網路流量異常行為

『壹』 微信上顯示，「對方存在異常行為，請對其身份進行驗證」是什麼情況

這是對方微信被封了，或者是長時間沒有用微信才會出現的情況。微信被封是沒有提示的，只有功能的限制。如果違規嚴重的話，會限制登錄。

何種行為或情況會導致微信個人帳號被封：

1. 發布、傳送、傳播、儲存違反國家法律法規禁止的內容：如分裂國家、販賣毒品槍支、涉黑涉暴、色情、非法博彩、詐騙等違反法律法規的內容；

2. 發布、傳送、傳播、儲存侵害他人名譽權、肖像權、知識產權、商業秘密等合法權利的內容；

3. 涉及他人隱私、個人信息或資料的；

4. 發表、傳送、傳播騷擾、廣告信息及垃圾信息或含有任何性或性暗示的；

5. 提交、發布虛假信息，或冒充、利用他人名義的；

6. 誘導其他用戶點擊鏈接頁面或分享信息的；

7. 虛構事實、隱瞞真相以誤導、欺騙他人的；

8. 侵害他人名譽權、肖像權、知識產權、商業秘密等合法權利的；

9. 未經騰訊書面許可利用微信帳號和任何功能，以及第三方運營平台進行推廣或互相推廣的；

10. 利用微信帳號或本軟體及服務從事任何違法犯罪活動的；

11. 其他違反法律法規、政策及公序良俗、社會公德或干擾微信正常運營和侵犯其他用戶或第三方合法權益內容的信息。

12. 刪除本軟體及其副本上關於著作權的信息；

13. 對本軟體進行反向工程、反向匯編、反向編譯，或者以其他方式嘗試發現本軟體的源代碼；

14. 對騰訊擁有知識產權的內容進行使用、出租、出借、復制、修改、鏈接、轉載、匯編、發表、出版、建立鏡像站點等；

15. 對本軟體或者本軟體運行過程中釋放到任何終端內存中的數據、軟體運行過程中客戶端與伺服器端的交互數據，以及本軟體運行所必需的系統數據，進行復制、修改、增加、刪除、掛接運行或創作任何衍生作品，形式包括但不限於使用插件、外掛或非騰訊經授權的第三方工具/服務接入本軟體和相關系統；

16. 通過修改或偽造軟體運行中的指令、數據，增加、刪減、變動軟體的功能或運行效果，或者將用於上述用途的軟體、方法進行運營或向公眾傳播，無論這些行為是否為商業目的；

17. 通過非騰訊開發、授權的第三方軟體、插件、外掛、系統，登錄或使用騰訊軟體及服務，或製作、發布、傳播上述工具；

18. 自行或者授權他人、第三方軟體對本軟體及其組件、模塊、數據進行干擾。

拓展資料：

微信：是騰訊公司於2011年1月21日推出的一個為智能終端提供即時通訊服務的免費應用程序，微信支持跨通信運營商、跨操作系統平台通過網路快速發送免費（需消耗少量網路流量）語音簡訊、視頻、圖片和文字，同時，也可以使用通過共享流媒體內容的資料和基於位置的社交插件「搖一搖」、「漂流瓶」、「朋友圈」、」公眾平台「、」語音記事本「等服務插件。

微信提供公眾平台、朋友圈、消息推送等功能，用戶可以通過「搖一搖」、「搜索號碼」、「附近的人」、掃二維碼方式添加好友和關注公眾平台，同時微信將內容分享給好友以及將用戶看到的精彩內容分享到微信朋友圈。

微信個人帳號封號常見問題——騰訊客服官網

『貳』 請教iptables監控本機流量，IP，異常.配置或查看方法

Linux下使用iftop工具結合iptables服務來解決帶寬資源被惡意請求滿的問題，主要通過2個步驟來實現；1.使用iftop工具查出來是哪些個IP地址在請求主機的帶寬資源，找出耗帶寬的元兇2.找出耗帶寬的IP地址或者段，分析是out方向還是in方向，使用iptables規則來進行控制具體的詳細操作方法如下；一但出現帶寬被惡意請求，在帶寬被請滿的情況下基本上很難通過網路登入到伺服器上進行操作跟維護，這時我們需要通過阿里雲提供的「連接管理終端」服務來登入系統一般建議在主機正常的時候直接在伺服器內部安裝好iftop工具，這樣出現惡意請求的時候直接可以使用該工具來進行排查，下面介紹下iftop的2中安裝方法1.使用yum安裝iftop工具使用yum安裝的話比較簡單，只要直接執行yuminstalliftop–y命令即可，如果沒問題的話系統就會自動執行安裝，但是有使用yum可能安裝不了，這時就需要使用編譯安裝了2.編譯安裝iftop工具(1)下載iftop工具的源碼包；http://oss.aliyuncs.com/aliyunecs/iftop-0.17.tar.gz(2)CentOS下安裝所需的依賴包-devellibpcap-devel(3解壓縮下載的iftop文件tarzxvfiftop-0.17.tar.gz(4進入到解壓的的iftop目錄中cdiftop-0.17配置並制定安裝目錄為/usr/local/iftop目錄下(5./configure–prefix=/usr/local/iftop(6)編譯並安裝make&&makeinstall安裝完成以後直接使用/usr/local/iftop/sbin/iftop啟動iftop程序查看流量使用情況，如果想使用iftop的方式直接開啟程序，需要將iftop的程序添加到環境變數中即可結合使用iptables服務來限制惡意請求的流量；iftop–ieth1查看eth1這塊外網網卡的流量使用情況通過上面這張信息很清楚的看到，121.199這台伺服器一直往192.230.123.101這個地址發送流量，而且出去產生的流量相當大，幾乎把整個出網帶寬都給耗盡了查到了惡意請求的原因跟目標主機以後，我們就可以使用iptables服務來對這種惡意行為進行限制了，因為從查看到的數據看主要的流量是從out方向出去的，那就直接在OUT方向設置策略Iptables-AOUTPUT-d192.230.123.101–jREJECT這里可能還會發現一個情況就是禁用了這個1個IP以後可能這個段的其它IP地址都有可能馬上就接上繼續請求，那就可以針對一個段來進行限制iptables-AOUTPUT-d192.230.0.0/16-jREJECT策略加上以後可以再使用iftop–ieth1來查看流量的請求情況；可以查看到流量已經恢復了正常，之前的惡意請求的地址都已經被防火牆給屏蔽了，效果比較好另外iftop還有很多的參數可以實現比較多的功能，有時間的話可以研究研究，對排查網路流量攻擊以及掌控流量使用很有幫助的

