分布式的入侵检测系统

分布式的入侵检测系统（精选十篇）

分布式的入侵检测系统 篇1

入侵检测系统就是在这种背景下发展起来的。作为一种新型的主动防御机制, 入侵检测系统能够为主机和网络提供一种动态的保护[1]。它不但能够监测来自网络内部、外部的各种攻击, 而且可以最大程度的与其他的网络安全产品相结合。它的实时性和主动性的特点弥补了防火墙的不足。现今在所有的网络安全的解决方案里, 入侵检测已经是一个不可或缺的部分。尽管如此, 由于网络规模的持续扩大和攻击手段的复杂性, 分布式的入侵检测系统开始发展起来。这种结构通过分散的集合分布处理和集中管理来迎合大规模和高速网络的安全需求。

1 协议分析技术

入侵检测系统早期一般使用误用检测和异常检测的检测技术[2]。误用检测技术是基于已经知道入侵攻击的特征去匹配和识别攻击, 模式匹配技术是最通用的误用检测技术。它的特点是简单、有较好的扩展性好以及检测效率高 (相对于异常检测) , 但是它只能用来检测一些相对比较简单的攻击, 因此它误报率很高[3]。尽管如此, 这种技术的便利的维护性仍然使它被广泛的应用。异常入侵检测是预先存储用户正常的行为模式, 但是那些不确定的用户的正常行为在检测的时候会被当成入侵行为。由于它可以发现异常行为和未知的攻击模式, 因此异常入侵系统是最主要的研究趋势。异常检测系统的关键问题是建立正常的行为模式, 以及如何用该模式与当前系统或用户的行为的模型进行比较, 从而判断出行为的异常度。这两种入侵检测系统的方法都不具有智能限定行为模式的意图, 但是利用协议分析的优点就可以弥补这一点。

协议分析是一种新型的入侵检测系统的技术手段。它可以高效的分析协议, 并利用网络协议高度的规则性快速检测攻击, 从而避免了传统入侵检测技术在检测过程中的大量的无用过程, 极大的提高了检测效率[4,5]。协议分析技术只搜寻数据包的特定部分而不是完整的数据, 因此缩小了检测空间, 从而提高了入侵检测的效率[6]。

2 协议的基本结构

以太网帧格式有两种标准, 一种是DIX标准的Ethernet II, 另一种是IEEE标准802.3[7]。Ethernet II帧格式通常被用于现行的帧格式。协议的头部包括了IP、IPX、ARP、SNMP、Net BUI, 格式如表1。

2.1 IP数据报 (IP datagram)

在传输协议TCP、UDP、ICMP、IGMP中, 数据是基于IP数据传输格式, IP数据报被分为IP头和IP数据段[8]。IP头包含了版本、首部长度、服务类型、长度、认证、标志、段偏移量、TTL、校验和、源IP地址、目的IP地址, 如图2。

2.2 TCP报文

TCP (传输控制协议) 是一种面向连接的传输服务[9]。它在传输过程中把数据分段传输, 它用比特流进行通信。为保证传输数据的可靠性, 每个TCP传输序列号都是特定的。TCP数据报被分为TCP头和TCP数据段, 其中TCP头包含了源端口、目的端口、序列号等等。

3 基于协议分析的分布式入侵检测系统的模型

3.1 检测器模型

设计和建立基于协议分析原理的检测模块是系统最重要的地方, 它包含了两部分内容:数据抓取模块和协议分析模块, 结构如图2所示。

数据抓取模块最主要的作用是获得网络中的数据, 并把用于协议分析的数据部分发送出去。

这个模块的焦点是协议分析, 它描述分析抓取的数据。它的工作原理是:从以太网帧中得到以太网数据报首部, 数据报首部的长度是14个字节, 其中6个字节代表了目的以太网地址, 另外6个字节代表了源以太网地址, 最后2个字节代表了帧的服务类型, 如ARP、RARP、IP、IPX等等, 我们只需要对IP协议做进一步的分析。IP头的长度是20字节, 它主要包括了源IP地址、目的IP地址、断标识和断偏移量以及IP装载的协议类型, 如TCP、UDP或者ICMP (分别对应协议号码为6, 17, 1) 。TCP头的长度是20个字节, 它主要包括了源端口、目的端口、标识、序列号和ACK等等。TCP头包括了6个标识:URG、SYN、ACK、FIN、RST、PSH, 这两个标识反应了TCP连接的状态。数据包的类型可以通过TCP包的源端口和目的端口得知, 例如TELNET的端口是23, EMAIL的端口是25等等。在应用层, 包含了大量的协议, 我们只需要分析一些日常的应用, 比如FTP、EMAIL、TELNET、WWW等。

通过协议分析, 分析模块可以抽取数据包中的关键词, 与检测器模块中的关键词进行比较, 我们就可以知道是否有网络入侵发生。

3.2 分布式入侵检测系统的模型

尽管入侵检测系统能够识别非授权的使用或者计算机和网络系统的误用, 而入侵也变得越来越复杂, 独立的入侵检测系统不能够处理复杂的安全问题。因此在网络中放置多个入侵检测系统代理, 并在其中设置一个处理关键词数据载体的模块, 利用综合分析来确定攻击是否发生, 这种机制就是分布式入侵检测系统。这个系统被分为检测模块、处理模块和响应模块。具体模型如图2。

在这个模型中, 在检测模块和处理模块中的网络数据可以再检测后进入用户的计算机。每一个检测模块就是一个微数据分析系统, 它们通过数据报告的分析高速的发送到处理模块, 在响应模块中确定是否属于攻击行为。检测模块和处理模块组成了一套完整的入侵检测系统。

处理模块包含了一个规则库, 它是现今常见的入侵模式的关键词集合, 并随着新入侵行为的出现, 从而扩充或者修改规则库。如果我们发现到达的字串被匹配, 那么就表示攻击发生了, 此时检测模块会发送经过比对的关键词和规则到处理模块。响应模块用于反应入侵行为, 也会提示用户攻击的手段以及攻击的目标, 使得用户及时的做出防御性措施以避免造成损失。

4 分布式入侵检测系统的特点

基于协议分析的分布式入侵检测系统模型具有以下优点:

4.1 系统结构简单

这个系统由三个模块组成:检测模块、处理模块和响应模块。这就使得数据在几个模块之间进行传递时不需要经过过多的中间层, 从而提高了各模块之间的数据传输率。在大数据流量的网络中, 这种系统具有巨大的优势。当有更多的数据在网络上传输时, 传统入侵检测系统的漏报率将急速增加。这就给那些黑客制造了机会, 他们利用一些方法向网络中发送大量的垃圾数据搞乱网络。这时如果一些检测部分和处理部分有一点点延迟, 或者在于规则库进行匹配的时间过长的话, 就会造成大量的数据没有被检测就直接进入了用户计算机。

4.2 检测速度快

在检测模块中, 我们只抽取重要的特征包传递给处理模块进行处理, 它的长度相对于整个数据包来说通常是很小的一个比例, 不但节省了检测的系统资源, 而且提高了单位时间内的数据传输速度。特征库中特征字符串很短, 因此在匹配速度上也会有较大的提高, 甚至可以同时处理大量的数据。这个系统可以实现系统工作, 及时的检测入侵, 从而极大的提高了检测速度。

5 结论

基于协议分析的入侵检测已经是新一代的入侵检测系统的技术。该文提出了一个简单结构的基于协议分析的入侵检测系统, 具有较快的检测速度、较高的检测效率等等, 并且系统实现的费用不高。尽管如此, 网络入侵的多样化使得检测系统越来越难, 尤其是规则库只能够识别被入侵行为, 以至于仍然会有未被检测到的入侵行为。不过分布式入侵检测系统的研究仍然处于初期阶段, 随着技术的发展, 这个系统可以随着网络趋势的改变而改变, 也就是使系统具有自学习性和适应性的功能。

参考文献

[1]陈一骄.网络入侵检测系统高速处理技术研究[D].长沙:国防科学技术大学, 2007.

[2]李秀婷.基于Snort的网络入侵检测系统实现及其改进研究[D].西安:西安电子科技大学, 2008.

[3]沈超, 薛胜军.分布式协同入侵检测系统设计与实现[J].武汉理工大学学报, 2010 (16) .

[4]黄莉.一种基于协议分析和聚类的入侵检测方法[J].科技信息, 2009 (30) .

[5]张绍辉, 陈晨, 韩宪忠.基于MAC帧分类匹配的WLAN入侵检测[J].微型机与应用, 2011 (1) .

[6]苏砫, 李化.分布式入侵检测系统[J].数据通信, 2003 (6) .

[7]杨文莲, 王颖.网络入侵检测的研究与实践[J].网络安全技术与应用, 2006 (5) .

[8]司凤山.一种分布式入侵检测系统模型研究[J].菏泽学院学报, 2011 (2) .

几种预测入侵物种分布模型的比较 篇2

几种预测入侵物种分布模型的比较

摘要：物种的.多样性和生态安全一直是我国重要的基础研究之一,影响着我国经济、社会的发展.详细介绍、比较了几种入侵物种分布模型的优缺点,以期为这几种模型的合理使用提供参考.作 者：姜隽 作者单位：太原市环境保护信息中心,山西太原,030002期 刊：科技情报开发与经济 Journal：SCI-TECH INFORMATION DEVELOPMENT & ECONOMY年，卷(期)：2010,20(8)分类号：X171关键词：入侵物种 分布模型 物种预测

分布式的入侵检测系统 篇3

关键词：分布式电源；保护装置检测技术；继电保护；电网

随着经济的高速发展和人们生活的智能化，国家和人们对用电的需求也越来越大，传统的电源已经无法满足国家的用电需求。分布式电源的出现解决了传统电源的用电紧张问题，与传统电源相比，分布式电源属于一种新型的能源，它具有节约能源、高效和保护环境等方面的优势。很多西方发达国家很早就意识到分布式电源的优势，在分布式电源的发展方面比较成熟，但由于我国对分布式电源的发展比较晚，在技术方面还不是很成熟。

一、分布式电源的基本概念

分布式电源是区别于传统电源的一种新型电源，它的功率非常的小，基本上控制在几千瓦到50M瓦之间，是一个小规模、分布在负荷周围并与环境相适应的单独电源[1]。分布式电源的所有权在电力部门、用户以及第三方的手里，存在的主要目的是为了保证用户和电力系统的特殊要求。

