光纤扰动入侵检测系统的设计与实现
“砸锅卖铁去上学”通过精心收集,向本站投稿了8篇光纤扰动入侵检测系统的设计与实现,下面是小编为大家推荐的光纤扰动入侵检测系统的设计与实现,欢迎大家分享。
篇1:光纤扰动入侵检测系统的设计与实现
光纤扰动入侵检测系统的设计与实现
摘要:光纤中通过一定的幅值恒定的光,外界扰动时光纤中光的强度将发生变化,因此对这种光强度的变化进行检测可以探测外界扰动的入侵。对功能型光强调制的检测一般利用特殊光纤对某些物理特性敏感而达到测量的目的,但光纤结构比较复杂。对光纤扰动机理进行了论述,提出了采用一般的多模光纤,针对不同入侵对象扰动信号频率的不同,利用带通滤波电路实现检测的方法。并对带通放大器技术进行了设计与仿真,实现了扰动信号的入侵检测。关键词:光纤扰动入侵检测带通放大器
光纤传感包含对外界信号(被测量)的感知和传输两种功能。所谓感知(或敏感),是指外界信号按照其变化规律使光纤中传输的光波的物理特征参量(如强度、波长、频率、相位和偏振态等)发生变化后,测量光参量的变化。这种“感知”实质上是外界信号对光纤中传播的光波实施调制。根据被外界信号调制的光波的物理特征参量的变化情况,可以将光波的调制分为光强度调制、光频率调制、光波长调制以及光相位和偏振调制等五种类型。外界扰动(如振动、弯曲、挤压等情况)对光纤中光通量的影响属于功能型光强调制。对微弯曲的检测一般采用周期微弯检测方法,需要借用传感板人为地使光纤周期性弯曲,从而使光强得到调制,一般用来检测微小位移,可以作成工业压力传感器,其精度较高,设计也比较复杂。而光纤扰动入侵检测的目的是检测入侵,不需要很高的精度,因为高精度反而容易产生误报警,因此不能采用上述方法。本文提出一种利用不同入侵对象(如人、风等)的扰动调制频率的范围不同,采用一般多模光纤,在后续电路采用带通滤波器进行带通放大,滤出入侵扰动信号的调制频率,有效实现入侵检测的方法。根据对入侵对象及入侵频率的分析,对0.1~30Hz的带通滤波器电路进行了设计与仿真,有效滤除了电源纹波、温度漂移的影响,并设计了扰动检测系统。在实际应用中,将该入侵检测系统安装在某区域外围或特殊物体上,如篱笆或需检测对象上,能够有效地检测入侵、篡改、替换等非授权活动。
1扰动原理
1.1光纤特性
光纤是由折射率不同的石英材料组成的细圆柱体。圆柱体的内层称为纤芯,外层称为包层,光线(或光信号)在纤芯内进行传输。设纤芯的折射率为n1,包层的折射率为n2,要使光线只在纤芯内传输而不致通过包层逸出,必须在纤芯与包层的界面处形成全反射的条件,即满足n1>n2。
光纤除了折射率参数外还有其它参数,如相对折射率、数值孔径N・A、衰减、模式(单模、多模)等。对于本系统,衰减参数比较重要,在光纤中峰值强度(光功率)为I0的光脉冲从左端注入光纤纤芯,光沿着光纤传播时,其强度按指数规律递减,即:
I(z)=I0e-αZ(1)
其中,I0――进入光纤纤芯(Z=0处)的初始光强;
Z――沿光纤的纵向距离;
α――光强衰减系数。
光功率在光纤的衰减情况如图1所示。光纤衰减率的定义为:光在光纤中每传播1km,光强所损耗的分贝数。即:
衰减率=-10lg(I/I0)db/km)(2)
光纤的衰减率只与衰减系数有关,引起光衰减的原因很多,如材料的吸收、弯曲损耗和散射损耗等,光纤扰动入侵检测主要是利用不同外界扰动对光纤的微扰损耗而产生的不同强度调制频率来探测扰动入侵的。
1.2微扰损耗
光纤中的微扰损耗是指由光纤的几何不均匀性引起的'损耗,其中包括由内部因素和外部干扰引起的不均匀性,如宏观结构上折射率和直径的不均匀性、微弯曲等。根据光纤传输理论,这种不均匀性引起的损耗或以散射形式出现,或以模式耦合的形式出现。模式耦合是指光纤的传导模之间、传导模与辐射模之间的能量交换或能量传递。这就意味着通过光纤的光会受到衰减。一般情况下,制造和使用光纤时要减小和避免这些损耗,但是光纤扰动入侵检测主要是利用这些耗损对光的衰减来探测入侵的存在,因此研究这些耗损,特别是微弯损耗是比较重要的。微弯损耗是由模式间的机械感应耦合引起的。光纤中的传导模变换成包层模,并从纤芯中消失。当沿光纤的机械微扰的空间周期与光纤内相邻的模式的波数差一致时,这种损耗就增加。近似的实验关系如下:
光纤微弯曲损耗∝(纤芯半径/光纤半径)2・(2/N・A)4(3)
其中,N・A为光纤的数值孔径,当光从空气入射到光纤端面时,只有入射方向处于某一光锥内的光线在进入光纤之后才能留在纤芯内,而从光锥外入射的光线即使进入光纤,也会从包层逸出。这个光锥半角的正弦称为光纤的数值孔径。
1.3LED光源特性
图4带通滤波器仿真电路图
LED光源的光学特性主要有波长、线宽、输出功率、光纤耦合等。LED的中心发射波长λ取决于半导体材料的能隙Eg,其公式为:
λ=hc/Eg≈1.24/Eg(μm)(4)
其中?熏h为普朗克常数,c为光速。LED的线宽一般为其中心波长的5%量极,因为增益的选择性会使线宽变窄。制造LED的常用材料如表1所示。
表1制造LED的常用材料列表
材料发射波长/nm光谱GaP700红GaAlAs650~850红至近红外GaAs900近红外InGaAs1200~1700近红外
850nm波长的LED输出功率通常在1~10mW范围内,波长小于850nm的器件,其可用功率显著减小。所有LED的输出功率及波长都随温度变化,在850nm时,输出功率和波长的典型温度系数分别为0.5%C-1和0.3nmC-1,因此热稳定度对于光纤扰动入侵检测是需要考虑的因素。
2硬件技术方案
光纤扰动入侵检测系统原理框图如图2所示。系统主要包括:载频信号源电路、LED光源、PIN光电探测器、光纤、扰动入侵检测、报警传输接口电路等。
2.1传感电路的设计
