检测车流量

关键词： 交通流量 车流量 检测

检测车流量（精选九篇）

检测车流量 篇1

随着现代社会的不断进步,交通运输的保障重要十分突出,对交通管理的要求越来越高,因此,智能交通系统ITS(Intelligent traffic system)的产生与发展十分必要。实时获取交通车流量的车辆检测技术是ITS的基础。传统的交通流量信息的采集方法有:感应线圈检测技术、雷达技术、超声波技术、视频检测技术等,这些方法存在设备成本、工作寿命、使用环境及可靠性等问题。随着计算机视觉技术的飞速发展,交通流量的视觉检测技术正以其安装简单、操作容易、维护方便等特点,逐渐取代传统的方法,成为该研究领域的一个热点。

1 检测算法的基本描述

常用的基于视频的车辆检测方法有:灰度比较法[1]、帧差法[2,3]、背景差法、边缘检测法[4,5]。灰度比较法采用对路面和车辆的灰度统计值来检测车辆,但它对环境光线的变化十分敏感;边缘检测法能够在不同的光线条件下检测到车辆的边缘,然而当车辆色彩较暗或位于阴影中,使车辆边缘模糊,则可能引起漏检;帧差法是将相邻两帧相减,按车道开固定窗口对保留的运动车辆信息进行检测,该方法常因车辆换道或相邻车道的车辆部分覆盖了被检测车道检测窗而引起误检;背景差法计算当前输入帧与背景图像的差值,以提取车辆,但背景图像需实时刷新。

本文在借鉴现有相关技术的基础上,提出了一种基于背景重构的车流量检测方法,并应用于公路车辆的检测上。基于背景重构的车流量检测算法的基本流程如图1所示:

2 自适应背景重构

2.1 帧图像获取

在公路上,摄像机正对公路的一个方向的车道(本文实验针对的是三车道),设备安装距地面高约6m,下倾角度约60°,摄像机每秒获取20帧图像,每帧图像都转换成灰度图像进行车流量统计。在车流量计算过程中,在帧图像的下方某固定位置人工添加了一根贯穿整个图像的水平检测线,根据车道数目设置资源灯(三车道设置三个资源灯),设置初始状态为“关”。

2.2 自适应背景重构

路面情况经常发生变化,特别是光照和遮蔽的云彩从早到晚不断发生变化,使用固定的背景必然会造成很大的误差,因此,系统要实时地进行背景重构。本文将背景差分法和帧间差分法相结合对运动目标进行检测,并实现背景的重构。用多帧图像分别与背景图像作差和帧间作差来检测光线的变化和动目标进入(不考虑摄像头抖动),实现运动目标检测并实时自动更新背景。该方法既利用了背景差分法对物体的准确提取,又兼顾了帧间差分法很强的适应性。通过多帧联合,能够准确的判断监视场景中,是否有运动的物体出现,以及是否由于光线变化而应该进行背景更新。背景更新算法步骤如下:

步骤1:初始化系统,准备图像采集;

步骤2:采用中值法,预先采入M帧图像进行背景的构造,得到背景图像Bg0;

步骤3:采集视频图像,选取阈值T,将每一帧图像Ii与背景图像作差,得到当前帧与背景帧的差分图像;

步骤4:对得到的差分图像进行预处理,采用数学形态学的开操作消去噪声;

步骤5:对处理过后的差分图像进行判断,看是否存在大片差分值为1并连通的区域,若存在,则这个区域是发生变化的区域。

(1)如果不存在这样的变化区域,就视为没有动目标出现,也没有产生强烈的光线变化。此次判断结束,继续读入下一帧图像。

(2)如果存在这样的变化区域,原因是动目标进入或光线变化,先不予判断,将这一帧图像存储,继续采集下一帧图像Ii+1,并把它和背景图像Bg0作差,对差分图像Di+1预处理和扫描,判断是否存在这样的变化区域。若不存在这样的变化区域,则认为之前是瞬间的光线变化,不作任何响应。若存在这样的变化区域,则将Ii+1存储起来,继续读取下一帧图像Ii+2。

(3)对Ii+2同Ii+1一样处理,如果Di+2经过预处理和扫描判断之后,不存在变化区域,则认为之前变化是受瞬间光线变化的影响,不予相应。如果存在变化区域,则将Ii+2也存储起来。

(4)将Ii和Ii+1作差,Ii+1和Ii+2作差,C10=丨Ii+1-Ii丨,C21=丨Ii+2-Ii+1丨,分别对C10和C21进行图像预处理和扫描投影,如果发现变化区域,就认为发生变化的原因是有动目标进入,报警。如果没有发现变化区域,就认为发生变化的原因是光线的骤然变化(而且该变化是持续下去的)。

(5)选择Ii+2作为临时的背景Bg1替代原始背景Bg0。

(6)继续检测,并在同时存储接下来的M帧图像,采用中值法进行背景的重构。等到重构结束,用新的背景替代临时的背景Bg1。

2.3 背景差分及检测判断

将当前帧灰度图像减去背景灰度图像,得到只有动目标的动目标灰度图。在水平检测线位置,从左到右进行扫描,若存在连续的N个像素点灰度值均大于某个阈值,就判断可能有车辆经过检测线,继续下面的处理;若不存在,则放弃本帧图像,并将所有状态为“开”的资源灯设置为“关”。

3 车流量统计

3.1 车影消除

不考虑汽车影子的影响,直接将汽车及其影子都进行提取,很有可能影响并行车辆的区分和计数,所以需要去掉车影。文献[6]中提出了一种基于直方图和聚类技术的影子判别与去除方法,但其应用范围是拍摄位置较低且拍摄角度接近水平的情况,此时拍摄出的影子比较细长、接近地面使得多物体易于分割,不符合本文的应用条件。基于此,提出了一种基于边缘特征的车影消除算法,具体步骤描述如下:

步骤1:对动目标灰度图进行边缘检测。经过观察,位于车身两侧的车影在水平方向上存在一定的灰度阶差,但在竖直方向上,几乎没有灰度差。因此仅考虑竖直方向上的边缘检测,只要将每个像素点的灰度值用其下一行相同列的像素值减去当前像素点灰度值的差代替即可,设M为行数,N为列数,则:

步骤2:根据经验阈值将边缘检测后的图像进行二值化,得到二值图像。可以得出这样的结论:经过上述两步的处理,图像中的车影部分基本上只留下上下两条边缘线,而汽车的边缘特征比较丰富。

步骤3:使用一定大小的模板(经过多次实验,采用10×N1的模板,大小为车辆长度的1/4)对二值图像进行膨胀,使得汽车部分被完全填充连通,而车影部分不能连通。

步骤4:使用10×N2模板进行腐蚀(N2大小一般设定为N1的1.5倍到2倍),可以将车影完全消除。随后再以1×(N2-N1)大小的垂直模板进行膨胀,得到运动车体的大致外形图像。这一流程效果参见图2。

3.2 车流量统计

对于之前划分的每一条车道,车辆检测信息分为以下4种:

(1)前一帧图像检测线上无车,当前帧图像检测线上无车,表明没有车通过;

(2)前一帧图像检测线上无车,当前帧图像检测线上有车,表明有车进入检测线;

(3)前一帧图像检测线上有车,当前帧图像检测线上也有车,表明车还压在检测线上是同一辆车;

(4)前一帧图像检测线上有车,当前帧图像检测线上无车,表明车已离开。

只需在出现情况(2)或(4)时进行计数,本文采用情况(4)时计数,即车辆第一次离线时计数。

在三车道的情况下,我们将检测线分成了三个区域段,每一段对应一个车道,即对应一个横坐标区域,在每段上设置一个资源信号灯,分别编号为1、2、3,初始状态为“关”。检测出来的运动车辆的中心位置落在哪个区域就对应哪个信号灯,具体作用方式如下:

情况(1),某段信号灯状态由“关”到“关”,计数器不变;

情况(2),某段信号灯状态由“关”到“开”,计数器不变;

情况(3),某段信号灯状态由“开”到“开”,计数器不变;

情况(4),某段信号灯状态由“开”到“关”,计数器加1。

检测线上车辆的存在与否的判定及其中心位置测定的算法具体描述如下:

对无车影二值图像逐列进行在x轴的纵向投影,由投影值判断图像中一个或多个变化的区域,然后进一步对变化区域进行横向投影以确定变化目标的位置,用矩形框框定经过检测线的那些目标。逐个考察框定目标的情况,如果某个框定目标的长和宽都不小于设定的阈值,就判断这个目标是车辆;如果不满足条件,就放弃该目标。计算判定为车辆的目标的中心位置,如果其横坐标落在某个检测段就对其对应的资源信号灯产生影响。

这一过程可以参见图3。选取的视频片断是道路交通中常见的目标范围内有多辆车且存在并行的情况。这里不考虑在检测线上发生超车的情况,即车辆在通过检测线的一段时间内,中心位置由一个车道移到另一个车道的情况。

4 仿真实验分析及结论

选取不同光照情况下的视频图像进行检测,在光照微弱的情况下,可以取得96.8%的正确率;在有光照影响的情况下,正确率为95.3%。实验证明本文的方法能有效检测道路车流量。当某一时间段内通过车辆数目较多且多数车辆有换道、追尾和压中线行驶情况时,实验容易出现错误。下一阶段可以针对这一情况进行算法改进。

针对光线变化影响公路车流量检测准确度问题,提出一种自适应背景重构方法,针对车影消除和流量统计等问题,分别设计了相应算法予以解决。实验结果表明,本文的方法在增加了一定计算开销的前提下,提高了车流量检测的稳定性和准确性,具有一定的实用价值。

摘要：在分析现有检测算法的基础上,提出了一种车流量统计算法,应用自适应背景重构方法,首先利用差分法提取动目标,然后通过先边缘检测再膨胀腐蚀的方法去除车影,最后在虚拟检测线上分区域段设置资源信号灯统计车流量。实验结果表明,本算法能够适应公路背景的变化,有效地去除了车影,统计结果准确可靠。

关键词：运动目标检测,背景重构,车影去除,车流量

参考文献

[1]陈望,陈兵旗.基于图像处理的公路车流量统计方法的研究[J].计算机工程与应用,2007,43(6):236-239.

[2]罗欣,朱清新.改进的基于边缘检测技术的车流量统计系统[J].计算机工程,2006,32(9):228-229,232.

[3]巨永锋,朱辉,潘勇.基于计算机视觉的车流量检测算法[J].长安大学学报(自然科学版),2004,24(1):92-95.

[4]张玲,陈丽敏,何伟,郭磊民.基于视频的改进帧差法在车流量检测中的应用[J].重庆大学学报,2004,27(5):31-33.73.