分布式电源的存在形式多种多样，这既方便了分布式电源的开发、利用，也方便了用户对电源的使用。具体来说分布式电源的存在形式主要有以下几种：热点联产、燃料电池技术、分布式太阳能技术、分布式生物质能源技术、燃料垃圾的分布式能源技术、分布式煤气化能源技术以及分布式每层气能技术等[2]。多种存在形式的分布式电源，有效的缓解了传统电源使用过程中的电源压力，对促进经济的发展和社会的进步，改善人们的生活质量起到了重要的作用。

二、利用分布式电源的必要性

分布式电源在发电材料方面可以广泛的使用天然气、沼气以及废弃的自然资源，也可以利用新型能源作为发电的材料，像风能、水能以及太阳能等可循环利用的新生能源。这一方面解决了我国能源短缺的局面，另一方面新型能源的利用，可以减少环境的污染，对改善环境、建设生态文明意义重大。具体来说与传统电源相比，之所以国家必须广泛运用分布式能源有以下几方面的原因。

（一）提高能源的利用率

分布式电源在发电方式上是利用剩余的热量进行制冷或者制热，保证了能源的利用率高达70%以上，充分的利用了能源的价值，减少了能源的浪费，为保证国家经济的发展和社会的进步提供了保障。

（二）有效的降低环境污染

传统的电源最大的弊端除了能源利用率低以外，对环境造成的污染是其更大的弊端。随着人们环境保护意识的增强，人们对污染环境的能源的使用也越来越排斥。但分布式电源的一大优势就是其对环境的污染很小，甚至没有污染。因为分布式电源的发电来源可以是风能、水能以及太阳能等新生能源，这些新能源在利用过程中，基本不会产生对环境影响的物质，能有效的减少对环境的污染，改善人们的生活环境，保证人们的生活更加的环保。

（三）缓解我国能源危机的必然要求

我国虽然能源总很大，但由于我国人口众多，人均能源占有量非常的小，低于世界的平均水平。因此，能源短缺越来越成为制约我国经济发展和人们生活的重要因素，为解决我国的能源短缺危机，必须利用分布式能源的特点，提高能源的利用率，开发多种新型的能源。

三、分布式电源系统的继电保护

分布式电源系统的继电保护问题是保证分布式电源有效运行，从而保证国家电网安全的前提。因此，对分布式电源的研究也主要集中在对分布式电源的继电保护上面。目前，我国对分布式电源的保护主要体现在三个方面：即分布式发电和旧的配电网保护的衔接、分布式发电对线路重合闸的作用以及孤岛检测和保护问题这三个方面[3]。

为保证电力系统的可靠性，降低分布式发电设备对配电网的影响，必须对分布式电源的保护进行修改，从而使分布式电源并网更加的安全。分布式电源中的大部分故障都能通过自动重合闸进行解决，从而提高分布式电源运行中的可靠性。对于孤岛检测，不同的国家又不同的标准，但都是为了在电网失电后，继续为电网提供电力支持，保证国家和人们正常的供电需求。

虽然对分布式电源的继电保护在保证分布式电源的正常运行方面产生了巨大的作用，但仍然没有从根本上解决分布式电源的继电保护工作。为此，必须有效的协调分布式电源和国家电网的关系，充分利用分布式电源的发电技术，扩大分布式电源的研究范围，将分布式电源的继电保护问题纳入国家的基础工程项目当中，从而保证从根本上解决分布式电源继电保护中存在的问题，为国家的发展和进步提供电力支持。

四、结语

综上所述，我国能源紧缺，传统的电源已经无法满足我国经济发展对电量的需求，也无法满足人们的日常生活用电需求。由此可知，改变传统的电源方式，推广分布式电源，是解决我国用电紧张的有效途径，为了在将来的发展中更好的推行分布式电源，做好分布式电源的继电保护工作是非常必要的。只有保证分布式电源的继电保护工作，才能更好的使分布式电源的运行正常化，保证国家的用电安全。

参考文献：

[1]陈争光，詹荣荣，李岩军，董明会，王晓阳，詹智华，琚子超.分布式电源系统继电保护装置检测技术的研究[J].电网技术，2015，04： 1115-1120.

[2]彭明智，张维，熊泽群.分布式电源接入装置的研究和设计[J].电力系统保护与控制，2011，14：58-63.

分布式的入侵检测系统 篇4

随着各级部门自动化信息系统的应用, 研究和部署内网入侵检测系统十分必要。根据现今计算机网络安全现状以及传统的网络安全模型, 仅仅依靠传统的防护是不够的, 完整的安全策略应该包括实时的检测和响应。分布式入侵检测作为一种主动的信息安全保障措施, 能构建动态的安全循环, 同时在入侵检测系统中使用数据挖掘技术, 通过分析历史数据可以提取出用户的行为特征、总结入侵行为的规律, 从而建立起比较完备的规则库来进行入侵检测, 这样可以最大限度地提高系统的安全保障能力, 减少安全威胁对系统造成的危害。

1 分布式入侵检测技术

入侵检测就是用于检测任何损害或企图损害系统的完整性、保密性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动, 采用误用检测或异常检测的方式, 发现非授权或恶意行为, 为防范入侵行为提供有效的手段。

从图1中可以看出, 在入侵检测系统中, 系统将用户的当前操作所产生的数据同用户的历史操作数据根据一定的算法进行检测, 从而判断用户当前操作是否是入侵行为, 然后系统根据检测结果采取相应的响应处理行动。入侵检测的过程实际上是一个机器 (检测工具) 与人 (黑客) 对抗的决策分析过程。

根据侧重点的不同, 当前入侵检测系统可以有以下几种不同的分类方法。

1.1 依据数据来源分类。

基于主机的IDS、基于网络的IDS、基于分布式IDS。

1.2 依据检测方法分类。

误用入侵检测是根据已知系统和应用软件的漏洞及其攻击模式的特征进行编码, 形成规则库, 通过与审计数据进行模式匹配来检测入侵。误用检测模型能针对性地建立高效的入侵检测系统, 检测精度高, 误报率低, 但它对未知的入侵活动或已知入侵活动的变异检测的性能较低。

异常入侵检测是利用已建立的正常用户和系统的行为特征来检测当前行为的背离度, 以确定当前行为是否为入侵行为。

1.3 依据系统部件配置方式分类。

依据系统部件配置方式的不同, 可将入侵检测系统分为集中式入侵检测系统和分布式入侵检测系统。

由于分布式入侵检测系统能够适应复杂、大型网络的安全需要, 它能够将基于主机入侵检测系统和基于网络入侵检测系统的结构结合起来, 检测所有的数据源, 因而具有许多优点: (1) 分布式入侵检测系统可以检测大范围的攻击行为。 (2) 分布式入侵检测系统能够提高检测的准确率。 (3) 分布式入侵检测系统可以提高检测效率。 (4) 分布式入侵检测系统可以检测出分布式协同攻击。 (5) 分布式入侵检测系统可以协调响应措施。

在技术上也存在一些难点: (1) 安全事件应该在系统的什么位置产生和存储。 (2) 状态空间管理及规则复杂度问题。 (3) 知识库管理问题。 (4) 对安全审计数据的处理工作在系统的哪个部分进行的问题。我们而针对知识库管理当中的网络源数据, 采用了数据挖掘技术。

2 数据挖掘技术及其在入侵检测中的应用方法

数据挖掘就是从海量的、不完全的、有噪声的、模糊的、随机的实际应用数据中, 提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。

数据挖掘从预处理过的数据中提取用户行为特征或规则等, 再对所得的规则进行归并更新, 建立起规则库。依据规则库的规则对当前用户的行为进行检测, 根据得到的结果采取不同的应付手段。常见的数据挖掘方法可分为以下几种:关联分析、分类分析、聚类分析、序列模式分析。主要以关联规则挖掘算法为例, 来发现新的检测规则和检测模式。关联规则的关键属性是置信度C和支持度S。

2.1关联规则

构建了一个基于数据挖掘关联分析方法的入侵检测系统, 该系统主要用于异常检测。

关联规则的形式化定义如下:I (项集) DXY等。

发现关联规则就是要找出所有支持度和可信度不小于用户指定的最小值, 即

S≥minsup (用户指定的最小支持度)

C≥minconf (用户指定的最小可信度)

挖掘关联规则的算法一般可分两个步骤进行:第一步, 从记录集D中找出所有支持度大于最小支持度的minsup的数据项集, 称之为频繁项集, 其它不满足支持度要求的数据项集则称为非频繁项集 (small itemsets) 。第二步, 使用频繁项集产生期望的关联规则。产生关联规则的基本原则是其可信度必须大于预先指定的门限值。

经典的关联规则挖掘算法有Apriori算法和Apriori Tid算法。上面介绍的关联规则挖掘算法是一种通用算法, 没有考虑任何特定领域的知识, 因此在算法运行时可能会挖掘出大量没有意义的规则。为解决这个问题, 首先需要对挖掘的对象进行数据预处理, 并对算法进行适当的改进以适应入侵检测系统中挖掘检测规则和模型的需要。经这样处理后的数据能够较好的适用于入侵检测系统中的关联规则挖掘算法。设计了能够适用于分布式入侵检测系统的IDSAPriori算法。

2.2改进的关联规则

算法主要针对网络数据源进行分析, 其第一步就是格式化网络流量中的数据包, 提取出网络数据流量的关键特征。用专用网络数据流的转储工具采集网络上流经的IP数据包, 提取其中的属于同一次连接的关键特征作为一条连接记录, 将采集到的大量连接记录生成记录集数据库D, 数据库中的每一条记录R表示一次TCP连接, 其属性有:

经验证明, 用户的行为与连接记录特征之间有紧密的相关性, 比如, 程序员经常登录到主机编辑和编译C程序, 这些一致性的用户行为模式应该包含在用户正常使用模式中。基于这一思想, 对Apriori算法作以改进, 使之能更好地适用于挖掘海量网络流量审计数据中的关联入侵规则, 这些关联入侵规则表示了用户的行为模式, 将这些行为模式加入到用户行为特征规则库中, 使入侵检测系统能从历史记录中自动提取特征规则, 从而能够检测出未知攻击特征的攻击行为, 从而实现入侵检测系统的自学习性和自适应性。

在IDSApriori算法中对Apriori算法进行了如下改进: (1) 使IDSApriori算法能够检测出不同类型的攻击, 在连接纪录的属性集中可任选其一作为标识符ID, 即采用可变ID, 如选Time属性作ID, 可用于检测DDos类型的攻击; (2) 为使入侵检测系统的关联规则库不至于过于庞大, 在关联规则的生成过程中引入规则频度的定义, 每生成一条关联规则的同时, 定义该规则的频度usefreq, 在检测过程中每当关联规则被匹配一次, 则该规则的频度自动加l, 当规则的频度达到最大时, 从关联规则库中删除最近使用频度最小的规则。下面就是根据基本理论及应用方法, 这里提出了一种基于数据挖掘的分布式入侵检测系统模型。

