端口扫描原理_端口扫描背景

计算机基础考试（50道选择题）（在线等）

1、关于桌面上的图标，正确的说法是______。

A：删除桌面上的应用程序的快捷方式图标，并未删除对应的应用程序文件

B：删除桌面上的应用程序的快捷方式图标，就是删除对应的应用程序文件

C：在桌面上建立应用程序的快捷方式图标，就是将对应的应用程序文件复制到桌面上

D：在桌面上只能建立应用程序快捷方式图标，而不能建立文件夹快捷方式图标

2、文件夹窗口 *** 有 15 个文件，其中有 5个被选定，执行"编辑"菜单中"反向选择"命令后，有______个文件被定。

A： 5 　 　B：15 C：10 D：0

3、件夹窗口中选定若干个不相邻的文件，应先按住______键，再单击各个待选的文件。

A：Shift上档键 B：Ctrl控制键　C：制表Tab键 D：Alt换档键

4、选中一个文件,点击鼠标右键,再选中"删除",则该文件______.

A：被彻底删除 B：只是被放入回收站,还可以还原

C：只是被放入回收站,但不可还原 D：被放入了剪贴板中

5、环境中，若应用程序出现故障，这时应优先考虑的操作是______。

A：关掉计算机主机的电源 　B：连续按两次 Ctrl+Alt+Del

C：按一次 Ctrl控制键+Alt换档键+Del

D：按计算机主机上的"RESET"复位键

6、在"对话框"窗口中，选项前有"□"框的按钮是______按钮。

A：单选 B：复选 C：命令 D：滚动

7、激活快捷菜单的操作是______。

A：单击鼠标左键　 B：移动鼠标　C：拖放鼠标 　D：单击鼠标右键

8、"控制面板"窗口中不包含______图标。

A：日期/时间 B：记事本 C：显示　 D：键盘

9、桌面上有"记事本"程序的快捷图标，不能启动"记事本"的 *** ___。

A：双击桌面上的"记事本"图标

B：从"开始"菜单"程序"项的"附件"中，单击"记事本"

C：从"资源管理器"中，找到"记事本"，并双击它

D：从"资源管理器"中，找到"记事本"，并单击它

10、文件名命名不能______ 。

A：使用汉字字符 　 B：包括空格字符

C：长达255个字符 D：使用?和*

11、使用"开始"菜单中的______命令可以迅速找到文件和文件夹。

A：帮助 B：查找 C：程序 D：运行

12、 如果要把C盘某个文件夹中的一些文件复制到C盘另外的一个文件夹中，在选定文件后，若采用鼠标拖曳操作，______操作可以将选中的文件复制到目标文件夹。

A：直接拖曳 B： CTRL控制键+拖曳 C：SHIFT上档键+拖曳 D：单击

13、下列关于"任务栏"的叙述,哪一项是错误的 ( D ).

A：可以将任务栏设置为自动隐藏 B：任务栏可以移动。

C：通过任务栏上的按钮,可实现窗口之间的切换

D：在任务栏上,只显示当前活动窗口名

14、下列对Windows窗口的描述中,错误的是______。

A：可以对窗口进行"最小化","更大化"操作

B：可以同时打开多个窗口,但只有一个活动窗口

C：可以通过鼠标或键盘进行窗口的切换

D：可以改变窗口大小,但不能移动

15、Windows 中能更改文件名的操作是______.

A：用鼠标左键双击文件名,然后选择"重命名",键入新文件名后按回车键

B：用鼠标左键单击文件名,然后选择"重命名",键入新文件名后按回车键

C：用鼠标右键双击文件名,然后选择"属性",键入新文件名后按回车键

D：用鼠标右键单击文件名,然后选择"重命名",键入新文件名后按回车键

16在Windows中,默认的切换中英文输入的 *** 是 ______.

A：CTRL +空格 B：CTRL +SHIFT

C：SHIFT +ALT +CTRL D：ALT +空格

17、Windows 的整个显示屏幕称为 ______.

A：窗口 B：操作台 C：工作台 D：桌面

18、某个菜单项呈灰暗色,表示 ______.

A：该菜单项永远不能使用 B：软件设计上的缺陷

C：当前不能使用菜单项 D：以上都不对

19、用于切换大小写字母的键是______.

A：数码锁定NumLock B：大写锁定CapsLock

C：Ctrl控制键控制 D：Shift上档键上档

20、在同一磁盘的两个文件夹间移动选定的文件,除可用鼠标直接拖动实现外,还可以使用的 *** 是______.

A：先"复制"后"粘贴" B：先"移动"后"粘贴"

C：先"删除"后"粘贴" D：先"剪切"后"粘贴"

21、以下正确的叙述是（）。

A. Office是一种电子表格软件 B. Office是一种操作系统

C. Office是一组办公应用软件 D. Office是一种字处理软件

22、Word中的段落标记符是通过（ 　 ）产生的。

A. 插入分页符 B. 插入分段符

C. 按Enter键 D. 按Shift+Enter键

23、在Word中可以选取矩形区域的文字块， *** 是在按住（ ）键的同时按住鼠标左键并拖动。

A. Shift B. Alt C. Ctrl D. Tab

24、Word的样式是一组（ ）的 *** 。

A. 格式 B. 模板 C. 公式 D. 控制符

25、保护一个工作表，可以使不知道密码的人（ ）。

A. 看不到工作表内容 B. 不能复制工作表的内容

C. 不能修改工作表的内容 D. 不能删除工作表所在的工作簿文件。

26、Excel图表是（ ）。

A. 工作表数据的图表表示 B. 图片

C. 可以用画图工具进行编辑 D. 根据工作表数据用画图工具绘制的

27、Excel主要应用在（ ）。

A. 美术、装璜、图片 *** 等各个方面

B. 工业设计、机械制造、建筑工程

C. 统计分析、财务管理分析、股票分析和经济、行政管理等

D. 多媒体 ***

28、将Word表格中两个单元格合并成一个单元格后，单元格中的内容（ ）。

A. 只保留第1个单元格内容 B. 只保留第2个单元格内容

C. 2个单元格内容均保留 D. 2个单元格内容全部丢失

29、在Word文档中删除一个段落标记符后，前后两段文字将合并成一段，段落格式的编排是（ ）。

A. 后一个段落采用前一个段落的格式 B. 前一个段落采用后一个段落的格式 C. 前一个段落变成无格式

D. 没有变化

30.在Word编辑状态下，若选定整个表格，单击Delete键后( )。

A.表格中的内容全部被删除，但表格还在

B.表格被删除，但表格中的内容未被删除

C.表格和内容全部被删除

D.表格中插入点所在的行被删除

31.Word 2003文档编辑的时候，设置行间距的操作是在( )对话框中进行。

A.段落 B.分栏 C.边框和底纹 D.字体

32.在Word 2003中，下列关于表格操作的叙述中不正确的是( )。

A.不能将一个单元格拆分成多个单元格

B.可以将两张表格合并成一张表格

C.可以将表格加上实线边框

D.可以将表中两个单元格或多个单元格合并成一个单元格

33.Word 2003中，对字符间距的调整不包括( )。

A.扩大或者缩小行间距离 B.提升或者降低字符位置

C.缩小或者放大字符宽度 D.加宽或者紧缩间距

34.在Excel 2003中，能使数据清单中的列标出现下拉箭头的是( )。

A.自动筛选 B.分类汇总 C.排序 D.数据记录单

35.关于Excel 2003工作簿和工作表的说法，正确的是( )。

A.在Excel 2003中，工作表的数目受可用内存的限制

B.工作表可以单独存盘 C.工作表需单独打开

D.一个Excel 2003工作簿只能由三个工作表组成

36.在Excel 2003中，下列说法正确的是( )。

A.在Excel 2003中，行可以隐藏

B.在Excel 2003中，一次不能插入多行

C.在Excel 2003中，不能隐藏工作表

D.在Excel 2003中，列不可以隐藏

37.在Excel 2003中，如果单元格所包含的数字、日期或时间比单元格宽，则显示的错误值是( )。

A. #### B. #NUM！ C.#VALUE！ D.DIV/0

38.下列哪项操作可以撤消误操作( )。

A.CTRL+C B. CTRL+P C. CTRL+V D. CTRL+Z

39、在Excel工作表中，如未非凡设定格式，则文字会自动（ ）对齐。

A 靠左 B 靠右 C 居中 D随机

40、在Word的编辑状态，为文档设置页码，可使用（ ）

A “工具”菜单中的命令 B “编辑”菜单中的命令

C “格式”菜单中的命令 D “插入”菜单中的命令

41、在Word文档的编辑状态下，把鼠标光标放在某一字符处连续击三次左键，将选取该字符所在的（ ）

A 一个词 B 一个句字 C 一行 D 一个段落

42、在Word中，新建一个Word文档，默认的文件名是“文档1”，文档内容和之一行标题是“说明书”，对该文件保存时没有重新命名，则该Word文档的文件名是（ ）。

