《[精选]计算机网络安全第八章(IDS)15199.pptx》由会员分享,可在线阅读,更多相关《[精选]计算机网络安全第八章(IDS)15199.pptx(75页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、入侵检测w 入侵检测概述w IDS的基本结构w IDS的常用分类w IDS的检测技术w IDS的设置w IDS的部署w IDS的应用5/20/2023 1什么是入侵检测?目录10 之 1 入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS:Intrusion Detection System)。5/20/2023 2为什么需要IDS?目录10 之 2w 入侵很容易n 入侵教程随处可见n 各种工具唾手可得w
2、 防火墙不能保证绝对的安全 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁,IDS是监视器5/20/2023 3如何使用IDS?目录10 之 3 IDS可以作为防火墙的一个有效的补充,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护。5/20/2023 4图 示目录10 之 4报警日志攻击检测记录入侵过程 重新配置防火墙路由器内部入侵入侵检测记录终止入侵5/20/2023 5IDS 发挥的作用w 技术层面技术层面 对具体的安全技术人员,可以利用IDS做为工具来发现安全问题、
3、解决问题。目录10 之 5从不知到有知5/20/2023 6IDS 发挥的作用w 管理层面管理层面 对安全管理人员来说,是可以把IDS做为其日常管理上的有效手段。目录10 之 6从被动到主动5/20/2023 7IDS 发挥的作用w 领导层面领导层面 对安全主管领导来说,是可以把IDS做为把握全局一种有效的方法,目的是提高安全效能。目录10 之 7从事后到事前5/20/2023 8IDS 发挥的作用w 意识层面意识层面 对政府或者大的行业来说,是可以通过IDS来建立一套完善的网络预警与响应体系,减小安全风险。目录10 之 8从预警到保障5/20/2023 9IDS 发展过程 概念的诞生目录10
4、 之 9 1980年4月,James P.Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视):w 指出必须改变现有的系统审计机制,以便为专职系统安全人员提供安全信息预警预警;w 提出了对计算机系统风险和威胁的分类方法,分为外部渗透外部渗透、内部渗透内部渗透和不法行为不法行为三种;w 提出利用审计跟踪数据监视入侵活动监视入侵活动的思想。5/20/2023 10IDS 发展过程 研究和发展目录10 之 10w Denning于1986年发表的论文“入侵检测模型入侵检测模型”被公认
5、为是IDS领域的又一篇开山之作;w 1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L.T.Heberlein等人开发出了一套网络入侵检测系统网络入侵检测系统(Network Security Monitor);w 从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化智能化和分分布式布式两个方向取得了长足的进展。5/20/2023 11IDS 的基本结构目录w 信息收集w 信息分析w 结果处理5/20/2023 12信息收集目录IDS 的基本结构 入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为,这需要在计算机
6、网络系统中的若干不同关键点(不同网段和不同主机)收集信息,应尽可能扩大检测范围,因为从一个源来的信息有可能看不出疑点。入侵检测很大程度上依赖于收集信息的可靠性和正确性。因此要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。4 之 15/20/2023 13信息来源目录IDS 的基本结构w 系统/网络的日志文件w 网络流量w 系统目录和文件的异常变化w 程序执行中的异常行为4 之 25/20/2023 14日志文件目录IDS 的基本结构 攻击者常在系统和网络日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的
