分布式检测

分布式检测（通用8篇）

分布式检测 篇1

Agent技术已经在计算机科学的许多领域得到了广泛的应用, 它也是近几年分布式人工智能领域研究的热点之一。并且, 分布式计算由Agent技术的可适应性、自治性和移动性等特性赋予了新的模式, 实体间的关系因为这种计算模式而越发的动态和平等, 强调的是自治合作, 与传统的服务器、客户机模式不相同。软件Agent的成功应用依赖于Agent平台的支持和工程方案的技术可行性以及应用领域自身的特性。

1 什么是Agent

作为网络和人工智能技术发展的必然结果, Agent的中文解释包括代理、智能体、智能代理等多种。迄今为止, 对Agent的定义没有统一的定论, 各个组织机构对其的定义都有所不同。其中, Agent标准化组织FIPA (Foundation for Intelligent Physical Agent) 对Agent的定义为:Agent作为一个实体存在和停留于环境中, 用以解析反映环境中所发生事件的、来自于环境的数据, 并采取一定的行为对环境产生影响[1]。从这个定义中可以看出, Agent既可以是硬件, 也可以是软件, 是一种“生存”于环境中的实体。

2 基于Agent的IDS现状

传统集中式的入侵检测系统随着复杂计算机网络的发展和分布式应用的普及, 会出现网络流量不断增大而造成的丢包问题, 无法良好满足系统的需求, 而分布式结构正逐步取代传统结构成为一种新的IDS基本体系结构。智能体作为复杂网络环境下实现分布式应用的理想工具, 它具有自适应性、自主性、分布性等优点。基于Agent的入侵检测系统对复杂多变的网络环境具有很强的自适应能力, 这种系统充分利用网络资源协同完成入侵检测任务, 而且能通过自我学习、自我进化提高自身的入侵检测能力[2]。

3 基于Agent的DIDS模型

本文提出了一种基于Agent的分布式入侵检测系统 (Distributed Intrusion Detection System, DIDS) 模型, 该系统的检测和处理都采用分布的方式, 保证了检测和判断系统中可能发生的入侵行为的实时性, 弥补了现有入侵检测系统的不足之处。这种模型具有较强的动态管理能力和配置的灵活性以及诸多特点, 如:平衡网络负载、减少网络流量、提高容错度以及数据访问和异步交互本地化的特点。

本论文设计的系统是在分布式环境下多Agent的一种系统模型, 系统中的每个Agent彼此独立、各司其职, 但又互相协作。即各个感应Agent为相互独立, 具有入侵检测功能的单元, 它们的入侵检测工作相对独立, 但又通过相互协作更好的、全面的对主机系统和网络进行了检测。基于Agent的DIDS模型如图1所示。

3.1 感应Agent的设计

按照感应Agent的要求, 将该功能模块分为管理单元、检测单元、响应单元、通信单元和协作单元五个单元[3], 感应Agent的模块结构如图2所示。

3.2 分析Agent的设计

分析Agent属于入侵检测系统的高层检测组件, 它的任务是感应Agent管理者、协作检测和数据分析。根据分析Agent所具有的分析和管理功能, 模块结构应包括:感应Agent管理单元、事件处理单元、协作分析单元、协议单元以及通信单元[4], 各单元的相互管理协作关系如图3所示。

3.3 响应策略

入侵检测系统的响应Agent和各模块中的简单处理单元, 应该对系统的功能模块检测到的入侵行为及时做出响应, 这个响应行为有如下几种。

1) 跟踪攻击者:攻击者在攻击目标前通常情况下会入侵多个主机, 有可能伪装成这些主机的源地址, 并以前者为后者跳板将对多个被入侵主机串联成一条主机链。本论文的入侵检测系统正是利用了这一特点找到具有发起包的实际主机所在位置。即, 顺着主机链反向追踪, 有效地发现攻击者。

2) 对攻击目标做出响应:当系统检测到攻击时, 目标主机检测到攻击和对攻击快速响应是至关重要的。快的响应速度可以阻碍攻击者更好的建立立足点, 防止入侵者利用这个被入侵的主机对网络中其它主机造成破坏。同时使修复攻击者已造成的破坏变得更容易。

3) 攻击源点作出响应:入侵检测系统在被入侵主机上对攻击者响应, 可以非常有效地限制攻击者的行为。入侵检测系统在没有使用Agent技术的情况下是不可能有效地执行纠正行动, 因为没有足够数量的入口到攻击者主机。

4) 收集主机和网络组件中的相关攻击的证据:传统入侵检测系统运行特定的程序, 所以这种系统就无法实现在多个不同的源点自动收集攻击证据。而在入侵检测系统中使用Agent技术, 使系统运行任何程序无须有时间和地点的限制, 也就是系统收集证据不需要有相同的硬件平台和操作系统。有了Agent技术的加入, 系统可以通过对有关主机设置动态更新以达到严密审查重要或可疑的网络位置[5], 这样, 入侵检测系监测网络入侵实现了智能化。

5) 目标和源点的隔离:如果对源点和目标的自动响应异常将无法有效地阻止攻击行为, 所以, 自动响应异常的情况下阻止攻击行为需要在网络层进行, 有三种常用的策略:阻止目标的通信, 阻止攻击者的通信, 阻止目标间和攻击者的通信[6]。Agent应用于入侵检测系统, 即Agent在网络元件中穿梭、对破坏的修复行为, 使得三种策略的有效执行得以实现。

4 结论

本文提出了一种基于Agent技术的DIDS系统结构模型, 以有效地解决对入侵检测系统中网络流量不断增大而造成的数据包丢失问题。该系统可依据网络流量的大小动态调整系统中的检测Agent数量, 既不过多消耗系统资源又从而分担了网络流量。一改传统集中式的入侵检测系统丢包问题, 及无法满足系统需求的问题, 使入侵检测系统充分利用网络资源协同完成入侵检测任务, 对复杂多变的网络环境具有很强的自适应性, 具有通过自我学习、自我进化提高自身的入侵检测能力。

参考文献

[1]Earl Carter.CISCO安全入侵检测系统[M].北京:人民邮电出版社, 2005.

[2]唐正军.入侵检测技术导论[M].北京:机械工业出版社, 2004.

[3]罗守山.入侵检测[M].北京:北京邮电大学出版社, 2004.

[4]薛静锋, 宁宇鹏, 阎慧.入侵检测技术[M].北京:机械工业出版社, 2004.

[5]Rebecca Gurley Bace.入侵检测[M].陈明奇, 吴秋新, 张振涛, 等译.北京:人民邮电出版社, 2001.