『叄』 伺服器異常怎麼辦

造成伺服器異常的原因

有好多種
1、伺服器所在的機房設備出現故障
2、用戶操作不當

3、病毒侵害

4、伺服器故障

5、網路故障

二、伺服器常見的異常問題及解決辦法

1、機房設備故障引發的伺服器不能正常運行

在機房配備專業人員做好日常管理和維護，及時檢查和購買新的設備或者伺服器。

2、用戶操作不當引發的異常

公司要僱用專業人員管理和維護好伺服器，降低出現故障的幾率，以便第一時間能夠及時處理問題，降低風險，減少損失。

3、網站打不開、被跳轉、網站顯示錯誤等

這時候可以下載專業的正版查毒軟體，對電腦進行定期的全面病毒查殺，以絕後患。

4、用戶無法打開網頁

出現這種問題，可以耐心等候一段時間再進行再次訪問，也可以多刷新幾遍網頁試試，並趕緊對伺服器進行修復。

5、被DNS劫持出現的網路故障

這種情況是電腦上的其他應用都可以正常運行，但是網站卻打不開，很有可能就是網站被DNS劫持了，需要重新設置或修改DNS地址。

6、系統藍屏、頻繁死機、重啟、反映速度遲鈍

伺服器的結構與普通電腦的構成是十分相似的，出現這種情況是感染了病毒引起的，也有可能是系統漏洞、軟體沖突、硬體故障等原因造成的。遇到這種問題就要及時殺毒，修復系統漏洞和硬體故障，清理緩存垃圾。

7、遠程桌面連接超出最大連接數

如果登錄後忘記注銷伺服器默認允許的2個連接，而是直接關閉遠程桌面，這種時候可能就要重啟伺服器，並且是在高峰期的話，就很容易造成損失。這種異常問題，就要利用「mstsc/console」指令進行強行登陸，具體操作就是打開「運行」框，輸入「mstsc/v:xxx.xxx.xxx.xxx(伺服器IP)/console」，即可強行登陸到遠程桌面。

8、出現無法刪除的文件

如果這些無法刪除的文件還在運行中，可以重啟電腦，然後刪除。另一種辦法是，運行CMD，輸入「arrtib-a-s-h-r」和想要刪除的文件夾名，最後輸入「del」，這樣想要刪除的文件夾即可刪除，但是運行該命令後無法恢復，要謹慎使用。

9、系統埠隱患

對於伺服器來說，首先要保證的就是它的穩定性和安全性。因此，我們只要保留的是伺服器最基本的功能就可以了，音效卡一般都是默認禁止的。我們不會用到很多功能，也不需要很多的埠支持。這時候，我們就關掉一些不必要的、風險大的埠，例如3389、80等埠，用修改注冊表的方式將其設置成不特殊的秘密埠，這樣可以消除伺服器埠的安全隱患。

『肆』 如何處理網站流量突然異常下降

一個網站的關鍵詞排名突然大幅度下降從搜索引擎來得流量減少(國內網站主要是網路搜索引擎)碰到這種情況的站長該如何去分析，從哪些方面去分析呢?分析出來原因之後我們應該怎麼去解決這個問題，具體多久能恢復?西風SEO按個人分析解決網站降權關鍵詞排名倒退的方法與大家分享。或許在網上大家也看過很多類似的軟文或者技術文章。但是能全面分析的並不多，這也算是本人的一個總結吧，總共總結出來以下十大點。
搜索引擎優化的主要工作是通過了解各類搜索引擎如何抓取互聯網頁面、如何進行索引以及如何確定其對某一特定關鍵詞的搜索結果排名等技術，現在網上關於這方面的教程有很多，但很多都是過時的，因為互聯網是在不斷的變化的，互聯網上的牛人，要想成為seo大神，走進這條seo大神群，SEO教程的開頭是五四和一，索引擎優化的最中間是一二加壹，把它們串聯起來，索引擎優化的最後面再加上伍一伍就進來，成為seo大神需要你加入。來對網頁內容進行相關的優化，使其符合用戶瀏覽習慣，在不損害用戶體驗的情況下提高搜索引擎排名，從而提高網站訪問量，最終提升網站的銷售能力或宣傳能力的技術。

