智能入侵

关键词： 检测 入侵 行为 技术

智能入侵（精选九篇）

智能入侵 篇1

入侵检测技术是近20年来出现的一种新型网络安全技术, 能够检测出多种形式入侵行为, 是现代计算机网络安全体系的一个重要组成部分, 入侵检测的研究可以追溯到JamesP.Anderson在1980年的工作, 首次提出了利用审计数据发现入侵行为的思想。1987年DorothyE.Denning首次给出一个入侵检测的抽象模型, 并将入侵检测作为一个新的安全防御措施提出。后来, 随着对入侵检测技术的广泛和深入的研究, 科研人员提出了多种入侵检测方法, 从早期的日志审计、文件的完整性检查和异常行为的统计检测等方法[1], 到现在智能化检测技术的研究都体现了网络安全问题的日益重要和严峻。

智能入侵检测技术

1. 专家系统。

传统的采用模式匹配的特征检测算法没有逻辑推理和判断能力, 对一些有变化的攻击就无能为力, 而采用专家系统的入侵检测系统具有适应性强、可靠性强、相应快和稳定等优点, 用专家系统对入侵进行检测, 经常是针对有特征入侵行为, 专家系统的建立依赖知识库的完备性, 知识库的完备性又取决于审计记录的完备性与实时性。而入侵特征的抽取与表达, 是入侵检测专家系统的关键。在系统实现中, 将有关入侵的知识化为if-then结构, 条件部分为入侵特征, then部分是系统防范措施, 系统防范有特征入侵行为的有效性完全取决于知识库的完备性。系统通过监测系统、事件、安全记录以及系统记录和原始IP数据包的截获来获取数据。当采集到的数据显示有可疑活动时, 就会触发规则, 当可疑超过一定门限时, 即判断发生入侵行为。

专家系统可有针对性地建立高效的入侵检测系统, 检测准确度高, 但是在具体实现中, 有如下问题: (1) 专家知识获取问题:即由于专家系统的检测规则依赖于安全专家知识, 因此难以全面的构建知识库; (2) 规则动态更新问题:因为用户行为的动态性也要求专家系统有自学习、自适应的功能。

2. 数据挖掘技术。

1999年, Wenke Lee[2]给出了用数据挖掘技术建立入侵检测模型的过程。数据挖掘是从海量数据中抽取、“挖掘”出未知的、有价值的模式和知识的复杂过程。而入侵检测正是从大量的网络数据中提取和发现异常的入侵行为, 因此, 数据挖掘中的多种技术都可以应用于入侵检测系统, 例如:分类、聚类、关联分析、序列分析等。

分类技术把观察到的事件映射到预先定义好的类别中去。常见的分类算法包括:判定树、贝叶斯分类器等。使用分类技术进行入侵检测的基本思想是首先使用带类标的训练数据集对分类器进行训练, 使其能够对正常和异常至少两类事件进行区分, 然后使用训练好的分类器对需要检测的事件进行分类, 从中发现异常行为。

聚类是将物理或抽象对象的集合分组成为由类似的对象组成的多个簇的过程。同分类不同的是, 聚类对要划分的类是未知的。分类器的训练通常需要大量的有类标示的训练数据, 但在实际情况下, 提供这样的数据集是相当困难的。基于聚类的无监督异常检测方法的基本思想就是假设入侵行为和正常行为的差异很大并且数量较少, 因此它们能够在检测到的数据中呈现出比较特殊的属性。Portnoy和Eskin等人提出了一种使用无类标示数据的基于聚类的无监督异常入侵检测方法, 其方法是使用一个简单的基于距离的度量[3]方法来形成簇。该方法的优点在于对不需要对训练集进行分类, 但漏报率较高, 主要原因是该方法的性能主要依赖于训练集的好坏。

关联规则挖掘的目的就是为了发现大量数据中项集之间的关联或相关联系。用于入侵检测系统中, 关联规则挖掘可以分析标示用户的行为特征, 发现正常行为数据之间的关联, 并将其作为用户正常行为的轮廓, 可以对异常行为进行检测。

3. 神经网络技术。

目前许多入侵检测系统是基于Dorothy Denning的入侵检测模型。随着时间的推移, 这些传统的入侵检测模型的缺陷逐渐暴露[4]。其误警率高、检测速度慢、自适应能力差等, 而神经网络入侵检测系统的优点在于它并不会受到程序员的关于入侵知识的限制。能够从已有的入侵行为中进行学习, 从而掌握入侵行为的一些共性的特征。因此, 通过神经网络来构建IDS, 那么IDS就会变得更加高效, 尤其是它将具有一定的自适应能力, 去适应和跟踪入侵行为的变化, 从而有效地检测出新型的入侵模式和入侵行为。

它的主要优点表现在: (1) 神经网络适用于不精确模型, 而传统的统计方法很大程度上依赖于用户行为的主观设计, 因而, 描述偏差是引起误报的重要因素。 (2) 基于神经网络的检测方法具有普适性, 可以对多个用户采用相同的检测措施。 (3) 基于神经网络的检测方法不必对大量的数据进行存取, 精简了系统。神经网络具有自适应、自组织和自学习能力, 可以处理一些环境信息十分复杂、背景知识不详的问题, 允许样本有较大的缺陷和不足。

国内外已经在神经网络入侵检测方面取得的一些成果。K.Fox使用神经网络来进行攻击检测, 对异常检测和误用检测采用多层BP神经网络模型, 取得了不错的实验效果.A.Ghosh和A.Schwartzhard使用神经网络用于异常检测和误用检测的应用, 他们的实验结果表明基于神经网络的入侵检测模型在误用检测中工作良好。

然而, 如何提高神经网络的训练速度, 选用合适的方法对输入向量进行降维和神经网络的语义问题也是神经网络需要进一步研究的地方。

4. 人工免疫技术。

人工免疫算法在入侵检测中的应用。免疫系统的主要目的是识别体内的所有细胞, 并将它们分为自我与非自我。将免疫系统应用于异常检测时, 将自我定义为系统行为的正常模式, 因此, 观测数据中任何超过允许变化值的偏离均被看作是行为模式中的异常行为。根据信息处理的观点, 免疫系统是一个非凡的平行及分布式自适应系统, 它可用于学习、记忆、联想检索、解决识别与分类等问题。如果把网络系统看做一个生理系统, 那么检测系统实质就是实现这一系统的免疫功能与自愈功能。

Forrest等人[5]基于免疫系统中自我与非自我差异的原则, 为免疫系统开发了一个逆向选择算法, 用它来检测计算机系统内的恶意攻击。因此异常检测问题可简化为检测所观察的数据模式是否已经变化的问题, 因为数据模式的变化意味着正常行为模式的变化。这种方法可概括为: (1) 收集充分显示系统正常行为的时间序列数据; (2) 仔细审查这些数据, 决定数据模式的变化范围, 并根据所需的精度选择编码参数; (3) 在观察的数据范围内用二进制对每个数值进行编码; (4) 选择适当的能获取数据模式规律的窗口大小; (5) 将窗口沿着时间序列进行滑移, 并将每个窗口的编码储存; (6) 产生一个能与任何一种自我匹配的探测器。一旦正常数据模式的探测器产生, 它就能够尽可能地从未出现的时间序列数据的模式中检测出任何变化, 即非正常行为。

基于免疫系统的学习方法不需要中心控制器且学习时间短, 本身具有的自调节和最优化功能, 能根据接收到的数据作出决策。但是, 它需要足够的能代表系统行为的正常数据序列样本。

5. 基于agent的检测技术。

随着网络环境的日益复杂, 人们提出了用分布式的入侵检测系统来增强检测处理能力。然而, 尽管分布式入侵检测系统改善了网络抗攻击的能力, 但这种系统也存在很多的局限性, 比如局部故障会影响整体, 难以动态配置和跨异构平台工作等等。一些学者提出了基于agent的入侵检测技术, 因为Agent技术具备分布式协同处理和智能化的特点, 将之引入入侵检测领域, 正好可以弥补传统入侵检测系统的不足。

但是, 目前agent的协同工作问题, 适合于入侵检测系统的agent平台问题, 基于agent的入侵检测系统的标准化的问题也需要进一步的研究。

结束语

随着研究工作者的不断努力, 基于专家系统、数据挖掘、神经网络和免疫算法等技术的智能化的入侵检测技术已经显示出它的优越性, 这些技术都是优化技术或是模式识别技术在入侵检测领域的发展, 是下一步入侵检测技术的发展趋势。显然, 只有不断地完善入侵检测技术, 才能开发出性能更加强大、功能更加完善的入侵检测系统, 以确保网络的真正安全。

参考文献

[1]崔蔚, 任继念, 徐永红.入侵检测系统的研究现状及发展趋势[J], 西安邮电学院学报, 2006, 11, 66-69.

[2]Wenke Lee, Stolfo S J, Mok K W.A Data Mining Framework for Building Intrusion Detection Models[J].In:Proceedings of the1999IEEE Symposium on Security and Privacy, 1999.

[3]Portnoy L, Eskin E, Stolfo S J.Intrusion Detection with Unla2bel-ed Data Using Clustering[J].In:Proceedings of ACM CSS Work2shop on Data Mining Applied to Security, 2001.

[4]蒋建春, 冯登国.网络入侵检测原理与技术[M]北京国防工业出版社, 2001:25-27.

