规则检测(精选10篇)
规则检测 篇1
0 引言
Snort是一个用C语言编写的开放源代码的轻量级网络入侵检测系统 (NIDS) , 所谓轻量级是指在检测时尽可能少地影响网络的正常操作。虽然Snort代码极为简洁、短小, 但功能强大, 具备跨系统平台操作和对系统影响最小等特征, 并且允许管理员在短时间内通过修改配置进行实时的安全响应。目前最新版本是Snort 2.6。
1 Snort规则处理
Snort规则处理模块完成与规则有关的各种功能, 主要包括Snort规则解析和Snort规则检测两部分。
1.1 Snort规则解析
Snort使用一种简单、灵活、高效的规则描述语言。Snort规则可以划分为两个逻辑部分:规则头和规则选项。规则头包含了规则动作、协议、源地址、目的地址、网络掩码、源端口和目标端口等信息;规则选项包含警报信息以及用于确定是否触发规则相应动作而需检查的数据包的详细信息。
Snort将所有已知的攻击以规则的形式存放在规则库中, 系统初始化并解析规则时, 根据规则所用协议分别生成TCP、UDP、ICMP和IP四个不同的规则树。Snort规则树的数据结构在rules.h文件中进行定义。每一个规则树包含独立的三维链表:Rule Tree Node (规则头) 、Opt Tree Node (规则选项) 和函数指针 (指向规则行为) 。在RTN节点 (即链表头节点) 中包含的是IP地址及端口号等信息, 而OTN节点 (即链表节点) 中包含的是规则选项。Snort规则解析将具有共同属性 (例如:源IP、目的IP、源端口号和目的端口号) 的链表选项压缩到一个单独的链表头中。
1.2 Snort规则检测
当Snort发送一个数据包到规则检测引擎时, 首先分析该数据包使用哪个协议以决定将与对应的规则树进行匹配;然后与RTN节点依次进行匹配, 当与一个链表头节点相匹配时, 向下与逐个OTN节点进行匹配。每个OTN节点包含一条规则所对应的全部选项, 同时包含一组函数指针, 用来实现对这些选项的匹配操作。当数据包与某个OTN节点相匹配时, 即判断此数据包为攻击数据包并将触发规则中定义的规则行为。
2 标准Snort规则匹配存在的问题
标准的Snort系统采用单进程方式运行, 对截获的每个数据包都需逐个串行地进行检测的方法, 即遍历整个规则集来判断一个数据包是否有匹配的规则。
Snort的规则按照四个参数来分类:源IP地址, 目的IP地址, 源端口范围, 目的端口范围。对数据包进行规则匹配时, Snort检测每个规则集的四个参数来确定是否检测这个规则集还是简单地移动到下一个规则集。如果一个数据包匹配这个规则集的四个参数, 则按顺序检测这个规则集中的所有规则, 并按顺序检测每个规则的参数。当一个规则集的所有规则检测完之后, Snort将检测下一个规则集的四个参数再重复这个检测过程。
通常, 当处理规则集数目比较少的时候这个检测策略是相对有效的。但是, 当一个规则集中有10个以上的规则时, 这种检测策略效率就会很低, 因为一个规则集中的所有规则都将串行地进行匹配, 即一个规则中的所有选项都逐一进行匹配。另外, 它还会使一个数据包与多个规则集匹配, 从而大大降低了匹配速度, 且可能出现漏包现象, 并最终降低Snort系统的性能, 难以满足入侵检测系统高实时性的要求。为此, 急需采取措施, 以提高Snort系统的实时检测性能。
3 Snort的规则检测优化
规则检测是Snort的核心运算模块, 如果能够提高它的运算速度, 将有效提高Snort的整体性能。下面从模式匹配算法和规则优化两个方面来讨论Snort的规则检测优化。
3.1 改进模式匹配算法
模式匹配是Snort系统主要的性能瓶颈, 约占整个系统运行时间的30%。因此, 对Snort系统的性能优化工作, 主要是研究如何提高和改进模式匹配算法的效率。
B M算法是一种高效的单模式匹配算法, 该算法从模式串的最后一个字符开始自右至左逐个字符与正文中的字符进行比较, 其时间复杂度为O (mn) , 最优时为O (n/m) 。但是, 在Snort系统中进行多模式匹配时, 需要重复多遍执行, 其效果不佳。
对于多模式匹配来说, Aho-Corasic算法并行搜索模式集合要比应用BM算法逐一地搜索多个模式串高效得多。其预处理时间取决于规则集中最长模式的长度。AC算法的时间复杂度为O (m) 。然而, 基于有限自动机的算法必须逐一地查看文本的每个字符, 这样会影响匹配速度和工作性能。
