网络流量异常行为

‘壹’ 微信上显示，“对方存在异常行为，请对其身份进行验证”是什么情况

这是对方微信被封了，或者是长时间没有用微信才会出现的情况。微信被封是没有提示的，只有功能的限制。如果违规严重的话，会限制登录。

何种行为或情况会导致微信个人帐号被封：

1. 发布、传送、传播、储存违反国家法律法规禁止的内容：如分裂国家、贩卖毒品枪支、涉黑涉暴、色情、非法博彩、诈骗等违反法律法规的内容；

2. 发布、传送、传播、储存侵害他人名誉权、肖像权、知识产权、商业秘密等合法权利的内容；

3. 涉及他人隐私、个人信息或资料的；

4. 发表、传送、传播骚扰、广告信息及垃圾信息或含有任何性或性暗示的；

5. 提交、发布虚假信息，或冒充、利用他人名义的；

6. 诱导其他用户点击链接页面或分享信息的；

7. 虚构事实、隐瞒真相以误导、欺骗他人的；

8. 侵害他人名誉权、肖像权、知识产权、商业秘密等合法权利的；

9. 未经腾讯书面许可利用微信帐号和任何功能，以及第三方运营平台进行推广或互相推广的；

10. 利用微信帐号或本软件及服务从事任何违法犯罪活动的；

11. 其他违反法律法规、政策及公序良俗、社会公德或干扰微信正常运营和侵犯其他用户或第三方合法权益内容的信息。

12. 删除本软件及其副本上关于着作权的信息；

13. 对本软件进行反向工程、反向汇编、反向编译，或者以其他方式尝试发现本软件的源代码；

14. 对腾讯拥有知识产权的内容进行使用、出租、出借、复制、修改、链接、转载、汇编、发表、出版、建立镜像站点等；

15. 对本软件或者本软件运行过程中释放到任何终端内存中的数据、软件运行过程中客户端与服务器端的交互数据，以及本软件运行所必需的系统数据，进行复制、修改、增加、删除、挂接运行或创作任何衍生作品，形式包括但不限于使用插件、外挂或非腾讯经授权的第三方工具/服务接入本软件和相关系统；

16. 通过修改或伪造软件运行中的指令、数据，增加、删减、变动软件的功能或运行效果，或者将用于上述用途的软件、方法进行运营或向公众传播，无论这些行为是否为商业目的；

17. 通过非腾讯开发、授权的第三方软件、插件、外挂、系统，登录或使用腾讯软件及服务，或制作、发布、传播上述工具；

18. 自行或者授权他人、第三方软件对本软件及其组件、模块、数据进行干扰。

拓展资料：

微信：是腾讯公司于2011年1月21日推出的一个为智能终端提供即时通讯服务的免费应用程序，微信支持跨通信运营商、跨操作系统平台通过网络快速发送免费（需消耗少量网络流量）语音短信、视频、图片和文字，同时，也可以使用通过共享流媒体内容的资料和基于位置的社交插件“摇一摇”、“漂流瓶”、“朋友圈”、”公众平台“、”语音记事本“等服务插件。

微信提供公众平台、朋友圈、消息推送等功能，用户可以通过“摇一摇”、“搜索号码”、“附近的人”、扫二维码方式添加好友和关注公众平台，同时微信将内容分享给好友以及将用户看到的精彩内容分享到微信朋友圈。

微信个人帐号封号常见问题——腾讯客服官网

‘贰’ 请教iptables监控本机流量，IP，异常.配置或查看方法

Linux下使用iftop工具结合iptables服务来解决带宽资源被恶意请求满的问题，主要通过2个步骤来实现；1.使用iftop工具查出来是哪些个IP地址在请求主机的带宽资源，找出耗带宽的元兇2.找出耗带宽的IP地址或者段，分析是out方向还是in方向，使用iptables规则来进行控制具体的详细操作方法如下；一但出现带宽被恶意请求，在带宽被请满的情况下基本上很难通过网络登入到服务器上进行操作跟维护，这时我们需要通过阿里云提供的“连接管理终端”服务来登入系统一般建议在主机正常的时候直接在服务器内部安装好iftop工具，这样出现恶意请求的时候直接可以使用该工具来进行排查，下面介绍下iftop的2中安装方法1.使用yum安装iftop工具使用yum安装的话比较简单，只要直接执行yuminstalliftop–y命令即可，如果没问题的话系统就会自动执行安装，但是有使用yum可能安装不了，这时就需要使用编译安装了2.编译安装iftop工具(1)下载iftop工具的源码包；http://oss.aliyuncs.com/aliyunecs/iftop-0.17.tar.gz(2)CentOS下安装所需的依赖包-devellibpcap-devel(3解压缩下载的iftop文件tarzxvfiftop-0.17.tar.gz(4进入到解压的的iftop目录中cdiftop-0.17配置并制定安装目录为/usr/local/iftop目录下(5./configure–prefix=/usr/local/iftop(6)编译并安装make&&makeinstall安装完成以后直接使用/usr/local/iftop/sbin/iftop启动iftop程序查看流量使用情况，如果想使用iftop的方式直接开启程序，需要将iftop的程序添加到环境变量中即可结合使用iptables服务来限制恶意请求的流量；iftop–ieth1查看eth1这块外网网卡的流量使用情况通过上面这张信息很清楚的看到，121.199这台服务器一直往192.230.123.101这个地址发送流量，而且出去产生的流量相当大，几乎把整个出网带宽都给耗尽了查到了恶意请求的原因跟目标主机以后，我们就可以使用iptables服务来对这种恶意行为进行限制了，因为从查看到的数据看主要的流量是从out方向出去的，那就直接在OUT方向设置策略Iptables-AOUTPUT-d192.230.123.101–jREJECT这里可能还会发现一个情况就是禁用了这个1个IP以后可能这个段的其它IP地址都有可能马上就接上继续请求，那就可以针对一个段来进行限制iptables-AOUTPUT-d192.230.0.0/16-jREJECT策略加上以后可以再使用iftop–ieth1来查看流量的请求情况；可以查看到流量已经恢复了正常，之前的恶意请求的地址都已经被防火墙给屏蔽了，效果比较好另外iftop还有很多的参数可以实现比较多的功能，有时间的话可以研究研究，对排查网络流量攻击以及掌控流量使用很有帮助的