网络入侵――入侵方法 篇2

（1）对网络上信息的监听

（2）对用户身份的仿冒

（3）对网络上信息的篡改

（4）对发出的信息予以否认

（5）对信息进行重发

对于一般的常用入侵方法主要有

1.口令入侵

所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多 已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。

2.特洛伊木马术

说到特洛伊木马，只要知道这个故事的人就不难理解，它最典型的做法可能就是把一个能帮助 完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被该变，

一旦用户触发该程序，那么依附在内的 指令代码同时被激活，这些代码往往能完成 指定的任务。由于这种入侵法需要 有很好的编程经验，且要更改代码、要一定的权限，所以较难掌握。但正因为它的复杂性，一般的系统管理员很难发现。

3.监听法

这是一个很实用但风险也很大的 入侵方法，但还是有很多入侵系统的 采用此类方法，正所谓艺高人胆大。

网络节点或工作站之间的交流是通过信息流的转送得以实现，而当在一个没有集线器的网络中，数据的传输并没有指明特定的方向，这时每一个网络节点或工作站都是一个接口。这就好比某一节点说：“嗨！你们中有谁是我要发信息的工作站。”

此时，所有的系统接口都收到了这个信息，一旦某个工作站说：“嗨！那是我，请把数据传过来。”联接就马上完成。

有一种叫sniffer的软件，它可以截获口令，可以截获秘密的信息，可以用来攻击相邻的网络。

4.E-mail技术

5.病毒技术

融合多智能技术的网络入侵检测模型 篇3

互联网在快速膨胀的同时,也引发了有关安全的许多问题。研究者提出了各种安全策略,来保障互联网络的安全。单独使用防火墙作为一个基本的包过滤器,不足以提供一个安全的网络环境。

入侵检测系统配合防火墙, 可以提供一个更好、更安全的网 络。一般 来说 , 入侵检测 系统 (IntrusioDetection System, IDS) 可以通过分析网络流量 , 寻找潜在的威胁。两种主要类型的入侵检测系统是误用检测和异常检测。误用检测寻找已知的攻击,例如攻击签名,而异常是基于正常的模式而言。与正常参考模式存在显著偏差,就表明可能存在潜在威胁。误用检测和异常检测都有缺点,误用检测需要签名的频繁更新,以确保良好的检测,而异常检测容易导致较高的误警率。因此,面临的挑战是避免这两个问题并拿出解决方案,可以提供一个良好的精度,同时保持较低的误警率。

各种智能模型已经用于入侵检测,其中包括神经网络,支持向量机和人工免疫系统;也有研究者通过统计方法来解决入侵检测问题的;也有使用图方法的,比如联合树对于隔离正常模式和攻击模式非常有效,联合树的优点是它能够说明属性之间的相互关系。

近年来,集成多分类器的方法被广泛地用来解决许多分类问题,包括入侵检测系统。只要有适当的投票机制和权重分配,多分类器系统能够提高分类精度。但是当处理诸如网络流量巨大的领域问题时,计算资源和时间会受到很大的影响。

本文的目的是为了解决入侵检测系统的准确性和误警率问题,我们采用两种方式。首先是选择表达网络流量模式的主要特征,然后基于不同的学习范型构建多个分类器,最终形成一个集成分类器模型。选择了三种智能计算技术来开发分类器,它们分别是线性遗传规划(Linear Genetic Programming, LGP)、自适应神经模糊推理(Adaptive Neural Fuzzy Inference System, ANFIS)和随机森林(Random Forest , RF)。

2 智能计算技术

网络流量数据通常与大容量、多领域相关联,需要入侵检测系统的仔细分析和辨别。为了减轻开销问题,在对数据分类前先进行特征选择。此外,必须要选择表达每个流量类别的显著特征以找到入侵模式的共同特性。但是这些特征往往隐藏在不相关的特征中,有的特征还存在假相关,其中的一些特征也可能是多余的。

因此,特征选择的目的是从一些看似无关紧要的特征中揭露那些隐藏的显著特征。这样就可以实现一个快速、准确的分类器。然后,使用三种不同的机器学习技术来构建集成多分类器系统,这三种技术是线性遗传规划(LGP)、自适应 神经模糊 推理系统 (ANFIS) 和随机森 林(RF)。综合这几种智能技术 ,旨在提高入侵检测系统的性能。

下文将简要介绍一下这些技术。

2.1 预处理

在本文的研究工作中实施的特征选择过程,使用了粗糙集 (Rough Set) 技术和二 进制粒子 群优化算 法(Binary Particle Swarm Optimization), 采用分层方式 ,形成一个二层的特征选择过程。特征是基于每一个特定的类而获得的,每一个类有一个特征集。二进制粒子群优化算法采用启发式技术,初始候选特征为41维,粗糙集技术被用于消除冗余特征, 保留每个流量类(Normal、Probe、Do S、U2R、R2L) 的最显著的15维特征 , 这15维特征称为原始特征的约简。

2.2 二进制粒子群优化算法

粒子群优化算法是通过模拟鸟群觅食行为而发展起来的一种基于群体协作的随机搜索算法。每个粒子与速度有关,当粒子在搜索空间中飞行时,粒子的速度根据每个粒子的历史行为和邻居而调整。因此,粒子具有朝着越来越好的搜索区域飞行的趋势。粒子的速度和位置的计算说明如下:

C1和C2是正数常量,叫做学习速率;rand()和Rand()是两个随机函数 ,取值范围为 [0,1];w是惯性权重 ,合适的权重可以取得全局与局部之间探索平衡;Xi=(xi1,xi2,…,xid)代表第i个粒子 ,Pi=(Pi1,Pi2,… ,Pid) 是第i个粒子的前一个最优位置。

本文使用两层粒子群优化算法来决定每个特征是否应该被选择出来作为分类的特征。先使用基于粗糙集的离散 粒子群优 化算法 (Discrete Particle SwarmOptimization),来挑选显著特征 ,将每个类的初始42维特征缩减到15维。然后在此基础上使用二进制粒子群优化算法,最终的特征维数在6到8之间,大约缩减了80%的特征。

2.3 多智能集成分类

集成多分类器的有效性依赖于决策融合函数, 在确定决策函数时,需要考虑分类器的差异性。本文通过集成三种不同的机器学习技术来构建集成多分类器系统,这三种技术是线性遗传规划(LGP)、自适应神经模糊推理系统(ANFIS)和随机森林(RF)。综合这几种智能技术,旨在提高入侵检测系统的性能。决策融合函数的确定,是基于各个单分类器的检测性能,及整个系统的准确率。

2.3.1 线性遗传规划

最近在遗传规划方面的事态发展,包括通过使用线性基因构建机器代码指令来提高速度,以及同源交叉运算激发了研究者在网络安全问题方面的应用研究。遗传算法也是计算机科学人工智能领域中用于解决最优化的一种搜索启发式算法,是进化算法的一种。

这种启发 式通常用 来生成有 用的解决 方案来优化和搜索问题。 进化算法最初是借鉴了进化生物学中的一些现象而发展起来的,这些现象包括遗传、突变自然选择以及杂交等。遗传算法在适应度函数选择不当的情况下有可能收敛于局部最优 ,而不能达到全局最优。

线性遗传规划是遗传规划的一个变种,是遗传规划使用计算机程序的一个特定的线性表示。与基于树的遗传规划相比的主要不同是进化单元不是功能性编程语言的表达式,而是命令式的语言程序。文献[5]进一步证明了三种遗传规划变种算法在入侵检测系统中的识别能力,其中多表达式编程在除了对Probe和Do S攻击的其他情况下表现出较高的识别能力。

同时, 遗传规划算法还能获得较低维数的显著特征,分类精度可以达到95%以上。文献[4]还指出,由于具有较快的检测速度和较高的检测精度,遗传规划可以应用于实时检测领域。如果种群规模、交叉率、变异率等参数选择恰当,线性遗传规划要优于支持向量机和人工神经网络。

2.3.2 自适应神经模糊推理系统

由于特征和网络流量数据的本质之间存在复杂的关系,正常数据和入侵数据之间存在灰色边界。因此,近年来模糊推理系统被部署在入侵检测系统中,作为入侵检测的重要方法之一。

模糊推理是从不精确的前提集合中得出可能的不精确结论的推理过程,又称近似推理。有两种基本的模糊推理系统:Mamdani模糊推理模型和Sugeno模糊推理模型,两者的主要区别在于对输出的界定。Mamdani模糊推理模型通过事先掌握的一组推理规则,实现从输入到输出的推理计算,从而建立准确的辨识系统。下面给出一个Mamdani模糊推理规则的例子:if (x is high)then (y is small),它是一种语言形式。

与Mamdani模型相似,Sugeno模型的推理规则的前提部分是语言形式,但是规则的结论部分却是一个非模糊的等式,如:if (x is high) then y=f(x),其中f(x)是模糊输入变量x的函数。

本文的自适 应神经模 糊推理系统 采用Sugeno模型。与Toosi和Kahani的工作相似,之所以采用自适应神经模糊推理是因为对不同的数据变种, 成员函数参数的选择非常困难。自适应神经模糊推理是一种融合了神经网络的学习能力的近似推理方法, 学习机制采用混合监督学习方法, 自适应神经模糊推理的结构如图1所示。

自适应网络是一个多层前馈网络,分为五层,其中的方形节点需要进行参数学习。

第一层计算输入变量的匹配度,即模糊化过程;

第二层计算当前输入对各条规则的激励强度,采用对规则前件部分各模糊变量的隶属度作乘积运算;

第三层对激励强度进行归一化;

第四层计算每条规则的输出,一条规则的输出是给定输入对该条规则的激励强度与结论部分的乘积;

第五层计算模糊系统的输出,总的输出是所有规则输出之和。

2.3.3 随机森林

随机森林是未修剪的分类树或回归树的集合,是一个包含多个决策树的分类器,并且其输出的类别是由个别树输出的类别的众数而定。

Leo Breiman和Adele Cutler发展出随机森林的算法,随机森林学习算法如下:

1) 用N来表示训 练例子的 个数 ,M表示变量 的数目;

2)使用数m,用来决定当在一个节点上做决定时 ,会使用到多少个变量,m应小于M;

3)从N个训练案例中以可重复取样的方式 ,取样N次,形成一组训练集(即bootstrap取样),并使用这棵树来对剩余预测其类别,并评估其误差;

4)对于每一个节点,随机选择m个基于此点上的变量,根据这m个变量,计算其最佳的分割方式;

5)每棵树都会完整成长而不会剪枝。

由于随机森林学习算法具有低的分类错误率,以及对特征的排序等特点,随机森林被用于多个领域,比如建模、预测以及入侵检测系统。

3 实验设置

实验采用KDD Cup 1999数据集,是KDD竞赛在1999年举行时采用的数据集。收集了9周时间的TCPdump网络连接和系统审计数据 ,仿真各种用户类型、各种不同的网络流量和攻击手段,使它就像一个真实的网络环境。这些TCP dump采集的原始数 据被分为 两个部分 :7周时间的 训练数据, 大概包含5,000,000多个网络连接记录,剩下的2周时间的 测试数据 大概包含2,000,000个网络连接记录。