A 文档1.do B bec1.doc C 说明书.doc D 没有文件名

43、Excel工作表可以进行填充时，鼠标的外形为（ ）。

A 空心粗+字 B 向右方箭头 C 实心细+字 D 向下方箭头

44、Excel工作表可以插入行时，鼠标的外形为（ ）。

A 向右方箭头 B空心粗+字 C 实心细+字 D 向下方箭头

45、在工作表中插入行时，Excel会（ ）

A 覆盖插入点所在的行 B 将插入点所在的行下移

C 将插入点所在的行上移 D 无法进行行插入

46、在Word中，要在页面上插入页眉、页脚，应使用____菜单下的“页眉和页脚”命令。

A “工具”菜单中的命令 B “视图”菜单中的命令

C “格式”菜单中的命令 D “插入”菜单中的命令

47、在Excel表格中，单元格的数据填充（ ）。

A ： 必须在相邻单元格中进行 B ： 不一定在相邻单元格中进行

C ： 与单元格的数据复制是一样的 D ： 与单元格的数据移动是一样的

48、录入数据时，在单元格中出现一连串的“#####”符号表示。

A： 需调整单元格的宽度 B ： 需重新输入数据

C ： 需删去该单元格 D ： 需删去这些符号

49、在计算机键盘上能快速录入数字信息的是下列哪个键位区（ ）。

A 主键盘区 B 功能键区 C 光标控件区 D 小键盘区

50、在进行汉字录入时，下列哪项是属于定位键（ ）。

A：F，J键 B： A，F键 C： A，J键 D ： L，J键

51、在PowerPoint中幻灯片的设计模板不包括（ ）

A.幻灯片的配色方案 B.幻灯片的背景

C.占位符的位置与大小 D.幻灯片上的文本颜色

52、在PowerPoint中的配色方案由幻灯片设计中使用的____种对象的颜色组成。（ ）

A.6 B.7 C.B D.9

53、通过“幻灯片切换”对话框可以设置演示文稿中各幻灯片的切换方式，正确打开“幻 灯片切换”对话框的操作是（ ）

A.单击“文件”菜单中的“幻灯片切换”命令

B.单击“幻灯片放映”菜单中的“幻灯片切换”命令

C.单击“格式”菜单中的“幻灯片切换”命令

D.单击“窗el”菜单中的“幻灯片切换”命令

54、因特网采用的协议是（ ）

A、TCP/IP B、X.25 C、FTP/BBS D、TCP/CP

54、LAN的中文名称是（ ）

A、广域网 B、局域网 B、远程网 D、内部网

55、计算机病毒主要是通过（ ）传播

A、软盘 B、人体 C、电源 D、 *** 和磁盘

56、操作系统是（ ）

A、表处理系统 B、应用软件 C、文字软件 D、系统软件

57、ROM的中文名称是（ ）

A、随机存取存储器 B、顺序存取存储器 C、只读存储器 D、只写存储器

58、在微机系统中，鼠标器属于（ ）

A、输出设备 B、输入设备 C、存储设备 D、控制器

59、衡量电子计算机存储容量的单位是（ ）

A、块 B、比特 C、字长 D、字节

60、WWW是指________。

A、World Wide Wait B、Web Wide World C、World Wide Web D、World Wade Web

61、在因特网上，ISP表示________。

A、内容提供商 B、接入服务商 C、应用提供商 D、数据托管商

62、Internet Explorer中的“收藏夹”的作用是________。

A、收藏网址 B、收藏通讯地址 C、收藏所需的文件 D、收藏图片

63、“Chat”是互联网上常用的一种服务，它是指________。

A、软件下载 B、网上聊天 C、信息发布 D、 *** ***

64、以下哪一项不是Internet的特点________。

A、不论采用何种协议，任何两台主机之间都可以进行通信 B、信息容量大C、信息可以在全球范围内传播 D、便于检索各类信息

65、点击Internet Explorer的工具栏“主页”按钮时将连接到________。

A、Microsoft的主页 B、返回到上一次连接的主页 C、用户定义的主页 D、空白页

66、用Windows NT，Windows98连接的基于客户∕服务器的 *** 中，要使用 *** 中所有用户都能同时地利用一条 *** 线和一个Modem上网，需要安装________。