载频信号源电路的目的是为增加LED的发射功率,同时在接收端对缓变LED光电流实现检测。光电发射与接收电路由LED光源、光纤、PIN光电探测器等三个部分组成,组成传感单元,如图3所示。LED采用美国安捷伦(Agilent)公司的HFBR0400系列低功耗、高效LED,其型号为HFBR-1424,发射光波波长为850nm,125MHz带宽,截止频率为35MHz,输出光功率为50~100μW。光纤传输长度为4km,工作温度范围为-40℃~85℃,适合与50/125μm、62.5/125μm、100/140μm等光纤耦合。目前光纤通信中普遍使用PIN二极管进行光检测,将光信号转变为电流信号,但因电流信号很弱,仅有pA级,故很难将其有效地转换为伏级电压以供后继电路进行信号处理使用;以前通常采用价格昂贵的高性能运算放大器构成放大电路,但实验结果不很理想,且容易受到外界电磁干扰的影响;为克服这些缺点,采用美国安捷伦公司生产的HFBR2416,它是将PIN光检测器和前置放大器集成在一起的新型光接插器件。HFBR2416主要特点如下:(1)将PIN光检测器与前置放大器集成在一起,可直接输出较大的电压信号;(2)只需少量外部元件便可构成高性能的光接收电路,典型带宽高达125MHz;(3)可用于模拟和数字光通信系统,抗干扰性能好;(4)与HFBR0400系列其它产品兼容,符合国际工业标准,适用性好;(5)具有多种封装形式,体积小、重量轻;(6)价格便宜。其具体技术参数如表2所示。
表2HFBR2416技术参数表
参数符合最小值最大值一般值单位注释电源电压Voc-0.56.0V输出电压Vsig-0.5VccV输出阻抗Zo30Ωf=50MHz响应度RP5.39.67mV/μs波长850,50MH上升/下降时间Tr/tf6.33.3nsRp=100μW,peak脉宽失真PWD2.50.4nsRp=100μW,peak带通BW125MHz
2.2带通滤波器的设计与仿真
扰动信号通过放大与带通滤波器鉴别后,检测出扰动信号,并产生报警。上述电路中最主要的为带通滤波器。调制信号经LED由电信号变为光信号,光信号经光纤传输后,到PIN由光信号变电信号后进行放大,放大器输出频率为100kHz、幅度为500mV的脉冲。实验证明扰动信号在输出波形上表现为波形幅度的缩小,变化范围为mV量级,由放大器的放大倍数可估算扰动造成的光通量的变化,为几十μV左右。根据人行动的特点,其运动频率应该在0.1~30Hz范围内,根据上述考虑,设计了一个带通滤波器,将0.1Hz以下的低频滤掉,这样就将光电流与系统的缓慢漂移略去,将高于30Hz的信号滤掉,就可以滤掉载频以及电源纹波。图4为带通滤波器仿真电路图,图5为滤波器仿真输出与输入比较图。从图5中可以看出,采用有源带通滤波器的设计可以将频率为20Hz的模拟的扰动信号检测出来。在实际电路中根据仿真电路设计了滤波器硬件电路,实现对一定频率的扰动信号的检测。单次扰动信号和连续扰动信号时滤波器输出波形如图6、图7所示。在没有扰动信号时,滤波器无输出,当有一定频率的扰动信号时,滤波器输出脉冲信号,此信号经整形放大后可以驱动继电器产生报警,或通过无线传输到远端做进一步处理。
在对光纤扰动入侵检测技术的研究中,对光纤扰动信号的机理进行了研究,对LED和光纤特性以及微扰损耗等进行了理论研究,并采用Agilent公司的光电器件HFBR-1424与HFBR-2416以及多模光纤设计了光纤传感系统,同时对前端载频信号源电路以及后续扰动信号放大电路进行了设计,采用带通滤波的方法对检测电路进行了设计与电路仿真,成功地实现了对扰动信号的检测。
篇2:光纤扰动入侵检测系统的设计与实现
光纤扰动入侵检测系统的设计与实现
摘要:光纤中通过一定的幅值恒定的光,外界扰动时光纤中光的强度将发生变化,因此对这种光强度的变化进行检测可以探测外界扰动的入侵。对功能型光强调制的检测一般利用特殊光纤对某些物理特性敏感而达到测量的目的,但光纤结构比较复杂。对光纤扰动机理进行了论述,提出了采用一般的多模光纤,针对不同入侵对象扰动信号频率的不同,利用带通滤波电路实现检测的方法。并对带通放大器技术进行了设计与仿真,实现了扰动信号的入侵检测。关键词:光纤 扰动 入侵检测 带通放大器
光纤传感包含对外界信号(被测量)的感知和传输两种功能。所谓感知(或敏感),是指外界信号按照其变化规律使光纤中传输的光波的物理特征参量(如强度、波长、频率、相位和偏振态等)发生变化后,测量光参量的变化。这种“感知”实质上是外界信号对光纤中传播的光波实施调制。根据被外界信号调制的光波的物理特征参量的变化情况,可以将光波的调制分为光强度调制、光频率调制、光波长调制以及光相位和偏振调制等五种类型。外界扰动(如振动、弯曲、挤压等情况)对光纤中光通量的影响属于功能型光强调制。对微弯曲的检测一般采用周期微弯检测方法,需要借用传感板人为地使光纤周期性弯曲,从而使光强得到调制,一般用来检测微小位移,可以作成工业压力传感器,其精度较高,设计也比较复杂。而光纤扰动入侵检测的目的是检测入侵,不需要很高的精度,因为高精度反而容易产生误报警,因此不能采用上述方法。本文提出一种利用不同入侵对象(如人、风等)的扰动调制频率的范围不同,采用一般多模光纤,在后续电路采用带通滤波器进行带通放大,滤出入侵扰动信号的调制频率,有效实现入侵检测的方法。根据对入侵对象及入侵频率的分析,对0.1~30Hz的`带通滤波器电路进行了设计与仿真,有效滤除了电源纹波、温度漂移的影响,并设计了扰动检测系统。在实际应用中,将该入侵检测系统安装在某区域外围或特殊物体上,如篱笆或需检测对象上,能够有效地检测入侵、篡改、替换等非授权活动。
1 扰动原理
1.1 光纤特性
光纤是由折射率不同的石英材料组成的细圆柱体。圆柱体的内层称为纤芯,外层称为包层,光线(或光信号)在纤芯内进行传输。设纤芯的折射率为n1,包层的折射率为n2,要使光线只在纤芯内传输而不致通过包层逸出,必须在纤芯与包层的界面处形成全反射的条件,即满足n1>n2。
