防御工程(精选12篇)
防御工程 篇1
摘要:伴随经济的发展城市用地紧张, 出越来越多的高层住宅。然后伴随着这一情况渗漏问题也随之产生, 墙面、厨房、卫生间、地下室等均出现或大或小的渗漏问题, 住户为此大为困扰且给生活带来不便。当住房出现渗漏后再去修补会难以取得理想的效果。所以住宅渗漏问题已经引起工程建设和施工单位的注意, 将其作为一个重点采取防范的手段和措施尽量避免住宅工程出现渗漏现象。根据工作经验总结, 住宅渗漏的主要成因包括设计和施工双方面的因素。
关键词:住房工程,渗漏,防止措施
1 重点渗漏位置和渗漏主要原因
1.1外墙渗漏
外墙渗漏是框架柱与砌体交接处产生裂缝造成的,主要是由于预埋拉结筋数量和长度不符合标准而产生集体变形,从而发生竖直裂缝造成渗漏。另外一个原因有可能是因为狂减梁底填充墙砌至接近梁、板底时操作不规范一次到顶因重力产生变形,出现水平裂缝造成渗漏。
1.2屋面渗漏
屋面找平层裂缝引起渗漏,与其表面质量、排水坡度不达标,基层与突出屋面结构的交接处和基层转角处做法不规范,因而产生裂痕造成渗漏。
1.3厨房、卫生间渗漏
这是让住户最头疼的一个问题,厨房和卫生间渗漏会给生活带来很大的不便同时还要承担心理压力。楼面墙根渗漏,砌体直接砌筑在卫生间的现浇板上(此暂不考虑现浇板裂痕问题)同时可能涉及到止水带的设置不足够或根本没有,砌体空隙大吸水性强外加与楼面贴接不密实等原因造成渗漏。另一种原因是穿楼板管道根部渗漏。给水立管等各种管道在穿越楼层二次浇筑时,支模质量不过关缝隙过大,可能造成漏浆产生蜂窝。预留洞四周清流不干净或湿润不足,使填塞的砼不能与已浇楼板紧密结合,或砼水灰比过大,引起收缩、渗漏。最后一种是最常见的地面和墙面渗漏。是由混凝土强度低或违规放置钢筋导致地面产生裂缝,防水涂料施工违规操作配料和涂刷无法达到标准厚度不够,或者施工完毕后没有按照要求做蓄水试验马上进行面层施工等原因。
2 防止措施
分析完几种渗漏情况及原因之后,我们不得不总结一下防止措施。我认为防治应该从主观和客观两个方面进行分析,即技术图纸的严格审核和加强施工过程中的监管力度。
2.1加强设计图纸审核,完善技术不足造成渗漏
根据工作经验很多设计单位对外墙防水及其他部位防水不做专项设计,且图纸中也没有提出具体操作,致使出现渗漏问题后无从追究责任或减轻责任,身为监理工程师在审查图纸时必须要加强注意,图纸对防水是否做了专项设计和其深度是否达到要求。如果没有达到知道防水施工的要求,必须要求其完善其图纸对外墙防水设计。其必须设计到:填充外墙的砌法、抹灰具体要求、防水剂选择和用法用量。另其他需要重点注意的地方防水是否设计到位,楼板设计刚度不够,使用后挠度过大而开裂,板面积水沿裂缝渗漏,楼板是否设计防水层是否符合规范标准、排水坡度以及排水管径地漏孔设计,都应引起监理工程师的重视。
2.2加强监管巡视力度,减少人为原因造成渗漏
人为原因是比较主观的原因,就此应该加强监管尽量避免或减少人为原因造成的渗漏,另外还要加强巡视力度。针对容易出现渗漏部位在施工过程中就应引起注意,重点漏水地方要加强注意施工用料是否足够,技术是否达到应有标准。在施工过程中应做的防水、蓄水试验是否正常进行,施工建材砂浆配比强度饱和度等等也必须引起重视,另外施工队伍技术标准是否达标在屋面、卫生间、外墙、厨房等易造成渗漏的部位在施工过程中必须安排专门人员在场做监理保证重点部位的施工质量。注意检查钢筋混凝土板质量,预留孔,排水管道接口、前面防水层是将是否饱满和施工工艺等等。
3 结语
住宅建筑的渗漏原因广泛,十分复杂,设计水平、材料质量、施工技术、管理维护等都是影响地下防水工程质量的重要因素.要提高住宅建筑防水工程的质量,应以材料为基础,以设计为前提,以施工为关键,并加强管理维护,只有各个环节都做好了,才能保证住宅建筑防水工程的质量.以上情况有针对性地提出了相应的预防及治理措施,严把工程质量关。监理工程师应将有可能造成渗漏的因素列入关键部位或关键工序之列,作为质量控制的要点。住宅工程质量问题关系千家万户的根本利益,与人民群众的生活息息相关,质量问题越来越受到人们的关注,特别是房屋住宅的渗漏问题已引起人们高度的重视。在社会经济不断发展的今天我们应逐渐改善技术加强管理尽量减少和避免住房渗漏这一问题的产生,以优质的建筑去迎接新的竞争与挑战。才是我国社会进步和人民生活水平提高的表现。
参考文献
[1]焦秀娟.浅析住宅工程渗漏问题的防治[J].煤炭工程, 2007, (6) .
[2]陆勇, 叶红.住宅工程渗漏的原因及防治[J].广西大学学报 (自然科学版) , 2007, (9) .
[3]庾季英.浅谈工程渗漏的原因及对策[J].山西建筑, 2006, (12) .
[4]池学慧.民用住宅工程渗漏原因分析及防治措施[J].四川建筑, 2010, (2) .
[5]江润华.住宅工程渗漏部位及施工技术措施[J].科技资讯, 2008.
防御工程 篇2
近段时间,极端低温严寒席卷北半球。据报道,严寒已在欧洲肆虐了十余天,数百村庄由于暴雪阻断交通与外界失去了联系。此次严寒已导致欧洲超过400人死亡。东欧一些国家如波兰、乌克兰已有超过200人死亡,俄罗斯当局统计声称该国已有110人被冻死。此外,在塞尔维亚和其他巴尔干半岛国家,仍有超过7万人与外界失去联系。在我国新疆、西藏、内蒙古等地区,因连降特大暴雪,造成道路堵塞,农牧民生活受影响。
除了极端低温严寒外,各种异常天气也“流窜”全球。今年1月3日至11日,巴西东南部遭受暴雨袭击,引发洪灾,造成至少33人死亡;1月5日,菲律宾南部发生泥石流,造成至少25人死亡,150人失踪;1月13日,美国中西部与东北部遭暴风雪袭击,造成3人死亡,数百架次航班取消;1月18日至21日,美国西北部遭受暴风雪袭击,造成至少12万户断电,芝加哥700余架次航班取消;1月24日,美国亚拉巴马州中部遭受暴雨袭击,造成至少2人死亡,超过100人受伤;1月25日,巴布亚新几内亚发生山体滑坡,造成40人死亡,20人失踪;1月26日,印度尼西亚多地遭受暴风雨袭击,造成7人死亡,51人受伤……
极端天气的频繁“光顾”,再次敲响了环境恶化的警钟。
尽管此次北半球的严寒天气引发了一场关于“小冰河期”的争论,但多数科学家认为,气候变暖的趋势并未发生变化。中国气象局国家气候中心高级工程师王启祎等不少气象专家认为,全球变暖正是引起此次极寒天气的深层次原因。
毫无疑问,环境污染、碳排放正是全球变暖的一个重要推手。“极端天气提醒我们,应当审慎考虑人与自然的关系,应当考虑人类活动对自然将产生哪些影响。”中南财经政法大学教授乔新生在接受《法制日报》记者采访时说,人类应加强环境保护意识,从碳排放、公共空间环境保护等方面入手,减少对环境的破坏,从而减少诱发灾难性气候的因素。
乔新生认为,保护环境,更要从法律层面上进行。“目前,我国的环境保护法是行政主导式的法律,环境保护的主体是行政执法机关。而真正意义上的环境保护应当是全民参与的,所以,环境保护法应尽快从由行政主导转变为全民主导。”乔新生分析说,此外,我国关于环境保护的法律数量不少,可谓各个领域都考虑到了,但是这些法律的执行效果却并不理想。之所以难以实施,原因在于这些法律按照行政区划规定相关部门的责任、设置环保机关,不利于环保事业的发展。
在乔新生看来,国际间的合作,也是保护全球环境的一个重要方面。
极端气候灾害往往具有跨地域和跨国界的性质。最近的欧洲强寒潮、日本暴雪和中国低温就被认为是相同大气环流异常引发的。跨区域天灾面前,任何国家不可能独善其身,需要协同防范,合力抗灾。
前不久在南非德班闭幕的《联合国气候变化框架公约》第17次缔约方会议暨《京都议定书》第7次缔约方会议通过决议,宣布继续《京都议定书》第二承诺期,从2013年开始实施。大会还决定,不晚于2015年制定一个适用于所有公约缔约方的法律工具或法律成果,降低温室气体排放。
据了解,欧洲的法国、德国、乌克兰、罗马尼亚、波黑、意大利等国遭遇大面积极寒后,个别国家或城市甚至因此宣布进入紧急状态。目前,欧洲多国均采取措施应对严寒天气。为应对严寒,政府开放了临时救助站,为老年人和流浪汉提供热饮;当地官员呼吁居民注意安全,尽量待在室内;当局在一些巴士车站装置暖气炉,让等车的人取暖;一些地方的学校、幼儿园已经全部临时关闭。
突发的极端天气,对社会的应急能力和防灾能力,无疑是一个巨大的考验。我们应如何减少突发灾害造成的损失,如何从容应对突发灾害?