7、必要条件。日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。4 之 35/20/2023 15系统目录和文件的异常变化目录IDS 的基本结构 网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。入侵者经常替换、
8、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。4 之 45/20/2023 16信息分析目录IDS 的基本结构w 模式匹配w 统计分析w 完整性分析5/20/2023 17模式匹配目录IDS 的基本结构 信息分析 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为 一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。
9、5/20/2023 18统计分析目录IDS 的基本结构 信息分析 统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。5/20/2023 19完整性分析目录IDS 的基本结构 信息分析 完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性。本方法在发现被更改的、被安装木马的应用程序方面特别有效。5/20/2023 20结果处理目录IDS 的基本结构w 弹出窗口报警w E-mail
10、通知w 切断TCP连接w 执行自定义程序w 与其他安全产品交互n Firewalln SNMP Trap5/20/2023 21IDS 的分类目录w 按照分析方法分w 按照数据来源分w 按系统各模块的运行方式分w 根据时效性分5/20/2023 22按照分析方法分目录IDS 的分类w 异常检测IDS(Anomaly Detection)首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵。w 误用检测IDS(Misuse Detection)收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。5/20/20
11、23 23异常检测模型目录IDS 的分类 按照分析方法分2 之 1网络数据日志数据异常检测入侵行为正常行为描述库规则不匹配动态产生新描述动态更新描述5/20/2023 24特 点目录IDS 的分类 按照分析方法分w 异常检测系统的效率取决于用户轮廓的完备性和监控的频率;w 因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;w 系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;w 漏报率低,误报率高。2 之 25/20/2023 25误用检测模型目录IDS 的分类 按照分析方法分2 之 1网络数据日志数据误用检测入侵行为攻击模式描述库规
12、则匹配动态产生新描述动态更新描述5/20/2023 26特 点目录IDS 的分类 按照分析方法分2 之 2 误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。5/20/2023 27按照数据来源分目录IDS 的分类w 基于主机的IDS(HIDS)系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机。w 基于网络的IDS(NIDS)系统获取的数据是网络传输的数据包,保护的是网络的运行。w 混合型IDS 同时使用基于主机的IDS和基于网络的IDS,实现两者优势互补。5/20/2023 28基于主机的IDS目录IDS 的分类 按照数据来源分w 安装于被保护的主机中w
13、 主要分析主机内部活动n 系统日志n 应用程序日志n 文件完整性检查w 占用一定的系统资源4 之 15/20/2023 29工作过程示意图目录IDS 的分类 按照数据来源分Internet Internet网络服务器1客户端网络服务器2X检测内容:系统调用、端口调用、系统日志、安全审记、应用日志HIDS HIDSXHIDS HIDS4 之 25/20/2023 30优 点目录IDS 的分类 按照数据来源分w 检测准确度较高;w 可以检测到没有明显行为特征的入侵;w 能够对不同操作系统进行有针对性的检测;w 成本较低;w 不会因网络流量影响性能;w 适合加密和交换环境。4 之 35/20/202
