内核入侵检测范文

内核入侵检测范文（精选8篇）

内核入侵检测 第1篇

随着虚拟化技术、云计算以及移动互联网等技术的兴起和普及，信息技术在改善人们生活的同时，信息安全也成为人们不可忽视的问题。内核级Rootkit具有和操作系统内核一样的Ring 0权限，可以修改和控制内核行为，使得工作在操作系统内部的检测手段很难生效，已经成为当前操作系统及其安全工具的最大安全威胁之一，严重威胁到人们的数据和隐私安全。传统Rootkit检测方法[2,3,6,13,14,15,16,17,18]着重于内核静态Hook的检测和防御，而对于内核动态Hook的攻击缺乏有效的检测手段，伪装成内核模块的内核Rootkit篡改内核动态Hook以获得系统的控制权同时隐藏自己及其他恶意程序，由于被篡改的Hook值和原始Hook值都指向了内核的合法代码段，使得检测这些Hook的合法性变得十分困难，而如何判别合法修改和非法修改则对此类Rootkit的检测十分关键。

随着虚拟化技术的发展，利用虚拟化技术进行系统安全保护及Rootkit检测的研究越来越多[1,2,3,4,5,6,7,13,14,15,16,17,18]。由于虚拟机存在语义断层问题[11]，基于虚拟化技术的检测手段需要利用虚拟机自省VMI技术进行跨虚拟机信息读取，获取被监控虚拟机内部的状态。基于In-VM模式的VMI技术[4,18]由于运行在虚拟机内部，可靠性不高易受Rootkit攻击;而基于Out-VM模式的VM技术[1,5,6]则需要进行多级页表映射和翻译以完成虚拟机语义重构，实现复杂效率不高，同时由于其和虚拟机之间为异步工作，实时性差。

为了解决上述问题，本文设计并实现了一种基于新型VM技术检测内核Rootkit的系统，系统对内核Hook的值进行分析和归类，同时根据内核Rootkit自身的悖论特性[10]提出一种新的方法判定内核动态Hook值的合法性。为了克服虚拟机自身所面临的虚拟机语义断层问题，本文提出一种新的基于虚拟环境再现技术的VMI方法，通过在虚拟机外构造并重现被检测虚拟机的页表映射及符号引用信息，可以使得VMI程序获得像虚拟机内部环境一样的快速语义重建和内核状态读取的能力，同时系统采用了地址空间预留和页表隔离等技术对VMI模块进行隔离和保护，以保证VMI程序的可靠性和安全性。

本文的主要贡献有:1)提出一种新型的VMI技术，同时满足了可靠性及高效性的要求;2)提出一种新的判定内核动态Hook合法性的方法，补充并完善了现有的Rootkit检测方法;3)基于以上两点，设计并实现了一套完整检测内核Rootkit的系统，对大量实际的内核Rootkit的检测实验表明，系统能有效检测出相应Rootkit，极大地增强了操作系统的安全性。

1 相关工作

内核Rootkit有以下两种常见的攻击方式[9,17]:

(1)Hook技术

Linux内核包含有大量的函数Hook用于实现各种功能。Rootkit通过劫持篡改这些函数获取系统控制权进行恶意攻击，常见的攻击类型有:(1)系统调用劫持;(2)VFS函数劫持;(3)系统中段控制表篡改等。

(2)DKOM(Direct Kernel Object Manipulation)

另一类Rootkit将自身伪装成设备驱动或者合法的内核模块加载到系统中，获取Ring0权限，然后通过篡改操作系统内核内部动态对象以达到隐藏恶意进程或模块的目的，比如通过删除Linux内核task＿list链表中恶意进程使得用户无法察觉恶意软件的存在，还有类似的如修改Linux内核的module＿list链表隐藏恶意模块自身等。

针对这两种攻击类型，研究人员采用了不同的方法对系统进行保护。文献[3]利用虚拟化技术监控对内核Hook的修改和访问，该工作把内核Hook进行重定位，集中到相同的内存页中然后通过VT-x提供的EPT页表监控虚拟机对这些页面内相关Hook的操作。该方法对于静态Hook具有较好的检测能力，但是对于内核动态Hook，如新加载的模块函数等，这一方法没有办法区别这些函数的合法性，因而无法判定。文献[8]通过二进制分析的方式检测代码的恶意行为，但是这些方法要求提前对加载的内核模块进行分析，限制了系统的可用性。文献[6,13,14]试图通过构造交叉试图的方式对比内核中不同的数据结构之间的差异来查找隐藏进程，如对比Linux中task＿list和run＿list，或对比Windows中ring0和ring3的注册表。但是交叉视图的方法有局限性，如基于LKM的内核Rootkit，可以将自身从module＿list,PROC FS等所有相关的内核数据结构中删去，使得检测系统无法有效构建对比视图，难以发现。

随着虚拟化及VMI技术的日渐成熟，利用其进行内核Rootkit检测和系统保护的研究也越来越多。现有的VMI技术可以分为In-VM(虚拟机内实现)和Out-VM(虚拟机外实现)两种方式[18]。In-VM的实现方式一般通过在系统内部添加辅助模块帮助获取系统状态，如文献[4]。由于和虚拟机内核处在同一个执行环境中，可以共享虚拟机的页表以及系统符号表(System.map)等信息，实现简单高效;但是由于本身位于虚拟机内部，容易受到虚拟机自身的影响，比如当虚拟机卡住或者被恶意程序控制时，这种方式就无法继续进行数据收集了。Out-VM实现方式一般通过直接读取和解释虚拟机内存获取系统状态，在虚拟机外部实现，因此不受虚拟机自身的影响，稳定性和安全性都更高。文献[1,5]就利用这种方法收集虚拟机系统状态进行相关安全应用的设计和开发。但是虚拟化环境中语义断层的问题使得跨虚拟机信息获取复杂繁琐，如地址翻译问题，除了传统的虚拟地址到物理地址的操作系统层翻译，还有虚拟机物理地址到实际物理地址的虚拟化层翻译，整个过程比较复杂，效率相比虚拟机内的VMI较低。同时，监测系统独立于虚拟机，实时性较差。文献[6]利用虚拟化技术监控对于内核关键数据结构的访问，如内核系统调用表、中断控制表、虚拟文件系统函数指针、SELinux控制数据等。利用虚拟化技术监控非法访问，可以有效检测Rootkit对于某些只读变量的攻击，比如内核代码段、系统调用表等。文献[2]利用VMI技术获取虚拟机内存信息然后语义重构获取系统内的进程队列数据，并通过交叉视图的方法对比内核中进程管理队列和运行时队列判定是否存在隐藏进程。该方法利用虚拟机外的VMI实现方式，在语义重构阶段需要进行复杂的两层地址翻译工作，效率较低。文献[16]利用硬件虚拟化技术对内核数据和控制流完整性进行保护，文献[15]对现有的多种Rootkit检测方法进行模块化，然后加以整合应用在云计算的虚拟化环境下。但是这些方法:(1)都没有解决内核动态Hook合法性的判定问题，无法有效检测针对内核动态Hook的Rootkit攻击;(2)采用的虚拟化VMI技术无法兼顾效率，实时性以及可靠性的要求。

2 系统设计

本文提出的系统架构如图1所示，主要包括三个组件:1)主动检测模块I-VCPU，利用VMI技术检测虚拟机内部内核动态Hook的值;2)被动监测及信息收集模块负责收集虚拟机内核模块信息及记录内核静态Hook值的变化;3)控制分析模块根据收集到的信息实时分析虚拟机是否被Rootkit攻击，并和管理员控制的管理模块交互。

