拓扑网络异常检测

⑴ Internet都是自动检测网络的是什么意思

Internet自动检测网络 的目的就是更好的修正 架构于互联网中的每个所属的成员间的漏洞 平衡 更好更快修正网络间的数据交换错误 方便快捷的服务

从广义的角度讲，Internet网络管理工具包括各种各样的支持和不支持简单网络管理协议SNMP的网络管理系统。当前已有一些商业网络管理工具，但它们不能满足Internet日益增长的复杂性对网络管理的要求。因此需要有智能的计算机网络管理系统，它将更多地分担网络管理员的工作并具有更快的响应速度，以及更少的排除网络故障所需的时间。到目前为止常见的网络管理工具有以下几种。

NetView和NetManager都是大型网络管理平台，两者都通过SNMP来实现对基于TCP/IP的网络如Internet的管理。

网络管理员可通过NetView的图形用户界面监测网络。它提供了强有力的网络性能管理（使网络资源得到优化使用）、故障管理（网络故障检测、故障诊断和故障恢复）、配置管理（如识别被管网络的拓扑结构、自动修改指定设备的配置）。

Sun公司的NetManager能自动检测网络拓扑结构，以及网络上设备的变动；还能动态测试网络状态，对于发现的异常信息可以用不同的形式发出警报信号，并把这些异常信息记录到日志文件或审计文件中，以供网络管理人员分析。

开始在地址栏中键入常用的 Web 地址，此时会出现相似地址的列表供您选择。如果 Web 地址有误，Internet Explorer 会自动搜索类似的地址来找出匹配的地址。
单击工具栏上的“搜索”按钮可搜索网站。然后在搜索栏中，键入描述搜索内容的单词或短语。当搜索结果出现时，可以在不丢失搜索结果列表的同时，查看每个网页。
您也可以直接从地址栏搜索。只需键入一些普通的名称或单词，Internet Explorer 就能自动把您领到与要搜索的内容最匹配的站点，并列出其他类似的站点。
进入网页之后，Internet Explorer 能帮助您完成基于 Web 的各类表单中的项目。开始键入时，会出现一个相似内容的列表供您选择。
单击工具栏上的“历史”按钮可浏览最近访问过的网页列表。另外，也可以重新安排或搜索“历史记录”列表。

⑵ 论文笔记之Deep Anomaly Detection on Attributed Networks

提出了DOMINANT(Deep Anomaly Detection on Attributed Networks)用于graph上的异常检测，核心想法：1)用GCN综合graph的结构信息和节点属性信息来获得节点的embedding。2)通过autoencoder来重构original data从而检测出异常节点。
文中指出网络中的异常节点由网络的拓扑结构和节点属性共同决定。

文中把属性图上的异常检查定义为一个ranking问题，即根据异常的程度评分排序。

Dominant由三部分组成：
1)attributed network encoder. 通过GCN综合网络结构信息和节点属性信息来获得节点的embedding。
2)structure reconstruction decoder. 通过节点的embedding重构网络拓扑结构。
3)attribute reconstruction decoder. 通过节点的embedding重构节点属性。
最终通过重构误差来评判节点的异常程度。

文中使用了GCN来作为encoder，同时考虑了网络结构信息和节点属性信息。

用A~ 表示重构的邻接矩阵，结构重构误差Rs=A-A~ .（Rs是一个矩阵）
这里的想法是，如果一个节点的连接关系不能被很好的重构，说明它的结构信息不符合大多数正常节点的pattern。
Rs(i,:)表示Rs的第i行对应的向量，即node i对应的结构信息。如果该向量的2范数越大，说明从拓扑结构的角度，节点i是异常节点的概率更高。
文中预测节点i和节点j之间是否有link使用的是node i的embedding与node j的embedding的内积加sigmoid，内积本质就是近似的相似度，即node i与node j的latent representation越像，越有可能有link.

于是有

和带conv层的autoencoder一样，conv的逆操作仍然是conv。
因此，使用另一个图卷积层来预测原始的节点属性

重构误差为RA=X-X~.

