Bi數據分析，其實也就是從海量的數據中通過各種各樣的計算方式把這些數據來進行分析，從中就可以找到數據之間到底又有著什么樣的一些相關性。

BI（Business Intelligence）軟件本身也就是商務智能，是將原始數據轉換為有意義的信息以驅動可獲利的業務操作的一組流程，體系結構和技術，它是將數據轉換為可操作的智能和知識的一套軟件和服務。BI對組織的戰略，戰術和運營業務決策有直接影響。BI支持使用歷史數據而不是假設和直覺來進行基于事實的決策。

商業智能系統將數據收集、數據存儲和知識管理與數據分析相結合，以評估并將復雜數據轉換為有意義的、可操作的信息，這些信息可用于支持更有效的戰略、戰術和運營洞察和決策。業務智能環境由各種技術、應用程序、流程、策略、產品和技術架構組成，這些技術架構用于收集、分析、表示和傳播內部和外部業務信息。

很多人覺得，Excel表格和BI技術差不多，都是用來做數據分析的。其實不然。

BI進行數據分析過程的第一步，是數據收集。現在的BI系統可以對接很多類型的數據倉庫，大大提高了效率。下一步就是找到可能影響數據質量的問題，消除錯誤和重復數據。然后，就是數據分析的結果了，用戶可以自主選擇。BI系統，真正做到了自助、敏捷的數據分析。

異常檢測是指通過攻擊行為的特征庫,采用特征匹配的方法確定攻擊事件，誤用檢測通常不能發現攻擊特征庫中沒有事先指定的攻擊行為,所以無法檢測層出不窮的新攻擊。

異常檢測(Anomaly detection) 的假設是入侵者活動異常于正常主體的活動。

根據這一理念建立主體正常活動的“活動簡檔”，將當前主體的活動狀況與“活動簡檔”相比較，當違反其統計規律時，認為該活動可能是“入侵”行為。

異常檢測的難題在于如何建立“活動簡檔”以及如何設計統計算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。

異常檢測的局限在于并非所有的入侵都表現為異常，而且系統的軌跡難于計算和更新；

誤用檢測是一種檢測計算機攻擊的方法。

在誤用檢測方法中，首先定義異常系統行為，然后將所有其他行為定義為正常。它反對使用反向的異常檢測方法：首先定義正常系統行為并將所有其他行為定義為異常。通過誤用檢測，任何未知的都是正常的。

誤用檢測的一個例子是在入侵檢測系統中使用攻擊簽名。誤用檢測也被更普遍地用于指各種計算機濫用。

理論上，誤用檢測假設異常行為具有易于定義的模型。它的優點是可以簡單地將已知攻擊添加到模型中。它的缺點是無法識別未知的攻擊。

網絡踩點（footprinting）是指攻擊者對被攻擊目標進行有目的、有計劃、分步驟的信息收集和分析過程。通過網絡踩點可以掌握被攻擊目標的完整信息，并從中發現存在的安全隱患，為進一步實施攻擊提供幫助。網絡踩點常用的技術分為Web信息收集、地址信息查詢和網絡拓撲探測3種方式。網絡踩點一般是指攻擊者針對被攻擊對象信息的收集方法和途徑其中的一種方式，除此以外還有網絡掃描和網絡查點兩種信息收集方法。

網絡踩點常用的技術有以下這些：

• Web信息收集：Web信息收集是利用Web搜索引擎提供的功能，對被攻擊目標（組織或個人）的公開信息進行收集并發現為進一步實施攻擊有用的信息。對于攻擊者來說，從互聯網的海量信息中收集與攻擊目標有關的信息，是一種最為直接的網絡踩點方法，強大的Web搜索引擎可以幫助攻擊者實現這一目的。由于每一種搜索引擎都存在搜索功能、范圍和效果上的差異性，因此為了能夠綜合不同搜索引擎的優勢進行信息的收集，提出了“元搜索引擎”的概念。所謂元搜索引擎，又稱為集合型搜索引擎，是指將多個單一搜索引擎集成在一起，提供統一的檢索接口，將用戶的檢索提問同時提交給多個獨立的搜索引擎，并進一步對多個獨立搜索引擎的檢索結果進行處理（包括去重、排序等），最后將處理結果提交給攻擊者。

• 地址信息查詢：在網絡踩點中多采用DNS和IP查詢方法。利用DNS和IP地址信息，攻擊者可以獲得攻擊目標的互聯網位置信息及相關聯的地理位置信息。例如，利用Whois可以在互聯網上查詢到DNS注冊信息，一般包括注冊人和注冊商的詳細信息，通過這些信息便可以獲得注冊人（單位或個人）的具體地理位置等信息。又如，利用IP Whois可以在互聯網查詢到DNS注冊人所使用的IP地址、通信地址、聯系電話等信息。有了這些信息，攻擊者可以掌握攻擊目標的網絡空間和社會空間信息，為進一步實施物理攻擊或社會工程學攻擊提供幫助。