3 基于数据挖掘的分布式入侵检测系统

本系统设计采用分布式体系结构, 整个系统由分布在各地的客户端系统和中心控制端系统组成。具体组成如图2所示。

客户端部分的主要功能是将从网络数据源或主机数据源收集的数据经过数据预处理模块处理后送入数据库模块, 然后经过数据挖掘模块提取出入侵特征和检测规则, 生成检测模型, 并存入数据库中, 生成的检测规则和模型除了送入本地检测器模块, 还和可疑数据一起送入中心控制端。中心控制主要功能是中心数据仓库模块接受各个客户端送来的检测规则和模型, 并使用数据挖掘模块对各个客户端不能确定的可疑数据来进行二次挖掘, 然后通过检测模型发布模块向各个客户端发布新的规则和模型。

系统核心部件是数据挖掘模块, 该模块综合采用多种数据挖掘算法, 既可以对已标记的数据进行分析处理, 也能够对未标记的数据进行分析, 挖掘出未知的攻击模式或用户异常行为。系统综合采用几种数据挖掘技术, 并且在检测器模块充分利用了误用检测和异常检测两种检测方法的优点, 能够提高系统检测的准确率、降低误报率, 同时能够对未标记的数据进行聚类分析, 提高了系统的自适应性和可扩展性因此, 本系统将数据挖掘技术应用到分布式入侵检测系统中, 提高了整个系统的可扩展性和自适应性。

参考文献

[1]连一峰, 戴英侠, 王航.基于模式挖掘的用户行为异常检测[J].计算机学报, 2002, 25 (3) :325-330.

[2]杨向荣, 宋擒豹, 沈钧毅.基于数据挖掘的智能化入侵检测系统[J].计算机工程, 2005, 27 (9) :17-18.

分布式的入侵检测系统 篇5

特性

简单，接口库透明:Arrange your data in the native datastructures of your choice, and let Sirius feed the updates to your application code.

最终一致的复制:Sirius handles replicating updates―even across wide-area networks―in a consistent order across every member of an application cluster.

持久化以及自动恢复:Sirius stores and maintains local update logs and uses them to rebuild your in-memory state after an application restart.

分布式的入侵检测系统 篇6

1 基于多代理的分布式入侵检测系统模型结构设计

(图1)

(1) CSA (Communicate Service Agent) :通信服务代理。 (2) FA (Function Agent) :功能代理, 它是完成各种任务代理的一个统称。 (3) SDA (State Detection Agent) :状态检测代理。 (4) LAA (Local Analyzer Agent) :本地分析代理。 (5) DAA (Domain Analyzer Agent) :域分析代理。 (6) VUI (Visual User Interface) :可视用户接口。

多代理的分布式入侵检测系统由各个主机的代理互相配合完成检测任务, 同时每个主机又都能单独的进行入侵检测, 各个主机间入侵消息的通信是靠CSA进行的, SDA负责检测本地Agent状态, DAA进行更大范围的入侵分析, LAA进行本地入侵检测分析, 以及进行系统恢复。其中每个主机部分的Agent组成结构 (图2) 。

1.1 功能代理 (FA) 是由预处理代理 (AD-P) 认证授权代理 (AIA) , 学习代理 (LA) , 存取控制代理 (AC A) 等代理组成。它们的主要的职责有以下几点

(1) 预处理代理AD-P (Agent-Detection for Preprocessing) :AD-P负责对输入的通信数据进行预处理, 实时监视网络通信数据, 提取事件序列, 然后对事件进行分类, 备份到AD-P数据库并提交给下一级Agent进行处理。 (2) 认证授权代理AIA (Agent for Identification and Authentication) :AIA是负责识别的信息源和认证的真实性, 并把结果反馈到数据库中, 发送邮件到入侵检测代理IDA可疑行为, 或试图攻击立即的迹象。 (3) 学习代理LA (Learning Agent) :LA是负责提取的攻击模式, 以及明确用户的行为, 如判断攻击是不是Port Scanning、Overflow、Finger、Dos等行为。 (4) 存取控制代理ACA (Access Control Agent) :ACA一方面是保护机密信息, 并且不允许敏感信息未经授权的访问渠道流出, 另一方面, 按照严格的访问控制策略, 为合法用户提供信息资源的访问。

1.2 状态检测代理SDA (State Detection Agent)

SDA是每台主机唯一的入侵检测Agent进行自身保护和身份验证的专门Agent, 它定时检查协作主机的CSA和本机内IDA的状态, 并负责向系统管理员报告。入侵检测系统的检查和维护的网络系统的安全性是必要的, 以确保不间断运行;而且入侵检测系统能记录黑客的攻击行为, 黑客在发动真正的攻击前必将想尽办法先破坏入侵检测系统;因此SDA的存在非常有必要。同时, 由于CSA是入侵检测代理与其它检测代理交互的关键。一旦CSA遭受破坏, 不同主机入侵检测代理的协作就无法进行;因此, 检查和保证CSA的正常运行状态是极其重要的。SDA能定时检查协作主机CSA的状态, 一旦发现某台机器的CSA活动异常, 就向其它机器的SDA查询该机器的状态, 如果其它机器的SDA认为该CSA正常, 就进行再次查询;如果检测出其它机器的SDA不正常报告, 立即通知系统管理人员, 请求系统管理人员检查问题所在。

此外, 还要定期检查主机IDA的状态, 发现某个IDA运行状态有问题SDA会及时地通知本机的CSA, 暂停与IDA之间的通信和通知系统管理人员及时处理。

1.3 本地分析代理LAA (Local l Analyzer Agent)

LAA是负责主机管理的代理, 存在每台配有FA的主机上也是唯一。LA的主要职责为是收集各个IDA报告系统异常活动的报告, 并进行处理;执行异地代理的CSA之间的协商, 根据需要向上级DAA提交工作报告, 根据上级DAA的指示控制各代理的状态;组织本地间代理的协作。

1.4 入侵检测代理IDA (Intrusion Detection Agent)

每个IDA独立承担一定的检测任务, 检测系统或网络的安全性。在模型中, 每个IDA检测的操作模式和响应的数据, 有自己的独立的消息来源, 每个IDA是独立的测试组件, 可以实现单独检测任务, 同时各IDA之间又进行相互协作, 对网络用户和系统的可疑行为或异常进行检测并把检测结果交给LAA进行判断。不同的IDA按照检测环境不同, 可以采用不同的检测方法和技术。

1.5 可视用户接口VUI (Visual User Interface)

VUI是向用户提供使用界面的, 向用户提供配置界面和告警界面。UIA的实现可以使用不同的RAD工具都依赖于API调用DAA提供的控制功能。

1.6 域分析代理DAA (Domain analyzer Agent)

DAA集中服务于整个域上, 它全面分析来自各个主机的报告, 从而得出最终结论。DAA可以找到相关的多台主机、与网络相关的入侵活动, 这种入侵是很难被单个主机上的LAA发现的。处理分析和收集各LAA报告的数据外, D AA还能通过控制LAA, 使不同主机上的LAA可以相互作用, 从而实现整个域内的管理。考虑到单点失效的问题上, MADIDS域的概念是非常灵活的。域是指一个DAA所能管理的所有主机, 域的概念是嵌套的, 是有层次的。一个DAA管理的域中成员可以是单个的LAA, 也可以是另一个子域的管理者DAA。域的形成动态减少域之间的信息流的形成的原则, 按照与网络安全条件下, 形成一般是更交互式主机组件域, 各个主机可以动态的申请加入或者离开某个域。这样当任一个LAA失效的时候, 其上级DAA可以做出报告和寻找其它可以代替它的LAA。当另一个DAA失效的时候, 其所属的主机将申请加入其它的域。域分析代理的主要功能是接收管辖域内的各LAA或DAA送来的报告, 并对接收的报告进行分析整理汇总, 指示控制本域各主机的工作。

1.7 消息代理MA (Message Agent)

广域网解决传输问题使用的agent是MA。因为普遍的跨地域组织, 所以要加强对异地分组织进行统一的安全管理, 可以通过MADIDS来跨广域网;虽然广域网有复杂的传输系统, 会产生较大延时, 需要专门的传输机制。被用来传输敏感信息的MADIDS传输, 可以在广域网提供比本地传输更高安全强度的保护。

2 代理的协作机制

分布化、协作化发展后的入侵技术, 要求入侵检测系统必然出现分布化、协作化发展。代理之间的协作能力被MADIDS整体智能体现, 作为分布式入侵检测系统中的关键。

按照内容代理的协作可以划分为以下几点。

(1) 检测结果关联协作——主要用于寻找分布和协作攻击检测结果, 关联协作是指对不同检测点检测结果检测到可疑事件进一步挖掘。 (2) 检测结果确认协作——检测结果确认协作是指对从不同代理对于同一事件的检测结果进行比较, 所有代理检测的结果都附有可信度, 以确认攻击的真实程度。可信度是指对检测结果的确认程度, 通过LAA或DAA对检测结果的比较可以确定该次检测的最终可信度, 如果可信度很低, 不需要将事件报道给上级代理, 反之亦然报告向上级代理。 (3) 恢复协作——由恢复代理对目标系统进行恢复;恢复协作是指代理检测到成功的攻击行为, 系统受到破坏后通知相关的恢复代理。 (4) 响应协作——响应协作是指某代理检测到攻击后, 则请求其它代理对该攻击做出响应, 本身不能直接对该攻击做出合适的响应。 (5) 追踪协作——通过多个代理共同协作沿攻击路径反向追踪寻找攻击者的来源。 (6) 取证协作——取证协作是当某检测代理检测到违法攻击后, 通知取证代理对攻击者行为进行详细记录以作为证据。 (7) 状态协作——状态协作是指代理之间相互进行状态校验以保证正常工作。协作的模型有汇总模型、控制模型、反馈模型、和级联模型等几种。 (8) 学习协作——学习协作是指学习代理在学习到新的攻击特征后更新滥用检测代理的攻击库, 使其可以检测到新的攻击。