光纤除了折射率参数外还有其它参数,如相对折射率、数值孔径N・A、衰减、模式(单模、多模)等。对于本系统,衰减参数比较重要,在光纤中峰值强度(光功率)为I0的光脉冲从左端注入光纤纤芯,光沿着光纤传播时,其强度按指数规律递减,即:
I(z)=I0e-αZ (1)
其中,I0――进入光纤纤芯(Z=0处)的初始光强;
Z――沿光纤的纵向距离;
α――光强衰减系数。
光功率
[1] [2] [3] [4]
篇3:网络入侵检测系统实现
互联网也同时带给我们无数的宝贵资源,只等我们去开发、利用,开放源代码软件(Open Source Software)便是其中之一,免费可得的软件发布形式,使其具有广大的用户群;众多志愿者的协同开发模式使其具有卓越的兼容性;大量的网上社区弥补了缺少商业服务的不足。本文试图论述利
用互联网上免费可得的开放源代码软件实现一个完整的网络入侵检测系统的过程。
系统概述
本系统采用三层分布式体系结构:网络入侵探测器、入侵事件数据库和基于Web的分析控制台。为了避免不必要的网络流量,本例将网络入侵探测器和入侵事件数据库整合在一台主机中,用标准浏览器异地访问主机上的Web服务器作为分析控制台,两者之间的通信采用HTTPS安全加密协议传输。
由于实现本系统所需的软件较多,有必要在此进行简要的说明:
Snort
功能简述:网络入侵探测器;
正式网址:www.snort.org/
软件版本:1.8.6
Libpcap
功能简述:Snort所依赖的网络抓包库;
正式网址:www.tcpdump.org/
软件版本:0.7.1
MySQL
功能简述:入侵事件数据库;
正式网址:www.mysql.org/
软件版本:3.23.49
Apache
功能简述:Web服务器;
正式网址:www.apache.org/
软件版本:1.3.24
Mod_ssl
功能简述:为Apache提供SSL加密功能的模块;
正式网址:www.modssl.org/
软件版本:2.8.8
OpenSSL
功能简述:开放源代码的SSL加密库,为mod_ssl所依赖;
正式网址:www.openssl.org/
软件版本:0.9.6d
MM
功能简述:为Apache的模块提供共享内存服务;
正式网址:www.engelschall.com/sw/mm/
软件版本:1.1.3
PHP
功能简述:ACID的实现语言;
正式网址:www.php.net/
软件版本:4.0.6
GD
功能简述:被PHP用来即时生成PNG和JPG图像的库;
正式网址:www.boutell.com/gd/
软件版本:1.8.4
ACID
功能简述:基于Web的入侵事件数据库分析控制台;
正式网址:www.cert.org/kb/aircert/
软件版本:0.9.6b21
ADODB
功能简述:为ACID提供便捷的数据库接口;
正式网址:php.weblogs.com/ADODB
软件版本:2.00
PHPlot
功能简述:ACID所依赖的制图库;
正式网址:www.phplot.com/
软件版本:4.4.6
上述软件都是开源软件,可以直接登录相应软件的正式网站,下载源代码,
此外,需要特别说明的一点是虽然本例中网络入侵检测系统所采用的系统平台是Solaris 8 for Intel Platform,但是在其它种类的系统平台上,如Linux 、OpenBSD以及Windows 等,其具体的实现步骤大同小异,因此就不在另行说明了。
三、安装及配置
在正式进行软件安装之前,请检查系统,确保拥有符合ANSI标准的C/C++编译器等软件开发工具。
1、安装MySQL
首先,以超级用户的身份登录系统,创建mysql 用户和mysql用户组;
然后,以mysql身份登录,执行下列命令:
$gzip -d -c mysql-3.23.49.tar.gz | tar xvf -
$cd mysql-3.23.49
$./configure
$make
$make install
这样,就按照缺省配置将MySQL安装在/usr/local目录下。然后将源代码树中的缺省配置文件my.cnf拷贝到/etc目录下。接下来,以超级用户身份执行源码树中scripts目录下的可执行脚本文件mysql_install_db来创建初始数据库。用/etc/init.d/mysql.server命令启动数据库服务器后,使用/usr/local/bin/mysqladmin程序来改变数据库管理员的口令。
[1] [2] 下一页
篇4:网络安全入侵检测系统设计思路论文
计算机网络在人们生活中的渗透,不仅改变了人类具体的生活方式,更重要的是改变了人类获取信息的方式。它的出现在给人们带来巨大方便的同时,也给人们的信息安全带来了诸多隐患和威胁。一旦计算机网络发生安全问题,势必会造成信息泄露,给人们带来不同程度的经济损失,尤其是企业内部重要的信息,且情况严重时将很可能导致整个计算机系统崩溃。因此,为避免病毒等入侵到计算机网络系统中,就必须采取有效的入侵检测方法,设计出相应的入侵检测系统。
1入侵检测相关概述
所谓入侵,指的是一切试图对资源的可用性、完整性和机密性等产生危害行为的统称。它既包括发起恶意攻击行为的人(恶意攻客),也包括对计算机网络与系统造成危害的各种行为(计算机病毒、木马等)。而入侵检测则指对所有入侵行为的识别与诊断。其具体操作是对计算机网络等中的若干关键点的数据信息进行收集与分析,通过该分析结果对网络中是否存在攻击对象或违反网络安全行为的迹象进行判断。入侵检测所使用的软件与硬件组成了入侵检测系统。它具有必须对采集的数据进行安全分析,并从中得出有用的结果和采取相应的保护措施的功能,比其他网络安全工具具有更多的智能[1]。
2入侵检测的主要方法
2.1异常检测法