一、網站標題改動導致降權

這種情況一般不會馬上降權，而是一般在改標題之後一個星期到幾個星期之間出現網站關鍵詞浮動或者不看見。這主要是因為網路的數據更新。我們知道，一個網站的標題就是一個網站的靈魂。該標題的行為只要有3種：1、候建站時由於標題的設計錯誤，需要在優化的過程中改變標題。2、由於用戶需求的的改變或者網站的發展，需要改變標題。3、輕信他人之詞、無主見改變標題，把網站的標題當游戲，經常改動。改變網站標題之後由於和內容的匹配性會出現差別，也和搜索引擎保留網站的數據有差異。這樣輕微的是導致關鍵詞浮動，嚴重的導致快照消失。所以遇見這樣的情況，首先是想到有沒有改動網站標題。這種情況非常明顯的判斷就是網站內容也有排名會繼續有排名，而且更新內容會有收錄。但是首頁快照的恢復速度偏慢。是因為此時搜索引擎的數據沒有及時跟上或者是在重新考驗的原因。恢復的辦法沒有什麼特殊有效的辦法。按網站的常規操作就行。

二、網站改版導致關鍵詞浮動或者網站被K

一般網站由於成長的需要，需要不斷的擴大或者改進用戶體驗需要改版，而在網站改版之後肯定會和原來的內容、版面以及用戶體驗完全不一樣了。即使是再智能的搜索引擎都是靠數據說話的。你的用戶體驗再好，但是和原有的基礎數據完全不同。這樣就會導致搜索引擎完會認定你的是一個新網站。會重新進入網站的考察期。這樣對於本身用戶黏度高的網站或者網路推廣較好的網站影響較少。

再有一點網站改版也勢必會產生佔比非常高的死鏈接。尤其是大網站的改版，產生的死鏈接是不可計數。如果一條條的去提交搜索引擎，那基本上是不可能的。雖然有robots屏蔽或者301永久重定向(現在網路推出了網站改版工具但是作用也並不是很大，數據延遲比較厲害本人親測)小型企業站可以採用提交死鏈的辦法提交了。這類網站改版導致降權或者被K最好的辦法還是加大網路推廣的力度。避開搜索引擎增大網站的曝光率。進行針對性的用戶營銷以及網站的常規優化相結合的辦法使網站能從其中快速恢復。但是網站中404頁面不可缺少。

三、網站內容質量突然降低或內容不匹配

有的在網站排名初期，原創是寫得好，排名也不錯。但是慢慢的發現網站轉化率低下，失去當時的熱情了。網站內容的增加使用採集工具或者手工採集導致網站突然內容質量降低，這樣出現的關鍵詞排名浮動是很正常的。網站長期不按用戶的需求去更新導致網站內容過時或者時效性內容沒有跟上時間。這種情況的解決辦法最容易的就是還原初期的常規優化。而且關鍵詞排名恢復速度也會很快。

四、網站空間不穩定導致關鍵詞排名浮動

由於貪小便宜購買便宜空間，空間經常出問題或者出來了問題空間商的服務質量差導致。這種情況如果網站前期內容質量好，搜索引擎賦予的信任度高如果是某一個時期空間出問題那也僅僅就是關鍵詞浮動一下，如果搜索引擎賦予的權重低，那麼嚴重會導致全站被K。而且恢復起來比較吃力。

五、網站被攔截或者網站疏於管理導致網站降權

即使是一個正規網站也需要經常檢查網站的安全，如果被人掛馬遭遇到金山、QQ管家、等網路安全聯盟或者360的攔截。雖然關鍵詞排名暫時不會掉太多。但是會導致無人點擊，這樣最終的結果就是關鍵詞排名直降到底，恢復難度加大。輕則個把月重則半年。出現攔截應該馬上解決問題然後申訴。因為申訴的手裡主動權掌握在別人手裡，是比較麻煩的。網站疏於管理被人掛黑鏈接或者網站有鏈接指向被降權網站導致網站被牽連降權也是一個很重要原因。

六、網站內容出現敏感詞導致網站被降權

網站出現敏感詞或者敏感內容一般指沒有設計好的工具採集人為修改或者論壇對於敏感詞或者敏感內容的控制不嚴格所導致的。敏感詞或者敏感內容有時效性的敏感詞以及長期的敏感詞之分，敏感詞或者敏感內容的范圍太廣我們不好定義但是企業站關於時局評論等是不能出現的，灰色或者法律不允的詞或者內容都是不應該出現。這種敏感詞或者敏感內容一旦出現在網站有可能會導致網站的排名迅速跳水。解決之後很長一段時間都不能恢復。而且沒有有效的辦法去恢復，只能等快照更新之後慢慢自然恢復。

七、網站被惡意鏡像 內容大量被人家抄襲

網站由於路徑問題以及伺服器安全問題等網站被人惡意鏡像了或者網站內容被人大量採集而採集你內容的網站權重比你網站的要高，這樣會導致你網頁的關鍵詞排名上不去，這個是非常好理解的，同樣的內容別人受眾多、站內體驗好，所以排名靠前也是非常正常的，這樣會導致小站很被動，只能依靠不斷的更新老內容或者高質量內容來維持網站的排名。因為全靠外鏈來帶動權重很不現實。

八、作弊被發現或者優化過度

網站作弊被發現我們一般想到的就是全站採集，刷流量、刷點擊PV/UV、刷垃圾外鏈、站群的惡意鏈接、鏈接農場、購買黑鏈、購買友情鏈接等等，這個被發現了處罰是很正常的，但是網站作弊和優化過度僅僅就一層紙那麼厚的距離，即使是正規優化只要你使用不當也會認定為作弊。就像外鏈或者程序使用不當。如果全部做成一樣網站模板、
多個頁面同一標題(很多套用ASP程序就有這個BUG)，頁面相似度過高，無內容頁面，少內容頁面等等充斥網站，只要達到一定的量就是作弊。或者同一頁面多同一URL鏈接指向都是屬於這種。