2.1 基于执行环境克隆的VMI技术

现有的VMI技术分为In-VM和Out-VM两种，In-VM的方式有效性较好，效率高，但是可靠性差，Out-VM的方式可靠性高，但是实时性较差，检测效果一般[18]。为了综合这两种VMI的优点，避免相应的缺陷，本文设计在虚拟机内部克隆出一个虚拟执行环境I-VCPU，即一个对虚拟机不可见的隐藏VCPU，同时该I-VCPU加载具有被监控虚拟机内存映射信息的页表，包括被监控虚拟机的操作系统页表及EPT[12]映射的页表，同时在其中插入VMI相关执行代码和所需的堆栈空间的映射，利用这一隐藏的VCPU进行VMI工作。这一设计的优势在于，首先它具有和虚拟机一样的地址空间映射，可以利用该虚拟机的执行环境和符号信息，高效地进行内存地址翻译和语义重构任务，具有和In-VM一样的信息优势;另一方面，I-VCPU对虚拟机不可见，同时执行时完全不受虚拟机影响，可靠性高。其结构如图2所示。

不同于传统的内存重映射技术，I-VCPU内的被监控虚拟机的内存映射和其原始页表映射为一一对应关系。这种做法的好处是被监控虚拟机的内存地址可以直接在I-VCPU中进行访问，因为内存映射是完全一样的，避免了内存重新映射的工作，最大程度地提升了虚拟机状态读取的效率。但这种做法也带来了额外的问题:需要找到一段地址空间分配给VMI相关代码使用并且不能受到虚拟机的干扰。理论上来说操作系统本身可以使用其虚拟地址空间中的任意地址，特别是对于32位操作系统来说地址空间较小，没有办法假设某一段地址空间操作系统不会使用。同时系统也无法要求虚拟机操作系统预留地址空间，因为恶意程序可能违背这一要求而造成错误。为了解决这个问题，本文设计并采用了地址空间预留技术。操作系统在启动阶段需要向BIOS请求当前系统可用内存分布信息，通过调用参数为0xE820的0x15中断，BIOS会返回一张表，包含当前机器可用内存的分布。虚拟化环境中，通过修改虚拟BIOS返回的E820表，可以将虚拟机分配到的物理地址的前16M，即地址0x0到0x1000000这一段置为不可访问，使得虚拟机内核认为这段物理内存是不可见的。而Linux内核态的地址映射基于简单的偏移映射，即物理0x0地址映射到虚拟机地址0xc0000000(3G)。由于前16M物理地址已被置为不可用，相对应的虚拟机内核将不会使用虚拟地址0xc0000000到0xc1000000，因此I-VCPU可以使用这一段地址空间供VMI代码使用而不用担心和虚拟机发生冲突。而对于64位操作系统，由于地址空间非常巨大，基本不可能被全部占用，因此可以任选一段闲置空间预留使用。

通过地址预留技术，I-VCPU的内存页表中包含了虚拟机的内存映射可以直接访问虚拟机的内存状态;同时，虚拟机无法映射I-VCPU的地址空间，保证了I-VCPU执行的安全性和隔离线。这样一来，I-VCPU具有了单向的虚拟机内存访问环境，可以直接使用虚拟机内部的系统符号表信息进行语义重建，简单高效。虚拟机执行时加在的页表使得其无法访问VMI的内存，而VMI执行时虚拟机代码不会获得执行机会，通过页表的区分和隔离使得虚拟机代码的执行不会影响到VMI的代码，保证了VMI代码执行的稳定性和安全性。

2.2 系统Hook数值的实时监测

本文将内核Hook分为两大类，一为具有静态只读属性的Hook，如内核的系统调用表，中断控制表，内核调度函数指针等，这些Hook一般属于内核核心部分，在开机初始化后值基本不变;另外一种是动态可写的Hook，如Linux内可作为模块加载的文件系统操作指针，read,write,readdir,ext4＿proc＿root等，这些Hook一般属于内核可动态加载模块部分，可能在运行时被新加载的内核模块更新。表1为Linux系统System.map文件中存储的内核符号表，可以看到静态Hook包含6种子类型，共43 459个，占87%;而动态类型的Hook包含4种子类，有6 641个。根据这两类内核Hook自身属性，本文设计采用两种不同的监测模式对其数据进行检查。

对于静态Hook，由于其开机初始化后不可更改，可以采用被动监测模式进行保护。即通过虚拟机监控器将这些数据所在物理页通过EPT进行写保护，任何来自于虚拟机内部的写操作都将触发页表保护，从而产生VMEXIT下陷到虚拟机监控器中。利用这一硬件机制，可以实时侦测相关Rootkit的攻击行为。

对于动态Hook，由于其本身可能会经常发生修改，采取被动检测模式会产生较多的中断，而且正常情况下这些都是合法的修改，对系统性能会产生不必要的影响。另外，由于这类Hook本身可能被动态的产生，分配到堆上，从而会和大量非Hook数据共享堆数据页，进行被动检测会被其他非Hook数据的读写影响，产生非常高的误报率。因此，本文对这类Hook采用主动检测的模式进行检查，利用I-VCPU获取内核中这些Hook所在地址，然后实时地对这些Hook的值进行读取和分析。

主动检测模块I-VCPU和被动监控模块组成了本文的新型VMI技术，相比传统In-VM和Out-VM的VMI，本文系统结合了它们二者的优点，避免了它们的缺点，对比如表2所示。

2.3 内核Hook合法性的判定

内核Rootkit为了实现隐藏文件和软件，安插后门等恶意行为需要劫持和修改系统内核Hook。因此通过对内核Hook的完整性进行判定可以帮助检测系统是否被Rootkit入侵。

内核的地址空间可以分为以下几类:1)内核核心代码段即开机启动后加载在内核空间的核心代码;2)内核静态数据段，保存内核重要数据结构，如系统调用表、中断调用表等;3)内核动态数据段，如内核的堆栈段;4)内核动态代码段，如新加载的内核模块所在代码段。

首先，内核Hook必须指向内核地址空间，同时内核Hook必须指向内核代码段而非数据段。根据这一规则，系统可以检测出将恶意代码注入到内核堆栈上的Rootkit。对于指向内核核心代码段的Hook系统判定其为合法数值，因为系统已经将这一代码段进行了写保护，通过在EPT页表中添加只读属性保证其不会被Rootkit篡改。

最具有挑战性的是对内核动态代码段的合法性判定，因为这些代码来自于动态加载的内核模块，被加载的模块可能是正常的内核模块如摄像头驱动也可能是Rootkit的恶意模块，难以判定这些代码的合法性。注意到Rootkit的一个基本特征是其对于自身及其他恶意代码的隐藏性，一方面Rootkit试图隐藏自身，但另一方面恶意代码必须占领某些入口，如修改内核Hook值，才能获得调用，这可以说是Rootkit自身的悖论[10]。根据这一观察，本文提出一种判定内核Hook值为内核动态代码段时其合法性的新思路，即Hook指向的代码所在模块必须是在虚拟机内部可见的。

内核Rootkit必须同时满足两个条件:1)修改内核Hook值，指向自身注入的恶意代码;2)该恶意代码对用户不可见。首先通过监控虚拟机的内核模块的加载情况，系统可以记录当前虚拟机各个模块代码段的地址空间，根据这个数据，可以构建出内核Hook所指向代码所属内核模块的信息，随后通过获取虚拟机内部可见内核模块列表可以判定该Hook所指向模块对用户是否可见，如果不可见，则证明该Hook被Rootkit攻击篡改了，从而判定系统已被Rootkit攻击。

这一方法不同于已知的通过交叉试图对比检测Rootkit的方法[13]，后者需要找到内核中不同的内核管理队列，通过对比这些队列的不一致性来确定Rootkit是否存在，但是内核模块不同于恶意进程，可以完全把自己从所有已知的内核管理队列中删除，而依靠内核Hook触发调用，从而使得交叉试图的方法失效。本文提出的方法由于基于Rootkit自身的特性，Rootkit无法针对这一方法进行反向攻击，可靠性高。

3 实现

本文基于KVM实现了原型系统以验证其有效性，CPU为支持VT-x的Intel Xeon E3处理器。系统包含三个组件:1)主动检测模块，利用VMI功能检查内核各Hook数据;2)异常处理和监控模块，实时监控内核静态Hook和数据;3)内核分析模块，根据收集到的信息进行Rootkit分析及检测。