一个网络连接定义为在某个时间内从开始到结束的TCP数据包序列,并且在这段时间内,数据在预定义的协议下(如TCP、UDP)从源IP地址到目的IP地址的传递。每个网络连接被标记为正常(Normal)或异常(Anomaly),异常类型被细分为四大类共39种攻击类型,其中22种攻击类型出现在训练集中,另有17种未知攻击类型出现在测试集中。

四种异常类型分别是:

1)Do S (Denial-of-Service) 拒绝服务 攻击 , 例如ping-of-death, syn flood, smurf等;

2)R2L (Remote to Local) 来自远程主机的未授权访问,例如guessing password;

3)U2R (User to Root)未授权的本地超级用户特权访问,例如buffer overflow attacks;

4)Probe (Probing and Surveillance)端口监视或扫描 ,例如port-scan, ping-sweep等。

实验中选择了5092个样本作为训练集,6890个样本作为测试集。样本的组成保持了KDD Cup 1999的真实分布,具体情况如表1所示。

实验流程如图2所示, 获取显著特征的过程离线完成,每一个分类器(线性遗传规划LGP,自适应神经模糊推理系统ANFIS, 随机森林RF) 都使用相同的训练集。

用离散粒 子群优化 算法 (Discrete Particle SwarmOptimization)来挑选显著特征 ,将每个类的初始42维特征缩减到15维。然后在此基础上使用二进制粒子群优化算法,特征选择的过程可以参见。得到的特定类别特征如表2所示,最终的特征维数在5到8之间,大约缩减了80%的特征。

表格3给出了ANFIS分别在迭代100、300和50次时的错误率,可以看出最佳的迭代次数是300。迭代次数在300以上时, 错误率并没有因为迭代次数的增加而降低。实验中采用钟型隶属函数,并将其实验结果与其他两种类型的隶属函数 (梯形隶属函数和高斯隶属函数)对比,结果表明钟型隶属函数更适合本文的研究工作。

分别使用5个自适应神经模糊推理系统来处理5种类型的网络流量数据, 由于通过特征选择阶段的处理,特征被显著约简,推理规则数目从25-28,规则的数目远低于Toosi and Kahani的241。推理规则的数量,对分类时间具有较大影响。

对于线性遗传规划分类器使用的参数如表4所示。

实验中限制1000代的编码进化,每一代平均运行20次。在对U2R攻击类型分类时,当进化到90代时就基本稳定了,更多的进化迭代并没有改善分类精度,实验结果如图3所示。

在随机森林算法的实验中, 使用3维特征作为建树时的节点分裂因子。在分类器融合前, 对每一个分类器单独进行性能评估。在分类器融合时,根据独立分类器的性能,进行权重分配。独立分类器的性能,如图4和图5所示。在尝试了多种权重分配的实验后, 得出下面的权重分配融合模型是最优的。

其中 ,0.5、0.1和0.4是权重 ,Dprob是LGPprob、ANFISprob和RFprob三个分类器的累积决策。

4 结果与讨论

每个独立分类器以及最终的集成多分类器系统的实验结果 ,如表5所示。其 中精度(Accuracy)、误警率(False Positive)和准警率(True Positive)的计算公式如下:

其中TP是对入侵数据的正确分类,TN是对正常数据的正确分类,FP是对入侵数据的错误分类,FN是对正确数据的错误分类。

每个单独分类器对每种类型的流量数据的分类精度曲线如图4所示,类别1代表正常数据(Normal),类别2代表嗅探攻击 (Probe), 类别3代表Do S攻击 , 类别4代表U2R攻击,类别5代表R2L攻击。总体来看,线性遗传规划的(LGP)的性能要优于ANFIS和RF。3种分类技术对Do S攻击的识别性能都较差, 可能是由于特征选择过程中Do S攻击的显著特征选择不够完整, 也可能是因为Do S攻击的样本数量不平衡。

每个单独分类器对每种类型的流量数据的准警率曲线如图5所示。从图中可以看出,LGP和ANFIS对U2R攻击的识别率较差,RF相对较好 。从图4和图5可以看出 ,对Do S攻击和U2R攻击的识 别较为困 难。Do S攻击数据 的样本数 量占总样 本的58.96%, 而U2R具有最少的样本 , 占比0.53%。两种数据的样本数量分处两个极端,导致数据不平衡问题,也直接导致了最终的识别性能较差。RF算法对5种流量数据的总体识别性能相对较为稳定,而LGP和ANFIS在处理样本数量不平衡的类别时性能较差。

集成3种智能技术的分类器的分类精度与3个单独的分类器中最好的LGP的分类性能对比如图6所示。由于集成分类器中的每个分类器之间性能的互补性,从图中可以看出,集成分类器的性能优于LGP, 集成分类器模型能够保持较低的误警率的同时获得较好的分类精度。

5 结束语

在本文中,我们集成三种不同的智能学习范型来提高入侵检测的精度。通过对每种学习 范型设置 相应的权重 来融合3个分类器。在实验中我们发现LGP在对各种类型的网络流量数据 (U2R除外) 分类时,分类精度最高。而RF在对U2R流量数据分类时, 取得了相对较高的准警率。因此,综合了RF、ANFIS和LGP的集成分类系统具有更好的入侵检测能力。在集成多分类器系统中,各个单独的分类器的权重取值相当重要。

生物入侵及入侵进化生物学 篇4

生物入侵及入侵进化生物学

分析生物入侵与全球变化的相互作用关系以及生物入侵的负面影响,以期为入侵外来物种的预防、控制和管理提供理论依据.同时分析了生物入侵的进化问题,尽管生物入侵已经导致全球生物多样性的严重丧失和生态系统的严重破坏,但同时也为物种进化提供了新的源泉.生物入侵过程中出现的进化可以是特定生物类群某些形态或习性上的细微调整,也可是生物学上的`巨大改变,甚至是新物种的形成,对外来入侵生物的研究,有待于向不同层次和更高水平、多学科交叉的实验与理论研究的方向发展.

作 者：方惠敏 FANG Hui-min 作者单位：安徽大学,现代实验技术中心,安徽,合肥,230039刊 名：安徽大学学报(自然科学版) ISTIC PKU英文刊名：JOURNAL OF ANHUI UNIVERSITY(NATURAL SCIENCES)年，卷(期)：30(2)分类号：Q146关键词：生物入侵 全球变化 外来种 土著种 进化

智能入侵 篇5

关键词：入侵检测:数据挖掘,移动代理,支持向量机

0 引言

入侵检测系统能够及时的发觉入侵行为并能及时做出响应, 它通过对计算机网络或计算机系统中的若干关键点收集信息并对其分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的对象。入侵检测的软件和硬件的结合构成了入侵检测系统。从数据源上可以将入侵检测系统分为三种:主机入侵检测系统、网络入侵检测系统、分布式入侵检测系统。

入侵检测主要包括数据收集、特征提取、行为分类和报告及反应四个阶段。数据收集主要是收集主机和网络的数据源, 是进行入侵检测的基础。由于收集的原始数据十分庞大并且包含许多冗余信息, 特征提取便显得十分重要。特征提取是提取数据中的反映行为状态的特征函数, 去掉冗余信息。行为分类是对特征提取的数据进行分析, 判断当前行为是否为入侵行为, 它是入侵检测中最重要的一步。报告及反应是对入侵行为做出的响应。

代理 (Agent) 是随着人工智能技术和网络技术发展产生的。Agent代理技术具有功能的连续性、自主性、适应性, 能够连续不断地感知外界及自身状态的变化, 并自主产生相应的动作。在入侵检测系统中, 利用Agent的推理机制及多Agent之间的协同工作方式, 可以完成知识库更新, 模型过程描述, 动态模型识别等功能。通过代理技术还可以实现对环境变化的适应, 充分利用网络资源, 减轻服务器主机的工作负担。在分布式入侵检测系统中引入Agent技术, 每个代理是一小段程序, 只负责监控系统的某一方面, 多个代理可以更加有效工作。代理之间相互独立, 可动态地加入系统或从系统中移出, 使系统具有良好的可移植性, 同时又对网络系统和主机的资源占用较低, 减少了出现网络传输瓶颈的可能性。

1 数据挖掘在入侵检测系统中的应用

入侵检测模型的建立方式包括手工编码和机器学习两种。早期的基于知识的入侵检测系统需要安全领域专家首先将攻击行为和系统弱点进行分类, 针对检测类型监测类型选择统计方法, 然后人工进行代码输入, 建立相关的检测规则和模式。由于网络系统的复杂性和新的攻击方法的层出不穷, 专家知识显得缺乏足够的精确性和完备性, 导致了系统的漏报率和误报率的增加, 检测的有效性不高。由于专家规则和统计方法通常需要特定的系统环境的支撑, 当环境改变, 需要制定新的规则, 导致了系统的可扩展性差。而且, 随着网络规模的日益扩大, 入侵检测系统需要分析的数据量十分庞大, 仅靠专家的人工分析十分困难。

面对如上的困难, 如何建立具有较强的精确性、有效性、可扩展性的入侵检测系统成为入侵检测领域中的重要研究课题。哥伦比亚大学Lee等人提出以数据为中心的思想, 利用数据挖掘在有效利用信息方面的优势, 将入侵检测视为一类数据分析过程, 研究审计数据建模的可行性和有效性, 并构建出检测模型。与此同时, 哥伦比亚、纽约州立大学、佛罗里达理工学院相继将数据挖掘引入入侵检测进行研究。与国外相比, 国内这方面的起步较晚, 并且国内对入侵检测系统的研究更多的偏重于理论, 实现的较少, 只有少数的入侵检测软件问世。如上海金诺公司的kids3.3入侵检测系统、中联绿盟的“冰之眼”。这方面的理论研究有: (1) 数据挖掘方法中的聚类算法应用于入侵检测系统中, 提高了系统检测的效率。 (2) 采用移动代理技术和P2P结构的入侵检测系统, 避免了当前分布式入侵检测系统存在的单点失效和传输瓶颈的问题, 提高了系统自身的安全性和各节点的协同检测能力。 (3) 基于人工免疫原理, 利用移动代理技术设计了一个更加可靠的入侵检测模型。引入可印数字水印技术保护代理之间传输的免疫数据, 保证了各个代理节点之间记忆代理的安全通信。

