防火墻入侵檢測與VPN-部分

《防火墻、入侵檢測與VPN》課件出版社第6章入侵檢測技術(shù)概述

第7章主流入侵檢測產(chǎn)品介紹

第8章入侵檢測技術(shù)的發(fā)展趨勢《防火墻、入侵檢測與VPN》課件走信息路讀北郵書本書的封面出版社走信息路讀北郵書

6.1計(jì)算機(jī)系統(tǒng)面臨的威脅

6.2入侵行為的一般過程

6.3入侵檢測的基本概念6.4入侵檢測的主要作用

6.5入侵檢測的歷史

第6章入侵檢測技術(shù)概述

第7章主流入侵檢測產(chǎn)品介紹

第8章入侵檢測技術(shù)的發(fā)展趨勢

6.6入侵檢測的分類

《防火墻、入侵檢測與VPN》課件《防火墻、入侵檢測與VPN》課件6.7入侵檢測技術(shù)的不足

6.8本章小結(jié)

計(jì)算機(jī)系統(tǒng)面臨的威脅6.16.1.2欺騙6.1.1拒絕服務(wù)

6.1.3監(jiān)聽

6.1.4密碼破解

6.1.5木馬

6.1.6緩沖區(qū)溢出

6.1.7ICMP秘密通道

6.1.8TCP會(huì)話劫持

拒絕服務(wù)服務(wù)請(qǐng)求超載

1SYN洪水

26.1.1報(bào)文超載

3拒絕服務(wù)（1）6.1.1指在短時(shí)間內(nèi)向目標(biāo)服務(wù)器發(fā)送大量的特定服務(wù)的請(qǐng)求，使得目標(biāo)服務(wù)器來不及進(jìn)行處理，最終造成目標(biāo)服務(wù)器崩潰

。服務(wù)請(qǐng)求超載

1拒絕服務(wù)（2）6.1.1

這是一種經(jīng)典的攻擊方式。它利用了TCP協(xié)議的三次握手機(jī)制，在短時(shí)間之內(nèi)向目標(biāo)服務(wù)器發(fā)送大量的半開連接報(bào)文，即只發(fā)送初始的SYN/ACK報(bào)文而不發(fā)送最后的ACK報(bào)文。目標(biāo)服務(wù)器只能為這些惡意的連接保留資源，希望接收到不可能傳來的確認(rèn)報(bào)文。最終在短時(shí)間之內(nèi)耗盡目標(biāo)服務(wù)器的系統(tǒng)資源，造成真正的連接請(qǐng)求無法得到響應(yīng)。SYN洪水

2拒絕服務(wù)（3）6.1.1不同于服務(wù)請(qǐng)求超載，報(bào)文超載一般向目標(biāo)主機(jī)發(fā)送大量的響應(yīng)報(bào)文，如ICMP回應(yīng)請(qǐng)求報(bào)文等。但它們的結(jié)果是一樣的，都是使得目標(biāo)主機(jī)無法應(yīng)對(duì)大量的報(bào)文以致崩潰。報(bào)文超載

3欺騙IP地址欺騙

1路由欺騙

26.1.2DNS欺騙

3Web欺騙

4欺騙（1）6.1.2大多的Internet協(xié)議都缺乏源地址認(rèn)證的功能。攻擊者可以將攻擊數(shù)據(jù)包的源IP地址偽裝成合法用戶的IP地址來騙取網(wǎng)絡(luò)安全設(shè)備的信任，從而達(dá)到蒙混過關(guān)、進(jìn)入用戶內(nèi)部網(wǎng)絡(luò)的目的。IP地址欺騙1欺騙（2）6.1.2指通過偽造或修改路由表來達(dá)到攻擊目的。路由欺騙主要有以下幾種類型：基于ICMP協(xié)議的路由欺騙：攻擊者偽裝路由器將特意構(gòu)造的ICMP重定向報(bào)文發(fā)給目標(biāo)主機(jī)。目標(biāo)主機(jī)修改自己的路由表，將報(bào)文按照攻擊者指示的路由發(fā)往不可控制的網(wǎng)絡(luò)。基于RIP協(xié)議的路由欺騙：攻擊者通過廣播錯(cuò)誤的路由信息使得被動(dòng)接收路由信息的網(wǎng)絡(luò)或主機(jī)按照攻擊者的意圖構(gòu)建錯(cuò)誤的路由表項(xiàng)。源路由欺騙：攻擊者利用IP協(xié)議的源路由機(jī)制，將正常的數(shù)據(jù)包重定向到指定的網(wǎng)絡(luò)或主機(jī)上。

路由欺騙2欺騙（3）6.1.2攻擊者先于域名服務(wù)器返回給目標(biāo)主機(jī)一個(gè)偽造的數(shù)據(jù)報(bào)文，目的是將目標(biāo)主機(jī)連接到受攻擊者控制的非法主機(jī)上，或者是在進(jìn)行IP地址驗(yàn)證時(shí)欺騙服務(wù)器

。

DNS欺騙3欺騙（4）6.1.2Web欺騙是攻擊者通過創(chuàng)建某個(gè)網(wǎng)站的鏡像，使得用戶將對(duì)正常網(wǎng)站的訪問改成對(duì)該鏡像網(wǎng)站的訪問。兩個(gè)網(wǎng)站最大的不同是鏡像網(wǎng)站受到攻擊者嚴(yán)密的監(jiān)視，用戶所有提交的信息都被攻擊者記錄，從而得到用戶的賬號(hào)、密碼等關(guān)鍵信息。

Web欺騙4監(jiān)聽6.1.3網(wǎng)絡(luò)監(jiān)聽是進(jìn)行網(wǎng)絡(luò)探測的一種重要手段。它主要是通過對(duì)網(wǎng)絡(luò)中傳遞的信息的分析來獲得目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、主機(jī)服務(wù)的提供情況、用戶的賬號(hào)和密碼等重要信息

。密碼破解6.1.4

雖然目前已經(jīng)有了多種認(rèn)證的方法，但是賬戶/密碼模式仍然是最常用的方法。賬戶/密碼模式的安全性完全依賴于密碼的安全性，這是因?yàn)橘~戶信息是非常容易查詢到的，而密碼信息是應(yīng)該被嚴(yán)格保密的。由此產(chǎn)生了多種針對(duì)密碼的破解方法，其中最常用的是根據(jù)用戶的習(xí)慣進(jìn)行試探的字典攻擊法。木馬6.1.5

