现后不久,计算机技术就遇到了Internet/Intranet和网络计算的热潮、制造业的国际化倾向以及制造信息技术的深化。由于今后Intranet将成为许多大公司网络建设的选择,使用 Web客户机具有费用低廉、安装和维护方便、跨平台运行和具有统一、友好的用户界面的优点,加之所有的数据库厂商对 Web技术的支持,使得目前几乎所有的客户/服务器应用程序的开发厂商都计划将 Web浏览器的前端安装到其产品上去。几个大的制造软件公司Oracle、SALP和BAAN都在争先恐后地把其 MRPⅡ/ERP客户/服务器应用程序的客户机“Web化”。
5.3.2决策支持系统
决策支持系统(Decision Support System,DSS)是一种以计算机为基础和工具,应用决策科学及其有关的种理论和方法的人机交互系统,主要面向组织管理的战略计划中半结构化与非结构化的决策问题,提供用户以获取数据和构造模型的便利,辅助决策者分析并做出正确的决策。DSS的概念是20世纪70年代提出的,并且在80年代获得发展。它的产生基于以下原因:传统的MIS没有给企业带来巨大的效益,人在管理中的积极作用要得到发挥;人们对信息处理规律认识提高,面对不断变化的环境需求,要求更高层次的系统来直接支持决策;计算机应用技术的发展为DSS提供了物质基础。
5.3.2.1DSS的特点
根据定义,决策支持系统的特点可归纳为:
(1)DSS具有交互性。表现在通过管理者同系统之间的多次对话,使决策得以完成,而且人的因素如偏好、主观判断、能力、经验、价值观等对系统的决策结果有重要的影响。
(2)DSS系统解决的问题是针对半结构化的决策问题,模型和方法的使用是确定的,但是决策者对问题的理解存在差异,系统的使用有特定的环境,问题的条件也不确定和唯一,这使得决策结果具有不确定性。
(3)系统具有专门的结构存储和研究备用的模型及方法,提供模型的比较、联结和合成的功能。系统的驱动力来自模型和用户,人是系统运行的发起者,模型是系统完成各环节转换的核心。
(4)DSS只是起辅助决策的作用,DSS不应当取代管理者的判断,而应当让管理者处于主动地位,提高决策者做出科学决策的能力。
(5)DSS应当便于学习、使用和修改,因而要对用户的需求做动态性的分析,做到及时完善DSS的各种功能。
5.3.2.2DSS的模型库、方法库和数据库
(1)模型库。
在管理领域常见的是信息处理模型,它的表达式为数学表达式、计算机程序等,通过对模型的建立和使用,决策者可以获得有用的辅助决策信息。建立模型是有关决策领域的专家学者在探索事物的变化规律中抽象出它们的数学模型,这项工作是创造性劳动,需要花费大量的精力来得到规律性或相近的数学模型。
数学模型建立之后的一个重要问题就是该模型的求解算法,它可以是精确求解,也可以是近似求解,这种算法的提出由计算机数值计算学者来完成。有了模型算法,就可以用计算机语言来编制成程序。实际的决策者就可以利用模型程序在计算机上执行,计算出结果,得到辅助决策信息。模型是辅助决策的重要手段,模型库是模型的集合,它按照一定的组织方法,将模型有机地汇集起来,由模型库管理系统统一管理。模型库以及模型库管理系统构成模型库系统。
(2)方法库。
方法库系统由方法库和方法库管理系统组成。它的基本功能是为各种模型的求解分析提供必要的算法以及为用户的决策活动提供所需的方法。方法库中的方法通常可以包括各种优化方法、预测方法、统计方法、对策方法、风险方法、矩阵方程求解等。
方法库管理系统负责对方法的描述、录入、存储、增加、修改、删除等处理。通常采用的方法是选择适当的计算机程序设计语言,将有关算法变成一组可执行的程序存入计算机内。这些程序可以表示为附有描述说明的函数或过程,而后按照求解问题的需要调用对应程序模型,从而达到求解问题的目的。另外,方法库管理系统还应具有与数据库、模型库进行交互的能力以及为用户选择算法提供灵活方便的交互揭示功能。
(3)数据库。
数据库是进行信息的收集、加工、存贮和输出的软件系统,因此,模型库和方法库的研制和应用应以数据库为基础。只有有了完善的数据库系统,在信息有了根本保证的前提下,模型库和方法库才能发挥其作用。反过来,模型库和方法库的发展又给数据库的研究和应用提出了新课题,促进它的研究如何提供更为适合模型和方法操作的数据模型。
模型库和方法库是不可分割的,无论是模型的参数估计、模型的求解还是模型的验证都是通过各种方法来具体实现的。方法库中方法的丰富程度、方法的性能决定了模型使用的效果。总之,从辅助决策的角度看,“三库”是进行问题求解的重要支持方面,一个强有力的辅助决策系统应具备“三库”,并以其为核心。