2 基于数据挖掘的智能入侵检测系统

2.1 系统的整体设计

针对现有分布式入侵检测系统组件之间依赖程度大、网络负载重、系统的适应能力差以及入侵检测系统的智能性差等问题, 提出了一个基于数据挖掘的智能入侵检测系统模型。构成该模型的组建主要是由代理组成, 代理间功能相对独立, 同时可以根据环境的变化灵活、智能的完成任务, 具有学习性、知识性、自主性和相互合作性。系统采用数据挖掘技术实现入侵检测系统的智能化, 当出现新的攻击方法时, 系统能识别入侵并自动扩充规则库, 实现系统的自主学习。

在这个入侵检测系统中, 主要采取数据挖掘技术对事件序列数据进行处理, 挖掘出正常和异常行为规则, 并构建出规则库以及实现规则库的扩充, 在此基础上实现入侵检测。对系统采集得到的数据先做一个初步的预处理过程, 生成可用于数据挖掘的训练数据。接着对训练数据使用K-M E A N S聚类算法对训练数据做进一步的预处理。预处理一方面可以减少构造支持向量的时间, 另外聚类的目的就是把数据分成多个族, 进而分析各个族中数据的特性。然后用SVM训练算法对已经标出分类结果的数据集进行训练。训练出的SVM分类器用于实时的入侵行为的检测。

2.2 基于数据挖掘的智能入侵检测系统模型的设计

图1是基于数据挖掘的智能入侵检测系统模型示意图。该系统采用了多Agent结构, 由数据采集Agent, 检测Agent, 数据挖掘Agent, 通信Agent四部分构成。系统的工作原理:数据采集Agent收集本地系统的数据和通过该节点的数据包, 存入本地数据库。然后对数据进行过滤、格式转换等预处理, 再送入数据挖掘Agent进行分析, 所得到的规则存入规则库。并通过通信Agent将新的规则发送给各个检测Agent和各个网络节点, 使规则信息得到同步。检测Agent负责检测任务, 既可以独立也可以通过通信Agent与其它检测Agent协作完成检测任务。系统响应部件根据检测Agent得出的结果做出响应, 并把信息反馈给规则库。

系统的各个模块功能如下:

(1) 数据采集Agent

数据采集Agent主要负责采集流经主机网络适配器端口的网络数据包并存入本地数据库。它是防止数据包流失的关键, 也是入侵检测的基础。作为系统的底层组件, 它们没有交互行为, 只负责处理自己所在受控主机的数据包。

(2) 数据挖掘Agent

数据挖掘Agent是基本的挖掘单元。可以使用各种挖掘算法进行对数据的分析。在此系统中应用聚类和支持向量机算法对数据进行分析, 从中提取有关行为特征和规则, 建立异常模式和正常行为轮廓, 从而建立检测模型, 并存入规则库中。应用支持向量机算法的优势在于它是一种基于小样本的, 高推广能力的算法, 这就解决了海量数据下系统学习能力差的问题。

(3) 通信Agent

通信Agent是基本的通信单元, 是数据传输的中介。通信Agent负责记录检测Agent、本地数据库和数据挖掘Agent的信息, 并负责与其他通信Agent的联络。通信Agent主要分为两种类型, 一种是基于网络的通信Agent, 分布在网络各个节点处, 负责与其它基于网络的通信Agent的通讯。另一种是基于主机的通信Agent, 负责主机内部各个模块之间的通信以及与基于网络的通信Agent的通讯。

(4) 检测Agent

检测Agent是基本的检测单元, 负责系统的检测任务, 可以独立的完成监测任务, 也可以通过通信Agent与其他检测Agent协作完成监测任务。

这个入侵检测系统框架, 因为采用多Agent结构, 充分的利用了代理的优势, 使系统的可扩展性, 可移植性增强;数据挖掘技术的引入, 使入侵检测系统具有自主学习、实时扩充规则库的能力。总的来说, 这个基于数据挖掘技术的入侵检测系统框架, 可以分布在网络中任意数目的主机上, 实现数据收集、入侵检测和实时响应的分布化, 具有分布式体系结构、灵活的代理体系和实时的学习功能等特点。

3 结束语

随着网络技术和网络规模的不断发展, 入侵检测系统在计算机网络安全体系中发挥着日趋重要的作用。本文作者创新点在于引入了一个基于数据挖掘的智能入侵检测系统模型框架, 重点论述了数据挖掘、Agent技术在IDS的应用。数据挖掘技术的引入, 使入侵检测系统具有学习能力, 这使IDS在入侵检测的同时进行学习并及时地扩充规则库, 从而提高入侵检测系统的自适应性和扩展性, 及入侵检测的效率和准确性。不过这个系统模型仅仅是个早期的模型, 还有许多不足的地方, 还需要进一步的改进和完善。我们下一步的工作是:增加入侵响应方式和预警技术的协同处理。

参考文献

[1]厉剑.入侵检测系统分析.网络通信与安全[J].2007.

[2]饶鲜, 李斌, 杨绍全.支持向量机在入侵检测中的应用[J].计算机工程与设计.2007.

对变电站防入侵智能布防系统的研究 篇6

1 装置介绍

1.1 智能驱鼠器

智能驱鼠器是利用专业的电子技术设计, 结合科学工作者对鼠类的研究, 研制出的能产生20~55 k Hz超声波的一种装置。它产生出的超声波能够有效刺激鼠类, 让它们感到不安, 受到了威胁。应用该设备是为了创造一个无鼠、无害虫的优质空间, 使害虫、老鼠等无法生存, 无法在防治区内繁殖生长, 迫使它们自动迁移, 从而达到根除老鼠、害虫的目的。虽然该设备产生的电磁波只有几赫兹, 但它具有Zig Bee智能控制功能, 可以实现无线组网, 而且设备之间以节点续传的方式接力传递数据, 可以实现对设备的统一管理和相关信息的上报等。设备所用的Zig Bee模块是由美国FCC认证的, 它不会产生电磁干扰, 在不组网的情况下也可以独立工作。

智能驱鼠器是由AC220 V供电, 内置Zig Bee组网模块。而Zig Bee组网模块是Zig Bee网络中的一个节点设备, 它可以接收集中控制器发出的布防命令和撤防命令, 即打开或关闭电源控制驱鼠器的工作状态, 完成实时通信。

1.2 智能捕鼠器

这是利用老鼠喜好钻洞、喜好阴暗环境的特性为其量身定制的一个“黑洞”。将该设备放置在老鼠日常活动的必经之路捕杀它, 利用机械原理达到目的。待设备捕捉到猎物后, 会发送信息告知后台系统, 提醒工作人员处理现场。

智能捕鼠器内部结构复杂, 有一个入口, 里面是斜向上的一块金属踏板, 相当于跷跷板两端中的一端, 一端有一个金属片卡扣, 可以锁住平衡板使其无法向上抬起。金属片卡扣只能朝捕鼠器里面的方向打开, 反方向是无法打开的。这样, 进去的老鼠就无法再出来。没有老鼠时, 鼠笼入口会打开, 引导老鼠进入。当老鼠进入这个入口后, 它会沿着鼠笼平衡板向上爬, 当其经过平衡板中心后, 受重力作用, 平衡板会向卡扣端倾斜下压。这时, 卡扣就会锁住平衡板, 而入口端也会被抬高堵住, 进来的老鼠也就无法原路返回, 只能继续向捕鼠器里面爬。待老鼠推开金属片卡扣, 经过平衡板的卡扣端, 根据杠杆原理, 入口端会重新下压恢复到入口打开的状态, 金属片卡扣又会恢复到下垂的状态。

1.3 智能驱蛇器

由科学研究可知, 蛇的腹部对振动非常敏感, 微小的振动蛇都可以感觉到, 所以, 智能驱蛇器就是根据振动波发射原理研制出来的。这个设备具有Zig Bee智能控制功能, 可以实现无线组网, 而且设备之间是以节点续传的方式接力传递数据的, 能够实现设备的统一管理和信息上报。该设备选用的Zig Bee模块是由美国FCC认证的, 它不会产生电磁干扰, 在不组网的情况下也可以独立工作。

1.4 无线集中控制器

无线集中控制器是系统的核心, 其内置无线通信模块, 可以利用无线信号控制驱鼠器、驱蛇器、捕鼠器工作, 并接收来自各测点的Zig Bee无线数据, 通过网络或GPRS通道向后台管理软件传送布防点的数据信息。因为采用的无线通信技术支持自组网, 所以, 一个控制器可以接收和管理多个节点, 具备较强的扩展能力。在工作过程中, 用户可以自由地增加或减少节点, 也可以更换集中器, 且不需要任何配置, 使用起来方便、灵活。无线控制器是用Intenet与后台服务软件通信的。

无线集中控制器有2 个作用:1将布防、撤防数据上传到服务软件中;2监测现场其他设备的工作状态, 根据遥控器发出的控制信息启动和停止现场的相关设备。

1.5 后台管理软件

后台管理软件主要是用来查看系统的工作状态, 记录现场布防、撤防信息, 同时, 还具有远程布防、撤防的功能。另外, 该软件可以显示历史数据、记录设备状态、记录现场温湿度信息、抓到小动物后报警并短信提示等。

2 项目实施情况

变电站防入侵智能布防系统是驱赶老鼠等动物的电子布防设备, 它是一种高效的防范手段, 能够有效减少电网短路事故的发生。

在实际工作中, 可选择一个变电站作为试点完成相关研究和测试工作, 保证其在站内成功试运行3 个月以上。由于设备均为便携式的, 无需安装, 操作起来非常方便。无线控制器是系统的核心, 内置无线通信模块, 可以利用无线信号控制驱鼠器、驱蛇器、捕鼠器工作, 并接收来自各测点Zig Bee的无线数据, 通过网络或GPRS通道向后台管理软件传输测点的数据信息。因为Zig Bee技术支持自组网, 所以, 一个控制器可以接收和管理多个节点, 并且可以即插即用。而用户也可以自由地增加或减少节点、更换集中器, 不需要进行任何配置, 使用起来方便、灵活。