• 網絡拓撲探測：路由路徑跟蹤是實現網絡拓撲探測的主要手段，Linux操作系統中的traceroute和Windows環境中的tracert程序分別提供了不同平臺上的路由路徑跟蹤功能。兩者的實現原理相同，都是用TTL（IP生存時間）字段和ICMP錯誤消息來確定從一個主機到網絡上其他主機的路由，從而確定IP數據包訪問目標IP所采取的路徑。當對目標網絡中的不同主機進行相同的路由跟蹤后，攻擊者就可以綜合這些路徑信息，繪制出目標網絡的拓撲結構，并確定關鍵設備在網絡拓撲中的具體位置信息。

云原生保護應用程序代碼的措施有以下這些：

• 僅通過TLS訪問：如果你的代碼需要通過TCP通信，請提前與客戶端執行TLS握手。除少數情況外，請加密傳輸中的所有內容。更進一步，加密服務之間的網絡流量是一個好主意。這可以通過被稱為雙向TLS或mTLS的過程來完成，該過程對兩個證書持有服務之間的通信執行雙向驗證。

• 限制通信端口范圍：此建議可能有點不言自明，但是在任何可能的情況下，你都只應公開服務上對于通信或度量收集絕對必要的端口。

• 第三方依賴性安全：最好定期掃描應用程序的第三方庫以了解已知的安全漏洞。每種編程語言都有一個自動執行此檢查的工具。

• 靜態代碼分析：大多數語言都提供給了一種方法，來分析代碼段中是否存在潛在的不安全的編碼實踐。只要有可能，你都應該使用自動工具執行檢查，該工具可以掃描代碼庫以查找常見的安全錯誤。

• 動態探測攻擊：你可以對服務運行一些自動化工具，來嘗試一些眾所周知的服務攻擊。這些攻擊包括SQL注入、CSRF和XSS。OWASPZedAttack代理工具是最受歡迎的動態分析工具之一。

云堡壘機和普通堡壘機有相同的功能不同之處是云堡壘機完全在云上實現如下功能：

• 登錄功能

  支持對X11、linux、unix、數據庫、網絡設備、安全設備等一系列授權賬號進行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統密碼，即可實現自動登錄目標設備，便捷安全。

• 賬號管理

  設備支持統一賬戶管理策略，能夠實現對所有服務器、網絡設備、安全設備等賬號進行集中管理，完成對賬號整個生命周期的監控，并且可以對設備進行特殊角色設置如：審計巡檢員、運維操作員、設備管理員等自定義設置，以滿足審計需求

• 身份認證

  身份認證設備提供統一的認證接口，對用戶進行認證，支持身份認證模式包括動態口令、靜態密碼、硬件key、生物特征等多種認證方式，設備具有靈活的定制接口，可以與其他第三方認證服務器之間結合；安全的認證模式，有效提高了認證的安全性和可靠性。

• 資源授權

  設備提供基于用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權，最大限度保護用戶資源的安全

• 訪問控制

  設備支持對不同用戶進行不同策略的制定，細粒度的訪問控制能夠最大限度的保護用戶資源的安全，嚴防非法、越權訪問事件的發生。

• 操作審計

  設備能夠對字符串、圖形、文件傳輸、數據庫等全程操作行為審計；通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作，對違規行為進行事中控制。對終端指令信息能夠進行精確搜索，進行錄像精確定位。

電子商務系統安全包括：

• 電子商務系統的硬件安全：硬件安全是指保護計算機系統硬件（包括外部網絡互聯設備）的安全，保證其自身的可靠性和為電子商務系統提供基本安全機制。

• 電子商務系統的軟件安全：軟件安全是指保護軟件和數據不被篡改、破壞和非法復制。系統軟件安全的目標是使計算機系統邏輯上安全，主要是使系統中信息的存取、處理和傳輸滿足系統安全策略的要求。

• 電子商務系統的運行安全：運行安全是指保護系統能連續穩定和正常地運行。

• 電子商務系統的交易安全：在互聯網上的電子商務交易過程中，最核心和關鍵的向題就是交易的安全性，電子商務系統的交易安全性是保護整個電子商務活動交易過程能安全進行。

• 電子商務安全立法：電子商務安全立法是對電子商務犯罪的約束，它是利用國家機制，通過安全立法，體現與犯罪斗爭的國家意志。

一個能夠有效地進行軟件安全檢測的系統應該具備以下功能:

• 內存管理：包括幾個重要的內存管理措施，如引用局部性、垃圾回收、類型安全和代碼訪問安全等，這些措施可以幫助軟件實現適度的內存安全控制。

• 例外管理：對所有的例外都必須要明確處理，最好采用統一的方法來處理，以防止敏感信息泄露。

• 會話管理：要求會話具有唯一的會話令牌，并對用戶活動進行跟蹤。

• 配置參數管理：組成軟件的配置參數需要被管理和保護，避免被攻擊者利用。

• 并發控制技術：一些常用的預防競爭條件或者TOC/TOU攻擊的保護方法主要包括避免競爭窗口、操作的原子性和交叉互斥。

• 標簽化技術：使用用戶唯一的身份符號代替敏感信息的過程，既保存了需要的相關信息，又不會對安全造成破壞。

• 沙箱技術：通過沙箱將運行的軟件與主機操作系統隔離，避免未經測試的、不可信的、未經驗證的代碼和程序被執行，尤其是要避免那些由第三方發布的程序直接在主機操作系統上運行。

• 安全的API：要避免使用那些容易受到安全破壞的、被禁用和被棄用的API函數，代之以安全的API。

• 防篡改技術：防篡改技術保證完整性，保護軟件代碼和數據免受未授權的惡意修改。幾種典型的防篡改技術有代碼混淆、抗逆向工程和代碼簽名。

蠕蟲技術的現狀如下：

• 多平臺:新型蠕蟲不再局限于Windows操作系統計算機，而是可以攻擊多樣化的平臺，尤其是現在流行的UNIX,或者攻擊流行文件類型所支持的宏語言或腳本語言。

• 多攻擊點:新蠕蟲能夠以多種方式入侵系統，其中包括攻擊網絡服務器、瀏覽器、電子郵件、文件共享及其他基于網絡的應用，或者借助于共享媒介。

• 超速傳播:利用各種技術以最優化蠕蟲傳播速度，從而最大化蠕蟲在短時間內定位盡可能多易感染計算機的可能性。

• 多態:為逃避檢測，跳過過濾并阻止實時分析，蠕蟲采用病毒的多態技術。每個蠕蟲副本都可以利用功能上等價的指令以及加密技術生成新代碼。

• 變形:改變自身形態外，變形蠕蟲還在復制的不同階段中釋放不同行為模式的指令表。

• 傳輸工具:由于編蟲可以迅速危及大量系統的安全，他們是傳播多種惡意載荷的理想工具，比如DDos攻擊、rootkit、垃圾郵件生成器和間諜軟件。

• 零日攻擊:為達到最有效的突襲和最廣的分布，蠕蟲需要攻擊不為人知的漏洞。這種漏洞在蠕蟲發起進攻時才被網絡公眾發現。

可以使用以下文件加密工具來加密數據：

• Ziperello：Ziperello中文版是一款用于恢復zip壓縮文件密碼的工具。支持標準的 ZIP2.0 加密以及128位的 AES 加密算法。該軟件提供了用于選擇被密碼保護的 ZIP 存檔，選擇恢復方法，以及指定參數以降低密碼復雜性的分步式操作界面。與所有的密碼恢復工具相同，如果你至少記得密碼的一部分或者近似的密碼長度將非常有用，因為這會急劇加速密碼的恢復速度。其它功能包括對自解壓存檔的支持以及靈活的模板設置。

• VeraCrypt：VeraCrypt是老牌加密軟件，適用于 Windows，Mac OSX 和 Linux 的免費開源磁盤加密軟件。VeraCrypt 是 TrueCrypt 的分支，主要開發者是法國的 Mounir Idrassi，他在 TrueCrypt 基礎上強化了防暴力破解功能。曾經巴西聯邦警察請求美國協助破解在巴西金融犯罪的銀行家處收繳的5塊硬盤，而FBI經過一年努力也未能破解，其中一款軟件就是TrueCrypt，而另一種是一個不知名的256位AES加密軟件。

• Foxmail Password Decryptor：Foxmail的密碼解密是自由軟件，即時恢復郵件帳戶密碼從Foxmail中新興的電子郵件客戶端之一。在注冊表中的Foxmail存儲所有配置的郵件帳戶密碼以加密格式。這個軟件可以幫助在自動發現和恢復所有這些存儲 的密碼。此外，它同時支持GUI界面和命令行版本在一個工具。這使得它的滲透測試人員和法醫調查員的有用工具。