九、網路網站排名規則變換

網路每一次的大更新都會加入新的關鍵詞排名規則，如果變動較大的話即使你是用正規的優化手段只要哪一點和他更新的規則有沖突躺著也不一定就會中槍。所以要善於觀察，對於一些特殊的優化技巧不要過於頻繁的使用。尤其是出發點和用戶體驗相違背的技巧。

總結：關於網站優化之中網站降權關鍵詞排名大幅度浮動以及網站被K的十個重點原因大致如此，如何判斷一個網站的降權我們可以採取排除法一個個去排除，單一的某一個方面導致網站被K的案例很少。大部分的還只是導致網站降權。一般的來說網站的被K都是由於其中幾點都有觸犯導致多點觸發性處罰導致網站被K。一個個去排除一個個解決這樣才能快速的恢復網站的降權。

『伍』 linux 發送流量異常

1. 使用iftop工具查出來是哪些個IP地址在請求主機的帶寬資源，找出耗帶寬的元兇
2. 找出耗帶寬的IP地址或者段，分析是out方向還是in方向，使用iptables規則來進行控制

具體的詳細操作方法如下；
一但出現帶寬被惡意請求，在帶寬被請滿的情況下基本上很難通過網路登入到伺服器上進行操作跟維護，這時我們需要通過阿里雲提供的「連接管理終端」服務來登入系統
一般建議在主機正常的時候直接在伺服器內部安裝好iftop工具，這樣出現惡意請求的時候直接可以使用該工具來進行排查，下面介紹下iftop的2中安裝方法
1.使用yum 安裝iftop工具
使用yum安裝的話比較簡單，只要直接執行 yum install iftop –y命令即可，如果沒問題的話系統就會自動執行安裝，但是有使用yum可能安裝不了，這時就需要使用編譯安裝了
2.編譯安裝iftop工具
(1)下載iftop工具的源碼包；
http://oss.aliyuncs.com/aliyunecs/iftop-0.17.tar.gz
(2)CentOS下安裝所需的依賴包
yum install flex byacc libpcap ncursesncurses-devel libpcap-devel
(3 解壓縮下載的iftop文件
tarzxvf iftop-0.17.tar.gz
(4 進入到解壓的的iftop目錄中
cdiftop-0.17
配置並制定安裝目錄為/usr/local/iftop目錄下
(5./configure –prefix=/usr/local/iftop
(6)編譯並安裝
make && make install
安裝完成以後直接使用/usr/local/iftop/sbin/iftop 啟動iftop程序查看流量使用情況，如果想使用iftop的方式直接開啟程序，需要將iftop的程序添加到環境變數中即可
結合使用iptables服務來限制惡意請求的流量；
iftop –i eth1 查看eth1這塊外網網卡的流量使用情況

通過上面這張信息很清楚的看到，121.199這台伺服器一直往192.230.123.101 這個地址發送流量，而且出去產生的流量相當大，幾乎把整個出網帶寬都給耗盡了
查到了惡意請求的原因跟目標主機以後，我們就可以使用iptables服務來對這種惡意行為進行限制了，因為從查看到的數據看主要的流量是從out方向出去的，那就直接在OUT方向設置策略
Iptables -A OUTPUT -d 192.230.123.101 –j REJECT
這里可能還會發現一個情況就是禁用了這個1個IP以後可能這個段的其它IP地址都有可能馬上就接上繼續請求，那就可以針對一個段來進行限制
iptables-A OUTPUT -d 192.230.0.0/16 -j REJECT
策略加上以後可以再使用iftop –i eth1 來查看流量的請求情況；

可以查看到流量已經恢復了正常，之前的惡意請求的地址都已經被防火牆給屏蔽了，效果比較好
另外iftop還有很多的參數可以實現比較多的功能，有時間的話可以研究研究，對排查網路流量攻擊以及掌控流量使用很有幫助的

『陸』 異常流量是什麼

什麼是異常流量？我們怎麼判斷是否異常，這又涉及另外一個概念，叫基準線分析，什麼是基準線，基準線是指我們網路正常情況下的行為特徵，包括利用率、應用響應時間、協議分布，各用戶貸款消耗等，不同工程師會有不同基準線，因為他關心的內容不同，只有知道我們網路正常情況下的行為特徵，我們才能判斷什麼是異常流量。