分布式检测 篇2

【关键词】中药黄连饮片；活性成分；检测；光谱成像

文章编号：1004-7484（2013）-11-6864-01

中药饮片是在中药理论的指导下，根据辨证施治和调配制剂的实际需要，对中药材进行一定的加工炮制而形成的产品。由此可以看出中药材的质量也就决定了中药饮片质量的优劣，而中药饮片的质量对临床中药制剂的质量和药效也起着决定性作用。但长期以来国缺乏对中药饮片的质量标准和控制等有效的法律法规。因此，中药饮片质量的检测和控制对于保证中药疗效和广大人民安全使用中药有着非常重要的意义。基于此论文对中药黄连片活性成分进行了检测，现将分析报道如下。

1中药黄连饮片活性成分的检测方法及过程分析

1.1中药黄连饮片活性成分的检测方法分析中药黄连为毛莨科植物黄连、三角叶黄连或云连的干燥根茎，黄连的主要活性成分有小檗碱、黄连碱、甲基黄连碱等，具有清热燥湿、泻火解毒等功效[1]。由于其主要活性成分多数具有荧光，所以采用荧光光谱成像技术对黄连饮片进行检测。光谱成像技术是一门新兴的技术，是传统的二维光学成像技术和光谱技术有机结合的产物[2]。另外，这种技术还集中了光学、光电子学、电子学、信息处理学、计算机科学等领域的先进技术。光谱成像技术运用范围很广，可以进行图像采集、显示、处理和分析解释等[3]。中药黄连饮片活性成分分布的检测主要是通过光谱成像技术构建中药黄连饮片是我光谱成像指纹图谱，从而实现黄连饮片的活性成分空间分布检测，这种检测方法不仅科学，而且可靠、准确。检测结果可以为入药部位选择及饮片质量的评价提供依据。

1.2中药黄连饮片活性成分的检测过程分析在进行实际检测时要先调节系统接收端的高度，以保证达到最大的空间分辨率。然后根据药物的特点设置系统中的参数，主要包括光谱分辨率参数、范围参数和接收器曝光时间参数等，这些参数会根据不同的药品做不同的调整。中药黄连饮片活性成分分布的检测时这些参数的范围是光谱分辨率参数5nm、范围参数480-680nm、接收器曝光时间参数800ms。接着将被检测物品放置到载物台上，要注意调整紫外光源和载物台的相对位置，使其均匀激发显示出若干个狭窄的光谱带。最后用计算机专用软件对检测所得到的数据图像进行处理。2中药黄连饮片活性成分的检测数据分析

中药黄连根部有皮层、木质部、髓部三个部位，这三个部位是可以直接通过肉眼观察到的，但是看不到的是这三个部位中所含有的活性成分是不相同的，甚至存在很大的差异。这种特性的判别只有通过实验才能得出，用光谱成像技术分别在三个人工选取10×10像素的小区域内对这三个部位的活性成分进行检测发现三个部位的光谱曲线存在明显的差异[4]，其光谱曲线平均值如下图所示（图1）。木质部、髓部和韧皮部的峰形和峰位相似显示性较大，而峰面积却存在较大的差异。通过对光谱图像的重构和分类处理，可以清晰地看出中药黄连各部分的活性成分的空间分布状况。统计三个部位中的像素所占面积的对比情况，结果显示，木质部、髓部、皮层各自占的总面积分别为30.3%、18.5%、51.5%。由此可以看出，中药黄连饮片中的主要活性成分在木质部中含量最高、其次是髓部、皮层中的含量最低[5]。3中药黄连饮片活性成分的检测结果讨论

论文对中药黄连饮片活性成分检测的目的是为了观察了解中药黄连饮片中活性成分的分布，有效的对其药用部位进行质量评价。论文以中药黄连饮片为研究对象，结合中药鉴定学与分析化学知识，运用光谱成像分析技术对中药黄连饮片活性成分进行检测。通过对中药黄连饮片活性成分的检测数据的分析，可以看出中药黄连饮片不同组织结构中活性成分的分布差异性比较明显，而且这也直接决定着入药部位的如何选择，但目前中药入药部位的选择主要通过经验来判断的，这对药效的发挥及药品质量的控制都是非常不利的。论文运用荧光光谱成像分析技术对黄连饮片的活性成分进行了检测，实验结果显示可以通过分析黄连饮片不同组织部位的光谱特征，运用主成分分析法确定检品活性成分的空间分布。同时，还可以进一步通过图像分割，获得饮片各组织结构的空间分布及其活性成分的相对含量，这些数据都可以为入药部位的质量控制提供依据。4结语

通过论文的研究发现黄连饮片根茎的不同部位中所含的活性成分量存在一定的差异，其中木质部中含量最高、皮层中的含量最低。同时，论文还可检测出不同部位像素所占的空间面积比例，有效的检测出活性成分具体的分布情况。这些数据不仅有利于确定黄连饮片的主要药效成分，而且可以为其入药提供科学依据。最后，希望论文的研究为相关工作者及研究人员提供借鉴和参考。参考文献

[1]赵静，庞其昌，马骥，等.中药黄连饮片活性成分分布的检测研究[J].光谱学与光谱分析，2012，31（6）：1692-1697.

[2]李彩虹，周克元.黄连活性成分的作用及机制研究进展[J].时珍国医药，2010，21（2）：466-470.

[3]Youn MJ，SO HS，Cho HJ，et al.Berberine a natural product combined with cisplatin enhanced apoptosis through a mitochondria caspase mediated pathway in HeLa cell[J].Biol Pharm Bull，2011，31（5）：789.

[4]Masoud T，Aoife G，O’Donn CP.Sensing and Instrumentation for Food[J].Qual Safety，2011，3（4）：219.

分布式网络入侵检测机制研究 篇3

1 分布式分布式网络入侵入侵关联性机制分析

关联中媒体流的Mode可分为“Sendonly”,“Receiveonly”,“Send/Receive”,“Inactive”和“Loopback”几种。接收/发送(Send/Receive)与媒体流的流向有关,其中,媒体流的流向是从关联的外部来进行确定。信号和事件均不受模式的影响。

预留(Reserve)属性决定了MG在收到Local和/或Remote描述符后的处理动作,Reserve属性包括Reserve Value和Reserve Group两种属性,属性值为布尔值,缺省值均为“False”。

若Reserve属性值为“True”,则MG在有可用资源情形下,要为Local描述符和/或Remote描述符中的所有可选属性(组)预留资源,并且在响应中返回已经为哪些属性(组)预留了资源,如果MG不能支持任何可选属性(组),那么返回的响应中的Locale描述符和/或Remote描述符均为空。当已经为多于一个属性(组)预留了资源,媒体包选择其中任何一种方式进行收发都有可能,也都必须得到正常处理。但在每一时刻只有一种方式处于激活状态。

若Reserve属性值为“False”,且Local描述符和Remote描述符存在,则MG为它们各选一个可选属性(组)。如果MG还没有给选中的属性(组)预留资源,则为其预留资源。相反,如果之前Reserve属性值为“True”且MG已经为选中的属性(组)预留了资源,则消息交换之后应释放先前预留的多余资源。处理完毕后,MG应向MGC发送Reply响应,响应中应给出Local描述符和(或)Remote描述符中被选中的属性(组)。如果MG没有足够的资源来支持任何指定的可选属性(组),则返回出错响应510(“Insufficient Resource”)。

2 分布式安全控制机制

分布式系统的很重要的一个方面就是它的安全.从某种意义上说,安全是分布式系统的最重要的一个方面。但是给一个分布式计算环境提供安全机制是非常困难的。分布式系统的安全解决方案和传统的计算环境的安全解决方案是有很大的不同的。在分布环境下,很难确定你所要保护的域。比如在传统的分时系统中,终端即代表着域,我们为了能够进入系统,必须先登陆,提供登录帐号及口令,这是我们的安全解决方案。但是在系统的物理部件,比如硬盘、CPU、内存,这些都不是安全的域。即这里我们把分布式系统比喻成一个物理上分开的分时系统,把硬盘和CPU分开,使它们之间通过不被信任的接口相连接,通过这个接口,一个恶意的用户就可以访问及篡改这台计算机上的所有信息。