3 基于多代理的分布式入侵检测模型的优缺点

本系统模型的优点有以下几点。

(1) 系统具有可扩展性;通过层次结构将代理设计成为多层架构, 有效减少向上层代理汇报的数据和报告。 (2) 灵活性;现有的结构可以容纳各种不同的入侵检测技术, 甚至是其它的安全技术, 如防火墙都可以打包成为一个普通代理。 (3) 协作性;每个功能代理检测虽然只是主机安全或者网络安全的一个方面, 甚至可能是简单的命令查询, 但通过LAA和DAA的联合协作, 就可以产生非常详细的检测结果。 (4) 数据来源不受限制;因为代理可以捕获网络数据包或其他适当的资源, 在需要时, 通过探测系统审计数据, 因此基于多代理的IDS可以打破基于主机型和基于网络型之间存在的传统界限。 (5) 跨广域网;通过MA跨广域网的协同入侵检测。 (6) 自适应;代理的功能通过能力库表示, 代理之间的协作通过协商确定, 根据网络情况自适应整个系统的结构。 (7) 与平台和开发语言无关;因为代理可以作为分离的进程在主机上运行, 每个代理都可以使用最适合其任务的语言, 通讯协议和通讯格式可以简单地按照共同的。 (8) 将代理设计成为相互独立的子集可以减少单点失效的问题, 一个代理失效不会影响整个IDS的工作, 不必重启就可以重新配置IDS (或部分IDS) 。

本模型的缺点有以下几个方面。

(1) Agent自身安全;在大规模开放式网络应用中, Agent本身也是存在安全问题, 引入安全检测代理, 相应的引来了敏感部件自身安全问题, 恶意的入侵者会从代理部件中获得关于系统和网络的信息, 对整个系统安全威胁更严重, 因此, 必须对Agent设计相应的保护机制。 (2) 对网络的影响;由于IDA间的协作都是通过相互间的通信来实现的, 在不同的主机之间的通信IDA如果过于频繁或过多的流量对网络流量造成的潜在影响, 如果入侵者了解可疑广播报文的结构, 可能会利用广播报文来进行拒绝服务攻击。然而, 由于在系统中, 每个IDA的可疑度是加权和, 所以进行广播的DA的可疑度增长速度更快可能会导致拒绝服务, 该IDA已经可以判断出这类异常, 因此, 使用广播包进行拒绝服务攻击的事情在系统模型中是无法运行的。每个IDA是相互合作, IDA可疑的广播数据包被接收到一定数量后, 怀疑的IDA的程度将超过一定的阈值, 将一条警告消息, 在这个时候, 特别是很短的一段时间内类似广播报文, 会更加警惕, 以防止发生的拒绝服务攻击。 (3) 对主机性能方面的影响;每个IDA只能检测网络或主机的某些方面的内容, 它可能需要一台主机的IDA以涵盖所有检测点, 这可能会导致潜在的影响主机系统的性能, 因此, 如果数量过多的IDA在一台主机, 你需要能够IDA合并功能相似或过于简单, 这方面的工作是我们今后工作的一个研究方向。

参考文献

[1]马恒太, 将建春, 陈伟峰, 等.基于Agent的分布式入侵检测系统模型[J].软件学报, 2000 (10) .

[2]董红斌.多Agent系统的现状与发展[J].计算机应用研究.2001.

[3]胡华平.入侵检测系统的研究现状与发展趋势[J].计算机工程与科学.2001.

[4]张俊海.基于多代理的分布式入侵检测体系分析[J].经济技术协作信息.2008 (8) .

[5]敖冰峰.基于移动Agent的入侵检测系统改进研究[D].哈尔滨理工大学, 2007.

[6]汤洁.分布式入侵检测系统的研究与设计[D].南京信息工程大学, 2008.

分布式的入侵检测系统 篇7

关键词：入侵检测系统,分布式,移动Agent

1 引言

随着网络系统结构的复杂化和大型化, 系统的弱点和漏洞将趋向于分布式, 而早期的IDS都是集中式IDS[1,2,3], 包括基于主机和基于网络的IDS, 他们的显著特点是在固定数量的场地进行数据分析。同时, 由于被监视的主机和网络数量的不断增加, 网络结构的复杂性日益增加, 网络资源一般都呈分布式的, 而入侵活动也逐渐具有协作性, 集中式的IDS逐渐暴露出其局限性, 如何将基于主机和网络的IDS各自的优势结合起来, 这就是分布式IDS产生的原因。

2 分布式IDS与Agent技术

2.1 Agent技术及其在分布式IDS中的应用

Agent可定义为[4]:“在某种特定环境下, 能连续、自主地完成某项工作的软件实体。它能根据环境的变化, 灵活、智能地做出反应, 并且可能从经验中获得学习。”将Agent技术用在入侵检测中, 是一种新的入侵检测模式。Agent有静态和动态之分, 静态Agent总是固定在单一的平台上, 它只能访问本地数据, 并将结果返回给用户, 从而大大的降低网络通信量。而移动Agent能够在一个平台上挂起, 并移动到另一平台上, 避免了在网络中传输大量的数据。

分布式IDS系统一般采用多个Agent, 每个Agent完成一项特定的功能, 各Agent间通过通信互相协作来完成入侵检测。由干Agent是独立运行的实体, 因此可以在不改变其他部件且不需要重新启动IDS的情况下就能加入、删除和重新配置Agent, 也可以用一组Agent来分别完成简单的功能, 彼此交换信息以得出更复杂的结果。

2.2 分布式IDS的研究现状及不足

目前, 比较典型的分布式IDS有美国普渡大学开发的应用自治Agent的分布式入侵检测结构[5] (AAFID) , 日本的IPA (Information-Technology Promotion Agency) 开发的一种网络IDS[6]-IDA (Intrusion Detection Agent System) , 清华大学设计了一种基于自治Agent的分布式IDS结构CoIDS[7] (Cooperative IDS) , 以及早期的基于网络活动行为图的入侵检测模型 (GrIDS) 等。表1是对一些典型的分布式IDS系统特征的对比, 可以看出尽管分布式IDS的研究取得了很大的进展, 但仍存在一些问题需要解决或改进, 主要有如下几个方面: (1) 系统的安全性和互操作性比较低; (2) 部分系统采用分布式组件收集信息 (如NADIR, AAFD等) , 数据经过过滤等简单处理后传输到中央单一主机上集中处理, 即数据收集分布式, 数据处理集中式, 由于待处理的数据量巨大, 大大减缓了系统的检测速度, 系统的响应速度也十分有限; (3) 系统的分布式组件常采用层次结构进行组织或借助黑板机制进行通讯 (如AAFID, IDA等) , 一旦高层节点或控制中心遭到攻击毁坏, 系统将不能正常的工作, 因而存在一定程度的单点失效问题; (4) 移动Agent的采用在一定程度上解决了上述问题, 可以使重要的部件在系统中迁移, 从而避开入侵者的攻击。因而我们提出并设计了一种基于移动Agent的分布式入侵检测系统 (MADIDS) 。

3 基于移动Agent的分布式入侵检测系统 (MADIDS)

3.1 MADIDS系统工作模型

系统将入侵检测系统中的Agent采用分布式结构进行组织, 并利用移动Agent的安全机制进行通讯。移动Agent技术的发展和应用为克服目前使用静态构件本质上的缺陷提供了可能性。移动性和自治性应用到入侵检测机制中, 实现了“哪里有入侵哪里有检测”的系统模型。不仅能实现全网络范围内的入侵检测功能, 具有良好的移植性;而且对网络系统和主机的资源占用较低, 减少了出现网络瓶颈的可能。MADIDS系统工作模型如图1所示:

MADIDS系统主要由三大功能模块组成, 分别为数据收集模块、分析协作模块以及管理控制模块。数据收集模块主要对来自主机日志和审计数据以及截获的网络数据包进行智能分析和预处理, 处理后的数据作为分析协作模块的数据来源。分析协作模块对可疑时间进行检测, 判断是否有入侵行为发生, 并检测结果对目标主机采取相应的措施和报警处理。这是入侵检测系统中最重要的模块, 主要由静态Agent和移动Agent两部分组成, 入侵检测的任务主要由它们来完成。管理控制模块主要负责系统的初始化操作及与用户进行人机交互。

3.2 MADIDS系统实现

模型的实现采用IBM Aglets-基于Java的移动Agent平台为Agent提供执行环境, 使其可以按具体的迁移机制在被监控的主机系统之间移动并执行入侵检测任务。系统使用Agent通信语言 (ACL) 作为Agent间交互的语言, Agent之间的通讯采用Aglets的Agent传输协议 (Agent Transfer Protocol, ATP) 来完成, 它是一个通用的移动Agent协议, 可以支持不同系统中的移动Agent的通信过程, 而且具有强大的网络功能。系统工作流程如图2所示:

(1) 每个目标节点的传感器对系统日志或网络进行监控, 搜索入侵可疑行为;

(2) 如果传感器发现了可疑行为, 立刻通知管理检测器, 同时该节点的Agent守护进程自动产生跟踪Agent, 并激活与该入侵可疑行为相关的信息收集与学习Agent;

(3) 信息收集与学习Agent在目标节点上收集与入侵可疑行为有关的信息, 并进行学习, 提取用户行为特征与有关的安全模式;

(4) 在激活信息收集与学习Agent后, 跟踪Agent继续探查入侵可疑行为发生的节点, 并努力探明该入侵嫌疑用户的远程登录位置;

(5) 信息收集与学习Agent完成任务后, 将结果传回给管理节点上的学习综合Agent;

(6) 跟踪Agent迁移到跟踪路径上的下一个目标节点, 激活新的信息收集与学习Agent;

(7) 如果跟踪Agent己到达入侵可疑行为源节点, 或再也无法移动, 就返回检测管理器中;

(8) 检测管理器中的学习综合Agent根据对信息收集与学习Agent传回的内容进行分析与综合, 并将结果提交给检测管理器;

(9) 检测管理器定期发出遍历Agent, 遍历它所管辖的网段, 同时收集各个目标节点的信息, 带回检测管理器交由学习综合Agent进行分析与综合。

(10) 检测管理器根据学习综合Agent提交的结果进行入侵检测和判断。如果判断发生了入侵, 那么系统将采取一定措施进行防范, 并且对入侵产生的后果进行处理, 即转入预警及实时响应阶段。

3.3 结果分析

(1) 性能分析

本文对系统进行了相关的测试。硬件环境如表2所示, 100兆D-Link网卡, 采用ATP协议进行通讯, 网络检测代理采用Libpcap库监听网络。为了做到数据包连续不断地到达, 本文测试时先用Tcpdump捕获一定数量的数据包存于文件中, 然后用检测代理进行处理。

系统启动前后资源的占有率 (CPU和内存) 如图3所示。实验结果显示, MADIDS的运行不会影响主机系统的正常结果。

(2) 结果统计

本实验通过模倞䈇拟对系统发起的端口扫描攻击和拒绝服务攻击的数据包总数和实际检测出的数据包进行统计, 统计结果如图4所示。

4 结论与展望

在本系统中, 实现了数据采集和入侵检测的分布式处理, 并把基于主机方式和网络方式入侵检测有机的结合在一起, 形成了分布式入侵检测系统。由于实现了各个Agent的真正的分布式结构, 解决了在分布式入侵检测系统中存在着关键节点问题。研究表明基于移动Agent的分布式实时入侵检测关键技术的究是解决当前信息网入侵检测问题中的行之有效的手段。进一步的研究目标是将神经网络和遗传算法等技术引入基于Agent的入侵检测系统, 构建自免疫的入侵检测系统, 使系统具备分析并检测未知的入侵模式的能力和自我发展的潜力。

参考文献

[1]Yan S, Zhang X.Computer network intrusion detection[A].1999, IEEE.