最终的目标函数定义为

α为超参数。
完成模型的训练后，通过每个节点的重构误差，来衡量其异常程度。
节点vi的异常score定义为

最后，对所有节点的异常score做ranking，得到各个节点的异常程度。

⑶ 如何检测网络数据丢包的现象（网络行家进）

1、同时按下键盘中的Win + R 组合快捷。

⑷ 网络拓扑变化怎么检查

关于拓扑步骤的检查一、拓扑检查分为3个步骤，1、是同一个层的面与面之间的检查2、不同层之间的面与面之间的检查3、多个层之间的缝隙检查二、检查方法如下1、关于同一个层的面与面之间的检查可以用MAPINFO做检查（1）将原数据存为2000格式（2）打开MAPINFO，选择工具通用转换器通用转换器再在源数据中选择你的DWG格式，目标选择TAB格式，最后选择保存的位置。

⑸ 网络拓扑在ip层不可达

网络拓扑在ip层不可达的原因是：
1、目的网络故障，确实无法访问。
2、本端网络故障，可以通过ping本端网关来测试。
3、网络通道上某一节点存在故障，可以通过tracert命令或者pathping命令来检测在哪一跳开始无法访问。

⑹ 动态图上的异常检测文献综述(2015)

动态图上的异常检测任务包括：发现异常的对象、关系、时点。动态图上的异常检测与静态图上的异常检测不同的地方在于：

本文首先将异常类型分为：anomalous vertices, edges, subgraphs, and events(or change)，将使用的方法分为：community detection, MDL(minimum description length) and compression, decompression, distance, probabilistic， 按每种方法使用的异常类型进行了文献学分类。各方法的主要参考文献见表1：

本文假设不同时点的节点和边都有唯一标签从而不会混淆，定义 为图序列，其中 为总时间步， ， 为节点集， 为边集， 时称 为图流。本文的主要记号见表2：

给定 ，节点集 ,打分函数 ，定义异常节点集为 ，使得对于 ， ，其中 为得分 的摘要式统计。

一个典型的异常节点如图1，其可由基于社区检测的方法识别，即： 其中 为节点所属的社会划分, 为异或操作。

给定 ，边集 ,打分函数 ，定义异常边集为 ，使得对于 ， ，其中 为得分 的摘要式统计。

一个典型的异常边如图2，可令 ，其中 为时间步 时 的权重,可以为边的概率。

给定 ，子图集 ,打分函数 ，定义异常集为 ，使得对于 ， ，其中 为得分 的摘要式统计。

两种典型的异常子图如图3,其中(a)为图的收缩，(b)为图的分裂。图的收缩可根据子图中的的数量衡量，即 ，图的分裂可由不同时间点社区的数量衡量。

与异常节点、边、子图检测不同，异常事件或异常突变检测检验的是时点。

给定 ,打分函数 ，若时点 满足: ， ，则称时点 为一个事件。

给定 ,打分函数 ，若时点 满足: ， ，则称时点 为一个突变。

通常的异常检测都使用两步法：第一步，基于特征的图表示；第二，基于机器学习的异常检测。

基于社区检测的方法关注的是社区和关联节点的演化过程，特征向量的生成亦基于图中的社区结构。不同社区检测方法的区别在于：（1）社区结构的领域，如社区内的连接性v.s.单个节点在每一步所属的社区；(2)社区结构的定义，如基于概率的软社区定义v.s.硬社区定义。基于社区检测的方法可用于异常定点、子图、突变的检测。

基于软社区匹配并单独考察每一个社区，我们可以在连续时间步内计算每个节点归属的平均变化，如果某个节点归属的平均变化显着异于其他节点，则称其为演化社区异常点。

节点社区归属的变化可以构造一个时间模式，称为软时序模式。一些文献使用了最小描述长度(MDL)结合非负矩阵分解的方法来自动检测节点角色及构造转移模型。多数文献通过抽取图中不同节点的共同模式，并比较每个节点与共同模式之间的差异来定义异常节点。部分文献使用了交替迭代优化替代常用的两步法。部分文献使用了corenet的概念，该概念不同于单纯使用density,molarity,hop-distance等概念，而是使用了节点间的加权路径，即一个节点的corenet包含该节点与权重大于给定阈值的两跳邻居。假设两个强连接的节点通常属于同一社区，则如果移除一个节点的两个邻居，一个邻域具有较高的边权重，另一个具有较低的边权重，则移除较高权重邻居的影响应更大，在每一步，每个节点首先被赋予一个异常得分，该得分衡量了其corenet的变化，异常得分较高的 各节点将被视为异常节点。

文献【69】定义了六种基于社区的异常：shrink, grow, merge, split, born, and vanish。其使用图和社区代表(representatives)进行比较以减少计算量，图代表为出现在t时刻，同时还出现在t-1、t+1或t+1与t-1时刻的节点集，社区代表是出现在其他社区最少的定点集合，基于社区代表和图代表，基于规则，判断社区是否落在六种异常中。