14、3 31缺 点目录IDS 的分类 按照数据来源分4 之 4w 实时性较差;w 无法检测数据包的全部;w 检测效果取决于日志系统;w 占用主机资源;w 隐蔽性较差;w 如果入侵者能够修改校验和,这种IDS将无法起到预期的作用。5/20/2023 32基于网络的IDS目录IDS 的分类 按照数据来源分w 安装在被保护的网段中w 混杂模式监听w 分析网段中所有的数据包w 实时检测和响应w 操作系统无关性w 不会增加网络中主机的负载4 之 15/20/2023 33工作过程示意图目录IDS 的分类 按照数据来源分Internet InternetNIDSNIDS网络服务器1客户端网络服务器2X检测内容
15、:包头信息+有效数据部分4 之 25/20/2023 34优 点目录IDS 的分类 按照数据来源分w 可以提供实时的网络行为检测;w 可以同时保护多台网络主机;w 具有良好的隐蔽性;w 有效保护入侵证据;w 不影响被保护主机的性能;w 操作系统无关性。4 之 35/20/2023 35缺 点目录IDS 的分类 按照数据来源分w 防入侵欺骗的能力通常较差;w 在交换式网络环境中难以配置;w 检测性能受硬件条件限制;w 不能处理加密后的数据。4 之 45/20/2023 36混合型IDS目录IDS 的分类 按照数据来源分 基于主机的IDS和基于网络的IDS都有着自身独到的优势,而且在某些方面是很好
16、的互补。混合型IDS就是采用这两者结合的入侵检测系统,那将是汲取了各自的长处,又弥补了各自的不足的一种优化设计方案。通常这样的系统一般为分布式结构,由多个部件组成,它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。5/20/2023 37按系统各模块的运行方式分目录IDS 的分类w w 集中式 集中式IDS IDS 在被保护网络的各个网段中分别放置检测器进行数据包的搜集和分析,各个检测器将检测信息传送到中央控制台进行统一处理,中央控制台还会向各个检测器发送命令。w w 分布式 分布式IDS IDS 通常采用分布式智能代理的结构,由一个或多个中央智能代理和大量分布在网络各处的本地代
17、理组成。其中本地代理负责处理本地事件,中央代理负责调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。5/20/2023 38根据时效性分目录IDS 的分类w 脱机分析IDS 行为发生后,对产生的数据进行分析。w 联机分析IDS 在数据产生的同时或者发生改变时进行分析。5/20/2023 39IDS 的检测技术目录w 异常检测技术w 误用检测技术w 其它检测技术5/20/2023 40异常检测技术 基于行为的检测目录IDS 的检测技术w 统计分析异常检测w 贝叶斯推理异常检测w 神经网络异常检测w 模式预测异常检测w 数据挖掘异常检测w 机
18、器学习异常检测5/20/2023 41统计分析异常检测目录IDS 的检测技术 异常检测技术 首先对系统或用户的行为按照一定的时间间隔进行采样,样本的内容包括每个会话的登录、退出情况,CPU和内存的占用情况,硬盘等存储介质的使用情况等。对每次采集到的样本进行计算,得出一系列的参数变量来对这些行为进行描述,从而产生行为轮廓,将每次采样后得到的行为轮廓与已有轮廓进行合并,最终得到系统和用户的正常行为轮廓。IDS通过将当前采集到的行为轮廓与正常行为轮廓相比较,从而来检测网络是否被入侵。2 之 15/20/2023 42特 点目录IDS 的检测技术 异常检测技术w 优点n 所应用的技术方法在统计学中已经
19、比较成熟。w 缺点 异常阀值难以确定:阀值设置得偏低会产生过多的误检,偏高会产生过多的漏检。对事件发生的次序不敏感:可能会漏检由先后发生的几个关联事件组成的入侵行为。对行为的检测结果要么是异常,要么是正常,攻击者可以利用这个弱点躲避IDS的检测。2 之 25/20/2023 43神经网络异常检测目录IDS 的检测技术 异常检测技术3 之 1 基本思想:用一系列的信息单元(命令)训练神经单元,这样在给定一组输入后,就可以预测输出。用于检测的神经网络模块结构为:当前命令和刚过去的w个命令组成了网络的输入,其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后,
20、该网络就形成了相应用户的特征表,于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。5/20/2023 44图 示目录IDS 的检测技术 异常检测技术3 之 25/20/2023 45特 点目录IDS 的检测技术 异常检测技术w优点优点n 不需要对数据进行统计假设,能够较好地处理原始数据的随机性,并且能够较好地处理干扰数据。w缺点缺点 网络的拓扑结构和各元素的权重难以确定,必须经过多次尝试。W的大小难以确定:设置的小,则会影响输出效果;设置的大,则由于神经网络要处理过多的无关数据而使效率下降。3 之 35/20/2023 46误用检测技术 基于知识的检测目录IDS 的检测技术w