A、无法实现 B、ISDN C、ADSL D、 *** 服务器

67、在Outlook Express中，“已发送邮件”文件夹保存的电子邮件是________。

A、等待发送的邮件 B、已经发送出去的邮件C、发送不出去的邮件 D、发送出去被退回的邮件

68、Outlook Express的“收件箱”中，如果邮件的左侧有一个回形针的图标，表示________。

A、此邮件附带有其他文件 B、此邮件有病毒 C、此邮件尚未阅读 D、此邮件已经阅读

69、计算机病毒不能通过——传播．

A. 移动U盘 B．磁盘 C. 电子邮件 D．光盘

70、计算机染上病毒后可能出现的现象______。

A. 系统出现异常启动或经常“死机” B. 程序或数据突然丢失

C. 磁盘空间突然变小 D. 以上都是

71、从本质上讲，计算机病毒是一种（ ）。

A．细菌 B．文本 C．程序 D．微生物

72、在操作计算机时，不要频繁的开关机，每次关机和开机之间的时间间隔应不小于（ ）秒。

A．10 B.20 C.30 D.5

73、在Internet上，下列哪项不是黑客通常采用的攻击手段（ ）

A．端口扫描 B．后门程序 C．DOS攻击 D．炮弹攻击

74、下列哪项不是电脑病毒的特征（ ）

A．破坏性 B．复制性 C．传染性 D．潜伏性

75、电脑病毒的传播途径不包括（ ）

A．使用电源 B．移动存储设备 C．下载 *** 资源 D．电子邮件

76、电脑要上网，必须安装（ ），这样才能保证电脑的安全。

A．U盘 B．打印机 C．杀毒软件 D．Internet

77、计算机硬件系统由主机、输入设备、输出设备、（ ）等组成。

A．CPU B．存储设备 C．扫描仪 D．显卡

78、冷启动的具体操作步骤（ ）

①按下主机箱上的Power电源开关；

②计算机进行自检，不需要用户进行干预；

③接通计算机各外设电源；

④自检完成，系统自动引导进入操作系统；

A．①②③④ B．③②④① C．③①②④ D．②③①④

79、启动PowerPoint2003有几种 *** （ ）

A．2 B．3 C．4 D．5

80、下列哪项不是PowerPoint的视图模式（ ）

A．普通视图 B．幻灯片浏览视图 C．备注页视图 D．幻灯片切换视图

答案

1-10 ACBBCBDBBD

11-20 BBDDDADCBD

21-30 CCBACACCAA

31-40 AAAAAAADAD

41-50 CCAABBBAAA

51-60 CCBABDDCBD

61-70 BABACDBABA

71-80 CCDBACBCBD

车载程序日志出现隔几天日志中间丢失一部分数据的情况。 可能是什么原因导致？

系统日志源自航海日志：当人们出海远行的时候，总是要做好航海日志，以便为以后的工作做出依据。日志文件作为微软Windows系列操作系统中的一个比较特殊的文件，在安全方面具有无可替代的价值。日志每天为我们忠实的记录着系统所发生一切，利用系统日志文件，可以使系统管理员快速对潜在的系统入侵作出记录和预测，但遗憾的是目前绝大多数的人都忽略了它的存在。反而是因为黑客们光临才会使我们想起这个重要的系统日志文件。7.1日志文件的特殊性要了解日志文件，首先就要从它的特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护，一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑 *** 来编辑它。例如WPS系列、Word系列、写字板、Edit等等，都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作，否则系统就会很不客气告诉你:访问被拒绝。当然，在纯DOS的状态下，可以对它进行一些常规操作(例如Win98状态下)，但是你很快就会发现，你的修改根本就无济于事，当重新启动Windows98时，系统将会自动检查这个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录。7.1.1黑客为什么会对日志文件感兴趣黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的 *** 就是删除系统日志文件，但这样做一般都是初级黑客所为，真正的高级黑客们总是用修改日志的 *** 来防止系统管理员追踪到自己， *** 上有很多专门进行此类功能的程序，例如Zap、Wipe等。7.1.2Windows系列日志系统简介1.Windows98的日志文件因目前绝大多数的用户还是使用的操作系统是Windows98，所以本节先从Windows98的日志文件讲起。Windows98下的普通用户无需使用系统日志，除非有特殊用途，例如，利用Windows98建立个人Web服务器时，就会需要启用系统日志来作为服务器安全方面的参考，当已利用Windows98建立个人Web服务器的用户，可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关的 *** 协议，并添加“个人Web服务器”的情况下)。(2)在“管理”选项卡中单击“管理”按钮；(3)在“Internet服务管理员”页中单击“WWW管理”；(4)在“WWW管理”页中单击“日志”选项卡；(5)选中“启用日志”复选框，并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录，则文件将被保存在Windows文件夹中。普通用户可以在Windows98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种 *** 找到它。在“开始”/“查找”中查找到它，或是启动“任务计划程序”，在“高级”菜单中单击“查看日志”来查看到它。Windows98的普通用户的日志文件很简单，只是记录了一些预先设定的任务运行过程，相对于作为服务器的NT操作系统，真正的黑客们很少对Windows98发生兴趣。所以Windows98下的日志不为人们所重视。2.WindowsNT下的日志系统WindowsNT是目前受到攻击较多的操作系统，在WindowsNT中，日志文件几乎对系统中的每一项事务都要做一定程度上的审计。WindowsNT的日志文件一般分为三类：系统日志：跟踪各种各样的系统事件，记录由WindowsNT的系统组件产生的事件。例如，在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。应用程序日志：记录由应用程序或系统程序产生的事件，比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。安全日志：记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件，安全日志的默认状态是关闭的。WindowsNT的日志系统通常放在下面的位置，根据操作系统的不同略有变化。C:\systemroot\system32\config\sysevent.evtC:\systemroot\system32\config\secevent.evtC:\systemroot\system32\config\appevent.evtWindowsNT使用了一种特殊的格式存放它的日志文件，这种格式的文件可以被事件查看器读取，事件查看器可以在“控制面板”中找到，系统管理员可以使用事件查看器选择要查看的日志条目，查看条件包括类别、用户和消息类型。3.Windows2000的日志系统与WindowsNT一样，Windows2000中也一样使用“事件查看器”来管理日志系统，也同样需要用系统管理员身份进入系统后方可进行操作，如图7-1所示。图7-1在Windows2000中，日志文件的类型比较多，通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同而略有变化。启动Windows2000时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会关闭“安全日志”，但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启，就会无限制的记录下去，直到装满时停止运行。Windows2000日志文件默认位置：应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB，但有经验的系统管理员往往都会改变这个默认大小。安全日志文件：c:\systemroot\system32\config\SecEvent.EVT系统日志文件：c:\systemroot\system32\config\SysEvent.EVT应用程序日志文件：c:\systemroot\system32\config\AppEvent.EVTInternet信息服务FTP日志默认位置：c:\systemroot\system32\logfiles\msftpsvc1\。Internet信息服务WWW日志默认位置：c:\systemroot\system32\logfiles\w3svc1\。Scheduler服务器日志默认位置：c:\systemroot\schedlgu.txt。该日志记录了访问者的IP，访问的时间及请求访问的内容。因Windows2000延续了NT的日志文件，并在其基础上又增加了FTP和WWW日志，故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显，所以高级黑客们根本不会用这种 *** 来传文件，取而代之的是使用RCP。FTP日志文件和WWW日志文件产生的日志一般在c:\systemroot\system32\LogFiles\W3SVC1目录下，默认是每天一个日志文件，FTP和WWW日志可以删除，但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来，如果用户需要尝试删除这些文件，通过一些并不算太复杂的 *** ，例如首先停止某些服务，然后就可以将该日志文件删除。具体 *** 本节略。Windows2000中提供了一个叫做安全日志分析器(CyberSafeLogAnalyst，CLA)的工具，有很强的日志管理功能，它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录，而是通过分类的方式将各种事件整理好，让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个 *** 环境中多个系统的各种活动同时进行分析，避免了一个个单独去分析的麻烦。4.WindowsXP日志文件说WindowsXP的日志文件，就要先说说Internet连接防火墙(ICF)的日志，ICF的日志可以分为两类：一类是ICF审核通过的IP数据包，而一类是ICF抛弃的IP数据包。日志一般存于Windows目录之下，文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3CExtendedLogFileFormat)，分为两部分，分别是文件头(HeadInformation)和文件主体(BodyInformation)。文件头主要是关于Pfirewall.log这个文件的说明，需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息，包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式，这与在常用日志分析工具中使用的格式类似。当我们在WindowsXP的“控制面板”中，打开事件查看器，如图7-2所示。就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件，当你单击其中任一文件时，就可以看见日志文件中的一些记录，如图7-3所示。图7-2图7-3在高级设备中，我们还可以进行一些日志的文件存放地址、大小限制及一些相关操作，如图7-4所示。图7-4若要启用对不成功的连接尝试的记录，请选中“记录丢弃的数据包”复选框，否则禁用。另外，我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。5.日志分析当日志每天都忠实的为用户记录着系统所发生的一切的时候，用户同样也需要经常规范管理日志，但是庞大的日志记录却又令用户茫然失措，此时，我们就会需要使用工具对日志进行分析、汇总，日志分析可以帮助用户从日志记录中获取有用的信息，以便用户可以针对不同的情况采取必要的措施。7.2系统日志的删除因操作系统的不同，所以日志的删除 *** 也略有变化，本文从Windows98和Windows2000两种有明显区别的操作系统来讲述日志的删除。7.2.1Windows98下的日志删除在纯DOS下启动计算机，用一些常用的修改或删除命令就可以消除Windows98日志记录。当重新启动Windows98后，系统会检查日志文件的存在，如果发现日志文件不存在，系统将自动重建一个，但原有的日志文件将全部被消除。7.2.2Windows2000的日志删除Windows2000的日志可就比Windows98复杂得多了，我们知道，日志是由系统来管理、保护的，一般情况下是禁止删除或修改，而且它还与注册表密切相关。在Windows2000中删除日志首先要取得系统管理员权限，因为安全日志和系统日志必须由系统管理员方可查看，然后才可以删除它们。我们将针对应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件，就必须停止系统对日志文件的保护功能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件，但安全日志就必须要使用系统中的“事件查看器”来控制它，打开“控制面板”的“管理工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单，点击它如图7-5所示。图7-5输入远程计算机的IP，然后需要等待，选择远程计算机的安全性日志，点击属性里的“清除日志”按钮即可。7.3发现入侵踪迹如何当入侵者企图或已经进行系统的时候，及时有效的发现踪迹是目前防范入侵的热门话题之一。发现入侵踪迹的前题就是应该有一个入侵特征数据库，我们一般使用系统日志、防火墙、检查IP报头(IPheader)的来源地址、检测Email的安全性以及使用入侵检测系统(IDS)等来判断是否有入侵迹象。我们先来学习一下如何利用端口的常识来判断是否有入侵迹象：电脑在安装以后，如果不加以调整，其默认开放的端口号是139，如果不开放其它端口的话，黑客正常情况下是无法进入系统的。如果平常系统经常进行病毒检查的话，而突然间电脑上网的时候会感到有反应缓慢、鼠标不听使唤、蓝屏、系统死机及其它种种不正常的情况，我们就可以判断有黑客利用电子信件或其它 *** 在系统中植入的特洛伊木马。此时，我们就可以采取一些 *** 来清除它，具体 *** 在本书的相关章节可以查阅。7.3.1遭受入侵时的迹象入侵总是按照一定的步骤在进行，有经验的系统管理员完全可以通过观察到系统是否出现异常现象来判断入侵的程度。1.扫描迹象当系统收到连续、反复的端口连接请求时，就可能意味着入侵者正在使用端口扫描器对系统进行外部扫描。高级黑客们可能会用秘密扫描工具来躲避检测，但实际上有经验的系统管理员还是可以通过多种迹象来判断一切。2.利用攻击当入侵者使用各种程序对系统进行入侵时，系统可能报告出一些异常情况，并给出相关文件(IDS常用的处理 *** )，当入侵者入侵成功后，系统总会留下或多或少的破坏和非正常访问迹象，这时就应该发现系统可能已遭遇入侵。3.DoS或DDoS攻击迹象这是当前入侵者比较常用的攻击 *** ，所以当系统性能突然间发生严重下降或完全停止工作时，应该立即意识到，有可能系统正在遭受拒绝服务攻击，一般的迹象是CPU占用率接近90%以上， *** 流量缓慢、系统出现蓝屏、频繁重新启动等。7.3.2合理使用系统日志做入侵检测系统日志的作用和重要性大家通过上几节的讲述，相信明白了不少，但是虽然系统自带的日志完全可以告诉我们系统发生的任何事情，然而，由于日志记录增加得太快了，最终使日志只能成为浪费大量磁盘空间的垃圾，所以日志并不是可以无限制的使用，合理、规范的进行日志管理是使用日志的一个好 *** ，有经验的系统管理员就会利用一些日志审核工具、过滤日志记录工具，解决这个问题。要更大程度的将日志文件利用起来，就必须先制定管理计划。1.指定日志做哪些记录工作？2.制定可以得到这些记录详细资料的触发器。7.3.3一个比较优秀的日志管理软件要想迅速的从繁多的日志文件记录中查找到入侵信息，就要使用一些专业的日志管理工具。SurfstatsLogAnalyzer4.6就是这么一款专业的日志管理工具。 *** 管理员通过它可以清楚的分析“log”文件，从中看出网站目前的状况，并可以从该软件的“报告”中，看出有多少人来过你的网站、从哪里来、在系统中大量地使用了哪些搜寻字眼，从而帮你准确地了解网站状况。这个软件最主要的功能有：1、整合了查阅及输出功能，并可以定期用屏幕、文件、FTP或E-mail的方式输出结果；2.可以提供30多种汇总的资料；3.能自动侦测文件格式，并支持多种通用的log文件格式，如MSIIS的W3Extendedlog格式；4.在“密码保护”的目录里，增加认证(Authenticated)使用者的分析报告；5.可按每小时、每星期、或每月的模式来分析；6.DNS资料库会储存解析(Resolved)的IP地址；7.每个分析的画面都可以设定不同的背景、字型、颜色。发现入侵踪迹的 *** 很多，如入侵检测系统IDS就可以很好的做到这点。下一节我们将讲解详细的讲解入侵检测系统。7.4做好系统入侵检测7.4.1什么是入侵检测系统在人们越来越多和 *** 亲密接触的同时，被动的防御已经不能保证系统的安全，针对日益繁多的 *** 入侵事件，我们需要在使用防火墙的基础上选用一种协助防火墙进行防患于未然的工具，这种工具要求能对潜在的入侵行为作出实时判断和记录，并能在一定程度上抗击 *** 入侵，扩展系统管理员的安全管理能力，保证系统的绝对安全性。使系统的防范功能大大增强，甚至在入侵行为已经被证实的情况下，能自动切断 *** 连接，保护主机的绝对安全。在这种情形下，入侵检测系统IDS(IntrusionDetectionSystem)应运而生了。入侵检测系统是基于多年对 *** 安全防范技术和黑客入侵技术的研究而开发的 *** 安全产品它能够实时监控 *** 传输，自动检测可疑行为，分析来自 *** 外部入侵信号和内部的非法活动，在系统受到危害前发出警告，对攻击作出实时的响应，并提供补救措施，更大程度地保障系统安全。NestWatch这是一款运行于WindowsNT的日志管理软件，它可以从服务器和防火墙中导入日志文件，并能以HTML的方式为系统管理员提供报告。7.4.2入侵检测系统和日志的差异系统本身自带的日志功能可以自动记录入侵者的入侵行为，但它不能完善地做好入侵迹象分析记录工作，而且不能准确地将正常的服务请求和恶意的入侵行为区分开。例如，当入侵者对主机进行CGI扫描时，系统安全日志能提供给系统管理员的分析数据少得可怜，几乎全无帮助，而且安全日志文件本身的日益庞大的特性，使系统管理员很难在短时间内利用工具找到一些攻击后所遗留下的痕迹。入侵检测系统就充分的将这一点做的很好，利用入侵检测系统提供的报告数据，系统管理员将十分轻松的知晓入侵者的某些入侵企图，并能及时做好防范措施。7.4.3入侵检测系统的分类目前入侵检测系统根据功能方面，可以分为四类：1.系统完整性校验系统(SIV)SIV可以自动判断系统是否有被黑客入侵迹象，并能检查是否被系统入侵者更改了系统文件，以及是否留有后门(黑客们为了下一次光顾主机留下的)，监视针对系统的活动(用户的命令、登录/退出过程，使用的数据等等)，这类软件一般由系统管理员控制。2. *** 入侵检测系统(NIDS)NIDS可以实时的对 *** 的数据包进行检测，及时发现端口是否有黑客扫描的迹象。监视计算机 *** 上发生的事件，然后对其进行安全分析，以此来判断入侵企图；分布式IDS通过分布于各个节点的传感器或者 *** 对整个 *** 和主机环境进行监视，中心监视平台收集来自各个节点的信息监视这个 *** 流动的数据和入侵企图。3.日志分析系统(LFM)日志分析系统对于系统管理员进行系统安全防范来说，非常重要，因为日志记录了系统每天发生的各种各样的事情，用户可以通过日志记录来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志分析系统的主要功能有：审计和监测、追踪侵入者等。日志文件也会因大量的记录而导致系统管理员用一些专业的工具对日志或者报警文件进行分析。此时，日志分析系统就可以起作用了，它帮助系统管理员从日志中获取有用的信息，使管理员可以针对攻击威胁采取必要措施。4.欺骗系统(DS)普通的系统管理员日常只会对入侵者的攻击作出预测和识别，而不能进行反击。但是欺骗系统(DS)可以帮助系统管理员做好反击的铺垫工作，欺骗系统(DS)通过模拟一些系统漏洞来欺骗入侵者，当系统管理员通过一些 *** 获得黑客企图入侵的迹象后，利用欺骗系统可以获得很好的效果。例如重命名NT上的administrator账号，然后设立一个没有权限的虚假账号让黑客来攻击，在入侵者感觉到上当的时候，管理员也就知晓了入侵者的一举一动和他的水平高低。7.4.4入侵检测系统的检测步骤入侵检测系统一般使用基于特征码的检测 *** 和异常检测 *** ，在判断系统是否被入侵前，入侵检测系统首先需要进行一些信息的收集。信息的收集往往会从各个方面进行。例如对 *** 或主机上安全漏洞进行扫描，查找非授权使用 *** 或主机系统的企图，并从几个方面来判断是否有入侵行为发生。检测系统接着会检查 *** 日志文件，因为黑客非常容易在会在日志文件中留下蛛丝马迹，因此 *** 日志文件信息是常常作为系统管理员检测是否有入侵行为的主要 *** 。取得系统管理权后，黑客们最喜欢做的事，就是破坏或修改系统文件，此时系统完整性校验系统(SIV)就会迅速检查系统是否有异常的改动迹象，从而判断入侵行为的恶劣程度。将系统运行情况与常见的入侵程序造成的后果数据进行比较，从而发现是否被入侵。例如：系统遭受DDoS分布式攻击后，系统会在短时间内性能严重下降，检测系统此时就可以判断已经被入侵。入侵检测系统还可以使用一些系统命令来检查、搜索系统本身是否被攻击。当收集到足够的信息时，入侵检测系统就会自动与本身数据库中设定的已知入侵方式和相关参数匹配，检测准确率相当的高，让用户感到不方便的是，需要不断的升级数据库。否则，无法跟上 *** 时代入侵工具的步伐。入侵检测的实时保护功能很强，作为一种“主动防范”的检测技术，检测系统能迅速提供对系统攻击、 *** 攻击和用户误操作的实时保护，在预测到入侵企图时本身进行拦截和提醒管理员预防。7.4.5发现系统被入侵后的步骤1.仔细寻找入侵者是如何进入系统的，设法堵住这个安全漏洞。2.检查所有的系统目录和文件是否被篡改过，尽快修复。3.改变系统中的部分密码，防止再次因密码被暴力破解而生产的漏洞。7.4.6常用入侵检测工具介绍1.NetProwler作为世界级的互联网安全技术厂商，赛门铁克公司的产品涉及到 *** 安全的方方面面，特别是在安全漏洞检测、入侵检测、互联网内容/电子邮件过滤、远程管理技术和安全服务方面，赛门铁克的先进技术的确让人惊叹！NetProwler就是一款赛门铁克基于 *** 入侵检测开发出的工具软件，NetProwler采用先进的拥有专利权的动态信号状态检测(SDSI)技术，使用户能够设计独特的攻击定义。即使最复杂的攻击也可以由它直观的攻击定义界面产生。(1)NetProwler的体系结构NetProwler具有多层体系结构，由Agent、Console和Manager三部分组成。Agent负责监视所在网段的 *** 数据包。将检测到的攻击及其所有相关数据发送给管理器，安装时应与企业的 *** 结构和安全策略相结合。Console负责从 *** 处收集信息，显示所受攻击信息，使你能够配置和管理隶属于某个管理器的 *** 。Manager对配置和攻击警告信息响应，执行控制台发布的命令，将 *** 发出的攻击警告传递给控制台。当NetProwler发现攻击时，立即会把攻击事件记入日志并中断 *** 连接、创建一个报告，用文件或E-mail通知系统管理员，最后将事件通知主机入侵检测管理器和控制台。(2)NetProwler的检测技术NetProwler采用具有专利技术的SDSI(StatefulDynamicSignatureInspection状态化的动态特征检测)入侵检测技术。在这种设计中，每个攻击特征都是一组指令集，这些指令是由SDSI虚处理器通过使用一个高速缓存入口来描述目前用户状态和当前从 *** 上收到数据包的法执行。每一个被监测的 *** 服务器都有一个小的相关攻击特征集，这些攻击特征集都是基于服务器的操作和服务器所支持的应用而建立的。Stateful根据监视的 *** 传输内容，进行上下文比较，能够对复杂事件进行有效的分析和记录基于SDSI技术的NetProwler工作过程如下：之一步：SDSI虚拟处理器从 *** 数据中获取当今的数据包；第二步：把获取的数据包放入属于当前用户或应用会话的状态缓冲中；第三步：从特别为优化服务器性能的特征缓冲中执行攻击特征；第四步：当检测到某种攻击时，处理器立即触发响应模块，以执行相应的响应措施。(3)NetProwler工作模式因为是 *** 型IDS，所以NetProwler根据不同的 *** 结构，其数据采集部分(即 *** )有多种不同的连接形式：如果网段用总线式的集线器相连，则可将其简单的接在集线器的一个端口上即可。(4)系统安装要求用户将NetProwlerAgent安装在一台专门的WindowsNT工作站上，如果NetProwler和其他应用程序运行在同一台主机上，则两个程序的性能都将受到严重影响。 *** 入侵检测系统占用大量的资源，因此制造商一般推荐使用专门的系统运行驱动引擎，要求它有128MRAM和主频为400MHz的IntelPentiumII或Pentium私密日志独立密码就是在你写的私密日志里又加了一层密码，即便是主人想打开自己写的私密日志也需要密码，打上密码就可以打开自己的私密日志了，如果想要关闭的话，在私密日志的上方会有，如果你设置了私密日志密码，就点“关闭私密日志独立密码”就可以了，以后你再打开私密日志的话就不需要密码了。