对于连接的互联网的计算机而言,最大的威胁是它随时可能遭受来自于世界任一个地方的攻击。因为在互连网上是没有警察的,也没有法律规定人们究竟可以访问那些资源。防火墙是一个最常用的分布式网络入侵安全技术。建造一个防火墙的目的就是在连接该局域网和外部分布式网络入侵路由上建立一个包过滤机制。只有那些被系统认为分布式网络入侵检测任的包才能从防火墙内自由传输。防火墙技术的一个更大的好处是分布式网络入侵管理员可以不用单独为每一个用户设置计算机系统的安全过滤规则且组织内的用户可以随意设置他们的计算机,因为防火墙可以保护他们,大大提高的分布式网络入侵的可用性。防火墙的关键技术就是端口间的访问控制技术。目前大部分的路由器厂商不仅都允许管理员为分布式网络入侵上每个用户或子网建立端口过滤机制,还支持分布式网络入侵管理员建立一张关于不允许访问端口号和允许访问的端口号表,大大的保障了分布式网络入侵的可用性和安全性。

3 结语

总之,防火墙给了用户足够的自由,但是要知道最好的防火墙和使分布式网络入侵不被访问是同义词。因为和分布式网络入侵连接本身就具有不安全性,那么一个我们为什么还要连接互联网呢?因为安全并不是最主要的.通过分布式网络入侵和外部世界相连就是要使得信息流通变得快捷、更容易.如果一个防火墙使得他们不能轻松达到这个目的的话,防火墙的作用也得不到显现。综上与普通分布式系统相比,分布分布式网络入侵检测式系统在构造及应用环境上具有一些显著特点。

参考文献

[1]李胤.CDMA直放站监控管理平台的研究[D].北京:北京交通大学通信与信息系统专业,2009:2-14.

[2]王琪.GSM室内光纤直放站自动监控系统的设计与实现[D].西安:西安工业大学通信与信息系统专业,2008:5-8.

[3]迟峰,戴敬.3G时代的移动通信直放站监控技术[J].通信世界,2008,17(13):46-48.

分布式检测 篇4

多传感器分布式检测系统利用多个传感器在空间上分散部署的优势,能有效扩展系统的覆盖范围;提高系统的可靠性、反应速度和生存能力。在非平稳背景噪声环境中,CFAR检测器能自适应于背景噪声功率水平的变化,使系统具有可预知的检测性能。分布式CFAR检测兼具二者的优点,吸引了许多学者广泛而深入的研究,已成为分布式检测的一个重要研究方向[1,2,3,4,5]。

在多传感器分布式并行检测系统中,各局部传感器先对自己观测到的数据进行预处理,然后将数据传送给检测中心。检测中心根据某种融合准则,综合各传感器提供的局部信息形成最终的全局判决。依据局部传感器向检测中心提供信息的层次,分布式检测可以在决策级或特征级进行。在决策级分布式CFAR检测算法中,局部传感器采用CFAR检测做出目标有无的局部二元判决,检测中心采用“秩K”规则做出最终判决。该方法具有算法简单、通信容量要求小等优点,但局部二元判决是对原始观测的最大限度的压缩,性能损失较大。在特征级分布式CFAR检测算法中,各局部传感器根据观测数据形成局部检测统计量,检测中心综合各局部检测统计量形成全局检测统计量,基于全局检测统计量做出最终判决。与局部二元判决相比,局部检测统计量包含更多的观测信息,能提高系统的检测性能[2]。

目前,在多雷达系统中,对分布式CFAR检测算法的研究都是在所有传感器同时照射同样分辨单元的理想假设条件下,基于Neyman-Pearson准则推导算法的检测概率和虚警概率表达式,分析比较算法的检测性能[5]。而对一个在空间位置上分散部署多部单基地雷达的警戒系统而言,处于不同位置的两部雷达,其对应的分辨单元通常互不重合,而且并不能总是满足同时扫描同一个空域。可见,理论研究对时空同步所做的假设条件,阻碍了其在实际系统中的应用。

本文以在空间上分散部署的两部同类雷达为例,选择两类典型的分布式检测算法,分析其扩展覆盖范围的区域分布和比例,并对算法在工程化应用时面临的时空对准问题进行了简单的分析,为分布式检测算法的工程化应用奠定基础。

1 两类典型分布式CFAR检测算法

在非均匀杂波和多目标环境中,典型的CFAR算法中OS-CFAR算法具有较好的鲁棒性,因此本文选择在局部传感器采用OS-CFAR方法产生局部二元判决和生成局部检测统计量的分布式检测算法。

1.1 基于局部二元判决的检测算法

假定有L个传感器,每个传感器根据自身对目标的观测做出局部判决di(i=1,2,…,L),判决结果非“0”即“1”。

二元假设:H0-目标不出现;H1-目标出现。

2种判决:D0-选择假设H0;D1-选择假设H1。

则第i部雷达的检测概率Pdi=P(D1/H1),虚警概率Pfi=P(D1/H0),其中i=1,2,…,L。

当局部传感器采用OS-CFAR检测,在给定虚警概率Pfi和算法参数条件时,其判决门限T可以通过下式求得[6]。

其中M为参考单元个数,k为有序统计量序值。

在给定信噪比SNR时,系统的检测概率为:

假设L部雷达之间互不相关,在L个传感器做出局部判决后,检测中心基于判决矢量D=(d1,d2,…,dL)做出全局判决。假定检测中心采用“秩K”融合规则,即在L个传感器中至少存在K(1≤K≤L)个传感器判定目标存在,则检测中心就判定目标存在。对应K=1,称为"或"规则,对应K=L,称为“与”规则。

“秩K”融合规则可以表示为:

二元分布式检测后的总的检测概率为:

其中,S0-di(i=1,2,…,2L)中判H0的雷达集合;S1-di(i=1,2,…,2L)中判H1的雷达集合。类似地,系统总的虚警概率为:

(5)

1.2 基于局部检测统计量的检测算法

目前,局部传感器形成的局部统计量主要为检测单元采样信号和背景杂波功率水平估计以及它们之间的某种组合关系。在局部传感器噪声或杂波功率起伏较大时,基于R类局部检测统计量的检测算法具有较好的检测一致性[2]。

1.2.1 R类局部检测统计量

R类局部检测统计量定义为:

其中,Xi0是第i个检测单元的采样值,Zi为局部第i个CFAR检测器的噪声功率估计。

此处讨论利用OS-CFAR算法产生R类局部检测统计量,表示为OS-R,则OS-R的Zi为:

Xi(ki)是对Xij(j=1,…,Ni)进行由小到大排序得到的第ki个采样。在高斯背景噪声中,瑞丽包络杂波通过平方律检波后,输出服从指数分布,于是,Zi的PDF为:

(8)

其中,

在均匀杂波背景下,Zi的概率密度函数可以通过令i=0,mi=0得到。通过求得Zi的特征函数,进而可以得到Si的概率密度函数为:

(9)