『柒』 「宏觀網路流量」的定義是什麼有哪些異常檢測方法

一種互聯網宏觀流量異常檢測方法(2007-11-7 10:37) 摘要：網路流量異常指網路中流量不規則地顯著變化。網路短暫擁塞、分布式拒絕服務攻擊、大范圍掃描等本地事件或者網路路由異常等全局事件都能夠引起網路的異常。網路異常的檢測和分析對於網路安全應急響應部門非常重要，但是宏觀流量異常檢測需要從大量高維的富含雜訊的數據中提取和解釋異常模式，因此變得很困難。文章提出一種分析網路異常的通用方法，該方法運用主成分分析手段將高維空間劃分為對應正常和異常網路行為的子空間，並將流量向量影射在正常子空間中，使用基於距離的度量來檢測宏觀網路流量異常事件。公共互聯網正在社會生活的各個領域發揮著越來越重要的作用，與此同時，由互聯網的開放性和應用系統的復雜性所帶來的安全風險也隨之增多。2006年，國家計算機網路應急技術處理協調中心(CNCERT/CC)共接收26 476件非掃描類網路安全事件報告，與2005年相比增加2倍，超過2003—2005年3年的總和。2006年，CNCERT/CC利用部署的863-917網路安全監測平台，抽樣監測發現中國大陸地區約4.5萬個IP地址的主機被植入木馬，與2005年同期相比增加1倍；約有1千多萬個IP地址的主機被植入僵屍程序，被境外約1.6萬個主機進行控制。黑客利用木馬、僵屍網路等技術操縱數萬甚至上百萬台被入侵的計算機，釋放惡意代碼、發送垃圾郵件，並實施分布式拒絕服務攻擊，這對包括骨幹網在內的整個互聯網網路帶來嚴重的威脅。由數萬台機器同時發起的分布式拒絕服務攻擊能夠在短時間內耗盡城域網甚至骨幹網的帶寬，從而造成局部的互聯網崩潰。由於政府、金融、證券、能源、海關等重要信息系統的諸多業務依賴互聯網開展，互聯網骨幹網路的崩潰不僅會帶來巨額的商業損失，還會嚴重威脅國家安全。據不完全統計，2001年7月19日爆發的紅色代碼蠕蟲病毒造成的損失估計超過20億美元；2001年9月18日爆發的Nimda蠕蟲病毒造成的經濟損失超過26億美元；2003年1月爆發的SQL Slammer蠕蟲病毒造成經濟損失超過12億美元。針對目前互聯網宏觀網路安全需求，本文研究並提出一種宏觀網路流量異常檢測方法，能夠在骨幹網路層面對流量異常進行分析，在大規模安全事件爆發時進行快速有效的監測，從而為網路防禦贏得時間。1 網路流量異常檢測研究現狀在骨幹網路層面進行宏觀網路流量異常檢測時，巨大流量的實時處理和未知攻擊的檢測給傳統入侵檢測技術帶來了很大的挑戰。在流量異常檢測方面，國內外的學術機構和企業不斷探討並提出了多種檢測方法[1]。經典的流量監測方法是基於閾值基線的檢測方法，這種方法通過對歷史數據的分析建立正常的參考基線范圍，一旦超出此范圍就判斷為異常，它的特點是簡單、計算復雜度小，適用於實時檢測，然而它作為一種實用的檢測手段時，需要結合網路流量的特點進行修正和改進。另一種常用的方法是基於統計的檢測，如一般似然比(GLR)檢測方法[2]，它考慮兩個相鄰的時間窗口以及由這兩個窗口構成的合並窗口，每個窗口都用自回歸模型擬合，並計算各窗口序列殘差的聯合似然比，然後與某個預先設定的閾值T 進行比較，當超過閾值T 時，則窗口邊界被認定為異常點。這種檢測方法對於流量的突變檢測比較有效，但是由於它的閾值不是自動選取，並且當異常持續長度超過窗口長度時，該方法將出現部分失效。統計學模型在流量異常檢測中具有廣闊的研究前景，不同的統計學建模方式能夠產生不同的檢測方法。最近有許多學者研究了基於變換域進行流量異常檢測的方法[3]，基於變換域的方法通常將時域的流量信號變換到頻域或者小波域，然後依據變換後的空間特徵進行異常監測。P. Barford等人[4]將小波分析理論運用於流量異常檢測，並給出了基於其理論的4類異常結果，但該方法的計算過於復雜，不適於在高速骨幹網上進行實時檢測。Lakhina等人[5-6]利用主成分分析方法(PCA)，將源和目標之間的數據流高維結構空間進行PCA分解，歸結到3個主成分上，以3個新的復合變數來重構網路流的特徵，並以此發展出一套檢測方法。此外還有一些其他的監測方法[7]，例如基於Markov模型的網路狀態轉換概率檢測方法，將每種類型的事件定義為系統狀態，通過過程轉換模型來描述所預測的正常的網路特徵，當到來的流量特徵與期望特徵產生偏差時進行報警。又如LERAD檢測[8]，它是基於網路安全特徵的檢測，這種方法通過學習得到流量屬性之間的正常的關聯規則，然後建立正常的規則集，在實際檢測中對流量進行規則匹配，對違反規則的流量進行告警。這種方法能夠對發生異常的地址進行定位，並對異常的程度進行量化。但學習需要大量正常模式下的純凈數據，這在實際的網路中並不容易實現。隨著宏觀網路異常流量檢測成為網路安全的技術熱點，一些廠商紛紛推出了電信級的異常流量檢測產品，如Arbor公司的Peakflow、GenieNRM公司的GenieNTG 2100、NetScout公司的nGenius等。國外一些研究機構在政府資助下，開始部署宏觀網路異常監測的項目，並取得了較好的成績，如美國研究機構CERT建立了SiLK和AirCERT項目，澳大利亞啟動了NMAC流量監測系統等項目。針對宏觀網路異常流量監測的需要，CNCERT/CC部署運行863-917網路安全監測平台，採用分布式的架構，能夠通過多點對骨幹網路實現流量監測，通過分析協議、地址、埠、包長、流量、時序等信息，達到對中國互聯網宏觀運行狀態的監測。