• 華為配置加解密工具：華為配置加解密工具是一款加密解密工具，指定xml文件進行加密或解密操作，對指定cfg文件加密或解密，輸入密碼進行$1/$2/SU解密。

• QQExplorer：QQExplorer是一個2015最新的QQ密碼破解工具，軟件是通過密碼字典加服務器驗證的方法來破解密碼，可以幫你找回丟失的QQ密碼。當然利用QQExplorer的原理QQExplorer也成了很多不發份子在線盜QQ的工具，所以可別用它做壞事呦！

滲透測試網絡踩點的目的是進行信息收集，指通過合法手段或者在被測試者規定范圍內使用非法手段，有計劃、有步驟地收集信息和情報，從而了解目標網絡的環境和安全防御設施的狀況，獲取目標網絡的概況。踩點的目的可以總結為獲得目標網絡的完整剖析圖、網絡拓撲圖，尋找到目標網絡中可能存在的薄弱環節同時為進一步的滲透測試行動提供指引。網絡踩點常用的技術分為Web信息收集、地址信息查詢和網絡拓撲探測3種方式。

網絡踩點常用的技術有以下三種：

• Web信息收集：Web信息收集是利用Web搜索引擎提供的功能，對被攻擊目標（組織或個人）的公開信息進行收集并發現為進一步實施攻擊有用的信息。對于攻擊者來說，從互聯網的海量信息中收集與攻擊目標有關的信息，是一種最為直接的網絡踩點方法，強大的Web搜索引擎可以幫助攻擊者實現這一目的。由于每一種搜索引擎都存在搜索功能、范圍和效果上的差異性，因此為了能夠綜合不同搜索引擎的優勢進行信息的收集，提出了“元搜索引擎”的概念。所謂元搜索引擎，又稱為集合型搜索引擎，是指將多個單一搜索引擎集成在一起，提供統一的檢索接口，將用戶的檢索提問同時提交給多個獨立的搜索引擎，并進一步對多個獨立搜索引擎的檢索結果進行處理（包括去重、排序等），最后將處理結果提交給攻擊者。

• 地址信息查詢：在網絡踩點中多采用DNS和IP查詢方法。利用DNS和IP地址信息，攻擊者可以獲得攻擊目標的互聯網位置信息及相關聯的地理位置信息。例如，利用Whois可以在互聯網上查詢到DNS注冊信息，一般包括注冊人和注冊商的詳細信息，通過這些信息便可以獲得注冊人（單位或個人）的具體地理位置等信息。又如，利用IP Whois可以在互聯網查詢到DNS注冊人所使用的IP地址、通信地址、聯系電話等信息。有了這些信息，攻擊者可以掌握攻擊目標的網絡空間和社會空間信息，為進一步實施物理攻擊或社會工程學攻擊提供幫助。

• 網絡拓撲探測：路由路徑跟蹤是實現網絡拓撲探測的主要手段，Linux操作系統中的traceroute和Windows環境中的tracert程序分別提供了不同平臺上的路由路徑跟蹤功能。兩者的實現原理相同，都是用TTL（IP生存時間）字段和ICMP錯誤消息來確定從一個主機到網絡上其他主機的路由，從而確定IP數據包訪問目標IP所采取的路徑。當對目標網絡中的不同主機進行相同的路由跟蹤后，攻擊者就可以綜合這些路徑信息，繪制出目標網絡的拓撲結構，并確定關鍵設備在網絡拓撲中的具體位置信息。

計算機病毒按照計算機病毒的攻擊機型分為：

• 攻擊微型計算機的計算機病毒：這是世界上傳染最為廣泛的計算機病毒。

• 攻擊小型機的計算機病毒：小型機的應用范圍是極為廣泛的，它既可以作為網絡的一個節點機，也可以作為計算機網絡的主機。自1988年11月份Internet受到worm程序的攻擊后，人們認識到小型機也同樣不能免遭計算機病毒的攻擊。

• 攻擊工作站的計算機病毒：隨著計算機工作站應用的日趨廣泛，攻擊計算機工作站的計算機病毒的出現也是對信息系統的一大威脅。

• 攻擊大型機的病毒：由于大型機使用專用的處理器指令集、操作系統和應用軟件，攻擊大型機的病毒微乎其微。但是，病毒對大型機的攻擊威脅仍然存在。例如，在20世紀60年代末，在大型機UnivaX1108系統上出現了可將自身鏈接于其他程序之后的類似于當代病毒本質的計算機程序。