[2]Cabrera J, Ravichandran B, Mehra R K.Statistical Traffic Modeling for network intrusion detection[A].IEEE, 2000.

[3]Lippmann R, Haines JW.Fried D J.et al.Off-line intrusion detection evaluation[J].Computer Networks.2000, 34 (4) :579-595

[4]Spafford E H, Zamboni D.Intrusion detection using autonomous agents[J].Computer Networks.2000, 3 (4) :547-570.

[5]B.Mukherjee, L Heberlein, et al.Network intrusion detection[J].IEEE Network, 1994, 8 (3) :26-41.

[6]Midori Asaka.The implementation of IDA:An intrusion detection agent system[A].1999, IEEE.

[7]Dong Yongle, Qian Jun.A Cooperative Intrusion Detection System Based On Autonomous Agents[A].2003, IEEE.

[8]B.Mukherjee, L T, Heberlein.Levitt.Network Intrusion Detection, IEEE Network, 2004, 8 (3) :26-41.

分布式的入侵检测系统 篇8

入侵检测系统IDS(intrusion detection system)是近年出现的新型网络安全技术,由于它是一种主动的防御体系,所以越来越受到人们的关注[1]。目前有很多不同的新的研究方法特别是智能IDS,包括神经网络[2]、遗传算法[3]、模糊识别[4]、免疫系统[5]、数据挖掘[6]等。智能入侵检测最大的特点就是提供主动服务和智能性的服务。

本文针对入侵检测模块,提出了一种基于神经网络的入侵检测方法,使得入侵检测具有了智能性 ,对目前IDS存在的问题有了一定的改善。

1 IDS的缺陷

目前的入侵检测系统IDS由于种种原因存在许多的问题和不足之处,现在的人们通过新的技术不断的来开发它的不足之处以进一步的完善。但是一些缺点是继承于IDS的构成,以下是IDS一些不足之处[7]:

(1) 体系结构单一化:随着网络系统结构的复杂化和大型化,系统的弱点或漏洞将趋向于分布式。而且入侵行为不再是单一的行为,而是表现出相互协作入侵的特点。单一的基于主机、基于网络都不能满足这种变化的需要。现在大多采用两种相结合的方法来解决问题。

(2) 检测机制单一:现在的入侵检测系统一般都采用单一的分析方法。但现在入侵方法越来越复杂,单一的基于模式匹配或基于统计的分析方法已经难以发现许多复杂的攻击。

(3) 缺乏学习机制:攻击特征库更新不及时。绝大多数的入侵检测系统都采用基于规则的模式匹配的分析方法,这要求攻击特征库的特征值应该是最新的。在如今每天都有新漏洞发布、每天都有新的攻击方法产生的情况下显然不能满足安全需求。

(4) 缺乏协作性:IDS处于P2DR[8]模型的连接部分,重点在于检测,是无法取代防火墙、身份认证等防护技术的作用的。针对外部的入侵,防火墙可以进行主动的防护行为,截断外部的入侵。而IDS是被动的检测行为,其响应只是一种被动的响应。作为一个完整的网络安全体系,目前的IDS很难做到不同的安全系统之间的联动,共同防范网络攻击行为。

基于上述原因,再根据通用入侵检测框架CIDF,文章构建了一个层次结构的基于改进BP神经网络的多Agent分布式入侵检测系统MAIDSBN(Multi-Agent Distributed Intrusion Detection Syctem Baced on Inproved Neural Network),它采用了异常检测和误用检测相结合的技术,是一个高效的入侵检测系统。

2 入侵检测系统MAIDSBN

本文将Agent和BP神经网路引入到入侵检测系统,在系统MAIDSBN中,各个功能模块都采用Agent来实现,还有部分功能模块采用的是Agent和BP神经网络共同来实现的。Agent可以定义为:在某一环境中持续运行的、具有自治性的软件实体,并且又有移动和静态之分。静态Agent具有自治性、协同性等特征。移动Agent是指一个可以在网络节点间自主移动的软件实体。在MAIDSBN中的事件模块和分析模块的体积比较大移动性差,所以在设计时采用的是静态的Agent。响应模块采用的是移动Agent的形式来实现的。

MAIDSBN包含了四个层次:数据收集层、入侵检测层、通信层、管理层。其结构如图1所示。

图1中EA(Event Agent)为事件Agent;IDA (Intrusion Detection Agent)为事件检测Agent;SDA(Status Detect Agent)为状态检查Agent;ES(Expert System)为专家系统;TSA(Transport ServeiseAgent)为通信服务Agent ;MA (Mobile Agent)为移动Agent。

数据收集层主要负责数据的采集,包括主机的数据和网络数据。主机数据包括从主机的审计数据和系统的日志文件中获得数据,网络数据包括从网络协议监视器中获得数据,它们在获得后经过处理以标准的数据传给入侵检测Agent。

入侵检测层负责对事件进行分析和判断,在入侵检测层中每个IDA负责一定的检测任务,检测系统的某个方面,其中分为主机检测Agent和网络检测Agent,主机检测Agent主要执行基于主机的入侵检测任务;网络入侵检测Agent主要执行基于网络的入侵检测任务。各个IDA从事件Agent中接收事件,有自己特定的检测方法和响应方式,同时各个IDA之间又进行相互协作。状态检查Agent是为了保护IDA而建立的,它定时检查TSA和本机内的IDA的状态,并负责向管理层报告。

通信层负责主机内以及管理与协调主机间的通信服务,TSA是专门用于通信的Agent,它记录着本机所有的IDA以及它们之间的联系方式,它可以为数据包提供路由服务,它的主要任务就是负责接收和转发数据包,每个资源节点上的TSA都是唯一的,当IDA需要传送数据时,它指定目标IDA,然后将数据传送给TSA,TSA将数据包转发给监控管理或者是目标TSA,目标TSA再将数据转送给目标IDA。通信服务Agent主要负责管理和控制主机内的Agent,并提供接口将数据分析的结果传送给监控管理层。

管理层包括网络级监控管理、移动Agent、数据库。网络级监控管理接收各种数据分析发回的入侵报告,存入数据库,并进行进一步的相关分析以提高检测的准确性。然后再采取相应的响应,即向被入侵的主机或网络发送Agent来响应,由移动Agent来完成响应,或将警告通知网络安全管理员,由网络安全管理员来决定作出何种响应。网络级监控管理还负责移动Agent的管理、分发和回收的工作。当在检测大型的网络时网络级的监控管理是由多个层次结构组成的,每个网络级监控管理负责一个区域,并且越向上管理级别越高,而且管理的范围就越大。网络级监控器分布在不同的主机上,当一个监控器受到攻击时,不会导致整个系统的崩溃,体现了系统的分布性。所以这样的机构具有很强的扩展性,并且也提高了系统的效率。

由于入侵手段的多样性以及网络系统的复杂性,引入神经网络大大丰富了入侵检测系统的实现手段。神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,它所具备的概括抽象能力、学习和自适应能力以及内在的并行计算特性,使得其在入侵检测中的应用具有明显的优势。将改进的BP神经网络方法用于Agent的设计中,主要是指IDA的神经网络结构参数的设定与神经网络的学习,智能IDA主要包括预处理模块、神经网络模块和专家系统模块。

BP(Back Propagation)[10]的思想是把一组样本的I/0问题变为一个非线性优化问题,使用了优化中最普通的梯度下降法,用迭代运算求解权对应于学习记忆问题,加入隐节点使优化问题的可调参数增加,从而可得到更精确的解,节点的作用函数通常选取S型函数即f(x)=1/(1+exp(-x))。改进的BP神经网络反向传播时根据样本的总误差undefined,其中Ek为第k个样本的误差,按照公式(1)所示:

Δωji(t+1)=ηkjοkj+αΔωji(t) (1)

修正网络的权值和阈值。其中ωji(t+1)为下一时刻权值与当前权值的差;Δωji(t)为当前权值与前一时刻权值的差;二是一个常数,它决定过去权值的变化对目前权值变化的影响程度;η为学习速率;ηij为输人k在j节点的训练误差,οkj为输人k在j节点的实际输出。改进的BP算法根据情况确定学习速度,即让学习速率η和动量项α可变,如果当前的误差梯度修正方向正确,就增大学习率,加人动量项;否则减小学习率,甩掉动量项,从而加快收敛速度。另外算法中将输人的多个样本误差求和累加,然后集中修权值,降低权值修改频率,使权值沿总体误差最小的方向调整。将改进BP神经网络应用于人侵检测,通过训练后的神经网络具有的泛化特性,利用已有知识判断和识别入侵。

3 MAIDSBN仿真实验及分析

开发阶段将实现一个异构平台上的系统,监控管理部署于Windows XP平台上,数据库采用SQL Server,具体编程采用Visual c+ + 6.0,IDA模拟证明过程主要在Linux平台上开发,我们主要考虑了一个网络事件Agent和一个基于改进BP神经网络BPIDA的实现,针对网络数据包的特征,检测几种典型的网络攻击。

3.1 数据采集

我们使用Libpcab/TCPdump来获得数据,也就是要训练和测试的数据,评估数据集DARPA。先把数据集用TCPdump转存为6个数据文件,每组都有200个异常和200个正常的行为,编号为A、B、C、D、E、F其中A、B、C 三组用于训练,D、E、F用于检测。

3.2 数据的预处理

把采集来的数据文件进行格式化,去掉字符信息和不必要的属性信息即噪声信息,并转化为标准的二进制文件,经过预处理程序(编码规则如表1所示),把数据包转换成164个分向量的特征矢量,其中包含了IP地址、标示位等信息。把处理后的A、B、C三组数据输入改进的BP神经网络进行学习训练。

3.3 训练神经网络

把上述二组训练样本(只包含二进制数和期望输出),依次输入到神经网络。神经网络对应的输入层节点个数为164个,对应训练样本的164位向量,隐含层节点数我们选取80,输出层采用了三个节点,初始学习率η设为0. 5,训练6000次,训练的误差率如图2所示。