5.3.3专家系统
近30年来人工智能(Artificial Intelligence,AI)获得了迅速的发展,在很多学科领域都获得了广泛应用,并取得了丰硕的成果。作为人工智能一个重要分支的专家系统(Expert System,ES)是在20世纪60年代初期产生和发展起来的一门新兴的应用科学,而且正随着计算机技术的不断发展而日臻完善和成熟。1982年美国斯坦福大学教授费根鲍姆给出了专家系统的定义:“专家系统是一种智能的计算机程序,这种程序使用知识与推理过程,求解那些需要杰出人物的专门知识才能求解的复杂问题。”
专家系统是一个智能计算机程序系统,其内部含有大量的某个领域专家水平的知识与经验,能够利用人类专家的知识和解决问题的方法来处理该领域问题。也就是说,专家系统是一个具有大量的专门知识与经验的程序系统,它应用人工智能技术和计算机技术,根据某领域一个或多个专家提供的知识和经验,进行推理和判断,模拟人类专家的决策过程,以便解决那些需要人类专家处理的复杂问题。简而言之,专家系统是一种模拟人类专家解决领域问题的计算机程序系统。
5.3.3.1专家系统的一般特点
总体上,专家系统具有一些共同的特点和优点。
(1)启发性。专家系统能运用专家的知识与经验进行推理、判断和决策。世界上的大部分工作和知识都是非数学性的,只有一小部分人类活动是以数学公式为核心的(约占8%)。即使是化学和物理学科,大部分也是靠推理进行思考的;对于生物学、大部分医学和全部法律,情况也是这样。企业管理的思考几乎全靠符号推理,而不是数值计算。
(2)透明性。专家系统能够解释本身的推理过程和回答用户提出的问题,以便让用户能够了解推理过程,提高对专家系统的信赖感。例如,一个医疗诊断专家系统诊断某病人患有病毒性感冒,而且必须采用某种治疗方案,那么,这一专家系统将会向病人解释为什么他患有病毒性感冒,以及为什么要采取这种治疗方案。
(3)灵活性。专家系统能不断地增长知识,修改原有知识,不断更新。由于这一特点,使得专家系统具有十分广泛的应用领域。
5.3.3.2专家系统的结构与类型
(1)专家系统的结构。
专家系统通常由人机交互接口、知识库、推理机、解释器、综合数据库、知识获取等6个部分构成。
1)知识库(Knowledge Base)。知识库用来存放专家提供的知识。专家系统的问题求解过程是通过知识库中的知识来模拟专家的思维方式的。因此,知识库是专家系统质量是否优越的关键所在,即知识库中知识的质量和数量决定着专家系统的质量水平。
2)综合数据库(Global Database)。综合数据库又称全局数据库或总数据库,它用于存储领域或问题的初始数据和推理过程中得到的中间数据(信息),即被处理对象的一些当前事实。
3)推理机(Reasoning Machine)。推理机针对当前问题的条件或已知信息,反复匹配知识库中的规则,获得新的结论,以得到问题求解结果。在这里,推理方式可以有正向和反向推理两种。正向推理是从前件匹配到结论,反向推理则先假设一个结论成立,看它的条件有没有得到满足。由此可见,推理机就如同专家解决问题的思维方式,知识库就是通过推理机来实现其价值的。
4)解释器(explanator)。解释器能够向用户解释专家系统的行为,包括解释推理结论的正确性以及系统输出其他候选解的原因。解释器还能够根据用户的提问,对结论、求解过程做出说明,因而使专家系统更具有人情味。
5)人机交互接口(Interface)。接口又称界面,它能够使系统与用户进行对话,使用户能够输入必要的数据、提出问题和了解推理过程及推理结果等。系统则通过接口,要求用户回答提问,并回答用户提出的问题,进行必要的解释。
6)知识获取(Knowledge Acquiring)。知识获取是专家系统知识库是否优越的关键,也是专家系统设计的“瓶颈”问题,通过知识获取,可以扩充和修改知识库中的内容,也可以实现自动学习功能。
专家系统的工作过程:知识被事先存储在知识库中(有些专家系统也可以通过学习来获得知识),用户通过人机交互接口输入信息,专家系统则在原有知识库中的知识和所得信息的基础上,运用推理机和综合数据库的协调工作,完成推理过程,得出结论,最后以多媒体的形式将结论呈现给用户。
(2)专家系统的类型。
1)解释专家系统。解释专家系统的任务是通过对已知信息和数据的分析与解释,确定它们的含义。例如,卫星图像(云图等)分析、集成电路分析、DENDRAL化学结构分析、ELAS石油测井数据分析、染色体分类、PROSPECTOR地质勘探数据解释和丘陵找水等实用系统。