木馬程序是目前計(jì)算機(jī)網(wǎng)絡(luò)面臨的最大威脅。它利用各種欺騙手段將木馬程序種植到目標(biāo)主機(jī)中，而后通過木馬程序的運(yùn)行悄悄地在用戶系統(tǒng)中開辟后門，將用戶的重要信息傳遞到攻擊者指定的服務(wù)器上。緩沖區(qū)溢出6.1.6操作系統(tǒng)要為每個(gè)運(yùn)行的程序分配數(shù)據(jù)緩沖區(qū)。緩沖區(qū)溢出攻擊則是故意地向緩沖區(qū)傳遞超出緩沖區(qū)范圍的數(shù)據(jù)。這些精心編制的數(shù)據(jù)將覆蓋程序或函數(shù)的返回地址，使得指令指針跳轉(zhuǎn)到入侵者希望的位置繼續(xù)執(zhí)行操作，一般是攻擊代碼的起始位置。ICMP秘密通道6.1.7ICMP協(xié)議作為網(wǎng)絡(luò)控制信息傳遞的基礎(chǔ)協(xié)議在所有實(shí)現(xiàn)TCP/IP協(xié)議的網(wǎng)絡(luò)上存在。許多訪問控制設(shè)備并不阻斷這種協(xié)議的傳輸。但是ICMP協(xié)議的某些字段并不被安全設(shè)備檢查，攻擊者即可利用這些字段傳遞秘密信息。TCP會(huì)話劫持6.1.8

攻擊者強(qiáng)行介入已經(jīng)建立的TCP連接,從而達(dá)到進(jìn)入目標(biāo)系統(tǒng)的目的。入侵行為的一般過程6.26.2.2實(shí)施攻擊

6.2.1確定攻擊目標(biāo)

6.2.3攻擊后處理

確定攻擊目標(biāo)6.2.1

攻擊者根據(jù)其目的的不同會(huì)選擇不同的攻擊對(duì)象。攻擊行為的初始步驟是搜集攻擊對(duì)象的盡可能詳細(xì)的信息。這些信息包括：攻擊對(duì)象操作系統(tǒng)的類型及版本、攻擊對(duì)象提供哪些網(wǎng)絡(luò)服務(wù)、各服務(wù)程序的類型及版本以及相關(guān)的社會(huì)信息。針對(duì)不同的操作系統(tǒng)和漏洞，黑客會(huì)選擇不同的攻擊手段。實(shí)施攻擊6.2.2當(dāng)獲得了攻擊對(duì)象足夠多的信息后，攻擊者可以利用相關(guān)漏洞的攻擊方法滲透進(jìn)目標(biāo)系統(tǒng)內(nèi)部進(jìn)行信息的竊取或破壞。一般來說，這些行為都要經(jīng)過一個(gè)先期獲取普通合法用戶權(quán)限，進(jìn)而獲取超級(jí)用戶權(quán)限的過程。這是因?yàn)楹芏嘈畔⒏`取和破壞操作必須要有超級(jí)用戶的權(quán)限才能夠進(jìn)行?，F(xiàn)在應(yīng)用的越來越多的攻擊手段—分布式拒絕服務(wù)攻擊（Ddos）采用的是另一種方法，它不需要獲得什么權(quán)限，采用大量數(shù)據(jù)包淹沒對(duì)方。詳細(xì)內(nèi)容見參考書。

攻擊后處理6.2.3攻擊者在成功實(shí)施完攻擊行為后，最后需要做的是全身而退。即消除登錄路徑上的路由記錄，消除攻擊對(duì)象系統(tǒng)內(nèi)的入侵痕跡（主要指刪除系統(tǒng)日志中的相關(guān)記錄），根據(jù)需要設(shè)置后門等隱秘通道為下一次的入侵行為做準(zhǔn)備。詳細(xì)內(nèi)容見參考書。

入侵檢測的基本概念6.3

入侵檢測簡單地說就是檢測并響應(yīng)針對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的入侵行為的學(xué)科。它包括了對(duì)系統(tǒng)的非法訪問和越權(quán)訪問的檢測；包括了監(jiān)視系統(tǒng)運(yùn)行狀態(tài)，以發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果；還包括了針對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的惡意試探的檢測。而上述各種入侵行為的判定，即檢測的操作，是通過在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的各個(gè)關(guān)鍵點(diǎn)上收集數(shù)據(jù)并進(jìn)行分析來實(shí)現(xiàn)的。

入侵檢測的基本概念6.3

入侵檢測技術(shù)就是通過數(shù)據(jù)的采集與分析實(shí)現(xiàn)入侵行為的檢測的技術(shù)，而入侵檢測系統(tǒng)就是能夠執(zhí)行入侵檢測任務(wù)的軟硬件的結(jié)合。下圖為入侵檢測模型。數(shù)據(jù)庫檢測引擎探測器檢測對(duì)象配置參數(shù)控制器審計(jì)數(shù)據(jù)響應(yīng)告警信息入侵檢測的主要作用6.4識(shí)別并阻斷系統(tǒng)活動(dòng)中存在的已知攻擊行為，防止入侵行為對(duì)受保護(hù)系統(tǒng)造成損害。識(shí)別并阻斷系統(tǒng)用戶的違法操作行為或者越權(quán)操作行為，防止用戶對(duì)受保護(hù)系統(tǒng)有意或者無意的破壞。檢查受保護(hù)系統(tǒng)的重要組成部分以及各種數(shù)據(jù)文件的完整性。審計(jì)并彌補(bǔ)系統(tǒng)中存在的弱點(diǎn)和漏洞，其中最重要的一點(diǎn)是審計(jì)并糾正錯(cuò)誤的系統(tǒng)配置信息。記錄并分析用戶和系統(tǒng)的行為，描述這些行為變化的正常區(qū)域，進(jìn)而識(shí)別異常的活動(dòng)。通過蜜罐等技術(shù)手段記錄入侵者的信息、分析入侵者的目的和行為特征，優(yōu)化系統(tǒng)安全策略。加強(qiáng)組織或機(jī)構(gòu)對(duì)系統(tǒng)和用戶的監(jiān)督與控制能力，提高管理水平和管理質(zhì)量。