文献【73】定义了一种基于社区的异常：comet，周期性出现或消失的社区，演化图可表示为一个张量，然后基于低秩张量分解和MDL原则进行comet检测。

文献【3】基于多种信息源构造时序复网络，识别跨时间和网络的稳定社区结构。行为相似的网络可以用聚类或前验知识分组，如何一个社区结构在组内跨时间步稳定，但在组外没有对应社区，则该社区即为异常，如何两个社区共享一定比例的定点则称为对应。

社交网络可以根据特定时间窗口内的发文量定义事件，一个经历共同事件的组即构成一个异常子图。

通过划分图流为一致的分割来检测，分割是依据划分的相似性。

通过将最新图的顶点分区与当前增长分割中的图的分区进行比较，可以在线找到这些分割。【67】基于可返回随机的相关矩阵和molarity最大化来进行定点划分，当新图的划分与当前分割的划分有很大不同时，一个新段开始，并将新图的时间点输出为检测到的突变。两个划分的相似度使用Jaccard系数定义。GraphScope思路类似，但基于MDL来指导划分和分割。

基于MDL原则和基于该原则的压缩技术利用数据中的模式和规律性实现紧凑的图表示，其主要通过将图的邻接矩阵表示为一个二进制串，如果矩阵的行和列可以重新排列使矩阵的二进制字符串表示的熵最小化，那么压缩损失（也称为编码损失）就会最小化。数据指向的特征都来自于图或其特定子结构的编码代价；因此，异常被定义为抑制可压缩性的图或子结构（如边）

对于一条边和对应子图，如果包含该边的编码损失比不包含该边的编码损失高，则称该边为异常边。

【74】使用了一种两步交替迭代法进行节点的自动划分，当节点划分的熵收敛时，根据包含和不包含该边的编码损失，该方法也给出了边的异常度得分。

突变检测的主要思路是:连续时间步间的图是相似的，因而可以分为一组，从而降低压缩比。压缩比的上升表明新一个时间步的图与已有的图差异明显，因此是一个突变。

该方法将图集合表示为一个tensor，在该tensor上进行矩阵分解或降维，基于分解或降维后的图发现其模式和规律性，该方法可以融合更多属性信息，最常用的方法是SVD和PARAFAC（广义SVD）。

矩阵分解可用于计算每个节点的活跃（activity)向量，如果某个节点的活跃向量在连续时间步间变化明显，则称为异常节点。

【87】首先抽取每个节点的边相关矩阵 ，即该节点的每个邻域都有一行一列，对于节点 的矩阵中的一个entry 代表了边 和 间加权频率的相关性，加权频率由衰减函数获得，时间越近权重越高。M的最大特征值和对应特征向量即顶点的活跃向量的summary及边的相关性。通过寻找这些值的变化而形成的时间序列用于计算每个时间步长中每个顶点的分数，得分高于阈值的顶点将被输出为异常。

基于分解的异常事件检测有两种方法：（1）先基于分解方法来近似原始数据，然后以重建损失作为近似优劣的指标。如果某个子张量、切片或元素的重建损失很高，则即可以视其与周围数据不同特征不同，将其标记为异常事件、子图或节点。（2）跟踪奇异值和向量，以及特征值和特征向量，以检测异常顶点的显着变化。

为解决 intermediate blowup 问题（即计算中输入和输出张量超过内存限制），【81】提出了momery-efficient tucker（MET）分解方法，该方法源于Tucker分解，Tucker分解将高阶tensor用一个core tensor和每个mode(维度)矩阵表示。【80】使用了Compact Matrix Decomposition(CMD)，其可以用来计算给定矩阵的稀疏低秩矩阵。使用CMD对图流中的每个邻接矩阵进行分解，可得到重建值的时间序列，基于重建值序列可进程事件检测，典型应用有COLIBRI, PARCUBE，其中后者在斑点(spotting)异常中的表现更高效。

【84】使用了随机图模型进行基于概率模型的检测，其将真实图邻接矩阵和期望图的邻接矩阵间的差异构造为残差矩阵，对残差矩阵执行SVD，再使用线性Ramp滤波器，基于top奇异值即可进行异常时间窗口检测，通过检查正确的奇异向量来确定相应的顶点。