• 攻擊計算機網絡的病毒：在計算機網絡得到空前應用的今天，在因特網上出現的網絡病毒已經是屢見不鮮。

• 攻擊手機的病毒：隨著移動應用/物聯網等的普及，在移動手機上的病毒也越來越多，而且發展迅猛。

邏輯漏洞造成的危害主要有以下幾種：

• 大量敏感數據泄露，越權訪問，越權重置口令。

• 商品低價支付經濟損失，商品/產品金額、數量篡改等。

• 活動被惡意刷取，卡/券重復領取，條件競爭等。

• 源惡意損耗，支付接口、短信/郵件接收。

nmap掃描端口命令如下：

1. 查看當前開放的端口：nmap localhost；

2. 查看主機端口（1024-65535）中開放的端口：nmap -p 1024-65535 localhost；

3. 探測目標主機開放的端口：nmap -PS ip地址；

4. 探測所列出的目標主機端口：nmap -p22,80,3306 ip地址；

5. 探測目標主機操作系統類型、端口服務名稱、版本信息：nmap -sV -O localhost。

等級保護需要用到的安全產品：

防火墻

防火墻的功能主要是兩個網絡之間做邊界防護，企業中更多使用的是企業內網與互聯網的NAT、包過濾規則、端口映射等功能。生產網與辦公網中做邏輯隔離使用，主要功能是包過濾規則的使用。

防毒墻

同防火墻，并增加病毒特征庫，對數據進行與病毒特征庫進行比對，進行查殺病毒。

入侵防御

同防火墻，并增加 IPS 特征庫，對攻擊行為進行防御。

統一威脅安全網關

同時具備防火墻、防毒墻入侵防護三個設備的功能。

網閘

主要是在兩個網絡之間做隔離并需要數據交換，網閘是具有中國特色的產品。

網絡安全審計

針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。滿足用戶對互聯網行為審計備案及安全保護措施的要求，提供完整的上網記錄，便于信息追蹤、系統安全管理和風險防范。

數據庫安全審計

審計對數據庫的各類操作，精確到每一條 SQL命令，并有強大的報表功能。

日志審計

通過對網絡設備、安全設備、主機和應用系統日志進行全面的標準化處理，及時發現各種安全威脅、異常行為事件，為管理人員提供全局的視角，確保客戶業務的不間斷運營安全部署:旁路模式部署。通常由設備發送日志到審計設備， 或在服務器中安裝代理，由代理發送日志到審計設備。

堡壘機

主要是針對運維人員維護過程的全面跟蹤、 控制、記錄、回放，以幫助內控工作事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放。

上網行為管理

對上網用戶進行流量管理、上網行為日志進行審計、對應用軟件或站點進行阻止或流量限制、關鍵字過濾等。

物聯網對網絡接入技術的Mac層有以下要求：

• 時隙跳頻：TSCH是IEEE 802.15.4e-2012MAC操作模式，用于保證媒體訪問和信道多樣性。跳頻利用不同的信道在不同的時間進行傳輸。TSCH將時間劃分為固定的時間段或“時隙”，這些時間段或時隙提供有保證的帶寬和可預測的延遲。在一個時隙中，可以傳輸一個數據包及其確認，這增加了網絡容量，因為多個節點可以在同一個時隙中使用不同的信道進行通信。許多時隙被定義為“時隙幀”，它們定期重復以提供“有保證的訪問”。發射器和接收器通過全局時隙計數器和全局信道跳頻序列列表的組合，就信道和信道間的切換時序達成一致，在每個節點上計算以確定每個時隙的信道。TSCH增強了噪聲環境中的穩健性，并與其他無線技術更平穩地共存，特別是在工業用例中。

• 信息元素：信息元素（IE）允許在MAC層以可擴展的方式交換信息，可以作為報頭IE（標準化）和/或載荷IE（私有）。IE字段以標簽、長度、值（TLV）格式指定，允許幀攜帶額外的元數據來支持MAC層服務。這些服務可能包括IEEE 802.15.9密鑰管理、用于廣播和單播調度定時信息的Wi-SUN 1.0 IE，以及用于6TiSCH體系結構的跳頻同步信息。

• 增強信標（EB）：EB擴展了IEEE 802.15.4信標的靈活性，允許構建特定于應用程序的信標內容。這是通過在EB框架中包含相關的IE來實現的。在EB中可以找到的一些IE包括網絡度量、跳頻廣播調度和PAN信息版本。

• 增強信標請求（EBR）：與增強信標相似，EBR也使用了IE。EBR中的IE允許發送方有選擇地指定信息請求。然后信標響應被限制在EBR中所請求的范圍內。例如，設備可以查詢允許新設備加入的PAN或支持特定MAC/PHY功能集的PAN。

• 增強確認：增強確認幀允許為被確認幀集成幀計數器。該特性有助于防止在欺騙確認幀時發生的某些攻擊。