入侵檢測的歷史6.5早在20世紀(jì)70年代，JamesAnderson負(fù)責(zé)主持了一個(gè)由美國軍方設(shè)立的關(guān)于計(jì)算機(jī)審計(jì)機(jī)制的研究項(xiàng)目。1984年至1986年，喬治敦大學(xué)的DorothyDenning和SRI/CSL（SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室）的PeterNeumann設(shè)計(jì)并實(shí)現(xiàn)了入侵檢測專家系統(tǒng)IDES（IntrusionDetectionExpertSystem）。1988年，StephenSmaha為美國空軍Unisys大型主機(jī)設(shè)計(jì)并開發(fā)了Haystack入侵檢測系統(tǒng)。1990年，加州大學(xué)戴維斯分校的ToddHeberlien等人開發(fā)了NSM（NetworkSecurityMonitor）。1992年，SAIC開發(fā)了計(jì)算機(jī)濫用檢測系統(tǒng)CMDS（ComputerMisuseDetectionSystem）。1993年，HaystackLabs開發(fā)了Stalker系統(tǒng)。它們是首批商用的入侵檢測系統(tǒng)。

入侵檢測的分類6.66.6.2按檢測方法劃分

6.6.1按照檢測數(shù)據(jù)的來源劃分

按照檢測數(shù)據(jù)的來源劃分基于主機(jī)的入侵檢測

1基于網(wǎng)絡(luò)的入侵檢測

26.6.1混合式的入侵檢測

3按照檢測數(shù)據(jù)的來源劃分（1）6.6.1

基于主機(jī)的入侵檢測系統(tǒng)檢查判斷的依據(jù)是系統(tǒng)內(nèi)的各種數(shù)據(jù)以及相關(guān)記錄。具體來說，可以分成以下幾種：

系統(tǒng)審計(jì)記錄

系統(tǒng)日志

應(yīng)用程序日志

其它數(shù)據(jù)源

詳細(xì)內(nèi)容見參考書。

基于主機(jī)的入侵檢測

1按照檢測數(shù)據(jù)的來源劃分（1）6.6.1基于主機(jī)的入侵檢測缺點(diǎn)：（1）基于主機(jī)的入侵檢測系統(tǒng)不具有平臺(tái)無關(guān)性，可移植性比較差。（2）當(dāng)檢測的手段較多時(shí)，會(huì)影響安裝主機(jī)的性能。（3）維護(hù)和管理工作比較復(fù)雜。（4）無法判定基于網(wǎng)絡(luò)的入侵行為。詳細(xì)內(nèi)容見參考書?；谥鳈C(jī)的入侵檢測1按照檢測數(shù)據(jù)的來源劃分（2）6.6.1

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的出現(xiàn)晚于基于主機(jī)的入侵檢測，兩者的內(nèi)涵完全不同。它的出現(xiàn)主要是因?yàn)榛谥鳈C(jī)的入侵檢測技術(shù)只能夠檢測分析到到達(dá)主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包，而不能夠提供網(wǎng)絡(luò)整體的負(fù)載信息。但是網(wǎng)絡(luò)整體的負(fù)載信息往往蘊(yùn)含著極為重要的針對(duì)特定目標(biāo)網(wǎng)絡(luò)的攻擊行為性息。詳細(xì)內(nèi)容見參考書。

基于網(wǎng)絡(luò)的入侵檢測

2按照檢測數(shù)據(jù)的來源劃分（2）6.6.1

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)往往由一組網(wǎng)絡(luò)監(jiān)測節(jié)點(diǎn)組成。一般來說，網(wǎng)絡(luò)監(jiān)測節(jié)點(diǎn)負(fù)責(zé)收集分析網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)每個(gè)數(shù)據(jù)包進(jìn)行特征分析和異常檢測，如果數(shù)據(jù)包包含的信息與策略規(guī)則相吻合，網(wǎng)絡(luò)監(jiān)測節(jié)點(diǎn)就會(huì)報(bào)警。詳細(xì)內(nèi)容見參考書。

基于網(wǎng)絡(luò)的入侵檢測

2按照檢測數(shù)據(jù)的來源劃分（2）6.6.1

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)點(diǎn)：（1）具有平臺(tái)無關(guān)性。（2）不影響受保護(hù)主機(jī)的性能。（3）對(duì)攻擊者來說是透明的。（4）能夠進(jìn)行較大范圍內(nèi)的網(wǎng)絡(luò)安全保護(hù)。（5）檢測數(shù)據(jù)具有很高的真實(shí)性。詳細(xì)內(nèi)容見參考書。

基于網(wǎng)絡(luò)的入侵檢測

2按照檢測數(shù)據(jù)的來源劃分（2）6.6.1基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的設(shè)計(jì)過程中必須考慮的一些關(guān)鍵問題：

數(shù)據(jù)包的獲取

檢測引擎

特征分析技術(shù)

IP碎片重組技術(shù) 蜜罐技術(shù)

….詳細(xì)內(nèi)容見參考書。

基于網(wǎng)絡(luò)的入侵檢測

2按照檢測數(shù)據(jù)的來源劃分（3）6.6.1

基于主機(jī)的入侵檢測能夠?qū)χ鳈C(jī)上用戶或進(jìn)程的行為進(jìn)行細(xì)粒度地監(jiān)測，很好地保護(hù)了主機(jī)的安全?；诰W(wǎng)絡(luò)的入侵檢測則能夠?qū)W(wǎng)絡(luò)的整體態(tài)勢做出反應(yīng)。這兩種優(yōu)點(diǎn)都是用戶所需要的，因此計(jì)算機(jī)安全界對(duì)兩者的融合進(jìn)行了大量的研究，并稱這種融合系統(tǒng)為混合式入侵檢測系統(tǒng)。

詳細(xì)內(nèi)容見參考書。

混合式的入侵檢測

3按檢測方法劃分異常入侵檢測

1濫用入侵檢測

26.6.2異常檢測與濫用檢測的比較

3按檢測方法劃分（1）6.6.2異常入侵檢測

1詳細(xì)內(nèi)容見參考書。異常入侵檢測是依據(jù)系統(tǒng)或者用戶的非正常行為或者對(duì)于計(jì)算機(jī)資源的非正常使用檢測出入侵行為的檢測技術(shù)。異常檢測基礎(chǔ)是需要建立系統(tǒng)正?；顒?dòng)狀態(tài)或者用戶正常行為模式。按檢測方法劃分（1）6.6.2異常入侵檢測

1異常檢測的操作是將用戶的當(dāng)前行為模式或系統(tǒng)的當(dāng)前狀態(tài)與正常模型進(jìn)行比較，如果當(dāng)前值超過了預(yù)定的閥值，則認(rèn)為存在攻擊行為。但是檢測的準(zhǔn)確程度依賴于正常模型的精確程度。詳細(xì)內(nèi)容見參考書。按檢測方法劃分（2）6.6.2濫用入侵檢測是通過對(duì)現(xiàn)有的各種攻擊手段進(jìn)行分析，找到能夠代表該攻擊行為的特征集合。對(duì)當(dāng)前的數(shù)據(jù)處理就是與這些特征集合進(jìn)行匹配，如果匹配成功就認(rèn)為發(fā)生一次確定的攻擊。詳細(xì)內(nèi)容見參考書。