其中,

1.2.2 求和融合规则

设每个局部检测器的局部检测统计量为Si(i=1…,L),检测中心融合各局部检测统计量形成全局检测统计量G。在求和融合规则下,全局检测统计量G为:

进行如下的全局判决:

T是判决门限。

假设Si(i=1,…,L)之间是统计独立的,则Si之间的联合概率密度函数为:

于是,在H0或H1假设为真的条件下,求和融合的全局检测统计量G大于T的概率为:

采用NP准则进行优化时,T应满足下面的限制条件。

1.3 理论性能分析

以两个传感器(L=2)为例,分析基于局部二元判决和局部检测统计量的分布式CFAR检测算法的性能。检测规则为在保持系统的虚警概率为10-6时,使系统的检测概率最大。在基于局部二元判决的分布式检测算法中,采用OR融合准则,取Pfa1和Pfa2值为5×10-7。局部传感器采用的OS-CFAR算法参数设为:N1=11,k1=8;N2=13,k2=9。单传感器的OS-CFAR检测参数为:N=13,k=9。基于单传感器检测、局部二元判决的分布式检测和检测统计量的分布式检测算法的检测性能如图1所示。

从图1可以看出,对OS-CFAR检测,与单传感器相比,分布式检测算法可以明显改善系统的检测性能。基于局部检测统计量检测算法的性能优于基于局部二元判决检测算法。因此,分布式CFAR检测是一种改善系统检测性能的有效途径。

2 扩展覆盖范围分析

由前述理论分析表明,分布式检测算法能够有效提高系统的检测性能。本节以两部分散部署的同型雷达为例,以扩展的探测覆盖范围为性能指标,从理论上分析分布式检测算法在扩展系统覆盖范围方面的性能,为分布式检测算法在实际工程应用时需要重点考虑的空域提供依据。

假定单部雷达在虚警概率为10-6、检测概率为0.8时的作用距离为200km,背景杂波服从瑞利分布,两部雷达相距300km,如图2所示。在统计扩展的覆盖范围时,对可能被覆盖的空域进行网格化处理。对每个网格单元,根据雷达性能参数和假定的目标类型,按自由空间中的雷达方程计算该单元到两部雷达信号的信噪比,根据相应的融合检测规则和参数计算该单元的融合检测概率,如果融合检测概率大于0.8,则判定该单元为可被探测到的网格单元。最后统计新增覆盖的网格单元数和初始覆盖单元数,二者之比即为扩展的覆盖范围比例。

在检测概率为0.8时,基于局部二元判决和检测统计量算法的新增融合探测区域分布分别如图2(a)和(b)的红色区域所示,扩展覆盖范围比例分别为5.02%和11.3%。可见,在扩展覆盖范围性能指标上,基于检测统计量算法的检测性能也明显优于局部二元判决。新增的覆盖区域集中在两部雷达中垂线附近的区域,扩展的比例和两部雷达的部署有关,相对距离越近,扩展的比例越大。通过扩展覆盖范围的分析,可以为分布式检测算法在实际应用时需要重点考虑的空域提供依据。

3 工程化应用分析

在工程实现时,基于局部二元判决的分布式检测算法和基于点迹的多传感器信息融合差异不大,主要解决关于目标的时空对准问题。以下针对基于局部检测统计量的分布式CFAR检测算法进行分析。

目前,对基于局部检测统计量分布式检测算法的理论研究所做的假设为:所有雷达同时照射同样的分辨单元。

要满足或基本满足上述理论假设,可以将多个同类雷达重合布站或者距离很近,雷达参数和工作方式完全相同,扫描同步,回波时间完全同步,距离单元完全对齐。

在实际部署时,从能量利用和抗干扰的角度,都不可能将两部同类雷达部署在相距很近的位置,因此需要研究分布式检测算法在分散部署的多部雷达间的工程化应用,主要解决关于同一目标的时空对准问题。

两部分散部署雷达的分辨单元示意如图3所示,不同雷达的分辨单元并不重合,不能满足理论研究的假设条件。从图中可见,一部雷达的一个分辨单元和另外一部雷达的多个分辨单元交叠,在空间同步时,需要考虑这种一对多的关联情况。

为了在两部单站雷达间进行协同检测,雷达间采用同步策略是必要的。分布式检测应重点关注扩展的覆盖区域,使目标出现在扩展覆盖区域时两部雷达的扫描时间差最小,减小由于目标运动对检测性能的影响。

4 结束语

现有对分布式检测算法理论研究所做的假设条件过于理想,在实际应用中不能得到满足。本文以两部分散部署的单站雷达为例,定量分析了两类分布式检测算法扩展覆盖范围的区域分布和比例,并对在工程化实现时需要考虑的时空同步问题进行了分析,以为分布式检测算法的工程化应用奠定基础。

摘要：分布式CFAR检测算法能有效扩展系统的覆盖范围和提供更高的总的信噪比,并具有可预知的检测性能。目前,对分布式CFAR检测算法的研究主要集中在理论研究方面,在理想假设条件下进行算法的性能分析比较等。本文选取两类在局部传感器采用OS-CFAR检测的分布式检测算法,对两部分散部署的雷达,以扩展覆盖范围为指标,分析了扩展覆盖范围的区域分布和比例,为分布式检测算法在实际应用时需要重点考虑的空域提供依据。最后,分析了在多传感器系统中应用分布式检测算法时需要考虑的时空对准问题,为算法的工程化应用奠定基础。

关键词：分布式检测,CFAR检测,二元判决,检测统计量

参考文献

[1]关键,何友,彭应宁.多传感器分布式检测综述[J].系统工程与电子技术,2000,22(12):11-16.

[2]Guan J,PengY.N,HeY.Three types of distributedCFAR detection based on local test Statistic[J].IEEE Trans.AES,2002,38(1):278-288.

[3]刘向阳,彭应宁.基于删除的混合融合准则[J].电子与信息学报,2008,30(1):159-162.

[4]FarroukiA,Barkat M.Automatic censored meanlevel detector using a variability-based censoringwith non-coherent integration[J].Signal Processing,2007,87(6):1462-1473.

[5]Rago C,Willett P,Alford M.Pre-detection fusion:resolution cell grid effects[J].IEEE Trans.AES,1999,35(3):778-789

分布式数据库同步检测方法探讨 篇5

1 矩阵校验算法

1.1 算法概述

联机时将缓存的数据分成n张页面，分别记为P1, P2，…，Pn，把每个页面的校验和分别记C1、C2、…、Cn。求整数m使得(m-1) 2

在服务器方也按同样的方式分页，按同样的方式对校验和排列矩阵。在服务器方计算矩阵中每一行的签名，分别记为SRS 1, SRS 2，…，SRS m。计算矩阵中每一列的签名，分别记为SCS 1, SCS 2，…SCS m。

MU在重连后，把它所缓存的页号码发送到服务器，服务器按上述方法排列矩阵，计算每行和每列的签名，并把这些签名按顺序发送到MU。

MU也按上述方法排列矩阵和计算各行、各列的签名，每行的签名分别记为MRS 1, MRS 2，…，MRS m;每列的签名分别记为MCS 1, MCS 2，…，MCS m。

RX i=1当SRS i≠MRS i时，

0当SRS i=MRS i时.i=1, 2，…，m

比较各行的签名之后，就可以得到RX的一组值:

CX i=1当SCS i≠MCS i时，

0当SCS i=MCS i时。

比较各列的签名之后，得到CX的一组值:CX1,

CX2，…，CX m。

1.2 实例分析

假设有一个64张页的例子，则应排成8×8的矩阵，示意如下(不一致的页用*标记):

通过比较各行、各列的签名之后，得到:

将有可能不一致的页提取出来，得到如下的新矩阵

由RX1=1, CX=00100101可知:在第1行中可能不一致的页有P13, P16, P18。

由RX4=1和CX=00100101可知:在第4行中可能不一致的页有P43, P46, P48。

由RX8=1和CX=00100101可知:在第8行中可能不一致的页有P83, P86, P88。

在上述9个可能不一致的页中，至少有3个页一定有错。如果有超过3个页不一致，则这9个页就是所有不一致页的一个超集。

1.3 算法实现

Tb表示可能不一致页的集合，其初值为空页面Pij的校验和为矩阵中的Cij.Tb:=0

1.4 结果分析

算法确定了一个n×m阶的结果集，这个结果集可能就是所求的不一致页的集合，也可能是不一致页的一个超集(所有不一致的页都包含在里面)。其形式如下:对此集合中可能不一致的页的分布情况作详细讨论，并分别作相应的后续处理。

1.5 不一致页的分布情形

(1)不一致的页刚好落在矩阵对角线或反对角线上(选用一个5阶的方阵作讨论，下同)，情形如下(不一致的页有*标记)：

这种情况是最理想的状况，对于本例的5×5阶方阵，最少有5个页不一致，如果是该情形，则不一致的页就是对角线或是反对角线上的那些。

(2)不一致的页较分散，并不在对角线上，但是正好是满足要求的最少页。情形如下：

对于本例的5×5方阵，不一致的页正好分布在该方阵的行列式的其中一项上，所以只有5张页就能得出签名比较的结果，得到这个5×5阶的结果集合。

(3)不一致的页较分散，并不在对角线上，但是不一致页数目大于最小值，情形如下：

这种情况不一致页的分布表现得无规律性，在这25张页中，不一致页的数目在5～25之间都有可能。

(4)结果集合不是方阵的情形，不一致页的分布也可作类似分析，在此不赘述。

2 技术对比

从算法的复杂程度和实现难度来看，矩阵校验算法显然更胜一筹，其他算法必须实现麻烦的页分组机制，在分组时，随机算法的选择也很关键，不合适的随机分组算法会大大影响实现的效率，会将不一致的页判断为一致，又将一致的页判断为不一致。这都是算法本身的缺陷带来的。本算法通过简单易行却很完美的矩阵排列的方式进行分组，减少了解决问题的环节，很自然地使算法出现错误的几率δ降到了可以忽略的程度，也就是说本算法更可靠。另外本文对确定一个超集之后的解决方案作了讨论，并吸收了以前研究成果可借鉴的部分，使得本算法更可靠、更健壮，能应对在应用中出现的各种情况。

3 结束语

从上面分析可知，矩阵校验算法在很大程度上只能找出不一致页的范围，并不一定能精确到具体页，但在实际应用中，在校验一组页之前知道有多少个页不一致是不现实的，一定要精确地定位那些不一致的页也是没有实际意义的。本文技术的竞争力体现在算法复杂度和实现难度方面，通过简单而有效的矩阵排列，解决了分组的问题，使本技术比其他技术更可靠，不一致的概率更小。而且在确定一个结果集后，又采取了行之有效的措施，在结果集的基础上再作诊断，使诊断结果更为精确。

参考文献

[1]何新贵, 唐常杰, 李霖, 等.特种数据库技术[M].北京:科学出版社, 2000.

[2]Franklin M J, Carey M J, Livny M.Transactional Cli2ent/Server Cache Consistency:Alternatives and Per2formance[J].ACM Transactional on Database Sys2tems, 1997 (3) .

[3]Barbara D, Imielinski T.Sleepers and Workaholics:Caching St rategies in Mobile Environment s[R].In:Proceedings of ACM SIG-MOD Conference Minnesotai, 1994:1-12.

[4]Daniel.Barbara, Richard J Lipton.A Class of Random2ized St rategies for Low2Cost Comparison of File Copies[J].IEEE Trans-actions on Parallel and Dist ributedSystems, 1991, 12 (2) :160-170.

分布式检测 篇6

1 Internet的本身就存在着安全性问题

Internet的不安全因素主要集中在以下几个方面:TCP/IP协议和服务本身的弱点, 网络配置中缺乏统一策略, 弱用户认证机制, 易受到冒充和探测, 社会和人为因素等。计算机网络中活跃着的黑客们寻找系统的漏洞进行攻击, 通过上述一些缺陷就可以进行攻击, 造成网络的不安全性。

2 网络安全技术分析

为了保护Internet上信息、服务和访问的安全性, 人们开发了多种安全协议和技术, 主要有以下几种:

(1) 存取控制:存取控制规定操作权限的分配, 它一般与身份验证技术一起使用, 根据不同身份的用户给予不同的操作权限, 以实现不同安全级别的信息分级管理。

(2) 数据完整性:保证数据完整性至关重要, 以免在传输过程中被篡改, 因此需要验证收到的数据和原来数据之间保持一致。

(3) 加密技术:加密是一种最基本的安全技术, 主要用在数据存储、数据传输和口令技术中。现在金融系统和商界普遍使用的算法是美国商界加密标准DE3。

(4) 用户身份认证:它是互联网上信息安全的第一道屏障。用户身份认证即校验用户访问系统和使用信息的资格, 它是网络安全的关键技术。

(5) 安全协议:目前在TCP/IP下一版本 (IPv6) 中就增加TAH和ESP机制及其它安全措施。

(6) 防火墙技术:防火墙技术可通过与加密技术、用户身份认证技术相结合, 能够保证对安全协议的保护, 是一种比较有效的保护网络安全的方法。

(7) 入侵检测技术:入侵检测和漏洞检测技术是网络安全技术的重要组成部分, 它们不但可以实现复杂的信息系统安全管理, 而且还可以从目标信息系统和网络资源中采集信息, 分析来自网络外部和内部的入侵信号和网络系统中的漏洞, 发出警告或实时对攻击做出反应。

3 网络入侵技术分析

IDS的研究始于20世纪80年代, 安德逊于1980年引入入侵检测概念时, 将入侵企图或威胁定义为故意非授权的企图进行以下活动的潜在可能性, 这些活动包括:访问信息、修改信息、致使系统不可靠或不可用。因此入侵可以定义为任何企图破坏信息或资源的机密性、完整性、以及可用性的行为。

美国IDG Info World测试中心小组开发了一种可以称之为Benchmarking类型的测试基准:IWSS16。通过收集上千种典型且可以公开得到的攻击方法并对其进行组合, 形成了IWSS16。IWSS16主要由四种主要类型的攻击手段组成:

(1) 收集信息:网络攻击者经常在攻击之前, 先进行试探性的攻击, 以便获得系统有用的信息, 主要手段有捕包 (sniffing) , PING扫描, 端口扫描, 帐户扫描, DNS转换等操作。