本文基於863-917網路安全監測平台獲取流量信息，構成監測矩陣，矩陣的行向量由源地址數量、目的地址數量、傳輸控制協議(TCP)位元組數、TCP報文數、數據報協議(UDP)位元組數、UDP報文數、其他流量位元組數、其他流量報文書、WEB流量位元組數、WEB流量報文數、TOP10個源IP占總位元組比例、TOP10個源IP占總報文數比例、TOP10個目的IP占總位元組數比例、TOP10個目的IP占總報文數比例14個部分組成，系統每5分鍾產生一個行向量，觀測窗口為6小時，從而形成了一個72×14的數量矩陣。由於在這14個觀測向量之間存在著一定的相關性，這使得利用較少的變數反映原來變數的信息成為可能。本項目採用了主成份分析法對觀測數據進行數據降維和特徵提取，下面對該演算法的工作原理進行介紹。 2 主成分分析技術主成分分析是一種坐標變換的方法，將給定數據集的點映射到一個新軸上面，這些新軸稱為主成分。主成分在代數學上是p 個隨機變數X 1, X 2……X p 的一系列的線性組合，在幾何學中這些現線性組合代表選取一個新的坐標系，它是以X 1,X 2……X p 為坐標軸的原來坐標系旋轉得到。新坐標軸代表數據變異性最大的方向，並且提供對於協方差結果的一個較為簡單但更精練的刻畫。主成分只是依賴於X 1,X 2……X p 的協方差矩陣，它是通過一組變數的幾個線性組合來解釋這些變數的協方差結構，通常用於高維數據的解釋和數據的壓縮。通常p 個成分能夠完全地再現全系統的變異性，但是大部分的變異性常常能夠只用少量k 個主成分就能夠說明，在這種情況下，這k 個主成分中所包含的信息和那p 個原變數做包含的幾乎一樣多，於是可以使用k 個主成分來代替原來p 個初始的變數，並且由對p 個變數的n 次測量結果所組成的原始數據集合，能夠被壓縮成為對於k 個主成分的n 次測量結果進行分析。運用主成分分析的方法常常能夠揭示出一些先前不曾預料的關系，因而能夠對於數據給出一些不同尋常的解釋。當使用零均值的數據進行處理時，每一個主成分指向了變化最大的方向。主軸以變化量的大小為序，一個主成分捕捉到在一個軸向上最大變化的方向，另一個主成分捕捉到在正交方向上的另一個變化。設隨機向量X '=[X 1,X 1……X p ]有協方差矩陣∑,其特徵值λ1≥λ2……λp≥0。考慮線性組合：Y1 =a 1 'X =a 11X 1+a 12X 2……a 1pX pY2 =a 2 'X =a 21X 1+a 22X 2……a 2pX p……Yp =a p'X =a p 1X 1+a p 2X 2……a p pX p從而得到：Var (Yi )=a i' ∑a i ,(i =1,2……p )Cov (Yi ,Yk )=a i '∑a k ,(i ,k =1,2……p )主成分就是那些不相關的Y 的線性組合，它們能夠使得方差盡可能大。第一主成分是有最大方差的線性組合，也即它能夠使得Var (Yi )=a i' ∑a i 最大化。我們只是關注有單位長度的系數向量，因此我們定義：第1主成分＝線性組合a 1'X，在a1'a 1=1時，它能夠使得Var (a1 'X )最大；第2主成分＝線性組合a 2 'X，在a2'a 2=1和Cov(a 1 'X,a 2 'X )=0時，它能夠使得Var (a 2 'X )最大；第i 個主成分＝線性組合a i'X，在a1'a 1=1和Cov(a i'X,a k'X )=0(k<i )時，它能夠使得Var (a i'X )最大。由此可知主成分都是不相關的，它們的方差等於協方差矩陣的特徵值。總方差中屬於第k個主成分(被第k個主成分所解釋)的比例為：如果總方差相當大的部分歸屬於第1個、第2個或者前幾個成分，而p較大的時候，那麼前幾個主成分就能夠取代原來的p個變數來對於原有的數據矩陣進行解釋，而且信息損失不多。在本項目中，對於一個包含14個特徵的矩陣進行主成分分析可知，特徵的最大變化基本上能夠被2到3個主成分捕捉到，這種主成分變化曲線的陡降特性構成了劃分正常子空間和異常子空間的基礎。3 異常檢測演算法本項目的異常流量檢測過程分為3個階段：建模階段、檢測階段和評估階段。下面對每個階段的演算法進行詳細的介紹。3.1 建模階段本項目採用滑動時間窗口建模，將當前時刻前的72個樣本作為建模空間，這72個樣本的數據構成了一個數據矩陣X。在試驗中，矩陣的行向量由14個元素構成。主成份分為正常主成分和異常主成份，它們分別代表了網路中的正常流量和異常流量，二者的區別主要體現在變化趨勢上。正常主成份隨時間的變化較為平緩，呈現出明顯的周期性；異常主成份隨時間的變化幅度較大，呈現出較強的突發性。根據采樣數據，判斷正常主成分的演算法是：依據主成分和采樣數據計算出第一主成分變數，求第一主成分變數這72個數值的均值μ1和方差σ1，找出第一主成分變數中偏離均值最大的元素，判斷其偏離均值的程度是否超過了3σ1。如果第一主成分變數的最大偏離超過了閾值，取第一主成份為正常主成分，其他主成份均為異常主成分，取主成份轉換矩陣U =[L 1]；如果最大偏離未超過閾值，轉入判斷第下一主成分，最後取得U =[L 1……L i -1]。第一主成份具有較強的周期性，隨後的主成份的周期性漸弱，突發性漸強，這也體現了網路中正常流量和異常流量的差別。在得到主成份轉換矩陣U後，針對每一個采樣數據Sk =xk 1,xk 2……xk p )，將其主成份投影到p維空間進行重建，重建後的向量為：Tk =UU T (Sk -X )T計算該采樣數據重建前與重建後向量之間的歐氏距離，稱之為殘差：dk =||Sk -Tk ||根據采樣數據，我們分別計算72次采樣數據的殘差，然後求其均值μd 和標准差σd 。轉換矩陣U、殘差均值μd 、殘差標准差σd 是我們構造的網路流量模型，也是進行流量異常檢測的前提條件。 