濫用入侵檢測

2按檢測方法劃分（2）6.6.2濫用入侵檢測可以實(shí)現(xiàn)的基礎(chǔ)是現(xiàn)有的、已知攻擊手段，都能夠根據(jù)攻擊條件、動(dòng)作排列及相應(yīng)事件之間的變化等內(nèi)容進(jìn)行明確得描述，即攻擊行為的特征能夠被提取。詳細(xì)內(nèi)容見參考書。

濫用入侵檢測

2按檢測方法劃分（2）6.6.2因?yàn)槊糠N攻擊行為都有明確的特征描述，所以濫用檢測的準(zhǔn)確度高。但是，濫用檢測系統(tǒng)的依賴性較強(qiáng)，平臺(tái)無關(guān)性較差，難于移植。而且對(duì)于多種攻擊特征提取和維護(hù)的工作量也比較大。此外，濫用檢測只能根據(jù)已有的數(shù)據(jù)進(jìn)行判斷，不能檢測出新的或者變異的攻擊行為。詳細(xì)內(nèi)容見參考書。

濫用入侵檢測

2按檢測方法劃分（3）6.6.2

濫用入侵檢測技術(shù)根據(jù)已知的攻擊行為特征建立異常行為模型，然后將用戶行為與之進(jìn)行匹配，匹配成功則意味著有一個(gè)確定的攻擊行為發(fā)生。異常入侵檢測技術(shù)則是試圖建立用戶或系統(tǒng)的正常行為模型，任何超過該模型允許閾值的事件都被認(rèn)為是可疑的。無論濫用檢測還是異常檢測都是入侵檢測技術(shù)的具體實(shí)施，其各自的特點(diǎn)決定了它們具有相當(dāng)?shù)幕パa(bǔ)性。為了符合用戶越來越高的安全要求，可以將兩種方式結(jié)合起來，使得入侵檢測系統(tǒng)的檢測手法具有多樣性的特點(diǎn)。詳細(xì)內(nèi)容見參考書。

異常檢測與濫用檢測的比較

3入侵檢測技術(shù)的不足6.7（1）無法完全自動(dòng)地完成對(duì)所有攻擊行為的檢查，必須通過與管理人員的交互來實(shí)現(xiàn)。（2）不能很好地適應(yīng)攻擊技術(shù)的發(fā)展，只有在熟知攻擊行為的特征后才能識(shí)別檢測它。雖然存在智能化、可自學(xué)習(xí)的入侵檢測技術(shù)，但還不能跟上變形攻擊技術(shù)和自發(fā)展攻擊技術(shù)的步伐。（3）入侵檢測技術(shù)很難實(shí)現(xiàn)對(duì)攻擊的實(shí)時(shí)響應(yīng)。往往是在被動(dòng)地監(jiān)測到攻擊序列開始后，還需要與防火墻系統(tǒng)進(jìn)行聯(lián)動(dòng)，才能完成阻斷攻擊的動(dòng)作。這對(duì)于那些一次性完成的攻擊行為（瞬發(fā)攻擊）是毫無作用的。（4）本質(zhì)是一種被動(dòng)的系統(tǒng)，無法彌補(bǔ)各種協(xié)議的缺陷，只能盡量地去適應(yīng)協(xié)議的規(guī)范。詳細(xì)內(nèi)容見參考書。本章小結(jié)6.8

入侵檢測技術(shù)是對(duì)計(jì)算機(jī)系統(tǒng)面臨的各種威脅的一種響應(yīng)。到目前為止，該技術(shù)已經(jīng)經(jīng)過了數(shù)十年的探索，其應(yīng)用也逐步走向成熟。作為防火墻技術(shù)的重要補(bǔ)充，它解決了防火墻技術(shù)不能很好地進(jìn)行攻擊行為的深層過濾的問題，能夠分析識(shí)別并阻斷復(fù)雜的入侵行為序列。按照檢測數(shù)據(jù)來源劃分，可以分成基于主機(jī)的、基于網(wǎng)絡(luò)的以及混合式等三種類型；按照使用的檢測方法劃分，有可以分成異常檢測和濫用檢測兩大類。

出版社走信息路讀北郵書

7.1入侵檢測系統(tǒng)的性能指標(biāo)

7.2主流入侵檢測產(chǎn)品介紹

7.3本章小結(jié)

第6章入侵檢測技術(shù)概述

第7章主流入侵檢測產(chǎn)品介紹

第8章入侵檢測技術(shù)的發(fā)展趨勢

《防火墻、入侵檢測與VPN》課件《防火墻、入侵檢測與VPN》課件入侵檢測系統(tǒng)的性能指標(biāo)7.17.1.2可用性指標(biāo)

7.1.1有效性指標(biāo)

7.1.3安全性指標(biāo)

有效性指標(biāo)7.1.1

有效性的評(píng)估主要包括攻擊檢測率、攻擊誤警率和可信度三個(gè)指標(biāo)。攻擊檢測率指的是入侵檢測系統(tǒng)能夠正確報(bào)告攻擊行為的發(fā)生的概率。攻擊誤警率指的是入侵檢測系統(tǒng)出現(xiàn)漏報(bào)和誤報(bào)現(xiàn)象的概率。漏報(bào)指的是對(duì)確切發(fā)生的攻擊行為入侵檢測系統(tǒng)卻沒有任何反應(yīng)。誤報(bào)指的是入侵檢測系統(tǒng)對(duì)不是攻擊的行為進(jìn)行告警，提示發(fā)生了某種入侵?？尚哦戎傅氖侨肭謾z測系統(tǒng)對(duì)攻擊行為是否發(fā)生以及攻擊類型等信息判斷的正確程度。

詳細(xì)內(nèi)容見參考書。

可用性指標(biāo)7.1.2

檢測延遲。指從攻擊發(fā)生開始到攻擊行為被檢測出來的間隔時(shí)間。該參數(shù)與攻擊破壞程度直接相關(guān)。系統(tǒng)開銷。指入侵檢測系統(tǒng)為達(dá)到某種程度的檢測有效性而對(duì)用戶系統(tǒng)資源的需求情況。其值越低越好。吞吐量。指入侵檢測系統(tǒng)能夠正確處理的數(shù)據(jù)流量，一般以Mbps來度量。超過這個(gè)值，入侵檢測系統(tǒng)就會(huì)因?yàn)閬聿患疤幚矶鴣G包。每秒抓包數(shù)（pps）。指的是入侵檢測系統(tǒng)每秒鐘能夠捕獲處理的數(shù)據(jù)包的個(gè)數(shù)。吞吐量與每秒抓包數(shù)時(shí)不同的兩個(gè)概念：吞吐量等于每秒抓包數(shù)乘以網(wǎng)絡(luò)數(shù)據(jù)包的平均大小。當(dāng)數(shù)據(jù)包的平均大小具有較大差異時(shí)，在每秒抓包數(shù)相同的條件下，吞吐量的差異也會(huì)很大。在流量相同的情況下，數(shù)據(jù)包越小，處理的難度也就越大。詳細(xì)內(nèi)容見參考書。