3 系统特点

该系统采用的是全电子便携式设计, 与传统的驱鼠驱蛇设备不同, 系统的子设备内嵌有太阳能板或由电池供电, 电路设计具有遥控、遥信和遥测功能。它的特点是:1设备安装便捷, 即插即用。2各个设备可按需灵活搭建, 集中控制, 远程管理。3使用相关设备时不可以破坏生态环境。该系统主要是破坏动物的生活习性, 让动物烦躁, 阻止其进入变电站或迫使其离开。4有双重保护作用。对于已经进入站内的蛇鼠, 要用捕鼠器、捕蛇器捕捉它们, 防止发生电力事故。5有远程提示, 当有动物被捉时, 系统会立即通知管理员清理现场。

4 结束语

虽然防止小动物进入变电站是一项简单的维护检查工作, 但是, 它具有特殊性、长期性和复杂性。为了加强对变电站的管理, 使设备能够安全、稳定运行, 通过对防入侵智能布防系统的研究和应用, 有效降低了短路事故发生的概率, 实现了安全生产的目标, 营造了安全的生产环境。

摘要：35 k V变电站防入侵智能布防系统主要是用来驱赶以老鼠为主的小动物, 达到保护电子设备的目的, 从而保证变电站的运行安全, 提高其供电可靠性。

关键词：变电站,防入侵智能布防系统,ZigBee通信,远程控制

参考文献

[1]李祥, 刘建明.面向智能电网的物联网技术及其应用[J].电信网技术, 2010 (8) .

智能入侵 篇7

提起智能建筑应用的入侵探测器装置, 大家会习惯性联想起常用的红外对射、被动红外、被动红外与微波复合等室内外入侵探测装置。本文不对具体探测装置的功能、指标进行讨论或评价, 而以一个不同的视角探讨选择适用于智能建筑入侵探测技术的一些方法和规律;希望通过与同仁分享笔者多年在入侵探测应用、标准制修订工作中的思考心得;抛砖引玉, 以求业内领导和专家对本文相关话题予以关注和参与, 从而推进智能建筑行业入侵探测应用的进步。

2 什么是智能建筑入侵探测技术的“顶层设计”

2.1 智能建筑入侵探测装置各设计层的关系

智能建筑入侵探测装置各设计层的关系框图如图1所示。

顶层设计就是制定“智能建筑入侵探测应用规范” (简称应用规范) 中具有指导性、纲领性、最高层的技术法规文件。

2.2 应用规范定义

应用规范是纲领性的技术性法规, 其内容不涉及具体的技术原理、更不针对于具体产品, 它是对相关应用需求全面的提炼和归纳, 并予以技术性描述的文件。

2.3 制定应用规范的目的

制定应用规范的目的是构建一个针对于具体应用方向的技术法规平台:提炼用户的相关应用需求并予以严谨的描述, 从而在根本上保障用户的相关利益;指导“智能建筑入侵探测装置标准”和“智能建筑入侵探测应用工程标准”等下一层次技术性文件的制修订, 制约装置标准的关键性技术指标、约束工程标准的验收指标/验收方法等操作性内容;完备对更下一层次装置/系统的主要功能要求, 并约束其各项技术指标参数。

3 提出“顶层设计”的原因

3.1 现行标准规定的关键性技术指标无法满足应用需求

在推广智能建筑周界入侵探测装置过程中, 笔者发现普遍存在不适用的产品被广泛应用现象, 在耗费国家/用户大量资金情况下, 还产生“误报警/扰警”、“漏报警/害警”、“经常性损坏/害工程商”等情况。

经追朔, 发现上述不成熟或不适用的产品中, 大部分没有符合现行相关法律规定的品质确认文件;但其中某些符合国家标准, 并有强制性认证检测报告及相应证书的产品, 确实也无法满足智能建筑应用需求。经过深入对照相关标准具体内容, 发现国家标准或某些行业标准的相关技术指标, 本身就不适应智能建筑周界防范应用的要求。比如主动红外入侵探测器现行国家标准GB 10408.4-2000, 对关键性技术指标触发响应时间规定为“40 (1±10%) ms”, 这相当于人员以高于5m/s的速度跑过探测区域时, 不触发报警。这种探测能力对于安装在“传统型围墙顶部外侧”防止人员攀爬的应用而言, 是符合需求的;但对于现代化“开放式庭院”或“不规则现代造型围墙”, 入侵探测装置仅能安装于地面的现代应用而言, 是不符合应用需求的, 因为任何一个入侵者均能够轻易超过国家标准规定的技术指标通过防区而不触发报警。很显然, 获得国家强制性认证证书有效覆盖的合法产品不一定能满足智能建筑应用需求。再比如泄漏电缆执行的现行公安行业标准GA/T 1031-2012, 该标准第6.3节性能试验规定:按制造厂推荐的方式安装装置并建立相应探测区域, 并调整到最佳的性能状态。

在有效长度至少为100m的探测区域 (按产品技术文件为准) 选择具有代表性的5个点位, 参考目标分别以0.3m/s、0.75m/s、3m/s的速度穿越通过该探测区域时, 判定结果是否符合要求。对上述条款的解读为:当入侵者以低于0.3m/s或高于3m/s的速度通过该装置的探测区域时, 将不触发报警——此类装置的技术指标同样存在严重的漏报警条件, 也不一定满足智能建筑应用的具体需求。

以上两个现行标准中还有若干条款体现出产品在正常应用过程中必然出现误报警状态。

对于上述现行标准的解读说明:在智能建筑周界预警应用中, 需要一个比标准更高的技术性法规文件对标准实行约束。

3.2 不直接修订标准的具体指标解决相关问题

因为标准是某一类型产品技术指标的浓缩。制修订标准, 一方面能改善某一类型的产品的相关指标;另一方面, 如果受到产品本身技术原理的制约, 无法提升相关技术指标, 就无法修订标准, 即不能满足行业应用的需求 (比如:传统型主动红外入侵探测器的技术就无法将触发响应时间提升至符合应用需求的20ms) ;最重要的是, 随着应用需求的发展与变化, 新产品、新技术的引进将成为随机性、常态化的过程, 如果缺乏更高、更广层面框架的指引, 行业应用将会成为方向无法预见的、被动的、持续的具体标准修订过程。

如果能够“搭建一个开放式的、严谨的、完备的描述行业应用需求的框架式平台”——应用规范, 则一方面行业用户要求入侵探测工程或其产品的使用效果满足应用规范中的约束条件, 而不必拘泥于选择某种原理的产品;另一方面厂家也可以根据行业应用规范描述的内容, 从多角度考虑研发方向, 并依据哪些约束条件选择新产品应依托的技术, 确保产品的主要功能和关键性技术指标可以满足应用需求, 确保研发投入的有效性;而在应用规范约束条件下产生的标准, 本身也符合应用需求。

4 顶层设计的作用

应用规范可以为用户提炼一个系统的、完整的、关于应用效果的准确表达, 成为工程设计方全面而严谨的设计和验收的依据, 并对施工工艺提供相应的指导。

由于应用规范的定义, 所有的描述内容仅涉及应用效果, 而不规定具体技术和产品, 其开放式的结构不仅为更多新技术的进入提供了广阔空间, 同时对新技术予以严谨的约束和指导, 避免应用中采用“似是而非”的技术;避免生产厂商以“先进技术”误导用户和工程设计及施工方。

5 以“顶层设计”的方法规划智能建筑的入侵探测技术配置的一般性过程

5.1 全方位准确描述智能建筑的应用环境

5.1.1 智能建筑内部空间的基本功能

在智能建筑的内部空间中, 符合准入权限的人员及其喂养的各类宠物, 均可以在其中无拘束地自由活动。

5.1.2 智能建筑 (以住宅类为例) 由各种不同的功能区域构成

智能建筑可以由外围屏障式建筑体 (院墙/大门) 、过渡空间 (院落) 、主体建筑、附属建筑等多种建筑形态构成, 也可以是单独的多/高层楼宇式建筑物。

1) 室外建筑构成体在外形特征的相关变化

院落形态变化对比如表1所示。

2) 室内空间功能多样化及其内部环境条件多元化

为了满足多个不同个体的人员、多层面应用需求, 智能建筑内部可能设置有厅/餐/厨/卫/主/客/佣/影视/文娱/体/阅读等不同功能空间。这些空间在不同时段会满足于个体应用需求的温湿度差异;且在不同时段分布不同色温、不同照度、不同波长的光照明、不同频谱、不同规律、不同响度的声音等。

3) 智能建筑中配置满足不同层面需要的各类设施

为了满足住户多层面的应用需求, 智能建筑中分布有大量的水/电/气管路;配置了空气温湿度、理化洁净度探测控制装置, 各类照明、感应、影音播放及相关控制装置, 各类实现建筑物内部及内/外联系的通信装置;不同功能空间中还配置有特定的电器装置, 甚至某些空间中还配置了可以自动“行走”的从事清洁等服务的机器 (人) 。上述各种设施是建筑物内各种频率/振幅的机械振动或波振动源;在不同时段也可能在较宽频谱范围内形成不同调制方式、不同能量的空间电磁波辐射 (包括光波) 和/或线路上的电磁扰动。

综合以上分析得出结论:合法入住的人员及宠物的正常活动, 智能建筑内部配置的各类电气装置的正常工作状况, 均会成为传统型入侵探测技术的干扰源。

5.2 以另一种角度解析入侵探测技术

入侵探测的本质:采用物理测量技术, 识别出“不允许进入特定区域的人”。探测技术发展经历了以下几个阶段, 并各具相应特性。

5.2.1 入侵探测技术的智能化进程

初级型阶段的入侵探测技术是针对参照物“有没有”实施最简单判断, 使用的典型技术是铁磁性“接近开关”对门、窗的“开/闭”状态判断, 以门/窗有没有开启作为触发报警条件。

传统型阶段的入侵探测技术达到了“什么样”的判断水平——针对移动特性与体积、重量、温度、外形等参量之一的探测, 以上述物理参量是否存在或以某个特定值作为预设的触发报警条件。