AC-BM算法把AC算法和BM算法的基本思想有机地结合起来, 其在Snort系统上并行地多模式搜索比BM算法搜索快1.02~3.32倍。然而, AC-BM算法将对Snort规则重排序, 这也意味着规则无法区分优先级。其次, AC-BM算法需要额外的数据结构来搜索noncase-sensitive模式。
Wu-Manber算法是另一种应用广泛的多模式匹配算法。该算法采用了Boyer-Moore算法的框架, 在预处理所有模式时使用一个2-byte的跳转表。此外, 在进行匹配的时候, 它使用散列表选择关键词集合中的一个子集与当前文本进行匹配, 减少无谓的匹配运算。
总的来说, Wu-Manber算法是Snort系统的较好选择。因此, 我们采用Wu-Manber算法作为当搜索集个数超过10个时的默认检测引擎。AC算法则作为可供用户选择的检测引擎, 而B M算法就用于小规则集的检测中。
3.2 一种基于优化规则集的检测方案
针对Snort的每一个数据包都要对所有规则进行匹配的缺陷, 提出了一种规则优化的方案。该方法的主要思想是:将Snort的规则划分为多个子集, 使得每一个数据包匹配时仅有一个规则集与之匹配, 从而只需要在这个规则集内对这个包进行匹配。
规则优化创建的规则集必须满足以下两个原则:
(1) 尽量创建最小的, 最有效率的规则集;
(2) 创建独立的规则集, 使得每一个被检测的数据包, 只需要对一个规则集进行匹配。
规则优化在系统初始化时通过使用惟一的规则参数来创建规则集, 例如源端口、目的端口和规则内容选项等。对于每个传输协议来说所选的参数是不同的, 因为每个协议都有不同的标志。规则优化采用那些能惟一确定某一规则的参数来形成不同的子规则集, 从而使得多规则检测引擎只需检测较小的规则集。更重要的是, 这使得不同类型的数据包根据其自身特点被归到一个子规则集中。
对于不同的传输协议, 确定规则集的参数是不同的。对应于不同协议, 所选择的参数可参考如下:
(1) TCP/UDP:源端口目的端口
(2) ICMP:ICMP类型
(3) IP:传输协议id
当Snort系统运行时, 规则优化为每一个处理的数据包选择一个规则子集。规则优化只是多规则检测引擎的第一步, 因为选择规则集取决于对数据包参数和规则参数的匹配。也就是说, 规则优化为多规则检测引擎过滤出那些需要进一步检测的规则。
多规则检测引擎使用一种基于优化规则集的检测算法。因为所有要检测的规则已经划分到一个规则子集中, 检测算法可对规则并行地进行匹配。这种并行匹配算法加上已经优化的规则集, 降低了总体的检测处理时间。
4 结论与展望
本文通过对Snort源码的分析, 从Snort规则检测所存在的问题出发, 比较了已有的模式匹配算法, 并讨论一种基于优化规则集的检测方案, 使得规则并行地进行匹配, 提高了系统的匹配速度。另外, 网络攻击行为在一定时间内具有一定的共性。因此, 在系统检测出多个攻击数据包后, 动态调整规则的次序, 使之与后继的数据包尽快匹配, 将能够有效提高系统的性能。下一步的研究将对此进行设计和改善。
参考文献
[1]Snort 2.0: Rule Optimizer. Sourcefire, Inc. http://www.snort.org.2004.4.
[2]Neil Desai, Increasing Performance in High Speed NIDS, A look at Snort’s Internals. http:// www. cisudel.edu/ ̄zhi/www. docshow.net .2002.
[3]Rongtai Liu, Nenfu Huang, and Chihhao Chen. A Fast String-Matching Algorithm for NetworkProcessor-Based Intrusion De-tection System. ACM Transactions on Embedded Computing Systems, Vol. 3, No. 3, August 2004.
[4]Marc Norton. Optimizing Pattern Matching for Intrusion Detection.S ourcefire, Inc.http://www.snort.org.2004.9.
[5]Marc Norton, Daniel Roelker, Sourcefire. High Performance Multi-Rule Inspection Engine. http://www.snort.org.2002.6.