3.2 檢測階段在通過建模得到網路流量模型後，對於新的觀測向量N,(n 1,n 2……np )，採用與建模階段類似的分析方法，將其中心化：Nd =N -X然後將中心化後的向量投影到p維空間重建，並計算殘差：Td =UUTNdTd =||Nd -Td ||如果該觀測值正常，則重建前與重建後向量應該非常相似，計算出的殘差d 應該很小；如果觀測值代表的流量與建模時發生了明顯變化，則計算出的殘差值會較大。本項目利用如下演算法對殘差進行量化：3.3 評估階段評估階段的任務是根據當前觀測向量的量化值q (d )，判斷網路流量是否正常。根據經驗，如果|q (d )|<5，網路基本正常；如果5≤|q (d )|<10，網路輕度異常；如果10≤|q (d )|，網路重度異常。4 實驗結果分析利用863-917網路安全監測平台，對北京電信骨幹網流量進行持續監測，我們提取6小時的觀測數據，由於篇幅所限，我們給出圖1—4的時間序列曲線。由圖1—4可知單獨利用任何一個曲線都難以判定異常，而利用本演算法可以容易地標定異常發生的時間。本演算法計算結果如圖5所示，異常發生時間在圖5中標出。我們利用863-917平台的回溯功能對於異常發生時間進行進一步的分析，發現在標出的異常時刻，一個大規模的僵屍網路對網外的3個IP地址發起了大規模的拒絕服務攻擊。 5 結束語本文提出一種基於主成分分析的方法來劃分子空間，分析和發現網路中的異常事件。本方法能夠准確快速地標定異常發生的時間點，從而幫助網路安全應急響應部門及時發現宏觀網路的流量異常狀況，為迅速解決網路異常贏得時間。試驗表明，我們採用的14個特徵構成的分析矩陣具有較好的識別准確率和分析效率，我們接下來將會繼續尋找更具有代表性的特徵來構成數據矩陣，並研究更好的特徵矩陣構造方法來進一步提高此方法的識別率，並將本方法推廣到短時分析中。6 參考文獻[1] XU K, ZHANG Z L, BHATTACHARYYA S. Profiling Internet backbone traffic: Behavior models and applications [C]// Proceedings of ACM SIGCOMM, Aug 22- 25, 2005, Philadelphia, PA, USA. New York, NY,USA:ACM,2005:169-180.[2] HAWKINS D M, QQUI P, KANG C W. The change point model for statistical process control [J]. Journal of Quality Technology,2003, 35(4).[3] THOTTAN M, JI C. Anomaly detection in IP networks [J]. IEEE Transactions on Signal Processing, 2003, 51 )8):2191-2204.[4] BARFORD P, KLINE J, PLONKA D, et al. A signal analysis of network traffic anomalies [C]//Proceedings of ACM SIGCOMM Intemet Measurement Workshop (IMW 2002), Nov 6-8, 2002, Marseilles, France. New York, NY,USA:ACM, 2002:71-82.[5] LAKHINA A, CROVELLA M, DIOT C. Mining anomalies using traffic feature distributions [C]// Proceedings of SIGCOMM, Aug 22-25, 2005, Philadelphia, PA, USA. New York, NY,USA: ACM, 2005: 217-228.[6] LAKHINA A, CROVELLA M, DIOT C. Diagnosing network-wide traffic anomalies [C]// Proceedings of ACM SIGCOMM, Aug 30 - Sep 3, 2004, Portland, OR, USA. New York, NY,USA: ACM, 2004: 219-230.[7] SCHWELLER R, GUPTA A, PARSONS E, et al. Reversible sketches for efficient and accurate change detection over network data streams [C]//Proceedings of ACM SIGCOMM Internet Measurement Conference (IMC』04), Oct 25-27, 2004, Taormina, Sicily, Italy. New York, NY,USA: ACM, 2004:207-212.[8] MAHONEY M V, CHAN P K. Learning rules for anomaly detection of hostile network traffic [C]// Proceedings of International Conference on Data Mining (ICDM』03), Nov 19-22, Melbourne, FL, USA . Los Alamitos, CA, USA: IEEE Computer Society, 2003:601-604.