智能型入侵探测的智能水平达到了判别“是谁”的能力——采用各类生物识别技术, 实现对特定人员身份的探测 (识别) , 如表2所示。

本文针对智能建筑的入侵探测应用讨论, 所以探讨内容涵盖传统型入侵探测技术和生物识别技术 (智能型入侵探测技术) 。

5.2.2 传统型入侵探测技术——对人的外部物理特征 (共性) 参量实施探测

传统型入侵探测技术针对入侵行为的主要特性——移动, 同时为了提升探测的准确性, 再针对人员常见的几种外部物理参量之一进行探测, 如表3所示。

各类传统型入侵探测技术仅针对人员单一的外部物理参量实施探测, 探测效果相当于“盲人摸象”, 可能得出不准确的结论;更重要的是, 传统型入侵探测装置不可能区分出触发者是用户还是非法入侵者, 所以不适于在智能建筑的室内安装应用。

5.2.3 智能型入侵探测技术——对人的外部社会特性 (个性) 实施探测

用户与入侵者区分依据是人的外部社会特性, 是每个人与其他人之间不同的、可测或可度量的、外在的 (生物或者人为附加) 特征。表4列出了目前不同的生物特征测量技术, 对人实现区分所需要的时间和空间条件, 而根据这些条件, 可以针对智能建筑中不同区域的应用需求, 选择合适的探测技术, 如表4所示。

5.3智能建筑不同功能区域对入侵探测应用需求及配置

智能建筑内部区域对入侵探测的应用需求及配置建议如表5所示。

6 应用规范的通用性规定

6.1 入侵探测装置合法性

必须获得强制性认证证书的有效覆盖;没有现行强制性认证标准的产品, 需要获得自愿认证证书的有效覆盖。产品参照标准中的具体相关技术指标, 均应满足应用规范规定。

6.2 配置合理性

针对智能建筑的不同部位或区域, 配置与应用需求对应类别的入侵探测装置, 比如:建筑物内部属于人员及宠物活动区域, 入侵探测的应用需求是“确定进入该空间的人员是否具有相应的权限”, 依据此需求, 建筑物内部原则上不应配置传统型入侵探测装置 (当然, 针对厨房等某些具有危险物品的空间, 为防止婴幼儿或宠物爬入, 可能采用传统型入侵探测装置。当然在具体的配置过程中, 还需要满足应用需求的其他方面) ;而传统型入侵探测装置应配置在智能建筑外部, 特别是周界, 当然还应该满足构成“封闭式防范”和对外观适应性等其他要求。

根据表2所列的内容, 可以得出明确结论——传统型入侵探测由于不具备识别人员身份的能力, 通常只能设置于智能建筑的外部, 担任判断是否有“人员入侵”的工作。若安装于围墙/围栏/窗/阳台等不允许人员“合法”出入的周界区域, 只要发现有“目标”越过这些区域 (无论是“出”或者是“入”) , 都必须输出报警信号。而具体应该采用何种入侵探测技术, 应根据每种入侵探测技术的特点及具体应用需求来确定。

6.3 风险等级适配性

1) 应用规范应规定智能建筑的风险等级, 以及入侵探测装置的防范严密性等级。

2) 配置与风险等级对应的入侵探测装置类别, 除了与空间条件相适应外, 其探测的严密程度也应该与建筑的风险等级相对应。比如:对于低风险等级建筑的门禁可以采用IC卡、密码等探测技术;高风险等级建筑的门禁应用可以采用其他相应的生物识别技术。

3) 配置与风险等级对应的入侵探测装置。低风险等级的周界配置的入侵探测装置的触发响应时间或探测灵敏度指标可以较低, 而高风险等级的周界配置入侵探测装置的相应技术指标要求较高。

6.4 探测介质安全性

建筑的入侵探测装置在长期使用的条件下, 对人员物不产生任何伤害;建筑物外使用的入侵探测装置, 在短时间内不应对人员 (包含入侵者) 产生伤害。

6.5 环境适应性

1) 入侵探测装置的外观造型应与整体建筑造型风格和景观观感相适应。

2) 入侵探测装置的探测介质、通讯介质电磁参量等应该与智能建筑整体 (局部) 电磁环境相适应, 不会产生相互干扰。

6.6 探测技术的互补与协调性

1) 在同一空间或区域内, 可采用两种或以上探测介质不同但探测区域重合的入侵探测 (身份识别) 技术, 减少漏报警的机会。

2) 对不同空间或区域配置的相同或不同探测装置之间的异常信号实现统一管理与分析, 提高报警准确率。

6.7 资源配置的节约性

1) 由于智能建筑内分布大量的环境类探测器、传感器, 形成广泛分布的传输通道, 在保障“报警优先”并确保可有效避免“通道阻塞”条件下, 入侵探测装置的输出/远端控制宜尽可能利用智能建筑内部配置的其他探测装置的信号通道。

2) 门禁确认进入人员身份的识别信号, 可以提供给后续智能控制系统, 实现“具体房间室内温湿度、灯光色调/照度、音响内容与响度、沐浴水温”多参量的个性化调节等应用环节。

3) 配置于室内的摄像机, 可以同时用于入侵探测与火警探测两种报警复核。可考虑具有“模糊的行为识别”与“高清的取证识别”两种工作模式, 以应对不同风险等级或应对不同级别隐私保护需求。

4) 环境类痕量化学传感器与入侵探测功能交互。住户个人生活习惯, 如从吸烟或使用化妆品品牌的痕量分析作为身份识别, 既可以根据习惯性化学痕量判断对于住户个人的个性化实施调节;也可以将与习惯性品牌痕量分析不符合的分析结果, 作为入侵 (内部人员非法进入) 报警参考条件。

6.8 使用便利性

入侵探测装置的安装、调试、维护、保养应方便。家居型智能建筑应用的入侵探测装置最大程度提升DIY水平;在不能或不宜采用DIY方式安装的场所, 或入侵探测装置本身的DIY程度要求不高的条件下, 入侵探测装置应分别配置针对现场用户和安全控制中心的故障提示方式。

6.9 与风险等级对应价格体系的合理性与可承受性

1) 性能/价格比是相应用户可以接受的 (首先是性能, 然后才是价格) 。

2) 价格与产品风险等级对应, “优质优价”。

3) 价格体系应该给生产、销售、安装、调试、维保等环节留有相应生存空间, 最好还留有发展空间, 杜绝恶性价格竞争。

6.1 0 入侵探测装置使用年限的规定

入侵探测装置应规定使用年限, 以室内不超过5年、室外不超过3年为宜。

6.1 1 入侵探测装置不适用条件的规定

1) 系统集成商在构成系统过程中, 在入侵探测装置无法承受气候时, 系统对入侵探测装置予以“屏蔽”。

2) 用户对于不同空间隐私性、不同时间准入条件等具体应用需求, 明确规定不适用的入侵探测装置或入侵探测系统相应功能不适用的时间段。

7 结束语

入侵探测装置相当于人的“眼、耳、鼻、舌、手”等感觉器官, 是智能建筑最基础也是最重要的构成部分。智能建筑中入侵探测应用需求所涵盖的内容, 无论在广度和深度上, 都比传统型入侵探测技术有更巨大的发展空间。完成智能建筑“入侵探测技术应用规范”的构建, 应该成为智能建筑行业的一个亟需开展的重要课题。

制定规范、约束标准以指导产品。是从方法论角度分析和认识行业应用内在规律的一种尝试, 此方法在监狱周界预警防范系统应用中, 已初见成效。

借助本文提供“针对智能建筑行业应用规范简要思考”给各位专家和同仁参考, 希望得到大家关注和指正。

摘要：入侵探测的本质是什么?入侵探测技术如何与智能建筑的应用需求结合?在智能建筑配置入侵探测技术应用环节中, 顶层设计的作用和意义?顶层设计的方法?论文对上述问题进行了探讨。

智能入侵 篇8

Denning首次提出了入侵检测系统的抽象模型,以后的各种入侵检测技术都是在该技术上的扩展。Teresa Lunt等人在Denning提出的入侵检测模型的基础上,进一步改进并创建了IDES[1](Intrusion Detection Expert System),采用的是与系统平台无关的实时检测。Mark Crosbie和Gene Spafford提议使用Autonomous Agents(自治代理)以便提高IDS的可伸缩性、可维护性、效率和容错性[2]。S.Kumar在STAT的基础上,设计并实现了基于有色P网的模式匹配计算的IDS系统原型IDIOT[3]。有色P网可以支持不同类型的标记,从而减小了网络规模,使其在实际问题中的应用成为可能。Diego Zamboni设计实现了基于智能体的入侵检测原型系统AAFID[4]。AAFID突破了基于主机的入侵检测系统和基于网络的入侵检测系统之间的界限。它可以使用自治Agent广泛地收集整个网络环境内的各种信息,例如主机上的各种日志文件、网络上的各种数据包等。

针对传统分布式入侵检测系统组件之间依赖程度大、系统不够“健壮”且入侵检测系统自身结构固定不能自动适应网络流量的变化等问题,本文构建了基于免疫赦免机制的分布式智能入侵检测系统模型。通过免疫赦免移植Agent对系统的强有力的修复性弥补实时监测的不足。利用网络流量预测模块的预测值并借鉴生命医学中的免疫赦免机制,提高了分布式入侵检测系统的效率,可维护性,智能免疫进化与鲁棒性。

1. 智能预测检测模块和免疫赦免系统

本章主要介绍智能预测检测模块和免疫赦免系统。首先介绍智能预测检测模块的工作流程和网络流量的分解与重构,然后免疫赦免系统的工作原理。

1.1 智能预测检测模块

基于Agent自适应的分布式入侵检测系统采用Agent构建入侵检测系统,具有较好的自适应性,由信息搜集智能Agent、数据处理智能Agent、预测智能Agent、数据分析智能Agent和决策智能Agent五种类型的智能Agent相互协作,共同完成对网络流量的预测。智能预测预报模块的总框架如图1所示。

信息搜集智能将从网络中和其它只能在模块中得到的网络流量信息经处理后反馈给数据分析智能。数据分析智能分析得到网络流量数据,如发现异常,将网络流量中的异常现象报送预测智能和决策智能,决策智能判断网络是否受到攻击,后将判断结果发送给其它智能。智能Agent有两个主要功能。