‘叁’ 服务器异常怎么办

造成服务器异常的原因

有好多种
1、服务器所在的机房设备出现故障
2、用户操作不当

3、病毒侵害

4、服务器故障

5、网络故障

二、服务器常见的异常问题及解决办法

1、机房设备故障引发的服务器不能正常运行

在机房配备专业人员做好日常管理和维护，及时检查和购买新的设备或者服务器。

2、用户操作不当引发的异常

公司要雇用专业人员管理和维护好服务器，降低出现故障的几率，以便第一时间能够及时处理问题，降低风险，减少损失。

3、网站打不开、被跳转、网站显示错误等

这时候可以下载专业的正版查毒软件，对电脑进行定期的全面病毒查杀，以绝后患。

4、用户无法打开网页

出现这种问题，可以耐心等候一段时间再进行再次访问，也可以多刷新几遍网页试试，并赶紧对服务器进行修复。

5、被DNS劫持出现的网络故障

这种情况是电脑上的其他应用都可以正常运行，但是网站却打不开，很有可能就是网站被DNS劫持了，需要重新设置或修改DNS地址。

6、系统蓝屏、频繁死机、重启、反映速度迟钝

服务器的结构与普通电脑的构成是十分相似的，出现这种情况是感染了病毒引起的，也有可能是系统漏洞、软件冲突、硬件故障等原因造成的。遇到这种问题就要及时杀毒，修复系统漏洞和硬件故障，清理缓存垃圾。

7、远程桌面连接超出最大连接数

如果登录后忘记注销服务器默认允许的2个连接，而是直接关闭远程桌面，这种时候可能就要重启服务器，并且是在高峰期的话，就很容易造成损失。这种异常问题，就要利用“mstsc/console”指令进行强行登陆，具体操作就是打开“运行”框，输入“mstsc/v:xxx.xxx.xxx.xxx(服务器IP)/console”，即可强行登陆到远程桌面。

8、出现无法删除的文件

如果这些无法删除的文件还在运行中，可以重启电脑，然后删除。另一种办法是，运行CMD，输入“arrtib-a-s-h-r”和想要删除的文件夹名，最后输入“del”，这样想要删除的文件夹即可删除，但是运行该命令后无法恢复，要谨慎使用。

9、系统端口隐患

对于服务器来说，首先要保证的就是它的稳定性和安全性。因此，我们只要保留的是服务器最基本的功能就可以了，声卡一般都是默认禁止的。我们不会用到很多功能，也不需要很多的端口支持。这时候，我们就关掉一些不必要的、风险大的端口，例如3389、80等端口，用修改注册表的方式将其设置成不特殊的秘密端口，这样可以消除服务器端口的安全隐患。

‘肆’ 如何处理网站流量突然异常下降

一个网站的关键词排名突然大幅度下降从搜索引擎来得流量减少(国内网站主要是网络搜索引擎)碰到这种情况的站长该如何去分析，从哪些方面去分析呢?分析出来原因之后我们应该怎么去解决这个问题，具体多久能恢复?西风SEO按个人分析解决网站降权关键词排名倒退的方法与大家分享。或许在网上大家也看过很多类似的软文或者技术文章。但是能全面分析的并不多，这也算是本人的一个总结吧，总共总结出来以下十大点。
搜索引擎优化的主要工作是通过了解各类搜索引擎如何抓取互联网页面、如何进行索引以及如何确定其对某一特定关键词的搜索结果排名等技术，现在网上关于这方面的教程有很多，但很多都是过时的，因为互联网是在不断的变化的，互联网上的牛人，要想成为seo大神，走进这条seo大神群，SEO教程的开头是五四和一，索引擎优化的最中间是一二加壹，把它们串联起来，索引擎优化的最后面再加上伍一伍就进来，成为seo大神需要你加入。来对网页内容进行相关的优化，使其符合用户浏览习惯，在不损害用户体验的情况下提高搜索引擎排名，从而提高网站访问量，最终提升网站的销售能力或宣传能力的技术。