[5]崔星,闫清东.基于帧间差分方法的道路车辆检测系统[J].微计算机信息,2007,23(4-1):117-119.

计量站顺利开展电磁流量计检测工作 篇2

武士振

水流量室建在采油一厂文一污水站院内，主要针对油田范围内采油厂使用的大口径电磁流量计和干式高压水表的检测工作，以保证采油一线生产单位的注水精确计量工作。自去年开工建设以来，经过一系列标准装置设备调试，以及排水系统流程改造，已经达到正常的检测工作要求。近日以来，计量监测站水流量室经过认真的准备，积极开展电磁流量计及干式水表的测试工作。

由于路途较远，水流量室成员每天都早早乘车奔赴现场，为不影响文一污水站的正常水处理工作，还需要提前与一厂进行协调好测试工作事宜。油田范围内使用的电磁流量计类型比较很杂，厂家型号众多，每个厂家产品的接线方式都不尽相同，由于相当大部分电磁流量计使用年限较长，委托单位无法提供说明书，造成了无法正常开展测试工作，水流量室的技术人员通过现场请教采油厂相关技术人员、从公司网站下载产品说明书，向厂家电话联系搜集相关技术资料等措施，从各种渠道不断的积累检测知识，提高自身检测技术水平，以达到能够满足现场检测的要求。此外，面对污水介质的腐蚀性较强的特性，水流量室还加强对标准装置及附属设备的维护保养，以保证各项设备流程都能达到良好的备用状态。

大众车系空气流量传感器的检测要领 篇3

一、空气流量传感器性能的初步判定及对汽车性能的影响

空气流量传感器的故障分为两大类，一类是信号超出信号范围，表示空气流量传感器已经失效。电控单元（ECU）会以一个固定的数值来代替，或用其他传感器的信号代替（节气门位置传感器信号）。另一类是信号不准确。电控单元（ECU）会按照这一不准确的信号控制喷油量，造成混合气过稀或过浓、怠速不稳、加速不良、“回火”、排气管冒黑烟、尾气超标等故障，且没有故障码显示。

利用这一特性，关闭点火开关，拔下空气流量传感器插头，再重新启动发动机观察现象。

1.如果故障现象没有变化，说明空气流量传感器损坏。因为ECU确认空气流量传感器失效后，已采用节气门位置传感器信号，此时有没有空气流量传感器的结果是一样的，所以故障现象没有变化。

2.如果故障现象有所减轻，说明空气流量传感器的性能发生漂移，信号偏值。由于空气流量传感器信号处在有效范围内，ECU按照失真的信号控制喷油量，引起明显的故障现象。拔下空气流量传感器的插接器后，ECU认为空气流量传感器完全失效，就改用节气门位置传感器的信号来代替，所以发动机的工作状况有所好转。

3.如果故障现象有所恶化，说明空气流量传感器正常。因为拔下插接器后，ECU改用节气门位置传感器信号，其控制精度不如空气流量传感器信号，所以故障现象有所恶化。

另外，可以使用尾气分析仪测量发动机怠速工况以及2000r/min稳定工况的尾气成分，如果与标准数值相差太大，则可能是空气流量传感器信号不良引起的故障。

二、大众车系空气流量传感器故障码的特点及维修实例

1.热模式空气流量传感器（G70）失效后，电控单元（ECU）不直接给出空气流量传感器的故障码，而是通过其它故障码表现出来，通常是“00561”（混合器调整值超过调整极限）或者“17916”（达到怠速调整系统理论上限值）。

2.发动机其它部件失常可能记录空气流量传感器的故障码。在维修实践中，常见以下几种情况记录空气流量传感器的故障码。

1）节气门脏污，可能记录空气流量传感器的故障码。

一辆宝来1.8T轿车，在正常行驶中，有时仪表盘上的ASR（驱动防滑系统）指示灯突然点亮，按压ASR灯开关无效，只有关闭点火开关，重新启动发动机，ASR灯才熄灭。连接故障诊断仪VAS5051进行检测，读出“发动机系统中显示的空气流量传感器G70信号值过小”故障信息。检测G70各端子电阻，均未超过1.5欧姆。观察G70的波形，正常。更换G70无效。该车采用CAN-BUS多路信息传输系统，ABS/ASR控制单元与发动机控制单元通过CAN-BUS总线进行通信联络。一方面，节气门脏污后，节气门的开度值增大，而实际进气量没有增加，导致G70的信号与节气门的开度不匹配，因而记录G70信号值过小的故障信息。另一方面，ASR系统实行驱动防滑控制是通过降低发动机的转速以调节发动机的输出转矩来实现的，因此故障虽然表现在制动系统，但故障根源却在发动机。当节气门开度信号与空气流量信号出现偏差时，（节气门的开度大，而空气流量传感器测出的进气量偏小），ABS/ASR控制单元认为发动机减少了功率输出，正在进行驱动防滑控制，于是点亮ASR指示灯。

2）节气门位置传感器性能失常，可能记录空气流量传感器的故障码。

一辆捷达轿车，用故障诊断仪检测，读出空气流量传感器信号不合理的故障码，更换空气流量传感器无效，进一步检查节气门位置传感器，发现其最大学习值和最小学习值与规定值不符，而且不能进行基本设定。更换节气门总成（含节气门位置传感器）并进行基本设定后，故障排除。

3）氧传感器损坏，可能记录空气流量传感器的故障码。

一辆捷达王轿车氧传感器损坏后，记录空气流量传感器的故障码，其原理是：由于缺缸等原因近期燃油燃烧不完全，超出氧传感器的调节范围，造成氧传感器的信号不准，于是发动机ECU在混合气过稀和过浓之间持续的来回调节。ECU接收到的空气流量信号与氧传感器信号相互矛盾。氧传感器损坏无法调节过量空气系数与空气流量传感器信号严重漂移是一样的，ECU按照优先原则，便记录空气流量传感器的故障码。

三、空气流量传感器数据流分析

通过分析空气流量传感器的数据流，可以判断发动机进气系统是否存在漏气现象。在正常情况下，怠速时空气流量传感器信号数据为2.5g/s左右。若小于2.0g/s，说明进气系统存在漏气；若大于4.0g/s，说明发动机存在额外负荷。

一辆奥迪A61.8T轿车，发动机运转时，每隔2-3min就抖动一次，但是发动机启动和加速都正常。连接故障诊断仪VAS5052，进入01-08-02，读取数据流，第四区显示的空气流量数据在0.3-3.5g/s之间做周期性的频繁跳动。检查发现，空气滤清器壳体与进气软管连接处下部的卡箍没有安转好，造成漏气。对漏气处处理后，故障排除。

四、空气流量传感器的维修要点

1.热线和热膜脏污后的清洗

热线是否具有自洁能力的检查方法：拆下空滤，从空气流量传感器的进口处察看热线，若关闭点后开关后5s后看不到热线发出微红的光辉约1s，说明热线的自洁能力几经丧失。

热线热膜脏污后，可以在热机怠速状态下，拆下空滤的滤网，用清洗剂直接喷射热线或热膜清除积碳，热膜式空气流量传感器可以喷射清洗剂后擦拭。

2.热膜式空气流量传感器易损坏的原因及预防处理方法

BOSCH公司生产的热膜式空气流量传感器，其核心部分由一块集成电路和惠斯登电桥组成，没有稳压电路。当电源电压过高或出现瞬间高电压时，热膜式空气流量传感器容易烧坏。蓄电池硫化严重，容量下降，无法吸收发电机峰值电压也会导致空气流量传感器损坏。

预防处理方法：在热膜式空气流量传感器的前端加装一个7812三端子稳压集成电路。

3.大众车系空气流量傳感器损坏后的代用

探讨车流量检测雷达系统信号处理 篇4

随着经济社会的不断发展, 交通问题已经成为决定整个经济社会发展的重要因素之一。传统的做法仅仅是增加交通运输的基础设施投入, 这已经不再满足当前时代背景的需要。当今交通问题研究重点在于如何提高交通效率[1]。因此, 在车流量检测工作引入高技术水平的雷达系统具有十分重要的意义。

1 雷达系统在车流量检测工作中的相关背景分析

车流量的检测工作时是交通系统检测中的重要组成部分, 检测时主要是为了获取整条车道上车辆的具体信息状况, 这些车辆信息通常包含了车流量、车道占有率、平均车速以及车型尺寸等资料。车流量信息的准确获取是整个交通系统使用状况的重要基础, 当前车流量检测系统实际上是ITS系统中的子系统之一, 通过数据的收集以及设备的监控等方式, 对道路中的交通量以及车辆的速度、车流的密度等等交通参数进行实时检测与记录, 以掌握整体道路状况以及出行者的动态信息。

雷达检测系统由于自身的使用优越性, 已经被广泛运用于各大领域中, 车流量检测工程是一项非常复杂的任务, 因此, 引入雷达检测系统可以提高车流量检测的工作质量。在检测过程中, 雷达系统是通过线性调频的连续波、中频处理以及DSP技术来针对道路车流量情况进行高精度的检测。这种检测方式主要是利用了雷达波的中频信号可以测量出雷达与物体之间的实际距离这一特征, 然后再利用相关计算方法来计算分析雷达波产生的中频信号, 从而获取具体的车道信息并且进行车流量统计[2]。这个系统的设计包含了系统信号的处理、车流量数据的统计以及串口通信这三方面的软件系统。

2 车流量的雷达检测系统工作原理以及系统构成分析

2.1 车流量雷达检测系统的工作原理分析

车流量检测过程中对于雷达系统的安装主要有两种, 分为正向安装以及侧向安装这两种安装方式, 最常运用的安装系统就是侧向安装方式方法。这种安装方式中, 一套设备可以同时对双向的八条车道进行检测, 车流量雷达系统工作时微波位于24GHZ处的频段, 并且受到2kHz三角波的调制。实际使用过程中, 检测器通常被安装于马路边上的竖直高杆之上, 通过俯向下的方式向各个车道连续发射调频波, 并同时接收从各个车道中车辆所反射回的微波。此外, 安装时, 还要注意, 应当保持微波的传播方向和车辆的运动方向呈垂直状分布, 要将多普勒频移所造成的车流量统计工作的影响减少到最低程度。

同时, 每条车道中, 车辆与雷达之间所处的距离不一样, 因此, 雷达接收到的反射回电磁波和当前雷达所发射电磁波的频率之差也存在差别。所以, 必须在雷达系统中, 针对中频信号采取频谱分析措施, 以判断不同的车道所对应的频率分量强弱程度。从而准确判断出, 各个车道中是否存在车辆, 并就具体的车流量信息进行统计。