除以上方法，我们还可以基于分解空间的显着变化来识别事件。【77】通过对数据执行PCA，计算的特征向量可以分为正常和异常两个集合，方法是检验数据中的值映射到特征向量。在每个时间步，根据特征值对特征向量进程降序排列，第一个特征向量则包含一个在其余值的3个标准差之外的投影点，此后的每个特征向量，都构成了异常集。第二步即是将数据映射到正常和异常子空间，一旦完成了这些操作，当从上一个时间步长到当前时间步异常成分的修改超过一个阈值时，即将其视为一个事件。【83】扩展了该方法，提出了联合稀疏PCA和图引导的联合稀疏PCA来定位异常和识别对应的顶点。通过为异常集使用稀疏的成分集，可以更容易识别负责的顶点。顶点根据它们在异常子空间中对应行的值得到一个异常分数，由于异常分量是稀疏的，不异常的顶点得分为0。

图的活跃向量 为主成分，左奇异向量对应最大奇异值，奇异值和奇异向量通过对加权邻接矩阵进行SVD得到。当活跃向量大幅异于“正常活跃"向量时，即定义该时点为突变点，”正常活跃“向量由前序向量得到。

正常活跃向量 ，它是对最后W时间步中活动向量形成的矩阵进行SVD得到的左奇异向量。每个时点都定义一个得分 ,其代表了当前活跃向量与正常向量的差异。异常可以使用动态阈值方案在线发现，其中得分高于阈值的时间点被输出为变化。通过计算正常向量和活动向量之间的变化比率来找到负责的顶点，与变化最大的索引所对应的顶点被标记为异常，类似的方法也可以用于节点-节点相关矩阵的活跃向量，或基于邻居相似度的节点-节点相关矩阵。

基于距离的异常检测算法的不同点在于选择用于提取和比较距离度量，以及它们用于确定异常值和相应图的方法。

如果一些边的属性演化异于正常演化，则该边就是一个异常边。

边之间的权重使用衰减函数定义，在每个时间步长中，根据相似度得分的变化之和计算每条边的异常值得分，使用阈值或简单的 作为异常值标准。

将网络视为边的流，意味着网络没有固定的拓扑，一个边的频率和持久性可以用来作为其新颖性的指标，【48】定义了集合系统不一致性指标来度量频率和持久性，当一条边到达时，计算其差异，并与活动边集的平均不一致性值进行比较，如果边的加权不一致性大于平均不一致性的阈值水平，则声明该边为异常边，基于异常边，可以进一步识别其他异常图元素（如顶点，边，子图）。

具有许多“异常”边的子图即是异常的子图。

【52】将边的权重视为异常得分，每个时间步长上的每条边都有它自己的异常分数，给定了该边权值在所有图序列的分布，该分数表示在该特定的边上看到该特定权值的概率函数。或者，为网络中的边分配异常值分数的现有方法的输出可以用作为该方法的输入。后一种方法允许应用于任何能够为边分配异常值分数的网络，一旦完成每条边的异常打分，即可发现显着异常的区域（SARs），即一个窗口内的固定子图，其类似于HDSs。【112】提出了一种迭代算法，该算法首先固定子图发现最优时间窗口，然后固定时间窗口发现最优子图。【97】拓展了该方法，允许子图渐变，即在相邻时间步间增加或移除顶点。

定义函数 为测度图距离的函数，将其应用于连续图序列，即得到距离序列，基于该距离序列应用一些启发式算法（如基于移动平均阈值的 取值）即可得到异常事件。

称每个顶点及其egonet的特征为局部特征，整张图的特征为全局特征。每个顶点的局部特征可聚合为一个向量，基于该向量的各阶矩可构造signature向量，利用signature向量间的Canberra距离（归一化的曼哈顿距离）可构造图之间的距离函数【93】。【92】利用全局特征，定义了一种基于dK-2序列的距离测度，将高于阈值的特征视为异常点。

【96】使用了顶点亲和度（即一个顶点对另一个顶点的影响，可以用于快速信念传播）得分作为signature向量，其基于连续时间步技术顶点亲和度，基于马氏距离度量两个图的相似度，亲和度得分的变化反应并适应变化的影响水平，例如桥边的移除比正常边移除的得分更高。利用单个移动范围的质量控制，可以对相似度得分的时间序列设置一个移动阈值，如指数移动平均加权。