异常检测法主要用于检测用户的异常行为及其对计算机资源的异常使用。使用这种检测方法需要建立相应的目标系统和用户活动模型,以便通过该模型对系统与用户的实际行为进行检测,从而对用户行为是否对计算机网络和系统具有攻击性进行判断。它具有良好的适应性和检测未知攻击模式的能力,但误报率高、检测结果准确性差,使得其应用受到了一定限制[2]。此外,必须对计算机网络与系统中合法授权用户的行为等正常特征进行精确的定义、对非法与合法代码与数据之间的界限进行精确的划分,是当前异常检测技术所面临的主要技术难点。
2.2混合检测法
混合检测法是对异常检测法与滥用检测法两者优点的综合利用。由于这两种方法在实际应用过程中呈现出一定的互补关系,因而两者的有机结合可以达到取长补短、相互弥补的检测效果,可以在很大程度上提高整体入侵检测的性能与效率[3]。
篇5:网络安全入侵检测系统设计思路论文
3.1网络入侵检测系统的设计
将网络入侵检测系统装在被保护的计算机网络中,将原始网络报文作为数据源对入侵对象进行分析。在网络入侵检测系统的设计当中,对于所有通过网络传输数据的实时监控与分析通常采用一个网络适配器即可;对于数据采集模块的设计,需要配备有过滤器、探测器、网络接口引擎等元器件。数据采集模块主要实现的功能是,按照一定网络协议从网络上获取与入侵事件有关的全部数据信息,获取后将其传送至入侵检测系统分析引擎模块,对其安全性进行详细全面的分析,以判断其是否存在攻击性。入侵分析引擎模块的主要功能是,结合计算机网络安全数据库,对从数据采集模块传送来的.数据信息进行安全分析,并将分析结果传送至配置与管理模块。配置与管理模块实现的主要功能是,对其他功能模块的配置工作进行管理,并将从入侵分析引擎模块传送来的安全分析结果以有效的方式向网络管理员告知,从而为网络管理员及时做出入侵应对措施提供依据和支持。当网络入侵系统检测到攻击时,相应的功能模块会立刻以报警、广播、中断连接等方式来对入侵者做出反应,向人们发出提示信息。
3.2主机入侵检测系统的设计
主机入侵检测系统的数据源通常包括应用程序日志、系统日志等。其入侵检测功能的实现主要是通过对这些审计记录文件所记录的内容与攻击内容进行匹配。若不匹配说明该入侵对象不具有攻击性,若匹配则入侵检测系统及时向网络管理员发出警报,同时做出相应的保护行为。审计数据记录的是系统用户行为信息,在系统运行过程中必须要保证其不会被修改或泄露。然而当系统遭受攻击时,这些数据很可能发生修改或泄露,因此主机入侵检测系统的设计必须要具备一项功能,即检测系统在完全被攻击者控制之前,完成对审计数据的分析,并及时发出警报采取一定防护手段。主机入侵检测系统具有精确判断入侵事件、针对不同操作系统的特点准确判断出计算机网络应用层的入侵事件等优点。
4总结
总之,在计算机网络安全问题的处理过程中,入侵检测系统的研究与设计是非常关键的一个环节。一个性能良好的入侵检测系统可以有效弥补防火墙存在的不足,可以为计算机网络的安全提供可靠的保障,是现代网络安全措施中一种较为有效的防护技术。虽然,现阶段入侵检测技术仍处于发展阶段,但随着社会各界对计算机网络入侵检测系统设计的越来越高度重视,入侵检测系统的应用范围和检测性能必将会上升到一个新的台阶。
参考文献
[1]唐静.计算机网络安全中入侵检测系统的研究[J].网络安全技术与应用,,08:21~22.
[2]库宇.高速网络入侵检测系统的研究与设计[D].吉林大学,.
[3]郑关胜,李含光.基于动态网络安全模型的入侵检测系统的研究[J].计算机应用,(S1):160~161+185.
作者:吴卉男 单位:贵州师范大学数学与计算机科学学院
篇6:汽车安全检测系统的设计与实现
汽车安全检测系统的设计与实现
针对汽车安全检测,本文论述了其计算机智能测控系统的`组成和设计要点.从架构检测线的硬件框架结构入手,结合软件设计给出了整个系统的具体实现.系统设计采用了目前比较流行的数据库及控制技术,严格遵循最新的行业国家标准,具有良好的适应性.该系统的成功研发将为现代汽车自动安全检测提供一种更为便捷可靠的集成环境.
作 者:刘竞 Liu Jing 作者单位:西藏山南地区机动车辆检测中心,西藏,山南,856000 刊 名:西藏科技 英文刊名:TIBET'S SCIENCE & TECHNOLOGY 年,卷(期): “”(2) 分类号:U12 关键词:汽车检测 检测线 智能控制 工位篇7:空气质量检测系统的设计与实现论文
空气质量检测系统的设计与实现论文
大气环境是人类生存环境的重要组成部分,也是人类生存、发展的基本物质基础。当前,随着我国经济的快速发展,工业企业的不断扩张,环境污染严重。由于工业集中,加上人口密集等原因使得空气污染主要集中城市,经常会出现雾霾天气。大气污染物主要是总悬浮颗粒物(TSP)、可吸入颗粒物(PM10)、臭氧(O3)、一氧化碳(CO)等。大气污染物经工厂直接排放或间接排放到大气中,严重地危害到人们的身体健康。课题组设计了基于ZigBee技术的空气质量检测系统,监测人员只需在监测区域放置空气质量检测仪,即可时时获取区域内各种污染气体浓度及对应指标,为及时处理大气污染突发时间提供有力的技术保证。
1系统工作原理
1.1系统结构图
本文设计的空气质量检测系统实现全天候、自动化、主动获取空气质量信息。本文的空气质量检测仪原理框图如图1所示,采用上下位机相结合的设计方式,下位机由传感器模块、数据处理模块(CC253X芯片)、数据传送模块等部分构成;上位机由测控计算机、通讯模块构成。由微处理器通过传感器模块采集空气质量相关数据并通过zigbee模块传输至测控计算机,测控计算机完成对空气质量数据的处理分析,为管理人员提供做出判断或决策的依据。从而实现对特定区域内空气质量实时监测。
1.2ZigBee技术简介
ZigBee无线传感器网络是由许多传感器以自组织方式构成的无线网络,它综合了传感器技术、嵌入式计算技术、分布式信息处理技术和ZigBee技术,可广泛应用于工业监测、安全系统、环境监测和军事等领域。ZigBee技术是一种低速率、低功耗、低复杂度、低成本的双向无线通信网络技术。
2系统电路设计