2)预测专家系统。预测专家系统的任务是通过对过去和现在已知状况的分析,推断未来可能发生的情况。例如,恶劣气候(包括暴雨、飓风、冰雹等)预报、战场前景预测、农作物病虫害预报等专家系统。
3)诊断专家系统。诊断专家系统的任务是根据观察到的情况(数据)来推断出某个对象机能失常(即故障)的原因。诊断专家系统的例子特别多,有医疗诊断、电子机械和软件故障诊断、材料失效诊断等。
4)设计专家系统。设计专家系统的任务是根据设计要求,求出满足设计问题约束的目标配置。设计专家系统涉及电路(如数字电路和集成电路)设计、土木建筑工程设计、计算机结构设计、机械产品设计和生产工艺设计等。
5)规划专家系统。规划专家系统的任务在于寻找出某个能够达到给定目标的动作序列或步骤。规划专家系统可用于机器人规划、交通运输调度、工程项目论证、通信与军事指挥、农作物施肥方案规划等。
6)监视专家系统。监视专家系统的任务在于对系统、对象或过程的行为进行不断观察,并把观察到的行为与其应当具有的行为进行比较,以发现异常情况,发出警报。监视专家系统可用于核电站的安全监视、防空监视与警报、国家财政的监控、传染病疫情监视、农作物病虫害监视与警报等。
7)控制专家系统。控制专家系统的任务是自适应地管理一个受控对象或客体的全面行为,使之满足预期要求。空中交通管制、商业管理、自主机器人控制、作战管理、生产过程控制和生产质量控制等都是控制专家系统的潜在应用方面。
8)调试专家系统。调试专家系统的任务是对失灵的对象给出处理意见和方法。调试专家系统的特点是同时具有规划、设计、预报和诊断等专家系统的功能。调试专家系统可用于新产品或新系统的调试,也可用于维修站进行维修设备的调整、测量与试验。在这方面的实例还很少见。
此外,还有决策专家系统和咨询专家系统等。
⑵ 为什么要提出基于web的专家系统
决策支持系统(DSS)与专家系统的关系 运筹学的发展使决策更科学化,使决策过程同时使用模型与数据。DSS为了强调数据与模型的有机结合和方便用户而引入了人工智能思想和技术,而专家系统则是抽取专家的知识并加以组织,以提供专家水平的咨询。 D
⑶ web专家系统开发难吗
具体需求得具体分析~不能一概而论!!!
⑷ 做好网站后应该怎样维护
保证信息系统安全的主要问题是建立安全机制,迄今为止已
发展了许多安全机制,但安全问题仍然倍受怀疑和关注。象电子
商务这种应用是否会得到充分的推广,将在很大程度上取决于人
们对网络环境下的信息系统安全的信心。由于已从理论上证明不
存在绝对安全的安全系统,因此一般将审计跟踪、攻击检测系统
作为信息系统的最后一道安全防线。
早期中大型的计算机系统中都收集审计信息来建立跟踪文件
,这些审计跟踪的目的多是为了性能测试或计费,因此对攻击检
测提供的有用信息比较少;此外,最主要的困难在于由于审计信
息粒度的安排,审计信息粒度较细时,数据过于庞大和细节化,
而由于审计跟踪机制所提供的信息的数据量过于巨大,将有用的
信息源没在其中;因此,对人工检查由于不可行而毫无意义。
对于攻击企图/成功攻击,被动审计的检出程度是不能保证的
。通用的审计跟踪能提供用于攻击检测的重要信息,例如什么人
运行了什么程序,何时访问或修改过那些文件,使用过内存和磁
盘空间的数量等等;但也可能漏掉部门重要的攻击检测的相关信
息。为了使通用的审计跟踪能用于攻击检测等安全目的,必须配
备自动工具对审计数据进行分析,以期尽早发现那些可疑事件或
行为的线索,给出报警或对抗措施。
(一)基于审计信息的攻击检测技术
1、检测技术分类
为了从大量的、有时是冗余的审计跟踪数据中提取出对安全
功能有用的信息,基于计算机系统审计跟踪信息设计和实现的系
统安全自动分析或检测工具是很必要的,可以用以从中筛选出涉
及安全的信息。其思路与流行的数据挖掘(Data Mining)技术是
极其类似的。
基于审计的自动分析检测工具可以是脱机的,指分析工具非
实时地对审计跟踪文件提供的信息进行处理,从而得到计算机系
统是否受到过攻击的结论,并且提供尽可能多的攻击者的信息;
此外,也可以是联机的,指分析工具实时地对审计跟踪文件提供
的信息进行同步处理,当有可疑的攻击行为时,系统提供实时的
警报,在攻击发生时就能提供攻击者的有关信息,其中可以包括
攻击企图指向的信息。
2、攻击分类
在安全系统中,一般至少应当考虑如下三类安全威胁:外部
攻击、内部攻击和授权滥用。攻击者来自该计算机系统的外部时