3.1 I-VCPU的构建和虚拟机内核模块信息收集

KVM通过KVM＿VCPU管理虚拟机对应的模拟CPU，可以通过修改其中相应的变量构造VMI所需的I-VCPU。系统需要为主动检测模块准备相应的内存空间存储代码，数据以及程序执行栈。因为需要将这些VMI所需内存空间嵌入虚拟机地址空间内部，所以在虚拟机地址空间中要找到或预留出一块内存使得虚拟机的程序不会使用。在64位系统上，系统选取0xFFF FFF0000000000至0xFFFFFF1000000000虚拟地址段供主动检测模块使用;在32位系统上，则通过修改BIOS返回的E820表将0M-16M这一段地址空间标记为不可使用，预留下来。

在进行内核动态Hook合法性验证时需要收集内核相关信息辅助判定，包括虚拟机内核加载的模块信息以及虚拟机内核可见模块试图。为了能够实时维护和更新虚拟机内部模块信息，我们需要在KVM内部追踪虚拟机内加载和删除模块的操作。系统在init＿module和delete＿module时加入信息收集和发送逻辑，具体代码如下:

利用VMCALL指令，可以实现虚拟机到KVM之间的通信，把系统新添加的模块信息传递给系统内的信息收集模块，该模块获得这些信息后会维护一张实时的系统模块表作为分析模块的参数。

3.2 检测及分析模块

为了实现系统的被动监测模块，系统利用EPT表对虚拟机内核核心代码段及关键静态数据结构所在页面进行写保护，一旦Rootkit试图篡改这些数据，将会触发相应的VMExit(EPT violation，中断号0x30)。同时在KVM内部加入相应的异常处理逻辑，即该VMEXIT中断处理函数，在中断函数内，可以在CR2寄存器内获取被修改的内核Hook地址，根据收集到的相应信息，可以对Rootkit的恶意行为进行相应的分析。

主动检测模块会定期扫描所有需要检查的内核动态Hook，记录这些Hook所指向的代码地址。结合获取到的内核相应信息，可以得到Hook指向代码内存地址类型，从而分析其合法性，判定是否被Rootkit篡改。具体判定见图3所示的判定流程图。

其中根据系统符号表信息可以判定Hook值是内核段还是用户段，是代码段还是数据段。对于动态代码段地址，需要对其所指向模块合法性进行分析，由于Rootkit所在模块具有用户不可见性，可以通过分析内核module＿list，/proc/module和/sys/module目录信息进行分析:如果该模块不可见，则可判定其为Rootkit，相应Hook已被其篡改，需要修复。

4 实验及分析

4.1 VMI性能分析

本文设计的VMI系统分为两个模块，其中被动监测模块只在Rootkit攻击时才会触发，不会影响系统正常的执行，没有额外的性能损失;而主动检测模块采用独立的VCPU架构运行，也不会干扰虚拟机自身VCPU的运行。因此，系统对于虚拟机正常运行时的性能影响非常小，可以忽略。下面对VMI所占用的系统资源进行量化分析。根据系统的安全需求的不同，主动检测模块可以以不同的工作频率进行安全检测，其对系统计算资源的占用率可以由以下公式得到:

其中ei为I-VCPU扫描频率，范围从0到1，表示该VCPU在一个物理核上的运行时间占该物理核所有运行时间的比率，C表示系统物理核数目，O为系统运算资源占用率。可以看到，随着核数的增加，VMI对整个系统的资源占用率越来越低。而目前多核CPU已经成为主流，未来单台机器核数会越来越多，本文提出的系统能够充分利用这一特点适应多核环境。

4.2 系统Rootkit检测有效性分析

检测实验证明，本文设计的系统可以检测出大多数常见的内核Rootkit，结果如表3所示。

以下是对两个针对Linux内核Hook攻击的Rootkit:KBeast和Adore-ng的结果分析。KBeast是一个内核态的Rootkit，可以隐藏文件、目录、进程、部分网络活动，记录用户按键输入和安置后门，KBeast通过内核模块的形式加载内核中，修改系统调用表及内核函数指针进行攻击。Adore-ng和KBeast类似，主要通过篡改内核函数指针进行进程目录隐藏等恶意活动，还包含一个用户态控制程序可对系统进行非法修改和操作。其中Adore-ng目前版本只作用于2.6.26及之前版本的内核，笔者对其源码进行了简单的修改，使得其可以在2.6.32版本的内核上进行攻击。这也表明，Rootkit具有很强的灵活性和适应性，非常容易随着系统版本的变化而进化，生命力顽强。

表4给出VMM内监控模块纪录的虚拟机内核模块信息，为简易起见这里只给出Rootkit模块相关信息。

表5和表6给出了系统扫描和监控到的被Rootkit篡改过的内核Hook。对其值进行分析，结合之前纪录的内核模块信息可以发现，被修改的Hook值都指向了Rootkit所在的内核模块代码段。系统扫描虚拟机内模块列表发现，这些内核模块都是不可见的，从而确定虚拟机被Rootkit攻击，同时发现相关Rootkit的信息以进行后续分析。

同时，通过简单修改这两个Rootkit，可以使其在module＿list，/proc/module，/sys/module中都不可见，这样一来，基于传统的对比视图的检测方法[2,6,13,14]由于没有办法进行差异对比则无法进行相应检测。而本文系统通过分析被修改Hook值的归属模块属性则能够准确检测出相应Hook值是否被Rootkit篡改，对这一类型的Rootkit能够有效检测。

实验结果表明，本文设计的系统可以检测出大多数常见的内核级Rootkit，同时对于现有研究方案没有很好解决的内核动态Hook攻击的Rootkit也可以有效检测。笔者的修改也从侧面反映了Rootkit的灵活性和顽强的生命力，尽管已有大量针对Rootkit的研究和工作，但是对Rootkit的继续探索和关注仍然具有重要意义。

5 结语

内核入侵检测 第2篇

当前，由于奶制品具有极高的营养价值，其在人们消费食品中所占比例越来越大，与日俱增。然而，奶制品作为一种非常容易变质的食品之一，经常会出现由于牛奶变质而造成的中毒事件。过去传统落后的乳品细菌检测方法存在着检测时间过长、检测仪器较少、检测费用昂贵等缺点与不足之处，本文研究了利用ARM嵌入式系统以及图像传感器实现的一种性价比更好的奶制品菌群检测系统。

随着科学技术的日新月异，在许多行业中都出现了检测。同时，也对检测提出了更高更新的要求，希望能够快速准确地完成检测任务，从而实现自动化检测。[1]现在流行的数据检测系统通常采用PCI数据采集卡，它的优点是能够利用PCI总线的研究成果很快地开发系统软件，整体运行速度较快，能够实现实时采集、实时处理，基于PCI总线设计的采集卡目前依然是数据检测系统的主流，由于嵌入式数据检测前端已经把模拟信号转换成数字信号，使得数据检测系统变得更加精准与可靠，并且大大地简化了现场测试的难度。用奶制品菌群测试过程作为对象，从软件和硬件上介绍这个数据检测系统的结构。

1 检测系统总体设计原理

检测系统的原理框图如图1。

如图1所示，奶制品菌群微生物发酵过程十分复杂，这一发酵过程包含微生物细胞的生长和代谢等等，是一个具有随机性、时变性以及多变量的动态过程。有的关键变量的在线检测难度比较大，并且不能直接作为被控变量，因此在发酵过程中，主要采集与质量相关的变量，如电机转速、水箱温度、溶解氧气、通气数量以及pH值等作为被控变量。针对发酵过程中对微生物代谢的环境参数产生影响的重要性，系统仅对温度、pH值、发酵液体积和溶解氧气浓度等进行了实时数据检测。

通过处理器的IIC接口设置图像传感器的内部寄存器，使其按照设定的参数来运行。图像传感器所采集的图像是按照设定的频率，在处理器控制的情况下传送到内部的RAM中，然后由USB接口通过电缆传输到PC机上，从而实现了数据由上位机软件处理。