2.2 车流量检测中雷达系统的主要构成分析

在车流量检测的雷达系统之中, 一般由三个部分构成, 包括前端的天线射频单元以及中频信号的处理单元和信号的综合处理单元。具体的系统框架图如图1所示。

其中, 在天线的收发部分主要是采取环行器进行隔离发射与接收工作, 然后采取标准零拍型FMCW系统创建接收/发射机平台。同时要注意, 在这个系统中雷达的作用距离大约为60m左右, 中频信号的动态范围大约在70dB左右, 针对这种较宽的中频信号动态范围, 处理中频信号时需要采取AGC放大器, 即自动增益控制, 以确保模拟中频信号在信号处理机中可以通过A/D变换转化成数字信号以后再处理。

中频的处理单元一般是将射频器前段混频器所输出的路面信息信号进行放大以及滤波处理, 因此, 中频处理单元一般是由低噪声的放大器以及匹配滤波器这两部分构成。这是因为回波信号比较小, 经过混频之后的中频信号必须通过低噪声放大以后才可以进行下一步处理工作。另外, 有用信号的频率一般是处在一定的带宽以内, 而且容易经常出现较大幅度的三角波信号泄露情况, 所以, 必须对信号采取AGC也就是自动增益控制措施进行处理, 最终将模拟信号控制在-1V到+1V之间, 然后再输出到综合信号的处理单元。

综合信号的处理单元则是以TI公司制造的TMS320系列中的DSP技术作为核心的处理器, 利用信号调理技术, 将信号经过A/D以及FFT变换等措施对目标距离进行判断和处理, 并精确地计算出目标距离的数值。然后再以汽车行驶通过雷达照射的区域时, 时间与波形变化情况及信号处理单元里边内部定时器所记录到的数值作为计算依据, 以判断出车流量、车道占有率、车速以及车型状况等具体情况。最后, 通过DSP技术产生的收发前端信号可以调制出三角波, 然后经过D/A技术进行芯片转换, 最后再进入到后馈入前端系统中[3]。

3 车流量检测中雷达系统的具体应用流程分析

3.1 总体雷达检测系统总体作业设计

从总体上来看, 雷达系统主要是采用高速的DSP芯片定时器出现时间间隔时所产生的间断来进行检测工作。同时DSP芯片还要对ADC所收集的信号数据进行相应的频谱分析。因为, 雷达检测器一般是安装在一个比较固定的位置, 所覆盖的区域背景也比较固定, 所以, 可以实行在频域上进行杂波消除算法处理, 把有车辆经过时所产生的频谱和没有车辆经过时所产生的频谱进行频域消干处理, 然后以频谱幅度作为依据来判断车辆所在的车道, 并且分别记录好每辆车所经过的次数, 将记录到的此数除以定时器中断周期, 最终就可以计算出车流量的具体统计信息。

3.2 针对车流量检测的算法软件设计

车流量检测的算法软件开发与设计是整个车流量检测中雷达系统的核心部分之一, 这是建立在数学模型基础之上进行的, 利用数学建模的方式来处理和检测复杂的雷达信号。该算法软件的核心工作原理主要是采用DSP芯片对收集到的信号进行分析与处理, 从而获取相应的车流量信息。DSP芯片的主程序工作流程如下:系统开机之后将自动进行的系统初始化工作, 在这个流程中包括了DSP芯片的锁相环设置、EMI接口设置、定时器设置、I2C总线设置、UART参数设置以及中断设置等工作;同时还需要对外围设备实行初始化工作, 包括ADC的初始化、RTC初始化、DAC参数的设置等工作;最后再从Flash数据中读取相关的系统参数, 并利用I2C总线来读取相应的实时时钟。

DSP芯片的核心部分是一个主循环系统。每次在主循环系统内对相关信号进行采集以及频谱分析, 然后判断各个车道之内是否存在车辆, 最后统计好相应的车流量信息以及车道信息等。这些工作通常是在36 ms以内完成, 如果在执行上述指令时, 没有达到36 ms的话, 那么DSP芯片就会执行空循环操作等待。每隔36 ms就被称之为是一次检测的周期时长, 同时还要注意查询串口的接收缓冲区是否存在上位机传输过来的命令帧, 如果没有的话, 就继续执行主循环系统指令。如果有的话, 就需要从串口的接收缓冲区领域读取相应的指令并执行指令, 例如雷达连接指令以及雷达参数的设计指令等。指令执行完之后, 再继续执行主循环系统。此外, 其他程序例如三角波的发送、A/D的采样以及串口数据的接收和实时时钟的读取等, 应当分别利用MCBSP、INT0、UART以及INT1等中断措施进行。

3.3 车流量的检测与统计流程分析

Volid V exist (int a[8]) 函数主要是根据FFT测算结果来判断在检测周期以内, 即36ms以内各个车道中是否有车辆存在。检测时, 入口参数以及出口参数都被设置为a[8], 如果在a数组里里边, 出现某一个元素的值为0时, 则表示在这次检测周期中, 这个元素所对应的车道里没有车辆出现, 反过来, 如果这个元素的值是1时, 则表示在这个元素中有车辆存在。具体的车辆检测与统计图如图2所示。

图中, lane-index代表的就是车道指针情况, 而nLane代表的就是车道数量, f-index代表的是频率指针情况, freq[16]代表的就是车道频率点情况, fft-squ[]代表的则是幅度谱的平方数据组, Level[8]就是指车道门限。这个子程序工作对象就是每条车道, 主要目标是为了判断出在这条车道上对应的谱线里边是否存在门限超过的现象, 如果存在这种现象, 就可以认为是在本次的检测周期中, 这条车道上存在车辆, 如果是没有出现这种现象, 则表示在检测周期之内, 这条车道上没有车辆存在。

Volid flowcount (int a[8]) 函数, 这个函数主要是统计车道中总的车流量数据信息。每次统计车流量得主循环系统中, 都将得出在该检测周期以内的车道中是否有车辆存在。以第一条车道为例进行分析, 首先, 采用一个变量即Register1进行表示, 如果这个变量的数值为0的话, 就表示检测周期内在这条车道上没有车辆存在。如果在这条车道上有车的话, 则用数字1进行表示, 即车道状态下以Register11来进行表示。因此, 只要出现数字为0时, 就表示处于无车状态中, 数字为1时则表示是有车状态。

最后, 在进行流量计数工作时, 一般采用的方法就是:在进行主循环系统的观测时, 每次都将已采集到的实际数值作为依据, 并将据此得到的Register值赋予Register11。通过这种方式, 车道的状态会随检测周期的变化而进行改变。如果在本次检测周期里可以判断存在车辆的话, 则应当将车道状态转换成有车状态;如果在本次检测周期内, 得出的判断是没有车辆存在的话, 那就应当将车道的状态改成无车状态。只有车道的状态由无车状态转换到有车状态时, 才有车经过雷达检测的区域, 这个时候车流量才会增加。

参考文献

[1]李秦君, 党宏社.车流量检测雷达系统信号处理研究[N].陕西科技大学学报, 2011 (3) :60-62

[2]奈存亮, 张浩, 余稳, 孙晓玮.微波交通信息检测雷达信号处理系统设计[J].微计算机应用, 2009 (11) :60-64

检测车流量 篇5

下面介绍目前常用的几种车流量检测技术。

1.1 空气管道检测

空气管道检测是接触式的检测方法, 在高速公路主线的被检测点拉一条空心的塑料管道并作固定, 一端为封闭, 另一端连接计数器, 当车辆经过塑料管道时, 车轮压到空气管道, 管内空气被挤压而触动计数器进行计算车流量的方法。

1.2 磁感应检测器 (多为埋设式检测系统)

环形线圈检测器是传统的交通流检测器, 是目前世界上用量最大的一种检测设备。车辆通过埋设在路面下的环形线圈, 引起线圈磁场的变化, 检测器据此计算出车辆的流量、速度、时间占有率和长度等交通参数。

1.3 波频车辆检测器 (多为悬挂式检测系统)

波频车辆检测器是以微波、超声波和红外线等对车辆发射电磁波产生感应的检测器。

微波监测器可正挂也可侧挂, 侧挂一套设备可同时检测双向8车道, 但如道路中间有隔离带, 则需安装两套设备进行检测。

红外检测器是顶置式或路侧式的交通流检测器。该检测器一般采用反射式检测技术。

超声波检测器是根据声波的传播和反射原理, 通过对发射波和反射波的时差测量实现位移测量的设备。

1.4 视频检测器

交通视频技术是指使用计算机视频技术检测交通信息, 通过视频摄象机和计算机模仿人眼的功能。

2 车流量检测系统主要模块的设计

2.1 DS P模块

DSP芯片按用途可以分为通用型和专用型两大类。通用型DSP芯片是一种软件可编程地处理器芯片, 适合普通地DSP应用, 专用型DSP芯片则将DSP处理算法集成到芯片内部, 由硬件来实现算法, 速度快, 但通用性差, 一般适用于某些专用的场合。

TMS320C5的主要特点如下:运算速度快, 主频为160MHZ。采用了增强的哈佛结构, 芯片内设计了1条程序存储器总线和3条数:据存储器总线, 能在单周期内完成两次读操作和一次写操作。优化的CPU结构, 集成了维特比加速器, 用于提高维特比编译码的速度。存储器资源丰富, 共有64K字的双访问RAM和64K字的单访问RAM和16K的掩模ROM。智能外设, 除了标准的串行口和时分复用 (TDM) 串行口外, 还提供了自动缓冲串行口BSP与外部处理器通信的HPI接口。片内存储器TMS320C5416片上含有128KX16bit的RAM和16KX16bit的ROM, 可以分别映射为三个独立的存储空间, 即程序、数据和I/O空间。C5416具有三个CPU状态寄存器位, 影响存储器的配置, 这三个状态位是处理器模式状态寄存器 (PMST) 中的位:MP/MC, OVLY和DROM。具体影响如下:

2.1.1 MP/MC位

当MP/MC=0, 则片内ROM映射到程序存储空间;MP/MC=1, 则片内ROM不映射到程序存储空间。

2.1.2 OVLY位

若OVLY=1, 则片内RAM映射到程序和数据存储空间;OVLY=0, 则片内RAM只映射到数据存储空间。

2.1.3 DROM位

当DROM=1, 则部分片内ROM映射到数据存储空间;当DROM=0, 则片内ROM不映射到数据存储空间。

2.1.4 流水线结构

流水线与哈佛结构相关, C5416采用流水线, 以减少指令执行的时间, 从而增强了处理器的处理能力。处理器可以并行处理4条指令, 每条指令处于流水线的不同阶段。

2.1.5 中断系统

中断是由硬件驱动或软件驱动的信号, 中断信号使C5416暂停正在执行的程序, 并进入中断服务程序 (ISR) 。C5416既支持软件中断, 也支持硬件中断。其中断可以分为一下两类:

第一类为可屏蔽中断。这些都是可以用软件来屏蔽或使能的硬件和软件中断。C54x最多可支持16个用户可屏蔽中断。

第二类为非屏蔽中断。这些中断是不能够屏蔽的, DSP总是响应这类中断。C54x的非屏蔽中断包括所有的软件中断以及两个外部硬件中断RS和NMI。中断处理步骤:C5416的中断处理分如下3个步骤:1) 接收中断请求;2) 应答中断;3) 执行中断服务程序。

2.1.6 多通道带缓冲串口McBSP

VC5416提供了高速、双向、多通道带缓冲的串行接口 (McBSP) , 它可以与其他DSP器件、编码器或其他串行接口器件通信。

McBSP结构包括数据通路和控制通路两部分, 并通过7个引脚与外部硬件相连。DX为发送引脚, 与McBSP相连接发送数据。DR为接收引脚, 与接受数据总线相连接。CLRX, CLKR分别为发送、接收时钟引脚。FSX, FSR分别为发送、接收帧同步引脚。

2.2 电源管理模块

电子产品的各个单元都需要直流供电, 一个干净稳定的电源是电子产品可靠工作的必要条件。所谓干净稳定的电源就是指电源电位和地电位比较稳定, 不能有强的交流谐波分量。

对于DSP:TMS320VC5416有两处电源, 分别是I/O口信号电平控制的DVDD和核心供电的CVDD, 其中DVDD=3.3 V, CVDD=1.5 V。

对于ADC:THS1206, 这里使用到的电压三个:模拟供电电压AVDD, 数字供电电压DVDD, 和缓存器数字供电电压BVDD。其中AVDD=+SV;DVDD=BVDD=3.3 V对于ADC前置电平信号调理运放THS4022, 其供电电压范围为++5 V+15 V, 这里使用++12 V供电。

对于DAC:TLV5638, 该器件的输出模拟电压范围为0.5 V2.5 V, 为了提高精度, 并提高系统的兼容性, 这里使用3.3 V供电。

对于实时时钟 (RTC) 采用的是3.3 V供电, 并且在外部增加了外接纽扣电池, 以保证其在断电后仍可以正常工作。

对于三角波放大芯片NE5532, 使用的是++12 V供电, 以保证其2VlOV的输出范围。数字系统统一采用3.3 V供电。2.3信号采集模块

由于中频板输出的中频信号在-iv到++iv之间变化, 而选用的ADc芯片THS1206要求输入的模拟信号变化范围在1.5～3.5 V之间, 所以中频信号在送至ADC之前, 必须先经过模拟前端 (AFE) , 使得中频信号电压变化范围在1.5～3.5 V之间。

3 车流量检测系统软件总体构想

CCS (Code Composer Studio) 是TI公司推出的用于开发其DSP芯片的集成开发环境, 是DSP开发软件的一次革命性变化。它采用Windows风格界面, 集编辑、编译、链接、软件仿真、硬件调试及实时跟踪等功能于一体, 极大地方便了DSP程序的设计与开发。CCS一般工作在两种模式下, 即仿真器模式和硬件调试模式。前者可以脱离DSP硬件, 在软件环境下模拟DSP程序结构、指令及工作原理, 主要用于前期算法的实现和调试。后者属于实时在线编程, 开发的程序直接输入DSP, 依赖硬件的条件。

DSP工作流程主要是一个主循环, 在每次主循环中, 首先检测串口通讯标志变量scomm是否为0, 若为0, 表示目前不在和计算机界面进行串口通信, 比如雷达刚上电, 界面还没有发出连接雷达命令时, 这时依次进行信号采集, 频谱分析, 判断各车道有无车存在 (f_exd (reg) ) , 车流量统计 (cal_flow (reg) ) , 发送车道信息, 这些工作在36ms内完成, 36ms称为一次检测周期, 然后查询串口接收缓冲区有无界面发过来的命令帧, 若没有的话继续执行主循环, 若有的话, 先将串口通讯标志变量scomm置1, 再从串口接收缓冲区中读取命令并执行, 比如连接雷达, 然后也是继续主循环。如果主循环在开始检测到串口通讯标志变量scomm为1, 说明还在串口通信当中, 跳过车流量统计继续和界面通信, 执行界面的命令比如用户参数设置等, 直到界面最后发出接受车道信息命令时, DSP执行的操作就是将scomm变为0, 表示不再和界面进行串口通信, 下一次主循环在开始检测到scomm为0, 于是又进行车流量统计, 并发送车道信息。

摘要：在智能交通系统建设中, 车流量信息检测是一个重要的课题, 在城市道路建设、国道高速公路建设、隧道桥梁建设以及交通流的基础理论研究中占有很重要的位置。它对现代交通科学管理和决策起到了重要的辅助和量化的作用。首先综述了国内ITS采用的车流量检测技术, 其次对车流量检测系统的硬件及软件部分进行设计研究, 对DSP硬件模块, 电影管理模块及信号采集模块进行分析, 最后车流量检测软件部分主要是采用CCS语言编写。

关键词：车流量,检测,ITS,数字信号处理

参考文献

[1]刘丽萍.改进城市地图道路识别率的研究.中国科学技术大学, 2004

一种气体流量检测计设计 篇6

1、气体流量测量原理

如图所示, 在流量计传感器入口处, 安装有一固定的旋叶。该旋叶类似于涡轮流量计的涡轮, 但并不在流量计内旋转。它的作用是当流体进入流量传感器时, 在旋叶的作用下强迫流体进入旋转运动, 从而产生一旋涡流。传感器内部为锥形 (类似文丘里管) , 当涡流旋进到达收缩段时突然节流而使旋涡流加速。旋涡流的频率与介质流速成正比, 并且为线性。在传感器收缩口处安装有一个压电传感器, 可检测出涡流频率的大小。压电传感器检测的微弱电信号经电路处理, 即可输出与流速成正比的标准信号, 从而测出流量的大小。

气体涡街流量传感器接口及其信号处理是测控系统中的重要环节, 它关系到整个测控系统的成败。由于涡街流量计的优点, 为使它获得更广泛的应用, 国内外研究人员进行了大量研究工作。综合来看, 对应与目前涡街流量计应用中出现的主要问题, 涡街流量计未来改进和发展的方向主要有两个:一是采用现代流场分析技术, 分析振动噪声影响, 进一步改进压电传感器的具体结构以及安装位置, 使涡街流量计在小流量情况下的抗干扰能力更强;二是借助于日益成熟的微控制器技术, 将数字信号处理方法应用到涡街流量计来提取涡街频率, 从而提高流量测量精度并扩展量程下限。检测系统充分利用了8051单片机的软硬件资源, 使设计的系统结构简单、可靠性高、抗干扰能力很强。该系统利用8051单片机的A/D部件实现对气体压力和温度信号的检测, 经数据处理可实现对气体标准状态流量的计量。

2、涡街流量信号处理系统的设计与实现

考虑到流量测量系统低功耗的要求, 以及方便测试系统的数据管理和液晶显示控制, 因此测试系统的CPU在选型上决定使用8051负责管理A/D转换、存储器擦除、存储器的数据写入及数据/图形显示等工作。

测量管中垂直插入一个柱状物时, 流体通过柱状物两侧就交替地产生有规则的旋涡, 这种旋涡列被称为卡门涡街。涡街流量计, 主要用于工业管道介质流体的流量测量, 如气体、液体、蒸气等多种介质。其特点是压力损失小, 量程范围大, 精度高, 在测量工况体积流量时几乎不受流体密度、压力、温度、粘度等参数的影响。无可动机械零件, 因此可靠性高, 维护量小, 仪表参数能长期稳定。本仪表采用压电应力式传感器, 可靠性高, 可在-20℃~+250℃的工作温度范围内工作。有模拟标准信号, 也有数字脉冲信号输出。

从涡街传感器传来的是交变的电压信号, 而且其中包含大量的噪声和振动干扰, 所以要通过特定的电路变成微处理器能识别的电压信号, 之后电压信号经A/D转换电路进入CPU。涡街信号处理电路包括信号放大电路和滤波电路。

接收端传感器的信号比较微弱, 需要放大后才能进行处理。图2为本次研究所用的放大电路图, 其输出电压为:

第二级运放可以并联一个调相电容来做频率补偿。放大后的信号要经过频率 (33KHz) 的带通滤波电路, 以滤掉干扰信号。接收端传感器所得信号经过带通滤波后, 基本就是涡街信号了, 下一步就是滤掉干扰信号, 得到信号的频率就是涡街信号的频率。在进行低通滤波前先要进行整流环节, 由二极管D实现。带通滤波得到的信号经过整流和低通滤波后传给后面的芯片进行A/D转换。

3、数据采集与处理系统组成

选用国产11位A/D芯片TC14433。其分辨率为1/211=1/2048, 高于1/1000, 则电压信号分辨率20.65mV/211≈10μV, 相应于500℃/211≈0.24℃。平均流量分辨率, 其转换速度250ms, 超过系统采样速度一倍, 能够满足要求。由于TC14433的A/D转换结果是动态分时输出的BCD码, Q0~Q3和DS1~DS4都不是总线式的, 所以8051只能通过并行I/O口或扩展I/O口与其相连。

这里在设计中每2秒测一次4点流量, 要求分辨率为0.5。系统采样速率4次/2秒=2SPS (每秒采样次数) , 即每次采样时间为500ms。采样定理规定, 采样频率应大于被测信号频谱中最高频率的两倍。这里采用频率2Hz是可行的。

4、软件设计

主程序是软件设计的核心, 其任务是对系统进行初始化, 实现参数输入, 检查系统的模拟单元及进行数值运算等, 主程序流程图如图4。

5、结语

设计的气体流量检测计具有自校准功能, 精度较高, 操作方便, 抗干扰能力强。在不改动任何硬件的情况下, 可通过改变软件来适应各种不同气体或需求的计量。减少了测量误差, 使得测量结果具有较高的精度, 而且系统结构简单, 性能优良。

摘要：本论文介绍了气体流量检测与控制系统的软硬件设计方案。该气体流量检测与控制系统以8051单片机为核心, 采用了涡街流量变送器对气体的瞬时流量, 压力和温度信号进行采集, 经A/D转换, 采样放大, 数据处理后, 由键盘和LED显示进行输出控制。设计使气体流量检测计具有自校准功能, 精度较高, 操作方便, 抗干扰能力强等特点。

关键词：流量计,气体,检测,数据采集

参考文献

[1]孙育才.MCS-51系列单片微型计算机及应用[M].第一版.北京:科学出版社, 2004.