作为特征相似度的补充，我们也可以比较两个图的结构差异来度量突变的大小，这类方法致力于发现定义距离的函数而非发现特征向量。【88】计算了异常网络的10种距离函数，使用ARMA模型构造特征值的正常模型，然后基于正常模型计算时点的残差，残差超过给定阈值的时间即可标记为异常。10种距离函数中，基于最大共有子图的方法表现最好。【90】使用了五中得分函数（顶点/边重叠，顶点排序，向量相似度，序列相似度，signature相似度）来检测三种异常（子图缺失，顶点缺失，连通性变化），表现最好的方案是抽取每个顶点和边的特征构造signature向量，使用SimHash定义距离。

我们还可以通过计算每个图的稳健性序列来检测事件，稳健性序列是图连通性的测度，具有高稳健性的图即使在去除一些顶点或边的情况下，也能保持相同的一般结构和连通性，事件检测即发现稳健性值异常变化的时点【95】。【89】使用的是图半径的变体作为稳健性指标，图半径的定义是基于所有顶点的平均离心度，而非常用的最大离心度。

基于概率理论、分布、扫描统计学等方法可以构造“正常”样本的模型，偏离该模型的样本即视为异常，这类方法的主要区别在于构造方法、建模对象、离群值定义。

主要有两种方法：一，构造扫描统计时间序列并检测离均值若干标准差的点；二，顶点分类。

扫描统计常称为滑动窗口分析，其在数据的特征区域中发现测度统计量的局部最小或最大值。对某个特定图，扫描统计量可以是图不变特征的最大值，如边的数量。

【8】使用了一个适应测度统计量的变量，即每个节点的0-2度邻居数，然后对每个顶点的局部统计量使用近期值的均值和标准差进行标准化，图的扫描统计量即最大的标准化局部统计量。标准化可以解释每个顶点的历史信息，代表每个顶点的统计量只与自己的历史信息有关而与其他顶点无关。这保证测度的最大变化与变化的绝对量无关而与比例有关。基于扫描统计量标准化时间序列，将序列均值的五个标准差作为异常值。最负责的顶点被确定为为整个图的扫描统计值所选择的顶点。

类似于使用邻居进行扫描统计，我们还可以用Markov随机场（MRF）来发现节点的状态，并通过信念传播算法推断最大似然分配，其中，每个顶点标签取决于其邻居节点。【99】通过发现二部核来检测异常点（即诈骗犯），二部核定义为诈骗犯与从犯间的交互。利用边的插入或删除只影响局部子图这一事实，它在添加新边时逐步更新模型。在传播矩阵中，一个顶点可以处于三种状态之一：欺诈者、共犯者或诚实者。

边异常检测通常使用计数过程建模，统计上显着异于该模型的边标记为异常边。

【50】用贝叶斯离散时间计数过程来建模顶点间的通信次数（边权重），并根据新图更新模型。基于学习到的计数的分布，对新观测的边进行预测 值计算，基于 值标记异常顶点对。

首先用固定的子图，多重图，累积图来构造预期行为的模型，对模型的偏离可作为子图异常检测的依据。

【104】结合扫描统计量和隐马尔可夫模型（HMM）建模边行为，其使用的局部扫描统计量是基于两种图形状：k-path图和星型图，其将滑动窗口的扫描统计数据与其过去的值进行比较，并使用在线阈值系统识别局部异常，局部异常是所有统计上显着的子图(代表k个路径或恒星)的并集。

另一个建模动态图的方法是基于多重图，其中平行边对应于两个连续时间步顶点间的通信，初始的多重图可分解为多个针对每个时间窗口的叠套子图（TSG），TSG满足两个条件：（1）对于任何两个有共同点的边，首先开始通信的边最后完成通信；（2）存在一个根顶点r，它没有传入的边，并且有一条到TSG中每个顶点的路径。出现概率低的TSG视为异常子图。【102】

累积图即为包含直到当前时点的所有边的图，边权重依据衰减函数定义，通过识别“持久模式”来定义子图的正常行为。该持久模型识别模型如下：首先构造一种图，该图每个边根据时间来加权，然后基于该图迭代抽取最重连接成分来发现。随着累积图的发展，提取的子图将被监控，并将其当前活动与基于最近行为的预期活动进行比较来进行子图异常检测。【101】

事件检测可以基于偏离图似然模型或特征值分布的偏差来进行。

【103】提出了一种新的蓄水池抽样方法来抽取图流的结构摘要，这种在线抽样方法维持多个网络划分以构造统计上显着的摘要，当一个新图进入图流，每个边都根据不同分区的边生成模型计算出一种似然性，然后以这些似然性的几何均值作为全局图似然性。