(1)网络流量处理

由于网络流量时间序列逐渐呈现出非线性和多尺度变换的特性,加之受到多种复杂随机因素影响,加剧了网络流量行为复杂多变[5]。如以非平稳性的流量序列作为初始训练输入,会降低模型训练精度和延长训练周期,但非平稳的流量序列经小波变换后将被分解成若干个平稳性较好的分量。灰色资源预测就是对不确定资源预测[6],能够从系统的一个或几个离散数列中找出系统变化关系,建立系统的连续变化关系。智能Agent可以对网络流量进行平稳化处理[7],智能Agent对网络流量序列的小波重构和小波分解是通过基于Mallat算法[8]的一维静态离散小波变换实现的,小波重构实质上就是对小波分解的小波系数与尺度系数所作的小波逆变换,从而形成和原始序列长度一样的单支序列。网络流量的时间序列是非平稳的,经基于Mallat算法的一维静态离散小波变换方法处理后形成和原始流量序列长度一样的单一序列,而且流量序列变得也平滑了,因此经小波变换方法后的流量序列平稳性要比未处理前的序列更有助于提高模型的预测准确度与有效性。

(2)智能Agent对网络流量的重构

网络流量信号的重构实质上是网络流量分解的逆过程。令初始网路流量时间序列为x:{x1,x2,…,x N},则{x(k)}可由网络流量分解过程得到的小波式的网络流量信号族{dj(k)},1≤j≤J,0≤k≤N-1和网络流量逼近信号{a J(k)},0≤k≤N-1重构而成:

1.2 免疫赦免系统

作为一个非常复杂的动态平衡系统,免疫系统的免疫活动可以看作是一个选择自体与非自体的过程——负选择机制,通过持续不断的检测自身,选择自体与非自体,并通过免疫进化机制不断的完善自体定义,优化免疫系统。免疫系统通过免疫应答机制尽其所能最大程度的清除外来NON-Self的入侵,进而实现免疫防御。免疫系统内部各器官之间存在的可动态调节的平衡机制,是实现免疫自稳的重要保证。免疫细胞的记忆功能对入侵抗原产生快速的识别应答机制,可以实现免疫监测的功能。当有新的抗原入侵发生时,通过学习机制的学习,实施精细进化达到免疫系统的重新平衡。为了实现整个机体的运行利益牺牲局部,通过程序式的自杀对替代局部产生的抗体实现机体功能的完整性,这称做免疫赦免。

生物免疫系统中[9],在通过负选择机制定义的非自体抗原与B细胞受体(BCR)之间的亲和力达到一个限定值后,就开始进行克隆增殖从而产生新的抗体。与此同时,B细胞及其子代细胞也在不断的发生变异,这就使得B细胞能够以更高的亲和力去匹配其所选择的非自体抗原。抗体结合非自体抗原后,最终导致了抗原被免疫细胞所消灭,从而免疫防御的功能就实现了。与物种的自然选择过程相似,在克隆和变异进程中处于激活状态的B细胞当中的拥有较高抗原Affinity的那部分将转变成拥有较长生命的Cm(记忆细胞),剩余的B细胞则随着非自体抗原的消亡而逐渐衰亡,这个过程称为免疫自稳过程[9]。当后续的类似抗原的入侵发生时,免疫系统中保存下来的免疫记忆细胞就会对其产生特定的应答反应,从而实现免疫监测。当非自体抗原再次侵入免疫系统时,则可以利用所建立的免疫记忆细胞与入侵抗原之间存在的某种对应映射关系来实现记忆机制对其产生快速识别响应。

2. 基于免疫赦免的分布式智能入侵检测系统

本节介绍基于免疫赦免的分布式智能入侵检测系统。首先介绍免疫赦免植入Agent的过程,然后介绍基于免疫赦免入侵检测系统的工作流程。

2.1 免疫赦免植入Agent的过程设计

当A节点入侵检测子系统检测到一个事件,且流量预测单元送来阈值超过事先设定门限时,便触发免疫赦免机制。免疫赦免机制Host-Agent根据具体情况选择工作方式,如图2所示。将事件转发到试验节点(不存放重要信息的节点)上进行试验性处理,需要指出的是此种工作方式牺牲的试验节点,得到是其他节点的安全警戒,以免对主机信息造成不必要的损害。

在节点的主机上代理区——由各植入Agent(IPAT)代理系统执行服务,此种工作方式的好处在于:1)可以激发学习机制能力的提升,以便识别新型入侵;2)就是在最坏的情况下,牺牲代理区保全计算机系统。在系统运行中,用某种加密算法将机密数据加密后,利用保密共享算法对其进行保存与转移。

2.2 基于免疫赦免入侵检测系统的工作过程

入侵事件发生的情况下:首先,将正常的计算机使用行为活动定义成自体;其次,模拟免疫进化机制,以实现计算机免疫系统的进化。同时,依据自体集与记忆集的更新情况,动态的改变赦免触发器的处理方式;再次,模拟免疫赦免原理机制,针对入侵发生的情况,动态的改变赦免触发器的处理方式。将用户接收的数据流视为用户主机的外来组织,但并不是所有的组织都是用户所需要的,这就需要设定免疫赦免门限值,设立二级复查机制。首先,在能够识别外来入侵的基础上,把安全的数据流即安全的外来组织定义为自体,把不安全的数据流(不安全的外来组织)定义为非自体。而非自体又可以分为两类:可以免疫赦免的和不能够免疫赦免的。可以赦免的非自体分为两类:一是已经发生的入侵,但通过系统免疫赦免触发机制可以阻止入侵对系统产生的安全威胁,进而能够在入侵发生的情况下继续为用户提供正常的或者降级的基本服务;二是具有系统被入侵的相似弱点的外来移植智能Agent组织,它一方面能够牺牲自己限制病毒的扩散,另一方面通过诱导外周耐受避免自身免疫反应的发生,即要避免计算机系统对自己的排斥。因此免疫赦免机制具有三个功能。

(1)自我诊断能力入侵免疫赦免系统依赖检测或评估系统,称为入侵赦免触发器。其通过检测到局部系统的失效或估计到系统被攻击,然后调整系统结构,激活Agent植入机制,从而达到继续服务的目的。

(2)故障隔离能力如诊断部分认为某种操作可能会影响后续系统运作,Agent植入机制会触发感染隔离机制,进而将可疑操作隔离到特殊区域,同时Agent植入机制激活自学习机制对隔离对象进行学习。通过对被隔离数据和操作学习,当被判决系统确认为攻击时,将被隔离操作与数据删除掉。反之,就将这些隔离的内容融合到正确的自体定义或系统中去。

(3)还原重构能力具有赦免能力的系统须通过Agent植入机制修正所有被攻击行为影响到的数据,但不能采用简单回退恢复。系统Agent植入机制须保证感染文件能够被恢复,未被感染部分不被恢复,以便让用户的大部分工作得以保留。

该系统运行时,要负责处理检测对象处理过程和系统检测因子动态变化过程两方面所涉及的数据。V(检测对象集)会在其提呈的周期内,由EA(成熟检测因子集)和EM(记忆检测因子集)将其分为Self和NON-Self两个集合。当NON-Self匹配出现时,启动相应的赦免预警,由系统做出免疫植入处理;这其中的ENA(未成熟检测因子集)可以是随机生成的,并且在其经历与NV作用周期后,那些未能与NON-Self相匹配的都将有可能转换成EA(成熟检测因子);对于EA中某一检测因子,如果抗原在它的生命周期内对其的刺激大于阈值η,就可以被用于丰富EM(记忆检测因子集)。其中,NV、EA、EM集是能够随着系统环境的变化而变化的,这样才能够实现对系统的动态调节,进而改善基于免疫赦免机制的分布式智能入侵检测系统的实时性及检测效率。

在免疫赦免机制作用下,最大限度拖住入侵,进而达到完成向用户提供相关服务的目的。完成服务后释放资源,并激活自学习机制对非自体活动特征进行学习,并将学习结果反馈给记忆检测集,以完善自体定义,进而在消除现有的入侵、恢复系统后能够阻止相似病毒的再次来袭。系统自身组织的移植,让系统内待用智能Agent具有与被入侵系统相似弱点,与系统中存在的入侵相匹配,达到暂时隔离入侵,学习入侵活动规则。

2.3 系统性能测试与分析

对DDOS(拒绝服务)这种入侵行为,对系统的检测效率进行仿真测验,这种测验只是局部的。

测验1:单纯的原始数据集作为测验数据

测验使用的数据来自于KDD Cup 1999 Data数据集,取其中约8%共395217个记录项,并将其分成4个集合,然后在每个集合里随机抽取10000个记录项作为规则产生的样本训练集,另外再随机抽取10000条记录项作为样本测试集,如此产生四个样本训练集:DDSSaaa11,DSSaa22,DSSaa33,DSSaa44和四个样本测试集:。测试过程如下:

⑴选用DSa1作为训练集来生成规则集,并用测试集TSa1执行测试;

⑵选用DSa2与DSa4两个训练集来生成规则集,并用测试集TSa1进行测试;

⑶选用1234,,,aaaaDS DS DS DS 4个训练集来生成规则集,并用测试集a1TS进行测试。

按照上述过程进行,得到的测试结果如表1所示。

测验2:把原始数据集与预测数据项共同作为测试数据集

使用数据来自于数据集,使用前文提及预测方法进行预测,得到98804个预测数据项,并把它们归到上述395217个记录项中,得到一个含有494021个记录项数据集,测试结果如表2。对比表1和2,本文方法对新型入侵检测效率有较大提高,这反映了分布式智能入侵检测系统在实时性方面有很大的善。

3. 总结

借鉴免疫赦免机制,提出的入侵免疫赦免技术,不仅仅是阻止攻击者,更重要的是在攻击、故障或事故已经发生的情况下,能保证关键功能继续执行,关键系统能够持续地提供服务,并且具有很强的容错、恢复功能。通过植入Agent使得入侵检测系统能在移植风险承载体Agent延时周期内快速容错、恢复,提高了分布式入侵检测系统的智能免疫进化与鲁棒性。

摘要：入侵检测系统是在网络系统遭受攻击之前进行拦截和响应的一种积极主动的安全防护系统。分布式智能入侵检测系统DIIDS(Distributed Intelligent Intrusion Detection System)就是在分布式环境中将人工智能技术应用于入侵检测中,从而可以提高IDS(Intrusion Detection System)的检测的实时性、准确性和容错性。本文设计了一种基于免疫赦免机制的DIIDS。该方法以降低入侵检测系统的时延性与提高入侵检测系统的智能性、恢复能力为核心,改善入侵检测系统的实时性。为实现用户信息的安全转移和检测系统自身的免疫进化,构建了一种免疫赦免智能Agent植入机制(IPAT),从而提高了系统的可用性。

关键词：分布式智能入侵检测,智能预测Agent,免疫赦免机制,免疫赦免智能植入机制

参考文献

[1]Teresa Lunt et al.IDES:The enhanced prototype[R].SRI International,Computer Science Lab,October1988.