客户端服务器如何申请握手信息，而服务端如何应答握手信息，并接受请求的呢？高手帮帮忙吧！

了解一定量的英文：

学习英语的黑客，是非常重要的，因为大多数的资料和教程都是英文版本，和黑客有关的新闻也来自国外的，一个漏洞从发现到中国的介绍， ，需要一个星期左右的时间，在这段时间内的 *** 管理员有足够的时间来修复漏洞，所以当我们看到在中国推出此漏洞可能已经不再存在。学习黑客从一开始，我们应该尽量阅读英文资料，使用英文软件，并及时关注国外著名的 *** 安全网站。

学习基本软件的使用：

这里的基本软件是指两个元素：一个是我们每天的日常使用的各种电脑常用命令，例如FTP，Ping及，净等;另一方面还要学会有关黑客工具的使用，这主要包括端口扫描器，漏洞扫描器，信息截获工具和密码破解工具。更多品种的这些软件，在功能相同的在后面，所以这本书将介绍几种流行的软件使用学习者掌握的基本原则，无论是选择适合自己的，可也有在第二找到的软件开发指南的第二部分，写你自己的黑客工具。

三，初步了解 *** 协议和工程：

所谓“初步了解”就是“按照自己的理解的方式”来找出 *** 工程，因为知识的协议涉及到更复杂的，因此，如果一开始就进行深入研究，势必会大大挫伤学习积极性。这里我建议学习者初步了解有关tcp / ip协议，尤其是浏览 *** 时，是如何传递信息，客户端浏览器如何申请“握手信息，如何在服务器端的应答握手信息”并“接受要求“等内容，这部分的内容将在后面的章节中介绍。的

四，熟悉几种流行的编程语言和脚本：

如上所述，也不要求学习者深入学习一样，是可以阅读的语言，知道程序的结果执行即可。建议学习者初步学习C语言，asp和cgi的脚本语言，此外，htm的超文本语言和php，java的，等做一个基本的了解，主要学习这些语言？“变量”和“数组”部分，因为语言内在的联系一样的，所以只要他们的其他语言的高手，也可以是脉冲，建议学习C语言和htm的超文本语言。

熟悉的 *** 应用：

*** 应用程序包括各种服务器软件后台驻留程序的例子：wuftp，Apache服务器的背景，各种流行的网上论坛，电子社区。有条件的学习者更好的自己的电脑到服务器，然后安装并运行一些论坛代码，经过一番尝试，多愁善感的数字了 *** 的工作原理，而不是依靠理论学习要容易得多，能够达到事半功倍的效果

查找网站服务器隐藏文件夹

日志文件的特殊性要了解日志文件，首先就要从它的特殊性讲起，说它特殊是因为这个文件由系统管理，并加以保护，一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑 *** 来编辑它。例如WPS系列、Word系列、写字板、Edit等等，都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作，否则系统就会很不客气告诉你:访问被拒绝。当然，在纯DOS的状态下，可以对它进行一些常规操作(例如Win98状态下)，但是你很快就会发现，你的修改根本就无济于事，当重新启动Windows 98时，系统将会自动检查这个特殊的文本文件，若不存在就会自动产生一个；若存在的话，将向该文本追加日志记录。7.1.1 黑客为什么会对日志文件感兴趣黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改。最简单的 *** 就是删除系统日志文件，但这样做一般都是初级黑客所为，真正的高级黑客们总是用修改日志的 *** 来防止系统管理员追踪到自己， *** 上有很多专门进行此类功能的程序，例如Zap、Wipe等。7.1.2 Windows系列日志系统简介1.Windows 98的日志文件因目前绝大多数的用户还是使用的操作系统是Windows 98，所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志，除非有特殊用途，例如，利用Windows 98建立个人Web服务器时，就会需要启用系统日志来作为服务器安全方面的参考，当已利用Windows 98建立个人Web服务器的用户，可以进行下列操作来启用日志功能。

在“控制面板”中双击“个人Web服务器”图标；(必须已经在配置好相关的 *** 协议，并添加“个人Web服务器”的情况下)，在“管理”选项卡中单击“管理”按钮； (3)在“Internet服务管理员”页中单击“WWW管理”，在“WWW管理”页中单击“日志”选项卡；选中“启用日志”复选框，并根据需要进行更改。 将日志文件命名为“Inetserver_event.log”。