本文无线收发模块采用芯片CC2530。CC2530是用于2.4-GHzIEEE802.15.4、ZigBee和RF4CE应用的片上系统(SoC)解决方案。以较低的总的材料成本建立网络节点。CC2530结合了领先的RF收发器的优良性能,业界标准的增强型8051CPU,系统内可编程闪存,8-KBRAM和其它强大的功能。充分考虑到应用环境,结合CC2530具有不同的运行模式,使得它尤其适应超低功耗要求的系统。如图2所示。
3系统软件设计
3.1CC2530芯片的软件设计
设计中CC2530单片机程序的编写环境为IAREW8051V8.1集成开发环境,使用C语言编写,使程序移植和调用方便、灵活,能最大程度的提高系统程序的'可靠性和稳定性。由主程序,AD数据转换,通讯三个模块组成。数据的采集要求每秒采用一次,采用定时中断的方式执行数据的采集,将采集的数据经过AD转换后通过串行数据通信发送给ZigBee芯片。
3.2应用程序设计
空气质量检测系统上位机部分是采用Microsoft公司的VC++6.0进行开发,以Zigbee通信方式实现空气质量数据(温度、湿度、PM2.5、PM10等参数)的存储与和读取。根据实际需求,应用程序份为用户界面和数据管理两部分。管理人员可以通过用户界面实时、直观的了解检测区域内相关信息,可对检测区域的空气质量安全的进行评估与决策,数据管理部分将所有数据以及分析状况进行储存,方便用户随时查询。检测系统软件界面如图3所示。
4结论
本文中所设计的空气质量检测系统,实现了对空气质量各类指标的动态检测、测试分析、数据保存等功能,满足在多样化的环境下获取大量像是、可靠的信息。该系统具备操作方便、易于控制、稳定运行且实时性好等特点。可广泛适用于农业、工业等领域。
篇8:入侵检测系统IDS测试与评估
随着入侵检测系统的广泛应用,对入侵检测系统进行测试和评估的要求也越来越迫切,开发者希望通过测试和评估发现产品中的不足,用户希望测试和评估来帮助自己选择合适的入侵检测产品。本文根据目前的相关研究,介绍了入侵检测系统测试评估的标准、指标,方法步骤、数据来源、环境配置、测试评估的现状以及其中存在的一些问题。
1、引言
随着人们安全意识的逐步提高,入侵检测系统(IDS)的应用范围也越来越广,各种各样的IDS也越来越多。那么IDS能发现入侵行为吗?IDS是否达到了开发者的设计目标?什么样的IDS才是用户需要的性能优良的IDS呢?要回答这些问题,都要对IDS进行测试和评估。
和其他产品一样,当IDS发展和应用到一定程度以后,对IDS进行测试和评估的要求也就提上日程表。各方都希望有方便的工具,合理的方法对IDS进行科学。公正并且可信地测试和评估。对于IDS的研制和开发者来说,对各种IDS进行经常性的评估,可以及时了解技术发展的现状和系统存在的不足,从而将讲究重点放在那些关键的技术问题上,减少系统的不足,提高系统的性能;而对于IDS的使用者来说,由于他们对IDS依赖程度越来越大,所以也希望通过评估来选择适合自己需要的产品,避免各IDS产品宣传的误导。IDS的用户对测试评估的要求尤为迫切,因为大多数用户对IDS本身了解得可能并不是很深入,他们希望有专家的评测结果作为自己选择IDS的依据。
总地来说,对IDS进行测试和评估,具有以下作用:
・有助于更好地刻划IDS的特征。通过测试评估,可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准;领会各检测方法之间的关系。
・对IDS的各项性能进行评估,确定IDS的性能级别及其对运行环境的影响。
・利用测试和评估结果,可做出一些预测,推断IDS发展的趋势,估计风险,制定可实现的IDS质量目标(比如,可靠性、可用性、速度、精确度)、花费以及开发进度。
・根据测试和评估结果,对IDS进行改善。也就是发现系统中存在的问题并进行改进,从而提高系统的各项性能指标。
本文首先介绍了测试评估IDS性能的标准,然后介绍了测试评估的方法步骤,并且介绍测试评估的具体指标、所需的数据源、测试评估环境配置与框架,最后介绍了测试评估现状以及其中存在的一些问题。
2、测试评估IDS性能的标准
根据Porras等的研究,给出了评价IDS性能的三个因素:
・准确性(Accuracy):指IDS从各种行为中正确地识别入侵的能力,当一个IDS的检测不准确时,就有可能把系统中的合法活动当作入侵行为并标识为异常(虚警现象)。
・处理性能(Performance):指一个IDS处理数据源数据的速度。显然,当IDS的处理性能较差时,它就不可能实现实时的IDS,并有可能成为整个系统的瓶颈,进而严重影响整个系统的性能。
・完备性(Completeness):指IDS能够检测出所有攻击行为的能力。如果存在一个攻击行为,无法被IDS检测出来,那么该JDS就不具有检测完备性。也就是说,它把对系统的入侵活动当作正常行为(漏报现象)。由于在一般情况下,攻击类型、攻击手段的变化很快,我们很难得到关于攻击行为的所有知识,所以关于IDS的检测完备性的评估相对比较困难。
在此基础上,Debar等又增加了两个性能评价测度:
・容错性(Fault Tolerance):由于IDS是检测入侵的重要手段/所以它也就成为很多入侵者攻击的首选目标。IDS自身必须能够抵御对它自身的攻击,特别是拒绝服务(Denial-of-Service)攻击。由于大多数的IDS是运行在极易遭受攻击的操作系统和硬件平台上,这就使得系统的容错性变得特别重要,在测试评估IDS时必须考虑这一点。
・及时性(Timeliness):及时性要求IDS必须尽快地分析数据并把分析结果传播出去,以使系统安全管理者能够在入侵攻击尚未造成更大危害以前做出反应,阻止入侵者进一步的破坏活动,和上面的处理性能因素相比,及时性的要求更高。它不仅要求IDS的处理速度要尽可能地快,而且要求传播、反应检测结果信息的时间尽可能少。
3、IDS测试评估的方法步骤