有效性指標(biāo)7.1.3

入侵檢測系統(tǒng)的安全性指標(biāo)包括兩個(gè)方面：一個(gè)是指入侵檢測系統(tǒng)對(duì)各種已知的或者未知的攻擊行為的抵抗能力，即在各種環(huán)境下入侵檢測系統(tǒng)都可以工作而不崩潰，尤其需要強(qiáng)調(diào)的是要能夠抵御分布式拒絕服務(wù)攻擊DDoS，強(qiáng)調(diào)的是入侵檢測系統(tǒng)對(duì)外的可靠性；另一個(gè)是指入侵檢測系統(tǒng)的數(shù)據(jù)通信機(jī)制是可靠的，通信不能夠被篡改和假冒，只有這樣才能夠保證檢測判斷的正確性，強(qiáng)調(diào)的是入侵檢測系統(tǒng)內(nèi)部的可信性。詳細(xì)內(nèi)容見參考書。

主流入侵檢測產(chǎn)品介紹7.2下面我們將選取一些主要的入侵檢測產(chǎn)品為讀者進(jìn)行簡要講解：Cisco的CiscoSecureIDS

NetworkSecurityWizards的DragonIDS

IntrusionDetection的KaneSecurityMonitor

InternetSecuritySystem的RealSecure

AxentTechnologies的OmniGuard/Intruder

Alert

ComputerAssociates的SessionWall-3/eTrust

Intrusion

Detection

NFR的NlD系統(tǒng)

TrustedInformationSystem的Stalkers

NetworkAssociates（NAI）公司的CyberCopMonitor

CyberSafe的Centrax

詳細(xì)內(nèi)容見參考書。

本章小結(jié)7.3

本章先從有效性、可用性和安全性三個(gè)方面介紹了入侵檢測系統(tǒng)的評(píng)價(jià)指標(biāo)。接著選取了十個(gè)比較著名的入侵檢測產(chǎn)品依次為讀者進(jìn)行介紹。通過這些產(chǎn)品的介紹可以看出：將基于主機(jī)的入侵檢測技術(shù)和基于網(wǎng)絡(luò)的入侵檢測技術(shù)進(jìn)行結(jié)合是入侵檢測系統(tǒng)發(fā)展的主要方向，用戶的需求促進(jìn)了入侵檢測能力的不斷提高，但同時(shí)還要兼顧易用性、可管理性等方面的要求。

出版社第6章入侵檢測技術(shù)概述

第7章主流入侵檢測產(chǎn)品介紹

第8章入侵檢測技術(shù)的發(fā)展趨勢

走信息路讀北郵書本書的封面

8.1攻擊技術(shù)的發(fā)展趨勢

8.2入侵檢測技術(shù)的發(fā)展趨勢

8.3本章小結(jié)

《防火墻、入侵檢測與VPN》課件《防火墻、入侵檢測與VPN》課件攻擊技術(shù)的發(fā)展趨勢8.18.1.2攻擊行為的擴(kuò)大化

8.1.1攻擊行為的復(fù)雜化和綜合化

8.1.3攻擊行為的隱秘性

8.1.4對(duì)防護(hù)系統(tǒng)的攻擊

8.1.5攻擊行為的網(wǎng)絡(luò)化

攻擊行為的復(fù)雜化和綜合化8.1.1

入侵者不再單純地使用某一種手段對(duì)系統(tǒng)進(jìn)行攻擊，而是同時(shí)采用多種手段。入侵者通常綜合地使用多種嗅探方法盡量全面地獲得用戶系統(tǒng)的服務(wù)和結(jié)構(gòu)特性，隨后根據(jù)獲得的信息有針對(duì)性地采用多種滲透和攻擊方法，最大限度地確保入侵行為的成功實(shí)施。多種攻擊行為往往掩蓋了入侵者的真實(shí)目的，使得系統(tǒng)難于進(jìn)行分析和判斷。

攻擊行為的擴(kuò)大化8.1.2

隨著計(jì)算機(jī)技術(shù)的普及，針對(duì)主機(jī)或者網(wǎng)絡(luò)的攻擊行為再也不是只能由一小撮高手才能進(jìn)行的游戲，任何感興趣的人都可以通過非常容易獲得的各種攻擊工具完成針對(duì)目標(biāo)系統(tǒng)的入侵，而且這種行為往往造成目標(biāo)系統(tǒng)的嚴(yán)重?fù)p失。很多惡意的或者心存不滿的人甚至相互敵對(duì)的國家都已經(jīng)認(rèn)識(shí)到了這一點(diǎn)，這幾年層出不窮的計(jì)算機(jī)安全案件以及數(shù)次國家間的戰(zhàn)爭行動(dòng)都證明了計(jì)算機(jī)系統(tǒng)攻擊行為的巨大破壞力。

攻擊行為的隱秘性8.1.3其實(shí)保證攻擊行為的隱秘性是攻擊技術(shù)的一個(gè)經(jīng)典話題，簡單說就是如何使得受害者不能找到罪犯。隨著計(jì)算機(jī)技術(shù)研究的不斷深入，人們對(duì)計(jì)算機(jī)系統(tǒng)本身以及網(wǎng)絡(luò)與協(xié)議的特性的認(rèn)識(shí)越來越深刻，有更多的隱秘手段應(yīng)用到了攻擊技術(shù)中。諸如間隔探測、亂序探測、系統(tǒng)權(quán)限躍遷以及嵌套式入侵等多種方法都已經(jīng)被廣泛地使用，并且其操作的執(zhí)行也愈加細(xì)致和精確，因此也就更加難于被發(fā)現(xiàn)和跟蹤。