“目前,我国已经出台了突发事件应对法,这是应对突发事件的一个有力保障。但是,从近期发生的极端天气,还有之前出现的自然灾害来看,我国的应急管理能力还有待提高。”北京大学法学院教授姜明安在接受《法制日报》记者采访时说,从法律上看,虽然有突发事件应对法,但是相关的配套法规、文件还很缺少。各行政部门应针对各自领域可能发生的突发事件,制定出一些配套文件、规章;从执法的角度看,各行政部门应对可能出现的各种情况制定应急预案,这类预案应越多越好,覆盖所有领域。如果有了详尽、充分的预案,那么当突发事件出现时,各部门就可以从容应对,有条不紊;从监督、问责的机制看,目前也还比较欠缺。应当建立明确的问责机制,也就是说,对于不执行应急预案的部门、官员,应让他们承担一定的法律责任。
“此外,我们还应看到,应对突发事件、减灾防灾不光是政府部门的事情,社会各界都应参与进来。”姜明安说,保证社会参与,也需要立法进行规定。
乔新生认为,面对频发的极端天气,还应从三个方面完善应急机制。
层层防御意欲何为 篇3
陆基型战区导弹防御系统
陆基型是供陆军使用,目前有低、高空层两层防御系统。其中属于低空层的有爱国者反导弹系统以及中型增强型防空(MEAD)系统两大成员。属于高空层的有战区高空区域防御(THAAD)系统。
爱国者反导弹系统
海湾战争以来,美陆军已迅速改进其雷锡恩公司制造的爱国者导弹系统,一种“改进型制导导弹”GEM比海湾战争使用的PAC-2杀伤力更强,射程和射高增加一倍。
经过重大改进,体积更小的新型PAC-3爱国者导弹将于2001年进行部署,它长5.1米,直径0.25米,采用高机动性的直接命中摧毁拦截弹,杀伤力比目前爱国者导弹使用的爆破碎片杀伤弹头更大,射程和射高比GEM提高近一倍。它更能有效地对付战术弹道导弹、巡航导弹和敌机。
中型增强型防空(MEAD)系统
MEAD系统是由美国、德国和意大利合作开发的短、中程高机动性的防空系统。这种低至中空、地对空导弹系统采用增强型PAC-3导弹,为地面机动部队、机场和其它要害部位防止战术弹道导弹、巡航导弹、无人机等的攻击提供全方位保护。该系统机动轻便,能随地面部队一起行动,能用C-130、C-17或德国C-160飞机迅速完成向海外战区的部署。该系统将在8年内开始部署,届时将弥补美陆军爱国者导弹之不足,取代德、意的改进型霍克导弹系统。
战区高空区域防空(THAAD)系统
THAAD系统包括车载发射器、带红外末端导引头的6米长直接命中摧毁拦截弹、10平方米X波段火控雷达、战场管理、指挥控制、通信与情报系统。五角大楼重点发展该系统为的是提高现有爱国者导弹系统保护美海外地面部队免遭类似飞毛腿战术弹道导弹攻击的能力。该系统被视作建立保护美军、盟军及重要城市的有效层状防御系统的关键。它采用直接命中摧毁技术,能远距离、超高空,甚至在大气层外发现来袭导弹,并能对其进行两次攻击,大大减轻了爱国者和其它低空层防御系统承担的压力。该系统还能在足够高的高度上拦截携带化学武器的导弹,以确保化学制剂安全扩散。它所保护的区域要远远大于爱国者导弹。
该系统将于2007年进行初始部署。部署计划分两步实施:第一步能够对付近期威胁,预计2007年能达标;第二步能对付复杂的假目标和更先进的导弹,预计2011年能实现。
海基型战区导弹防御系统
海基型是供美海军部署使用,亦有低空层和高空层两种反导弹系统。它们均是利用海军现有的伯克级DDG-51驱逐舰和提康德罗加级CG-47巡洋舰上的宙斯盾武器系统和标准导弹空防系统改良而成,但尚未完成部署。值得一提的是,该系统研制成功后,因其高度的机动灵活性,可部署在靠近战区附近的公海上,也可靠近前沿冲突区,而不会引发和驻扎在外国领土上陆、空军部队有关的潜在政治问题,对阻吓敌军将有非常大的功效。
低空层反导弹系统
该系统从海上提供类似爱国者导弹那样的保护,在陆军战区导弹防御系统通过空运和海运到来之前,保护部队登陆港、海岸降落场、机场和城市。
洛马公司除改进宙斯盾武器系统的软、硬件以外,现在主要工作是在雷锡恩公司生产的雷达制导SM-2BlockIVA标准导弹上加装末端寻的红外成像导引头、前视引信和改进型自动驾使仪。
1998年9月,CG-47巡洋舰“莱克·埃里”和“波特罗亚尔”号成为首批宙斯盾雷达加装TMD软件的战舰。1998年10月,两舰成功完成海试。他们能在海上提供现称为“中后卫”的用户作战评估系统。该系统将在应急情况下使用,以保护活动于岸上的美军免遭弹道导弹的威胁。目前,美海军正集中力量争取在2003财年使DDG-51宙斯盾驱逐舰具备TMD能力,2004财年达到初始作战能力。
高空层反导弹系统
该系统由低空层TMD项目转化而来,可使宙斯盾战舰保护更广阔的区域免遭来自大气层外弹道导弹的袭击。它除保护面广外,而且一旦宙斯盾战舰部署的地方靠近发射点或介于发射点与目标区之间,还可在导弹上升段和中段进行拦截。
该系统使用雷锡恩公司制造的SM-3直接命中摧毁导弹。该导弹就是在SM-2BlockIV上加装第三级火箭发动机和寻的截杀器。后者是一枚带红外成像导引头的机动弹头,称之为“轻型外大气层射弹”。海军高空层反导弹系统预计到2010年因80枚SM-3导弹部署4艘宙斯盾巡洋舰而具备作战能力。美海军还计划发展更先进、能力更强的第二代高空层反导弹系统。
THAAD系统和海军高空层反导弹系统两者部署后将互为补充,前者将是对付大气层内导弹威胁的唯一系统;而后者主要对付大气层外的导弹威胁。
机载反导弹系统
机载反导弹系统称为“空中机载激光武器”。美空军正在研制一种革命性的机载激光武器,以便在国防部未来TMD系统中发挥重要作用。该武器是一架装载百万吨级(氧化碘)化学激光器系统的宽体波音747-400F飞机,主要目的是利用高能激光击落类似“飞毛腿”的战术弹道导弹。
激光武器飞机机头装有7吨重的转塔,发射直径有篮球大小的激光束,在12000米高空能摧毁300~400千米以外的目标。该项目已取得重大进展,目前正为2003年9月进行“飞毛腿”拦截示范进行工作。
波音公司是该项目工业小组的领头羊,它提供第一架747飞机,目前正对其进行改装。它正在研制战场管理系统,并将组装和试验激光器系统。洛马公司的太空系统公司正在研制目标探测、光束控制和火控系统,TRW公司正在建造激光器。
大气扰动和大气湍流对远距离激光束的影响一直是项目批评者提出的主要技术难点。然而,1999年夏在白沙导弹试验场进行的激光试验表明,激光武器采用的“自适应光学”设计补偿了湍流的变差,使光束能紧紧盯住目标。
防御工程 篇4
1.1 基坑挖掘施工中流砂的概念。
流砂是指松散细颗粒土被地下水饱和后, 在动水压力即水头差的作用下, 产生的地下水自下而上悬浮流动现象。当地下水的动水压力大于土粒的浮重度或地下水的水力坡度大于临界水力坡度时, 就会产生流砂。
1.2 流砂对基坑挖掘施工的消极影响。
在基坑挖掘施工过程中, 流砂的形成使得土休大量流动, 基土完全失去了承载能力, 施工工人在土地上也很难立足, 使施工条件变得非常恶劣, 相应的便会提高施工难度。工人一边挖土, 基土一边向外冒, 这样就难以达到工程设计要求达到的深度, 而且容易引起土壁的塌方, 可能导致的后果相当严重, 包括建筑物的地基破坏、地表塌陷等, 推迟了工程施工的正常进度, 甚至还会直接影响建筑工程以及周边建筑物的安全性和稳定性, 导致周边建筑物的下沉、倾斜甚至倒塌, 带来的后果将不堪设想。
1.3 防御流砂的重要意义。
建筑的基础可以说是建筑物中最重要的组成部分, 它与建筑物的正常使用和安全性有直接关系, 在实际的土木工程施工过程中必须将建筑材料、地质条件、及施工技术这三要素有机的结合起来, 并且要综合考虑地基与土面以上的建筑主体部分, 保证基础工程的安全性、合理性以及科学性, 以便于日后的工作。因此, 流砂的防御非常重要。施工前, 务必要对施工地点的土地资料和水文资料做详细的了解, 针对具体情况做出相应的措施, 把流砂现象发生的可能性降到最低, 提高企业的经济效益。
2 流砂现象产生的原因。
流砂, 从字面意义上理解就是指流动的砂子, 砂子为什么会流动, 大致可分为内因和外因两方面:
2.1 流砂产生的内因分析。
流砂产生的内因决定于封的性质。如果土壤空隙大、含水量大 (大于30%) 、粘粒含量小 (含量小于10%) 、渗透系数小、颗粒均匀 (不均匀系数小于5) , 排水性能差、在施工过程中便非常容易出现流砂的现象。
2.2 流砂产生的外因分析。
动水压力的大小与方向即是流砂产生的外因。当水从高水位流向低水位时, 水在土壤渗流过程中就会受到来自土颗粒的阻力, 这时水对土颗粒也有一个压力, 这个压力即动水压力。动水压力与水力坡度及水的重力密度有关。
在一般的情况下, 当地下水位越高, 基坑内外水位差越大时, 动水压力也越大, 这样就会更容易发生流砂现象。当基坑坑底处于不透水层内时, 它的下面又为承压水的透水层, 同时承压水的顶托力大于基坑不透水层的覆盖厚度的重量时, 基坑的底部就会发生管涌冒砂的现象了。
3 流砂现象的防御措施。
土木工程施工单位应针对产生流砂现象的各种原因, 在实际施工中提前做好相应的预防。本文以某建筑企业的土木工程施工为例, 其首先要进行的是施工地点的选择, 尽量在土质条件较好的地方进行, 这样就可以大大节约防御流砂的财力和精力。当然, 在平时的施工过程中, 难免也要选择在土质条件不太好的情况下进行施工, 这就要求我们要在施工之前对水文土质情况做深入详尽的了解和解决的方法。防御流砂的具体措施如下:
3.1 人工降低地下水。
人工降低地下水就是在基坑开挖之前, 先将一定数量的滤水管 (井) 埋在基坑周围, 然后利用抽水设备将水抽出, 使地下水位降低到坑底以下, 直到施工完毕为止。这样做可以达到开挖在干燥的基坑中进行的效果, 从而有效防止流砂现象的发生, 提高了施工条件。但是由于降水可能造成降水影响范围内的建筑物和构筑物产生附加沉降位移, 所以应该在降水前, 事先采取防护措施。人工降低地下水位的方法通常由轻型井点、电渗井点、喷射井点、管井井点及深水泵等。
(1) 轻型井点。轻型井点是指沿着基坑四周或一侧, 每隔一定距离就将井点管 (下端为滤管) 埋入蓄水层内。通过弯联管, 井点管上端与总管连接, 并通过抽水设备使得地下水不断地从井点管内抽出, 最终达到原有地下水位落至坑底标高以下的一种降水方法。使用此方法的优点便是造价低廉, 设备轻便, 使用面相对比较宽。但是, 由于真空泵效率问题, 一般降水深度可以达到6m左右。
(2) 电渗井点。如果土的渗透系数很小 (x<0.1阶d) , 且采用轻型井点、喷射井点基坑 (槽) 降水, 当效果达不到预期指标时, 宜改用电渗井点降水。电渗井点采取原有的井点管 (轻型井点或喷射井点) 作为阴极, 沿基坑 (槽) 外围设置, 采用套管冲枪成孔埋设:采用钢管 (45O一75M) 或钢筋 (425M以上) 作为阳极, 设在井点管内侧, 通人直流电后, 带正电荷的孔隙水自阳极向阴极移动 (即电渗现象) 。在电渗与真空的双重作用下, 地下水被强制在井点管附近聚集, 通过井点管快速排出, 地下水位逐渐降低。电渗井点非常适用于粉质粘土、粘土、淤泥等土质中降水。
(3) 喷射井点。喷射井点可以根据施工时所使用的气体或液体不同, 分为喷水井点和喷气井点两种。其设备的组成主要包括高压水泵、喷射井管和管路。喷射井管分为内管与外管两部分, 喷射器与滤管在内管下端相连喷嘴、混合室、扩散室等组成一个完整的喷射器。在施工时, 压力0.7-0.8MPa的水通过高压水泵的打压, 经过总管分别压入井点管中。经内管与外管之间的环形空间, 并经喷射器侧孔, 高压水流向喷嘴, 因喷嘴处截面突然缩小, 所以压力水经喷嘴以很高的流速喷人混合室, 使该室压力下降, 形成一定的真空。与此同时, 被吸人混合室的地下水与高压水汇合流经扩散管, 顺内管上升经排水总管排出, 随着地下水不断从井点管中抽走, 使地下水位逐渐降低, 达到设计要求的降水深度。如果采用喷射井点, 降水深度则可达到8-20m (尺=3-50小d的砂土最有效, 在尺=0.1-3小d的粉砂、淤泥质土中效果也显著) 。
(4) 管井井点。管井井点即沿基坑隔一定距离设置一个管井, 每一个管井单独用一台水泵 (潜水泵或离心泵) 不断抽水以使地下水位下降。井内水位能降低6一l Om时, 便适用于渗透系数较大 (尺=20。2M阶d) 、地下水量大的土层中。
(5) 深水泵。当降水深度较大, 在管井内用一般水泵不能满足旋工要求时, 即可采用深水泵, 也称为深水泵降水法。它适用于渗透系数为10-80r√d、降水深度大于l.6m的情况。
3.2 化学压力注浆。
化学压力注浆即利用高压泵通过管道把化学浆液、泥浆或添加固化剂的水泥浆) 压入土层中, 浆液通过自身压力在土层中扩散, 浆液与土粒胶结在一起, 使地基具有水稳定性和整体性, 阻止流砂的渗出, 提高地基的承载力。此方法虽然有加固快、工期短等优点, 但是造价昂贵, 因此用此方法的较少。
3.3 枯水期施工。
由于地下水水位较低, 基坑内外的水位差也较小, 动水压力也小, 从而便可以有效的预防和减轻流砂现象。
3.4 集中精力.