3.4 测试神经网络及结果

BP网络的应用不仅需要一个训练集,还需要一个评价训练效果的测试集。训练集和测试集都是由输入输出对样本构成的集合。训练集用于训练网络,使网络能够按照学习算法调节结构参数;测试集是用于评价已训练好的网络性能,即网络的泛化性能。我们采用另外三组数据D、E、F来测试神经网络的检测效果如表3所示,并和未使用神经网络以前检测的结果相对照。(D1、E1、F1)如表2所示。

表中误报率、漏报率、准确率的公式为:误报率=正常检测为异常的样本个数/样本总数漏报率=异常检测为正常的样本个数/样本总数准确率=正确检测的样本数目/样本总数

4 结 论

本文将Agent技术和神经网络应用到入侵检测系统中,构建了一个智能Agent的入侵检测系统。利用BP神经网络设计的入侵检测单元,通过使用神经网络的入侵检测Agent与未使用神经网络的入侵检测Agent实验对比,前者在误报率、漏报率有一定的改善。在以后的工作中还要进一步的完善。

摘要：针对目前入侵检测技术存在问题。根据通用入侵检测框架CIDF,给出了一个基于改进BP神经网络的多Agent分布式入侵检测模型MAIDMBN(Multi-Agent Distributed Intrusion Detection Model Based on Improved BP Neural Network),该模型采用了异常检测与误用检测相结合和基改进BP算法的学习机制。MAIDMBN的实验结果表明在误报率、漏报率有一定的改善,系统能进行有效的检测。

关键词：入侵检测,智能Agent,BP神经网络,分布式MAIDMBN

参考文献

[1]Barber Richard.TheEvolution of Intrusion DetectionSystems-theNext-Step.computer&Security,2001,28(5):132-145.

[2]Susan C L,David V H.Training a Neural-network Based Intrusion De-tector[J].IEEE Transaction son systems,manandcybemetics-parta:System and Humans,2001,31(4):294-299.

[3]Balajinath B,Raghavan S V.Intrusion detection through learning be-havior model[J].Computer Communications,2005,24(12):1202-1212.

[4]李之堂,杨红云.模糊入侵检测模型[J].计算机工程与科学,2000,22(2):49-53.

[5]Steven A H.An Immunological Model of Distributed Detection and ItsApplication Computer Security[D].PhDthesis.NEWmexico.The Uni-versity of NewMexico,1999.

[6]Manganaris,et al.A data mining analysis of RTID alarms[J]ComputerNetworks,2004,34(4):571-577.

[7]王素文,胡松涛.一种基于移动agent的入侵检测系统的框架研究[J].应用科技,2005,32(3):49-51.

[8]熊炜.基于代理(Agent)的实时分布式网络入侵检测系统的设计与实现[D].山东大学硕士论文,2004:15-17.

[9]满红芳,宿超,马春清.基于的分布式入侵检测系统模型的研究与设计[J].山东电大学报,2006,24(1):38-40.

分布式发电系统的孤岛检测方法研究 篇9

随着现今能源危机的加剧和环保意识的增强,以可再生绿色能源为基础的分布式发电(Distributed Generation,DG)系统受到人们越来越多的关注。DG是指在用户侧安装的中小型的发电装置,既可以并入大电网一起为用户提供电能,也可独立于大电网为少量的用户提供电能[1,2]。

孤岛现象(Islanding)是指电网断电时,分布式电源仍向本地负载供电,从而形成一个公共电网系统无法控制的自给供电孤岛[3]。孤岛现象可能对整个配电网的系统设备及用户端的设备造成不利的影响[4],例如:对电力公司输电线路维修人员的安全危害;电力孤岛区域所发生的供电电压与频率的不稳定现象;当电力公司供电恢复时所造成的相位不同步问题等等。基于上述目的,孤岛检测具有很强的现实意义。

1 孤岛效应分析及其检测盲区

1.1 孤岛检测的标准

孤岛检测方法的研究,最初是以光伏并网系统开始的[5]。现有的国际标准中[3,6,7,8,9,10],都将防止孤岛效应提到了非常重要的位置。专用标准IEEE Std.2000-929和UL1741指出,所有的并网逆变器必须具有反孤岛的功能,并给出了逆变器在电网断电后检测到孤岛现象并将逆变器与电网断开的时间限制,见表1所示。

1.2 孤岛效应的分析

图1是基于逆变器侧的孤岛检测的测试电路,它由Haberlin提出,并在IEEE Std.2000-929中给出了规定。图中P(Q)是指逆变器输出的有功(无功)功率,∆P(∆Q)是指电网正常工作时逆变器输送到电网的有功(无功)功率,Ug是电网电压;Uinv是逆变器的输出电压。

注:Vnom为电网正常的电压幅值。对于中国的单相市电,为220V;fnom为电网电压频率的正常值。对于中国的单相市电,为50 Hz。

(a)逆变器并网工作时,由于受到电网的影响,逆变器输出的电压和频率与电网电压和频率相同。根据功率平衡原理,则有:

其中,ωg为电网电压波形的角频率。

(b)逆变器断网工作时,其功率平衡方程可表示为:

其中,ωinv为逆变器输出电压波形的角频率。

联立式(1)、(3)可得:

联立式(2)、(4)可得到:

其中,Qc=ωgCUg2是电容C的无功功率。

联立式(5)、(6)可得:

当逆变器断网工作时,逆变器输出的功率几乎全部提供给负载,即∆P=0,∆Q=0。将其带入式(7),可得到:

解式(8)得到ωg=ωinv。

将∆P=0代入式(5),得到Ug=Uinv。

综上所述,当逆变器断网工作时,如果逆变器的输出与负载匹配时,其频率和电压几乎与并网工作时没有变化,从而使得过/欠电压(OVR/UVR)高/低频率(OFR/UFR)继电器保护失败,进入检测盲区NDZ(Non Detection Zone)。

1.3 检测盲区NDZ

检测盲区是指在一定的区域内,孤岛检测方法不能检测出孤岛现象。因此,检测盲区的大小可以作为判断一种检测方法是否可行的标准[11],检测盲区越小,判断孤岛现象越可靠,然而由于实际的电网环境比较复杂,若检测盲区太小,也可能引起“孤岛误判”。

文献[12]所指出检测盲区NDZ作为评判孤岛检测方法的性能指标,一般是在功率不匹配空间(∆P×∆Q空间)上进行分析,也可以在RLC负载空间上定义,但由于其对于如电机负载之类的有源负载的不兼容性,一般不予考虑。该文献对三种经典的被动孤岛检测方法的NDZ进行了推导和仿真,分析了影响NDZ的主导因素,不仅有助于反孤岛保护,而且对寻找最小NDZ的最优控制也有帮助。

2 逆变器侧的被动孤岛检测

被动检测是直接监测选定的公共耦合点PCC的参数(电压、频率、谐波等),同时控制逆变器在一定条件下停止并网运行。具体可分为以下三类。

2.1 过/欠电压,高/低频率保护电路法

一般的逆变器都有过/欠电压,高/低频率保护(OVR/UVR,OFR/UFR)[12]电路,当出现孤岛时,公共耦合点的电压频率将发生改变,一旦超出保护电路的阈值范围,则可以检测出孤岛。

该方法比较简单,成本低,是其他检测方法的基础。但如前面所述,当∆P=0时,即电源-负载匹配时,PCC的电压频率几乎不变,从而进入检测盲区。实际上,∆P不可能完全为0,而由于电网的电压频率总会在一定范围内波动,保护电路的阈值范围也不能设定的太小,否则容易引起误判。因此,仅使用OVR/UVR,OFR/UFR进行孤岛检测,检测盲区较大。

2.2 电压谐波检测法

电压谐波检测法(Voltage Harmonics monitoring method)是以分布式发电系统的电力变压器的非线性特性为基础的[13]。通过监测逆变器端输出电压的总谐波畸变量(THD)来实现孤岛检测。在正常的并网情况下,逆变器输出的电流虽然含有一定的谐波分量,但电网为低阻抗的电压源,从而输出的电压总谐波畸变量很小(THD≈0);如果出现孤岛,带有谐波分量的电流流入比系统阻抗大很多的负载阻抗,从而使得逆变器的端电压产生很大的谐波畸变量,超出设定的阈值,则可以检测出孤岛。

理论上分析,电压谐波检测法能够比较有效地检测出孤岛,但是由于电网运行较为复杂,并且含有很多非线性器件,使得谐波的变化比较复杂,因而很难确定一个合适的阈值。

2.3 电压相位突变法

电压相位突变检测法[14](Phase Jump detection,PJD)是通过逆变器输出的电流与电压之间的相位差来实现孤岛检测。在正常并网运行时,逆变器输出的电压等于电网电压Ug,逆变器输出电流应与电网电压同相位(通常以锁相环PLL完成),以实现单位功率因数并网发电。当与电网断开时,逆变器输出电压不再受到电网电压的影响,但是逆变器的电流由于PLL的作用继续保持不变,负载的相位应该与电网断开之前相同,因此电压必须跳到新的相位,在下一个过零点处,就可以检测出电流和电压的相位误差,如果超出所设定的阈值则可检测出孤岛。

此方法较为简单,既不影响电能质量也不影响系统的暂态响应,但选择合适的阈值是一个难点,既要考虑阈值太小容易将某些负载(例如电动机)启动时的瞬时的相位突变误判为孤岛,又要考虑到逆变器输出的电流和电压之间的相位由负载决定,若阈值太大,当负载为阻性负载或断电前后负载的阻抗特性没有发生变化,则该方法失效。

文献[15]提出采用具有过/欠电压检测功能的电压相位突变检测方法,该方法克服了单独采用电压相位突变在阻性负载下失效的情况,并提出了解决由于电网不稳定和大负载突然投切时引起电网波动从而导致孤岛误判的保护措施。

通过上述分析,被动检测方法操作比较简单,易于实现,由于是直接监测,对系统的电能质量和稳定性都没有影响。但是此类方法的阈值都比较难确定,并且它们对逆变器的输出功率与负载的功率是否匹配有严格的要求,存在着较大的检测盲区。

3 逆变器侧的主动孤岛检测

主动检测法是指在逆变器控制信号中加入相应的扰动,当电网正常工作时,由于电网的平衡作用,扰动信号几乎不起作用;若出现孤岛,扰动信号的存在会破坏系统的平衡,使得电压、频率等出现明显的变化,如果变化超出所规定的阈值范围,则可检测出孤岛。具体可分为以下几类。