如果“日志”选项卡中没有指定日志文件的目录，则文件将被保存在Windows文件夹中。普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种 *** 找到它。在“开始”/“查找”中查找到它，或是启动“任务计划程序”，在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单，只是记录了一些预先设定的任务运行过程，相对于作为服务器的NT操作系统，真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。2.Windows NT下的日志系统Windows NT是目前受到攻击较多的操作系统，在Windows NT中，日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类：系统日志 ：跟踪各种各样的系统事件，记录由 Windows NT 的系统组件产生的事件。例如，在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。应用程序日志：记录由应用程序或系统程序产生的事件，比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。安全日志 ：记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件，安全日志的默认状态是关闭的。Windows NT的日志系统通常放在下面的位置，根据操作系统的不同略有变化。C:\systemroot\system32\config\sysevent.evtC:\systemroot\system32\config\secevent.evtC:\systemroot\system32\config\appevent.evtWindows NT使用了一种特殊的格式存放它的日志文件，这种格式的文件可以被事件查看器读取，事件查看器可以在“控制面板”中找到，系统管理员可以使用事件查看器选择要查看的日志条目，查看条件包括类别、用户和消息类型。3.Windows 2000的日志系统与Windows NT一样，Windows 2000中也一样使用“事件查看器”来管理日志系统，也同样需要用系统管理员身份进入系统后方可进行操作，如图7-1所示。图7-1在Windows 2000中，日志文件的类型比较多，通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等，可能会根据服务器所开启的服务不同而略有变化。启动Windows 2000时，事件日志服务会自动启动，所有用户都可以查看“应用程序日志”，但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会关闭“安全日志”，但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启，就会无限制的记录下去，直到装满时停止运行。 Windows 2000日志文件默认位置： 应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\sys tem32\config，默认文件大小512KB，但有经验的系统管理员往往都会改变这个默认大小。 安全日志文件：c:\sys temroot\sys tem32\config\SecEvent.EVT 系统日志文件：c:\sys temroot\sys tem32\config\SysEvent.EVT 应用程序日志文件：c:\sys temroot\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：c:\systemroot\sys tem32\logfiles\msftpsvc1\。 Internet信息服务WWW日志默认位置：c:\systemroot\sys tem32\logfiles\w3svc1\。 Scheduler服务器日志默认位置：c:\systemroot\schedlgu.txt 。该日志记录了访问者的IP，访问的时间及请求访问的内容。 因Windows2000延续了NT的日志文件，并在其基础上又增加了FTP和WWW日志，故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显，所以高级黑客们根本不会用这种 *** 来传文件，取而代之的是使用RCP。FTP日志文件和WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下，默认是每天一个日志文件， FTP和WWW日志可以删除，但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来，如果用户需要尝试删除这些文件，通过一些并不算太复杂的 *** ，例如首先停止某些服务，然后就可以将该日志文件删除。具体 *** 本节略。 Windows 2000中提供了一个叫做安全日志分析器(CyberSafe Log Analyst，CLA)的工具，有很强的日志管理功能，它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录，而是通过分类的方式将各种事件整理好，让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个 *** 环境中多个系统的各种活动同时进行分析，避免了一个个单独去分析的麻烦。 4.Windows XP日志文件 说Windows XP的日志文件，就要先说说Internet连接防火墙(ICF)的日志，ICF的日志可以分为两类：一类是ICF审核通过的IP数据包，而一类是ICF抛弃的IP数据包。日志一般存于Windows目录之下，文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3C Extended Log File Format)，分为两部分，分别是文件头(Head Information)和文件主体(Body Information)。文件头主要是关于Pfirewall.log这个文件的说明，需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息，包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式，这与在常用日志分析工具中使用的格式类似。 当我们在WindowsXP的“控制面板”中，打开事件查看器，如图7-2所示。 就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件，当你单击其中任一文件时，就可以看见日志文件中的一些记录，如图7-3所示。 图7-2 图7-3 在高级设备中，我们还可以进行一些日志的文件存放地址、大小限制及一些相关操作，如图7-4所示。 图7-4 若要启用对不成功的连接尝试的记录，请选中“记录丢弃的数据包”复选框，否则禁用。另外，我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。 5.日志分析 当日志每天都忠实的为用户记录着系统所发生的一切的时候，用户同样也需要经常规范管理日志，但是庞大的日志记录却又令用户茫然失措，此时，我们就会需要使用工具对日志进行分析、汇总，日志分析可以帮助用户从日志记录中获取有用的信息，以便用户可以针对不同的情况采取必要的措施。 7.2 系统日志的删除 因操作系统的不同，所以日志的删除 *** 也略有变化，本文从Windows 98和Windows 2000两种有明显区别的操作系统来讲述日志的删除。 7.2.1 Windows 98下的日志删除 在纯DOS下启动计算机，用一些常用的修改或删除命令就可以消除Windows 98日志记录。当重新启动Windows98后，系统会检查日志文件的存在，如果发现日志文件不存在，系统将自动重建一个，但原有的日志文件将全部被消除。 7.2.2 Windows 2000的日志删除 Windows 2000的日志可就比Windows 98复杂得多了，我们知道，日志是由系统来管理、保护的，一般情况下是禁止删除或修改，而且它还与注册表密切相关。在Windows 2000中删除日志首先要取得系统管理员权限，因为安全日志和系统日志必须由系统管理员方可查看，然后才可以删除它们。 我们将针对应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件，就必须停止系统对日志文件的保护功能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件，但安全日志就必须要使用系统中的“事件查看器”来控制它，打开“控制面板”的“管理工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单，点击它如图7-5所示。 图7-5 输入远程计算机的IP，然后需要等待，选择远程计算机的安全性日志，点击属性里的“清除日志”按钮即可。 7.3 发现入侵踪迹 如何当入侵者企图或已经进行系统的时候，及时有效的发现踪迹是目前防范入侵的热门话题之一。发现入侵踪迹的前题就是应该有一个入侵特征数据库，我们一般使用系统日志、防火墙、检查IP报头(IP header)的来源地址、检测Email的安全性以及使用入侵检测系统(IDS)等来判断是否有入侵迹象。 我们先来学习一下如何利用端口的常识来判断是否有入侵迹象： 电脑在安装以后，如果不加以调整，其默认开放的端口号是139，如果不开放其它端口的话，黑客正常情况下是无法进入系统的。如果平常系统经常进行病毒检查的话，而突然间电脑上网的时候会感到有反应缓慢、鼠标不听使唤、蓝屏、系统死机及其它种种不正常的情况，我们就可以判断有黑客利用电子信件或其它 *** 在系统中植入的特洛伊木马。此时，我们就可以采取一些 *** 来清除它，具体 *** 在本书的相关章节可以查阅。 7.3.1 遭受入侵时的迹象 入侵总是按照一定的步骤在进行，有经验的系统管理员完全可以通过观察到系统是否出现异常现象来判断入侵的程度。 1.扫描迹象 当系统收到连续、反复的端口连接请求时，就可能意味着入侵者正在使用端口扫描器对系统进行外部扫描。高级黑客们可能会用秘密扫描工具来躲避检测，但实际上有经验的系统管理员还是可以通过多种迹象来判断一切。 2.利用攻击 当入侵者使用各种程序对系统进行入侵时，系统可能报告出一些异常情况，并给出相关文件(IDS常用的处理 *** )，当入侵者入侵成功后，系统总会留下或多或少的破坏和非正常访问迹象，这时就应该发现系统可能已遭遇入侵。 3.DoS或DDoS攻击迹象 这是当前入侵者比较常用的攻击 *** ，所以当系统性能突然间发生严重下降或完全停止工作时，应该立即意识到，有可能系统正在遭受拒绝服务攻击，一般的迹象是CPU占用率接近90%以上， *** 流量缓慢、系统出现蓝屏、频繁重新启动等。 7.3.2 合理使用系统日志做入侵检测 系统日志的作用和重要性大家通过上几节的讲述，相信明白了不少，但是虽然系统自带的日志完全可以告诉我们系统发生的任何事情，然而，由于日志记录增加得太快了，最终使日志只能成为浪费大量磁盘空间的垃圾，所以日志并不是可以无限制的使用，合理、规范的进行日志管理是使用日志的一个好 *** ，有经验的系统管理员就会利用一些日志审核工具、过滤日志记录工具，解决这个问题。 要更大程度的将日志文件利用起来，就必须先制定管理计划。 1.指定日志做哪些记录工作？ 2.制定可以得到这些记录详细资料的触发器。 7.3.3 一个比较优秀的日志管理软件 要想迅速的从繁多的日志文件记录中查找到入侵信息，就要使用一些专业的日志管理工具。Surfstats Log Analyzer4.6就是这么一款专业的日志管理工具。 *** 管理员通过它可以清楚的分析“log”文件，从中看出网站目前的状况，并可以从该软件的“报告”中，看出有多少人来过你的网站、从哪里来、在系统中大量地使用了哪些搜寻字眼，从而帮你准确地了解网站状况。 这个软件最主要的功能有： 1、整合了查阅及输出功能，并可以定期用屏幕、文件、FTP或E-mail的方式输出结果； 2.可以提供30多种汇总的资料； 3.能自动侦测文件格式，并支持多种通用的log文件格式，如MS IIS的W3 Extended log格式； 4.在“密码保护”的目录里，增加认证(Authenticated)使用者的分析报告； 5.可按每小时、每星期、或每月的模式来分析； 6.DNS资料库会储存解析(Resolved)的IP地址； 7.每个分析的画面都可以设定不同的背景、字型、颜色。 发现入侵踪迹的 *** 很多，如入侵检测系统IDS就可以很好的做到这点。下一节我们将讲解详细的讲解入侵检测系统。 7.4 做好系统入侵检测 7.4.1 什么是入侵检测系统 在人们越来越多和 *** 亲密接触的同时，被动的防御已经不能保证系统的安全，针对日益繁多的 *** 入侵事件，我们需要在使用防火墙的基础上选用一种协助防火墙进行防患于未然的工具，这种工具要求能对潜在的入侵行为作出实时判断和记录，并能在一定程度上抗击 *** 入侵，扩展系统管理员的安全管理能力，保证系统的绝对安全性。使系统的防范功能大大增强，甚至在入侵行为已经被证实的情况下，能自动切断 *** 连接，保护主机的绝对安全。在这种情形下，入侵检测系统IDS(Intrusion Detection System)应运而生了。入侵检测系统是基于多年对 *** 安全防范技术和黑客入侵技术的研究而开发的 *** 安全产品 它能够实时监控 *** 传输，自动检测可疑行为，分析来自 *** 外部入侵信号和内部的非法活动，在系统受到危害前发出警告，对攻击作出实时的响应，并提供补救措施，更大程度地保障系统安全。 NestWatch 这是一款运行于Windows NT的日志管理软件，它可以从服务器和防火墙中导入日志文件，并能以HTML的方式为系统管理员提供报告。 7.4.2 入侵检测系统和日志的差异 系统本身自带的日志功能可以自动记录入侵者的入侵行为，但它不能完善地做好入侵迹象分析记录工作，而且不能准确地将正常的服务请求和恶意的入侵行为区分开。例如，当入侵者对主机进行CGI扫描时，系统安全日志能提供给系统管理员的分析数据少得可怜，几乎全无帮助，而且安全日志文件本身的日益庞大的特性，使系统管理员很难在短时间内利用工具找到一些攻击后所遗留下的痕迹。入侵检测系统就充分的将这一点做的很好，利用入侵检测系统提供的报告数据，系统管理员将十分轻松的知晓入侵者的某些入侵企图，并能及时做好防范措施。 7.4.3 入侵检测系统的分类 目前入侵检测系统根据功能方面，可以分为四类： 1.系统完整性校验系统(SIV) SIV可以自动判断系统是否有被黑客入侵迹象，并能检查是否被系统入侵者更改了系统文件，以及是否留有后门(黑客们为了下一次光顾主机留下的)，监视针对系统的活动(用户的命令、登录/退出过程，使用的数据等等)，这类软件一般由系统管理员控制。 2. *** 入侵检测系统(NIDS) NIDS可以实时的对 *** 的数据包进行检测，及时发现端口是否有黑客扫描的迹象。监视计算机 *** 上发生的事件，然后对其进行安全分析，以此来判断入侵企图；分布式IDS通过分布于各个节点的传感器或者 *** 对整个 *** 和主机环境进行监视，中心监视平台收集来自各个节点的信息监视这个 *** 流动的数据和入侵企图。 3.日志分析系统(LFM) 日志分析系统对于系统管理员进行系统安全防范来说，非常重要，因为日志记录了系统每天发生的各种各样的事情，用户可以通过日志记录来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志分析系统的主要功能有：审计和监测、追踪侵入者等。日志文件也会因大量的记录而导致系统管理员用一些专业的工具对日志或者报警文件进行分析。此时，日志分析系统就可以起作用了，它帮助系统管理员从日志中获取有用的信息，使管理员可以针对攻击威胁采取必要措施。 4.欺骗系统(DS) 普通的系统管理员日常只会对入侵者的攻击作出预测和识别，而不能进行反击。但是欺骗系统(DS)可以帮助系统管理员做好反击的铺垫工作，欺骗系统(DS)通过模拟一些系统漏洞来欺骗入侵者，当系统管理员通过一些 *** 获得黑客企图入侵的迹象后，利用欺骗系统可以获得很好的效果。例如重命名NT上的administrator账号，然后设立一个没有权限的虚假账号让黑客来攻击，在入侵者感觉到上当的时候，管理员也就知晓了入侵者的一举一动和他的水平高低。 7.4.4 入侵检测系统的检测步骤 入侵检测系统一般使用基于特征码的检测 *** 和异常检测 *** ，在判断系统是否被入侵前，入侵检测系统首先需要进行一些信息的收集。信息的收集往往会从各个方面进行。例如对 *** 或主机上安全漏洞进行扫描，查找非授权使用 *** 或主机系统的企图，并从几个方面来判断是否有入侵行为发生。 检测系统接着会检查 *** 日志文件，因为黑客非常容易在会在日志文件中留下蛛丝马迹，因此 *** 日志文件信息是常常作为系统管理员检测是否有入侵行为的主要 *** 。取得系统管理权后，黑客们最喜欢做的事，就是破坏或修改系统文件，此时系统完整性校验系统(SIV)就会迅速检查系统是否有异常的改动迹象，从而判断入侵行为的恶劣程度。将系统运行情况与常见的入侵程序造成的后果数据进行比较，从而发现是否被入侵。例如：系统遭受DDoS分布式攻击后，系统会在短时间内性能严重下降，检测系统此时就可以判断已经被入侵。 入侵检测系统还可以使用一些系统命令来检查、搜索系统本身是否被攻击。当收集到足够的信息时，入侵检测系统就会自动与本身数据库中设定的已知入侵方式和相关参数匹配，检测准确率相当的高，让用户感到不方便的是，需要不断的升级数据库。否则，无法跟上 *** 时代入侵工具的步伐。入侵检测的实时保护功能很强，作为一种“主动防范”的检测技术，检测系统能迅速提供对系统攻击、 *** 攻击和用户误操作的实时保护，在预测到入侵企图时本身进行拦截和提醒管理员预防。 7.4.5 发现系统被入侵后的步骤 1.仔细寻找入侵者是如何进入系统的，设法堵住这个安全漏洞。 2.检查所有的系统目录和文件是否被篡改过，尽快修复。 3.改变系统中的部分密码，防止再次因密码被暴力破解而生产的漏洞。 7.4.6 常用入侵检测工具介绍 1.NetProwler 作为世界级的互联网安全技术厂商，赛门铁克公司的产品涉及到 *** 安全的方方面面，特别是在安全漏洞检测、入侵检测、互联网内容/电子邮件过滤、远程管理技术和安全服务方面，赛门铁克的先进技术的确让人惊叹！NetProwler就是一款赛门铁克基于 *** 入侵检测开发出的工具软件，NetProwler采用先进的拥有专利权的动态信号状态检测(SDSI)技术，使用户能够设计独特的攻击定义。即使最复杂的攻击也可以由它直观的攻击定义界面产生。 (1)NetProwler的体系结构 NetProwler具有多层体系结构，由Agent、Console和Manager三部分组成。Agent负责监视所在网段的 *** 数据包。将检测到的攻击及其所有相关数据发送给管理器，安装时应与企业的 *** 结构和安全策略相结合。Console负责从 *** 处收集信息，显示所受攻击信息，使你能够配置和管理隶属于某个管理器的 *** 。Manager对配置和攻击警告信息响应，执行控制台发布的命令，将 *** 发出的攻击警告传递给控制台。 当NetProwler发现攻击时，立即会把攻击事件记入日志并中断 *** 连接、创建一个报告，用文件或E-mail通知系统管理员，最后将事件通知主机入侵检测管理器和控制台。 (2)NetProwler的检测技术 NetProwler采用具有专利技术的SDSI(Stateful Dynamic Signature Inspection状态化的动态特征检测)入侵检测技术。在这种设计中，每个攻击特征都是一组指令集，这些指令是由SDSI虚处理器通过使用一个高速缓存入口来描述目前用户状态和当前从 *** 上收到数据包的办法执行。每一个被监测的 *** 服务器都有一个小的相关攻击特征集，这些攻击特征集都是基于服务器的操作和服务器所支持的应用而建立的。Stateful根据监视的 *** 传输内容，进行上下文比较，能够对复杂事件进行有效的分析和记录 基于SDSI技术的NetProwler工作过程如下： 之一步：SDSI虚拟处理器从 *** 数据中获取当今的数据包； 第二步：把获取的数据包放入属于当前用户或应用会话的状态缓冲中； 第三步：从特别为优化服务器性能的特征缓冲中执行攻击特征； 第四步：当检测到某种攻击时，处理器立即触发响应模块，以执行相应的响应措施。 (3)NetProwler工作模式 因为是 *** 型IDS，所以NetProwler根据不同的 *** 结构，其数据采集部分(即 *** )有多种不同的连接形式：如果网段用总线式的集线器相连，则可将其简单的接在集线器的一个端口上即可。 (4)系统安装要求 用户将NetProwler Agent安装在一台专门的Windows NT工作站上，如果NetProwler和其他应用程序运行在同一台主机上，则两个程序的性能都将受到严重影响。 *** 入侵检测系统占用大量的资源，因此制造商一般推荐使用专门的系统运行驱动引擎，要求它有128M RAM和主频为400MHz的Intel Pentium II或Pentium