[2]朱德祥等.流量仪表原理和应用[M].第三版.上海:华东化工学院出版社, 1992.

公路视频中实时车流密度检测算法 篇7

关键词：固定窗口统计算法,行扫描标记算法,矩轮廓,瞬时车流量,车流密度

交通监控技术［1—10］在事件检测、交通管理和时间估计中起着至关重要的作用。目前,交通监控系统分为两类: 基于感应环探测器［1—3］和基于视频［4—10］。基于感应环探测器应用比较成熟,但是需要破坏路面; 基于视频的交通监控系统具有响应速度较快、易于安装、方便维护和监视范围比较广等优点。基于视频的交通监控系统中车辆的速度、流量和密度为后期应用( 如智能控制交通信号等) 提供参数。车流密度通过计算车流量和估计监控视域内最大车数可得。监控视域内最大车数可以通过人工方式进行设置,而车流量分为一般车流量和瞬时车流量( 或帧车流量) 。一般车流量通过跟踪［4—8］算法获得,实时性能较差; 瞬时车流量［9，10］计算每帧车辆数,实时性较好。计算车流密度使用瞬时车流量即可。

本文提出一种新的车流密度检测算法。首先提出使用固定窗口背景自动更新算法自适应获取视频背景; 其次使用背景差分法获得当前帧的前景区域、 前景掩码和背景区域; 第三提出使用行扫描标记算法用自然数标记运动区域的最大矩轮廓同时部分消除阴影; 最后统计当前帧中运动目标的数量获得车流密度。

1相关工作

正确且快速地统计车流量是车流密度检测的前提。运动车辆的跟踪是一般车流量统计算法的基础。Chirag I. Patel［4］使用基于决策树的机器学习算法限制感兴趣区域,并使用Haar级联分类器和KLT算法对运动区域的角点进行跟踪,从而实现车辆的计数和分类功能。Zehang Sun［5］提出使用Ga- bor滤波器提取车辆的特征,并使用支持向量机( SVM) 用于车辆检测。H. Y. Cheng［6］使用动态贝叶斯网络模型对车辆进行跟踪。T. H. Chen［7］对于晚上黑暗状态下司机打开前灯的视频信息进行分类和检测。J. Melo［8］使用卡尔曼滤波对车辆进行跟踪,使用聚类求得车道中心。这些方法都是基于跟踪的方法获得车流量,这些算法虽然可以较好地统计一段时间之内的车辆数,但是实时性能较差。

周世付［9］设置检测带,跟据车辆是否通过检测带来计算瞬时车流量,从而估计一般车流量。朱华生［10］按车道分别设置相应的虚拟区域来实现计算瞬时车流量。这些算法能够快速地提取车辆目标且准确统计瞬时车流量,实时性能较好。本文计算车流密度采用瞬时车流量进行计算。

鲁棒地自适应背景的获得是车流量检测完成的基础。Yoann Dhome［11］、强振平［12］、冯华文［13］和陈雷等［14］分别使用不同的高斯模型来获得前景目标。 Kinjal A Joshi［15］在运动目标识别时采用了模糊相似度测量来区分前景和背景,并可以自动更新阈值。 这些方法都使用统计模型,运算量较大。统计直方图法［16］提取出的背景较中值法好,但该算法的主要缺陷为需要保存大量信息,运算量大,提取背景速度慢; 虽然对于图像中的近景能得到较好的背景图像; 但是对于图像远景得到的远景背景图像失真; 当光照等环境因素发生变化时,由于前期背景像素值计数累计较大,新背景图像的像素值从零开始累计,更新响应较慢。多帧平均法［17］在视频中前几帧图像, 对坐标( x,y) 处的像素值求加权平均值。方法计算比较简单,仅仅将前景和背景像素值求加权平均得到背景,但是当视频中运动目标移动速度较快或运动车辆出现频繁时,会产生“鬼影”。

本文基于统计直方图法提出一种固定窗口背景自动更新算法,该方法减少了数据处理量,当背景变化时能够较快更新背景。准确获得背景之后,通过背景差分法获得前景区域经过二值化后需要对最大连通区域进行标记。目前二值图像连通区域标记算法有三类: 像素标记法［18，19］、游程编码方法［20—22］和区域生长法［23，24］。其中,像素标记法是对每个点进行扫描标记目标像素点并得到等价标记表,根据等价标记表获得连通区域。游程编码方法将直线段作为连通区域检测的基本单元。像素标记法和游程编码方法都容易生成等价对,等价对之间的匹配受目标数量影响; 区域生长法一次标记整个连通区域,它可以避免出现等价标记,不需要对等价标记进行配对,但是当区域面积较大时,算法效率下降。本文采用行标记算法求得运动区域的最大矩轮廓。

2系统概述

本系统实现了智能交通监控的车流密度实时检测。系统流程图如图1所示。

其主要步骤为:

( 1) 使用固定窗口背景检测算法自适应获得背景图像。

( 2) 使用背景差分法获得前景运动目标。

( 3) 通过将前景进行二值化处理和腐蚀膨胀操作来消除目标内部的空隙和去除微小目标。

( 4) 使用最大连通区域检测和行扫描标记算法,找出最小外截距。

( 4) 根据所设阈值再次去除较小目标。

( 5) 统计每帧的瞬时车辆数和计算每帧的车流密度。

3固定窗口背景自动更新算法

由于统计直方图法需要记录每个像素点的统计信息,进行处理时需要大量计算,且更新响应速度较慢,不能及时反映光照等条件的变化。在统计直方图的基础上进行改进,提出了固定窗口背景自动更新算法。该算法减少了处理的数据量,能快速适应环境的变化。

3. 1固定窗口

通过为每个像素点设置窗口减少计算量。窗口设为长度为MAX_QUEUE _SIZE的队列,每单元存放PX _ RECXORD结构。 Cur Pos指向队列的当前位置。PX _ Value记录该点出现的像素值,PX_count记录该像素值出现的次数。初始时将所有记录初始化为0,依次接收后续帧对应点的像素值,每接收一个像素值,就与已有的记录比较,如果队列中有相同的记录值,就将该计数点的PX_count增加1。如果队列未满,就将新的像素值插入到Cur Pos指向位置,如果队列已满,就将新的像素值替换掉计数最小的记录。Queue结构图如图2所示。

3. 2基于固定窗口的背景自动更新算法

算法描述: 每个像素点设置大小为N个单元的窗口,每个单元记录该点出现的像素值及其出现的次数。当窗口填满后,新出现的值会替换计数最小的记录,并更新背景图像。具体步骤见图3。

算法的详细描述如下。

1) 初始化

在每个像素点上设置大小为N的窗口。

2)接收第j帧图像,计算更新像素值。

(1)计算像素值及其次数。

接收第j帧图像之后,计算每个像素点的像素值( 在误差范围r内) 出现的次数。见式( 1) 。

式( 1) 中i表示窗口记录的序号,ci表示第i个记录的计数值,Ri( x,y) 表示在第i个窗口中的像素值, Ij( x,y) 表示第j帧图像坐标( x,y) 处的像素值,Tr表示允许误差范围。若Ij( x,y) 与第i个窗口记录中像素值相似,ci就会自增1。进入第2步。否则若窗口未满,在空白处记录窗口记录号和像素值Ij( x,y) 。 进入第3步; 若窗口已满,进入第( 2) 步。

( 2) 窗口记录排序。

若窗口填满,对窗口记录根据PX_count进行排序求得最小次数( min) 。进入第( 3) 步。

( 3) 更新最小次数的像素值。

将Ij( x,y) 替换最小次数的像素值,且将其次数( px_count) 改为1。进入第3步。

3) 更新背景图像

根据设置的更新速率( α ) 和窗口信息更新背景图像,见式( 2) 。

式( 2) 表示更新变化较大点处的背景像素值,α 表示更新速率,值越大,新的像素值对背景影响就越大。根据实验,将 α 限制在小于0. 3的范围内,减小了突变产生的影响。由于窗口长度较小,当背景发生变化后,在N帧后就可以得到背景,更新周期较短。

使用基于固定窗口的背景自动更新算法可以减少直方图统计的项数,也就减少了查找记录表的时间,因此本算法更新背景速度较快,效果较好。

4行扫描标记算法

二值化前景图像数据矩阵中,目标区由亮度值为255的像素点组成连通区域,非目标区域亮度值为0,通过行扫描进行标记所有最大连通区域,然后计算最小外截矩,即为车辆的矩形轮廓。最大连通区域常用算法运算量较大,需要对图像进行大量的查找和扫描操作。本节提出一种行扫描标记算法, 只通过一次行扫描,即可得到去掉部分车辆阴影的最大连通区域。

将第3节提取的背景与当前帧进行背景差分获得的运动区域二值化且经过腐蚀和膨胀之后使用本节的行扫描标记算法提取运动区域的矩形轮廓。本节介绍了最大连通区域和行扫描标记算法,并提取运动区域的矩形轮廓。

4. 1行扫描标记算法

对每一幅图像,先建立一个与图像等宽等高的二维标记表T,然后逐行扫描图像,当遇到亮度为255的点,如果邻域内没有大于零的标记,就设其标记为序号i,否则便在标记表T中将该亮点的标记设为八邻域内最小标记。因为所有具有相同标记的点组成一个连通区域,所以连通区域内的像素点的标记i就是该连通区域的标记。

算法具体步骤如下: ( 设F为将要扫描的图像, T为标记表,c Tag为区域标记)

( 1) 初始化T中的每一个元素为0,c Tag初始化为0。

( 2) 从图像T的第一行第一列开始,找到T中亮度值为255的一个像素点Pi。

( 3) 如果在二维标记表相应位置Qi的八邻域范围内存在大于零的标记,就将Qi处的标记值设为八邻域内大于零标记的最小值,否则就将c Tag自增1,并将Qi位置的标记设为c Tag。

( 4) 继续扫描图像T,找到下一个亮度值为255的像素点然后进行第( 3) 步直到扫描完图像T。

上面算法中当二维标记表中相应位置的八邻域内没有一个大于零的标记,则说明该点是一个新邻域内的点,c Tag自增1,标记了这个新邻域。本算法的关键之处是在取标记八邻域内最小标记作为这个点的标记,这样有效防止了小邻域的交叉和重叠。

图4中有3个连通区域,其中标记3是突出的点,标记为2的点构成一个小的连通区域,标记为1的点构成一个最大连通区域。3个连通区域各自确定了一个外接矩形,然后通过计算面积就可以排除一些像标记3标记的孤立点,具体计算方法见4. 2。