一、网站标题改动导致降权

这种情况一般不会马上降权，而是一般在改标题之后一个星期到几个星期之间出现网站关键词浮动或者不看见。这主要是因为网络的数据更新。我们知道，一个网站的标题就是一个网站的灵魂。该标题的行为只要有3种：1、候建站时由于标题的设计错误，需要在优化的过程中改变标题。2、由于用户需求的的改变或者网站的发展，需要改变标题。3、轻信他人之词、无主见改变标题，把网站的标题当游戏，经常改动。改变网站标题之后由于和内容的匹配性会出现差别，也和搜索引擎保留网站的数据有差异。这样轻微的是导致关键词浮动，严重的导致快照消失。所以遇见这样的情况，首先是想到有没有改动网站标题。这种情况非常明显的判断就是网站内容也有排名会继续有排名，而且更新内容会有收录。但是首页快照的恢复速度偏慢。是因为此时搜索引擎的数据没有及时跟上或者是在重新考验的原因。恢复的办法没有什么特殊有效的办法。按网站的常规操作就行。

二、网站改版导致关键词浮动或者网站被K

一般网站由于成长的需要，需要不断的扩大或者改进用户体验需要改版，而在网站改版之后肯定会和原来的内容、版面以及用户体验完全不一样了。即使是再智能的搜索引擎都是靠数据说话的。你的用户体验再好，但是和原有的基础数据完全不同。这样就会导致搜索引擎完会认定你的是一个新网站。会重新进入网站的考察期。这样对于本身用户黏度高的网站或者网络推广较好的网站影响较少。

再有一点网站改版也势必会产生占比非常高的死链接。尤其是大网站的改版，产生的死链接是不可计数。如果一条条的去提交搜索引擎，那基本上是不可能的。虽然有robots屏蔽或者301永久重定向(现在网络推出了网站改版工具但是作用也并不是很大，数据延迟比较厉害本人亲测)小型企业站可以采用提交死链的办法提交了。这类网站改版导致降权或者被K最好的办法还是加大网络推广的力度。避开搜索引擎增大网站的曝光率。进行针对性的用户营销以及网站的常规优化相结合的办法使网站能从其中快速恢复。但是网站中404页面不可缺少。

三、网站内容质量突然降低或内容不匹配

有的在网站排名初期，原创是写得好，排名也不错。但是慢慢的发现网站转化率低下，失去当时的热情了。网站内容的增加使用采集工具或者手工采集导致网站突然内容质量降低，这样出现的关键词排名浮动是很正常的。网站长期不按用户的需求去更新导致网站内容过时或者时效性内容没有跟上时间。这种情况的解决办法最容易的就是还原初期的常规优化。而且关键词排名恢复速度也会很快。

四、网站空间不稳定导致关键词排名浮动

由于贪小便宜购买便宜空间，空间经常出问题或者出来了问题空间商的服务质量差导致。这种情况如果网站前期内容质量好，搜索引擎赋予的信任度高如果是某一个时期空间出问题那也仅仅就是关键词浮动一下，如果搜索引擎赋予的权重低，那么严重会导致全站被K。而且恢复起来比较吃力。

五、网站被拦截或者网站疏于管理导致网站降权

即使是一个正规网站也需要经常检查网站的安全，如果被人挂马遭遇到金山、QQ管家、等网络安全联盟或者360的拦截。虽然关键词排名暂时不会掉太多。但是会导致无人点击，这样最终的结果就是关键词排名直降到底，恢复难度加大。轻则个把月重则半年。出现拦截应该马上解决问题然后申诉。因为申诉的手里主动权掌握在别人手里，是比较麻烦的。网站疏于管理被人挂黑链接或者网站有链接指向被降权网站导致网站被牵连降权也是一个很重要原因。

六、网站内容出现敏感词导致网站被降权

网站出现敏感词或者敏感内容一般指没有设计好的工具采集人为修改或者论坛对于敏感词或者敏感内容的控制不严格所导致的。敏感词或者敏感内容有时效性的敏感词以及长期的敏感词之分，敏感词或者敏感内容的范围太广我们不好定义但是企业站关于时局评论等是不能出现的，灰色或者法律不允的词或者内容都是不应该出现。这种敏感词或者敏感内容一旦出现在网站有可能会导致网站的排名迅速跳水。解决之后很长一段时间都不能恢复。而且没有有效的办法去恢复，只能等快照更新之后慢慢自然恢复。

七、网站被恶意镜像 内容大量被人家抄袭

网站由于路径问题以及服务器安全问题等网站被人恶意镜像了或者网站内容被人大量采集而采集你内容的网站权重比你网站的要高，这样会导致你网页的关键词排名上不去，这个是非常好理解的，同样的内容别人受众多、站内体验好，所以排名靠前也是非常正常的，这样会导致小站很被动，只能依靠不断的更新老内容或者高质量内容来维持网站的排名。因为全靠外链来带动权重很不现实。

八、作弊被发现或者优化过度

网站作弊被发现我们一般想到的就是全站采集，刷流量、刷点击PV/UV、刷垃圾外链、站群的恶意链接、链接农场、购买黑链、购买友情链接等等，这个被发现了处罚是很正常的，但是网站作弊和优化过度仅仅就一层纸那么厚的距离，即使是正规优化只要你使用不当也会认定为作弊。就像外链或者程序使用不当。如果全部做成一样网站模板、
多个页面同一标题(很多套用ASP程序就有这个BUG)，页面相似度过高，无内容页面，少内容页面等等充斥网站，只要达到一定的量就是作弊。或者同一页面多同一URL链接指向都是属于这种。