【98】使用了类似的边生成模型，每个边 的概率都存储在矩阵 中，概率基于期望最大化估计，基于所有收发对的分布，然后为每个收发对给出潜在得分，基于所有边似然得分的均值即得到每个图的得分。

【100】计算了特征值和压缩特征等式的分布（而非计算收发对的分布），基于每个顶点都存在一个顶点局部特征时间序列的假设，可在每个时间步构造一个顶点-顶点相关矩阵，通过保留最大特征值和一组低维矩阵（每个顶点对应一个矩阵），可对相关矩阵的特征方程进行压缩，通过学习特征值和矩阵的分布，即可发现异常顶点和事件。当特征值偏离期望分布时，即认为发生了事件，当顶点的矩阵偏离矩阵分布时，可认为该顶点为异常顶点。

⑺ 计算机网络故障的分类与诊断

计算机网络故障的分类与诊断

当今社会，计算机网络技术的快速发展，为人们进行数据传输、获取和处理数据提供了方便，但用户在上网过程中，发生故障是普遍的，而一旦发生故障，将会影响用户的正常使用，甚至会给用户造成不必要的损失。下面是我为大家搜索整理的关于计算机网络故障的分类与诊断，欢迎参考阅读，希望对大家有所帮助!想了解更多相关信息请持续关注我们应届毕业生培训网!

计算机网络遍及世界各个角落，在给人们带来诸多便利的同时也带来了很多烦恼，本文对常见网络故障进行了分类并给出了排查方法。

一、物理类故障

物理故障，一般是指线路或设备出现物理类问题或者说硬件类问题。

1.线路故障

在日常网络维护中，线路故障的发生率相当高，约占发生故障的70%。线路故障通常包括线路损坏及线路受到严重电磁干扰。

排查方法：在短距离范围内，判断网线好坏简单的方法是将该网线一端插到一台能够正常联入局域网的主机的网卡上，另一端插入正常的HUB端口，然后从主机的一端Ping线路另一端，根据通断来判断即可。如果线路稍长，或者网线不方便调动，就用网线测试器测量网线的好坏。

对于是否存在严重电磁干扰的排查，我们可以用非屏蔽线在该段网路上进行通信测试，如果通信正常，则表明不存在电磁干扰;若通信不正常，改换屏蔽性较好的屏蔽线进行测试，若不正常，则排除线路故障而考虑是电磁干扰的原因。

2.端口故障

端口故障通常包括插头松动和端口本身的物理故障。

排查方法：该故障通常会影响到与其直接相连的其他设备的.信号灯。因为信号灯比较直观，所以可以通过信号灯的状态大致判断故障的发生范围和可能原因。

3.集线器或路由器故障

集线器或路由器故障在此是指物理损坏，无法工作，导致网络不通。

排查方法：通常最简易的方法是替换排除法，用通信正常的网线和主机来连接集线器(或路由器)，转换集线器端口，排查是端口故障还是集线器(或路由器)本身故障;正常情况下对应端口的灯应为绿灯。若始终不能正常通信，则可认定是集线器或路由器故障。

4.主机物理故障

网卡多装在主机内，靠主机完成配置和通信，即可以看作网络终端。此类故障通常包括网卡松动，网卡物理故障，主机的网卡插槽故障和主机本身故障。

排查方法：这里只介绍主机与网卡无法匹配工作的情况。对于网卡松动、主机的网卡插槽故障最好的解决办法是更换网卡插槽。若不能解决问题的话，将网卡拿到正常主机上测试，若仍无法工作，则是网卡物理损坏，更换即可。

二、逻辑类故障

逻辑故障是指因网络设备的配置错误而导致的网络异常或故障。

1.路由器逻辑故障

路由器逻辑故障通常包括路由器端口参数设定有误，路由器路由配置错误、路由器CPU利用率过高和路由器内存余量太小等。

排查方法：路由器端口参数设定有误，会导致找不到远端地址。用Ping命令或用Traceroute命令，查看在远端地址哪个节点出现问题，对该节点参数进行检查和修复。

路由器路由配置错误，会使路由循环或找不到远端地址。该故障可以用Traceroute工具发现在Traceroute的结果中某一段之后，两个IP地址循环出现。这说明线路远端把端口路由又指向了线路的近端，导致IP包在该线路上来回反复传递。解决路由循环的方法就是重新配置路由器端口的静态路由或动态路由，把路由设置为正确配置，就能恢复线路了。