21、 专家系统误用检测w 特征分析误用检测w 模型推理误用检测w 条件概率误用检测w 键盘监控误用检测5/20/2023 47专家系统误用检测目录IDS 的检测技术 误用检测技术 首先将安全专家的关于网络入侵行为的知识表示成一些类似if-then的规则,并以这些规则为基础建立专家知识库。规则中的if部分说明形成网络入侵的必需条件,then部分说明发现入侵后要实施的操作。IDS将网络行为的审计数据事件进行转换,成为包含入侵警告程度的判断事实,然后通过推理引擎进行入侵检测,当if中的条件全部满足或者在一定程度上满足时,then中的动作就会被执行。2 之 15/20/2023 48特 点目录IDS 的检
22、测技术 误用检测技术w 需要处理大量的审计数据并且依赖于审计追踪的次序,在目前的条件下处理速度难以保证;w 对于各种网络攻击行为知识进行规则化描述的精度有待提高,审计数据有时不能提供足够的检测所需的信息;w 专家系统只能检测出已发现的入侵行为,要检测出新的入侵,必须及时添加新的规则,维护知识库的工作量很大。2 之 25/20/2023 49特征分析误用检测目录IDS 的检测技术 误用检测技术 在商品化的IDS中本技术运用较多。特征分析误用检测与专家系统误用检测一样,也需要搜集关于网络入侵行为的各种知识,不同的是:特征分析更直接地使用各种入侵知识,它将入侵行为表示成一个事件序列或者转换成某种可以
23、直接在网络数据包审计记录中找到的数据样板,为不进行规则转换,这样就可以直接从审计数据中提取相应的数据与之匹配,因此不需处理大量的数据,从而提高了效率。5/20/2023 50其它检测技术目录IDS 的检测技术w 遗传算法w 免疫技术5/20/2023 51遗传算法目录IDS 的检测技术 其它检测技术 遗传算法的基本原理是首先定义一组入侵检测指令集,这些指令用于检测出正常或异常的行为。指令中包含若干字符串,所有的指令在定义初期的检测能力都很有限,IDS对这些指令逐步地进行训练,促使指令中的字符串片段发生重组,以生成新的字符串指令。再从新的指令中经过测试筛选出检测能力最强的部分指令,对它们进行下一
24、轮的训练。如此反复,使检测指令的检测能力不断提高,训练过程即可结束,此时这些指令已经具备一定的检测能力,IDS可以使用它们进行网络入侵检测。目前对遗传算法的研究还处于实验阶段。5/20/2023 52免疫技术目录IDS 的检测技术 其它检测技术 免疫技术应用了生物学中的免疫系统原理。处于网络环境中的主机之所以受到入侵,是因为主机系统本身以及所运行的应用程序存在着各种脆弱性因素,网络攻击者正是利用这些漏洞侵入到主机系统中的;在生物系统中同样存在着各种脆弱性因素,因此会受到病毒、病菌的攻击。而生物体拥有免疫系统来负责检测和抵御入侵,免疫机制包括特异性免疫和非特异性免疫。特异性免疫针对于特定的某种病
25、毒,非特异性免疫可用于检测和抵制以前从未体验过的入侵类型。入侵检测免疫技术受免疫系统原理的启发,通过学习分析已有行为的样本来获得识别不符合常规行为的能力。5/20/2023 53IDS 的设置目录 IDS是网络安全防御系统的重要组成部分。IDS的设置影响着IDS在整个网络安全防御系统中的地位和重要程度。目前大部分的入侵检测技术都需要对网络数据流进行大量的分析运算,在高速网络中,一个不经过配置的入侵检测设备,在不进行筛选和过滤的情况下,无法很好地完成对受保护网络的有效检测。3 之 15/20/2023 54IDS 的设置步骤目录w 确定入侵检测需求w 设计IDS在网络中的拓扑结构w 配置IDSw
26、 IDS磨合w IDS的使用和自调节3 之 25/20/2023 55设置步骤图示目录1.确定需求2.设计拓扑3.配置系统4.磨合调试5.使用系统确定安全需求完成系统配置实现拓扑磨合达标根据设计拓扑改变重新确定需求根据运行结果调整相关参数网络拓扑变更或安全更新3 之 35/20/2023 56IDS 的部署目录w 基于网络IDS的部署w 基于主机IDS的部署5/20/2023 57基于网络IDS 的部署目录IDS 的部署 基于网络的IDS可以在网络的多个位置进行部署(这里的部署主要指对网络入侵检测器的部署)。根据检测器部署位置的不同,IDS具有不同的工作特点。用户需要根据自己的网络环境以及安全