分层开挖。流砂的特点是没水的时候很坚硬, 有水的时候人又站不上去, 所以我们采取多人集中开挖, 分组、分段、分层快速抢挖的方法, 这样就会使开挖的速度超过冒砂的速度, 进而较少流砂造成的损失。
3.5 抛投大石块。
在整个土木工程的施工过程中, 如果有轻微流砂现象的出现, 相关负责人立即采取让施工人员分段抢挖的措施, 当其挖至标高后, 马上铺设芦席同时抛置大石块, 增加土的压重, 以达到平衡动水压力的目的, 争取在流砂发生前, 将基础分段施工完毕。当涌水量过大时, 可抛铅丝笼。
3.6 打板桩。
土木工程施工单位如果沿着基坑周围把板桩打入不透水层时, 就能够截住水流。或者通过打入坑底面一定深度, 将地下水引至基坑底部下流入基坑, 从而产生延长了水渗流长度的效果, 同时使得动水压力方向发生变化, 减小动水的压力。
综上所述, 尽管有很多的防御流砂现象产生的措施, 但是在施工开始之前, 第一要做的还是要对施工地点的水文条件及地质条件做详细的了解和调查。遇到特殊的地质条件时, 应随机应变的结合当时具体情况, 选择最佳方案, 因地制宜、因事制宜灵活地选择低成本高效益的方法, 改善施工条件, 缩短工期, 提高工程的质量和安全。
摘要:在建筑项目中对基坑的挖掘要深入, 然而在流砂这一地层中防御流砂的工作就显而易见其重要性了, 因此我们就要充分的了解流砂现象, 并对其有效的防御措施做充分的研究。
关键词:建筑工程,基坑开挖,流砂防御,原因,措施
参考文献
[1]牛治安.浅谈流砂基础处理[J].西部探矿工程, 2005, (06) .
山洪灾害防御预案 篇5
关于印发《逊河镇山洪灾害防御预案》的
通知
各村(屯)及相关单位:
现将《逊河镇山洪灾害防御预案》印发给你们,望结合各自实际情况,认真抓好贯彻落实。
逊河镇人民政府 二0一二年六月五日
逊河镇山洪灾害防御预案
一、总则
为了防止和减轻山洪灾害,做到有计划、有准备地防御山洪灾害,最大限度地减轻山洪灾害造成的人民生命和财产损失,根据《中华人民共和国防洪法》及《逊克县山洪灾害防御预案的通知》特编制本预案。本预案所称山洪灾害主要指山地灾害(溪河洪水、泥石流、滑坡等)的统称。山洪灾害防治预案是指在现有工程设施条件下,针对可能发生的各类山洪灾害而预先编制的防御方案、对策和措施,是各级防汛指挥部门实施指挥决策和防洪调度、抢险救灾的依据。
1、主要目标
本预案所追求的主要目标是“以人为本”,最大限度的避免或减少人员伤亡,减轻财产损失。
2、编制原则
本预案的编制原则:以防为主、防抢结合、全面布置、实行行政首长负责制,统一指挥、统一调度、服从大局、团结抗洪、工程措施和非工程措施相结合,广泛发动群众,尽可能调动全社会的积极因素参加防洪。
3、法律、法规依据
本预案编制所依据法律、规定:《中华人民共和国水法》、《中华人民共和国防洪法》、《黑龙江省实施<中华人民共和国防洪法>细则》、《中华人民共和国河道管理条例》及其它相关法律法规。
二、实施责任
1、本镇镇长对本预案负总责。
2、防汛指挥部成员单位及防汛有关部门和单位根据《防汛法》及本预案的规定和防指的统一部署,各司其职、各负其责,做好本预案中的各项准备和实施工作。
3、对于拒不执行本预案或防指发布的防汛调度方案或防汛抢险指令的,视情节和危害后果,按《防洪法》有关条例对有关责任单位和责任人进行处罚。
三、基本情况
1、自然经济社会情况
逊河镇管辖1个社区居民委,9个行政村,13个屯。现有居民3536户,10703人,占全县总人口的10%,其中镇内人口936户,3942人。全镇人口由汉、满、蒙、达、回、鄂伦春、朝鲜,锡伯族组成。拥有耕地面积144360(9624公顷)亩。境内区域为丘陵地貌,山峰起伏不断,地质构造主要为岩体云母二长花岗岩,岩面多为均质土壤,植被良好。森林资源覆盖率达65%以上,四季变换明显,多年平均气温为15℃,极端最高气温为34℃,极端最低气温为-32℃,多年平均无霜期为273天,区域内的洪水主要是峰面雨形成,以前者为主多发于5-8月,占全年降水量的60%。
2、山洪灾害危害及成因分析
山洪灾害是指由于受暴雨影响,山洪暴发而给人类社会所带来的危害。主要表现为溪河洪水泛滥并伴随山体滑坡、泥石流等。
山洪灾害的基本特征:
⑴暴雨山洪出现频率高,季节性强。7、8、9三个月是我镇的主汛期,也是我镇山洪灾害的多发期。多年来的山洪灾害都集中在7、8、9月,给山区乡镇的基础设施和人民生命财产造成了严重危害。
⑵暴雨山洪出现区域性明显,易发性强。我镇多个村屯为山地丘陵地形,极易形成具有冲击力的地表径流,导致山洪暴发,造成山洪灾害。
⑶山洪来势凶猛,成灾快。我镇广大山区山高坡陡,溪河较多,山洪汇流快,无数条山沟、溪流汇集的洪水来势凶猛,以迅雷不及掩耳之势席卷下游,往往几个小时成灾受损。
⑷山洪破坏性强,危害大。山洪灾害常常瞬间成灾,瘁不及防,山洪造成河道改道,公路中断,耕地受淹,河堤冲毁,良田被毁,房屋倒塌,严重毁坏基础设施。
(5)水毁工程修复难度大。山洪灾害往往对山区的水利、交通、电力、通讯、农田、渠道、水坝、河堤等基础设施造成毁灭性的破坏。
山洪灾害原因:
⑴我镇山区特殊的地形地势是诱发山洪灾害的基础条件。特别是山地面积比例大,地貌活跃较复杂,高差起伏大,坡陡谷深。这种高差起伏巨大的山地为夏季暖湿气流抬升形云致雨、增加近锋坡面的降水强度和时间提供了条件,易引起长时间高强度的降雨,常造成严重的山洪灾害。
⑵、复杂的地质结构是加剧山洪灾害的重要因素。从我镇山丘区的地质看,多数山峰岩石表面土壤土层薄,蓄水能力差,汇流时间短,受地形、水流切割作用明显,容易形成具备较大冲击力的地表径流,极易导致山洪暴发。
⑶高强度暴雨是发生山洪灾害的直接原因。我镇属于第四积温带气候区,每到汛期,特别是主汛期7、8、9月),我镇范围有一段强降雨过程。由于受地形等因素的影响,极易发生山洪灾害。
⑷由于人们对山洪灾害缺乏认识和了解,在河道边任意乱倒、乱建、乱挖,河道的泄洪能力严重下降,导致山体滑坡,易山洪暴发。
3、山洪灾害防御现状
区域内山洪灾害的发生多为山体滑坡,根据土地管理部门调查确定我镇有大公河、小公河、西兴村三个村处为地质灾害点,并制定了群众安全转移预案,现防范主要为非工程措施
四、实施措施
1、组织指挥机构
镇里成立山洪灾害防御指挥部,负责山洪期间的各项防御工作。机构组成:
指挥长:孔志伟(镇长)
副指挥:李佩清(镇人武部部长)
徐文胜(镇分管水利工作领导)
刘 锐(镇分管土地领导)
监测组:各村村主任
信息组:党政办、农业服务中心
转移组:各村民兵营长、村干部
调度组:党政办、民政办、水利站
保障组:土地所、卫生院
指挥部下设办公室,办公地点设在黄潭镇政府办公室,由连炎平负责具体事宜。
2、职责和分工
监测组:负责辖区雨情、水利工程危险区及溪沟水位,泥石流沟、滑坡点的位移等监测信息。
信息组:负责对县级防指、气象、水文等部门各种信息的收集,整理分析和传递,掌握暴雨、洪水预报、降雨、泥石流、滑坡、水利工程险情等信息,及时为领导指挥提供决策依据。
转移组:负责按照指挥部的命令及预警通知,做好受威胁群众按预定的路线和地点转移的组织工作,负责转移任务的责任人要一个不漏地动员到户到人。同时,确保转移途中和安置后人员的安全。
调度组:负责水利工程的调度运用,抢险人员的调配,调度并管理抢险救灾物质、车辆等负责善后补偿与处理等。
保障组:负责临时转移群众的基本生活和医疗保障的组织工作,负责被安置户原房屋的搬迁建设及新建房屋基地用地审批手续的联系等工作。
应急抢险队:在紧急情况下听从命令进行有序的抢险救援工作。
信号发送员:在获得险情、监测信息或接到紧急、避灾转移命令后,立即按预定的信号(手机、鸣锣)发布报警信号。
五、监测预警
1、参照历史山洪灾害发生时的降雨情况,暴雨特性、地形、地质条件,前期降雨量等,分析确定本地区可能发生山洪灾害的临界雨量值。
2、实时监测:对辖区内的降雨、水位、泥石流和滑坡地段进行有目的、有步骤、有计划、有针对性地进行监测。
3、及时传输监测信息,当接到暴雨天气预报,相关行政责任人应引起重视,发布通知相关村庄、人员做好山洪防御前期的准备工作。所在村应组织人员开展巡视,对可能威胁群众安全的异常情况时立即报警,组织群众撤离,并上报乡主要领导。预警发布及程序为县――乡――村――组――户的顺序进行预警,如遇紧急情况(滑坡、水库、山塘、溃坝等)村可直接报告县级防汛指挥部和乡级防汛指挥结构。
六、转移安置
当发生山洪灾害时,根据预警的情况及可能出现的险情及时确定需要转移的人员,先转移人员后财产,先老弱病残人员后一般人员,转移的地点、线路遵循求近、安全的原则,转移的工作采取镇、村组织干部层层包干负责的办法,听从指挥安全第一的原则。
七、抢险救灾
1、普及山洪灾害防御的基本知识,如预警信息、转移线路、地点、交通等
2、抢险救灾的工作机制、方案,做好包括人员的组织、物质调拨、车辆调配和救护等工作。
3、发生灾情,要首先把被困人员迅速转移到安全地带,及时抢救受伤人员,清理、掩埋人畜尸体。
4、做好对紧急转移人员的临时安置、食物、用品、卫生防疫的工作,及时抢修水、电、路等通讯基础设施。
八、保障措施
汛前,镇村应组织人员对所辖区域进行全面普查,发现问题登记造册,及时处理。同时,对可能引发山洪灾害的工程、区域及时修复,对一时无法修复的应安排专人负责防守。积极开展形式多样的宣传,利用会议、广播、电视、墙报、标语等宣传山洪的发生性质、转移形式、救护等,每年开展1-2次救险队伍的演练。
九、责任追究
豪猪的防御武器 篇6
“洛蕾塔”在我的手套上留下了一片森林般的箭刺,要把它们拔出来需要多大的力量呢?
豪猪的箭刺是颇负盛名的防御武器。除了脸、腹部和四肢内侧,豪猪的几乎每一寸表皮上都覆盖着长长短短的箭刺。箭刺的长度从1.3厘米到11厘米不等。可怕的是,箭刺尖端有坚锐的倒钩,能够刺入受害者的体内,而豪猪自己却拥有防止微生物感染的表皮,能避免箭刺伤害自己。
当我用牙咬着脱下被箭刺戳穿的手套时,发现我的手指和手掌上全是一个个的血斑点,所幸还没有刺尖折断后深入到我的身体内四处游荡。随后,我伺机赤手空拳地进行了另一次捕捉,成功了——豪猪被我装进了冷藏箱里。豪猪在里面很不安生,我只好不时地拍拍冷藏箱的盖子以稳定它的情绪。在给这个刺儿头“朋友”称重时,我注意到它正在分泌乳汁,原来它已经做了母亲。在做了一些数据测试后,我放了它。它轻快地朝林子里自己孩子的所在地走去。
不过,“洛蕾塔”还是给我留下了一些东西——嵌在我的乙烯树脂手套上的一小片森林般的箭刺。为了能再次使用手套,我得把所有的箭刺拔掉,但却惊讶地发现要把它们拔出来很难。我突发奇想:到底需要多大的力才能将箭刺拔出来呢?