测试系统设计时需要充分考虑图像采集、传输速度、存储空间、图像清晰程度等因素。图像采集芯片被作为系统选用的图像传感器，它工作于逐行扫描模式的时候，采样速度可以达到30帧，最大分辨率为664492，可以较好地完成本系统所要完成的图像采集任务[2]。能够通过硬件上电复位时设置，也能够通过SCCB接口进行编程控制。通过硬件上电复位时设置的方式一旦经过设计定型，复位后要再想进行更改就显得十分不方便;而通过SCCB接口进行编程控制的方式能够随时通过I2C接口访问传感器的相关寄存器来实现配置的改变，这种设置方式不仅使用灵活，而且具有很好的可操作性，考虑到系统的继承性和灵活性等因素，本系统选用的就是通过SCCB接口进行编程控制的方式。

2 检测系统硬件方面设计

检测系统所采用的ARM硬件平台基于嵌入式操作系统，主要用来满足系统较高的实时性需求，不仅满足了软、硬件功能升级、扩充以及修改等需求，而且大大缩短了开发周期，进而有效地降低了研发成本。

检测系统硬件设计最重要的组成部分包括IIC接口、SCCB接口连接、三个时序信号HREF、VSYNC和PCⅨ的连接，处理器通过I2C接口与SCCB接口的相连，这两种接口在功能上基本是一致的，都是使用两根线来连接，即一根时钟线SCL，一根数据线SDA。其接口电路比较简单，这也是I2c接口的主要优点。SCCB具有三个十分重要的参考信号输出[3]，它的时序如图2所示。

1）嵌入式处理器

系统使用基于ARM内核RISC嵌入式的微处理器，主要应用在高性价比和低功耗的场合[4]。运行频率通常是203 Hz，具有优良的片上资源：16K高速缓存(cache)，一个LCD控制器(支持TFT和STN具有触摸屏的液晶显示屏)。三个通道UART,2个USB主机接口8通道的10位ADC，一个USB设备接口。2个SPI接口，四个计时器(具有PWM功能)和一个内部时钟。触摸屏接口，SD接口和MMC接口，SDRAM控制器12S总线接口，四个通道DMA，看门狗计数器，117位通用I/0口，8通道l0位AD控制器，24位外部中断源。

2）数据采集模块

下位机系统每间隔1秒就可以通过4个传感器分别对发酵罐的温度、泡沫高度、pH值以及溶解氧气等情况进行实时采集。

3）人机交互模块

本系统根据使用最简化的原则进行了人机交互模块的设计，采用44矩阵键盘和点阵液晶显示模块组合的形式。键盘使用44的矩阵键盘接口，“行扫描法”方法更加节省口线，检测键盘，仅仅需要8根口线，系统将PF口作为检测键用端口，设定PF4一PF7为键盘读入口，PF0一PF3为输出扫描端口。液晶选用的是MG128647型点阵液晶模块，显示体积仅为54am50am6.5am，容量为12864个点，内部带有EL背光逆变器和10V电压产生器，使用单5V的电源进行供电。

4）其它功能模块

其他功能模块主要包括JTAG接口模块、超限报警模块、电源、时钟电路、存储器模块、异步串行通信模块等。

2 系统软件设计

根据系统设计的要求，将系统软件分为上位机软件和下位机软件两部分。

1）上位机软件设计

为了实现对现场的远程实时管理与监控，上位机监控管理界面是必须编制的。如果使用专业的组态软件进行上位机监控管理界面的编制，要求系统具有较高的硬件配置，而且这带来了昂贵的价格。此外，也不便于软件系统的升级以及后续开发。因此，我们采用了VC++编写上位机的监控软件，VC++作为Windows应用程序开发工程软件，包括监控程序和通讯模块两个部分。采取基于Windows的窗口化程序来进行MFC设计，人机界面更为直观，操作更为简单，且用其来实现底层的通讯控制效率更快。

2）下位机软件设计

在下位机软件设计中，采用了嵌入式系统开发技术。选用嵌入式实时操作系统Fedora，代码密度优化通过Thumb和ARM指令集混合编译来进行。首先是把实时操作系统移到嵌入式微处理器上，再是将系统所要完成的功能细化为几个核心任务，调度由嵌入系统实时内核来实现，从而多个任务的同步执行能够实现，这样，大幅度的提升了系统的实时性和可靠性。

3）应用程序设计

主要是考虑到java语言的跨平台性好，因此，为了今后升级设备时可以直接写入ARM片内去运行，选用了java语言作为开发语言进行本系统的应用软件设计。所谓Java语言的跨平台性就是经过编译之后的java程序，可以在不同的安装了java解释器的软硬件平台上运行，并且程序运行的结果始终保持一致，然而，例如C++等其他计算机语言不具备这种跨平台性[5]。我们选择使用Eclipse进行整个应用程序的开发，进行了操作界面的设计，图像数据接收与处理功能的实现，以及色差与检测系统数据的计算等部分。在设计时，为了使得现有资源得到充分利用，降低开发成本，减少开发时间，由于USB驱动程序和动态连接库能够直接使用，因此选择它们。由于不是用Java Native Interface标准编写的，所以，这个动态库不可以直接在程序中运行，在程序中定义了一个JavaUSBdll类重新对动态库AnyUSB.dll进行了封装，能在我们程序中使用的JavaUSBdll.dll文件通过利用VC++6.0而制作。由getPixData()方法来实现图像数据获取，由drawlmage()方法实现图像绘制和保存，由calculateGwups()方法完成奶制品菌群数量计算的功能。

3 结束语

基于ARM内核的嵌入式检测系统较好地利用了ARM内核处理器丰富的片内资源和寄存器灵活的配置方式，设计出了一种体积小、结构简单、性价比好的检测系统，该系统能够进行实时性的数实时性、具有较高的检测精度和较高的自动化程度以及良好的可靠性、稳定性和抗干扰性等[6]。在奶制品过程环境参量的检测中引入嵌入式数据检测系统，能够实时对奶制品菌群检测系统生产过程进行远程检测，具有非常友好和直观的人机界面，通过简单的操作就能够达到效果。在发酵罐自动化改造中，该系统已经取得了非常好的效果，工程推广价值也非常好。也能够将该系统进行扩展，从而在相关其他领域的过程检测中应用。

本系统也存在一定的缺陷。因为是用java编写的应用程序，必须通过动态连接库来进行对USB口的操作，因此在一定程度上影响了运行速度，在后期可以通过对设备进行改进或升级时，在片内将java程序直接写入去运行的方式，来消除运行速度的影响，从而取得更好的效果。

参考文献

[1]王丽,周真,李震.利用色差法检测乳品菌群浓度的研究[J].哈尔滨理工大学学报,2OO4,9(5):47-48.

[2]车树良,吕英华,王海兰.基于$3C,44B0的图像数据采集方法[J].计算机工程与应用,2O05(12):113-115.

[3]江川贵,廖启征,魏世民.基于COMS图像传感器的USB接口图像采集系统设计[J].仪表技术,2005(3):18-20.

[4]贾智平,张瑞华.嵌入式系统原理与接口技术[M].北京:清华大学出版社,2005:149-233.

[5]谭思亮.Visual C++串口通讯工程开发实例导航[M].北京:人民邮电出版社,2003:149-233.