[2]Eugene H.Spafford,Diego Zamboni,Intrusion detection using autonomous agents[J].Computer Networks,October2000,34(4):547-570.

[3]Anup K.Ghost,Aaron Schwartzbard.A Study in Using Neural Networks for Anomaly and Misuse Detection[J].IEEE Trans,2003,(6):68～75.

[4]Hussam O.Mousa.A Survey and Analysis of neural Network Approach to Intrusion Detection[J].IEEE Trans,2002,(2):91～94.

[5]吕林涛,李军怀.时间序列模式及其预测模型算法应用[J].计算机工程,2004,17(4):3-4.

[6]邓聚龙.灰色数理资源科学导论[M].武汉:华中科技大出版,2007:23-49.

[7]谭晓玲,许勇,张凌等.基于小波分解的网络流量模型[J].计算机工程与应用,2005,41(9):126-128.

[8]Mallat S.Multiresolution Approximations and Wavelet Orthonormal Bases of L2(R)[J].Trans.Amer.Math.Soc,1989,315(1):69-87.

智能入侵 篇9

智能建筑核心宗旨决定了其基本服务功能之一是满足人性化更高需求——安全防范需求。在高新科技飞速发展的今天,智能建筑行业的安全防范应如何准确体现智能建筑的核心宗旨?作为安全防范“灵魂”的入侵探测系统如何实现与时俱进?笔者结合多年来从事安全防范报警行业的经验,总结现状、分析用户应用需求及行业管理要求,抛砖引玉,以求引发业内同行的关注和讨论。

1 智能建筑安全防范应以“封闭式”的周界入侵探测为主要模式

如果把智能建筑的安全防范系统比作人,则该系统最前端的入侵探测装置相当于人的眼、耳、鼻、舌、身。探测装置配置是否合理,探测功能是否准确、可靠,对于系统整体效能的发挥起到至关重要的作用。

1.1 建筑物安全防范现状及存在问题

1.1.1 室内防范仍然是主流

当前为建筑物安全防范所配置的入侵探测装置中,应用量最大的是以移动热源红外谱段辐射作为探测介质的被动红外入侵探测器。由于此类装置在室外易受到直射/反射阳光、热气流等各类移动热源辐射的干扰,所以通常局限于室内应用。

在此类装置应用尚不普及的阶段,其技术改进的最主要方向是防止室内其他移动热源——宠物、水蒸气、射入室内阳光等热辐射干扰引发误报警,在投入了大量的研发资源后,产出了诸如多元被动红外、被动红外与微波复合等功能略有差异的入侵探测装置;随着产品普及率的提高,技术改进的主导方向调整为不与用户争室内空间,进而出现了探测范围局限在窗户附近、阳台等部位的方向识别红外幕帘装置类别的入侵探测装置。

1.1.2 入侵探测区域设置在室内不符合“安全需求”

从技术的角度看,针对室内探测装置研发了众多可以防止误报警的先进技术,一定程度上体现了安防在智能建筑领域的科技进步;但从应用的角度看,入侵者进入室内才报警,对于用户来说,其人身安全可能受到重大危害。

1.1.3 入侵探测范围与人员活动空间相互“冲突”

从使用者角度看,室内入侵探测范围与其生活空间重合,使用者只要在室内活动就触发报警。对于使用者造成了开启报警装置不符合“生活需要”,而关闭报警装置又不能实现“安全需要”的两难状态。

室内入侵探测装置在科技方面的“进步”,显然背离了“人员安全需求”这一人性化最根本的原则。

1.1.4 室内入侵探测装置实际使用状况

从实际使用来看,室内入侵探测装置虽然在安装应用量方面最大,但其开通率极低,据不完全统计仅达到个位数水平。

综上所述,室内入侵探测装置的广泛配置,本质上属于一种资源配置不合理的社会现象。

1.2 智能建筑应该提供怎样的安全防范

从应用需求角度看,使用者要求得到一种既不限制其活动空间,又能确保及时探测到入侵行为的装置。常识告诉我们,对于楼宇建筑物而言,只要对于不允许通行的“出入口”——窗、阳台等布设探测装置,就可以构造一个由上述探测装置+楼宇实体墙构成的“无缝隙的严密周界防范”,满足使用者处于“人性化安全保障之中”的需求。

从以上应用需求分析和推导可以得出结论:智能建筑应该提供“封闭式的周界防范”。

2 构建“封闭式周界防范”对于探测装置应用的需求分析

从应用角度出发,我们认为探测介质应沿建筑物外围墙上部对内部院落形成“封闭式”探测界面;或者沿建筑物本身墙体对窗、阳台等“非正常出入通道”构成严密探测界面,这些探测界面与建筑物的实体墙共同形成该建筑物的“封闭式”周界。

为了满足应用中不同层面的需求,我们认为构造“封闭式”防范的周界入侵探测装置应该(至少而不仅限于)具有以下可能的主要基本特性。

2.1 探测的严密性

不应由于入侵者改变衣着材料对探测介质的反射率/吸收率等特性、选择不同的入侵方位、根据视觉观察而主动避让、选择特定运动速度通过探测界面等条件变化、采用干扰或遮蔽等技术手段而发生漏报警;也不应由于环境温/湿度变化、环境中可视度变化等条件的出现而造成漏报警。

2.2 探测的准确性

不应由于非入侵目标(用户或者宠物以及其他物体在室内/外的正常活动等)、密集安装条件下大量同类装置发出探测介质之间相互干扰、来自于现场的其他干扰等因素引发误报警;或者导致该探测装置误报警的条件在用户预期和允许范围内;或者其误报率低至用户可以接受的水平。

2.3 状态反馈的实时性

探测装置可以在规定时段主动向控制系统发出/应控制系统询问随时回复其各项实时状态信息。

2.4 对景观、建筑构造及应用环境的匹配性

(1)探测介质应适应于对安装现场的各种不同建筑造型、建筑物附近摆放的各类观赏植物、建筑物附加的喷水/养殖水等构造条件,构成严密的“封闭式”探测界面。

(2)探测装置的造型与建筑风格相适应,不损害建筑物整体美感;不应对用户造成视觉和心理的压抑感;探测区域不易为入侵者视觉观察。

(3)探测介质不应受建筑物周围环境中的风、雨、雪、雾、霾、自然及人工光照等因素影响,确保探测准确性。

2.5 与智能建筑中各类装置的无冲突性

智能建筑中可能使用众多种类各异的智能化装置,可能分布不同谱段和功率密度的光/电等形式的电磁波能量、可能装备音响等装置产生各种频谱/振幅特性的音频振动、建筑物给排水/空调等大型电气装置的启动/运行可能向空间环境/连接物体辐射电磁、机械能量,探测介质不应由于上述各因素而影响探测准确性,其探测介质也不应对上述任何系统产生影响。

2.6 对生物的无伤害性

探测介质不应该对用户及入侵者人体及智能建筑中宠物、观赏动/植物产生任何级别的直接伤害或长期的生物损害。

2.7 安装与维护的便利性

探测装置应该便于安装和维护,最好能实现由用户DlY操作。

2.8 价格合理性

探测装置的价格应该可以为用户承受;生产厂商也不应采用价格恶性竞争方式推广。

从以上对于周界入侵探测装置的应用需求及推导的主要基本特性出发,便可以评价现有的入侵探测装置是否适用于为智能建筑提供安全防范,也可以对今后相关装置的研发予以前瞻性规划。

3 构建“封闭式”周界防范对于探测装置成熟度的要求

上述主要基本特性仅仅是适用于智能建筑安全防范入侵探测装置推广应用的必要的基本条件,在同时满足以下充分条件后,装置才能够实施推广。

3.1 强制性认证的完备

对于列入现行国家强制性认证名录的入侵探测装置,应严格执行国家强制性认证法规关于“入侵探测装置均应在获得国家强制性认证证书有效覆盖条件下,才能够生产、销售、安装、使用。”的规定,完备强制性认证相关手续。其中最重要的是“在有效期内的强制性认证证书中列出的产品规格,才能作为合法产品生产、销售、安装、使用。”否则对产销者是违法的,对用户是有危害的。

3.2 自愿认证作为补充

对于没有列入强制性认证名录或者尚未制订强制性标准的入侵探测装置,更应该慎重推广应用。应该先行制定企业标准,交由强制性认证机构审核并实施自愿认证,在获得自愿认证基础上小批量试用,之后再进行推广。

3.3 应用的渐进过程

入侵探测装置在智能建筑行业推广应有一个渐进过程,在没有获得强制性认证或者自愿认证之前,应小批量试用,根据试用情况,对于系统和相关标准进行可能的改进与完善;对于获得相关认证的产品,也不宜立即扩大其应用规模,应该针对不同建筑物结构、不同用户群、不同智能化装备配置等特征,实施小规模试用;在确定其在试用期间的工作适用性和稳定性之后再逐步扩大;特别注意除了探测系统本身技术适用性外,探测装置与系统之间的通信模式与智能建筑中各类装备的通信是否匹配,也应该成为试用阶段重点考察的因素。特别是面对建筑内部配置的智能系统功能多样化的飞速发展,同一个智能建筑对其周界探测系统的制约性要求也可能日渐增高,在推广应用中更应该注重采用“稳扎稳打”和“灵活应对”相结合的推进策略,确保系统的建设及应用效果。

4 适宜智能建筑应用的周界防范技术