(a)中深色阴影部分是未扫描但存在的亮度为255的点;(b)扫描剩下的点,可以看到这些深色的点被标记“1”

4. 2最小外截矩

最小外截距定义: 位于连通区域中点的最小横坐标、纵坐标和最大横坐标、纵坐标构成的矩形。

4. 2. 1最小外截距模型

二值化图像中车辆的边缘和阴影等容易形成较大的“突刺”,可将其简化为一个交叉线模型,这个模型构成一个连通区域,然后使用上面的行扫描标记算法进行扫描标记。

在一幅320 × 240图像中画成夹角的交叉线[图5( a) ],然后标记图像[图5( b) ],图5( c) 为交叉线标记的部分表值。图5( b) 可见交叉线所形成的连通区域确定了两个外接矩形,较大的矩形包含了整个交叉线,而右上角的还有一个较小的矩形,这个矩形框包含在大矩形框的内部。图5( c) 可见,交叉线的交叉点处只有右上部分标记2,在进行行扫描时, 交叉点的八邻域中最小标记为1,当向下扫描时,交叉线下半部分都被记为1。因此,在标记车辆的二值图像时,只要二值化图像中车辆的像素点是连通的,就可以用这种方法来标记。

4. 2. 2映射表

扫描图像之后,标记好连通区域和建立标记表T。扫描标记表T,建立线性映射表( List) 统计每个连通区域内标记点横坐标,纵坐标的最小值和最大值。标记表到映射表的映射见图6。

映射表的记录结构定义:

( 1) struct TAG_RECORD { ;

(2)uint32 Min X;//最小横坐标

(3)uint32 Max X;//最大横坐标

(4)uint32 Min Y;//最小纵坐标

(5)uint32 Max Y;//最大纵坐标

(6)uint32 count;//标记计数,表示面积

(7)}。

4. 2. 3最小外截距算法

最小外截距是由最小的横坐标和最小的纵坐标组成最小外截矩的左上顶点,由最大的横坐标和最大的纵坐标组成最小外截矩的右下顶点。最小外截距的面积是映射表中的计数记录被这个标记所标记的点数。根据经验设置高度、宽度和面积的阈值过滤掉部分阴影。

算法描述如下:

( 1) 构造一个大小为最大标记值的线性映射表,将count初始化为0,Min X初始化为该帧图像的宽度,Min Y初始化为该帧图像的高度,Max X,Max Y初始化为0;

( 2) 按行扫描标记表,当遇到大于零的标记T( x,y) 时,就用该标记的坐标将映射表第T( x,y) 个元素的内容按照如规则更新:

i. count自增1;

ii.如果x<Min X,则Min X=x;

iii.如果x>Max X,则Max X=x;

iv.如果y<Min Y,则Min Y=y;

v.如果y>Max Y,则Max Y=y。

( 3) 按照( 2) 继续更新映射表直到标记表扫描结束。

根据该算法,更新完映射表后,就记录了该帧图像中所有连通区域的最小外截矩。将截取的最小外截矩画在当前视频帧中,如图7所示。从实验结果来看,车辆识别效果较好。

在图7中可见部分阴影已经被去掉。可以看到由于光照偏向左边,车辆阴影形成较大的“突刺”, 行扫描时,阴影部分和车辆虽然属于一个较大的连通区域。但是,并不在彼此的八邻域范围内,所以对每一个车辆的阴影部分都会被标记为一个新的标记值,在阴影的像素点和车辆的像素点交叉的地方,将会被较小的标记“染色”,阴影部分就会被截断,这样就将阴影与车辆分离开来。

5实验

5. 1实验环境及测试集

在PC上进行测试,硬件配置如下: Intel core i5,2. 5 GHz,内存4 G。 系统平台是: Windows 7 X64。开发语言是C + + 。开发工具: Visual Studio 2010。采用的Open CV为: Open CV 2. 48。

以公路标准测试集highway1、highway2、viptraf- fic、video进行实验。具体数据见表1。

5. 2背景提取算法比较实验

采用常见的多帧平均法和新提出的基于窗口的固定背景更新算法进行实验。根据实验结果可知, 基于窗口的固定背景更新算法背景更新效果较好, 与多帧平均法比较没有残留车辆“鬼影”。

5. 2. 1多帧平均法

根据多帧平均法求得背景图像见图8,其中图8 ( a) 是前10帧提取的背景,图8( b) 是前30帧提取的背景。由图可见背景更新较慢,且残留车辆“鬼影”。

5. 2. 2基于固定窗口的背景更新算法

窗口的长度设置为10帧。实验效果见图9,图9( a) 为采用本方法在第6帧时提取的背景,图9( b) 为第13帧时提取的背景,可见读取新帧会更新部分背景。

5. 3车流密度结果分析

使用本文算法对表1中视频集进行测试。表1中显示了数据集的总帧数、视频帧速、真实车辆数( 真实车流量和,true number) 、总正检出数( 瞬时车流量和,instantaneous flow) 和总误检出数( error number) 。另外,准确率( Ac) 定义如下:

基于表1的结果,总真实运动目标数为9 435, 准确率为95. 7% 。

为了分析交通拥挤程度,提出使用车流密度进行判断,车流密度定义如下:

公式( 4) 中的可容纳车辆数为用户设置可检测区域的车辆数。瞬时车流量使用本文算法进行检测。使用本系统对标准测试集进行检测,车流密度检测结果见图10。对图10中车流密度瞬时增大或降低的点,若3帧内值无明显变化则保留; 否则认为是奇异点将其值设为3帧的平均值。

本文采用标准视频集进行测试时,背景变化不大状态下算法的时间成本大约为每帧40 ms; 背景变化较大状态下算法时间成本增加为50 ~ 70 ms, 实时性能良好,比较适合于实时车流密度检测。

6结论和展望

使用基于固定窗口的背景更新算法提高了处理效率,并且减小了由于光照突变等对背景提取的干扰,从实验结果来看,效果较理想。在二值化的前景图像中,使用行扫描标记算法,利用图像形态学特征,标记出车辆矩形的轮廓,同时可将阴影去掉。从程序运行结果来看,该方法可行。

网络流量异常检测及分析的研究 篇8

网络使用过程中,确保网络流量的正常是网络健康有序运行的基础,是网络可持续发展的重要因素,网络流量异常检测及分析是网络及安全管理领域的重要研究内容。网络流量异常是指对网络正常使用造成不良影响的网络流量模式,引起网络流量异常的原因很多。主要包括:(1)网络攻击,如DDo S攻击、Do S攻击、端口查看等。(2)导致数据量模式改变的网络病毒,如蠕虫病毒等。(3)网络的使用问题,如大量的P2P的应用模式对网络流量造成影响。(4)网络误配置及网络存储耗尽等。

网络流量的异常检测是指在网络流量的运行过程中,针对网络流量的监测,及时找出存在流量异常的情况,并明确网络流量异常的时间节点及地点。网络流量的异常检测具有全局性、 整体性、动态性、连贯性等特点,网络流量的异常检测的目的在于及时地发现网络流量存在异常的情况,及时将风险进行有效地排除,确保网络流量运行的安全性。网络流量异常的分析是在网络流量异常情况检测的基础上,根据检测结果,有效地辨析导致异常情况的原因及所属类型,有效地诊断网络异常情况的类型。流量异常检测及分析是网络流量异常监视及响应应用的基础,便于网络及安全管理人员排查网络异常、维护网络正常运转、保证网络的安全。

1网络流量的概述

1.1网络流量数据

网络在运行过程中,势必会产生流量数据,这是网络运行的基础,也是网络流量异常检测的载体。如果网络运行不产生数据,那么就不会需要网络流量的异常检测。网络流量数据源可以分成数据包分析、网络流和SNMP统计数据。数据包分析是指流经网络或网络链路上的IP数据包进行解码分析、统计分析;网络流是在特定的源和目的端点之间的某一单向应用数据包序列的聚合,由支持网络流功能的路由器按照所转发的数据包的属性进行聚集所产生。一个网络流由一组属性唯一识别: 源IP地址、目的IP地址、源端口、目的端口、协议类型、服务类型、路由器输入接口等。网络流对数据包的信息缺乏感知能力,也就是说网络流并不涵盖信息内容,网络流也不会因为信息内容的不同而产生不同的流量,网络流只会针对信息内容的数据大小及特征来有效地辨析网络流的运行情况。这是网络流运行的主要特点,也是网络流的主要运行标准。总体来看, 数据包分析是一种网路流量数据的最典型的类型,在实践过程中,这种数据类型的运行标准较高,粒度最细,涉及到的内容非常广泛,在这种类型下,网络流量中的任何数据及相关细节都能被网络流量感应。与数据包分析相反,SNMP的数据要粗大很多,这种流量数据类型的包含内容也相对较窄,在实践过程中,这种数据类型仅仅包括一些转发性质的流量统计信息, 而不像数据包分析一样可以包含全面的数据信息。而且在数据信息的运行过程中,这种流量数据类型并不会对数据信息的特点进行记录,更无法体现数据信息的内容及相关细节。网络流的粒度大小相对均衡,它实际上的大小应该是在上述两种网络流量数据之间,与数据包分析类似,网络流的内容主要是指网络数据的特点及特质,但对网络数据信息的内容涉及不深。这三种网络流量数据在实践运用过程中各有特色,一般而言,在网络流量异常检测时,数据包分析及网络流的作用会得到体现, 这两种类型可以在网络流量出现异常情况时,可以通过对异常情况的分析与追踪,及时地诊断网络异常情况的类型。而SNMP则不具备这方面的功能,它的主要作用在于数据信息的统计工作。总之,在以上三种网络流量数据的类型中,数据包分析的作用是相对较大的,数据包分析可以较好地运用到网络流量异常情况的检测过程中,对网络流量异常情况的检测效率较高, 检测方法相对科学合理,能够有效地检测到网络流量中存在的异常情况。因此在网络流量异常检测中,多采用网络流数据包分析技术。

1.2网络流量的异常分类

网络是一个开放性的系统,在网络运行过程中,造成网络流量异常情况的类型非常丰富。网络流量一旦出现异常情况, 极有可能影响网络的安全运行,同时也会对网络流量造成严重的浪费。因此在网络流量的检测与分析中,应该有效地辨析网络流量的异常情况,做好网络流量异常情况的分类与整理工作。

1.2.1网络操作不良

在网络流量的使用过程中,因网络操作存在的故障或网络操作存在异常等情况,使网络流量出现异常。如在网络流量的运行过程中,由于网络设备的变化,特别是网络网关设备的改变等因素,都会影响网络流量的变化,使网络流量在运行过程中出现异常情况。如原来的网络设备出现故障,需要更换网络设备,在新的网络设备增加后,会在一定程度上影响网络流量的大小。因网络操作不良等造成的网络流量异常情况具备一定的特点,在网络操作的初始阶段,网络流量的异常变化是特别明显的,流量的变化也是非常急剧的,但在网络流量异常情况的初始阶段结束后,网络流量恢复了平稳,即便存在变化,其变化也是微小的,也是相对平稳的,更是不容易被人直观发现的。