粉碎内核级Byshell木马 第3篇

Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)，其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。

通常用Byshell木马程序远程控制安装了Windows NT//XP/操作系统的机器。当Byshell被安装在一台远程计算机上后， 就拥有完全控制该机器的能力，并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。

如何绕过主动防御

Byshell利用Rootkit技术，可以绕过严格的防火墙或者边界路由器访问控制，无论从内网或者外网的被控端，都可以轻松连接到外网的控制端。该技术所建立的连接也会被隐藏，被安装该后门程序的机器都不能看到该后门使用的连接。

同时，它没有自己的独立进程，也不会在任务管理器或者绝大部分第三方进程管理工具中出现新进程。它使用一个隐藏的iexplore.exe进行对外连接，可以绕过防火墙的应用程序访问网络限制。在注册表中找不到由它建立的启动项，无任何RUN键值，避免了被Msconfig之类程序检测到。ByShell木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效，

五步清除Byshell

1. 安装一个具备进程管理功能的安全工具软件，查看系统进程，可以看到很多被明显标识出的进程。这些进程都是可疑进程，很有可能有些进程已被植入木马病毒。点击其中的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll。

2. 找出来该安全工具软件中与服务管理相关的选项，同样可以看到多个被明显标识出的系统服务，说明这些服务都不是系统自身的服务。经过查看发现一个名为Hack的服务较为可疑，因为它的名称和木马模块的名称相同。

3. 找出工具软件中与文件管理相关的标签，在模拟的资源管理器窗口中，按照可疑模块的路径指引，很快发现了那个可疑的木马模块文件hack.dll，与此同时还发现一个和模块文件同名的可执行文件，看来这个木马主要还是由这两个文件组成的。

4. 现在我们就开始进行木马的清除工作。在进程管理选项中首先找到被明显标识的IE浏览器进程，选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击服务管理选项，选择名为Hack的服务后，点击右键菜单中的“删除选中的服务”命令来删除。再选择程序中的文件管理选项，对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后，点击右键菜单中的“直接删除文件”命令，完成对木马的最后一击。然后重新启动系统再进行查看，确认木马是否被清除干净。

5. 由于木马程序破坏了杀毒软件在SSDT表中的内容，因此大家最好利用软件自带的主动修复功能来进行修复，或者重新将杀毒软件安装一次即可。

浅析英语听说训练内核 第4篇

一、如何更好地听懂英语，能够理解，做到有问必答。

练习语言听力的方法是采取积极主动而非被动的方式。一方面，老师的语言很重要。比如在课堂上，学生们一定要融入到课堂中去，假如老师在讲解一篇课文时稍加一个短评，并且提出一个问题，学生们就会积极主动地聆听。例如，老师说：“今天我准备给你们讲一则小故事，读完之后，我要问你们一些问题，比如说这个故事中的主人公为什么最后会被学校开除，他犯了什么样的学生不能犯的错误。”这样的言辞会起到一定的引导作用，让学生们的思绪紧跟着课堂，鼓励学生们积极认真地听，以求找到问题的答案。如果老师只是说：“请听这个故事。”学生们则没有聆听的重点。他们的双眼可能是睁着的，但大脑可能处于休眠状态。所以在听的过程中，老师的导航非常关键，能够使学生的学习提高效率。

另一方面，学生们如何才能在听的过程中不分神，能够较好地掌握故事的情节或者理解别人的语言呢?我们来分析一下学生们该如何听。首先，目前的应试教育中的听力考试都有对应的材料。我认为非常重要的一个步骤就是在放音之前的空档时间看一遍所给出的听力材料，包括问题、选项，要知道这个材料可能是个什么话题，这样在听的过程中就比较容易了，不至于抓不住材料的大意，这是很多人知道但是有很多人忽略的一个方面。

其次，学生们应该明白听的第一步骤就是要听明白文章的大意，也就是和别人用外语交谈时你必须明白别人的意思，而不是紧扣每个单词，应该听懂全文的意思。听英语时，要排除汉语干扰。这是优秀译员必须要具备的：他们先要弄懂一段语言的意思，然后把它译成另一种语言，以便听者可听懂说话的大意。

最后，学生们应该记住，要明白材料的大意，不要试图给听到的每个英语单词都找到一个中文的对等词。听到不理解的地方，应努力从上下文中推导含义。要形成英语理解的思维，这样的训练模式才有利于锻炼英语的听力能力，才能够做到直接用英语回答自己所听到的英语。

二、如何更好地说英语，熟练地掌握语法，做到被人理解。

首先，学生们必须明白，大多数口头表达是与他人交往的产物。我们必须培养自己理解别人讲话的能力，然后根据所听到的内容作出回答。会话的性质不同，要求的技巧自然也不同。例如：交流信息。这是我们每天最常见的交流形式。你的同学或者朋友告诉你他在业余时间所喜欢做的事，然后你也告诉他你在业余时间所想做的事。在这种交流中，你一般会大量使用一般现在时叙述;你的朋友用过去时告诉你一段经历、已经发生过的事情，在这种交流中，你一般会使用一般过去时或过去进行时来回复他;按时间顺序讲述一个故事较为容易：某事开始于何时何地，然后叙述正文，最后结束讲述。又如交流看法和观点。你的朋友告诉你他对某事的看法，他先描述一段场景，然后发表他的意见，并给出理由。你以同样的方式作出回答。你有可能陈述事实，给出一个或几个例子，然后说明你的看法，很可能会用到诸如“In my opinion...，I think...，I agreewith what you say, but...，I disagree”等短语。

其次，来分析一下课堂上如何把握好口语交流。应用能力中最重要的是学生的口头表达能力，教师一定要以学生为中心，引导学生积极参与口语活动，把开口的机会让给学生，调动学生的主观能动性，发挥学生学习的主体作用。选择口语活动的方式，如pair work, group等。有意识地创造一种聊天式的口语环境，活跃气氛。教师在口语训练过程中应始终参与学生的各种讨论与活动，并保持热情、敏感和宽容的态度，让学生充分利用课堂，彼此沟通交流，畅所欲言，不要担心出错。语言学家杜雷认为：“不犯错误是学不会语言的。”这指出了从错误中学会语言的重要性。学生出错不要紧，关键是如何对待这些错误，什么错误应该纠正，什么时候纠正。

最后，学生在与讲英语的外国人谈话时，尤其是学校的外教，一定要克服胆怯心理，一定要有自信。不能害怕说错，被人嘲笑，应该先说服自己讲别人的语言出了错误并不是一件丢人的事。设想将情景反过来，外国人在努力与你讲中文。你会怎么办?你会嘲笑他们的语病，还是会去帮助他们呢?许多以英语为母语的人，尤其是那些长期在国外的，了解学英语的人努力讲英语的情形，一般都会有耐心、宽容地提供帮助。在听完准备回答的过程中，你认为自己可能误解的地方，可以请与你交谈的人解释，你也可以请他们纠正一两个关键的错误。这样你会慢慢建立起信心。

那么如何提高听说能力呢?我认为学习过程中首先还是需要讲求一个“勇”字、一个“勤”字，也就是要勇于开口、勤于练习，强化听觉记忆。许多学生不愿或者不敢面对自己蹩脚的英语口语，在学习当中总是张不开嘴。其实，只要敢于开口说了，即便是说得不好、不准、不确切，我们的学习就已经成功了一半。另外，练习还要持之以恒，勤于练习。英语的听说练习是一个长期积累的过程，能否坚持到底，则是成功的关键。

参考文献

[1]Abbott, G., and Wingard, P.The Teaching of English as anInternational Language.London:Collins, 1985.

[2]杨惠中.大学英语口语设计原则.外语界, 1999, (3) .

“品质课程”的内核是什么? 第5篇

品质课程是富有倾听感的课程。品质课程是以丰富学习经历为主旋律,聚焦核心素养提升,有一以贯之的理念、逻辑清晰的课程。用一句话概括,品质课程是基于特定课程哲学而组织化了的课程,是一种富有倾听感的课程,它将学生置于课程的价值原点,与学生的学习需求匹配,努力在学生的学习需求和未来期待之间获得某种平衡的课程。

品质课程是有自己特质的课程。一是原点性:回归原点,为孩子们的成长与发展服务;二是现实性:针对问题,解决学校课程发展的实际问题;三是发展性:满足需求,聚焦人的核心素养的提升;四是层次性:有不同层次的实践样态。

品质课程可以有不同层面的意义。对一所学校来说,品质课程可以从三个层面来描述:宏观上,品质课程是一所学校的课程模式;从中观上,品质课程可以是一个课程域群;从微观上,品质课程可以是一门校本课程。

品质课程就是良好的课程。良好的课程有以下五个关键特征:一是倾听感,回应孩子的学习需求;二是见识感,丰富学习经历的取向;三是逻辑感,严密而非大杂烩或拼盘;四是统整感,嵌入方式而非加减法;五是质地感,课程建设触及课堂变革,与教学质量提升有密切关系。