3.1 功率扰动法

3.1.1 有功功率扰动法

针对被动检测法中出现的如果逆变器输出功率与负载功率匹配则检测方法失效,该方法对逆变器的输出功率进行周期性的扰动,从而破坏原有的平衡,检测出孤岛。

具体的操作是对电流源型逆变器的电流施加扰动,在断网情况下,电压也发生变化,导致有功功率发生变化。实质上,该方法监测的是dv/di,在文献[16]中也称此方法为“阻抗测量法”。又因为是对电流施加扰动,文献[4,17]也称其为“主动电流干扰法”,并给出了仿真模型。该方法对电网不会产生谐波,很好地避免了下文提到的频率扰动法对系统稳定造成的影响,对于单个逆变器与电网相连的情况,具有很高的实用价值。缺点是对有多个逆变器的并网系统,由于所有的逆变器的扰动并不一定同步,则有可能失效。

3.1.2 无功功率补偿法

文献[18-19]提出了应用无功功率补偿技术(Reactive power compensation,RPC)进行孤岛检测。由公式(1)和(2)得出有功功率和电压有关,无功功率与系统的电压、频率有关。并网时,由于电网的控制作用,负载的电压和频率没有太大的变化;断网时,逆变器输出的无功功率和负载不匹配,从而导致负载的电压和频率发生变化。文中还提到为了防止固定的无功补偿功率可能与负载需求一致,在实际的设计过程中,加入对负载无功需求的监测,部分无功仍由电网提供,以保证出现孤岛时逆变器输出的无功功率与负载需求不一致。

3.2 频率扰动法

频率扰动法主要有有源频率偏移(Active Frequency Drift,AFD),频率跳变(Frequency Jump,FJ),Sandia频率偏移(Sandia Frequency Shift,SFS)。

3.2.1 有源频率偏移法[20]

逆变器输出的电流总会有一些失真,当出现孤岛时,公共耦合点处的电压aV将会发生变化。如图2所示波形,以无扰动的正弦波作为参照,VT是电网电压的周期,IT是系统输出电流的周期,tz是零点(死区)时间。定义偏移因子(chopping fraction)cf=2t/T,在前半周期,系统的输出电流是频率

比电网电压稍高一点的正弦波,当其到达零点时,维持零点tz时间,接着进入后半个周期,当其再次到达零点时,继续维持零点直至电网电压过零(后半周期维持零点的时间不一定等于tz)。如果将这样的电流加到阻性负载上,则电压响应将以更短的时间到达零点。因此,aV更快的到达零点,aV与I之间的相位差增大了。阻性负载电压响应的过零点时间缩短,系统检测到相位差,逆变器的输出频率将发生变化,直到频率超出OFR/UFR保护电路的范围,检测出孤岛。

AFD只需对逆变器的输出电流加入少量的畸变,比较简单,容易实现。但是电流的畸变会影响到电能质量,在使用该方法时,对于孤岛的检测和电能质量要进行折中考虑。若存在多个逆变器,为了防止引入的电流畸变相互抵消,还应保持频率的偏移方向一致。

AFD仍然存在着检测盲区[13]。当逆变器与电网断开时,逆变器的电流与电压的相角由负载决定,若负载为RLC并联负载,采用AFD时产生的相位差等于孤岛时负载的相位差,即:

此时RLC负载的谐振频率满足式(9),而频率ω仍然在OFR/UFR保护电路的范围内,则进入检测盲区。

3.2.2 频率跳变法

文献[16]提出的频率跳变法(FJ)实际是对AFD的一种修改,该方法对逆变器的输出电流波形的任一周期加入tz(并不是对每个周期都采取这样的方式),并将频率预先设定好振动模式。并网情况下,由于电网的作用,波动几乎没有;若出现孤岛,通过检测逆变器的输出电压频率的振动模式,与原来设定的进行比对,从而检测出孤岛。

频率跳变法在振动模式足够成熟下有效,它在一定程度上对电能质量有了一些改善,但这是以检测速度为代价的,并且在有多台逆变器的情况下,考虑到频率偏移的方向,孤岛检测可能失效。

3.2.3 Sandia频率偏移法

Sandia频率偏移法(SFS/AFDPF)也是对AFD的一些改进[14,20],为了减小AFD的检测盲区和响应时间,引入正反馈,因此也称为正反馈下的有源频率偏移(Active Frequency Drift with Positive Feedback,AFDPF)。通过增加频率来提高cf的值:

其中:cfk-1为上一周期的偏移因子;F为逆变器输出电压频率差值∆ωk=ω-1-ω0的正反馈函数。

在并网运行的情况下,电网的稳定性能够阻止频率的变化;在孤岛发生时,由于引入正反馈机制,加速了频率偏移,从而提高了孤岛检测速度。AFDPF的关键是选择合适的正反馈函数,使在维持系统稳定的前提下,频率偏移的速度加快。

由于负载的性质对频率的变化有影响,可能会减缓甚至抵消频率的增加,从而降低了孤岛检测的效率。

文献[21]提出了一种新的周期扰动正反馈有源Disturbance and Positive Feedback,AFDPDPF)。该方法通过对逆变器的输出电压进行正反两个方面的周期性不间断的频率扰动,由于施加了正反两个方面的扰动,克服了AFD或是AFDPF中负载性质对单一频率扰动方向的平衡作用,提高孤岛检测的效率,减小检测盲区。但是该方法对频率的检测要求较高,相应的硬件成本较大。

文献[22]提出了正反馈频率法进行孤岛检测,并给出了程序流程图及Matlab仿真结果。该方法通过判断电网频率的偏移方向来控制对电流施加的扰动,若电流频率达到频率保护电路的阈值则检测出孤岛。通过仿真结果的验证,该方法能够快速地检测出孤岛。

文献[23]提出了基于周期交替电流扰动法。该方法仍然以AFD为基础,但是通过一种新的扰动电流的方法来判断电压频率是否周期性高低交替变化,从而检测孤岛。通过判断电压频率的高低交替变化可以有效地避免电压频率处于检测盲区的情况。但是也存在电压频率变化速率较慢,多台逆变器并网时的同步问题。因而通常将该方法与AFD结合起来进行检测孤岛。

3.3 相位偏移法

相位偏移法主要有滑模频率偏移法(Slip-mode Frequency Shift,SMS),自动移相法(Automatic Phase Shift,APS)。

3.3.1 滑模频率偏移法

滑模频率偏移法(SMS)与有源频率偏移法的原理基本类似,不同之处在于SMS是对相位进行扰动[13]。SMS对逆变器输出电流相位进行扰动,控制逆变器的输出电流相位为频率偏差函数:

其中:fm是当最大相位偏移角θm出现时的频率;fg为电网的额定工作频率;f是公共耦合点的频率。

当并网运行时,系统的频率为fg;当断网时,如果负载相位的变化小于相位差的变化(负载相位曲线的斜率小于SMS曲线的斜率),即:

图3为SMS相频曲线和负载相频曲线。反馈机制,逆变器的S型曲线将会使相位进一步发生变化,使频率到达新的稳定工作点。新的工作点频率超出OFR/UFR保护电路的阈值范围,从而检测出孤岛。

该方法的孤岛检测效率很高,且具有较小的NDZ,但是如果负载的相位变化过大,大于S型曲线,稳定工作点在工频处,则会导致该方法失效。

文献[24]针对滑动频率偏移法中所采用的电流相位角控制函数θSMS的参数进行了分析,对文献[13]中提出的fm-fg取3,θm取10°,从而得到的进行论证,提出由于我国电网参数和并网标准不同,该参数并不适用。将其修改为即其最大相位偏移角θm所对应的频率fm调整为51 Hz。通过仿真,证明了修改后的参数配置对孤岛检测更为有效。

3.3.2 自动移相法[25]

自动移相法是在SMS方法的基础上发展起来的,该方法中,引入了参考电压的相移θAPS即:

其中相差θ0[k]是稳态频率变化∆fss的符号函数:

其中,

当出现孤岛时,稳态频率发生微小的增加,导致θ0[k]有一个增量∆θ,破坏了原有的平衡,为了达到新的平衡,将不断增大频率,此时∆fss为正,θ0[k]的变化引起θAPS的变化,进而θAPS又引起频率的变化,这样形成正反馈,最终超过OFR电路的保护范围,孤岛被检测出来。反之,如果稳态频率发生微小的减小,最终将超过UFR的保护范围,检测到孤岛。

4 微网的孤岛运行

为了更大地发挥分布式发电的优势,专家学者提出了微网(microgrid)的概念。微网是一种由负荷和微电源(micro sources,即微网中的分布式电源)及储能装置共同组成的有机系统[26]。在微网系统中,孤岛运行和并网运行是其两种基本的运行模式,静态开关和微电源是其两个关键元件[27]。当大电网发生故障并不能立即恢复时,静态开关断开,微网转入孤岛运行,从而保证部分重要负荷的不间断供电;当故障解除时,通过适当的控制,微网可以重新并网运行。文献[28]对微网处于孤岛运行时微电源与储能装置的协调控制进行了讨论,并提出针对影响协调控制方法的各个因素来选择采用不同的控制方法。微网要从并网运行模式向孤岛运行模式进行平稳转换,微网本身必须具备在瞬时扰动出现的情况下,将电压与频率稳定在允许范围内。在孤岛模式下,微网控制中心把对重要负荷的可靠供电放在首要地位,而对于非重要负荷和微网运行的经济优化等放在次要地位,因此对一些非重要负荷的切除或断开也是必要的手段,可以说微网的孤岛运行,很重要的因素是维持微网中的能量平衡[29]。

5 孤岛检测方法比较及其他检测方法

表2将常见的孤岛检测的方法进行了分类比较,各种检测方案都有其各自的特点,在选择时应根据具体的应用环境选择相应的检测方法,或者将其配合使用,从而达到高效,准确的检测目的。

通过表2的分析和比较,可以看出对应于同一个监测量,都有主动和被动两种方法,而两类方法都各有其自身的优缺点。由于是直接对想要监控的参数进行测量,所有的被动检测法都比较简单,对电能质量和系统的暂态响应基本都没有太大的影响,但是检测盲区过大以及阈值范围的难以确定使此类方法的使用具有较大的局限性;与其相对应的主动检测法,针对被动检测法存在的问题,对所需监测量加入扰动,使其在断网情况下快速出现异常,从而检测出孤岛,检测盲区有了很大的改进,但是由于引入扰动,对系统的暂态响应有一定影响,对于多台逆变器并网情况下,扰动的一致性也是普遍存在的问题。