前面我们已经讨论了IDS测试评估的性能指标,具体测试主要就是围绕这些指标来进行。大部分的测试过程都遵循下面的基本测试步骤:
・创建、选择一些测试工具或测试脚本。这些脚本和工具主要用来生成模拟的正常行为及入侵,也就是模拟IDS运行的实际环境。
・确定计算环境所要求的条件,比如背景计算机活动的级别。
・配置运行IDS。
・运行测试工具或测试脚本。
・分析IDS的检测结果。
美国加州大学的Nicholas J.Puketza等人把测试分为三类,分别与前面的性能指标相对应,即入侵识别测试(也可以说是IDS有效性测试)。资源消耗测试、强度测试。入侵识别测试测量IDS区分正常行为和入侵的能力,主要衡量的指标是检测率和虚警率。资源消耗测试(Resource Usage Tests)测量IDS占用系统资源的状况,考虑的主要因素是硬盘占用空间、内存消耗等。强度测试主要检测IDS在强负荷运行状况下检测效果是否受影响,主要包括大负载、高密度数据流量情况下对检测效果的检测。
4、测试评估IDS的性能指标
在我们分析IDS的性能时,主要考虑检测系统的有效性、效率和可用性。有效性研究检测机制的检测精确度和系统检测结果的可信度,它是开发设计和应用IDS的前提和目的,是测试评估IDS的主要指标,效率则从检测机制的处理数据的速度以及经济性的角度来考虑,也就是侧重检测机制性能价格比的改进。可用性主要包括系统的可扩展性、用户界面的可用性,部署配置方便程度等方面。有效性是开发设计和应用IDS的前提和目的,因此也是测试评估IDS的主要指标,但效率和可用性对IDS的性能也起很重要的作用。效率和可用性渗透于系统设计的各个方面之中。本节从检测的有效性、效率以及可用性角度,对测试评估IDS的性能指标进行分析讨论。
4.1 检测率、虚警率及检测可信度
检测率是指被监控系统在受到入侵攻击时,检测系统能够正确报警的概率。虚警率是指检测系统在检测时出现虚警的概率。检测可信度也就是检测系统检测结果的可信程度,这是测试评估IDS的最重要的指标。
实际的IDS的实现总是在检测率和虚警率之间徘徊,检测率高了,虚警率就会提高;同样虚警率降低了,检测率也就会降低。一般地,IDS产品会在两者中取一个折衷,并且能够进行调整,以适应不同的网络环境。美国的林肯实验室用接收器特性(ROC,Receiver Operating Characteristic)曲线来描述IDS的性能。该曲线准确刻画了IDS的检测率与虚警率之间的变化关系。ROC广泛用于输入不确定的系统的评估。根据一个IDS在不同的条件(在允许范围内变化的阈值,例如异常检测系统的报警门限等参数)下的虚警率和检测率,分别把虚警率和检测率作为横坐标和纵坐标,就可做出对应于该IDS的ROC曲线。ROC曲线与IDS的检测门限具有对应的关系。
在测试评估IDS的具体实施过程中,除了要IDS的检测率和虚警率之外,往往还会单独考虑与这两个指标密切相关的一些因素,比如能检测的入侵特征数量、IP碎片重组能力、TCP流重组能力。显然,能检测的入侵特征数量越多,检测率也就越高。此外,由于攻击者为了加大检测的难度甚至绕过IDS的检测,常常会发送一些特别设计的分组。为了提高IDS的检测率降低IDS的虚警率,IDS常常需要采取一些相应的措施,比如IP碎片能力、TCP流重组。因为分析单个的数据分组会导致许多误报和漏报,所以IP碎片的重组可以提高检测的精确度。IP碎片重组的评测标准有三个性能参数:能重组的最大IP分片数;能同时重组的IP分组数;能进行重组的最大IP数据分组的长度,TCP流重组是为了对完整的网络对话进行分析,它是网络IDS对应用层进行分析的基础。如检查邮件内容。附件,检查FTP传输的数据,禁止访问有害网站,判断非法HTTP请求等。这两个能力都会直接影响IDS的检测可信度。
4.2 IDS本身的抗攻击能力
和其他系统一样,IDS本身也往往存在安全漏洞。若对IDS攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。因此IDS首先必须保证自己的安全性。IDS本身的抗攻击能力也就是IDS的可靠性,用于衡量IDS对那些经过特别设计直接以IDS为攻击目标的攻击的抵抗能力。它主要体现在两个方面:一是程序本身在各种网络环境下能够正常工作;二是程序各个模块之间的通信能够不被破坏,不可仿冒。此外要特别考虑抵御拒绝服务攻击的能力。如果IDS本身不能正常运行,也就失去了它的保护意义。而如果系统各模块间的通信遭到破坏,那系统的报警之类的检测结果也就值得怀疑,应该有一个良好的通信机制保证模块间通信的安全并能在出问题时能够迅速恢复。
4.3 其他性能指标
延迟时间。检测延迟指的是在攻击发生至IDS检测到入侵之间的延迟时间。延迟时间的长短直接关系着入侵攻击破坏的程度。
资源的占用情况。即系统在达到某种检测有效性时对资源的需求情况。通常,在同等检测有效性的前提下,对资源的要求越低,IDS的性能越好,检测入侵的能力也就越强。
负荷能力。IDS有其设计的负荷能力,在超出负荷能力的情况下,性能会出现不同程度的下降。比如,在正常情况下IDS可检测到某攻击但在负荷大的情况下可能就检测不出该攻击。考察检测系统的负荷能力就是观察不同大小的网络流量、不同强度的CPU内存等系统资源的使用对IDS的关键指标(比如检测率、虚警率)的影响。
日志、报善、报告以及响应能力。日志能力是指检测系统保存日志的能力、按照特定要求选取日志内容的能力。报警能力是指在检测到入侵后,向特全部件、人员发送报警信号的能力以及在报警中附加信息的能力。报告能力是指产生入侵行为报告、提供查询报告、创建和保存报告的能力。响应能力是指在检测到入侵后进一步处理的能力,这包括阻断入侵、跟踪入侵者、记录入侵证据等。
系统的可用性。主要是指系统安装、配置、管理、使用的方便程度,系统界面的友好程度,攻击规则库维护的简易程度等方面。