浅谈NT内核Wins服务 第6篇

在计算机网络技术中，正常运行Wins服务是很重要的，可以这样说：“NT域中不使用NetBIOS，只使用DNS服务。”在Windows Server 2000活动目录域中，我们可以降低对Wins服务的依赖性，甚至可取消这种服务。但是，在局域网中如果没有DNS服务，那只能通过解析NetBIOS名来广播，对局域网的性能肯定是比较慢的，如果用Wins服务来解析NetBIOS名，效果将完全不一样。

2. Wins与DNS服务

Wins服务与DNS服务有一定相关性，我们可从基于Wins的配置和相关原理角度进行理解。在Windows NT中，名字不仅仅是主机名，当然还有NetBIOS名。Windows使用两大类名字，如果按名字的类型去划分的话，有这样的两类：一个是主机名，一个是NetBIOS名。由于DNS服务可以对主机进行解析，把主机名解析为IP，反之可把IP解析为主机名。

2.1 Wins服务

Wins服务由NT内核为其提供基本原语操作，使之为网络服务提供系统资源;Wins服务原理如图1所示。

从图1看出，Wins在对客户进行解析工作时，就是一个工作流程。一个客户端想对computer44客户端进行访问，如资源共享;若用UNC路径访问，则可通过IP地址，也能通过计算机名来访问，如“192.168.1.200”是这个客户端的IP，若网络终端很多，并让其它的客户去记住其客户端的IP，这样会给用户带来不便，当用“机器名”，就是一个名字来表示它们的IP，那么就像使用DNS一样，可用“computer44”来访问，即用计算机名字来访问，这样就可对名字进行解析，那么整个流程就是一个解析的过程。基于计算机终端而言，我们可将机器名字分为两类，一种是主机名，另一种是NetBIOS名。

2.2 主机名

FQDN是完全合格域名，即全域名。当客户输入“www.sohu.com”访问某个服务器时，客户立即可得到Web服务器名。由于DNS把Web Server解析为相应的IP，且解析的是主机名。DNS名字有它的主机命名空间，从上往下有一个树形结构，名字越往上，所对应层次就越高。如“serer1.nwtraders.msft”是完整的FQDN名，它由两部分组成，一个是主机名，一个是DNS后缀，名字越往右，则说明名字的级别就越高，msft则为顶级域。在域模式下，解析工作跟DNS服务是分不开的，肯定要用域模型来作解析。

2.3NetBIOS名

当点击网上邻居，客户看到的是NetBIOS名，而不是计算机名。在工作组模型中，没有DNS服务，NetBIOS名能显示出来。在网上邻居里面，若无域和DNS服务，在网上邻居中能看到客户端和服务器信息，这个名字是NetBIOS名。

用户要通过网络名字访问资源需要有一个服务器作相应的解析，把这个名字解析为IP，这个名字就是NetBIOS名，因为网络系统中没有DNS服务组件，也就是不能解析主机名。这个名字被解析成功，那只能是NetBIOS名，由于NetBIOS名是不需要服务来解析的，毫无疑问Wins的作用就是解析NetBIOS名。反过来，没有Wins服务，也可以实现。在网上邻居中，我们看到的终端名字及其相关信息是通过基于广播的方式解析到，这些名字就是NetBIOS名。广播解析NetBIOS名方式之一是基于广播来解析。

2.4 主机名与NetBIOS名的区别

用户右击“我的电脑”“属性”“其它”，则可得到NET-BIOS名。主机名与NetBIOS名有时相同，有时不同，而且主机名小于等于15位则相同，主机名大于15位则不同。NetBIOS名最长16位，但第16位不能被用。起名时只能用前15位，第16位作为服务标志位，第16位不能被定义和编辑，但主机名比这个要多得多。用户在CMD提示符窗口输入“hostname”，可以查看主机名，输入“nbtstat-n”可查看NetBIOS名。很明显，这里用两个十六进制数来表示与之对应的服务。在Windows NT操作系统中主机只有一个，而NetBIOS名有多个，相应的服务需要注册，即有几个NetBIOS名需要注册，就会有几个NetBIOS名。

3. Wins服务原理

Wins服务原理如图2所示，客户可看到由subnet1和subnet2的网络，它们在逻辑上是网络ID，即两个网段。在局域里，当subnet1中的某台机器要访问subnet2中的资源，若没有配置Wins服务，这种访问将很难进行。而这种访问机制是基于广播来解析NetBIOS名的，由于广播又不能跨路由，所以客户不能直接了解subnet2机器的名字等信息。由于通过路由进行通迅，路由器本身还不能过广播包。若要实现这种通迅，利用Wins服务是可行的。当在subnet2网络中有一个Wins服务器，Wins服务提供为名解析的工作，在subnet2网络中的客户端，也可配置成Wins服务的客户端。此时Wins服务可对NetBIOS名字进行解析;在subnet1网络中可能有些客户端，想看到所有客户端的名字，就需要在任何一台机器系统中配置Wins proxy，实质就是代理Wins服务，可通过proxyWins来配置和实现，修改注册表的键值，即将Enableproxy值改为1。

3.1 Wins结点类型

根据图2，可说明Wins结点类型有四种：

(1) B-节点这个节点称为广播节点。如果计算机配置成一个B-节点，那么当它进行NetBIOS名字解析时，只在网段上广播。实际上，微软使用加强的B节点，意思是说当名字在局部网段上找不到时要检查LMGOSTS文件表项。

(2) P-节点系统配置成点到点的方式。名字解析时会请求Wins服务器，但不在局部网段上广播。

(3) M-节点混合型系统首先在局部网段上广播请求，然后再和Wins服务器连接进行名字解析。

(4) H-节点杂节点系统首先和Wins服务器连接进行名字解析，如果没得到应答，H节点会在局部网络上广播。

所有的微软客户端首先检查名字缓存进行解析，之后才进行其他方式的NetBIOS名字解析。微软操作系统缺省的节点类型是B-节点或H-节点。当任一系统没有配置Wins服务器地址时，加强的B-节点是缺省类型。对所有的系统而言，当配置了Wins服务器地址时，H-节点是缺省类型。

3.2 Wins客户端解析名称步骤

Wins客户端解析名称的步骤有以下六步。

(1)客户端检查查询的名称是否是它所拥有的本地NetBIOS计算机名称。

(2)客户端检查远程名称的本地NetBIOS名称缓存。

(3)客户将NetBIOS查询转发到已配置的主Wins服务器中。如果主Wins服务器应答查询失败(因为该主Wins服务器不可用，或因为它没有名称项)，则客户将按照列出和配置使用的顺序尝试与其他已配置的Wins服务器联系。

(4)客户端将NetBIOS查询广播到本地子网。

(5)如果配置客户端已使用Lmhosts文件，那么客户端将检查与查询匹配的Lmhosts文件。

(6)如果将其配置成单个客户端，那么客户端会尝试Hosts文件然后尝试DNS服务器。

4. 小结

Wins是一个内嵌在微软操作系统中的客户机/服务器应用服务。Wins客户机启动时会向Wins服务器注册其NetBIOS名字。当Wins客户机关闭时，要向Wins服务器释放这个名字。这样允许Wins服务器能维护当前网络上正在使用的Wins客户机名字的数据库。Wins客户想与网络上的其它计算机连接时，就会给Wins服务器发出NetBIOS名字解析请求。

为了让一个客户系统成为Wins客户机，至少要为客户机输入一个Wins服务器地址，在TCP/IP的Wins客户机配置对话框中加入此项服务即可。在Wins客户机上可以配置多个Wins服务器IP地址，达到一定的容错目的。当主控Wins服务器不可用时，Wins客户机可以和辅助Wins服务器连接。

Wins代理能帮助非Wins客户机利用Wins服务：Wins代理接收局部子网名解析广播并把它转发给Wins服务器，Wins代理为非Wins客户机返回Wins服务器的应答，使非Wins客户机通过Wins代理享受Wins服务。

参考文献

[1]吴献文.局域网组建与维护案例教程.高等教育出版社, 2008.7.