上述的主动和被动检测法都是基于逆变器并网侧的检测方法,除此之外,还有一些电网侧的孤岛检测方法,如利用电力载波通讯[30](Power Line Carrier Communication,PLCC)、网络监控数据采集系统[31](Supervisory Control and Data Acquisition,SCADA)等远程通信手段的检测方法。电网侧的孤岛检测具有实时性强,效率高,稳定性好的特点,但是由于需要添加一些额外的设备,投资成本较大,适合于大功率的大型的分布式发电系统。

6 总结

分布式的入侵检测系统 篇10

流行病学研究表明, 人群发病率和死亡率与大气颗粒物浓度, 特别是室内颗粒物浓度有非常大的关系[1,2]。粉尘和异味作为室内空气污染的主要污染物, 其检测技术备受重视。现有空气质量监测装置存在可靠性低、测量速度慢、报警信号不明显、不能远程监控等不足。

作为有效支持分布式控制的多主串行现场总线之一的CAN总线, 其具有检错能力强、通讯硬件接口简单、通讯介质选择灵活、可靠性高、实时性强、价格低等特点而被受现场设备互连的青睐, 广泛应用于汽车自动化、楼宇自控、工业控制等领域[3,4,5]。针对空气质量检测现场相对分散, 需要将多个节点的气体浓度数据汇总传输至控制器。因此, 提出了基于CAN总线的分布式室内空气质量检测系统, 避免过多污染物被吸入人体, 影响健康。此外, 人们随着对生活质量的追求, 也开始对交通、娱乐、健身等公共场所及办公场所环境监控有了更高的要求, 可通过本该检测设施进行空气质量的监测。

1 系统总体设计

该检测系统由上位机、CAN智能适配卡、CAN控制网络及CAN智能节点构成。上位机主要完成数据的显示与处理、配置初始化信息以及系统的在线监控等功能;CAN智能适配卡通过PCI总线与上位机相连, 负责上位机与各节点的通信。CAN智能节点位于现场, 主要负责数据的采集与处理, 它由带有CAN控制芯片的微控制器和总线收发器组成, 功能是实现现场粉尘与异味浓度的自动检测、控制现场设备运行及通过CAN总线与上位机进行数据交换及信息的管理。系统节点网络如图1所示。

此系统不仅能对室内各个检测地点的空气质量进行实时监测, 当粉尘与异味浓度超过设定阈值, 系统将会发出报警。同时将粉尘与异味的浓度信息上传至监控中心, 实现实时远程检测与控制。

2 CAN智能节点硬件结构

CAN总线主要是通过多个CAN智能节点连接成网络, 而CAN智能节点是系统采集与控制信号传输的枢纽, 其检测准确与否直接决定着系统的好坏。因此, CAN节点的设计尤为重要。

CAN智能节点主要包括两部分:硬件电路部分和软件部分。CAN智能节点的硬件电路通过GP2Y1010AU粉尘传感器与TGS2600异味传感器采集室内空气中粉尘和异味的浓度, 产生特定的模拟信号并输出给单片机P87C591, 该信号由单片机及其外围电路进行处理, 利用FM12864I模块对粉尘和异味浓度进行显示, 当粉尘或异味浓度超过设定阈值报警系统将发出警报。

节点的微控制器P87C591具有片内CAN控制器, 并采用总线收发器TJAl050, 它可以为总线提供差分发送性能, 其传送的差分信号能有效避免或减少各种电磁噪声带来的影响[6], 可连接节点高达112个[7]。其硬件系统框图如图2所示。

软件部分采用模块程序, 各个子程序都具有相对独立的功能, 易于扩展。

2.1 微处理器

处理器模块是粉尘与异味浓度检测节点系统的核心。本节点采用PHILIPS公司的P87C591单片机。该单片机是从80C51微控制器派生出来的8位高性能微控制器, 片内包含有CAN控制器。它既具有80C51的相关特性, 有具有CAN控制器SJAl000的功能。片内具有16k的ROM和512字节RAM以及6路模拟输入的10位ADC, 可选择快速8位ADC, 全静态中央处理单元提供了扩展节电方式, 改进的内部时钟分频器, 在8MHz时钟速率下可实现1Mbit/s总线传输速率;且它包括CAN控制器SJAl000, 具有CAN控制器的Peli CAN功能:支持11位标准与29位扩展标识符, 它有4个独立可配置的接收滤波器, 每个接收滤波器32位屏蔽允许唯一的组寻址。另外它结合了P87C544的功能, 使得CAN接收中断和验收滤波器得到增强与扩展[8]。

2.2 粉尘传感器模块

室内粉尘检测系统要求粉尘传感器具有易于保养、使用寿命长、稳定性好、精度高等特点。根据室内粉尘的特性, 本系统选用GP2Y1010AU粉尘传感器, 该传感器可测量0.8μm以上的微小粒子, 是空气净化器产品中首选的粉尘传感器。

根据GP2Y1010AU粉尘传感器工作原理[9], GP2Y1010AU通过LED驱动接收到CPU (主芯片) P1.6发出的粉尘检测指令控制信号, 开始对粉尘进行检测;再以占空比的形式将检测到的信号反馈给CPU的P1.7引脚;CPU根据1.7输出信号占空比, 然后粉尘传感器将输出信号转换成粉尘浓度并通过LCD显示。

2.3 异味传感器模块

根据室内常见异味 (香烟、烟雾、甲烷) , 本系统选择的异味传感器为TGS2600, 其具有对香烟和甲烷臭味灵敏度高、长寿命、低成本、设计电路简单等特性, 是空气净化器产品和室内空气监视器常用的传感器[10]。此传感器需要施加两个电压:加热器电压 (VH) 和回路电压 (VC) 。VH施加在集成的加热器上, 用于维持敏感器件处于与检测气体相适应的特定温度。VC则是用于测定与传感器串联的负载电阻 (R4) 上的两端电压 (VOUT) 。将检测到的异味电信号传输出到CPU, CPU将其转换为异味气体浓度并通过LCD显示。

2.4 CAN通信模块

采用收发器TJAl050作为总线收发器, TJAl050为总线提供差分收发功能, 其具有电磁兼容性EMC, 且在不上电时总线呈现无源特性。为了将总线上各CAN智能节点间进行电气隔离, 从而增强CAN总线节点的抗干扰能力, 采用高速光耦6N137将微控制器P87C591和总线收发器进行连接。

结合各模块的性能和特性, 设计出了室内粉尘与异味检测系统的硬件电路原理图如图3所示。

3 系统软件设计

在粉尘与异味检测系统中, 各智能节点通过CAN总线不断向上位机发送测试数据, 数据以帧的形式进行传输, 本系统采用CAN2.0B支持29位标识符的扩展帧。并接收来自上位机的命令与数据。在巡检过程中, 根据各区域对粉尘与异味的具体要求, 上位机可通过指令方式设置粉尘与异味浓度的上限并下达到各智能节点。上位机将记录各节点上报的检测数据, 并对超过警报上限的区域发出警报并启动所在区域的空气净化器对空气质量进行改善与控制。

CAN通信模块的软件设计主要包括CAN节点的初始化和收发中断子程序两大部分[8]。当初始化工作完成之后, 系统进入运行模式进行数据的收发程序。由于粉尘与异味检测系统需要实时采集和处理数据, 因此要求CAN网络通信具有实时性。故其通信采用外部中断方式。

3.1 CAN节点初始化

初始化过程只能在复位模式下进行, 初始化主要包括工作方式的设置、时钟分频寄存器的设置、接收屏蔽寄存器 (AMR) 和接收代码寄存器 (ACR) 的设置、波特率参数设置 (主要包含总线定时器0与总线定时器1的设置) 、输出控制寄存器和中断允许寄存器 (IER) 的设置等。系统初始化流程图如图4所示。

3.2 CAN节点报文的收发程序

在完成初始化后, 系统进入工作状态。节点报文的发送由发送子程序负责, 将需要发送的数据按照特定格式组成帧发送到CAN控制器的发送缓冲区, 然后启动发送命令进行数据的发送。发送中断子程序流程图如图5所示。接收子程序除了负责节点报文的接收还要对错误报警、总线关闭、接收溢出等情况进行处理, 接收子程序比发送子程序要复杂。接收中断子程序流程图如图6所示。

4结束语

基于CAN总线的分布式空气质量智能检测系统采用模块化、总线化设计, 层次清晰, 便于维护;采用全数字信号通信模式, 抗干扰能力强, 且传输方式简单, 提高了检测系统的稳定性和可靠性;整个系统具有低功耗、小型化、高精度、灵活性强等特点, 可用于对不同环境下空气质量的实时监测;分布式检测满足了控制区域广、可靠性要求高等需求, 并可与空气净化系统结合实现工业生产现场、交通、娱乐、健身等场所的空气智能净化, 具有很好的实用价值。

摘要：为了满足对室内空气质量的实时监控, 保护人体健康, 设计了基于CAN总线的分布式空气质量检测系统, 给出了CAN总线智能节点的硬件构成及空气质量检测的软件实现方法。该系统具有可靠性高、通信速度快、抗干扰能力强等特点, 可用于不同环境下对空气质量的实时监测, 是一种便捷实用的室内空气质量检测系统。

关键词：CAN总线,传感器,空气质量检测,智能节点

参考文献

[1]王琨, 李文朴.室内空气污染及其控制措施的比较研究[J].哈尔滨工业大学学报, 2004, 4:493-496.

[2]李慧, 邵龙义.公共场所室内可吸入颗粒物的污染特征[J].环境与可持续发展, 2007, 2:53-55.

[3]Li Renjun, Liu Chu, Luo Feng.A design for automotive CAN bus monitoring system[C]Proceedings of 2008 IEEE Vehicle Power and Propulsion Conference.Piscataway:IEEE Computer Society, 2008, doi:10.1109/VPPC.2008.4677544.

[4]苗中华, 褚剑钢, 刘成良等.采棉机智能监控系统CAN应用层协议设计[J].农业机械学, 2012, 43 (1) :180-184

[5]牛广文.基于CAN总线的分布式智能温度采集系统设计[J].低压电器, 2012, 7:43-47

[6]吴志玲, 靳鸿, 陈昌鑫等..基于CAN总线的微型数据采集系统设计[J].自动化仪表, 2013, 34 (2) :49-55

[7]赵立永, 张全柱, 黄成玉.基于CAN总线的新型煤矿粉尘浓度检测系统的研究[J].中国安全生产科学技术, 2012, 8 (3) :76-79

[8]胡波, 朱亲玖.田红光.基于CAN总线的煤矿安全监控系统[J].煤矿机械, 2012, 33 (2) :23-233.

[9]郑德忠, 赵乐平.红外吸收粉尘传感器的设计[J].激光与红外, 2012, 9:1007-1010