称作外部攻击;当攻击者就是那些有权使用计算机,但无权访问
某些特定的数据、程序或资源的人意图越权使用系统资源时视为
内部攻击,包括假冒者(即那些使用其他合法用户的身份和口令
的人)秘密使用者(即那些有意逃避审计机制和存取控制的人)
;特权滥用者也是计算机系统资源的合法用户,表现为有意或无
意地滥用他们的特权。
通过审计试图登录的失败记录可以发现外部攻击者的攻击企
图;通过观察试图连接特定文件、程序和其他资源的失败记录可
以发现内部攻击者的攻击企图,如可通过为每个用户单独建立的
行为模型和特定的行为的比较来检测发现假冒者;但要通过审计
信息来发现那些授权滥用者往往是很困难的。
基于审计信息的攻击检测特别难于防范的攻击是具备较高优
先特权的内部人员的攻击;攻击者可通过使用某些系统特权或调
用比审计本身更低级的操作来逃避审计。对于那些具备系统特权
的用户,需要审查所有关闭或暂停审计功能的操作,通过审查被
审计的特殊用户、或者其他的审计参数来发现。审查更低级的功
能,如审查系统服务或核心系统调用通常比较困难,通用的方法
很难奏效,需要专用的工具和操作才能实现。总之,为了防范隐
秘的内部攻击需要在技术手段而外确保管理手段的行之有效,技
术上则需要监视系统范围内的某些特定的指标(如CPU、内存和磁
盘的活动),并与通常情况下它们的历史记录进行比较,以期发
现之。
3、攻击检测方法
(1)检测隐藏的非法行为
基于审计信息的脱机攻击检测工作以及自动分析工具可以向
系统安全管理员报告此前一天计算机系统活动的评估报告。
对攻击的实时检测系统的工作原理是基于对用户历史行为的
建模以及在早期的证据或模型的基矗审计系统实时地检测用户对
系统的使用情况,根据系统内部保持的用户行为的概率统计模型
进行监测,当发现有可疑的用户行为发生时,保持跟踪并监测、
记录该用户的行为。SRI(Stanford Ressearch Institute)研制
开发的IDES(Intrusion-Detection Expert System)是一个典型
的实时检测系统。IDES系统能根据用户以前的历史行为决定用户
当前的行为是否合法。系统根据用户的历史行为,生成每个用户
的历史行为记录库。IDES更有效的功能是能够自适应地学习被检
测系统中每个用户的行为习惯,当某个用户改变他的行为习惯时
,这种异常就会被检测出来。目前 IDES中已经实现的监测基于以
下两个方面:一般项目:例如CPU的使用时间:I/O的使用通道和
频率,常用目录的建立与删除,文件的读写、修改、删除,以及
来自局域网的行为;特定项目:包括习惯使用的编辑器和编译器
、最常用的系统调用、用户ID的存娶文件和目录的使用。
IDES除了能够实时地监测用户的异常行为。还具备处理自适
应的用户参数的能力。在类似IDES这样的攻击检测系统中,用户
行为的各个方面都可以用来作为区分行为正常或不正常的表征。
例如,某个用户通常是在正常的上班时间使用系统,则偶然的加
班使用系统会被IDES报警。根据这个逻辑,系统能够判断使用行
为的合法或可疑。显然这种逻辑有“肃反扩大化/缩小化”的问题
。当合法的用户滥用他们的权利时,IDES就无效了。这种办法同
样适用于检测程序的行为以及对数据资源(如文件或数据库)的
存取行为。
(2)基于神经网络的攻击检测技术
如上所述,IDES(Intrusion Detection Expert System)类的
基于审计统计数据的攻击检测系统,具有一些天生的弱点,因为
用户的行为可以是非常复杂的,所以想要准确匹配一个用户的历
史行为和当前的行为相当困难。
错发的警报往往来自对审计数据的统计算法所基于的不准确
或不贴切的假设。作为改进的策略之一,SRI(Stanford Researc
h Institute)的研究小组利用和发展神经网络技术来进行攻击检
测。神经网络可能用于解决传统的统计分析技术所面临的以下几
个问题:①难于建立确切的统计分布:统计方法基本上是依赖于
用户行为的主观假设,如偏差高斯分布;错发警报常由这种假设
所导致。②难于实现方法的普适性:适用于某类用户行为的检测
措施一般无法适用于另一类用户。③算法实现比较昂贵:由于上
面一条原因,即基于统计的算法对不同类型的用户行为不具有自
适应性,因此算法比较复杂而且庞大,导致算法实现上的昂贵。
而神经网络技术不存在这个问题,实现的代价较校④系统臃肿难
于剪裁:由于采用统计方法检测具有大量用户的计算机系统,将
不得不保留大量的用户行为信息,导致系统的臃肿和难于剪裁。
而基于神经网络的技术能够回避这一缺点,根据实时检测到的信