(2) 获取访问权限以各种手段获取对网络和系统的特权访问, 目的是获取有价值的信息。

(3) 拒绝服务 (Denial of Service) Do S是最不容易捕获的攻击, 因为它不易留下痕迹, 安全管理人员不易确定攻击来源。这种攻击通过大量不间断的申请使得系统处于繁忙状态直至系统瘫痪;拒绝服务供给还可以利用操作系统的漏洞进行针对性的攻击。

(4) 逃避检测:入侵者往往在攻击之后, 使用各种逃避检测的手段, 使其攻击的行为不留痕迹。典型的特点是修改系统的安全审计记录。

4 安全检测技术

入侵检测已经被视为防火墙的合理补充, 它从安全审计, 安全监控, 攻击识别, 以及对攻击的反应这几方面加强了系统管理员的安全管理能力。通过入侵检测系统可以使计算机系统对攻击有所准备并能及时做出反应。入侵检测系统从计算机系统的大量数据中搜集信息并分析这些信息以查找出有安全问题的症状。入侵检测系统通过收集和分析信息能够完成诸多功能, 如检测和分析用户的活动、审核系统配置和漏洞、对系统和数据文件的完整性进行评估、识别反映己知攻击模式的行为、统计分析异常行为模式、操作系统日志管理, 并支持对违反策略的用户行为的识别。

漏洞评估工具对系统执行严格的检查以定位可导致安全侵害的弱点。漏洞评估工具使用两种策略来执行这些检查。

第一种是被动的, 从主机本身出发进行检查, 通过系统配置文件的设置问题到系统口令的复杂和保密程度, 并从中找出一些违反安全策略的内容。第二种是主动的, 它通过模拟已知的入侵脚本来对系统进行“攻击”, 然后根据系统做出的反映来进行漏洞评估分析。

尽管这些系统不能可靠地检测正在进行的攻击, 但是它们可以确定攻击是否可能发生, 此外, 有时它们也能确定攻击是否已经发生。由于它们提供的功能与入侵检测系统相似, 我们也将它们包括到入侵检测技术与工具范围内来.漏洞评估技术发展的比较成熟, 己有不少成形的工具包。

5 现存入侵检测的问题和展望

入侵检测在网络安全方面的作用是不可小觑的, 它已经成为网络安全体系结构和完整的安全解决方案的重要组成部分。可以说它也是网络安全的最后一道防线, 同时它还保护着其他安全子系统。国外很多机构和研究人员对网络安全的研究起步较早, 有一些入侵检测的产品, 一开始主要是检测一些漏洞的工具包还有扫描端口的工具, 逐渐发展成现在的一些成型的入侵检测产品, 而且应用效果也很突出。国内在这方面的研究起步比较晚, 还没有什么具体的成果出现。对于入侵检测系统的研究瓶颈在于数据的处理方面, 通过分布式计算能够很大程度的解决该问题, 目前研究的主要方向都在分布式计算的上。在处理网络中的入侵检测系统中大量的数据时发现, 如果处理的数据不够快, 不能够有效的进行处理出现丢包或者检测系统中出现单点失效, 那么入侵检测系统就是去了意义。随着网络的飞速发展, 中间件技术的成熟, 推动了分布式系统的发展, 处理数据不再使用大型机而是逐步被分布式系统渐渐取代。因此研究分布式计算在入侵检测领域的应用是非常有价值的。

同时为了弥补入侵检测系统的智能方面的不足, 研究人员引入了基于专家系统的、基于模型推理的和基于神经网络的分析方法, 这样入侵检测系统在检测已知系统攻击的同时还能够检测到未知的入侵和更为复杂的入侵, 例如通过系统的自学习系统能够实现检测, 能够根据实际检测到的信息有效的加以处理并做出入侵可能性的判断。但该方法还不成熟, 时常会出现误报、漏报的现象, 对于用户正常行为突发改变会不适应, 而且还没有出现较为完善的产品。目前的入侵检测主要根据网络中主要的节点进行检测, 根据端口的流量监听, 并将数据进行统计和分析, 从主要容易被攻击的目标主机上进行日志和系统参数的提取和分析, 从中找出入侵特征并对其进行预警, 或自动处理。但是目前的入侵检测系统受到多方面的制约, 如检测的速度、设备的可扩展性以及被攻击后失效等因素。当网络中的主要节点被攻击, 有没能及时的采取措施造成了节点主机瘫痪, 那么整个系统将陷入困境。那么如何处理以上问题成为目前的主要研究方向, 提高系统的可扩展性, 提高计算速度和分析能力而采取分布式计算系统的入侵检测系统正在摸索阶段。如能将分布式计算和多种入侵检测技术完美的结合将很好地解决现有入侵检测系统的瓶颈问题。

参考文献

[1]耿麦香.网络入侵检测技术研究综述[J].网络安全技术与应用, 2004 (06) .

一种新的分布式发电孤岛检测方法 篇7

分布式发电系统(DG)指的是在用户现场或靠近用电现场配置较小、容量在数千瓦至数十兆瓦之间的发电机组(一般低于30 MW),以满足特定用户的需要,支持现有配电网的经济运行,或同时满足这两个方面的要求。随着技术的发展,以及公共环境政策和电力市场扩大等因素的共同作用,分布式发电成为重要的能源选择,是电力行业发展的新方向之一[1]。

正常情况下,DG负担本地负载所需的功率,剩余(或不足)的功率则由主电网提供[2,3]。

在某种情况下(故障或者误操作等),DG仍旧为负荷供电,但却与主电网分离,这时的运行状态便是孤岛状态。由DG单独作用的孤岛系统很难稳定运行。需要将DG断开,以消除孤岛下的潜在危险,除非DG被用作独立于电网的备用电源[4]。

孤岛检测方法主要分为基于通讯的孤岛检测方法和局部孤岛检测方法。基于通讯的孤岛检测方法主要有连锁跳闸法[5]和电力线载波通讯法[6];局部孤岛检测方法主要分为被动式孤岛检测方法和主动式孤岛检测方法。被动式检测方法通过检测并网发电系统与电网连接处电压或频率的异常来检测孤岛效应,包括过/欠压和过/欠频保护[7,8,9]、相位跳变[7]、电压谐波检测[7,8,9]等方法;主动式检测方法通过有意的引入扰动信号,来监控系统中电压、频率以及阻抗的相应变化,以确定电网的存在与否,主要包括输出功率变动[10,11]、阻抗测量法[12,13]等。出于成本和可靠性考虑,被动式孤岛检测方法得到了较大的(VS)法是其中两种典型的代表。这两种方法总体上灵敏度高,可实现性好,但也均存在各自的不足。为此,本文在分析比较上述两种方法的基础上,提出一种集成的被动式孤岛检测方法,以提高孤岛检测的可靠性和灵敏性。

1 现有的典型被动式孤岛检测方法分析

ROCOF是目前孤岛检测中最常用的一种方法。其理论基础是:假设孤岛瞬间分布式电源提供的功率和负荷消耗的功率间存在功率差异,即功率不平衡时,孤岛发生后电源输出功率的变化导致电压、频率的变化,这种变化可以用来检测孤岛的产生。