九、网络网站排名规则变换

网络每一次的大更新都会加入新的关键词排名规则，如果变动较大的话即使你是用正规的优化手段只要哪一点和他更新的规则有冲突躺着也不一定就会中枪。所以要善于观察，对于一些特殊的优化技巧不要过于频繁的使用。尤其是出发点和用户体验相违背的技巧。

总结：关于网站优化之中网站降权关键词排名大幅度浮动以及网站被K的十个重点原因大致如此，如何判断一个网站的降权我们可以采取排除法一个个去排除，单一的某一个方面导致网站被K的案例很少。大部分的还只是导致网站降权。一般的来说网站的被K都是由于其中几点都有触犯导致多点触发性处罚导致网站被K。一个个去排除一个个解决这样才能快速的恢复网站的降权。

‘伍’ linux 发送流量异常

1. 使用iftop工具查出来是哪些个IP地址在请求主机的带宽资源，找出耗带宽的元兇
2. 找出耗带宽的IP地址或者段，分析是out方向还是in方向，使用iptables规则来进行控制

具体的详细操作方法如下；
一但出现带宽被恶意请求，在带宽被请满的情况下基本上很难通过网络登入到服务器上进行操作跟维护，这时我们需要通过阿里云提供的“连接管理终端”服务来登入系统
一般建议在主机正常的时候直接在服务器内部安装好iftop工具，这样出现恶意请求的时候直接可以使用该工具来进行排查，下面介绍下iftop的2中安装方法
1.使用yum 安装iftop工具
使用yum安装的话比较简单，只要直接执行 yum install iftop –y命令即可，如果没问题的话系统就会自动执行安装，但是有使用yum可能安装不了，这时就需要使用编译安装了
2.编译安装iftop工具
(1)下载iftop工具的源码包；
http://oss.aliyuncs.com/aliyunecs/iftop-0.17.tar.gz
(2)CentOS下安装所需的依赖包
yum install flex byacc libpcap ncursesncurses-devel libpcap-devel
(3 解压缩下载的iftop文件
tarzxvf iftop-0.17.tar.gz
(4 进入到解压的的iftop目录中
cdiftop-0.17
配置并制定安装目录为/usr/local/iftop目录下
(5./configure –prefix=/usr/local/iftop
(6)编译并安装
make && make install
安装完成以后直接使用/usr/local/iftop/sbin/iftop 启动iftop程序查看流量使用情况，如果想使用iftop的方式直接开启程序，需要将iftop的程序添加到环境变量中即可
结合使用iptables服务来限制恶意请求的流量；
iftop –i eth1 查看eth1这块外网网卡的流量使用情况

通过上面这张信息很清楚的看到，121.199这台服务器一直往192.230.123.101 这个地址发送流量，而且出去产生的流量相当大，几乎把整个出网带宽都给耗尽了
查到了恶意请求的原因跟目标主机以后，我们就可以使用iptables服务来对这种恶意行为进行限制了，因为从查看到的数据看主要的流量是从out方向出去的，那就直接在OUT方向设置策略
Iptables -A OUTPUT -d 192.230.123.101 –j REJECT
这里可能还会发现一个情况就是禁用了这个1个IP以后可能这个段的其它IP地址都有可能马上就接上继续请求，那就可以针对一个段来进行限制
iptables-A OUTPUT -d 192.230.0.0/16 -j REJECT
策略加上以后可以再使用iftop –i eth1 来查看流量的请求情况；

可以查看到流量已经恢复了正常，之前的恶意请求的地址都已经被防火墙给屏蔽了，效果比较好
另外iftop还有很多的参数可以实现比较多的功能，有时间的话可以研究研究，对排查网络流量攻击以及掌控流量使用很有帮助的

‘陆’ 异常流量是什么

什么是异常流量？我们怎么判断是否异常，这又涉及另外一个概念，叫基准线分析，什么是基准线，基准线是指我们网络正常情况下的行为特征，包括利用率、应用响应时间、协议分布，各用户贷款消耗等，不同工程师会有不同基准线，因为他关心的内容不同，只有知道我们网络正常情况下的行为特征，我们才能判断什么是异常流量。