路由器CPU利用率过高和路由器内存余量太小，导致网络服务的质量变差。比如路由器内存余量越小丢包率就会越高等。检测这种故障，利用MIB变量浏览器较直观，它收集路由器的路由表、端口流量数据、计费数据、路由器CPU的温度、负载以及路由器的内存余量等数据。解决这种故障，只有对路由器进行升级、扩大内存等，或者重新规划网络拓扑结构。

2.一些重要进程或端口关闭

一些有关网络连接数据参数的重要进程或端口受系统或病毒影响而导致意外关闭。比如，路由器的SNMP进程意外关闭，这时网络管理系统将不能从路由器中采集到任何数据，因此网络管理系统失去了对该路由器的控制。或者线路中断，没有流量。

排查方法：用Ping命令检测线路近端的端口是否联通，若不通检查该端口是否处于down的状态，若是重新启动该端口即可。

3.主机逻辑故障

主机逻辑故障所造成网络故障率是较高的，通常包括网卡的驱动程序安装不当、网卡设备有冲突、主机的网络地址参数设置不当、主机网络协议或服务安装不当以及主机安全性故障等。

(1)网卡的驱动程序安装不当:包括网卡驱动未安装或安装了不兼容的驱动程序。

排查方法：在设备管理器窗口中，若网卡型号前出现标示“!”或“X”，表明此时网卡无法正常工作。解决方法是先卸载然后重新安装正确的驱动程序即可。

(2)网卡设备有冲突：一般指网卡与主机其他设备有冲突。

排查方法：操作系统大多附有测试和设置网卡参数的程序，分别查验网卡设置的接头类型、IRQ、I/O端口地址等参数。若有冲突，只要重新设置或者更换网卡插槽，让主机认为是新设备重新分配系统资源参数，一般都能使网络恢复正常。

(3)主机的网络地址参数设置不当：主机的网络地址参数设置不当是常见的主机逻辑故障。比如，主机配置的IP地址与其他主机冲突、IP地址不在本网段范围内等。

排查方法：查看网络邻居属性中的连接属性窗口，查看TIP地址、子网掩码、网关和DNS参数。

(4)主机网络协议或服务安装不当：主机网络协议或服务安装不当也会出现网络无法连通。主机安装的协议必须与网络上的其他主机相一致，否则就会出现协议不匹配，无法正常通信，还有一些服务如“文件和打印机共享服务”不安装会使自身无法共享资源给其他用户，“网络客户端服务”不安装会使自身无法访问网络其他用户提供的共享资源。

排查方法：在本地连接属性窗口查看所安装的协议是否与其他主机是相一致的，如TCP/IP协议，NetBEUI协议和IPX/SPX兼容协议等。其次查看主机所提供的相应服务程序是否安装正确，若未安装或未选中，请将其安装或选中。

(5)主机安全性故障：通常包括主机资源被盗、主机被黑客控制、主机系统不稳定等。

排查方法：主机资源被盗，主机没有控制其上的finger，RPC，rlogin等服务。攻击者可以通过这些进程的正常服务或漏洞攻击该主机，甚至得到管理员权限，进而得到对磁盘所有内容任意复制和修改的权限。当然更不能轻易的共享本机硬盘，因为这将导致恶意攻击者非法利用该主机的资源。

主机被黑客控制，会导致主机不受操纵者控制。通常是由于主机被安置了后门程序所致。发现此类故障一般比较困难，一般可以通过监视主机的流量、扫描主机端口和服务、安装防火墙和安装系统补丁来防止可能的漏洞。

主机系统不稳定，往往也是由于黑客的恶意攻击，或感染病毒造成。通过查杀病毒可排除病毒的可能。也可重新安装操作系统、补丁程序、防火墙、防黑客软件和服务来防止漏洞所造成的恶性攻击。

最后，总结了几类常见的故障及其排查方法。针对具不同的诊断技术，具体问题具体分析，同时在网络维护中需要注意以下几个方面：

第一，建立完整的组网文档，以供维护查询。如系统需求分析报告、网络设计总体思路和方案、网路拓扑结构及规划、网络设备和网线的选择、网络的布线、网络的IP分配，网络设备分布等等。