對(duì)防護(hù)系統(tǒng)的攻擊8.1.4以往的攻擊行為都是直接針對(duì)用戶系統(tǒng)的資源和數(shù)據(jù)進(jìn)行的，攻擊操作都選擇小心地避開用戶系統(tǒng)的安全防護(hù)措施，因此操作上多有掣肘，難于達(dá)到攻擊的目的。現(xiàn)在出現(xiàn)了攻擊用戶系統(tǒng)安全防護(hù)措施的趨勢——攻擊者對(duì)安全防護(hù)措施進(jìn)行試探和分析，獲取安全防護(hù)措施的特性知識(shí)和漏洞信息，進(jìn)而采取有針對(duì)性的操作使得防護(hù)措施失效或被旁路。其根本目的還是為了更容易且有效地獲取用戶系統(tǒng)的資源和數(shù)據(jù)。攻擊行為的網(wǎng)絡(luò)化8.1.5單獨(dú)的攻擊主機(jī)的能力畢竟是有限的。而且受制于其所處的網(wǎng)絡(luò)位置和連接特性，很多時(shí)候不能更好地執(zhí)行攻擊操作。此外，單獨(dú)的攻擊主機(jī)由于目標(biāo)確定，也容易被用戶系統(tǒng)的安全防護(hù)措施跟蹤識(shí)別。網(wǎng)絡(luò)化的攻擊行為可以充分利用網(wǎng)絡(luò)上多臺(tái)傀儡主機(jī)的特點(diǎn)和能力，在短時(shí)間內(nèi)執(zhí)行很高強(qiáng)度的攻擊操作，使得目標(biāo)系統(tǒng)難于應(yīng)對(duì)。而且真正的攻擊者淹沒在多臺(tái)次傀儡主機(jī)的攻擊行為之中，非常難于發(fā)現(xiàn)。此外，目標(biāo)系統(tǒng)的安全防護(hù)措施窮于應(yīng)付突如其來的攻擊操作，無法付出更多的精力去跟蹤識(shí)別誰是真正的入侵者。入侵檢測技術(shù)的發(fā)展趨勢8.28.2.2

高速入侵檢測

8.2.1標(biāo)準(zhǔn)化的入侵檢測

8.2.3大規(guī)模、分布式的入侵檢測

8.2.4多種技術(shù)的融合

8.2.5實(shí)時(shí)入侵響應(yīng)

8.2.6入侵檢測的評(píng)測

8.2.7與其它安全技術(shù)的聯(lián)動(dòng)

標(biāo)準(zhǔn)化的入侵檢測8.2.1

由于用戶對(duì)于入侵檢測技術(shù)的需求日益增高，越來越多的安全企業(yè)投身于入侵檢測系統(tǒng)的研發(fā)工作。多種各具特色的入侵檢測系統(tǒng)出現(xiàn)在市場上并為廠家?guī)砹司薮蟮睦妗５歉鞣N入侵檢測系統(tǒng)之上沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，使得各種系統(tǒng)之間難于交換數(shù)據(jù)，不能實(shí)現(xiàn)協(xié)同工作。雖然已經(jīng)有了CIDF模型和IDEMF標(biāo)準(zhǔn)等種種努力，但是它們的工作進(jìn)展緩慢，還沒有制定出一個(gè)可以被廣泛接收的標(biāo)準(zhǔn)。總之，入侵檢測系統(tǒng)架構(gòu)的通用化以及實(shí)現(xiàn)的標(biāo)準(zhǔn)化是入侵檢測技術(shù)發(fā)展的必然趨勢。高速入侵檢測8.2.2

隨著網(wǎng)絡(luò)連接線路質(zhì)量和性能的不斷提高以及網(wǎng)絡(luò)數(shù)據(jù)連接和交換技術(shù)的飛速發(fā)展，各種高速網(wǎng)絡(luò)的應(yīng)用也越來越廣泛。小到普通家庭的寬帶介入，大到基于光信號(hào)傳輸技術(shù)的通信骨干網(wǎng)，高速、海量的信息交換為人們帶來了一個(gè)全新的未來。當(dāng)然，同時(shí)也帶來了不能忽視的安全問題——在這種高速、海量的數(shù)據(jù)交互環(huán)境下如何實(shí)現(xiàn)安全檢測。傳統(tǒng)的入侵檢測技術(shù)受制于數(shù)據(jù)的處理能力而無法適應(yīng)這種高速的網(wǎng)絡(luò)。未來的發(fā)展趨勢是重新設(shè)計(jì)入侵檢測系統(tǒng)的軟件結(jié)構(gòu)和算法提高數(shù)據(jù)處理能力，重新設(shè)計(jì)檢測模塊符合新出現(xiàn)的高速網(wǎng)絡(luò)傳輸協(xié)議的需要，采用諸如數(shù)據(jù)分流等新的部署實(shí)現(xiàn)結(jié)構(gòu)進(jìn)一步增強(qiáng)對(duì)大規(guī)模數(shù)據(jù)的適應(yīng)性。大規(guī)模、分布式的入侵檢測8.2.3

基于主機(jī)的入侵檢測技術(shù)只適用于特定的主機(jī)系統(tǒng)。而目前的基于網(wǎng)絡(luò)的入侵檢測技術(shù)雖然采用的是分布式的檢測方式，但是還需要一個(gè)中心模塊進(jìn)行管理，具有單失效點(diǎn)的固有缺陷。這些問題決定了目前的入侵檢測技術(shù)難于適合普遍存在的大規(guī)模異構(gòu)網(wǎng)絡(luò)的安全需求。雖然有普度大學(xué)融入了協(xié)同工作思想的AAFID系統(tǒng)等努力，但入侵檢測技術(shù)在這個(gè)方向上還有很長的路要走。需要重點(diǎn)研究解決的關(guān)鍵問題有如何及時(shí)有效地獲取異種主機(jī)以及異構(gòu)網(wǎng)絡(luò)上的安全信息，如何有效地組織檢測模塊之間的協(xié)同工作，如何在系統(tǒng)的各組成部分之間完成信息的交換以及這種類型的入侵檢測系統(tǒng)要采用什么樣的架構(gòu)。多種技術(shù)的融合8.2.4

入侵檢測技術(shù)其實(shí)只提出了完成安全防護(hù)工作的目標(biāo)，那么所有對(duì)完成安全防護(hù)工作有利的技術(shù)都可以應(yīng)用到入侵檢測系統(tǒng)中。這些技術(shù)包括適合于大規(guī)模數(shù)據(jù)分析和內(nèi)容提取的數(shù)據(jù)挖掘技術(shù)、具有自修復(fù)和自學(xué)習(xí)能力的計(jì)算機(jī)免疫學(xué)技術(shù)、具備知識(shí)更新和學(xué)習(xí)能力的神經(jīng)網(wǎng)絡(luò)技術(shù)以及具備優(yōu)化能力的遺傳算法等等。這些新技術(shù)的應(yīng)用可以提高入侵檢測系統(tǒng)對(duì)于多種復(fù)雜的入侵行為的探測、識(shí)別和響應(yīng)能力，能夠大大增強(qiáng)用戶系統(tǒng)的安全性。需要重點(diǎn)解決的關(guān)鍵問題是如何將這些技術(shù)平滑地融合進(jìn)入侵檢測系統(tǒng)中，而不損害這些技術(shù)的特有優(yōu)勢。實(shí)時(shí)入侵響應(yīng)8.2.5