在我随身携带的工具中有一个精确的弹簧称,最大量程是300克。我把一个夹子同弹簧称连接起来,然后用夹子夹住手套上的箭刺开始拉动。我总共测量了84根箭刺,结果发现拔掉1根箭刺平均需要190克的力,而且其中还有20根箭刺仿佛生了根一般非常顽固,以至于拔掉它们所需的力远远超过了弹簧称的称量极限。后来的实验证明,拔出最牢固的刺所需的力达到4.54千克。即使按拔出每根箭刺的力为190克,那么同时拔出84根箭刺所需的力就超过15千克,远远大于“洛蕾塔”5.9千克的体重,也远远大于它自己竭尽全力所能产生的力(与其他哺乳动物相比,豪猪的肌肉并不强健)。
那么,“洛蕾塔”是如何做到轻松地把它自己同我的手套分开来的呢?原来,“洛蕾塔”的“绝招”不是把箭刺从手套上拔出来,而是让它们脱离自己的皮肤。为此,我用速效麻醉药麻醉了“洛蕾塔”和另外7只豪猪,然后对它们进行拔刺测试。结果发现:如果使1根箭刺从“洛蕾塔”的皮肤上脱落需要80克的力,那么要使84根箭刺脱落所需的力大概和豪猪自身的体重相等。对于一个想要迅速脱离对手的小动物来说,这力量显然还是太过强大,显然,豪猪就仿佛《格里佛游记》中格里佛被小人国的人用很多细小的镣铐铐住一样无法逃脱。然而,事实却是“洛蕾塔”在瞬间折断了84根箭刺,将它们留在我的手套上,成功地逃脱了。看来,我的计算一定在什么地方出了差错。
后来,加拿大雷湾湖首大学的组织学家戴维•钱普曼的介入,为我提供了另外一种解释。他在采用显微皮肤学方法对豪猪的皮肤和刺囊进行研究后指出,当豪猪的箭刺刺进对方体内后,分离箭刺所需的力可能来自对方——当一根箭刺刺进我的乙烯树脂手套时,一个大小相等但方向相反的反作用力能驱动箭刺的根部更深地进入豪猪皮肤,使箭刺在瞬间从根部折断并同周围的肌肉组织分离,这样,豪猪只需要用很小的力就可以将箭刺从身体上分离出去。
钱普曼的显微镜观察进一步揭示了箭刺的秘密:豪猪箭刺的根部缠绕着一种线轴结构。这是一种非常有效的构造:当豪猪放松(比如熟睡)时,线轴能自由移动,不会因偶然的碰撞和挤压而丢失箭刺;但是,当豪猪被激怒后,箭刺就会立即竖起来,线轴结构张开并被皮肤里的韧带组织拉紧,使箭刺处于攻击状态。如果一个强大的向下的力量作用于箭刺,其根部就会更深地进入豪猪体内,此时周围的韧带组织立刻就会与箭刺断开,豪猪便能容易地将箭刺留给对手,自己则快速逃离。
为此,我专门在一只名叫“宝贝儿”的雌豪猪身上试验了一下。我们用一块软木击打“宝贝儿”背部耸立的箭刺,然后将它麻醉,再贴近它的皮肤将箭刺的刺尖剪断。结果正如我们所料,拔出这种剪断刺尖的箭刺所需的力量大大降低,只有60克。
一种有点类似于山羊气味或者有点怪异的干奶酪气味,那就是一只在树枝上方正处于警戒状态的豪猪发出的警戒气味。
和捕食者对抗是要冒被伤害的风险的。我曾经在位于麦迪逊的威斯康星大学的动物学博物馆里看到一块豪猪的头骨。头骨发现于19世纪80年代,那时,狼等动物并不像现在这样罕见,它们四处游走,与狼獾共同分享着豪猪的栖息地。在那块头骨的顶部有被犬科动物的牙齿咬过的痕迹。但很明显,那只豪猪后来还是活了下来。
在自然界中,对动物而言,也许拥有安全意识要比仅仅拥有先进的防御武器更重要。在与对手较量中,你也许能赢得最后的胜利,但是在争斗的过程中你却难免受伤,而最有效和最合算的办法是避免争斗。也就是说,在事态还没有发展到失控之前,用信号去警告对手,让它意识到你拥有强大的防身武器,从而知趣地放弃对你的冒犯。
那么,豪猪是如何避免致命搏斗的呢?秘密就隐藏在箭刺中:当一只豪猪感觉自己受到威胁时,它全身的箭刺会立刻竖立起来,并连续释放出辛辣的刺激性气味,似乎在告诉对方:“最好后退并离开!”我有过这样一次经历,当我于黑暗中从一棵苹果树下走过时,闻到了一种有点类似于山羊气味或者有点怪异的干奶酪气味,那就是一只正处于警戒状态的豪猪在树枝上方发出的警戒气味。豪猪的箭刺中甚至还含有荧光物质,能在夜里发光以示警告。豪猪的祖先进化出的这些防御策略,保证了其后代能够安全度过幼年时代并拥有相对较长的寿命。在卡茨基尔山区,一只被研究人员套上无线电信号发射器的雌性豪猪整整活了21年。
豪猪的警告气味来源于其皮肤上的一种叫做“玫瑰形饰物”的特殊组织,它位于豪猪的下背,上面长有特殊的箭刺,能帮助散发气味。生物学家早就注意到,其他很多哺乳动物,如黑尾鹿、东非冠毛鼠和一些种类的蝙蝠,所拥有的特化毛发与身体其他部位的普通毛发不同,它们在动物处于警惕状态时能竖立起来,同时散发出气体分子。
为了深入了解豪猪气味的秘密,我找到化学家戴维•洛克,请他帮助进行警告气味成分鉴定。洛克采用了一台气相色谱-质谱联用仪,这种仪器可以先分离出气体中的各种成分,然后鉴定每种成分的分子量、分子结构、比例等。
在洛克运作以前,我们必须首先获取足够的豪猪警戒气味——通过一台装有木炭、硅胶,还有其他对气味吸附性很强的物质的空气泵把气味混合物吸进去,再通过加热或加入溶剂的办法将气味从木炭、硅胶等中释放出来,用气相色谱-质谱联用仪逐一进行成分分析。
按照这样的思路,我捕捉了一只豪猪,把它放进冷藏箱,然后通过一台装有木炭、硅胶等可以吸附气味的化学物质的空气泵,把豪猪发出的警戒气味吸进气味收集瓶。空气泵启动后,冷藏箱里的气味缓缓地被吸进收集瓶。洛克建议我至少要吸两个小时,以保证收集瓶里的气味达到饱和。但是,我的装在冷藏箱里的“客人”总有自己的主意,仅仅过了一刻钟,它就对冷藏箱里漆黑狭窄的空间感到了厌倦,于是开始拼命地撕咬塑料箱壁,想从里面出来。我只得马上把它放了,然后继续从已经破损的箱子里抽取空气,因为那里面依然充盈着发怒的豪猪发出的臭气。
收集瓶被送到洛克的实验室,在那里洛克检测出了一堆差不多有30种成分的混合物,其中最多的是萘,一种在樟脑球中非常活跃的成分。但让人感到困惑的是,其中还有塑料成分。豪猪怎么可能产生塑料成分呢?原来这来自被豪猪破坏的冷藏箱。如此看来,我得重新考虑收集气味的方法了。
在豪猪被放走后,我在冷藏箱里发现了一些豪猪脱落的箭刺,这样一来,工作简单了很多,我不需要从一只拼命扭动挣扎的豪猪那里收集气味,只要有刚脱离豪猪的新鲜箭刺就行了。
后来洛克的研究生李广接手了测试工作。李广对仪器的识别系统进行了改造,使它可以分离出更多种化学成分。为了从已知的89种豪猪警告气味成分中确定最为活跃和主要的成分,李广采用了三种溶剂萃取豪猪气味。
当三种萃取物被提取出来后,李广要我来帮助进行辨别。第一种无气味;第二种有气味,但不像豪猪的气味;而第三种重重地冲击着我的鼻子的气味,正是强烈的豪猪的气味。嗅闻豪猪气味,真是一种恐惧的体验,就像遭遇了阿拉伯民间传说中的不幸神灵一样。
最后,豪猪气味的主要成分被鉴定出来,是一种叫做“丁位癸内酯”的不同寻常的物质,它是一种环形分子,有10个碳原子,2个氧原子和18个氢原子。
还有一小步需要做,就是用商用丁位癸内脂进一步确认这种气味。一家公司为我们提供了一小瓶丁位癸内脂。可是,等我旋开盖子闻了一下,发现不对,里面是一般强烈的椰子味,而不是我们期待的豪猪味。原来,丁内脂是两种关系密切的化合物R-丁位内癸内脂和S-丁位内癸内脂的总称。李广最后证实豪猪气味来自R-丁位癸内脂。
豪猪强烈的警告气味发送着毫不含糊的信息:“豪猪在此!”比起那些“这儿可能有一只豪猪或者别的什么东西”的信息,它能更有效地阻止对手的攻击。事实上,如果一个捕食者曾经有过与豪猪相遇的痛苦经历,那么豪猪所发出的这种独特气味会令它终生望“猪”却步。
科学家说,气味使不少哺乳动物的自然语言更加丰富,并在社会结构、导航及其他诸多方面发挥关键作用。尽管目前我们对绝大多数气味的意义还知之甚少,但我们相信,学习这类语言的最好入门工具就是化学。
防御工程 篇7
典型的DDoS攻击,攻击者会尽可能地向其他主机发出攻击包,进而感染成为攻击区域,并不断蔓延,直至完全瘫痪整个网络。目前防御DDoS的机制多采用建立在服务器端与客户端,譬如:增加服务器或是在使用者端架设防火墙(Firewall)。这些加强服务器端与客户端的方法并不能有效抑制攻击,最终整个网络还是会被瘫痪掉。所以必须从网络节点着手,逐步地隔离出一个安全没有攻击的环境,进而消灭攻击。
基于上述原因,本文旨在发展一套能在网络各节点上迅速反应的机制,而主动式防御网络正是具有上述优点的环境。主动式防御网络是一种新颖的网络架构,主动网络中的节点(路由器或交换器)可以被改变其服务功能(更新、增加或删除)。透过这样的改变,使用者可以将个性化的服务发布到网络节点中,而整个软体的架构也变为组件模式(component/middleware compo-sition)。整个应用软体通过各种不同的基本服务组合(service composition),提供不同的应用服务。
在传统网络中,网络节点总是被动地处理经过的封包,数据包只携带数据(data)。当网络包进入网络节点(路由/交换机)后,网络中的节点只负责路由和封包,依照路由表的信息将数据包发送到目的端的网络上。这种模式又称为储存并转送(store and forward)模式。而在主动防御网络中,一组数据包可以包含一组程序及数据。网络节点提供一个可以载入数据包中程序的环境,并依程序执行的结果来处理数据包内的资料。因此新的网络服务或通讯协议,便能在网络上快速布置。这种封包的运行模式又称为储存、计算并转送(store,compute and forward)模式。
1 DDOS攻击常见形式
攻击程序可以细分成逻辑攻击(logic attacks)与洪水攻击(flooding attacks)。逻辑攻击的目的是造成服务器宕机或使服务器系统资源消耗殆尽。预防这类攻击,服务器必须不断更新系统软件防止漏洞(bug),并且过滤特定封包的顺序。典型的例子有:SYN洪水攻击、IP碎片攻击、缓冲区溢位等。
2 主动防御机制设计
本文提出主动式防御网络抵御DDoS攻击,该机制包括组成模块、系统架构和系统运行流程。
2.1 主动式防御网络模块
分析模块:此模块会先搜集网络节点的流量统计与应用程序使用状况,并且持续监测系统资源的使用度。而从网管中心接收到特定补丁后,会依攻击所记录的属性,一一判别并过滤出可能的攻击包。其中,属性的栏位包括:网络地址(IPv4或IPv6)、该攻击包所属的子网域、所使用的网络协议、单位时间内所接收到相同包的标准值以及针对单位时间内所接收到相同流量的标准值等。
防御攻击模块:此模块处理分析模块送过来的信息,过滤特定网络地址数据包,关闭特定域或服务,以及对造成网络拥塞(congestion)的来源限制流量(ratelimit),确保该主动式防御节点的安全。而该模块必须是在管理者权限下运行。在执行阻绝攻击的同时,必须清查该网络节点有无被恶意攻击者入侵且移植木马程序。此外,在阻止攻击之后,必须发送一个主动式封包记载侦测到的攻击属性,向攻击封包的来源(前一个网络节点)发出警告。
区域模块:此模块负责记录该主动防御网络所处的子网域中各节点的安全状况,即判断节点处于安全区域或攻击区域;接收其他主动式节点送来的区域安全信息。区域模块会维护一份清单,内容包括信任区域、不信任区域及攻击区域所包含的网络节点;此外,会定时对其他网络节点发送该点的安全状况。倘若,在一段时间内没有收到某些网络节点的安全状况,直接将那些节点加入攻击区域,直到该点有回应安全状况为止。图一为本系统的网域环境图,以一个子网域作为执行的单位。每个子网域都由网管节点预先执行并确认防御包的有效性,同时预先建立一个备用的网管节点,以防原本的网管节点因中毒而无法发布主动式封包;备用网管节点将放在子网域交界的边界路由器(border router)上。网管节点会先将特定攻击的防御包发布给所有子网域的主动式节点,当每个主动式网络节点收到防御包时,先确认与自己有封包传递行为的相邻节点没有正在检测的情况,然后进行检测工作。