规则检测 篇2
常用建筑材料见证取样检测及结果判定规则
第一章
水泥、砂石、矿渣粉、粉煤灰
1.1水泥 参考标准
1水泥取样方法GB/T12573-2008 2水泥细度检测方法 筛析法GB/T1345-2005 3水泥标准稠度用水量、凝结时间、安定性检验方法GB/T1346-2011 4水泥胶砂强度检验方法GB/T17671-1999 5水泥比表面积测定方法 勃氏法GB/T8074-2008 6水泥胶砂流动度测定方法GB/T2419-2005 7通用硅酸盐水泥GB175-2007 1.1.1检验项目 1凝结时间 2安定性 3强度 4细度
1.1.2取样方法和数量
1同一生产厂家、同一等级、同一品种、同一批号且连续进场的水泥,袋装不超过200t为一批,散装不超过500t为一批,每批抽样不少于一次。
2取样应有代表性,可从20袋或20个以上不同部位取等量样品,总量至少12kg。3每一编号取样的水泥杨品应充分混合均匀,分为两等份,一份由卖方保持40d,一份由买方送至有资质的检测机构按标准规定的要求进行检验。如果有疑义时,则双方应将卖方保存的另一份试样送至省级或省级以上国家认可的水泥质量监督检验机构进行仲裁检验。水泥安定性仲裁检验时,应在取样之日起10d以内完成。1.1.3 现场复验 根据混凝土结构工程质量验收规范GB50204-2002(2011版)规定:
1水泥进场时应对其品种、级别、包装或散装仓号、出厂日期等进行检查,并应对其强度、安定性及其他必要的性能指标进行复验,其质量必须符合现行国家标准通用硅酸盐水泥GB175-2007等的规定。
2当在使用中对其水泥质量有怀疑或水泥出厂超过三个月(快硬硅酸盐水泥超过一个月)时,应进行复验,并按复验结果使用。
3钢筋混凝土结构、预应力混凝土结构中,严禁使用含氯化物的水泥。1.1.4结果判定及处理 1凝结时间
硅酸盐水泥初凝时间不小于45min,终凝时间不大于390min。
普通硅酸盐水泥、矿渣硅酸盐水泥和复合硅酸盐水泥初凝时间不小于45min,终凝时间不大于600min。2安定性 沸煮法合格 3强度
不同品种不同强度等级的通用硅酸盐水泥,其不通龄期的1强度符合表1.1.4的规定 表1.1.4水泥强度 单位:MPa 插入表格
4细度(选择性指标)
硅酸盐水泥和普通硅酸盐水泥的细度以比表面积表示,其比表·面积不小于300㎡/kg;矿渣硅酸盐水泥、火山灰质硅酸盐水泥、粉煤灰硅酸盐水泥的细度以筛余表示,其80牛米方孔筛筛余不大于10%或45牛米方孔筛筛余不大于30%。
当水泥凝结时间、安定性、强度中有任何一项技术指标不符合标准规定要求时,判所捡项目不合格。不合格水泥不得用于工程中。1.2砂石 参考标准: 1普通混凝土用砂、石质量及检验方法标准JGJ52-2006 2建设用砂GB/T14684-2011 3建设用卵石、碎石GB/T14685-2011 1.2.1检验项目
1.2.1.1普通混泥土用砂检验项目 1颗粒级配和细度模数 2含泥量和泥块含量 3含水率、吸水率 4紧密密度和堆积密度
5有害物质含量(包括有机物含量、云母寒凉、轻物质含量、硫化物以及硫酸盐含量等)6氯离子含量 7碱活性
1.2.1.2普通混凝土用石检验项目 1颗粒级配 2含泥量和泥块含量 3含水率和吸水率 4针、片状颗粒含量 5表观密度
6堆积密度和紧密密度 7硫化物和硫酸盐含量 1.2.2取样方法和数量 1.2.2.1 验收批组成
根据普通混凝土用砂、石质量及检验方法标准JGJ52-2006规定,供货单位应提供砂或石的产品合格证及质量检验报告。购货单位应按砂或石的同产地同规格分批验收。采用大型工具(如火车、货船或汽车)运输的,应以400立方米或600t为一验收批;用小型工具(如拖拉机等)运输的,应以200立方米或300t为一验收批。不足上述数量者以一批计。
每验收批砂、石至少应进行颗粒级配、含泥量和泥块含量检验。对于石子,还应检验针片状颗粒含量。如为海砂,还应检验其氯离子含量。对于人工砂及混合砂,还应检验石粉含量。对重要工程或特殊工程,应根据工程要求增加检测项目。当质量比较稳定、进料量又较大时,可定期检验。1.2.2.2取样