希望有用，望采纳！

前景与背景差分得到的灰度图像，如何将目标识别出来

嵌入式汽车身份自动识别系统

一、项目介绍

（研究目标、研究背景及现状、工作原理和方案设想、计划进度安排等）

见附录。

二、项目自我评价

1、先进性：

在数字信息技术和 *** 技术高速发展的后PC时代，随着嵌入式处理器性能的不断提高，高性能的处理器已经能满足复杂算法应用和其他复杂功能应用，嵌入式将不可避免得走进各个领域。另一方面，伴随着我国经济的快速发展和北京奥运会的举行，“交通智能化”将毋庸质疑的成为热门话题。由于交通行业的特殊性，其对ITS设备的技术参数、使用条件都有苛刻的要求，而嵌入式恰好能够满足此要求，因此嵌入式智能交通设备的大范围应用是必然趋势。嵌入式汽车身份自动识别系统是智能化交通管理系统的重要组成部分，是嵌入式技术与汽车身份识别技术的完美结合，他涵盖了嵌入式车牌识别、嵌入式车标识别以及汽车颜色识别三大主体功能，力求将汽车目标一次性锁定。

它拥有以下优点：

1、高度独立：使用嵌入式技术，仅通过通信接口与应用系统连接，独立性高。

2、功能齐全：同时识别汽车车牌、车标及颜色，一次性锁定目标，具有现有系统所没有的强大功能。

3、可塑性强：前端可与信号触发装置等上游产品结合，末端内置无线 *** 及多种串口接口以便与下游产品结合。系统功能与使用范围得到极大拓展。

4、易于维护：修理、维护仅涉及本系统而不影响其他模块，维护成本远低于同类产品。

5、便携灵活：设备高度集成，小巧灵活，使用方便。

2、可操作性和可实现性：

目前，车牌识别、车标识别等技术日趋成熟与完善，相关资料较易获取。现有的嵌入式技术也比较成熟。故，从技术难度上讲该选题较于其他的前沿科学容易实现。选题所涉及的设备和材料也较易获得，且成本适中。

3、创新点：

现有的车牌识别装置一般使用电脑处理数据，有些甚至需要若干台电脑合作完成，占用大量空间与资源。即使偶有由嵌入式完成的系统其功能也仅限于车牌识别或车标识别。本系统创造性地将嵌入式与车牌识别、车标识别以及汽车颜色识别相结合，一次性解决了目前设备体系臃肿、集成难度大、稳定性差，维护难，功能单一等问题。