针对不同类型的攻击有不同的防御方法,譬如:ICMP洪水攻击可以设立一段时间有多少个request/echo封包到固定起点或终点的最高值,超过这个最高值就认定是一项攻击;而TCP洪水攻击则可以通过判断SYN包,如一段时间有过多的SYN包到同一个服务器,或一段时间服务器有过多的SYN+ACK包回应,就认定这是一项攻击等。这些不同的攻击都可以使用不同防御机制来启动攻击分析模块。
2.2 主动防御机制运行流程
下面将以系统流程图来做说明主动防御机制的运行流程。为便于说明,先介绍系统的运行环境和做以下假设:
1)所有的主动式网络节点都信任网管节点所发布的主动式封包(通过认证)并且主动式封包携带防御代码都可执行。
2)每个客户定义的主动式应用程序都必须通过网管节点做事先认证,并且由网管节点作统一发布,避免有恶意的客户端发布具攻击性的应用程序破坏主动式防御网络的安全性。
3)客户端可以是主动式网络环境或是被动式的,若为主动式网络环境,必须通过上一个假设发布客户端程序码。
4)如果在不完全是主动式节点网络情况下,被动式的节点即视为末端使用者。
5)每个子网络的网管节点代表该网域的程序服务器并且假设网管节点是安全的。如果网管节点被攻击者攻击造成无法正常运作,必须准备备用的网管节点。
6)网管节点只是负责发布防御码,并不需要负责协调工作。取消居中协调者是本系统的特色之一,如果有一个居中协调的节点,该点流量与负载会比其他节点高,造成拥塞的机会大。而且,一个居中协调的角色一旦宕机(crash),其他节点便不能正常运作,变成一个明显的弱点,让攻击者多一个攻击目标。
ADDS系统流程如图2所示,一开始由网管节点发布特定防御包给所有的子网络节点,每个节点在收到防御码后,针对特定攻击纪录的属性去清查该点是否遭受攻击或是在转送攻击包。如果没有的话,该点就发出包给所有节点记载自己是处于安全状态,请其他节点将该点加入安全区域;如果有的话,该点进一步使用管理者权限去清查该项攻击所需使用的服务。接着侦测是否能停止攻击,如果可以停止攻击事件的话,该点就发出包给所有节点记载自己是处于安全状态,请其他节点将该点加入信任区域,并且告知该攻击封包的来源路由器(upstream router)需要进行杀毒;如果不能停止攻击事件的话,该点就发出封包给所有节点告知自己是处于被攻击状态,请其他节点将其加入攻击区域;若是该点已无能力进行发包动作,这时,所有节点再经过一段等待时间后,即将该点加入攻击区域。图三则是对未知攻击的侦测流程。当网管节点发布未知攻击的侦测包之后,子网域内各节点开接收主动式防御包,并且依序确认该网络节点是否遭受到攻击和是否转送攻击包。首先,每个节点先确认该点的系统资源并设定系统资源的门槛值:当网络节点CPU使用率超过80%且有80%的CPU使用是在处理相同属性的网络封包持续达五分钟时,就认定该节点受到攻击,依序暂停使用CPU时间最多的网络封包直到CPU使用率不会超过门槛值,然后检测使用CPU时间最多的网络包是通过哪些节点,进而发出主动式防御包向上游路由器追查来源的使用者。如果不能停止这些网络封包的话,就发出封包给所有节点说明该网络节点为攻击区域,反之则加入安全区域。
3 结束语
该文作者通过应用主动式网络防御机制对各种网络环境参数做模拟实验,得到如下结果:相对于没有防守机制时,使用主动网络防御机制可以让网络存活时间(network surviva time)增加337%,并且在攻击发生时降低CPU使用率(CPU utilization wasted by undetected attacks)33.55%,但与此相对的,也有8.53%的合法封包会被误判成攻击封包(legal traffic dropped rate)。
摘要:随着网络技术的发展,DDoS(分布式拒绝服务)攻击正在对整个互联网产生巨大的危害,当DDoS攻击扩散的时候,如果能迅速确认网络各节点的安全情况并启动相对应机制的话,将隔离并缩小攻击者所造成的攻击区域和危害。本论文将提出一种新的防御机制,对网络中每个节点进行侦测,将整个网络分成信任、不信任、攻击等几个区域,再利用防御包携带防御代码并修补安全漏洞。
关键词:DDOS,主动防御,策略
参考文献
[1]David Wetherall,Ulana Legefza and John Guttag.Introducing New Internet Services:Why and How[J].IEEE NETWORK Magazine Special Issue on Active andProgrammable Network,1998.
防御工程 篇8
电力行业是国民经济的基础产业,是国民经济发展和人民生活极其重要的基础设施之一[1,2]。近年来,在智能电网和全球能源互联网背景下,电网信息技术不断发展,各类智能电网业务系统数据越来越进行集中存储[3,4]。业务系统数据是组织重要资产,不仅对智能电网发、输、变、配、用电各环节业务具有价值,同时对电网公司的决策、战略规划都具有重要意义。与此同时,我国信息系统的安全漏洞不断涌现,网络安全形势十分严峻,信息安全事件层出不穷,电力行业的业务系统也面临着严峻的安全威胁。美国电网已经检测并记录了众多攻击事件,美国能源部表示,控制电网的计算机网络存在着安全漏洞,入侵者可能利用这些漏洞干扰电力传输并窃取数据。国家电网兼具商业资产和国家安全基础设施的双重身份,因此确保电网安全并防止来自内部员工、国外机构及其他人员或者团体对敏感数据的恶意破坏是十分重要的。
国内外网络安全防护及数据防泄漏技术已有一定的发展,段小亮等[5]指出当前信息系统安全理论和技术发展大体了经历了静态防御、深度防御和动态防御3个阶段,其中动态防御是主流。刁俊峰等[6]提出了一种结合水印、加密和访问控制的内网防信息泄密系统,建立了一个基于主机的安全通信访问控制模型,附加了额外的水印认证机制来保证内网最大限度的通信安全。赵勇等[7]提出了一种企业内网安全中的信息泄露防御模型,该模型基于密码隔离,利用访问控制和密码技术在企业内网中构建虚拟涉密网络防止内网敏感数据泄漏。同时,各个行业结合企业敏感数据防泄漏的需求,进行了数据防泄漏及信息安全防护体系的探究和构建[8,9,10]。
本文拟针对电网业务系统的敏感数据泄漏风险,建立基于技术和管理双重防御的电网敏感数据全面防御体系。该体系涵盖了技术和管理2条防御主线:一条是针对敏感数据的产生、存储、传输、使用、销毁等各环节可能泄漏的渠道构建敏感数据全生命周期的防泄漏技术体系;另一条是建立敏感信息管理的事前预防、事中审批、事后审计的全链条闭环防护体系。该体系不仅从技术上降低信息在产生、存放、访问、传播和使用过程中的泄漏风险,而且从管理角度解决对泄密信息的可知、可防、可控,建立一套包括组织、人员和流程的泄漏事件的响应机制,同时在此过程中,梳理和弥补业务流程中的安全隐患,使员工建立良好的信息敏感性意识和自觉的泄密防范意识,实现对电网数据安全的全面防护。
1 电网敏感数据泄漏渠道方式分析
随着智能电网和全球能源互联网的崛起,信息化与电网公司经营管理及安全生产日益深度融合,电力行业的业务系统中不仅固化了公司大量业务流程,也存储了海量业务数据。电网敏感数据泄漏存在多渠道和多方式的特点,电网敏感数据泄漏的渠道主要包括外部渠道和内部渠道(见图1)。
外部渠道源自非内部人员(敌对分子、黑客等),采用各种技术手段,盗取公司系统账号及相应的数据信息。主要是利用网络存在的漏洞和信息系统的配置、协议、程序等方面的安全缺陷或使用暴力对网络系统的硬件、软件及其系统中的数据实施攻击。包括远程网络攻击和本地办公设备攻击。
内部渠道指内部人员(包括内部员工和外委人员)主要通过前端业务操作和后台运维管理泄密。前端业务操作主要是指有权限用户的主动、被动泄密,比如业务系统用户拷贝数据到外网有意无意传播的主动泄密以及业务系统用户对账号口令管理不严、离开办公场所未及时关闭系统或者锁屏等致使信息被窃取的被动泄密。后台运维管理主要是指外委人员可接触查看信息系统业务数据,包括2类:权限配置的外委人员通过业务操作权限操作业务数据;数据库运维外委人员通过非授权数据库操作获取数据并泄密。
2 双重防御的电网敏感数据全面防御体系
根据美国CSI/FBI的调查显示,80%的安全威胁来自企业内部,将近60%的离职者或被辞退者在离开时会携带企业数据。Ponemon研究院进行的一项最新研究调查显示,内部泄密已经成为企业数据外泄的头号原因,而黑客仅位列第五[11,12]。由此可见,企业信息系统安全建设中,要加强对内部威胁的防范。然而,多数企业在考虑数据安全时,依然将防御外部窃密作为第一要务,花费了大量的投资购买和建设对外“屏蔽墙”,却忽视了对内管理,留下大量的管理漏洞,使得企业重要信息在不知不觉中丢失[13]。
电网敏感数据防泄漏需要采用管理和技术“两手同时抓”的策略,借助先进的技术防护手段,同时建立完善健全的管理制度,在严格的数据使用和监管流程下,确保企业数据面对外部和内部威胁都能安然无恙。
2.1 技术防护
针对电网敏感信息泄漏的各种渠道,从网络安全、终端安全、主机安全和应用安全4个维度建立敏感信息产生、存放、访问、传播和使用过程中的全生命周期的技术防线。电网敏感信息技术防护层次如图2所示。
第一层防护由一系列网络安全措施组成,信息内外网采用逻辑强隔离设备进行安全隔离,信息内外网内部根据业务分类划分不同业务区,各业务区按照业务系统防护等级和类型划分安全域,通过访问控制、流量控制、入侵检测、入侵防护、恶意代码过滤等防范跨域跨边界非法访问及攻击,防范恶意代码传播。
第二层防护由一系列终端安全措施组成,信息内外网桌面终端计算机分别部署于信息内外网桌面终端安全域,计算机终端安装桌面终端管理系统、保密检测系统、防病毒等客户端软件,限制USB设备、刻录、蓝牙等各类外部设备的使用,有效防止信息通过设备外泄。
第三层防护由一系列主机安全措施组成,对操作系统和数据库系统用户进行身份识别和鉴别,进行访问权限隔离,对操作系统、中间件、数据库补丁升级进行兼容性和安全性测试保证补丁升级安全。
第四层防护由一系列应用安全措施组成,对信息系统用户采用身份认证、授权、输入输出验证、配置管理、会话管理、加密管理等技术保证业务数据的保密性和完整性。
2.2 管理防御
电网敏感信息闭环管理体系如图3所示。敏感信息管理体系是一个包括事先防范、事中审批和通知、事后审计环节的闭环防护的链条,其核心在于事前、事中、事后的闭环流转优化。各关键环节的含义如下。
1)事先防范,规划管理。规划建立电网企业安全防范管理系统,全方位保护敏感数据,严格遵循数据访问授权和审批管理,做到数据库管理员的职责分离,并限制特权用户的权限,同时禁止任意的非法访问行为,如采用基于规则访问控制和多因素的访问控制,并对敏感数据进行分类区分,对敏感数据存放区划安全“红线”警界区防护。
2)事中审批,关键操作授权和审批。实行事中授权和流程审批制度,进一步保障“关键数据”的访问安全。通过规则配置的方式来识别不合法的关键数据操作,每次“关键数据访问”的操作,都需专人专责。
3)事中通知,告警通知。提供敏感事件预警告警通知管理,及时发现非法访问或操作关键业务数据,并第一时间告警及提示信息管理者,为安全管理者掌握谁在什么时间、什么地点、用什么应用对关键数据做了哪些操作。
4)事后审计,报表化审计追溯。通过主机、数据库、业务应用等多个层次集中、全面、细粒度的审计行为追溯能力,提供针对性的详实的审计报表,并针对海量审计信息进行梳理分析,准确研判定位事件,为管理者采取措施提供依据。
3 结语
本文针对电网信息化建设进程中电网敏感数据防泄漏的迫切需求,探索建立基于技术和管理双重防御的电网敏感数据全面防御体系。该防御体系通过技术防御和管理防护的融合实现对电网数据安全、全面、立体的防护,以期为电网安全稳定发展保驾护航。下一步研究方向在于如何打造高水平信息安全专业队伍,以有效支撑电网敏感数据防泄漏全面防御体系,从而持续提升电力行业信息安全整体保障能力。
陈红