息有效地加以处理作出攻击可能性的判断。
目前,神经网络技术提出了对基于传统统计技术的攻击检测
方法的改进方向,但尚不十分成熟,所以传统的统计方法仍将继
续发挥作用,也仍然能为发现用户的异常行为提供相当有参考价
值的信息。
(3)基于专家系统的攻击检测技术
进行安全检测工作自动化的另外一个值得重视的研究方向就
是基于专家系统的攻击检测技术,即根据安全专家对可疑行为的
分析经验来形成一套推理规则,然后再在此基础之上构成相应的
专家系统。由此专家系统自动进行对所涉及的攻击操作的分析工
作。
所谓专家系统是基于一套由专家经验事先定义的规则的推理
系统。例如,在数分钟之内某个用户连续进行登录,且失败超过
三次就可以被认为是一种攻击行为。类似的规则在统计系统似乎
也有,同时应当说明的是基于规则的专家系统或推进系统也有其
局限性,因为作为这类系统的基础的推理规则一般都是根据已知
的安全漏洞进行安排和策划的,而对系统的最危险的威胁则主要
是来自未知的安全漏洞。实现一个基于规则的专家系统是一个知
识工程问题,而且其功能应当能够随着经验的积累而利用其自学
习能力进行规则的扩充和修正。当然这样的能力需要在专家的指
导和参与下才能实现,否则可能同样会导致较多的错报现象。一
方面,推进机制使得系统面对一些新的行为现象时可能具备一定
的应对能力(即有可能会发现一些新的安全漏洞);另一方面,
攻击行为也可能不会触发任何一个规则,从而不被检测到。专家
系统对历史数据的依赖性总的来说比基于统计的技术的审计系统
较少,因此系统的适应性比较强,可以较灵活地适应广谱的安全
策略和检测需求。但是迄今为止推理系统和谓词演算的可计算问
题距离成熟解决都还有一定的距离。
(4)基于模型推理的攻击检测技术
攻击者在攻击一个系统时往往采用一定的行为程序,如猜测
口令的程序,这种行为程序构成了某种具有一定行为特征的模型
,根据这种模型所代表的攻击意图的行为特征,可以实时地检测
出恶意的攻击企图。虽然攻击者并不一定都是恶意的。用基于模
型的推理方法人们能够为某些行为建立特定的模型,从而能够监
视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系
统就能检测出非法的用户行为。一般为了准确判断,要为不同的
攻击者和不同的系统建立特定的攻击脚本。
当有证据表明某种特定的攻击模型发生时,系统应当收集其
他证据来证实或者否定攻击的真实,既要不能漏报攻击,对信息
系统造成实际的损害,又要尽可能的避免错报。
当然,上述的几种方法都不能彻底地解决攻击检测问题,所
以最好是综合地利用各种手段强化计算机信息系统的安全程序以
增加攻击成功的难度,同时根据系统本身特点辅助以较适合的攻
击检测手段。
4、其它相关问题
为了防止过多的不相干信息的干扰,用于安全目的的攻击检
测系统在审计系统之外还要配备适合系统安全策略的信息采集器
或过滤器。同时,除了依靠来自审计子系统的信息,还应当充分
利用来自其它信息源的信息。在某些系统内可以在不同的层次进
行审计跟踪。如有些系统的安全机制中采用三级审计跟踪。包括
审计操作系统核心调用行为的、审计用户和操作系统界面级行为
的、和审计应用程序内部行为的。
另一个重要问题是决定运行攻击检测系统的运行场所。为了
提高攻击检测系统的运行效率,可以安排在与被监视系统独立的
计算机上执行审计跟踪分析和攻击性检测,这样作既有效率方面
的优点,也有安全方面的优点。
因为监视系统的响应时间对被监测的系统的运行完全没有负
面影响,也不会因为其它安全有关的因素而受到影响。
总之,为了有效地利用审计系统提供的信息,通过攻击检测
措施防范攻击威胁,计算机安全系统应当根据系统的具体条件选
择适用的主要攻击检测方法并且有机地融合其它可选用的攻击检
测方法。同时应当清醒地认识到,任何一种攻击检测措施都不能
视之为一劳永逸的,必须配备有效的管理和组织措施。
(二)攻击检测系统的测试
为了恰当地对市场上的攻击检测系统产品进行公正有效的评
估和测试,攻击检测系统的测试工作是很重要的。
对于用户而言,第三方的测试报告在采购上很有指导意义。
我国已经有些单位对此十分重视,作了很多开创性的工作,也已
经取得了不小的成绩。美国IDG InfoWorld测试中心小组开发了一
种可以视之为BenchMark类型的测试基准——IWSS16。该小组收集
了若干种典型且可以公开得到的攻击方法,对其进行组合,形成
IWSS16。IWSS16组合了四种主要类型的攻击手段:(1)收集信息攻