ROCOF继电器的模型可以用图1表示[14]。

ROCOF继电器提取母线电压矢量的电角速度ωe,然后把电角速度ωe转换成频率,并且经过一个微分模块和通过一个时间常数为aT的一阶传递函数得到需要的频率变化率,传递函数中采用的时间常数aT为滤波器的时间常数和测量时窗,一般为几周波到40周波之间。如果得到的df/dt值大于所设定的阈值,ROCOF继电器就会发出跳闸信号。一般,ROCOF在50 Hz下设定为0.1~1 Hz/s,其数值取决于系统强弱,且系统越强,数值设定就越小。

除了对df/dt数值的设定外,ROCOF继电器的启动还需要另外一个条件:U>Ulimit。即若端电压U降至一个规定值Ulimit以下时,ROCOF会闭锁跳闸信号,这样是为了防止在发电机启动或短路等情况下ROCOF产生误判。

ROCOF方法的非检测区小、灵敏度高、性能好[15],尤其是当孤岛效应发生前,负载和DG之间的有功功率差额较大时,该方法能够在非常短的时间内检测出孤岛,并且有效和可靠的动作;但是在有功功率差额非常小时,有可能会进入保护的死区,不能提供可靠的孤岛检测;并且,本方法在系统扰动的情况下容易产生误判。

VS继电器将当前的测量波形与上一个测量波形相比较,在孤岛时,一个正弦波的周期将减小或增大,这取决于孤岛系统中,DG提供的有功功率的变化与端电压相角的变化∆θ成正比。而∆θ是VS继电器的参变量。如果∆θ大于VS继电器设定的阈值α,VS继电器就会发出跳闸信号。一般,VS继电器的阈值α设为2°~20°。除此之外,VS继电器也对端电压的幅值设定了一个最小值Vlimit,如果低于这个最小值,VS继电器将闭锁,之所以设置Vlimit,也是为了避免误判。

VS方法是频率变化的积分,即因此利用VS的方法检测孤岛时,在有功功率差额较小时仍能检测出孤岛状态,并且当系统发生扰动时,本方法能有效地防止误判,有较高的可靠性;但是本方法在有功功率差额较大时,不能满足快速动作的要求。

2 协调ROCOF和VS法的孤岛检测新方法及其整定

2.1 孤岛检测新方法

根据上述对ROCOF法和VS法的优缺点分析,可以考虑通过对两种方法进行协调配合,并通过适当的整定,组成综合式孤岛检测方案,既可发挥ROCOF法在功率差额较大时快速动作、VS法在功率差额较小时可靠性高的优点,又能克服彼此的不足,达到快速可靠实现孤岛检测的目的。综合式孤岛检测方案的具体流程如图2所示。

其中,Vlimit为临界电压,当小于此值时闭锁保护;f m′in为ROCOF的整定最小值,当频率变化率大于此值时,如果相位变化超过门槛值,保护动作;f m′ax为ROCOF的整定最大值,当频率变化率大于此值时,无需判断相位变化,保护直接动作;∆θmin为VS整定最小值,如果同时满足频率变化率超过门槛值,则保护动作;tdf/dt

在本方法中,首先检测系统电压,如果系统电压低于一个门槛值Vlimit,则闭锁检测,这样是为了防止发电机启动或系统故障时本方法误判;然后我们检测频率变化率是否大于ROCOF的整定最小值f m′in,如果大于则启动检测;如果频率变化率大于ROCOF的整定最大值f m′ax,则表明此时的功率差额较大,可以直接动作;如果小于ROCOF的整定最大值f m′ax,那么还需要判断相位变化是否超过VS整定最小值∆θmin,如果超过则发跳闸信号,否则不发跳闸信号;当孤岛前后有功差额非常小的时候,ROCOF有可能进入检测的死区,但是VS却可以可靠检测出来,这可以通过流程图中的右边部分实现,并且在系统正常运行时不会误判。

2.2 各门槛值的整定

在我国,用户供电电压的允许偏移对于10 k V及以下电压级为±7%,并且考虑到一般系统中都安装了欠/过压继电器,我们把Vlimit设定为0.93 p.u。

参照公式本文中取minf′为0.2 Hz/s,maxf′0.5 Hz/s;根据IEEE Std.929中推荐的孤岛效应检测时间,本文取mindf/dt ft<′为2 s。

3 仿真验证

3.1 系统建模

采用PSCAD/EMTDC建立了如图3所示的试验仿真系统。

其中,分布式电源与主电网(配电网)并网运行。主电网用50 MVA的理想电源模拟,分布式电源采用柴油发电机,容量为5.4 MVA,惯性常数6.07s,带额定负载为4.6 MW有功功率和2.4 Mvar无功功率。负载采用恒功率负载,负载1和负载2的有功功率和无功功率根据需要进行调整。系统的额定频率为50 Hz。

图3所示的仿真系统中配电网与DG共同给负荷供电,三相断路器BRKs1断开前,所有负荷全部由DG和主系统共同供电;断开后,DG与负荷从电网中独立出来形成孤岛,独立向负载供电。

3.2 有功功率差额较大时本方法的响应

负载总的有功功率为6.0 MW,无功功率为2.4Mvar,发电机额定有功功率为4.6 MW,有功功率差额为30%。测量到的频率、频率变化率和相位变化率如图4所示。

由图4(a)可以看出,频率在0.5 s时下降到49.5 Hz,达到频率继电器的动作值;图4(b)中,频率变化率在50 ms时达到0.2 Hz/s,达到本论文所提方法的最小动作值,在150 ms时达到0.5 Hz/s,根据本文设定整定值,可以直接动作;图4(c)中,相位变化在0.43 s达到3o,VS法达到动作值。

根据传统的孤岛检测方法,ROCOF继电器能在50 ms时动作,而VS继电器在0.43 s时才能动作。根据本文所提方法,可以在0.15 s时动作,虽然牺牲了ROCOF方法的动作速度,但已经克服了VS方法检测时间较长的缺点。而下面的分析将会指出,在ROCOF法不能快速动作的场合,本方法也将能以适当的速度对孤岛状态予以响应,这就弥补了ROCOF法的不足。

3.3 有功功率差额较小时本方法的响应

负载总的有功功率为5.1 MW,无功功率为2.4Mvar,发电机额定有功功率为4.6 MW,有功功率差额为10%。测量到的频率、频率变化率和相位变化率如图5所示。

由图5(a)可以看出,频率在1.45 s时下降到49.5 Hz,达到频率继电器的动作值;图5(b)中,频率变化率在0.2 s时达到0.2 Hz/s,达到本文所提方法的最小动作值,在2 s时没有达到0.5 Hz/s,因此,基于频率变化的分支不能直接动作;图5(c)中,相位变化在1.25 s达到3o,VS法达到动作值。

在传统的孤岛检测方法下,ROCOF继电器在0.2 s后动作,而VS继电器在1.25 s时才能动作。在本算例设定的扰动条件下,本文所提方法的动作时间依从于VS继电器,在1.25 s时动作,似乎是牺牲了ROCOF方法的动作速度,但是却利用了VS方法在有功功率差额较小时检测可靠的优点。对比上述两个算例可以看出,ROCOF方法的动作速度因功率缺额变小已经明显变慢,当功率差额进一步变小时,ROCOF法将会拒动,而集成了VS法优点的本方法依然能够动作,算例如下。