摘要:探讨了基于技术和管理双重防御的电网敏感数据全面防御体系,以应对当前严峻的信息安全形势下的电网敏感数据泄漏风险。该防御体系在技术层面建立信息系统敏感数据产生、储存、传输、销毁的全生命周期的防护策略,在管理层面构建电网敏感信息管理的事前、事中、事后的闭环防护体系,通过技术防御和管理防护的融合实现对电网数据安全的全面防护,以期为电网安全稳定发展保驾护航。
网络攻击与防御 篇9
当今社会网络日渐成为人们生活中不可缺少的一部分。计算机网络技术为人类在交往、工作、购物、娱乐、教育、生活等各种领域, 提供一种崭新的电子服务方式。同时, 网络安全问题日益突出。特别是近年来, 黑客站点越来越多, 黑客工具唾手可得, 攻击事件明显增加[1]。Internet的安全遭受着严重的威胁。
在网络不断更新换代的过程中, 网络中的安全漏洞无处不在。即便旧的补上了, 新的漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。可以说, 网络中我们每个人随时随地都可能受到来自各方面的攻击。
1网络攻击手段
黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、进入银行盗取和转移资金、窃取信息、发送假冒的电子邮件等, 从而引发各类网络案件。为此, 提高网络的防护能力, 保证信息安全已成为当务之急。下面从几方面论述黑客的攻击手法[2,3]。
1.1端口扫描
端口扫描是一种获取主机信息的方法。利用端口扫描程序扫描网络上的一台主机, 可以从扫描的端口数目和端口号来判断出目标主机运行的操作系统, 结合其它扫描信息进而掌握一个局域网的构造。针对端口扫描, 其防范措施一般是关闭那些不使用的端口。
1.2对网络协议 (TCP/IP) 弱点的攻击
当初设计INTERNET各类协议时, 几乎没有人考虑网络安全问题, 网络协议或缺乏认证机制或缺少数据保密性, 因此可能被攻击者加以利用而入侵网络[4,5,6], 此类攻击方式主要有以下几种。
1.2.1 网络监听 (嗅听)
网络监听工具可以监听网络的状态, 数据流动情况以及网络上传输的信息。但此类工具被一些黑客利用, 截取他人的信息, 对他人造成损失。通常的检测与防御的方法是:对于怀疑运行监听程序的机器, 用正确的IP地址和错误的物理地址去PING , 运行监听程序的机器会有响应;使用安全的网络拓扑结构隔断网络, 隔断监听;对一些重要数据进行加密, 即使被截获, 信息也不容易泄露。
1.2.2 电子邮件攻击
电子邮件攻击者可以通过发送邮件破坏系统文件, 或者对端口25进行SYN-FLOOD攻击。保护电子邮件的有效办法是加密签名技术, 比如PGP (PRETTY GOOD PRIVACY) 来验证电子邮件。
1.2.3 Web欺骗攻击
Web欺骗指攻击者建立一个使人相信的Web页站点拷贝, 它具有该页所有的页面和链接。通过Web站点拷贝被攻击对象和真的Web站点之间的所有信息流动都被攻击者控制了。攻击者可以监视被攻击对象的活动。虽然不易察觉, 但可以通过使用安全性较高的浏览器, 关闭浏览器的JAVA SCRIPT来避免受到攻击。
1.2.4 IP电子欺骗攻击
IP电子欺骗攻击是攻击者攻击INTERNET防火墙最常用的方法, 也是许多其他攻击方法的基础。IP欺骗技术就是通过伪造某台主机的IP地址, 使得某台主机能够伪造另一台主机, 而这台主机往往具有某种特权或被另外主机所信任。对于来自网络外部的欺骗来说, 只要配置一个防火墙就可以了, 但对同一网络的机器实施攻击则不易防范。
1.2.5 DNS电子欺骗攻击
当危害DNS服务器并明确更改主机名和IP地址映射表时, DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而, 当一个客户机请求查询时, 用户只能得到这个伪造的地址, 该地址是一个完全处于攻击者控制下的机器IP地址。因为网络上的主机都信任DNS服务器, 所以一个被破坏的DNS服务器, 可以将客户引导到非法的服务器, 也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。
1.3程序攻击
程序攻击就是通过编写一些程序代码, 让计算机来执行一系列指令, 进而破坏系统的正常运行。
1.3.1 病毒
病毒是一些破坏性程序, 常常修改计算机中的另一些程序, 将自己复制进其他程序代码中进而对目标机形成破坏, 当病毒发作时, 会使系统异常, 甚至造成系统崩溃。使用杀毒软件并不断更新病毒库能有效地防范病毒, 适当的操作也很重要。
1.3.2 特洛伊木马程序
特洛伊木马程序是驻留在目标计算机中的一个程序, 在程序中提供了一些符合正常意愿使用的功能, 但在其中却隐藏了用户不知道的其他程序代码, 当目标计算机启动时, 木马程序页启动, 然后在某一特定端口监听。一旦条件成熟, 这些非法代码就会被激活而执行一些操作, 如传输或删除文件, 窃取口令, 重新启动机器等, 使系统不能正常工作。使用杀毒软件对特洛伊木马同样有效, 而且一些比较好用的木马工具也可以对其起一定的防范作用。
1.4 SQL注入攻击
这种攻击的要诀在于将SQL的查询/行为命令通过‘嵌入’的方式放入合法的HTTP提交请求中, 从而达到攻击者的某种意图。现在很多的动态网页都会从该网页使用者的请求中得到某些参数, 然后动态的构成SQL请求发给数据库的。SQL注入攻击就是使我们在发送SQL请求时通过修改用户名或密码值等‘领域’区来达到攻击的目的。
1.5拒绝服务攻击
拒绝服务攻击通过发送一定数量、一定序列的报文, 使网络服务器中充满了大量要求回复的信息, 导致网络或系统不胜负荷以至于瘫痪, 停止正常的网络服务。分布式拒绝服务攻击是利用攻击者已经侵入并控制的主机, 并对某单位发起攻击。在悬殊的带宽力量下, 被攻击的主机会很快失去反映。
1.6缓冲区溢出
缓冲区溢出的原理是:向一个有限空间的缓冲区中拷贝了过长的字符串, 它带来了两种后果:一是过长的字串覆盖了相邻的存储单元, 引起程序运行失败, 严重的可引起死机、系统重新启动等后果;二是利用这种漏洞可以执行任意指令, 甚至可以取得系统特权。
2网络攻击应对策略
2.1避免被SQL注入攻击
防火墙与杀毒软件对SQL注入是没办法防范的, 因为SQL注入入侵跟普通的WEB页面访问没什么区别, 所以往往是防不甚防。服务器管理员要做的事主要是配置IIS和数据库用户权限, 而网站程序员主要是要在程序代码编写上防范SQL注入入侵。SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的, 如果你把IIS设置成不管出什么样的ASP错误, 只给出一种错误提示信息, 即HTTP 500错误, 那么攻击者就没办法入侵了。
服务器管理员还应在IIS中为每个网站设置好执行权限, 不要给攻击者静态网站以“脚本和可执行”权限。一般情况下有“纯脚本”权限就够了, 通过网站后台管理中心上传的文件存放的目录, 执行权限设为“无”, 这样做是为了防止上传ASP木马, 执行权限设为“无”。
过滤一些特殊像单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符, 过滤的对象包括:用户的输入、提交的URL请求中的参数部分、从COOKIE中得到的数据, 至于数字值, 将其转换为整数型之前必须有SQL语句声明, 或者用ISNUMERIC确定它为一个整型数。
修改“STARTUP AND RUN SQL SERVER”的用户运行级别为低级别。
删除一系列你不需要的储存过程。
2.2缓冲区溢出的保护方法
2.2.1 强制编写正确的代码的方法
编写正确的代码是一件非常有意义但耗时的工作, 特别像编写C语言那种具有容易出错倾向的程序, 这种风格是由于追求性能而忽视正确性的传统引起的。尽管花了很长的时间使得人们知道了如何编写安全的程序, 具有安全漏洞的程序依旧出现。因此人们开发了一些工具和技术来帮助经验不足的程序员编写安全正确的程序。虽然这些工具帮助程序员开发更安全的程序, 但是由于C语言的特点, 这些工具不可能找出所有的缓冲区溢出漏洞。所以, 侦错技术只能用来减少缓冲区溢出的可能, 并不能完全地消除它的存在。
2.2.2 非执行的缓冲区
通过使被攻击程序的数据段地址空间不可执行, 从而使得攻击者不可能执行已植入的代码运行。为了保持程序的兼容性不可能使得所有程序的数据段不可执行。但是可以设定堆栈数据段不可执行, 这样就可以最大限度地保证了程序的兼容性。这种方法有效地阻止了很多缓冲区溢出的攻击。
2.2.3 数组的边界检查
这个方法使得缓冲区溢出不可能出现, 只要数组不能被溢出, 溢出攻击也就无从谈起, 从而完全消除了缓冲区溢出的威胁。为了实现数组边界检查, 则所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内, 这样会进行大量的运算进而大大地影响性能, 代价较大, 技术还不很完善。
2.2.4 程序指针完整性检查
程序指针完整性检查在程序指针被引用之前检测到它的改变, 因此, 即使一个攻击者成功地改变了程序的指针, 由于系统事先检测到了指针的改变, 因此这个指针将不会被使用。虽然这种方法不能使得所有的缓冲区溢出失效, 但它的确阻止了绝大多数的缓冲区溢出攻击, 而在性能上有很大的优势, 兼容性也很好。其中又有堆栈保护和指针保护。
最普通的缓冲区溢出形式是攻击活动纪录, 然后在堆栈中植入代码。而非执行缓冲区和堆栈保护可以有效防卫这种攻击。非执行缓冲区可以防卫所有把代码植入堆栈的攻击方法, 堆栈保护可以防卫所有改变活动纪录的方法。实验的数据表明, 这两种方法对于各种系统的缓冲区溢出攻击都有很好的保护作用, 并能保持较好的兼容性和系统性能, 可以同时防卫多种可能的攻击。
剩下的攻击基本上可以用指针保护的方法来防卫, 但是在某些特殊的场合需要用手工来实现指针保护。全自动的指针保护需要对每个变量加入附加字节, 这样使得指针边界检查在某些情况下具有优势。
2.3使用防火墙软件
防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障, 也可称之为控制进出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入。
2.4设置代理服务器
保护自己的IP地址最好的方法就是设置代理服务器, 事实上, 即使一台机器上被安装了木马程序, 但没有这台机器的IP地址, 攻击者也是无能为力。
2.5备份
将防毒、防黑当成日常例行工作, 定时更新防毒组件, 将防毒软件保持在常驻状态, 以彻底防毒。对于重要的个人资料做好严密的保护, 并养成资料备份的习惯。这是非常关键的一个步骤, 有了完整的数据备份, 我们在遭到攻击或系统出现故障时才可能迅速恢复我们的系统。
3结束语
网络攻击手段不断更新, 上述安全措施对网络安全可起到防护作用, 但仅仅依靠安全技术和工具不可能实现真正意义上的网络安全。相关的法律法规的保障也是必不可少的。同时, 作为网络用户一定要有良好的安全意识。
网络安全是信息时代一个永远沉默不了的话题, 可以说只要有网络的存在, 那么网络安全就得继续探索和发展。
摘要:随着Internet的发展与普及, 网络安全问题日益突出, 已经严重地干扰了网络的自由和安全。就此对目前网络中存在的安全问题进行了探讨与论证, 并对目前网络中比较流行的网络攻击手段进行了总结归类和研究与分析, 进而提出防御策略。
关键词:网络攻击,网络安全技术,网络攻击应对策略
参考文献
[1]蔡立军, 李立明, 李峰.计算机网络安全技术[M].北京:中国水利水电出版社, 2002.
[2]刘荫铭, 李金海, 刘国丽.计算机安全技术[M].北京:清华大学出版社, 2004.