27、需求进行网络部署,以达到预定的网络安全需求。2 之 15/20/2023 58部署位置目录IDS 的部署Internet Internet边界路由器管理子网一般子网内部WWW重点子网DMZ区域内部工作子网部署一部署二部署三部署四2 之 25/20/2023 59部署一:外网入口目录IDS 的部署 部署位置 外网入口部署点位于防火墙之前,入侵检测器在这个部署点可以检测所有进出防火墙外网口的数据,可以检测到所有来自外部网络的可能的攻击行为并进行记录。2 之 15/20/2023 60特 点目录IDS 的部署 部署位置w优点优点n 可以对针对目标网络的攻击进行计数,并记录最为原始的攻击数据包;n 可
28、以记录针对目标网络的攻击类型。w缺点缺点 由于入侵检测器本身性能上的局限,该部署点的入侵检测器目前的效果并不理想;对于进行NAT的内部网来说,入侵检测器不能定位攻击的源/目的地址,系统管理员在处理攻击行为上存在一定的困难。2 之 25/20/2023 61部署二:内网主干目录IDS 的部署 部署位置 内网主干部署点是最常用的部署位置,在这里入侵检测器主要检测内网流出和经过防火墙过滤后流入内网的网络数据。在这个位置,入侵检测器可以检测所有通过防火墙进入的攻击以及内部网向外部的不正常操作,并且可以准确地定位攻击的源和目的,方便系统管理员进行针对性的网络管理。2 之 15/20/2023 62特 点
29、目录IDS 的部署 部署位置w优点n 检测大量的网络通信提高了检测攻击的识别可能;n 检测内网可信用户的越权行为;n 实现对内部网络信息的检测。w缺点 入侵检测器不能记录下所有可能的入侵行为,因为已经经过防火墙的过滤。2 之 25/20/2023 63部署三:DMZ 区目录IDS 的部署 部署位置 DMZ区部署点在DMZ区的总口上,这是入侵检测器最常见的部署位置。在这里入侵检测器可以检测到所有针对用户向外提供服务的服务器进行攻击的行为。对于用户来说,防止对外服务的服务器受到攻击是最为重要的。由于DMZ区中的各个服务器提供的服务有限,所以针对这些对外提供的服务进行入侵检测,可以使入侵检测器发挥最
30、大的优势,对进出的网络数据进行分析。由于DMZ区中的服务器是外网可见的,因此在这里的入侵检测也是最为需要的。2 之 15/20/2023 64特 点目录IDS 的部署 部署位置w优点优点 检测来自外部的攻击,这些攻击已经渗入过第一层防御体系;可以容易地检测网络防火墙的性能并找到配置策略中的问题;DMZ区通常放置的是对内外提供服务的重要的服务设备,因此,所检测的对象集中于关键的服务设备;即使进入的攻击行为不可识别,IDS经过正确的配置也可以从被攻击主机的反馈中获得受到攻击的信息。2 之 25/20/2023 65部署四:关键子网目录IDS 的部署 部署位置 在内部网中,总有一些子网因为存在关键性
31、数据和服务,需要更严格的管理,例如:资产管理子网、财务子网、员工档案子网等,这些子网是整个网络系统中的关键子网。通过对这些子网进行安全检测,可以检测到来自内部以及外部的所有不正常的网络行为,这样可以有效地保护关键的网络不会被外部或没有权限的内部用户侵入,造成关键数据泄露或丢失。由于关键子网位于内网的内部,因此流量相对要小一些,可以保证入侵检测器的有效检测。2 之 15/20/2023 66特 点目录IDS 的部署 部署位置w优点 集中资源用于检测针对关键系统和资源的来自企业内外部的攻击;将有限的资源进行有效部署,获取最高的使用价值。2 之 25/20/2023 67基于主机IDS 的部署目录I
32、DS 的部署 基于主机的IDS主要安装在关键主机上,这样可以减少规划部署的花费,使管理的精力集中在最重要最需要保护的主机上。同时,为了便于对基于主机的IDS的检测结果进行及时检查,需要对系统产生的日志进行集中。通过进行集中的分析、整理和显示,可以大大减少对网络安全系统日常维护的复杂性和难度。5/20/2023 68产 品 免费目录6 之 15/20/2023 69产 品 商业目录w CyberCop Monitor,NAIw Dragon Sensor,Enterasysw eTrust ID,CAw NetProwler,Symantecw NetRanger,Ciscow NID-100/
33、200,NFR Securityw RealSecure,ISSw SecureNet Pro,I6 之 25/20/2023 70产 品 国内目录6 之 3w 启明星辰w 安氏w 金诺w 瑞星w 5/20/2023 71资 源目录6 之 45/20/2023 72发展方向目录6 之 5w分布式入侵检测分布式入侵检测n 针对分布式攻击的检测方法;n 使用分布式的方法来检测分布式的攻击,关键技术为检测信息的协同处理与入侵攻击的全局信息提取。w智能化入侵检测智能化入侵检测n 使用智能化的手法也实现入侵检测,现阶段常用的有神经网络、模糊算法、遗传算法、免疫原理等技术。w全面的安全防御方案全面的安全防