击网络攻击者经常在正式攻击之前,进行试探性的攻击,目标是
获取系统有用的信息,所以,第一大类的攻击检测注意力集中在
PING扫描、端口扫描、帐户扫描、DNS转换等操作方面。网络攻击
者经常使用的攻击工具包括: Strobe、NS、Satan(Security A
dministrator's Tool for Auditing Network)。利用这些工具
可获取网络上的内容、网络漏洞何在等信息。
(2)获取访问权限攻击
在IWSS16中集成了一系列的破坏手段来获取对网络的特许访
问,其中包括许多故障制造攻击,例如发送函件故障、远程Inte
rnet Mail Access Protocol缓冲区溢出、 FTP故障、phf故障等
。通过这些攻击造成的故障,暴露系统的漏洞,获取访问权限。
(3)拒绝服务攻击
拒绝服务攻击是最不容易捕获的攻击,因为不留任何痕迹,
安全管理人员不易确定攻击来源。由于其攻击目标是使得网络上
节点系统瘫痪,因此,是很危险的攻击。当然,就防守一方的难
度而言,拒绝服务攻击是比较容易防御的攻击类型。这类攻击的
特点是以潮水般的申请使系统在应接不暇的状态中崩溃;除此而
外,拒绝服务攻击还可以利用操作系统的弱点,有目标地进行针
对性的攻击。
(4)逃避检测攻击
国际黑客已经进入有组织有计划地进行网络攻击阶段,美国
政府有意容忍黑客组织的活动,目的是使黑客攻击置于一定的控
制下,并且通过这一渠道获得防范攻击的实战经验。国际黑客组
织已经发展出不少逃避检测的技巧。但是,魔高一尺道高一丈,
矛与盾的相生相克、交替发展是普遍的规律,攻击检测系统的发
展研究方向之一也是要对逃避企图加以克服。
(三)几种典型的攻击检测系统
(1)NAI公司是领先的专业网络安全产品提供商,其攻击检测
系统产品主要是三个独立产品:Cybercop Scanner、Cybercop S
erver和Cybercop Network。
Cybercop Scanner是NAI的网络安全产品系列之一,其目标是
在复杂的网络环境中检测出薄弱环节,Cybercop Scanner对Intr
anet、Web服务器、防火墙等网络安全环节进行全面的检查,从而
发现这些安全环节的攻击脆弱所在,其中包括已经众所周知的漏
洞,也有许多尚不为人知的漏洞。Cybercop Scanner所发现的这
些网络产品、网络系统上的安全漏洞都向软件厂商和有关的组织
(如FIRST)报告,以便能够尽快在尽可能大的范围内解决安全漏洞
所带来的危险。Cybercop Scanner特别擅长于解决路由器和防火
墙的过滤程序的安全问题,这方面成功的产品在市场上还不多见
。这是由在 Cybercop Scanner产品内的工具 CAPE(Custom Audi
ting Packet Engine)完成的。CAPE可以执行非常复杂的协议层的
欺骗和攻击模拟,可以简便地构成适应各种不同的具体网络的专
用工具,且不要求太高的编程能力。对于希望内部人员解决安全
检测工具的组织和单位,Cybercop Scanner无疑是比较理想的选
择。对于那些安全问题的咨询公司,由于Cybercop Scanner可以
从外部提供对网络运行状况的检测,因此也是适用的工具。
Cybercop Server是NAI的网络安全产品系列之一,其目标是
在复杂的网络环境中提供防范、检测和对攻击作出反应,并能采
取自动抗击措施的工具。Cybercop Server基于客户机/服务器对
整个网络进行检测,建立了新的工业标准——多维安全保护。当
今网络环境的最大特点就是不可预知性,Web服务器的第一道防线
是防火墙,Web服务器提供HTTP、FTP以及其它Web协议,这些协议
有别于其它的规范通道,而很多黑客正是通过这些Web协议绕过防
火墙等安全机制的防范。Cybercop Server能够在黑客成功进入系
统之前检测出攻击者并及时报告系统安全管理人员。
Cybercop Server提供实时的检测服务。NAI在Cybercop Ser
ver中采用了专利技术“Watchdog box”,能够实时检测攻击,并
能解决诸如Web服务器的异常中断、非法用户试图替换超级用户、
Web服务器的内容被非法修改、非法的网络入侵者以及非法的登录
等。Cybercop Server还能够提供自动对抗措施。在检测出攻击企
图后,能够自动启动编程对策,例如:终止登录过程、终止处理
进程、发出寻呼或发出Email给Web管理员、重启动Web服务器以及