目前的入侵檢測系統(tǒng)雖然有很多的告警和通知手段，但是只具備很低的實(shí)時(shí)響應(yīng)能力。這是因?yàn)槟壳暗娜肭謾z測系統(tǒng)是一種被動(dòng)的系統(tǒng)，不能作為系統(tǒng)行為的主動(dòng)參與者融合進(jìn)操作過程中去，而只能通過截獲系統(tǒng)中的數(shù)據(jù)進(jìn)行判斷分析。這些截獲、分析、判斷以及響應(yīng)等操作的延遲使得入侵檢測系統(tǒng)無法立刻介入系統(tǒng)的行為過程。目前人們已經(jīng)認(rèn)識(shí)到了這一點(diǎn)，也提出了一些解決的辦法，最受關(guān)注的應(yīng)該是入侵防御系統(tǒng)IPS（IntrusionProtectionSystem）。入侵檢測的評(píng)測8.2.6

作為一種安全手段，如何評(píng)估入侵檢測系統(tǒng)的性能時(shí)每一個(gè)用戶需要面對(duì)的問題。由于入侵行為的多樣性，入侵檢測系統(tǒng)的特點(diǎn)也大相徑庭。如何構(gòu)建一套能夠體現(xiàn)入侵檢測技術(shù)特點(diǎn)以及用戶安全需求的統(tǒng)一的評(píng)估標(biāo)準(zhǔn)和評(píng)估方法也是入侵檢測技術(shù)必須完成的重要任務(wù)。從目前來看，對(duì)入侵檢測的評(píng)測主要集中在攻擊類型檢測范圍、系統(tǒng)資源占用和入侵檢測系統(tǒng)自身的可靠性幾個(gè)方面。與其它安全技術(shù)的聯(lián)動(dòng)8.2.7

入侵檢測技術(shù)雖然能夠?qū)崿F(xiàn)很多的安全功能，但是正如6.7節(jié)描述的那樣，它不是萬能的，也有很多缺陷。為了給用戶提供完善的安全防護(hù)，應(yīng)該綜合利用多種安全措施，包括入侵檢測設(shè)備、防火墻設(shè)備或者VPN設(shè)備等等。這就要求入侵檢測系統(tǒng)必須改進(jìn)以往獨(dú)立的、封閉的工作模式，能夠提供安全的、開放的數(shù)據(jù)接口與其它安全設(shè)備進(jìn)行必要的信息交換。最終，所有的安全設(shè)施都將置于系統(tǒng)統(tǒng)一的安全管理策略的控制之下進(jìn)行協(xié)調(diào)工作，這是安全管理的最終目標(biāo)。本章小結(jié)8.3

本章首先分析了攻擊技術(shù)的發(fā)展情況，指明了用戶將要面對(duì)的嚴(yán)重信息威脅。隨后主要介紹了入侵檢測技術(shù)標(biāo)準(zhǔn)化、高速、分布式、實(shí)時(shí)、多技術(shù)融合以及與其它安全技術(shù)聯(lián)動(dòng)的發(fā)展趨勢?？傊?，入侵檢測技術(shù)作為信息安全領(lǐng)域研究的重點(diǎn)，它的研究范圍既包括對(duì)安全理論和安全技術(shù)的深入探索，也包括對(duì)這些理論和技術(shù)的應(yīng)用實(shí)踐。但是需要注意的是，一切理論的發(fā)展和技術(shù)的應(yīng)用都圍繞著安全需求展開，唯一的目的就是盡量地提高用戶系統(tǒng)的安全性。謝

謝！/第一節(jié)活塞式空壓機(jī)的工作原理第二節(jié)活塞式空壓機(jī)的結(jié)構(gòu)和自動(dòng)控制第三節(jié)活塞式空壓機(jī)的管理復(fù)習(xí)思考題單擊此處輸入你的副標(biāo)題，文字是您思想的提煉，為了最終演示發(fā)布的良好效果，請(qǐng)盡量言簡意賅的闡述觀點(diǎn)。第六章活塞式空氣壓縮機(jī)

piston-aircompressor壓縮空氣在船舶上的應(yīng)用：

1.主機(jī)的啟動(dòng)、換向；

2.輔機(jī)的啟動(dòng)；

3.為氣動(dòng)裝置提供氣源；

4.為氣動(dòng)工具提供氣源；

5.吹洗零部件和濾器。

排氣量:單位時(shí)間內(nèi)所排送的相當(dāng)?shù)谝患?jí)吸氣狀態(tài)的空氣體積。單位：m3/s、m3/min、m3/h第六章活塞式空氣壓縮機(jī)

piston-aircompressor空壓機(jī)分類：按排氣壓力分：低壓0.2～1.0MPa；中壓1～10MPa；高壓10～100MPa。按排氣量分：微型<1m3/min；小型1～10m3/min；中型10～100m3/min；大型>100m3/min。第六章活塞式空氣壓縮機(jī)

piston-aircompressor第一節(jié)活塞式空壓機(jī)的工作原理容積式壓縮機(jī)按結(jié)構(gòu)分為兩大類：往復(fù)式與旋轉(zhuǎn)式兩級(jí)活塞式壓縮機(jī)單級(jí)活塞壓縮機(jī)活塞式壓縮機(jī)膜片式壓縮機(jī)旋轉(zhuǎn)葉片式壓縮機(jī)最長的使用壽命-