‘柒’ “宏观网络流量”的定义是什么有哪些异常检测方法

一种互联网宏观流量异常检测方法(2007-11-7 10:37) 摘要：网络流量异常指网络中流量不规则地显着变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常。网络异常的检测和分析对于网络安全应急响应部门非常重要，但是宏观流量异常检测需要从大量高维的富含噪声的数据中提取和解释异常模式，因此变得很困难。文章提出一种分析网络异常的通用方法，该方法运用主成分分析手段将高维空间划分为对应正常和异常网络行为的子空间，并将流量向量影射在正常子空间中，使用基于距离的度量来检测宏观网络流量异常事件。公共互联网正在社会生活的各个领域发挥着越来越重要的作用，与此同时，由互联网的开放性和应用系统的复杂性所带来的安全风险也随之增多。2006年，国家计算机网络应急技术处理协调中心(CNCERT/CC)共接收26 476件非扫描类网络安全事件报告，与2005年相比增加2倍，超过2003—2005年3年的总和。2006年，CNCERT/CC利用部署的863-917网络安全监测平台，抽样监测发现中国大陆地区约4.5万个IP地址的主机被植入木马，与2005年同期相比增加1倍；约有1千多万个IP地址的主机被植入僵尸程序，被境外约1.6万个主机进行控制。黑客利用木马、僵尸网络等技术操纵数万甚至上百万台被入侵的计算机，释放恶意代码、发送垃圾邮件，并实施分布式拒绝服务攻击，这对包括骨干网在内的整个互联网网络带来严重的威胁。由数万台机器同时发起的分布式拒绝服务攻击能够在短时间内耗尽城域网甚至骨干网的带宽，从而造成局部的互联网崩溃。由于政府、金融、证券、能源、海关等重要信息系统的诸多业务依赖互联网开展，互联网骨干网络的崩溃不仅会带来巨额的商业损失，还会严重威胁国家安全。据不完全统计，2001年7月19日爆发的红色代码蠕虫病毒造成的损失估计超过20亿美元；2001年9月18日爆发的Nimda蠕虫病毒造成的经济损失超过26亿美元；2003年1月爆发的SQL Slammer蠕虫病毒造成经济损失超过12亿美元。针对目前互联网宏观网络安全需求，本文研究并提出一种宏观网络流量异常检测方法，能够在骨干网络层面对流量异常进行分析，在大规模安全事件爆发时进行快速有效的监测，从而为网络防御赢得时间。1 网络流量异常检测研究现状在骨干网络层面进行宏观网络流量异常检测时，巨大流量的实时处理和未知攻击的检测给传统入侵检测技术带来了很大的挑战。在流量异常检测方面，国内外的学术机构和企业不断探讨并提出了多种检测方法[1]。经典的流量监测方法是基于阈值基线的检测方法，这种方法通过对历史数据的分析建立正常的参考基线范围，一旦超出此范围就判断为异常，它的特点是简单、计算复杂度小，适用于实时检测，然而它作为一种实用的检测手段时，需要结合网络流量的特点进行修正和改进。另一种常用的方法是基于统计的检测，如一般似然比(GLR)检测方法[2]，它考虑两个相邻的时间窗口以及由这两个窗口构成的合并窗口，每个窗口都用自回归模型拟合，并计算各窗口序列残差的联合似然比，然后与某个预先设定的阈值T 进行比较，当超过阈值T 时，则窗口边界被认定为异常点。这种检测方法对于流量的突变检测比较有效，但是由于它的阈值不是自动选取，并且当异常持续长度超过窗口长度时，该方法将出现部分失效。统计学模型在流量异常检测中具有广阔的研究前景，不同的统计学建模方式能够产生不同的检测方法。最近有许多学者研究了基于变换域进行流量异常检测的方法[3]，基于变换域的方法通常将时域的流量信号变换到频域或者小波域，然后依据变换后的空间特征进行异常监测。P. Barford等人[4]将小波分析理论运用于流量异常检测，并给出了基于其理论的4类异常结果，但该方法的计算过于复杂，不适于在高速骨干网上进行实时检测。Lakhina等人[5-6]利用主成分分析方法(PCA)，将源和目标之间的数据流高维结构空间进行PCA分解，归结到3个主成分上，以3个新的复合变量来重构网络流的特征，并以此发展出一套检测方法。此外还有一些其他的监测方法[7]，例如基于Markov模型的网络状态转换概率检测方法，将每种类型的事件定义为系统状态，通过过程转换模型来描述所预测的正常的网络特征，当到来的流量特征与期望特征产生偏差时进行报警。又如LERAD检测[8]，它是基于网络安全特征的检测，这种方法通过学习得到流量属性之间的正常的关联规则，然后建立正常的规则集，在实际检测中对流量进行规则匹配，对违反规则的流量进行告警。这种方法能够对发生异常的地址进行定位，并对异常的程度进行量化。但学习需要大量正常模式下的纯净数据，这在实际的网络中并不容易实现。随着宏观网络异常流量检测成为网络安全的技术热点，一些厂商纷纷推出了电信级的异常流量检测产品，如Arbor公司的Peakflow、GenieNRM公司的GenieNTG 2100、NetScout公司的nGenius等。国外一些研究机构在政府资助下，开始部署宏观网络异常监测的项目，并取得了较好的成绩，如美国研究机构CERT建立了SiLK和AirCERT项目，澳大利亚启动了NMAC流量监测系统等项目。针对宏观网络异常流量监测的需要，CNCERT/CC部署运行863-917网络安全监测平台，采用分布式的架构，能够通过多点对骨干网络实现流量监测，通过分析协议、地址、端口、包长、流量、时序等信息，达到对中国互联网宏观运行状态的监测。