“经济人”假设的合理内核 第7篇

一、“经济人”假设招致的批评

早在18世纪末19世纪初，就有人对“经济人”概念提出过批评，约翰穆勒则从方法论的角度论证了这一概念的正当性。美国经济学家凯里直接对穆勒的观点提出了批评。他认为这种“政治经济人”亵渎了大写的“人”，理论只讨论人的最低本能，而把人的最高尚利益看作是纯粹干扰其理论体系的东西。

历史学派在美国的变种制度学派对“经济人”概念也持批评态度。凡勃伦认为，新古典主义的完全竞争体系，连同“经济人”也是科学想象的功绩，但不是对事实的有力表现。它是科学推理的一种权宜之计，而且只能用到一些抽象原理和基本的科学法则上，而原理和法则仅存在于抽象领域内。可是，一旦这样做了，这些原本不是实际上的东西却被理解为真实的而被接受，成为研究思想习惯的一种有效成份，形成关于事实的知识。新古典理论不仅不能有效地解释现代社会，反而有害于人们对社会真象的探讨。新古典经济学失败的根本原因，在于它那种非历史的、简化的“经济人”人性观。这种“经济人”以享乐主义心理学为基础，把人视为“纯粹的一束欲望”，是完全错误的。他不同意新古典经济学关于“经济人”效用相等的观点并认为从“生活进程”的角度看，新古典经济学原理对决定福利水平并没有真正的作用。因为消费者对商品的当前享受，更多地取决于其他人的消费方式，而不是取决于理性计算。他还提出“社会人”的概念，以取代新古典主义的“经济人”。

西蒙对“经济人”假设的批评，主要针对其完全信息和完全理性。他认为，由于环境的不确定性和复杂性，信息的不完全性，以及人类认识能力的有限性，个人不可能把所有的价值考虑统一到单一的综合性效用函数当中。了解所有备选方案及其实施后果实际上是办不到的。所以，人们在决策过程中所寻求的并非最优解，而是满意解。西蒙特别强调人自身理性能力的限制，主要表现在个人无法准确无误地接受、储存、检索、传递和处理信息。因此，他提出了“有限理性”的概念：“我们可以把此类考虑到活动者信息处理能力限度的理论称为有限理性论”。在他看来，“有限理性”比“完全理性”更接近于现实。

如果上述批评都只是针对“经济人”假设的某个方面展开的，那么Tormer对“经济人”的批评则是全方位的，批评的依据是生命周期说和需求层次说。根据Wilber的生命周期说，人的发展过程可以分为三个基本的发展阶段： (1) 潜意识或前个人阶段; (2) 自我意识或个人阶段; (3) 超意识或超个人阶段。在潜意识的发展阶段，个人逐渐产生一种与外部世界不同的自我意识。在发展阶段，个人开始从潜意识状态中觉醒，发展出理性理解、内省思考、演绎推理和社会可接受的行为能力。最终，个人发展出整合思考、把观念与观念、事实与事实、心灵与肉体联系起来的能力。在超个人阶段，个人可获得比日常的、外部导向的经验更敏锐、更高的精神意识，从而超越自我，甚至与神性合二为一，最终达到非二元体的、无主客体之分的状态。

根据Maslow的需求层次说，人的需求由低到高可分为六个不同的层次。 (1) 生理的需要; (2) 安全的需要; (3) 归属或爱的需要; (4) 自尊的需要; (5) 自我实现的需要; (6) 超然存在的需要。当较低层次的需要得到满足，而辅助条件存在时，较高层次的需要就会出现并居于优势地位。每一个层次向下一个层次的发展，都涉及到一种转化，在这种转化中，较低层次的元素包含并整合在较高的层次之中，较高层次的元素与较低层次的元素没有分别，但与更高层次的元素有分别。Tormer认为，Maslow的需求层次说和Wilber的生命周期说在实质上是一致的。

Tormer认为，从人性的观点来看，“经济人”假设存在明显的缺陷。一是“经济人”只关注自我是有缺陷的。尽管人类追逐自我利益是正确的，但重要的是他们在什么程度上关注自我利益。对于那些已经达到外部弧的终点的任一阶段的个人来讲，这在很大程度上是正确的。但是对于那些在内部弧上达到更高阶段的人来讲，其正确性就非常有限。二是“经济人”关于个人与物质的人类世界相分离的观点是有缺陷的。对于处于较低发展阶段的个人来讲，他还没有实现与外部世界的分离，而对于处于向超我阶段发展的个人来讲，他已经程度不同地和外部世界融为一体了。三是“经济人”机械般的理性是有缺陷的。在前个人阶段，还没有获得理性所需要的想象、概念和计算能力。而在超自我阶段，个人的确已经具有理性经济行为所需要的心理能力，但他们又不会以这种方式行事，因为他们的行为更具有整合性。只有那些处于个人阶段的人，才会大致按理性“经济人”的方式行事。四是“经济人”的非反思方面是有缺陷的。五是“经济人”的不改变的方面也是有缺陷的。从Wilber的生命周期中可以看出，随着人的潜力的发展，处于不同发展阶段的人性也会发生重大变化。从这个意义上讲，人性不是一成不变的。

二、“经济人”假设的合理内核

“经济人”概念在西方学术界招致了许多的批评。这些批评虽然未必全部正确，但提出了一些值得思考的问题。

第一，“经济人”概念是历史的，还是非历史的?历史唯物论认为，社会存在决定社会意识，经济范畴是经济关系的理论表现。在原始社会，人们利用公有的生产资料共同劳动，产品在社会成员之间平均分配。个人尚未脱离氏族或公社的脐带，还意识不到个体的存在，因而没有个人利益的观念。随着社会生产力的发展，分工和交换关系出现，原始社会解体，公有制被私有制所取代。人们开始意识到个体的存在，并开始追求个人利益。在这种历史背景下，奴隶社会的一些思想家提出了人的本性是趋利避害的。这种利己主义人性观是“经济人”概念的雏形。但“经济人”概念取得比较成熟的形式，并成为经济学的基本假设，则是随着资本主义商品经济的发展，经济学作为一门独立的科学产生以后才开始的。因此，“经济人”是个历史的范畴，超历史的人性和“经济人”概念是不存在的。从这个意义上讲，历史学派对“经济人”的超历史性的批评确有其正确的一面。

第二，人性是利己，利他，还是两者兼而有之?在商品经济社会，劳动、资本、土地等生产要素分别归不同的个人所有。为了生产商品，商品生产者必须以某种方式向他人购买各种生产要素，同时向消费者销售自己生产的商品。而要做到这一点，他就必须以其销售收入来弥补生产成本购买生产要素的支出。在市场竞争的环境中，生产者仅仅为了生存，也必须在购买生产要素和销售产品时，开始计较于自己的经济利益。“人们所扮演的角色不过是经济关系的人格化，人们是作为这种关系的承担者而彼此对立着”。而“经济人”概念不过是商品经济社会商品生产者之间商品交换关系的人格化。否认商品经济社会人的利己性的做法是不正确的。当然，即使在商品经济社会，个人也可能有利他的动机，在某些情况下，这种利他动机还可能表现得十分强烈。一些人为了慈善的目的，可以向素不相识的人捐献大量的钱物，为了挽救生命垂危的病人，可以捐献自己的器官。但这种行为显然属于道德领域的范畴，不应成为经济学的研究对象。在经济领域，这种利他动机不可能居于主导地位。所以，以人的利他动机和利他行为来否定“经济人”假设是不恰当的。

第三，“经济人”理性是完全的，还是不完全的?有限理性和选择理性假设都认为“经济人”理性是不完全的。但两种假设和完全理性假设有一个重要的共同点，即认为不同个人的理性程度是相同的。如果说任何一个正常人都具有理性是正确的，那么同样正确的是，不同个人的理性程度是有差别的。完全理性的和完全无理性的个人都只是少数，大多数人的理性介于两个极端之间。或者说，人类理性不是均匀分布的，而是服从正态分布。这也解释了，在商品经济市场经济条件下，特别成功和破产倒闭的生产者都只是少数，而大多数生产者处于可以维持的状态。

第四，对个人利益的追求是否必然导致社会利益的最大化?在商品经济市场经济社会，人都具有利己性，追求个人利益是人们从事各种经济活动的根本动力。但不同个人利己的程度显然是有差别的。所以，总的来看，“经济人”追求个人利益的行为是能够促进全社会的利益的。发达国家和一些发展中国家的经济成就，是对这一命题的最好注脚。

综上所述，尽管新古典经济学“经济人”假设存在某些缺陷，但其基本内核是合理的。只要克服这个概念的某些缺陷，并对其做出必要的补充，就可供中国经济学借鉴。

参考文献

[1]亚当.斯密.国民财富的性质与原因的研究[M].北京:商务印书馆, 1972:13-14.