4、可能存在的问题：

目前，主要问题是嵌入式集成度及无线传输的距离。我们所设想的理想情况是：针对现在大多使用电脑整机处理数据，设备灵活性差的缺点，开发出便携式、数据可无线传输的汽车身份识别系统。但是由于我们时间、精力和资金的限制，“便携的程度”是目前更大的难题。另外车速与景深对图像识别的影响问题也是我们可能会面对的难题。

三、预期成果

（成果的具体形式，如：申请专利、公开发表论文、 *** 科技实物（含软件程序）等，可以同时有多种成果形式）

我们预计我们的实验成果有以下几个方面。

首先，我们计划 *** 出科技实物，即确实地完成该嵌入式系统，拿出实实在在的成果。

第二，从我们对市场现状的分析来看，该嵌入式汽车身份识别系统的市场前景非常乐观，故可以将我们的产品申请专利并投入市场进行生产。

第三方面，由于汽车颜色、车牌、车标的组合识别还没有合适的算法，所以在完成本系统的过程中我们不可避免的要完成算法设计，而这部分成果可以通过公开发表论文的形式进行展示。

因为我们计划完成一个系统，所以我们需要同时完成该系统的硬件和软件两个部分。从大的角度来看，软件及算法部分的成果可以通过论文发表，而硬件方面的成果则可以通过投入生产和申请专利来体现。无疑，我们的成果形式会比只做软件部分或者只做硬件部分的选题多。这也是我们的一大优势。

实验环境要求

经费预算 内容 用途 预算金额 预计执行时间

CCD摄像部分 前端图像的获取，购买摄像头或摄像机 3000 07.12~ 08.2月

辅助光源 针对特殊环境进行光线补充 1500 07.12~ 08.2月

图像采集卡 模拟信号数字化 2500 07.12~ 08.2月

嵌入式系统硬件设施 图像的处理 4000 08.3~ 08.10月

硬盘录像机 视频信息的存储 2500 08.10~ 08.12月

显示装置 输出图像识别结果 1500 08.12~ 09.2月

无线收发或有线传输装置 信息的传输 2500 09. 2~ 09.3月

机械加工 机械零件组装成样机 2000 最后阶段

合计：19500元

学院审批意见

专家委员会评审意见

学校审批意见

附录一：选题的现状、背景及意义

自1885年，世界上之一台汽车诞生至今，汽车为我们日常工作与生活的带来了翻天覆地的影响。一百多年来，汽车以其价格低廉，操作方便等优势逐渐被大众所接受，走入了千家万户。在我国，每年都有许多人加入有车一族。随之而来的自然是越来越快捷方便的生活方式以及由此引发的一系列问题：汽车盗窃案每年逾万，交通事故时有发生……无疑，汽车需要规范管理。现在，我国的大部分汽车管理工作都是由人来操作完成的。不难想象，面对越来越庞大的汽车队伍，人工操作明显的力不从心。所以“交通智能化”将成为未来交通管理的必然趋势。

要实现交通智能化怎么可以没有“汽车身份”的识别呢。早在上个世纪九十年代初，汽车身份识别已经引起了全世界的广泛重视，人们开始研究有关汽车身份证——汽车牌照自动识别的相关问题。几年后，汽车的另一个重要的身份象征——汽车标志识别也成为了热门话题。车牌识别的一般途径为：采用计算机图象处理技术对车牌进行分析后自动提取车牌信息以确定车牌号。车标识别则基于边缘直方图和模板匹配相关系数混合的算法。目前车牌与车标识别的理论已经成熟，离线算法识别率已经达到较高的水平，同时正向着集成化、智能化方向发展。

在智能化交通管理系统中，汽车身份识别相当于vc++中的“基类”地位，即智能化交通管理系统中的其他子模块需要在汽车身份识别的基础上进行继承和发展。所以我们认为，汽车身份识别要求较高的集成度，更好能由可以嵌入到其他系统中的、集成度高的模块来完成，如单片机、CPLD。而现阶段的汽车身份识别大部分却是依靠计算机来完成的。

另外，由于汽车身份识别的“基类”定位，使用时对“能否唯一的锁定汽车”以及“能否很快地判定是哪辆车”就有了一定的要求。而现阶段的汽车身份识别却仅依靠单纯的识别车牌来完成。市场上存在的也多是车牌或是车标的单独识别系统，将二者结合的系统则非常罕见。而这些单一的系统显然很难达到真正的识别锁定汽车身份的目的。

结合智能化交通管理系统的要求，现今汽车身份识别的现状以及二者的发展趋势，我们小组选择了嵌入式汽车身份自动识别系统作为我们本次创新实验计划的选题。我们计划以嵌入式完成汽车身份识别后，将处理完的数字信息传递到智能化交通管理系统的其他模块中。用嵌入式代替电脑处理汽车身份识别将大大提高智能化交通管理系统的集成度，降低成本。区别于单一的识别系统，我们设计完成的汽车身份识别系统将车牌识别与车标识别相结合，并辅以汽车颜色识别。同时识别，同时输出，从而从多方面判断并锁定汽车，力求达到万无一失。从而极大地方便了该系统在各个领域的使用。

公安交管领域，该嵌入式汽车身份自动识别系统可被应用在交管系统中。将本产品嵌入到用来测速、测超载的其他交通设施中，就可以完成一系列的管理工作；与终端电脑处理系统相连，传输的是已经经过处理的数字信息而非图片信息，大大节省了终端电脑的处理时间和内存空间，提高反应速度与处理效率，有效解决交管领域人手不足的现状。

在园区车辆管理方面，本嵌入式汽车身份自动识别系统将留有端口，使其可以与园区的业主入住时所登记的汽车信息库相连。在园区大门处，安装我们的车牌自动识别系统，以对进出车辆自动识别，然后将数据传到数据库并根据数据库中的车牌数据判断是否是园区内的车辆，然后分情况处理。这将大大增加园区汽车的安全系数，而使用该系统的成本远低于使用电脑处理的系统的成本。

关于停车场管理，我们的嵌入式车牌自动识别系统可以完成智能化管理过程。将系统安装在停车场的出、入口处，用来对进出停车场的车辆进行自动识别，而处理后的数据将传入终端电脑，由终端电脑结合传入的信息与数据库判断是否属已买（或租）车位的车辆做出相应处理。

综上，我们有理由相信我们计划完成的嵌入式车牌自动识别系统可以在未来的交通智能化管理系统中发挥举足轻重的作用，是值得去研究和探索的。

附录二：工作原理及方案设想

本汽车身份识别系统包含车牌识别、车色以及车标的识别，本系统将使用嵌入式系统完成此三部分的识别。由于我们刚接触这部分内容，所以想法不是很成熟。

下面将分车牌识别与车色、车标识别以及嵌入式三个部分介绍我们的工作原理和方案。

之一部分：车牌识别

1、总体结构

车牌自动识别系统主要分为三大模块:（1）触发：即前端设备的数据入口处，如测速系统等。(2)图像处理部分：分为图像采集、车牌定位、字符分割和字符识别四部分。(3)无线传输系统将所处理得的数据传送至后端应用系统，如交通违规管理系统，只能停车场系统，安检系统等。

2、算法部分

①前端CCD摄像机：

原始图像获取

由CCD摄像机及辅助照明装置组成。获取图像质量的好坏直接影响到后端处理和识别的效果. 要获得比较清晰的图像, 需要考虑许多影响图像质量的因素, 主要包括: 摄像头和图像卡的选取, 摄像机的位置标定, 汽车的车速, 出入单位的汽车车队之间的距离, 天气、光线等情况对摄像机所摄图像曝光量的影响。

判断是否有车辆进入观测区

采用图像差值法来判断监测区是否有目标进入，即首先将视频图像灰度化，然后比较两幅图像对应像素点的灰度值，看是否有变化以及变化有多少。

图像差分只能测定监测区中是否有物体经过，但它是否交通车辆，尚未可知。鉴于图像差分所产生的噪声、行人、自行车比汽车所占区域小得多，设计尺度滤波器将尺度较小的物体及噪声滤掉。

②车牌定位及预处理

左图为车牌定位的主要算法。完成基本的车牌定位后，还需要对车牌进行一些基本的预处理。包括倾斜矫

正与铆钉和边框的去除。

I、车牌字符的倾斜矫正

车牌字符分割的难点在有些车牌是倾的，直接分割效果不好，需要做校正。首先求出车牌的倾斜率，根据此斜率对车牌做旋转校正。

II、车牌边框和铆钉的去除

先验知识：对于标准车牌，字符间间距为12mm，第2、3个字符间间距为34mm，其中，中间小圆点l0mm宽，小圆点与第2、3个字符间间距分别为12mm。在车牌边框线的内侧，通常有四个铆钉，他们不同程度地与第2个字符或第6个字符粘连，如果不去除铆钉，将给第2和第6在字符的识别造成困难。

将车牌图像进行二值化后，图像仅黑、白二值。白色像素点(灰度值255)取1，黑色像素点(灰度值0)取0，这里采用的是白底黑字模式。对车牌图像逐行进行从内向外式扫描，当扫描到车牌图像某一行中，白色像素点的宽度大于某一阀值时(之一个符合条件的行)，则认为是车牌字符的边沿处，切除这一行以上或以下的所有行。

③车牌字符分割

右图为车牌

字符分割的主要

算法。

在此，由于

我们的知识有限

就不对这些算法

做具体介绍了。

④字符识别 ***

字符

识别是车

牌识别的

核心部分。

常见的车

牌字符识

别算法包

括六种。

我们将他

们罗列在

右图中。

其中，我们比较感兴趣的是基于神经 *** 的字符识别算法。下面，我们具体介绍两种比较简单且普遍的算法以及基于神经 *** 的字符识别算法。

I、模板匹配车牌字符识别

中国车牌的字符模板分为汉字、英文字母和数字模板，由统计 *** 构造并保存到数据库中。模板匹配是将字符模板和标准化了的车牌字符进行匹配来识别字符。

II、特征匹配车牌字符识别

车牌识别的 *** 中，可利用的字符特征很多，大致可以分为结构特征、象素分布特征及其他特征。

在这里，我们拟重点突破神经 *** 法，因为人工神经 *** 技术具有非线性描述、大规模并行分布处理能力、高度鲁棒性和自学习与联想等特点，适用于非线性时变大系统的模拟与在线控制。具体步骤如下图所示：