本文基于863-917网络安全监测平台获取流量信息，构成监测矩阵，矩阵的行向量由源地址数量、目的地址数量、传输控制协议(TCP)字节数、TCP报文数、数据报协议(UDP)字节数、UDP报文数、其他流量字节数、其他流量报文书、WEB流量字节数、WEB流量报文数、TOP10个源IP占总字节比例、TOP10个源IP占总报文数比例、TOP10个目的IP占总字节数比例、TOP10个目的IP占总报文数比例14个部分组成，系统每5分钟产生一个行向量，观测窗口为6小时，从而形成了一个72×14的数量矩阵。由于在这14个观测向量之间存在着一定的相关性，这使得利用较少的变量反映原来变量的信息成为可能。本项目采用了主成份分析法对观测数据进行数据降维和特征提取，下面对该算法的工作原理进行介绍。 2 主成分分析技术主成分分析是一种坐标变换的方法，将给定数据集的点映射到一个新轴上面，这些新轴称为主成分。主成分在代数学上是p 个随机变量X 1, X 2……X p 的一系列的线性组合，在几何学中这些现线性组合代表选取一个新的坐标系，它是以X 1,X 2……X p 为坐标轴的原来坐标系旋转得到。新坐标轴代表数据变异性最大的方向，并且提供对于协方差结果的一个较为简单但更精练的刻画。主成分只是依赖于X 1,X 2……X p 的协方差矩阵，它是通过一组变量的几个线性组合来解释这些变量的协方差结构，通常用于高维数据的解释和数据的压缩。通常p 个成分能够完全地再现全系统的变异性，但是大部分的变异性常常能够只用少量k 个主成分就能够说明，在这种情况下，这k 个主成分中所包含的信息和那p 个原变量做包含的几乎一样多，于是可以使用k 个主成分来代替原来p 个初始的变量，并且由对p 个变量的n 次测量结果所组成的原始数据集合，能够被压缩成为对于k 个主成分的n 次测量结果进行分析。运用主成分分析的方法常常能够揭示出一些先前不曾预料的关系，因而能够对于数据给出一些不同寻常的解释。当使用零均值的数据进行处理时，每一个主成分指向了变化最大的方向。主轴以变化量的大小为序，一个主成分捕捉到在一个轴向上最大变化的方向，另一个主成分捕捉到在正交方向上的另一个变化。设随机向量X '=[X 1,X 1……X p ]有协方差矩阵∑,其特征值λ1≥λ2……λp≥0。考虑线性组合：Y1 =a 1 'X =a 11X 1+a 12X 2……a 1pX pY2 =a 2 'X =a 21X 1+a 22X 2……a 2pX p……Yp =a p'X =a p 1X 1+a p 2X 2……a p pX p从而得到：Var (Yi )=a i' ∑a i ,(i =1,2……p )Cov (Yi ,Yk )=a i '∑a k ,(i ,k =1,2……p )主成分就是那些不相关的Y 的线性组合，它们能够使得方差尽可能大。第一主成分是有最大方差的线性组合，也即它能够使得Var (Yi )=a i' ∑a i 最大化。我们只是关注有单位长度的系数向量，因此我们定义：第1主成分＝线性组合a 1'X，在a1'a 1=1时，它能够使得Var (a1 'X )最大；第2主成分＝线性组合a 2 'X，在a2'a 2=1和Cov(a 1 'X,a 2 'X )=0时，它能够使得Var (a 2 'X )最大；第i 个主成分＝线性组合a i'X，在a1'a 1=1和Cov(a i'X,a k'X )=0(k<i )时，它能够使得Var (a i'X )最大。由此可知主成分都是不相关的，它们的方差等于协方差矩阵的特征值。总方差中属于第k个主成分(被第k个主成分所解释)的比例为：如果总方差相当大的部分归属于第1个、第2个或者前几个成分，而p较大的时候，那么前几个主成分就能够取代原来的p个变量来对于原有的数据矩阵进行解释，而且信息损失不多。在本项目中，对于一个包含14个特征的矩阵进行主成分分析可知，特征的最大变化基本上能够被2到3个主成分捕捉到，这种主成分变化曲线的陡降特性构成了划分正常子空间和异常子空间的基础。3 异常检测算法本项目的异常流量检测过程分为3个阶段：建模阶段、检测阶段和评估阶段。下面对每个阶段的算法进行详细的介绍。3.1 建模阶段本项目采用滑动时间窗口建模，将当前时刻前的72个样本作为建模空间，这72个样本的数据构成了一个数据矩阵X。在试验中，矩阵的行向量由14个元素构成。主成份分为正常主成分和异常主成份，它们分别代表了网络中的正常流量和异常流量，二者的区别主要体现在变化趋势上。正常主成份随时间的变化较为平缓，呈现出明显的周期性；异常主成份随时间的变化幅度较大，呈现出较强的突发性。根据采样数据，判断正常主成分的算法是：依据主成分和采样数据计算出第一主成分变量，求第一主成分变量这72个数值的均值μ1和方差σ1，找出第一主成分变量中偏离均值最大的元素，判断其偏离均值的程度是否超过了3σ1。如果第一主成分变量的最大偏离超过了阈值，取第一主成份为正常主成分，其他主成份均为异常主成分，取主成份转换矩阵U =[L 1]；如果最大偏离未超过阈值，转入判断第下一主成分，最后取得U =[L 1……L i -1]。第一主成份具有较强的周期性，随后的主成份的周期性渐弱，突发性渐强，这也体现了网络中正常流量和异常流量的差别。在得到主成份转换矩阵U后，针对每一个采样数据Sk =xk 1,xk 2……xk p )，将其主成份投影到p维空间进行重建，重建后的向量为：Tk =UU T (Sk -X )T计算该采样数据重建前与重建后向量之间的欧氏距离，称之为残差：dk =||Sk -Tk ||根据采样数据，我们分别计算72次采样数据的残差，然后求其均值μd 和标准差σd 。转换矩阵U、残差均值μd 、残差标准差σd 是我们构造的网络流量模型，也是进行流量异常检测的前提条件。 