总之,IDS是个比较复杂的系统,对IDS进行测试和评估不仅和IDS本身有关,还与应用IDS的环境有关。测试过程中涉及到操作环境、网络环境、工具、软件、硬件等方面。我们既要考虑入侵检测的效果如何,也要考虑应用该系统后它对实际系统的影响,有时要折衷考虑这两种因素,
5、对IDS进行测试评估一利用的相关数据
对IDS进行测试评估,也就是让IDS对进入到受保护系统的数据进行检测,以确定检测系统能否发现其中的入侵。要测试评估IDS,最准确的数据当然是根据实际运行环境产生的数据,但这通常是行不通的。因为各机构的数据中都包含一些隐私信息,他们不愿公开这些数据,并且即使有机构愿意公开自己的数据,也不大适合用来做通用测试,因为特定机构的数据都带有明显的特有的一些特性,具有一定的局限性,可重复性也不好。为此,在具体测试的时候,大都采用一些测试工具。通过这些工具来生成IDS的测试数据。
测试评估数据的生成需要满足下面几个条件,即数据的生成必须能自动完成,不需要人为的干预;要具有一定的可重复性,也就是说需要时可以产生相同的数据;要有一定的健壮性,可在无人监控的条件下,可运行较长时间。
测试评估IDS的数据包括两部分,一部分是训练数据,另外一部分是实际测试数据。这两部分数据中都包括正常数据和入侵数据。只有在正常数据的背景下,对IDS的测试评估结果才是客观和全面的。入侵行为在背景数据的掩护下,被检测系统发现的机率会大大降低。而IDS也可能将正常的流量行为误判为攻击,产生虚警。训练数据用来帮助IDS建立正常行为的模型,调整IDS各参数的设置。在训练数据中,入侵数据是明确标明的。测试数据用来对检测系统进行测试,其中的入侵数据没有标明。
通常使用下面三种方法生成既包含正常通信数据又有攻击的可公用的数据:抓取正常情况和被受控攻击时的运行通信数据。由于隐私和安全问题这显然行不通;从实际运行数据中清除秘密信息。并在其中加入攻击,这也行不通,因为很难清除秘密信息;在一个内部网中重建正常通信和攻击数据,这是我们采用的方法。
重建正常通信和攻击数据也就是仿真用户操作、模拟入侵。仿真用户操作即生成用户各种各样的正常使用模式,这些模式帮助基于异常检测的IDS建立正常行为的模型,并且以用户正常模式数据作为检测入侵的背景通信数据,对于确定IDS正常运行时的检测率和虚警率是非常必要的。模拟入侵应尽可能地覆盖多种类型,新的攻击只在测试数据一出现。设计攻击要考虑很多问题。要分析攻击的机制,并在测试系统中试验以便于分析和调节。分析要确定攻击在测试环境中能否工作,是否需要新软件或服务的支持。设计新奇的攻击以用来发现未利用的系统或网络漏洞。下面对用户正常模式的仿真和入侵仿真分别进行讨论。
目前,大多采用下面三种方法来仿真网络用户行为,即通用会话生成工具、测试软件包和录制重放实际数据。通用会话生成工具方法基于有限自动机来生成用户所有可能的操作。每种操作都有一定的操作规程,比如FTP操作,首先它要完成TCP三步握手初始化连接,然后要输入用户名和密码,用户名密码通过之后再浏览FTP服务器上的内容、下载或者上传,所有操作完成后离开服务器,结束TCP会话。根据这种通用规程,就可生成通用的会话,模拟用户操作。但是,这种方法只适用于测试有限的命令集,比如可仿真FTP客户,但不能仿真shell客户,并且这种仿真存在一些问题,因为用户操作的顺序和服务器端的响应都是不确定的,仿真并不能完全模拟用户的操作状况。操作系统开发商自带测试软件包是比较简单的模拟方法,通常用于测试评估操作系统服务的性能和应用服务软件是否按设计说明来实现。但是这种测试不能给出用户进行什么样的操作,只能告诉我们系统对正常请求的响应行为。录制重放方法是记录各种用户正常活动的数据,然后在测试平台上重放用户的活动过程。这种方法要求用户活动记录要足够多。
用户正常行为的仿真主要包括网络流量仿真、主机正常使用仿真。大多数的网络IDS或者网络IDS的大部分都工作于网络层或网络层之上,它们对网络上的数据分组根据不同的协议进行相应的分析。因此,在仿真网络流量时,要仿真各种协议的各种应用的流量。通常,对实际流量进行分析,经统计计算,得到各个协议按时间的流量概率分布,以此为模型,分别仿真各个协议的流量。
主机的使用可以分为两个部分:主机所提供的网络服务的使用和主机的直接使用,即用户在主机上执行命令。相应的主机正常使用的仿真要分为两部分,即主机网络服务正常使用的仿真和主机直接使用的仿真。对主机提供的网络服务的正常使用进行仿真,可以采用两种方法。一是遍历法,即找出某个服务允许的所有正常使用模式,再由仿真程序,按这些模式依次对该服务进行访问。二是实际采样法,取得真实网络环境中某个服务的实际使用情况数据,分析出现的使用模式,再根据分析结果建立仿真模型进行仿真。此方法与网络流量仿真的方法类似。这两种方法各有优缺点、仿真实现中,应根据被仿真服务的具体情况进行选择。由于用户的行为因工作性质不同,会有很大差别,所以主机直接使用的仿真应将用户分为不同的种类(比如管理员、普通用户),根据不同的用户类型编写不同的脚本,实现主机直接使用的仿真。由于不同用户使用习惯变化很大,并且即使同一用户使用习惯也带有很大的随机性,这使得仿真的难度大大增加。在实际测试评估IDS时,一般只是仿真主机正常使用的一个具有代表性的子集。
攻击仿真是评估环境的核心,也是对IDS进行测试的关键。攻击仿真要尽可能多地搜集各种攻击方法。由于各种攻击的数量过于庞大,不可能对所有的攻击都进行仿真。参考软件测试领域中的等价划分方法(equivalence partitioning),在进行攻击仿真时,一般先将攻击分类,然后选择每种类别中典型的攻击方法进行仿真试验。选择好攻击类型后,在仿真时根据入侵者进行攻击的步骤进行仿真。在构造攻击数据时还要注意新式攻击。攻击方式隐秘的攻击、并行进行的攻击等方面。相对于旧式攻击、攻击方式明显的攻击以及串行进行的攻击而言,这些攻击方式对检测结果的影响可能会更大。