生成一个 SNMP陷阱等。Cybercop Server还留有供用户进一步开
发的编程接口,借此可以形成与其它安全产品的合作,进一步加
强系统的安全强度。
Cybercop Network是NAI的网络安全产品系列之一,其主要功
能是在复杂的网络环境中通过循环监测网络流量 (Traffic)的手
段保护网络上的共享资源。Cybercop Network提供不停顿的对全
网络的监测,以及对攻击企图的实时报警。Cybercop Network是
基于审计数据的攻击检测系统,对于不论内部或者外部的攻击、
授权滥用都可以给出准确和及时的报警;也可以识别遭受攻击的
系统成分,对系统活动进行日志登记记录;捕获攻击线索等。
Cybercop Network系统由智能化的传感器(Sensor)构成, S
ensor分布在网络各处敏感和易遭攻击的场所,如广域连接、拨号
连接、蔟集服务器、特定的节段等。该产品提供定义监控、过滤
及封锁网络通信量的规则的功能,能够有效地监测网络,检测出
攻击企图,及时发送警报/电子函件报警、进行事件记录,还具备
向安全管理人员发寻呼的功能并采取应对/对抗措施。Sensor是可
以根据组织/企业需要进行配置以适合系统安全策略的信息采集器
。
Cybercop能够生成多种形式的报告,包括HTML、ASCⅡ正文、
RTF格式以及Comma Delimited格式。
(2)ISS公司(Internet Security System)的 RealSecure
2.0 for Windows NT是一种领导市场的攻击检测方案。RealSecu
re 2.0提供了分布式安全体系结构,多个检测引擎可以监控不同
的网络并向中央管理控制台报告。控制台与引擎之间的通信可以
采用128-bit RSA进行认证和加密。
(3)Abirnet公司的Session-wall-3是一种功能比较广泛的安
全产品,其中包括攻击检测系统功能。
Session-wall-3提供定义监控、过滤、及封锁网络通信量的
规则的功能,因此其解决方案比较简洁、灵活。
Session-wall-3检测到攻击后即向本地控制台发送警报、电
子函件、进行事件记录,还具备向安全管理人员发寻呼的功能。
报表功能也比较强。
(4)Anzen公司的NFR(Netware Flight Recorder)提供了一
个网络监控框架,利用这相框架可以有效地执行攻击检测任务。
OEM公司可以基于NFR定制具备比较专门用途的攻击检测系统,有
些软件公司已经NFR开发出各自的产品。
(5)IBM公司的IERS系统(Internet Emergency Response Se
rvice)由两个部件组成;NetRanger检测器和 Boulder监控中心
。NetRanger检测器负责监听网络上的可识别的通信数字签名,一
旦发现异常情况,就启动Boulder监控中心的报警器
⑸ 简述入侵检测常用的四种方法
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测
特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
2、异常检测
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
(5)专家系统web扩展阅读
入侵分类:
1、基于主机
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。
这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。
2、基于网络
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。
但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。
3、分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击。
⑹ 大型公共建筑节能监测系统的市级数据中心
市级数据中心包括:数据接收与发送服务器,数据计算与处理服务器,信息展示网站服务器,节能服务专家系统服务器,数据库系统,硬件防火墙,数据备份系统管理员接口等等。系统结构如下图所示:
数据中心系统,采取按照处理流程划分多服务器并行处理的设计架构,将数据采集转发,数据整理计算和信息发布开发成独立的计算单元,使用不同的服务器(物理上的或者虚拟上的)实现分布式并行计算,并最终依靠共用的数据库系统实现通讯耦合,将极好地满足负载均衡、维护简单、运行稳定等多方面的需求。
其中:
1、数据采集及转发服务器
数据采集及转发服务器,负责实现与各建筑数据中转站之间的通讯,以及将整理好的分项能耗数据发送到省级或者国家级数据中心。该服务器以通讯处理为主,应接入具有较大带宽的网络中。另外该服务器应配备较高级别的硬件防火墙,配置选型时应着重考虑内存容量及网络通讯能力。建议操作系统使用Linux或者Windows Server 2003以上版本。数据采集和转发软件应尽可能流程简单、模块通用、接口标准。
2、数据处理及计算服务器
数据处理及计算服务器,负责将各个数据中转站发送的建筑基础信息和实时能耗数据加工成具有参考和比较价值的标准单位能耗数据如分项单位面积能耗等和统计能耗数据如分项能耗最大值等,同时还要将该数据中心监测范围内各大楼能耗数据加工处理成代表全市建筑特征的统计能耗数据,供上传至更高级别的数据中心使用。该服务器以计算为主,配置选型时应着重考虑内存容量及处理器能力。在接入大楼数量较少时,也可以考虑与数据采集及转发服务器公用同一台物理硬件。数据计算软件应考虑做好各种异常情况的错误处理,避免因数据量过大、部分数据错误或者数据同步异常等原因而造成死机,中断运行等现象。
3、信息发布服务器
信息发布服务器,负责信息发布网站的运行,是各级领导和民众了解和考核该系统的主要窗口。该服务器建议配置独立的硬件主机,并接入较大带宽的网络中,建议操作系统使用Linux,web服务器软件使用Apache。信息发布网站应能展示,对比,排名各个大楼的能耗数据,按照不同级别的用户权限,提供不同级别不同精度的数据。(下图为数据中心软件截图)
4、数据库服务器系统
数据库服务器系统为整个数据中心提供数据存储、查询、排序等支持,由主业务数据库和备份数据库两部分组成。数据库软件可以使用微软公司的SQL Server也可以使用甲骨文公司的Oracle RDBMS,服务器应考虑接入由多个大容量硬盘组成的磁盘阵列系统。该服务器因为服务的业务多,处理的任务重,往往成为整个数据中心系统的瓶颈,建议在硬件配置选型时适当增加冗余。
5、节能服务专家系统服务器
节能服务专家系统服务器,为后期的数据挖掘,节能服务提供支持,主要实现节能诊断计算和节能量核算计算。主机。
系统管理员接口为管理操作人员管理、维护、修复数据中心系统的唯一接口,可实现分级操作与管理,异常状态报警,操作自动记录等功能。管理操作软件采用C/S架构设计,管理员需要安装专用的操作终端才能连入整个系统。
下图为管理员接口软件界面截图
⑺ 试分析国内外焊接数据库和专家系统的研究现状和应用前景
现有的焊接数据库系统涉及到焊接领域的各个方面,可分为焊接基础数据库和焊接CAPP两部分。焊接基础数据库包括材料(母材)、设备和工装、焊接性试验和焊接材料及成熟焊接工艺等。建立基于WEB的焊接基础共享数据库系统可以使焊接领域的基础数据、成熟工艺、标准和规范在行业共享,为焊接数字化工程奠定基础。而焊接CAPP系统,内容涉及焊前工艺文件准备、焊接材料和工时定额、焊接生产过程记录检测和管理、焊后检验记录及焊工培训和考试记录等。其中以焊前工艺文件准备的数据库最为常用,主要包括焊接工艺指导书、焊接工艺评定、焊接工艺规程、焊接工艺流程等,可以企业范围内共享,实现焊接生产全过程数字化管理。焊接专家系统可以集中各种焊接工艺设计知识及常用材料的焊接接头组织和力学性能预测模型,可以完成焊接工艺自动设计及焊接接头力学性能和组织预测,使焊接工艺设计过程模型化、智能化和自动化。
项目前景)
焊接工程数据库及专家系统软件以往主要应用在锅炉、压力容器、造船、重型机械。近几年来,随着航天、航空数字化工程的陆续启动,焊接基础数据库及知识库的建设,受到更广泛关注,特别是受到国家科技部和国防科工委的高度重视,陆续启动了一些计划。南航焊接工程数据库及专家系统研究在国内处于领先地位,在行业中享有盛名。如果进一步努力,将有望在纵向和横向两方面都取得成效。
以钢铁材料为例,60%的钢铁都需要经过焊接以后才能投入使用,没有焊接,就没有现代制造业;所有涉及利用钢铁材料制造产品的企业都需要焊接技术:武器装备、飞机、航天器、造船、锅炉制造、压力容器、汽车、桥梁、石油管道、电机、汽轮机、铁路车辆……,需要焊接技术的企业就需要进行焊接工艺设计,焊接数据库和专家系统就有用武之地。此外,有色金属如钛合金、铝合金等也应用广泛,焊接技术是现代制造业不可缺少的技术。