1在堆料上取样时,取样部位应均匀分布。取样前先将取样部位表层铲除。由各部位抽取大致相等的砂8份,石子16份,组成各自一组样品。
2在皮带运输机上取样时,应在皮带运输机机尾的出料处用接料器定时抽取砂4份,石子8份,各自组成一组样品。
3从火车、汽车、货船上取样时,应从不同部位和深度抽取大致相等的砂8份,石子16份,各自组成一组样品。
4每组样品应妥善保管,防止颗粒离析、混入杂质,并应按产地、种类和规格分别堆放。
每组样品的取样数量,对砂、石每单项试验,应不少于表1.2.2.2-1和1.2.2.2-2所规定的量少取样数量。须做几项试验时,如确能保证样品经一项试验后不致影响另一项试验的结果,也可用同一组样品进行几项不同的试验。
若检验不合格时,应重新取样,对不合格项进行加倍复验。若仍有一个试样不能满足标准要求,应按不合格处理。
表1.2.2.2-1 每一单项试验项目所需砂的最少取样数量 char表格
表1.2.2.2-2 每一试验项目所需碎石或卵石的最少取样数量(kg)
注:有机物含量、坚固性、压碎指标值及碱集料反应检验,应按试验要求的颗粒数量取样。
1.2.3结果判定及处理 1.2.3.1砂检验结果判定及处理 1砂的颗粒级配和细度模数 砂的颗粒级配和细度模数是按普通混凝土用砂、石质量及检验方法标准JGJ52-2006规定1的方法用标准筛进行筛分析而确定的。按砂的细度模数 的大小可将砂分为粗砂、中砂、细砂、特细砂四级。粗砂 ;细砂 ;特细砂 ; 对细度模数为3.7~1.6的砂,按630 筛孔的累计筛余量(以质量百分率计)分为三个级配区(见表1.2.3.1-1),且砂的颗粒级配应处于某一区内。除公称直径为5.00mm和630 的累计筛余外,其余公称粒径的累计筛余可稍有超出分界线,但总超出量不应大于5%。
表1.2.3.1-1砂粒颗粒级配区 插入表格
配制混泥土时宜优先选用 区砂。当采用 区砂时,应提高砂率,并保证足够的水泥用量,以满足混凝土的和易性;当采用 区砂时,宜适当降低砂率。对于泵送混凝土用砂,宜选用种砂。
当砂的颗粒级配不符合要求时,应采取相应的措施。将砂通过分级过筛重新加以组合或将不同级配的砂混合使用以调整或改变其级配。2砂的含泥量和泥块含量
砂中含泥量及泥块含量限值应符合表1.2.3.1-2的要求。表1.2.3.1-2砂中含泥量及泥块含量限值 char如表格 3砂中有害物质含量
砂中有害物质含量限值应符合表1.2.3.1-3的规定 表1.2.3.1-3 砂中有害物质含量限值 插入表格
1.2.3.2石检验结果判定及处理 1颗粒级配
根据普通混凝土用砂、石质量及检验方法标准JGJ52-2006规定,石子的颗粒级配采筛分析法测定。根据各筛的累计筛余百分率,评定该试样的颗粒级配。见表1.2.3.2-1和表1.2.3.2-2。表1.2.3.2-1碎石或卵石的颗粒级配范围 插入表格
表1.2.3.2-2碎石或卵石的颗粒级配范围 插入表格we 2碎石或卵石中针、片状颗粒含量应符合表1.2.3.2-3的规定 表1.2.3.2-3针、片状颗粒含量限值 插入表格
3碎石或卵石中含泥量应符合表1.2.3.2-4的规定 表1.2.3.2-4碎石或卵石中含泥量限值 插入表格
4碎石或卵石中泥块含量应符合表1.2.3.2-5的规定 1.3矿渣粉 参考标准:
用于水泥和混凝土中的粒化高炉矿渣粉GB/T18046-2008 1.3.1检验项目 1密度 2比表面积 3活性指数 4流动度比 5含水量 6三氧化硫 7氯离子 8烧失量 1.3.2取样方法 矿渣粉出厂前按同级别进行编号和取样。每一编号为一个取样单位。矿渣粉出厂编号按矿渣粉生产厂年生产能力规定: 60万t以上,不超过1000t为一编号; 30~60万t,不超过600t为一编号; 10~30万t,不超过400t为一编号; 10万t以上,不超过200t为一编号。
取样按GB12573规定进行,取样应有代表性,可连续取样,也可以在20个以上部位取等量样品总量至少20kg。试样应混合均匀,按四分法缩取出比试验所需量大一倍的试样。