3.4 有功功率差额非常小时本方法的响应

负载总的有功功率为4.74 MW,无功功率为2.4Mvar,发电机额定有功功率为4.6 MW,有功功率差额为3%。测量到的频率、频率变化率和相位变化率分别如图6所示。

由图6(a)可以看出,频率在6 s后下降到49.5Hz,达到频率继电器的动作值;图6(b)中,频率变化率在7 s时才达到0.11 Hz/s,从波形可以看出它将在很长一段时间内都不会达到本文所提方法的动作值,进入了ROCOF方法检测的死区;而图6(c)中,相位变化在5 s达到3o,达到了动作值。

在传统的孤岛检测方法下,ROCOF继电器在7s后都不会动作,而VS继电器在5 s时却能检测出孤岛的产生,根据本文所提方法即可在5 s时动作,这是利用了VS方法在有功功率差额较小时能可靠检测的优点。

4 结语

分布式检测 篇8

1. 确定检测需求和数据需求。

不同的用户群有不同的检测需求, 如有的用户只关心外来入侵者, 而有的用户更关心内部入侵者, 不同的检测需求决定了不同的数据需求。由检测需求确定数据需求时, 既要求是充分的, 也要求是必要的。

2. 选择数据源。

现有的数据源包括主机数据源、网络数据源等。主机数据源又包括主机审计日志、系统日志、应用程序日志等。

3. 分析方案。

首先, 在什么地点 (分布式或集中式) 、什么时机 (实时或周期的) 进行数据分析。其次, 采用什么样的方法 (某种异常检测方法或特征检测方法) 来表示和检测入侵者。其中后一个问题尤其重要, 也尤为困难, 它将关系到整个入侵检测系统的有效性。

4. 响应。

当检测到入侵或可疑的活动时, 采取什么样的响应措施?

二、一个分布式入侵检测系统的总体设计

1. 确定检测需求和数据需求。

本文的目标是设计实现一个通用的入侵检测系统, 既要检测外来入侵者, 也要检测内部入侵者 (包括内部人员冒用他人账号的行为) , 即检测一切危及系统安全的行为及企图。这就要求搜集全面的数据作为证据。

2. 选择数据源。

基于网络的入侵检测系统对已知的探测和拒绝服务攻击较为有效, 而基于主机的入侵检测系统对user-to-root攻击更有效, 结合基于网络和基于主机的入侵检测系统有较好的综合性能。所以, 本文设计的入侵检测系统采用了基于网络和基于主机的入侵检测相结合的方案。

基于网络的入侵检测系统都无一例外地将网络数据包作为唯一的数据源, 而没有把网络域知识、主机知识利用起来, 这将导致基于网络的入侵检测系统很容易遭到攻击。本文设计的基于网络的入侵检测系统将网络数据包和网络域知识、主机知识作为数据源, 从而增强了入侵检测系统自身的安全性。

基于主机的入侵检测系统一般采用主机系统的审计迹作为数据源。许多入侵检测专家认为以入侵检测为目的的操作系统审计迹优于其他常见的主机信息源, 主要有两个原因:一是操作系统为审计子系统和审计迹提供了保护;二是审计迹很详细地揭示了系统事件, 也就是说审计迹为入侵检测系统提供了丰富的证据。所以, 本文设计的基于主机的入侵检测系统也将操作系统的审计迹作为数据源。

3. 分析方案。

首先, 本文采用实时、分布的分析策略。分布式入侵检测系统是指数据分析在n个位置执行 (n为变量) , 它随所监视的主机数量的增长而增长, 分布式入侵检测系统是相对于集中式入侵检测系统而言的。集中式入侵检测系统是指数据分析在确定的一个或多个 (通常是一个) 位置执行。分布式入侵检测系统较集中式入侵检测系统有以下优点: (1) 利用分布式计算, 提高了系统的处理能力。 (2) 可扩展性好, 当原有网络扩展时, 只需增加几个网络检测单元或主机检测单元。 (3) 系统重新配置或升级较容易。

在分析方法的选择上, 网络检测单元采用模式匹配的特征检测方法, 主机检测单元采用人工神经元网络的异常检测方法。在中央控制台, 把来自网络检测单元和主机检测单元的信息进行关联分析, 发现其中的联系。

三、网络检测单元的设计与实现

网络检测单元按照指定的安全规则检测网络数据包, 发现网络攻击和用户自定义的网络行为, 并根据用户设置作出适当的响应。

1. 设计思想。

网络检测单元就是一个基于网络的入侵检测系统, 本文在网络检测单元的设计中采用的方法是通过将主机知识、网络域知识结合到网络检测单元的信息源中, 解决基于网络的入侵检测系统易受攻击的问题。

2. 网络包的捕获。

(1) 网络监听原理:在一般情况下, 数据帧到达一台主机的数据链路层时, 数据链路层读入数据帧进行检查, 如果数据帧中的目的地址与自己的物理地址一致, 则将数据帧交给上层协议层, 否则丢弃这个数据帧。但是, 如果将网络适配器 (网卡) 设置为混杂模式, 则无论数据帧中的目的地址是什么, 主机都将接受。 (2) 网络包的协议分析:协议分析的主要任务是完成对网络包的语义识别, 即从网络包中找出源IP地址、源端口、目的IP地址、目的端口等信息, 以便在规则匹配时引用。另外一个重要任务是要完成对IP分片的重组、TCP流的组装, 因为狡猾的黑客可以利用IP分片、TCP流将攻击特征分散在多个网络包中, 从而躲过只执行简单的单包分析的入侵检测系统。 (3) 规则库的数据结构:规则库以文本文件的形式由中央控制台传递给网络检测单元, 因为文本文件的可读性好、易于扩展, 但是不能作为直接的数据结构提供给检测引擎使用。规则库可以存在数据库中, 供检测引擎随时查询, 但是数据库查询涉及频繁的I/O操作, 而且缺少优化的搜索策略, 必然难以满足入侵检测的实时性要求。所以, 本文决定在每次系统启动时, 将规则库以链表形式组织起来, 这样检测引擎可以直接访问内存中的规则链表, 省略了耗时的I/O操作。规则库的数据结构如下:

(1) 协议链表节点

(2) 端口链表节点

(3) 规则头节点

(4) 规则选项节点

(5) 规则库的匹配过程

a.首先提取当前数据包中的协议号protonum。

b.然后沿协议链表的横向进行查找, 如果当前节点的协议号小于protonum, 则继续向后查找;如果当前节点的协议号大于protonum, 则匹配失败返回如果搜索到末尾还没有相同协议号的节点, 则匹配失败返回;如果找到相同协议号的节点, 转到 (3) 。

c.提取出该数据包中的目的端口值, 并沿协议节点中的端口链表指针找到端口链表, 沿端口链表的横向进行查找。如果当前节点的端口值小于, 并dport, 则继续向后查找;如果当前节点的端口值大于dport, 则匹配失败返回;如果搜索到末尾还没有相同端口值的节点, 则匹配失败返回;如果找到相同端口值的节点, 转到 (4) 。

d.提取出该数据包中的源IP、源端口号、目的IP, 沿端口节点中的规则链表指针找到规则链表, 并沿规则链表的横向进行查找。如果没有相同内容的规则链表的头节点, 则匹配失败返回;如果找到相同内容的规则链表的头节点, 转到 (5) 。