3.2 检测阶段在通过建模得到网络流量模型后，对于新的观测向量N,(n 1,n 2……np )，采用与建模阶段类似的分析方法，将其中心化：Nd =N -X然后将中心化后的向量投影到p维空间重建，并计算残差：Td =UUTNdTd =||Nd -Td ||如果该观测值正常，则重建前与重建后向量应该非常相似，计算出的残差d 应该很小；如果观测值代表的流量与建模时发生了明显变化，则计算出的残差值会较大。本项目利用如下算法对残差进行量化：3.3 评估阶段评估阶段的任务是根据当前观测向量的量化值q (d )，判断网络流量是否正常。根据经验，如果|q (d )|<5，网络基本正常；如果5≤|q (d )|<10，网络轻度异常；如果10≤|q (d )|，网络重度异常。4 实验结果分析利用863-917网络安全监测平台，对北京电信骨干网流量进行持续监测，我们提取6小时的观测数据，由于篇幅所限，我们给出图1—4的时间序列曲线。由图1—4可知单独利用任何一个曲线都难以判定异常，而利用本算法可以容易地标定异常发生的时间。本算法计算结果如图5所示，异常发生时间在图5中标出。我们利用863-917平台的回溯功能对于异常发生时间进行进一步的分析，发现在标出的异常时刻，一个大规模的僵尸网络对网外的3个IP地址发起了大规模的拒绝服务攻击。 5 结束语本文提出一种基于主成分分析的方法来划分子空间，分析和发现网络中的异常事件。本方法能够准确快速地标定异常发生的时间点，从而帮助网络安全应急响应部门及时发现宏观网络的流量异常状况，为迅速解决网络异常赢得时间。试验表明，我们采用的14个特征构成的分析矩阵具有较好的识别准确率和分析效率，我们接下来将会继续寻找更具有代表性的特征来构成数据矩阵，并研究更好的特征矩阵构造方法来进一步提高此方法的识别率，并将本方法推广到短时分析中。6 参考文献[1] XU K, ZHANG Z L, BHATTACHARYYA S. Profiling Internet backbone traffic: Behavior models and applications [C]// Proceedings of ACM SIGCOMM, Aug 22- 25, 2005, Philadelphia, PA, USA. New York, NY,USA:ACM,2005:169-180.[2] HAWKINS D M, QQUI P, KANG C W. The change point model for statistical process control [J]. Journal of Quality Technology,2003, 35(4).[3] THOTTAN M, JI C. Anomaly detection in IP networks [J]. IEEE Transactions on Signal Processing, 2003, 51 )8):2191-2204.[4] BARFORD P, KLINE J, PLONKA D, et al. A signal analysis of network traffic anomalies [C]//Proceedings of ACM SIGCOMM Intemet Measurement Workshop (IMW 2002), Nov 6-8, 2002, Marseilles, France. New York, NY,USA:ACM, 2002:71-82.[5] LAKHINA A, CROVELLA M, DIOT C. Mining anomalies using traffic feature distributions [C]// Proceedings of SIGCOMM, Aug 22-25, 2005, Philadelphia, PA, USA. New York, NY,USA: ACM, 2005: 217-228.[6] LAKHINA A, CROVELLA M, DIOT C. Diagnosing network-wide traffic anomalies [C]// Proceedings of ACM SIGCOMM, Aug 30 - Sep 3, 2004, Portland, OR, USA. New York, NY,USA: ACM, 2004: 219-230.[7] SCHWELLER R, GUPTA A, PARSONS E, et al. Reversible sketches for efficient and accurate change detection over network data streams [C]//Proceedings of ACM SIGCOMM Internet Measurement Conference (IMC’04), Oct 25-27, 2004, Taormina, Sicily, Italy. New York, NY,USA: ACM, 2004:207-212.[8] MAHONEY M V, CHAN P K. Learning rules for anomaly detection of hostile network traffic [C]// Proceedings of International Conference on Data Mining (ICDM’03), Nov 19-22, Melbourne, FL, USA . Los Alamitos, CA, USA: IEEE Computer Society, 2003:601-604.