1.2.2网络突发流量

当某个网络信息或内容的兴趣点较高,吸引力较大,那么网站的访问量就会突然增大。对于很多站点而言,它们的网络容量是有限的,网络的带宽和处理能力也是有限的,当服务器处于繁忙状态或者网络堵塞时,网站的性能就会下降。网络突发流量的特征是指它们会在网络中存在一定的时限,在这个时限内,新的网络用户不断地进入网络系统,从而引发了网络流量的巨大变化。可等这个时限过了之后,网路的流量恢复平稳, 很多网络站点的服务器为了应对网络突发流量,往往会在突发流量到来之际,提升服务器的性能,增加带宽的处理能力。不过由于网络突发流量具有非常明显的时间性,因此网络站点提升服务器规格及进行拓展带宽的应对方式,实质上浪费了处理能力。一般内容分发网络或者按需要计算处理设施,能够有效地应对网络突发流量。

1.2.3网络滥用

直接导致网络流量存在异常情况的行为还包括网络滥用, 网络滥用不是指网络的随意使用,而是指在网络运用中,存在着Do S/DDo S攻击和端口查看。这种网络流量的异常行为在实践中并不容易被检测出来,运用传统的网络流量检测技术,很难有效地提升检测的质量,也很难保障全面有效地网络检测。 不过运用其他的网络流量检测技术能够科学有效地将网络流量异常情况检测出来,一般往往运用网络流数据中按流计数的异常特征进行检测。

1.2.4蠕虫传播

导致网络流量存在异常情况的原因还包括病毒传播,这是一种常见的网络流量异常情况。网络流量在使用的过程中,会产生一种蠕虫的病毒,这种病毒具备一定的生长功能,可以存在病毒的网络流量进行一定的复制,从而使得病毒在网络流量中不断地传播与扩散。这种病毒的检测在实践运用中一般很难有效地检测出来,因为病毒传播的速度较快,病毒传播的范围较广,如果未采用科学全面的检测技术很难将蠕虫病毒快速有效地检测出来。因此在蠕虫病毒的检测工作中,应该在全网范围内进行安全检测,对全网的流量实行逐一的检测,并根据网络流量的特点分析,有效地辨析网络流量特点变化,对比不同的网络流量变化来有效地剔除网络流量中的异常情况。

网络流量异常检测及分析是建立在网络流量的概述的基础上的,只有明确网络流量的特征及网络流量异常情况的分类, 才能有效地真正地实行网络流量的异常检测及分析工作。

2网络流量异常检测与分析

2.1网络流量异常检测的范围

网络流量异常检测的范围不是固定的,而应该根据网络流量异常情况的特质及检测难易程度来有效地运用网络流量异常检测技术,从而确定网络流量异常检测的范围。

2.1.1全网异常检测

全网异常检测是一种相对复杂相对系统的检测工程,在全网异常检测中,应该根据全网流量的异常情况,有效地运用检测技术。因为全网异常检测的标准比较高,如果在实践中未能有效地运用相应的检测技术,那么全网异常检测的功用自然难以发挥,还会造成全网检测技术及资金的巨大浪费。因此在全网异常检测中,应该注重科学合理地选择数据采集点,由根据分析实际异常情况采集、分析全网的通讯数据包,实行全面的网络异常检测。

2.1.2链路异常检测

链路异常检测是一种局部检测,与全网异常检测不同,链路异常检测只注重在某一链路中存在的网路流量异常情况进行针对性地检测。这种检测的目的性较强,检测技术的标准相对较低,在确定的范围内,只需要运用一定的检测技术,就可以顺利地辨析网络流量的异常情况,并根据网络流量的异常情况, 及时地诊断网络流量异常情况的类型。

2.2流量异常分析的深度

2.2.1异常检测

网络流量的异常检测是指在网络流量的运行过程中,有效地确定网络流量的异常情况,并及时地检测出网络异常情况的时间及发生异常点及异常原因。针对网络流量异常检测的技术标准,并不一致,在网络流量的检测过程中,根据异常情况的特点,在未诊断出异常情况的类型时,根据特点来针对性地选择运用哪种网络流量检测技术。一般采用数据包深度分析来进行网络流量的全网检测,这种检测方法能够将网络流量的异常情况精准地确定异常点、异常原因,在什么时间节点发生了网络流量的异常情况。

2.2.2异常确定

在网络流量出现异常情况后,异常确定能够有效地辨析网络流量异常情况的特征。网络流量的异常情况往往都具备各自的特征,这种特征是网络流量异常检测的重点内容,因为网络流量的异常检测的目的不在于精准地找出异常情况,而是根据异常情况的特质及特点,来诊断网络流量异常情况的类型,以便做出及时地针对性地解决措施,保障网络流量数据的安全性, 保障网络运行的科学与高效。

2.2.3异常诊断

异常诊断是网络流量异常检测中的核心内容,在异常检测、 异常确定等基础上,人们掌握了网络流量异常情况发生的时间、 发生的地点、发生的特征,即可以对网络异常情况进行科学的诊断。异常诊断可以辨别异常情况的类型,同时还可以根据异常情况的类型,有效地找出出现网络流量异常情况的原因。在网络流量的使用过程中,导致网络流量出现异常情况的原因是多方面的,既有网络配置的原因,同时也包括蠕虫病毒等攻击。 通过异常诊断后,人们可以获知网络流量异常情况的原因,然后针对性地采取措施来解决网络流量的异常情况。

2.3实时检测与回溯检测

根据网络流量存在的异常情况,还可以运用实时检测或者回溯检测的方式。所谓的实时检测,就是在网络运行的过程中, 根据网络流量存在的异常情况,对网络进行实时的异常检测, 及时地发现网络流量的异常情况,并及时地运用相应的措施来解决网络流量中存在的问题。运用实时检测需要注意的是在检测过程中,要实时地对网络流量的数据进行采集与分析。不过现阶段实时检测的方法并不系统,检测的效果与质量也较难得到保障。因此为提升网络流量异常检测的科学性,应该积极地改良网络流量在线检测技术。回溯检测是针对网络流量的实时检测技术发展起来的。回溯检测时,无需网络运行,只需要对网络运行中的历史痕迹及相关信息数据的日志、保存的原始数据内容进行分析,就可以实现回溯检测。回溯检测与实时检测的侧重点不一样,在具体的检测过程中,所依据的数据信息也不一致,但两种检测方式都可以较好地检测网络流量中存在的异常情况。

3总结

基于网络流量异常的入侵检测技术 篇9

网络正在逐步改变着人们的工作方式和生活方式, 成为当今社会发展的一个重要主题。而与此同时网络所暴露出的安全隐患问题却日益突出。病毒、黑客几乎每天都在困挠着互联网的用户。2006年10月, 《Information Week》研究部和埃森哲咨询公司 (Accenture) 合作进行了第九年度“全球安全调查”, 调查全面揭示了商业计算环境所面临的各种威胁。在受访者当中, 有57%的美国公司表示在过去一年中曾遭受病毒攻击, 34%曾受到蠕虫的攻击, 18%经历了拒绝服务 (Denialof-Service, Do S) 攻击。另外, 网络攻击和身份窃取发生的比例分别为9%和8%。

随着网络安全问题的日益突出, 单纯的防火墙技术暴露出明显的不足和弱点, 如无法解决安全后门问题;不能阻止网络内部攻击;不能提供实时入侵检测能力等, 入侵检测系统 (Intrusion Detection system, IDS) 作为一种重要的动态安全技术, 成为防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测。IDS能够帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力 (包括安全审计、监视、攻击识别和响应) , 提高了信息安全基础结构的完整性。

本文简述入侵检测技术的概念, 着重评述基于网络流量异常的入侵检测技术及最新进展, 最后讨论该领域面临的问题及发展趋势。

1 入侵检测的概念

Aderson以“threat”的概念将入侵定义为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不可用。入侵检测是对入侵的发觉, 它通过收集并分析计算机系统和网络的有关数据来检测入侵行为。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统 (Intrusion Detection System, IDS) 。

根据采用的分析方法, 入侵检测分为:异常检测 (anomaly detection) 和误用检测 (misuse detection) 。异常检测是指利用定量的方式来描述可接受的行为特征, 以区分和正常行为相违背的、非正常的行为特殊来检测入侵。误用检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。

2 基于网络流量异常的入侵检测

网络行为学认为网络的流量行为具有长期特征和短期特征。网络长期特征表现在网络行为具有一定的规律性和稳定性。能够对局域网的流量或者某些关键主机的流量情况进行实时监测, 并进行预测与分析, 有助于判定异常网络流量, 及早发现和识别潜在的入侵攻击的发生。

网络流量异常会严重影响网络性能, 造成网络拥塞, 严重的会使网络中断, 使网络设备利用率达到100%, 无法响应进一步令。造成网络异常流量的原因可能有:网络扫描、DDos攻击、蠕虫、恶意下载、用户对网络资源的不当使用以及物理链路或者设备不能正常运转等。基于网络流量的入侵检测是识别入侵的一个的新的研究方向, 特别针对网络扫描、DDo S攻击以及蠕虫等较为有效。

入侵检测中通常用到的异常检测方法有:统计方法 (Staticstics) 、神经网络 (Neural network) 、模式预测 (Patten prediction) 、遗传算法 (Genetic Algorithm) 、序列匹配与学习 (Sequence matching and learning) 、免疫学方法 (Immunology) 、数据挖掘 (Data mining) 等等。目前出现了一些基于网络流量分析的入侵检测技术。

2.1 统计模型方法

统计方法通过分析大量的系统参数生成系统的正常行为轮廓库, 并自适应地学习系统的正常行为模式。每个行为轮廓代表一个主体的正常行为, 由一组入侵检测度量值来描述。主体的审计记录由一组入侵检测测量值来表示, 并与相关的行为轮廓进行比较, 如果两者确定的N维空间的点相差足够远, 则被视为异常。Denning描述了5个经典统计模型:操作模型、平均值和标准差模型、多元模型、马尔可夫过程模型和时序模型。

统计方法的最大优点是它可以“学习”用户的行为习惯, 从而具有较高的检测率与可用性。通过对一段时间网络安全状况下的数据包流量进行统计, 从而从宏观上建立起网络在安全状况下的周期数据包流量轮廓, 用于检测以拒绝服务攻击为主的入侵和网络扫描等异常行为。