『捌』 救！急！有一天，再登陸網站時被病毒攻擊，殺完毒後幾天內網速出現了很不穩定的現象！

清理垃圾 ，注冊表。看看你的進程數多不多，多的話下載一個一鍵清理系統多餘啟動項，手動結束進程的話開機還是會跳進去的，想要把你的網速再提高的話像網吧那樣的話你就下一個網路聖手2005，
再殺毒，從開機，就OK .電腦是搞不清楚什麼原因的，很多因素。

『玖』 ip異常怎麼辦

隨著電信IP網路帶寬的不斷擴大，網路上的流量也在成倍的增長，流量的成分也越來越復雜。經濟利益的驅動和網路攻擊技術門檻的降低使得異常流量也呈爆炸式的增長趨勢。電信IP網路異常流量分析也成為一個重要課題。

一、異常流量的分類

異常流量的分類有很多方法，但是最切合實際的方法是從網路運維人員的視角進行分類。從運維人員的角度來看，具有以下三個特徵之一的流量都屬於異常流量：

1) 對網路的正常運行不利，影響網路的正常服務

2) 損害組織機構自身經濟利益

3) 違反現行法律法規的流量

注意，這里運維人員對異常流量的判斷是主觀的，並不僅僅局限於蠕蟲傳播和DDoS攻擊等這些具有普遍危害性的流量。例如對於某些網站，會非常反感競爭對手的惡意下載以及搜索引擎爬蟲的頻繁訪問。從第三方來看，這樣的訪問是一種正常網路訪問，而這些訪問會造成網站伺服器性能下降，甚至無法為真正的用戶提供服務。運維人員自然會將其視為異常流量。按照這樣的分類，異常流量包括：

網路層DDoS 攻擊：SYN Flooding、ACK Flooding、ICMP Flooding、UDP Flooding 等

應用層DDoS：CC攻擊、傳奇攻擊、SIP攻擊、DNS攻擊等

蠕蟲傳播

二層攻擊：ARP Flooding、ARP欺騙等

P2P下載流量

控制層攻擊：針對路由協議的攻擊，如BGP攻擊

用戶自定義訪問行為：如，競爭對手或搜索引擎爬蟲的頻繁訪問、非法VoIP、寬頻私接用戶、垃圾郵件等

二、異常流量檢測技術

異常流量的檢測分為兩個過程：流量數據的採集，流量數據的分析。數據採集的方法大體上分為兩類：流量鏡像(SPAN)和流級數據(Netflow或sFlow)採集。(註：有文章把SNMP也當作一種流量採集的方法。由於該方法採集的數據粒度太粗，可供分析的信息也很少，因此實際上很少有人把它作為主要的分析手段，僅僅作為一種輔助的方法，採集到的數據僅僅是作為參考。)數據的分析方法上也可以分為兩類：基於數據包信息的特徵檢測和行為分析)和基於包頭信息(或聚合後的包頭信息)的統計分析。由於流級數據本質上是一種聚合後的包頭信息，不包含應用層及數據凈荷(Payload)信息，所以對於流級數據，無法使用第一種檢測方法。

下面用兩個表格對兩種採集方式以及檢測方法做一個簡單比較。 鏡像數據採集 流級數據採集（Netflow, sFlow）
設備支持能力 部分設備支持流量鏡像
Cisco, Juniper，Huawei, Foundry等主流廠商的設備支持
數據時間特性 時間粒度可以很細，實時性較好 時間粒度中等，有些延遲
數據采樣支持 不支持采樣，採集設備可以自行採用 支持采樣
信息豐富度 包含7層協議信息，但缺少路由相關的信息，如AS, Next hop sFlow包含部分7層協議信息，Netflow 和 sFlow均包含路由信息
對網路的影響 對設備性能有一定影響，採集設備嵌入式部署時影響網路的運行。部署完畢後影響消除，但存在單點故障隱患 在采樣輸出情況下，對設備性能影響很小。無須嵌入式部署，對網路的影響很小
部署的靈活性 缺乏靈活性和可擴展性
部署的成本 往往需要在多個位置部署，因此成本較高 一台設備可以採集多個設備上的流量，因此成本較低
適合部署位置 接入層或匯聚層 通常是在核心層
適用環境 鏈路帶寬在千兆以下，流量較小的網路環境 適用與各種帶寬的網路環境中

基於數據包全部信息的檢測 基於統計分析的檢測
適用數據源 鏡像數據 鏡像數據、流級數據
基本原理 深度包檢測，特徵匹配，會話重組 按照不同的統計規則對包數和位元組數以及流數進行統計，對比相應的基線數據
檢測效率 較低 較高
准確性 准確 統計意義上的准確，即在大流量環境下
適用環境 流量較小的網路環境 流量較大的網路環境

『拾』 我們的系統檢測到您的計算機網路中存在異常流量.請稍後重新發送

此提示是瀏覽器為了防範機器自動查詢而採取的措施，但對於多人使用同一對外IP的情況也會造成誤報，比如身處區域網或者使用了代理伺服器等網路條件下。

解決方法：

1、輸入驗證碼，一般輸入2次驗證碼之後即可解除提示。

2、如果使用的是區域網，要麼聯系網管解決，要麼自行使用代理伺服器。

3、如果使用了代理伺服器，不用或者更換代理伺服器。

4、如果是個人寬頻，重新進行寬頻撥號或者重啟路由器獲得一個新IP。

(10)網路流量異常行為擴展閱讀：

注意事項：

1、從工作方式上看，計算機網路可以分為邊緣部分和核心部分。 邊緣部分是指用戶直接使用的、連接在網際網路上的主機， 而核心部分是指大量的網路和連接這些網路的路由器，它為邊緣部分提供了連通性和交換服務。

2、分布式處理。當計算機網路中的某個計算機系統負荷過重時，就可以將其處理的任務傳送到網路的其他計算機系統中，利用空閑計算機資源以提高整個系統的運行效率。

3、按照網路的拓撲結構，主要分為星形、匯流排型、環形和網路形網路。 其中前三者多用於區域網，網路形網路多用於廣域網。