34、御方案 采用安全工程风险管理的理论来处理网络安全问题,将网络安全做为一个整体工程来处理,从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面对网结进行安全分析。5/20/2023 73网络安全防范体系示意图目录6 之 6Internet路由器管理平台安全监控设备防火墙IDS防病毒服务器内部网备份系统网络隐患扫描系统陷阱机取证系统5/20/2023 74w 9、静夜四无邻,荒居旧业贫。5月-235月-23Saturday,May 20,2023w 10、雨中黄叶树,灯下白头人。11:11:07 11:11:07 11:11 5/20/2023 11:11:07 AMw 11、以我独沈久,
35、愧君相见频。5月-2311:11:07 11:11 May-2320-May-23w 12、故人江海别,几度隔山川。11:11:07 11:11:07 11:11 Saturday,May 20,2023w 13、乍见翻疑梦,相悲各问年。5月-235月-2311:11:07 11:11:07 May 20,2023w 14、他乡生白发,旧国见青山。20 五月 202311:11:07 上午11:11:07 5月-23w 15、比不了得就不比,得不到的就不要。五月 2311:11 上午5月-2311:11 May 20,2023w 16、行动出成果,工作出财富。2023/5/20 11:11:0
36、7 11:11:07 20 May 2023w 17、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。11:11:07 上午11:11 上午11:11:07 5月-23w 9、没有失败,只有暂时停止成功!。5月-235月-23Saturday,May 20,2023w 10、很多事情努力了未必有结果,但是不努力却什么改变也没有。11:11:07 11:11:07 11:11 5/20/2023 11:11:07 AMw 11、成功就是日复一日那一点点小小努力的积累。5月-2311:11:07 11:11 May-2320-May-23w 12、世间成事,不求其绝对圆满,留一份
37、不足,可得无限完美。11:11:07 11:11:07 11:11 Saturday,May 20,2023w 13、不知香积寺,数里入云峰。5月-235月-2311:11:07 11:11:07 May 20,2023w 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。20 五月 202311:11:07 上午11:11:07 5月-23w 15、楚塞三湘接,荆门九派通。五月 2311:11 上午5月-2311:11 May 20,2023w 16、少年十五二十时,步行夺得胡马骑。2023/5/20 11:11:07 11:11:07 20 May 2023w 17、空山新雨后,天气晚
38、来秋。11:11:08 上午11:11 上午11:11:08 5月-23w 9、杨柳散和风,青山澹吾虑。5月-235月-23Saturday,May 20,2023w 10、阅读一切好书如同和过去最杰出的人谈话。11:11:08 11:11:08 11:11 5/20/2023 11:11:08 AMw 11、越是没有本领的就越加自命不凡。5月-2311:11:08 11:11 May-2320-May-23w 12、越是无能的人,越喜欢挑剔别人的错儿。11:11:08 11:11:08 11:11 Saturday,May 20,2023w 13、知人者智,自知者明。胜人者有力,自胜者强。5
39、月-235月-2311:11:08 11:11:08 May 20,2023w 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。20 五月 202311:11:08 上午11:11:08 5月-23w 15、最具挑战性的挑战莫过于提升自我。五月 2311:11 上午5月-2311:11 May 20,2023w 16、业余生活要有意义,不要越轨。2023/5/20 11:11:08 11:11:08 20 May 2023w 17、一个人即使已登上顶峰,也仍要自强不息。11:11:08 上午11:11 上午11:11:08 5月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看专家告诉