此外，我们还会尝试将各种算法结合起来，以扬长避短，如：将遗传算法与人工神经 *** 结合起来，既能利用遗传算法能并行计算且能快速、全局搜索的优点又能克服神经 *** 固有的搜索速度慢且易陷入局部旱热的缺点等。

由于我们还在大学二年级学习专业基础课程，对图像处理的最新算法还不够了解，我们会在实际操作过程中，选择一种更优的方案并且结合我们的系统特征提出改进意见。

第二部分：车色以及车标识别

①、车身颜色识别

颜色特征具有对图像本身的尺寸、方向、视角等依赖小、鲁棒性高等优点，因此在基于内容的图像索引技术和智能交通系统以及众多的I业(如造纸、纺织、印刷等)系统中有着极其重要的应用。长期以来，由于各种原因，人们提出了数量众多的彩色空间模型，主要可分为三类:之一类是基于人类视觉系统(HumanV isionS ystem,H VS)的彩色空间，它包括RGB,H SI,M unsell彩色空间等；第二类是基于特定应用的彩色空间，它包括电视系统中所采纳的YUV和YIQ、摄影行业如柯达的YCC、打印系统的CMY (K)彩色空间；第三类是CIE彩色空间(包括CIE XYZ, CIE Lab和CIE Luv等)。这些彩色空间各有优缺点，它们在各自的领域里发挥了重要的作用。

我们拟采用RGB彩色空间完成我们的系统。RGB彩色空间在计算机相关领域里应用广泛，例如用于常见的CRT显示器等。在RGB彩色空间中，各彩色值用R、G、B三通道值的组合来共同表示，而其相应的通道值是通过图形采集卡或者CCD传感器等类似器件中的光感受器来获得的。其中，各通道值用入射光及其相应光感受器的光敏函数值之和来表示:

R=

G=

B=

其中，S (A)是光谱，R(A)、G(A)和B(A)分别是R,G,B传感器的灵敏度函数。从上式可以看出，该彩色空间是设备相关的，它与具体捕获设备的光敏函数相关。然而，由于RGB值易于获得和在计算机中计算和表示，因此通常可以用来表示其他各彩色空间，即把RGB值转换为其他彩色空间值。RGB彩色空间的标准色差定义为：

）

由于不同的彩色对人主观感受的影响不同，为了更好的表示色差，在本颜色识别子系统中使用经验色差公式：

对于我们拟设计的车身颜色识别系统主要分以下四大步骤完成车身颜色识别

1．识别区域的选取

为了准确识别出车身颜色，识别区域的选取至关重要。本实验选取车脸前部靠近排气扇的部分

2．颜色直方图计算

对所选区域，计算出现次数最多的颜色。在实际应用中，由于其他彩色空间模型的分量值均可用RGB值来表示，为了计算简便，在计算颜色直方图时可仅针对RGB彩色空间模型进行。

3．色差计算

根据相应彩色空间模型的色差计算公式，计算其与 颜色模板间的色差。

4、颜色识别

在得到样本色与标准色在各个彩色空间模型中的对应色差后，就可以根据其结果进行颜色识别。即选取前一步计算得到的色差中的最小值，作为识别结果。

②、车标识别部分

毋庸质疑，车牌和车标的自动、实时识别是运动车辆类型精确识别系统中至关重要的两个部分。目前人们已经提出了众多的车牌定位算法，主要可以分为两大类:基于黑白图像的车牌定位算法和基于彩色图像的车牌定位算法。基于黑白图像的车牌定位算法又可以分为多类，如基于特征的车牌定位算法基于自适应能量滤波的车牌定位算法，基于小波变换和形态学处理相结合的车牌定位算法，基于二值投影的车牌定位算法，以及基于遗传算法的车牌定位算法等。

这些车牌定位算法各有优缺点，但他们都可以在一定程度上作为车标定位的参考。

车标定位与识别无论在国内还是国外都是一个较为崭新的领域。由于车标本身固有的特殊性：目标小、相似性大、受尺寸和光照影响大、背景不统一，以及不同汽车公司的车标形状大小不一致等，使得其精确定位识别成为一个难点。

我们将车标识别分为以下几个主要步骤:

(l)车牌定位:根据车牌的纹理特征，基于多分辨率分析快速获取车牌区域 ；

(2)车头定位:根据车头区域能量较高且较为集中的特点，通过OTSU二值化算法 进 行 图像二值化，然后利用二值投影，并结合车牌位置信息进行车头快速定位 ；

(3)中轴定位:在车头区域内，根据轴对称性定位车头中轴；

(4)车标粗定位:在定位出车头的基础上，根据车标与车牌的先验知识，得到车标经验搜矩形；

(5)车标精确定位:在第(4)步的基础上，利用车标纹理特征进行车标的精确定位。主要包括两步:一是根据车标区域在垂直方向上具有能量高且相对集中的特点，利用能量增强和自适应形态学滤波进行车标的一次定位；二是利用改进的模板匹配算法进行车标的精确定位。车标识别系统是运动车辆识别系统中的重要组成部分，与车牌识别一样，它也包括了定位和识别两项关键技术。

上图为车标识别系统结构示意图，与典型的目标识别系统一样，它包括了离线的训练过程和在线的识别过程。在训练过程中，首先将手工采集得到的车标样本进行图像归一化、尺度归一化等预处理，然后分别进行模板提取以得到车标标准模板库。车标标准模板库中的模板不仅用于车标定位，还用于进行特征提取以得到车标特征模型库用于车标识别。在定位过程中，除了输入汽车图像外，还需输入车牌的位置信息。这是因为各类车标不具有稳定的纹理特征，且大小、形状各不相同，所以在复杂的背景下直接利用特征匹配或模板匹配进行车标定位是非常困难的。因此必须利用车牌位置、车辆对称性等先验信息进行粗定位，在此基础上再利用相关图像处理技术和模板匹配进行精确定位。车标定位以后，车标识别问题就转化为一个2D形状的识别问题，这可以通过模板匹配的 *** 实现。但是在实际采集的图像中，往往存在光照、噪声、部分遮挡和形状相似等问题的影响，常规的模板匹配 *** 难以达到满意的识别效果。因此通常还需要一种合适的特征提取和识别 *** 来辅助进行车标识别，以提高系统的识别率。

第三部分：嵌入式

按照历史性、本质性、普遍性要求，嵌入式系统应定义为：“嵌入到对象体系中的专用计算机系统”。“嵌入性”、“专用性”与“计算机系统”是嵌入式系统的三个基本要素。对象系统则是指嵌入式系统所嵌入的宿主系统。

嵌入式系统的核心是嵌入式微处理器，它有4个优点：

(1) 对实时和多任务有很强的支持能力，能完成多任务并且有较短的中断响应时间，从而使内部的代码和实时操作系统的执行时间减少到更低限度；

(2) 具有功能很强的存储区保护功能。

(3) 可扩展的处理器结构，可以迅速地扩展出满足应用的高性能的嵌入式微处理器；

(4) 嵌入式微处理器的功耗很低，尤其是用于便携式的无线及移动的计算和通信设备中靠电池供电的嵌入式系统更是如此，功耗只能为 mW甚至μ W级，这对于能源越来越稀缺昂贵的时代，无疑是十分诱人的。

另外，嵌入式实时操作系统提高了系统的可靠性。这些都值得我们去做一个嵌入式车牌识别系统。

考虑到通常车牌以及车标识别算法的运算量大，同时又要满足实时性要求。因此，我们准备采用32位ARM嵌入式微处理器作为核心单元，以CPLD作为时序控制单元，采用基于ARM 9 S3C 241 C的嵌入式图像采集处理系统，在内嵌Linux操作系统的草础上，充分利用了ARM器件体积小、能力强以及功耗低的特点，实现并行数据总线/USB日接口图像接入、图像快速处理、图像信息的本地压缩存储和IP化数数据传输。该系统可使整个系统简化电路并且减少占用资源。

系统设计构成

整个系统由USB图像采集子系统，ARM处理子系统和 *** 数据传输子系统成摄像头采集现场视频数据通过U SB传输至ARM处理板;ARM处理板内嵌Linux操作系统，采用快速图像算法对图像序列进行处理，并根据处理结果采取相应的措施; *** 传输子系统可以处理数据上传监控中心做进一步后续处理，系统结构下图所示。

ARM图像处理子系统拟采用S3C 2410处理器，能满足图像处理速度的要求；USB图像接入，可以保证图像传输速度;扩展64M SD RAM与64M Flash,大容量的RAM能够保存多幅图像，便于图像的分析与处理;无线 *** 接口实现了数据信息的 *** 化管理。

当然，以上只是我们的初步设想这些设想都将在我们以后的大量实验过程中得到论证和优化！

附录三：计划进度与安排

计划进度安排：

1.用约15天时间买一些实验所需的基本用品。

2.利用课余时间学习所需知识。

3.用约七个月时间完成编程，解决软件方面问题。

4.用约一年完成硬件方面，并 *** 样机。

5.初步检查，花费约一个月。

6.以六个月时间调试样机，发现缺陷并修正。反复试验，直至达到一个令人满意的水平。

综上，我们是计划用两年左右的时间拿下这个项目。当然，以上只是大体计划，以后会随实验的实际进度进行适当调整。

上海理工大学光电学院蒋念平老师怎么样

果断、热情、勇敢、孤僻、 *** ，思想成熟、精明能干、为人诚实,个性稳重、雄心壮志,积极主动、独立工作能力强，良好的交际技能,上进心强,精力旺盛、思想新潮, 开朗成熟,年轻、聪明、精力充沛，吃苦耐劳,平易近人，有极强的系统管理能力；有极强的系统管理能力；个性稳重、具高度责任感。能够在不同文化和工作人员的背景下出色地工作。.反应快、有进取心；积极主动、独立工作能力强，并有良好的交际技能；愿意在压力下工作，并具领导素质；思想成熟、上进心强，并具极丰富的人际关系技巧；有获得成功的坚定决心。有极强的领导艺术。能够同他人一道很好地工作，良好的协作配合能力。有很高的领导艺术和很强的集体精神。工作很有条理，办事效率高，执行力很强。有良好的表达能力。有积极的工作态度，愿意和能够在没有监督的情况下勤奋地工作。有良好的人员管理和交际能力。能在集体中发挥带头作用。思想活跃、有首创和革新精神尤佳。有较强的分析能力。