第二，养成做好网络维护日志的良好习惯，尤其是有一些发生概率低但危害大的故障要做完备的维护文档，以利于故障排查。

第三，提高网络安全防范意识，加强口令的可靠性，并为主机安装最新的补丁程序、防火墙、防黑客程序等防止可能出现的漏洞。

计算机简介

计算机（computer）俗称电脑，是现代一种用于高速计算的电子计算机器，可以进行数值计算，又可以进行逻辑计算，还具有存储记忆功能。是能够按照程序运行，自动、高速处理海量数据的现代化智能电子设备。

由硬件系统和软件系统所组成，没有安装任何软件的计算机称为裸机。可分为超级计算机、工业控制计算机、网络计算机、个人计算机、嵌入式计算机五类，较先进的计算机有生物计算机、光子计算机、量子计算机等。

计算机发明者约翰·冯·诺依曼。计算机是20世纪最先进的科学技术发明之一，对人类的生产活动和社会活动产生了极其重要的影响，并以强大的生命力飞速发展。它的应用领域从最初的军事科研应用扩展到社会的各个领域，已形成了规模巨大的计算机产业，带动了全球范围的技术进步，由此引发了深刻的社会变革，计算机已遍及一般学校、企事业单位，进入寻常百姓家，成为信息社会中必不可少的工具。

计算机的应用在中国越来越普遍，改革开放以后，中国计算机用户的数量不断攀升，应用水平不断提高，特别是互联网、通信、多媒体等领域的应用取得了不错的成绩。1996年至2009年，计算机用户数量从原来的630万增长至6710万台，联网计算机台数由原来的2.9万台上升至5940万台。互联网用户已经达到3.16亿，无线互联网有6.7亿移动用户，其中手机上网用户达1.17亿，为全球第一位。

;

⑻ 神经网络异常检测方法和机器学习异常检测方法对于入侵检测的应用

神经网络异常检测方法

神经网络入侵检测方法是通过训练神经网络连续的信息单元来进行异常检测，信息单元指的是命令。网络的输入为用户当前输入的命令和已执行过的W个命令；用户执行过的命令被神经网络用来预测用户输入的下一个命令，如下图。若神经网络被训练成预测用户输入命令的序列集合，则神经网络就构成用户的轮郭框架。当用这个神经网络预测不出某用户正确的后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离，这时表明有异常事件发生，以此就能作异常入侵检测。

上面式子用来分类识别，检测异常序列。实验结果表明这种方法检测迅速，而且误警率底。然而，此方法对于用户动态行为变化以及单独异常检测还有待改善。复杂的相似度量和先验知识加入到检测中可能会提高系统的准确性，但需要做进一步工作。

⑼ 根据检测原理,入侵检测(IDS)可分为几种其属性分别是什么

分为两类：

1、信息来源一类：基于主机IDS和基于网络的IDS。

2、检测方法一类：异常入侵检测和误用入侵检测。

IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

在这里，所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

(9)拓扑网络异常检测扩展阅读：

入侵检测系统分为四个组件:

1，事件产生器(Eventgenerators)，它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

2，事件分析器(Eventanalyzers)，它经过分析得到数据，并产生分析结果。

3，响应单元(Responseunits)，它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

4，事件数据库(Eventdatabases)事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

⑽ 我们的系统检测到您的计算机网络中存在异常流量.请稍后重新发送

此提示是浏览器为了防范机器自动查询而采取的措施，但对于多人使用同一对外IP的情况也会造成误报，比如身处局域网或者使用了代理服务器等网络条件下。

解决方法：

1、输入验证码，一般输入2次验证码之后即可解除提示。

2、如果使用的是局域网，要么联系网管解决，要么自行使用代理服务器。

3、如果使用了代理服务器，不用或者更换代理服务器。

4、如果是个人宽带，重新进行宽带拨号或者重启路由器获得一个新IP。

(10)拓扑网络异常检测扩展阅读：

注意事项：

1、从工作方式上看，计算机网络可以分为边缘部分和核心部分。 边缘部分是指用户直接使用的、连接在因特网上的主机， 而核心部分是指大量的网络和连接这些网络的路由器，它为边缘部分提供了连通性和交换服务。

2、分布式处理。当计算机网络中的某个计算机系统负荷过重时，就可以将其处理的任务传送到网络的其他计算机系统中，利用空闲计算机资源以提高整个系统的运行效率。

3、按照网络的拓扑结构，主要分为星形、总线型、环形和网络形网络。 其中前三者多用于局域网，网络形网络多用于广域网。