统计方法可以利用成熟的统计理论成果, 但它对事件发生的次序及内在联系不敏感、检测系统可能被入侵者逐渐训练而将入侵视为正常行为。

2.2 小波分析与自相似特征方法

小波是近十几年才发展起来并迅速应用到信号处理和图像处理等众多领域的一种数学工具, 小波属于时-频分析的一种方法。它具有多分辨率分析的特点, 而且在时-频两域都具有表征信号局部特征的能力, 是一种窗口大小固定不变但其形状可改变、时间窗和频率窗都可以改变的时频局部化分析方法。即在低频部分具有较高的频率分辨率和较低的时间分辨率, 在高频部分具有较高的时间分辨率和较低的频率分辨率, 很适合于探测正常信号中夹带的瞬态反常现象并展示其成分, 所以被誉为分析信号的显微镜。

小波变换能有效地从信号中提取信息, 通过伸缩和平移等运算功能对函数或信号进行多尺度分析 (Multi-resolution Analysis) 。小波变换可得到低频系数 (或叫作近似系数) 和高频系数 (或叫作细节系数) , 其中低频系数反映原始信号的轮廓, 而高频系数则是反映信号的细节。根据信号理论知道, 信号中的奇异性往往是由于频率突变造成, 也就是说, 这种奇异性一般是通过频率的异常变化而反映出来, 那么只要把信号中的频率变化情况提取出来, 就可以发现信号中奇异性, 并确定奇异性发生的时间。

自相似性是指网络的负载随着时间的扩展常常表现出自相似的模式。1994年, Leland等人对Bellcore的局域网测试与分析的结果显示, 实际网络流量模型具有统计自相似性。1995年, Beran等通过对大量的不同类别的可变比特率视频流数据的统计发现, 它们也同样表现出一种长相关特性。另外, 对WAN、FASTPAC等网络的测量, 同样发现这些网络业务量表现出长相关的特性。

对于网络流量的自相似特征的研究还有很多的工作, 而且经常将他们和小波分析联系起来研究。

小波分析能将复杂的非线性网络流量时间序列分解成不同频率的子序列。基于小波分解的思想, 利用网络流量的自相似特性来对网络的异常行为进行检测, 给出了根据网络流量自相似特征参数的偏差来检测攻击的方法。首先在小波域内对网络流量进行分解, 计算表征网络流量突发性的重要参数 (Hurst指数) , 然后根据正常网络流量Hurst指数和异常网络流量Hurst指数的偏差来检测攻击, 对不同时间尺度下Hurst指数的变化进行了比较分析。

Narasimba Reddy等提出对长时稳定流的流量进行小波变换的方法发现DDo S异常。该方法利用小波变换工具放大异常信号, 提高了灵敏度, 但算法实现复杂, 且不能定位异常点。

2.3 CUSUM (Cumulative Sum) 方法

CUSUM (Cumulative Sum) 算法是在统计过程控制中常用的算法, 它可以检测到一个统计过程均值的变化。CUSUM基于这一事实:如果有变化发生, 随机序列的概率分布也会改变。通常, CUSUM需要随机序列的参数模型, 以便可以用概率密度函数来监控序列。不幸的是, 计算机网络是一个非常动态而复杂的实体, 因特网业务模型的理论结构是一个复杂的问题, 因而, 一个主要的难题是如何模拟随机序列{Xn}。而非参数方法不需要具体的模型, 更适合于分析因特网。非参数CUSUM算法背后的主要思想是:累积明显比正常运行情况下平均水平高的Xn的值。这一算法的优点之一是能以连续方式监控输入随机变量, 从而达到实时检测的目的。

在文献[3, 4]中, 提出了针对SYN FLOOD进行检测的CUSUM算法, 即基于在正常传输情况下, TCP包中SYN包与FIN包是有一定的对应关系, 运用非参数的CUSUM算法对其进行统计。由于发生SYN FLOOD攻击的时候, SYN包和FIN包的比例关系被打破, 就检测出了攻击。但文献[3]中的算法只能用于检测SYNFLOOD攻击, 而对于其他的Do S/DDo S攻击则无法检测。因为Do S/DDo S使流量的统计特性发生变化, 所以许多方法都是基于统计特性检测。文献[5]对网络洪流的检测分两个阶段, 第一阶段监视SYN的计数和SYN和其它TCP包的比率, 第二阶段在统计处理过程中使用累积和方法。它们的共同特点是在对洪流攻击的检测中均用到了C U S U M方法。

文献[6]证明了CUSUM算法具有很多其他序列和非参数检测算法中的优点, 适合应用在网络异常检测方面。同时, 文献[7]也指出该算法计算量很小, 能够完全满足实时检测的要求。

2.4 数据挖掘方法

数据挖掘 (Data mining) 是一种特定应用的数据分析过程, 可以从包含大量冗余信息的数据中提取尽可多的蕴藏的安全信息, 抽象出有利于进行判断和比较特征模型。这些特征模型可以是基于异常检测的特征量模型, 也可以是基于异常检测的行为描述模型。根据这些特征向量模型和行为描述模型, 可以由计算机利相应的算法判断出当前行为的性质。

在众多的数据挖掘方法中有几类方法对入侵检测非常有用。比如说数据分类的方法, 关联分析的方法以及序列分析的方法等等。

但是, 由于数据挖掘通常只能对离散值进行处理, 在数据预处理中要将连续属性域划分为若干离散区间, 这就导致了所谓的“尖锐边界” (sharp boundary) 问题。为了解决这一问题, 国内外一些学者提出了结合模糊集理论的模糊数据挖掘技术, 并取得了很好的效果。

数据挖掘技术的优点是可以处理大量数据的情况, 但对于入侵检测来说, 得到足够的样本是非常困难和昂贵的。

2.5 神经网络方法

神经网络是一个由简单处理元构成的规模宏大的并行分布式处理器。天然具有存储经验知识和使之可用的特性。由于神经网络适合于学习比较复杂的非线性关系, 而且它是数据驱动不断学习的, 通过学习掌握数据间的依从关系, 不需要对网络流量进行大量的数学建模工作。所以, 适合解决网络流量模式中的复杂相关性和预测中的自适应问题。

在现有的神经网络模型中, 采用较多的是多层前馈结构, 尤其是3层神经网络结构。根据不同的预测需要可以利用单个输出单元预测下时刻的流量, 也可以利用多输出单元预测下多个时刻流量或者下一时刻流量。常用的算法通常是反向传播 (BP) 算法。对于BP神经网络来说, 隐藏节点的增多可能导致过度的问题, 而过度拟合会损坏网络的学习能力, 针对只运用BP神经网络作网络流量预测的局限性, 各种改进的应用于网络流量预测的神经网络模型不断被引入:模糊理论与神经网络结合的模糊神经网络;信号处理中的FIR数字滤波器与神经网络结合的FIR神经网络;将时间引入神经网络的时延回归神经网络等。

2.6 其他方法

基于网络流量异常的入侵检测系统, 仍然处于研究的初级阶段, 还有其他一些方法如免疫机理方法、自适应Agent、遗传算法等等。目前应用到商用产品上的, 大多只是集成在防火墙上的一些简单规则或初级的入侵检测系统功能。而这些方法大都还停留在理论研究阶段, 离实际应用还有一段路要走。

3 入侵检测所面临的问题及发展趋势

3.1 入侵检测的高效智能问题

近年来, 人们对入侵检测技术进行了大量的研究和试验, 提出了很多种检测技术, 也将多种其他领域的技术引入到入侵检测领域, 尤其是异常检测技术。但大都不够成熟, 面对日益复杂的高速网络与越来越成熟的入侵技术, 检测的速度成了影响网络性能的瓶颈, 而误检与漏检率仍然困扰着人们。如何提高效率与智能, 是入侵检测的重要方向。

3.2 入侵检测的响应问题

相对于检测技术的研究, 检测的响应问题却研究的很少。大多数响应系统只是报警, 或简单的断开被入侵的主机, 这远远不能满足对实时性要求较高的用户的需求。自动入侵响应和入侵检测系统与其他安全设备的联动将是下一步发展的方向。

3.3 入侵检测的方法问题

入侵检测的方法有很多种, 而各种均有优点与不足, 单纯使用一种方法已不能满足需求, 如何综合利用几种方法进行互补以达到更高的效率是研究的一个方向。

3.4 标准化、测评等问题

面对多种多样的入侵检测技术, 如何测评其性能, 如何兼容不同IDS是一个值得研究的方向。

4 结束语

入侵检测作为防火墙之后的第二道屏障, 起着越来越重要的作用。基于网络流量异常的入侵检测作为一种新的技术, 针对DDo S、蠕虫等影响网络流量的攻击有着较为高效的检测能力, 但目前尚处于研究的初级阶段, 还面临着很大的挑战。

摘要：入侵检测系统作为防火墙之后的第二道安全防线, 发挥着越来越重要的作用。日益猖獗的DDoS攻击、蠕虫病毒、网络扫描等, 使得网络性能严重下降, 基于网络流量异常的入侵检测技术针对上述情况有着良好的检测性能。本文综述了这种入侵检测技术, 并讨论了入侵检测面临的问题及发展趋势。

关键词：流量异常,入侵检测,异常检测

参考文献

[1]Anderson J P.Computer security thread monitoring and surveillance[R].Fort Washington, USA:James P Anderson Co.1980.

[2]蒋建春, 马恒太, 任常恩等.网络安全入侵检测:研究综述[J].软件学报.2000.

[3]Wang HN, Zhang DL, Kang GS.Detecting SYN flooding attacks.IEEE Computer and Communication Society.2002.3 (6) :1530-1539.

[4]Zhu WT, Li JS, Hong PL.A router agent based distributed flood-ing detection system.Chinese Journal of Computers.2003.

[5]Seung-won Shin, Ki-young Kim, Jong-soo Jang.D-SAT:Detect-ing SYN Flooding Attack by Two-Stage StatisticalApproach.Ap-plications and the Internet, 2005.Proceed-ings.The2005Sympo-sium on31Jan.-4Feb.2005.

[6]SIRISVA, PAPAGALOU F.Application ofanomaly detection algorithms for detecting SYN flooding attacks[A].Proc.of the Con.f on Global Telecommunications[C].2004.

[7]Narasimba Reddy, Marina Vannucci, Pierce cantrell et al.WADeS;A Tool for Distributed Denial of Service Attack Detection.

[8]肖政宏, 潘梅森, 尹浩.基于网络流量小波分析的异常检测研究[J].计算机应用.2007.

[9]张剑, 龚俭.一种基于模糊综合评判的入侵异常检测方法[J].计算机研究与发展.2003.