‘捌’ 救！急！有一天，再登陆网站时被病毒攻击，杀完毒后几天内网速出现了很不稳定的现象！

清理垃圾 ，注册表。看看你的进程数多不多，多的话下载一个一键清理系统多余启动项，手动结束进程的话开机还是会跳进去的，想要把你的网速再提高的话像网吧那样的话你就下一个网络圣手2005，
再杀毒，从开机，就OK .电脑是搞不清楚什么原因的，很多因素。

‘玖’ ip异常怎么办

随着电信IP网络带宽的不断扩大，网络上的流量也在成倍的增长，流量的成分也越来越复杂。经济利益的驱动和网络攻击技术门槛的降低使得异常流量也呈爆炸式的增长趋势。电信IP网络异常流量分析也成为一个重要课题。

一、异常流量的分类

异常流量的分类有很多方法，但是最切合实际的方法是从网络运维人员的视角进行分类。从运维人员的角度来看，具有以下三个特征之一的流量都属于异常流量：

1) 对网络的正常运行不利，影响网络的正常服务

2) 损害组织机构自身经济利益

3) 违反现行法律法规的流量

注意，这里运维人员对异常流量的判断是主观的，并不仅仅局限于蠕虫传播和DDoS攻击等这些具有普遍危害性的流量。例如对于某些网站，会非常反感竞争对手的恶意下载以及搜索引擎爬虫的频繁访问。从第三方来看，这样的访问是一种正常网络访问，而这些访问会造成网站服务器性能下降，甚至无法为真正的用户提供服务。运维人员自然会将其视为异常流量。按照这样的分类，异常流量包括：

网络层DDoS 攻击：SYN Flooding、ACK Flooding、ICMP Flooding、UDP Flooding 等

应用层DDoS：CC攻击、传奇攻击、SIP攻击、DNS攻击等

蠕虫传播

二层攻击：ARP Flooding、ARP欺骗等

P2P下载流量

控制层攻击：针对路由协议的攻击，如BGP攻击

用户自定义访问行为：如，竞争对手或搜索引擎爬虫的频繁访问、非法VoIP、宽带私接用户、垃圾邮件等

二、异常流量检测技术

异常流量的检测分为两个过程：流量数据的采集，流量数据的分析。数据采集的方法大体上分为两类：流量镜像(SPAN)和流级数据(Netflow或sFlow)采集。(注：有文章把SNMP也当作一种流量采集的方法。由于该方法采集的数据粒度太粗，可供分析的信息也很少，因此实际上很少有人把它作为主要的分析手段，仅仅作为一种辅助的方法，采集到的数据仅仅是作为参考。)数据的分析方法上也可以分为两类：基于数据包信息的特征检测和行为分析)和基于包头信息(或聚合后的包头信息)的统计分析。由于流级数据本质上是一种聚合后的包头信息，不包含应用层及数据净荷(Payload)信息，所以对于流级数据，无法使用第一种检测方法。

下面用两个表格对两种采集方式以及检测方法做一个简单比较。 镜像数据采集 流级数据采集（Netflow, sFlow）
设备支持能力 部分设备支持流量镜像
Cisco, Juniper，Huawei, Foundry等主流厂商的设备支持
数据时间特性 时间粒度可以很细，实时性较好 时间粒度中等，有些延迟
数据采样支持 不支持采样，采集设备可以自行采用 支持采样
信息丰富度 包含7层协议信息，但缺少路由相关的信息，如AS, Next hop sFlow包含部分7层协议信息，Netflow 和 sFlow均包含路由信息
对网络的影响 对设备性能有一定影响，采集设备嵌入式部署时影响网络的运行。部署完毕后影响消除，但存在单点故障隐患 在采样输出情况下，对设备性能影响很小。无须嵌入式部署，对网络的影响很小
部署的灵活性 缺乏灵活性和可扩展性
部署的成本 往往需要在多个位置部署，因此成本较高 一台设备可以采集多个设备上的流量，因此成本较低
适合部署位置 接入层或汇聚层 通常是在核心层
适用环境 链路带宽在千兆以下，流量较小的网络环境 适用与各种带宽的网络环境中

基于数据包全部信息的检测 基于统计分析的检测
适用数据源 镜像数据 镜像数据、流级数据
基本原理 深度包检测，特征匹配，会话重组 按照不同的统计规则对包数和字节数以及流数进行统计，对比相应的基线数据
检测效率 较低 较高
准确性 准确 统计意义上的准确，即在大流量环境下
适用环境 流量较小的网络环境 流量较大的网络环境

‘拾’ 我们的系统检测到您的计算机网络中存在异常流量.请稍后重新发送

此提示是浏览器为了防范机器自动查询而采取的措施，但对于多人使用同一对外IP的情况也会造成误报，比如身处局域网或者使用了代理服务器等网络条件下。

解决方法：

1、输入验证码，一般输入2次验证码之后即可解除提示。

2、如果使用的是局域网，要么联系网管解决，要么自行使用代理服务器。

3、如果使用了代理服务器，不用或者更换代理服务器。

4、如果是个人宽带，重新进行宽带拨号或者重启路由器获得一个新IP。

(10)网络流量异常行为扩展阅读：

注意事项：

1、从工作方式上看，计算机网络可以分为边缘部分和核心部分。 边缘部分是指用户直接使用的、连接在因特网上的主机， 而核心部分是指大量的网络和连接这些网络的路由器，它为边缘部分提供了连通性和交换服务。

2、分布式处理。当计算机网络中的某个计算机系统负荷过重时，就可以将其处理的任务传送到网络的其他计算机系统中，利用空闲计算机资源以提高整个系统的运行效率。

3、按照网络的拓扑结构，主要分为星形、总线型、环形和网络形网络。 其中前三者多用于局域网，网络形网络多用于广域网。