[2]朱绍文, 俞品根.现代西方微观经济分析[M].北京:商务印书馆, 1996, 20-24.

[3]杨德明.等待西方经济学基础理论的演变[M].北京:商务印书馆, 1988:38-39.

文化嵌入:乡村旅游建设的内核 第8篇

关键词：文化乡村旅游核心竞争力

2005年党的第十六届五中全会提出“建设社会主义新农村”的战略任务。 2007年党的十七大报告进一步指出要“统筹城乡发展,推进社会主义新农村建设”。 党的十八大再次强调“要加大统筹城乡发展力度,增强农村发展活力”。 按照这一新的要求, 各级各地在经济、政治、文化和社会等方面对新农村建设内涵、路径、模式进行了有益的探索和尝试, 进而带来产业结构调整的新需求。 这种调整不是简单的产业类别变更、淘汰,更多地是通过调整发掘出新型内涵持续力、新型发展整合力。 在这样的背景下,一种新的业态———乡村旅游应运而生。

一、乡村旅游建设行为内涵研究

乡村旅游建设的着眼点不限于旅游资源开发本身的地区旅游影响力的提升和新的经济增长点的促成。 旅游资源的利用,旅游产品的开发,也不限于丰富旅游结构和层次。 旅游行为是一种社会行为, 社会行为的行使必然要向内承载社会文化、政治和经济主张,即乡村旅游行为要契合国家社会主义新农村建设的政治和经济要求。 也向外拓展行为的指向,即乡村旅游行为要在研究实践中不断提升旅游业对经济社会发展、公共生活方式、生态环境建设和公民文化意识形成的贡献度。

乡村旅游建设行为要符合新农村建设战略目标,是新农村经济建设的重要着力点。 乡村旅游作为一种新型的旅游业发展业态,经济指标是一个不容回避的问题。 一种新业态需要业态结构和层面的各类要素的支撑和构建,需要在整合各类资源的基础上延伸出业态本身对事业发展的推动力。 就乡村旅游建设而言,充分利用乡村旅游资源,进一步理顺和激发农村新生旅游产品,逐步调整和优化新农村建设产业结构,延展农业综合发展功能,拓宽农业发展产业链,深化农村旅游第三产业,优化农民职业结构,增加农民收入,为社会主义新农村建设创设可持续发展的基础。

乡村旅游体验过程将深化旅游产业的内在品格,是强化合理的生活方式,葆有生态要素的重要力量。 在旅游行为的互为关系上,乡村旅游与通常意义上的旅游存在一定差异。 乡村旅游主要是通过借助乡村独特的村落、郊野、田园等环境要素,形成吸引城市游客的巨大吸引力。 事实上,乡村旅游对城市的吸引力来自于乡村旅游的立体结构与城市生存环境之间的割裂感,这种感官是人复归自然的内心认定,对于恢复心理秩序而言,具有独特性。 乡村旅游独特的历史文化、生态环境,使人在乡村径野间,能够轻易地感知四时更易,撩拨文化兴叹,使得乡村成为现代情感表达的自主认知之地。 相反, 城市旅人把都市的政治、经济、文化等观念和意识行为,自然的转托到乡村旅游行为中,提高乡村对现代化的信息接收和生活方式选择能力。

乡村旅游建设的产品形式将拓展旅游产业的外延,是丰富旅游业发展结构的重要支撑。 旅游目的达至的深意不仅是一时的“走马观花”,更要达到走马观花后的“闲庭信步”。 所以旅游产品内容和形式上的设计重点在于旅游过程要增强旅人的内心认同能力,使旅人在纵情山水间自主思考,感悟瞬息的世间万物,让乡村体验成为对自然和规律的尊重、顺应之地;使旅人在劳作体验间,切生感受到乡村是勤勉、质朴、恬淡的人生反观自照之地;使乡村旅游成为一种内心的标示,使乡村旅游文化成为一种旅人的文化自觉,成为文化兴叹之地。

二、乡村旅游建设行为特色化概念的内涵

旅游是生活方式的外延形式,旅游作为一种社会意识形态,也因政治、经济、文化的变迁而产生内容、形式上的演进、甚至变革。 乡村旅游是一种新型的旅游样式,从资源的角度而言,乡村旅游是以村落、郊野、田园等环境为依托,通过对资源的分析、 对比,形成一种具有特色的发展方向。 它突破了“走马观花”的流水式旅游形式,例如乡村的劳作体验式,乡村果园的采摘式,乡村饮食的生态式,乡村住宿的农家式,乡村活动的互动式等等,这些对于传统旅游来讲,在形式和内涵上都有显见的拓展。

如果说乡村旅游是一项特色旅游, 那么这个 “特色”就是阐释乡村旅游建设和发展的依据。 乡村旅游无论存在多少形式, 这种形式都是有限的,而乡村旅游建设和发展的深层动因,或者说,提升乡村旅游内在动力却只有一项。 所谓“特色”,即人无我有、人有我优。 在我国广大的乡村地区存在着丰富的生态自然资源,天然资源对人的吸引度虽然深刻,却流于单一。 因此,每一个乡村旅游样式会不断地得以复制,千篇一律就会不断显现,难以做到“人无我有”,这是一个不争的事实。 对于“人有我优”应当是当前乡村旅游建设和发展的主要思索点。 “人有我优”意味着,旅游样式只在特定的地点产生特定的效用和价值,脱离此地,别人无法模仿,难以复制。 即生态环境和地缘因素只是发展乡村旅游的外壳,追求核心竞争力关注的一定是内核。 我们认为, 价值取向的原动力就是内核。 对于乡村旅游而言, 文化要素就是内核。

三、文化嵌入是提升乡村旅游层次的内核

文化建设是每一项事业深化其内生性张力的必然要求。[1]乡村旅游想要提升其旅游品格和层次, 实现可持续延展,就需要在原有旅游物质载体的基础上提炼与拓展深层的文化内涵,通过文化张力来凸显旅游文化特色,提升乡村旅游核心竞争力。

1、乡村旅游的文化嵌入是国家文化建设战略主题的题中之意

党的十六大以来,我党初步找到了一条中国特色社会主义文化发展道路,旅游文化嵌入提供了重要指向。 乡村旅游的文化嵌入是落实党的路线的必然要求。 现当代旅人的旅游动机已不限于纯粹的景观抵达和影像载体再现。 越来越把“旅游”本身作为一种文化消费行为,[3]旅游业必须具有适合自身发展需要的文化形态。 就旅游业而言,传统的旅游业态已不能满足人们的生活方式、情感表达、价值取舍等外在需求和内在认同。 有人认为,在旅游产品的开发和形式的丰富上下功夫就可以有效的弥补这一缺失。 我们认为,旅游形式的不断丰富在一定时期内或能满足休闲和度假的一般需求,但不可能在根本上祛除旅人的旅游审美疲劳。 旅游业的健康和持续发展, 特别是乡村旅游建设的思考角度,必须定位在传统旅游和现代旅游的文化内涵分野之上,即乡村旅游只有注入文化的基因之后,才会赢得更加恒久的生命。

2、乡村旅游的文化嵌入是回应社会责任的良好形式

如果我们把文化旅游作为一种发展旅游业的内核来看待,那么任何一种文化都有向社会回馈的特定责任。 因此,乡村旅游文化一旦形成和固化,其所表现出来的对生态环境的敬畏、对生活方式的多元选择、对公民社会意识的养成所具有的潜在约束力,往往比传统的以休闲、度假等放松式的浅层次旅游形式和常规的制度、说教更有力度,更具有持久性、稳定性和连续性。

3、本土文化嵌入是提升乡村旅游核心竞争力的根本途径