目前,测试数据所采用的格式大多采用Tcpdump数据格式和BSM数据格式,由于Windows系统广泛应用,Windows NT的日志格式也逐渐考虑进来。在测试数据方面,麻省理工学院林肯实验室的数据比较完备,它包括一定时间的训练数据和用于最后实际测试的检测数据。用于网络流量仿真的工具有Anzen公司开发的nidsbench以及加利福尼亚大学开发的入侵检测测试平台。nidsbench包括tcpreplay和fraqrouter两部分。tcpreplay的功能是将tcpdump复制的数据分组重放,还原网络的实际运行状态;而fraqrouter的功能是通过构造一系列躲避IDS检测的攻击以测试检测系统的正确性和安全性。加利福尼亚大学的IDS软件测试平台使用 Tcl-DP(TooL Command Language Distributed Programming)工具开发实现。它共包含四组命令:基本的会话命令集、同步命令集、通信命令集、记录重放命令集。这些命令集分别用来仿真入侵者的基本操作,按指定要求产生事件,实现并发进程的通信以及记录用户会话期间的操作命令序列再重放这些记录。此外,麻省理工学院林肯实验室也开发了非实时IDS性能评估工具,该工具可动态重放大量的数据。
6、测试评估IDS的环境配置与框架
在测试评估IDS时,很少会把IDS放在实际运行的网络中,因为实际网络环境是不可控的,并且实际网络环境的专用性也太强,很难对IDS进行准确的系统测试。所以一般要构建专用的网络的环境。
受保护系统模拟主机正常运行状况,网络负载生成器模拟内部网之间以及内部网与外部网之间的网络通信。攻击模拟用来模拟入侵者发起的攻击。IDS即为待检测的系统。由于有时实际的网络环境很大,有很多安装各种各样操作系统、应用软件的主机服务器,要求测试环境完全按照实际网络进行配置并不是很实际,所以在测试中一般采用虚拟主机技术。通常使用一些软件工具或者编写可自动运行的脚本来模拟各种主机的各种行为,相当于在一台物理主机上运行多台虚拟主机,每个虚拟主机模拟不同硬件上运行的不同操作系统、不同应用程序。一般来说,受保护主机要包含运行常用操作系统(比如Windows、Linux、SunOS)的主机。内部网网络负载生成器要模拟内部的网络流量以及内部的攻击,而外部位网络负载生成器要模拟外部的网络流量(比如访问Web页面,下载文件)以及外部的攻击。实际构建测试环境的过程是个复杂过程,它直接关系到评测的成功与否。
7、IDS测试评估现状以及存在的问题
虽然IDS及其相关技术已获得了很大的进展,但关于IDS的性能检测及其相关评测工具、标准以及测试环境等方面的研究工作还很缺乏。
Puketza等人在1994年开创了对IDS评估系统研究的先河,在他们开发的软件平台上可以实现自动化的攻击仿真。1998年Debar等在IDS实验测试系统的研究中,指出在评估环境中仿真正常网络流量是一件非常复杂而且耗时的工作。林肯实验室在1998年、1999年进行的两次IDS离线评估,是迄今为止最权威的IDS评估。在精心设计的测试网络中,他们对正常网络流量进行了仿真,实施了大量的攻击,将记录下的流量系统日志和主机上文件系统映像等数据,交由参加评估的IDS进行离线分析。最后根据各IDS提交的检测结果做出评估报告。目前美国空军罗马实验室对IDS进行了实时评估。罗马实验室的实时评估是林肯实验室离线评估的补充,它主要对作为现行网络中的一部分的完整系统进行测试,其目的是测试IDS在现有正常机器和网络活动中检测入侵行为的能力以及IDS的响应能力及其对正常用户的影响。IBM的Zurich研究实验室也开发了一套IDS测评工具。此外,有些 工具软件也可用来对IDS进行评测。
目前,市场上以及正在研发的IDS很多,各系统都有自己独特的检测方法。攻击描述方式以及攻击知识库,还没有一个统一的标准。这大大加大了测试评估IDS的难度,因为很难建立一个统一的基准,也很难建立统一的测试方法。
测试评估IDS中存在的最大问题是只能测试已知的攻击。在测试评估过程中,采用模拟的方法来生成测试数据,而模拟入侵者实施攻击面临的困难是只能掌握已公布的攻击,而对于新的攻击方法就无法得知。这样的后果是,即使测试没有发现IDS的潜在弱点,也不能说明IDS是一个完备的系统。不过,可以通过分类选取测试例子,使之尽量覆盖许多不同种类的攻击,同时不断更新入侵知识库,以适应新的情况。
并且,由于测试评估IDS的数据都是公开的,如果针对测试数据设计待测试IDS,则该IDS的测试结果肯定比较好,但这并不能说明它实际运行的状况就好。
此外,对评测结果的分析使用也有很多问题。理想状况是可以自动地对评测结果进行分析,但实际上很难做到这一点。对IDS的实际评估通常既包含客观的也包含主观的,这和IDS的原始检测能力以及它报告的方式有关。分析人员要在IDS误报时分析为什么会出现这种误报,在给定的测试网络条件下,这种误报是否合理等问题。评测结果的计分方式也很关键,如果计分不合理的话,得出的评测结果可信度也就不可能很高。比如,如果某个IDS检测不出某种攻击或对某种正常行为会产生虚警,则同样的行为都产生同样的结果,正确的处理方法是应该只计一次,但这很难把握,一旦这种效果被多次重复考虑的话,该IDS的评测结果肯定不是很理想,但实际上该人侵检测总体检测效果可能很好。
8、小结
入侵检测作为一门正在蓬勃发展的技术,出现的时间并不是很长;相应地对IDS进行评测出现得更晚。它肯定有很多不完善和有待改进的地方,这需要进一步的研究。其中几个比较关键的问题是:网络流量仿真、用户行为仿真、攻击特征库的构建、评估环境的实现以及评测结果的分析。
近几年来,我国的入侵检测方面的研究工作和产品开发也有了很大的发展。但对入侵检测评估测试方面的工作还不是很多。各入侵检测产品厂家基于各方面的原因,在宣传时常常夸大其词,而IDS的用户对此往往又不是很清楚,所以迫切需要建立起一个可信的测试评估标准。这对开发者和用户都有好处。
【光纤扰动入侵检测系统的设计与实现】相关文章:
1.入侵检测
文档为doc格式