[3]陈文云, 巩丹宏.网络通信软件设计原理及应用[M].西安:西安交通大学出版社, 2000.
[4]卿汉斯.密码学与计算机网络安全[M].北京:清华大学出版社, 2002.
[5]祁明.电子商务安全与保密[M].第3版.北京:高等教育出版社, 2003.
柑桔低温冻害的防御 篇10
1 早施、施足过冬肥
结果树应尽量早施、施足采果肥, 以便及时补充养分, 加速树体恢复, 提高抗寒能力。施肥时间可以随采随施, 最迟不要超过“小雪”。肥料宜速效肥和迟效肥配合使用, 速效肥可以使树势早恢复, 增强抗寒力, 迟效肥可以提高土温, 保护根部不受冻, 并不断供给树体养分。
2 适当提早采摘
结果较多的植株, 应分期分批适时采收, 以减少枝梢的养分消耗, 保持树势健壮, 增强植株抗寒能力。若挂果时间过长, 树体内的养分和水分大量消耗易受冻害。
3 及时培土
霜冻前培土, 以草皮土结合施用火烧土或土杂肥效果更好。培土应壅至根颈上部, 加厚土层, 减少地面水分蒸发, 提高土温, 保护根颈和根系不受冻。在霜期过后应将根颈以上的肥土扒开, 以防烂根和病虫为害。
4 树干刷白保护
树干刷白可以利用白色反射日光, 缩小其昼夜温差, 尤其对阳光直射到的树干南侧, 效果更显著。在霜冻前用生石灰10kg、硫磺粉1kg、食盐0.2kg, 加水30~40kg, 充分拌匀, 调成糊状, 涂刷根茎和主干, 可减轻冻害, 兼防病虫害。
5 树冠覆盖
桔园用稻草、草帘、麻包、加密遮荫网等覆盖, 一般能增温1~2℃, 防冻效果较好。
6 冻前灌水
俗话说“烂冻冻勿进, 燥冻冻到心”, 说明低温加干旱更会加重柑桔的冻害。所以, 干冻前1周及时灌水, 可以补充树体水分, 增强土壤和空气湿度, 可保墒又可防冻。
7 熏烟造雾
防御的艺术(二) 篇11
本文可以学到
1 什么是ARP攻击
2 针对ARP欺骗攻击的防御技巧
3 监控网络流量的技巧
4 分析网络数据攻击手段
本文涉及软件
ARP防火墙
本文重要知识点
1 ARP的攻击破坏性
2 ARP攻击的防护措施
3 如何进行网络监控
"A同学,有兴趣到我们公司来实习吗?我是上次交流会上遇到你的高小明,最近公司有几个网络安全方面的职务需要储备人才,希望你有时间来看看。"学生A的手机大早上传来一段留言。(提醒:大多这样的情况都是骗子,请广大读者谨慎考虑。本文内容来自实事,望读者自行审视。)
周一的早上,学生A正式开始了实习工作,由于刚刚进入公司,学生A被安排到机房的web服务器做网络检测分析并辅助公司技术人员对计算机进行修理工作,不过刚刚开始上班公司就出现了一次大规模IP地址冲突的故障事件。
ARP欺骗攻击与防御
"在本月中旬,公司的局域网内出现相当长时间的混乱,由于出现ARP欺骗攻击出现IP地址冲突导致70%的计算机无法上网,为解决此问题网络部今天晚上集体加班,争取尽早排除故障,保证公司网络正常运行。"周五下午XX集团例会上网络部主管刘经理向董事会申报了当月的工作情况。
"不会吧,我刚上班就要加班?不过刘主管,这ARP攻击是个什么东西?前段日子公司里计算机老是无故出现IP地址冲突和网络风暴是它的原因吗?"学生A问道,"还好意思问?你们做技术都没看过最近的网络资料?ARP攻击都不知道,好好学习去!!!"主管暴躁地喊着:"今天晚上搞不定网络你们就别下班了!!"
小知识:什么是ARP
ARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络IP地址转化为物理MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,ARP协议就像给计算机发放的通行证一样。
比如:主机A发出通告:IP为192.168.0.101的主机请报上你的mac来” (注:MAC地址是网络通讯卡的身份标志:在XP/2000操作系统下在"CMD命令行"中输入ipconfig /all可以获取本地网卡的MAC地址)
IP为192.168.0.101的主机响应这个广播,应答ARP广播为:
“我是192.168.0.101,我的mac为xxxxxxxxxx2”
于是,主机刷新自己的ARP缓存,确定了IP地址192.168.0.101的主机地址,然后向此IP的计算机发送了网络数据。由于每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,所以表里的IP地址与MAC地址是一一对应的:
IP地址 MAC地址
192.168.1.1 00-aa-00-62-c6-09
192.168.1.2 00-aa-00-62-c5-03
192.168.1.3 03-aa-01-75-c3-06
…… ……
ARP欺骗攻击
是如何实现的
当系统ARP缓存表被修改,不停地通知路由器一系列错误的内网IP,或者干脆伪造一个假的网关进行欺骗的话,网络就肯定会出现大面积的掉线问题。举个例子来描述一下ARP欺骗攻击的实现:
当一个入侵者想非法进入公司的数据服务器,而这台主机的防火墙只对192.0.0.3这个IP开放23口(telnet),攻击者无法入侵192.0.0.3(假设),所以他采用了ARP欺骗:
1.他先研究192.0.0.3这台主机,发现这台机器使用一个洪水数据包就可以让其死机。
2.于是,他送一个洪水包给192.0.0.3的139口,于是,该机器应包而死。
3.这时,主机发到192.0.0.3的IP包将无法被机器应答,系统自己的ARP对应表将192.0.0.3地址抹去。
4.这段时间里,入侵者把自己的IP改成192.0.0.3
5.他从新发一个ping给主机,要求主机更新主机的ARP转换表。
6.主机找到该IP,然后在ARP表中加如新的IP--;MAC对应关系。
7.火墙失效了,攻击者的IP变成合法的MAC地址, ARP欺骗攻击完成.
实例:如何判断ARP攻击
"还是老哥(公司网络部老员工)对我好。原理清楚了,赶紧干活,省得又熬到凌晨去!对了,正好现在192.168.0.1那个网段中午的时候还有ARP攻击现象,你老去解决一下,我学习如何操作。"学生A兴奋地跑向机房, 首先找到一台在192.168.0.X网段内受ARP攻击影响的计算机在CMD命令行内输入:arp -a
InterfacE: 192.168.0.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.0.101 00-e0-4c-8c-9a-47 dynamic
192.168.0.7000-e0-4c-8c-9a-47 dynamic
192.168.0.9900-e0-4c-8c-81-cc dynamic
可以断定MAC地址为00-e0-4c-8c-9a-47的机器感染了病毒。然后在CMD窗口中输入“ipconfig /all” (见图1)命令,查看每台机器的MAC地址:
(1)
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO
Physical Address. . . . . . . . . : 0-e0-4c-8c-9a-47
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.101
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1
DNS Servers . . . . . . . . . . . : 202.99.168.8
可以确定IP:192.168.0.101是ARP攻击的发起源,检查主机,并安装ARP防火墙进行隔离。(见图2)
(2)
ARP攻击的防御措施
彻底解决ARP的问题可是个体力活:
IP+MAC访问控制(即:将IP地址与MAC地址进行一一对应的绑定)
新建一个arp.bat文件,编辑内容为:
arp -d
arp -d
arp -d
arp -s 192.168.1.1 00-e0-eb-81-81-85(网关IP、MAC地址,可以通过ARP -A查找)
arp -s 192.168.1.101 00-0a-45-1c-c7-8e(本地IP、MAC地址,可以通过ipconfig查找)
在域内所有计算机执行arp.BAT文件将MAC地址与IP地址绑定就OK了,另外,如果使用的是在2007年以后出厂的路由器,大多都有域网IP+MAC地址绑定的功能,工作量就小多了。
静态ARP缓存表
每台装有TCP/IP协议的计算机上都有一个临时存放IP-MAC的对应表,ARP攻击就是通过更改这个缓存来达到欺骗的目的,我采用静态的ARP来绑定正确的MAC是一个有效的方法,在命令行下使用arp -a可以查看当前的ARP缓存表。
InterfacE: 192.168.1.101 on Interface 0x2
Internet Address Physical Address Type
192.168.1.1 00-14-78-d3-f5-9a dynamic
其中"dynamic" 代表动态缓存,即收到一个相关ARP包就会修改这项,如果是个非法的含有不正确的网关的ARP包,这个表就会自动更改。出现这种攻击后我们就不能找到正确的网关MAC,也就无法正常和其他主机通信。
执行"arp -s 192.168.1.100 00-03-6b-7f-ed-02"后,我们再次查看ARP缓存表:
C:Documents and Settingscnqing>arp -a
InterfacE: 192.168.1.101 on Interface 0x2
Internet Address Physical Address Type
92.168.1.1 00-14-78-d3-f5-9a static
此时"TYPE"项变成了"static",静态类型。这个状态下,是不会在接收到ARP包时改变本地缓存的,从而有效地防止ARP攻击。(注:静态的ARP条目在每次重启后都要消失需要重新设置。)
网络数据分析监控ARP攻击
要监控ARP攻击,就必须对防火墙进行新的安全部署,由于ARP攻击出现的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,网络速度会越来越慢。当ARP攻击停止运行时,路由器重新刷新缓存上网,切换过程中用户会断一次线并混乱的发现本地网内出现IP地址冲突现象,所以根据这种现象可以通过对防火墙的接受/发送ARP数量进行监视从而分析出是否有攻击产生并进行防御(见图3、图4)。
(3)
自适应混合入侵防御 篇12
关键词:自适应,入侵防御系统,异常分类器,签名过滤系统,指令集随机化
1 引言
由于信息安全与网上信息对抗的需求,使得如何增强计算机系统和网络系统的安全性的研究成为了举世瞩目的焦点[1]。网络防御系统的目标是预先对入侵活动和攻击性网络数据进行拦截,避免其造成损失[2],但一个关键问题是网络防御系统对攻击行为不能自动做出一个可靠的,有针对性的及适应性的反应[3]。当溢出被一些未曾见过的攻击利用时,这个问题将会被放大。网络防御系统通常是由基于网络的IDS(Intrusion Detection System)的和包过滤防火墙组成,由于这些这些系统本身的缺点,使它们难以确定和描述新的攻击并智能化的应对它们。
由于IDS只能被动的检测攻击,而攻击防范往往是留给防火墙的任务。当然成功阻止一次确定的攻击通信需要一个灵活和明确的策略,此外大量的网络流量与签名进行匹配往往需要专业的硬件设备并假设这些签名准确的存在。另外加密流量和隧道流量成了IDS和防火墙共同的问题,因此无论是IDS还是防火墙都无法确定一个数据包在终端主机被进行了怎样的处理,从而导致它们做出错误的决定[4]。
这些阻碍促使我们将安全控制策略的放置更接近终端主机(例如,分布式防火墙)[5]。这种方法对系统安全性的保护不仅有利于企业级网络,而且还包括那些家庭网络用户。这种“纵深防御”表明传统的外围防御(如:防火墙)已被应用到基于主机的防护机制中。本文设计了这样一个系统,它采用混合异常检测及签名检测的方案,自适应地应对新的攻击。
2 自适应混合防御系统关键部件及技术
2.1 混合检测
一般情况下,检测系统仅仅依赖于签名并不能启用防御系统来应对前所未见的攻击行为。另外,基于异常的分类器可以识别新的行为,但往往无法分辨以前所未见的这些行为是“好”还是“坏”。这个盲点通常会导致较高误报率,并要求这些分类器进行过大量的训练。
混合检测系统以入侵防御系统IPS(Intrusion Prevention System)为基础:是一个有自动反应能力来阻止攻击行为的系统。我们的混合系统的核心是一种基于异常的分类器,它结合反馈信息调整其模型并自动生成已知恶意行为的签名。我们的异常检测是基于PayL[6],但也可用于其他分类器[7]。
对于一个混合系统最大的障碍是反馈信息的来源。理想的情况下,它应该是自动化的并且对用户是透明的。例如,对垃圾邮件分类器的反馈可能是用户在自己的电子邮件点击按钮,通知客户端的邮件服务器,以考虑将其归类为垃圾邮件或不适当的电子邮件。这种反馈循环是一个网上监督式学习的实例,它将监督负担分配给了每一个系统用户。我们系统的反馈机制加强了无监督的网上学习。信息来源是基于X86模拟器,STEM[8],即以指令集随机化增强保护系统进程。
2.2 指令集随机化
ISR是创造一个独特的运行环境的过程并以此有效地阻止代码注入式攻击。创建这种环境的目的是在这个指令集执行一些可逆转换。