----低轉(zhuǎn)速（1460RPM），動(dòng)件少（軸承與滑片），潤滑油在機(jī)件間形成保護(hù)膜，防止磨損及泄漏，使空壓機(jī)能夠安靜有效運(yùn)作；平時(shí)有按規(guī)定做例行保養(yǎng)的JAGUAR滑片式空壓機(jī)，至今使用十萬小時(shí)以上，依然完好如初，按十萬小時(shí)相當(dāng)于每日以十小時(shí)運(yùn)作計(jì)算，可長達(dá)33年之久。因此，將滑片式空壓機(jī)比喻為一部終身機(jī)器實(shí)不為過。滑(葉)片式空壓機(jī)可以365天連續(xù)運(yùn)轉(zhuǎn)并保證60000小時(shí)以上安全運(yùn)轉(zhuǎn)的空氣壓縮機(jī)1.進(jìn)氣2.開始?jí)嚎s3.壓縮中4.排氣1.轉(zhuǎn)子及機(jī)殼間成為壓縮空間，當(dāng)轉(zhuǎn)子開始轉(zhuǎn)動(dòng)時(shí)，空氣由機(jī)體進(jìn)氣端進(jìn)入。2.轉(zhuǎn)子轉(zhuǎn)動(dòng)使被吸入的空氣轉(zhuǎn)至機(jī)殼與轉(zhuǎn)子間氣密范圍，同時(shí)停止進(jìn)氣。3.轉(zhuǎn)子不斷轉(zhuǎn)動(dòng)，氣密范圍變小，空氣被壓縮。4.被壓縮的空氣壓力升高達(dá)到額定的壓力后由排氣端排出進(jìn)入油氣分離器內(nèi)。4.被壓縮的空氣壓力升高達(dá)到額定的壓力后由排氣端排出進(jìn)入油氣分離器內(nèi)。1.進(jìn)氣2.開始?jí)嚎s3.壓縮中4.排氣1.凸凹轉(zhuǎn)子及機(jī)殼間成為壓縮空間，當(dāng)轉(zhuǎn)子開始轉(zhuǎn)動(dòng)時(shí)，空氣由機(jī)體進(jìn)氣端進(jìn)入。2.轉(zhuǎn)子轉(zhuǎn)動(dòng)使被吸入的空氣轉(zhuǎn)至機(jī)殼與轉(zhuǎn)子間氣密范圍，同時(shí)停止進(jìn)氣。3.轉(zhuǎn)子不斷轉(zhuǎn)動(dòng)，氣密范圍變小，空氣被壓縮。螺桿式氣體壓縮機(jī)是世界上最先進(jìn)、緊湊型、堅(jiān)實(shí)、運(yùn)行平穩(wěn)，噪音低，是值得信賴的氣體壓縮機(jī)。螺桿式壓縮機(jī)氣路系統(tǒng)：

A

進(jìn)氣過濾器

B

空氣進(jìn)氣閥

C

壓縮機(jī)主機(jī)

D

單向閥

E

空氣/油分離器

F

最小壓力閥

G

后冷卻器

H

帶自動(dòng)疏水器的水分離器油路系統(tǒng)：

J

油箱

K

恒溫旁通閥

L

油冷卻器

M

油過濾器

N

回油閥

O

斷油閥冷凍系統(tǒng)：

P

冷凍壓縮機(jī)

Q

冷凝器

R

熱交換器

S

旁通系統(tǒng)

T

空氣出口過濾器螺桿式壓縮機(jī)渦旋式壓縮機(jī)

渦旋式壓縮機(jī)是20世紀(jì)90年代末期開發(fā)并問世的高科技?jí)嚎s機(jī)，由于結(jié)構(gòu)簡單、零件少、效率高、可靠性好，尤其是其低噪聲、長壽命等諸方面大大優(yōu)于其它型式的壓縮機(jī)，已經(jīng)得到壓縮機(jī)行業(yè)的關(guān)注和公認(rèn)。被譽(yù)為“環(huán)保型壓縮機(jī)”。由于渦旋式壓縮機(jī)的獨(dú)特設(shè)計(jì)，使其成為當(dāng)今世界最節(jié)能壓縮機(jī)。渦旋式壓縮機(jī)主要運(yùn)動(dòng)件渦卷付，只有磨合沒有磨損，因而壽命更長，被譽(yù)為免維修壓縮機(jī)。

由于渦旋式壓縮機(jī)運(yùn)行平穩(wěn)、振動(dòng)小、工作環(huán)境安靜，又被譽(yù)為“超靜壓縮機(jī)”。

渦旋式壓縮機(jī)零部件少，只有四個(gè)運(yùn)動(dòng)部件,壓縮機(jī)工作腔由相運(yùn)動(dòng)渦卷付形成多個(gè)相互封閉的鐮形工作腔，當(dāng)動(dòng)渦卷作平動(dòng)運(yùn)動(dòng)時(shí)，使鐮形工作腔由大變小而達(dá)到壓縮和排出壓縮空氣的目的?；钊娇諝鈮嚎s機(jī)的外形第一節(jié)活塞式空壓機(jī)的工作原理一、理論工作循環(huán)（單級(jí)壓縮）工作循環(huán)：4—1—2—34—1吸氣過程

1—2壓縮過程

2—3排氣過程第一節(jié)活塞式空壓機(jī)的工作原理一、理論工作循環(huán)（單級(jí)壓縮）

壓縮分類：絕熱壓縮：1—2耗功最大等溫壓縮：1—2''耗功最小多變壓縮：1—2'耗功居中功＝P×V（PV圖上的面積）加強(qiáng)對(duì)氣缸的冷卻，省功、對(duì)氣缸潤滑有益。二、實(shí)際工作循環(huán)（單級(jí)壓縮）1.不存在假設(shè)條件2.與理論循環(huán)不同的原因：1）余隙容積Vc的影響Vc不利的影響—?dú)埓娴臍怏w在活塞回行時(shí)，發(fā)生膨脹，使實(shí)際吸氣行程（容積）減小。Vc有利的好處—

（1）形成氣墊，利于活塞回行；（2）避免“液擊”（空氣結(jié)露）；（3）避免活塞、連桿熱膨脹，松動(dòng)發(fā)生相撞。第一節(jié)活塞式空壓機(jī)的工作原理表征Vc的參數(shù)—相對(duì)容積C、容積系數(shù)λv合適的C：低壓0.07-0.12

中壓0.09-0.14

高壓0.11-0.16

λv＝0.65—0.901）余隙容積Vc的影響C越大或壓力比越高，則λv越小。保證Vc正常的措施：余隙高度見表6-1壓鉛法—保證要求的氣缸墊厚度2.與理論循環(huán)不同的原因：二、實(shí)際工作循環(huán)（單級(jí)壓縮）第一節(jié)活塞式空壓機(jī)的工作原理2）進(jìn)排氣閥及流道阻力的影響吸氣過程壓力損失使排氣量減少程度，用壓力系數(shù)λp表示：保證措施：合適的氣閥升程及彈簧彈力、管路圓滑暢通、濾器干凈。λp

（0.90-0.98）2.與理論循環(huán)不同的原因：二、實(shí)際工作循環(huán)