因为攻击者通过精心设计与所预期的执行环境相匹配,致使攻击者不会轻易改变他的攻击代码,而攻击代码与特殊环境的不匹配致使攻击代码在特殊环境执行无效,从而导致攻击失败。ISR方法以前已被证明在阻止代码注入式攻击上的成功[9,10],这种技术通常与空间地址混合来阻止“跳成libc”攻击。
指令集随机化需要执行环境有能力以终止在运行时随机的或解码的二进制指令流。对于机器代码,这一要求意味着,要么处理器硬件包含解码逻辑,要么该处理器以软件的形式出现。
ISR的实践形式,使我们能捕获注入代码和与它相关的被列为异常的输入。Barrantes等人[11]表明,在一些控制流字节切换(两个或三个指令)到注入代码的过程中,代码注入攻击被保护的二进制文件失败。因此,在程序停止执行时,指令指示器(有很高的几率)表明此代码是恶意代码。我们可以提取这些代码,并传送给我们的过滤器来创建一个新的签名并更新我们的分类器的模型。
3 设计与实现
FLIPS的设计基于两个主要部分:应用程序监管框架和过滤代理。该设计的一个主要目标是保持系统的模块化并可扩展部署在一个主机上。(图1显示了这种设计的高级视图。)受保护的程序可以是一个服务器等待请求或是接收客户端程序的输入,如果被视为恶意的将被过滤代理丢弃。如果监控器检测出被保护的程序出现了错误,这标志过滤器在更新其签名和模型。
过滤代理的主要功能是对输入进行评分和分级并选择性的进行丢弃,代理则是两个主要分类方案的混合。基于特征的过滤器可以对某个请求进行评分和丢弃如果它与已知的恶意数据相匹配,而基于异常的分类器则可以对输入程序进行评分和丢弃如果它超出了正常的模型范围。
应用程序监管框架的主要功能是阻止溢出,修复可能被利用的漏洞,并将溢出信息汇报给过滤器和分类器。监管框架可以包括些基于主机的监控器,由它们提供给代理各种补充的反馈信息。我们的原型实现是基于一种提供与代码注入式攻击有关信息的监控器。
请求从过滤代理通过,如果被认为是恶意的将被丢弃。包过滤防火墙为应用程序提供保护,只允许本地代理实例连接应用程序。应用程序处理这些请求并通过代理传回响应。如果某个输入引起代码注入攻击,监管框架会将注入代码连接到代理,代理将会更新其模型和签名。
3.1 HTTP代理和Pay L
HTTP代理是一个简单的对每个输入请求产生一个新的线程实例的HTTP服务器。在服务程序中,代理调用一系列对H T T P请求的过滤器对象。我们的默认过滤器执行维护三个基于签名的过滤器和一个分类器对象。PayL实现了分级界面以对每个基于异常的H T T P请求给予标记。当代理启动时,它创建一个PayL实例并提供给PayL一个traffc文件样本用以改进。
我们构建了一个HTTP代理(Apache)以保护HTTP服务器免受恶意请求的攻击,代理通过调用三个过滤机制及P a y L来决定如何处理每一个H T T P请求。
过滤器实现的核心是将其划分为两个子程序,checkRequest()程序执行基本过滤和分类工作。它维持4数据结构用以支持过滤功能。第一个为“可疑”输入要求清单(由PayL确定)。这一清单作为一个缓存为匹配以证实的恶意输入提供了良好的反馈机制,但值得注意的是,此清单并不用于删除请求。其余的数据集合形成一个三级过滤结构,在权衡复杂性的同时更加积极的实现过滤。这些清单并不是通过PayL确定而是通过反馈机制产生。第一层的过滤为直接匹配。该过滤器是最实惠的,即使略有质变但它却最有可能阻止恶意请求。第二个过滤器是一个反向查找过滤器,它们的存储请求由PayL的评分来决定。最后,由最长公共子串过滤器来提供昂贵但却是捕获恶意请求的最有效手段。
第二个组件作为代理的反馈机制,它是一个后台线程监听,关注来自于S T E M所包含的恶意二进制代码,此线程仅读取一个字节并检查它们是否与我们先前所熟知的“可疑”输入相匹配(如PayL分类),如果不是,那么该线程将会把检测范围扩大到之前见过的包含那些缓存较小的所有请求。匹配是目前最常用的子算法,如果匹配成功,则该请求将被用在上述筛选数据结构。如果没有,以此恶意字节序列为基础,一个新的请求将被创建并写入过滤器。
我们的监管架构是一个应用级程序库,它提供了一个模拟器在去随机性指令流和底层硬件正常执行的指令流之间自由切换的能力,如图3所示,将要被仿真的代码段将4个特殊标签包裹起来。
此程序为一个使用S T E M标签的实例。
STEM是一个x86模拟器,可以有选择地调用任意的代码段,允许我们在同一进程内部混合仿真及非仿真的执行。模拟器允许我们监测当执行指令时的随机处理错误,撤销由内部代码故障引起的内存变化,并模拟一个从上述调用函数返回的错误,我们的一个主要假设是我们能够在错误和异常集之间建立一个映射,这种错误和异常可能出现在程序的执行以及该程序代码处理的错误集。
3.3 ISR技术
主循环由仿真器读取,解码,执行以及每次撤销一个指令组成,在抓取指令之前每一项是随机发生的,由于x86架构包含可变长度的指令,在指令流翻译出足够的字节是解码成功的关键。否则,可能会产生无效的操作。为了使问题简化,我们假设每个指令的最大长度为(16字节)。16位字XOR'd伴随16位密钥,并复制到缓冲区。获取/解码函数读取缓冲区和提取一个指令。伴随处理指令的准确长度程序计数器是递增的。如果指令在1 5字节或更少的情况下,不必要的去随机将会发生,但这是可变长度指令不可避免的一个副作用。如果注入的代码位于执行路径的任何位置,异或函数会将其转换为一个非法操作码或指令,这样将会访问无效的内存地址。如果在仿真过程中发生异常,S T E M将会通知在指令指示器中的代码服务器,STEM每捕捉1KB的代码将会打开一个简单的TCP套接字代理,然后STEM将模拟一个从函数处返回的错误。
4 模拟实验
我们目的是表明主动防御和签名相结合是有价值的,甚至是一个相当优化的代理执行。我们的评估主要有三个目的:
1.表明该系统能够很好的进行分类。
2.表明该系统可以在端至端间执行。
3.表明该系统具有相对良好的性能。
第一个目标是为PayL计算出完整的ROC曲线。第二个目标是通过一个端对端的实验检验该系统检测攻击的速度。记录过滤器捕捉到的攻击字节,建立适当的过滤规则,并终止下一个此攻击实例。我们像代理发送由同样攻击组成的请求流并测量代理过滤的时间。第三个目标是测量代理服务器处理两种不同H T T P痕迹的额外时间。
Apache2.0.52作为一个简单的修改配置文件的基本生产服务器实例,关闭“KeepAlive”的属性设置,然后,一个简单的awk脚本重建HTTP请求。代理服务器由JAVA编写,与Linux平台下Sun JDK 1.5.0,并在Linux平台下Sun JVM 1.5.0上运行。代理服务器运行在双核至强2.0GHz处理器,1GB内存,操作系统为Fedora Core 3,内核版本2.6.10-1.770 FC3smp。生产服务器平台运行在双核至强2.8 H z处理器,1 G B内存,操作系统为Fedora Core 3,内核版本2.6.10-1.770FC3smp。代理服务器与生产服务器通过一个千兆以太网交换机连接,实验进行前对服务器进行重置,同样数据进行重复进行10次实验。
我们通过运行Apache web服务器和执行微基准测试在一些shell实用程序上,以此来评估STEM的性能。我们选择Apache flood httpd实验工具,以评估和比较非仿真和仿真的Apache版本处理请求的速度。在实验中,我们通过已处理的请求总数来决定测量性能,如表4所示,每秒处理请求的总数是由在一小段时间内所发送、处理的请求推测得到,而并不是意味我们的Apache实体每秒能够承受6000次请求。"emurand"符号表明STEM的(随机仿真)使用。
我们选择了一些常见的公式并测量有S T E M和没有S T E M情况下大负荷工作不同试验类型的性能。如预想中的一样,在仿真大部分应用时会对性能有很大影响。实验表明,仅在仿真潜在易受攻击的代码部分时存在明显超越整个系统仿真性能的情况。
PayL是一个基于内容的异常检测器。为了在FLIPS混合PayL,采用PayL在HTTP上的请求。在网络要求上测试PayL运营的有效性,收集了5MB的HTTP协议。这个数据集合有多种红色代码和其他恶意要求。作为底线标准,可以人工识别恶意入侵。接收机工作特性曲线如图4。
从图中可以看出,关于HTTP的PayL的分类结果比较普通。当所有的红色编码和尼姆达疑问被成功的防御,仍有许多看起来不是异常的入侵的查询,PayL不能辨认。如果P a y L工具来观察整个HTTP请求,包括实体自身,结果将更精确。PayL本身并不能保护服务器,并且需要更多的信息来调整其模型。
5 结束语
传统的入侵检测系统侧重于查明试图攻破计算机系统和网络。现有的入侵检测,无论是基于主机的IDS还是基于网络的IDS,在很大程度上都依赖于网络管理员的能力和直觉,需要人工地调整入侵检测系统。攻击事例和管理员的经验是入侵检测中最为重要的两个方面,IDS的开发与升级需要攻击事例和管理员经验这两方面长时间的原始积累。
我们提出FLIPS入侵防御系统,采用了异常分类组合方式和签名匹配二进制代码块注入攻击,此种混和式检测系统的反馈由STEM来提供,x86模拟器能够将指令集的执行随机化(ISR)。STEM可以识别插入的代码,自动恢复的攻击,并将攻击代码提交给异常和签名分类器。我们已经展示了FLIPS如何发现,制止,修复,并创建一个以前未知的攻击签名。虽然我们只展示了FLIPS对HTTP服务器保护的实现,然而FLIPS的机制也广泛适用于基于主机的入侵防御。
参考文献
[1]孙宇.网络入侵防御系统(IPS)架构设计及关键问题研究[D].天津:天津大学,2005.
[2]刘才铭.基于免疫的多通道入侵防御模型[J].计算机应用研究,2008,2(25):.
[3]R.E.OVERILL.How Re(Pro)active Should an IDSBe?In Proceedings of the 1st International Workshop onRecent Advances in Intrusion Detection(RAID)[C].Septem-ber 1998.
[4]M.HANDLEY,V.PAXSON,and C.KREIBICH.Network Intrusion Detection:Evasion,Tra?c Normalization,and End-to-End Protocol Semantics[C].In Proceedings ofthe USENIX Security Conference,2001.
[5]S.IOANNIDIS,A.D.KEROMYTIS,S.M.BELLOVIN,and J.M.SMITH.Implementing a Distributed Firewall.InProceedings of the 7th ACM International Conference onComputer and Communications Security(CCS)[C],2000,11:190-199.
[6]K.WANG and S.J.STOLFO.Anomalous Payload-based Network Intrusion Detection.In Proceedings of the 7thInternational Symposium on Recent Advances in IntrusionDetection(RAID)[C].,2004,9:203-222.
[7]C.KRUGEL,T.TOTH,and E.KIRDA.Service Spe-cific Anomaly Detection for Network Intrusion Detection.In Proceedings of the ACM Symposium on Applied Com-puting(SAC)[C],2002.
[8]S.SIDIROGLOU,M.E.LOCASTO,S.W.BOYD,andA.D.Keromytis.Building a Reactive Immune System forSoftware Services.In Proceedings of the USENIX AnnualTechnical Conference[C],2005,(6):149-161.
[9]E.G.BAntes,D.H.Ackley,S.Forrest,T.S.Palmer,D.Stefanovic,andD.D.Zovi.Randomized Instruction SetEmulation to Distrupt Binary Code Injection Attacks.InProceedings of the 10th ACM Conference on Computer andCommu-nications Security(CCS)[C],2003,10.
[10]G.S.Kc,A.D.Keromytis,and V.Prevelakis.Coun-tering Code-Injection Attacks With Instruction-SetRandomization.In Proceedings of the 10th ACM Confer-ence on Computer and Communications Security(CCS)[C],2003,10.