1.3.3技术要求(见表1.3.3)表1.3.3 矿渣粉的技术指标要求 插入表格
1.3.4检验结果评定
检验结果符合表1.3.3中密度、比表面积、活性指数、流动度比、含水量、三氧化硫等技术要求的,为合格品。
检验结果不符合表1.3.3密度、比表面积、活性指数、流动度比、含水量、三氧化硫等技术要求的,为不合格品。若其中任何一项不符合要求,应重新加倍取样,对不合格的项目进行复检,评定时以复检结果为准。1.4粉煤灰 参考标准:
1用于水泥和混凝土中的粉煤灰GB/T1596-2005 2城镇道路工程施工与质量验收规范CJJ1-2008 3水泥化学分析方法GB/T176-2008 4公路工程无机结合料稳定材料试验规程JTGE51-2009 5粉煤灰混凝土应用技术规范GBJ146-1990 1.4.1检验项目 1细度 2需水量比 3安定性 4三氧化硫 5游离氧化钙 6烧失量 7含水量
8三氧化二铝和三氧化二铁总含量 9二氧化硅含量 10强度活性指数 1.4.2取样方法和数量 1.4.2.1编号
以连续供应的200t相同等级、相同种类的粉煤灰为一编号,不足200t按一个编号论,粉煤灰质量按干灰(含水量小于1%)的质量计算。1.4.2.2取样
1.4.2.2.1每一编号为一取样单位,当散装粉煤灰运输工具的容量超过该厂规定出厂编号吨数时,允许该编号的数量超过取样规定的吨数。
1.4.2.2.2取样方法按GB12573进行。取样应有代表性,可连续取,也可从10个以上不同部位取等量样品,总量至少3kg。
1.4.2.2.3拌制混凝土和砂浆用粉煤灰,必要时,买方可对粉煤灰的技术要求进行随机抽样检查。
1.4.3结果判定及处理 1.4.3.1结果分类 按煤种分为F类和C类。
1.4.3.1.1F类粉煤灰——由无烟煤或烟煤煅烧收集的粉煤灰; 1.4.3.1.2C类粉煤灰——由褐煤或次烟煤煅烧收集的粉煤灰,其氯化钙含量一般大于10%。1.4.3.2等级
拌制混凝土和砂浆用粉煤灰份为三个等级:。℃ 1.4.3.3等级
拌制混凝土和砂浆用粉煤灰应符合表1433中技术要求 表1.4.3.3 拌制混凝土和砂浆用粉煤灰技术要求 插入表格
1.4.3.4水泥活性混合材料用粉煤灰应符合表1434中技术要求 表1.4.3.4水泥活性混合材料用粉煤灰技术要求 插入表格
1.4.3.5拌制混凝土和砂浆用粉煤灰,试验结果符合表1.4.3.3技术要求时为等级品。若其中任何一项不符合要求,允许在同一编号中重新加倍取样进行全面项目的复检,以复检结果判定,复检不合格可降级处理。凡低于表1.4.3.3最低级别要求为不合格品。1436水泥活性混合材料用粉煤灰,试验结果符合表1434技术要求时,判为合格。若其中任何一项不符合要求,允许在同一编号中重新加倍取样进行全面项目的复检,以复检结果判定。
1437拌制石灰粉煤灰稳定砂砾基层用粉煤灰
14371粉煤灰中的二氧化硅含量、三氧化二铝和三氧化二铁总量宜大于70%;在温度为700℃时的烧失量宜小于或等于10%。
14372当烧失量大于10%时,应经试验确认混合料强度符合要求时,方可采用。14373细度应满足90%通过0.3mm筛孔,70%通过0.075mm筛孔,比表面积宜大于2500 ~ ~ 单位平方米每克。1438仲裁
当买卖双方对产品质量有争议时,买卖双方应将双方认可的样品签封,送省级或省级以上国家认可的质量监督检验机构进行仲裁检验。
规则检测 篇3
关键词:林产品检测;有效数字;数值修约;四舍六入五凑双;运算规则
中图分类号:文献标识码:A文章编号:1004-3020(2015)06-0032-04
林产品检测生产活动中,不可避免会进行数据的测量以及对测量数据的处理,而处理的结果不仅要反映出测量的可信程度,也要反映出检测结果的真实性(即误差小),这样的实验才有实际意义。为了取得准确的检测结果,首先必须能够正确地运用检测仪器和检测方法来准确测量,其次还要正确记录检测数据与合理地处理有效数字,这必然涉及有效数字的数值修约及其运算规则。正确的有效数值修约和运算规则是检测质量控制的重要保证,不正确的数值修约与运算会导致实验材料、人员、时间的浪费,甚至得出错误的结论。本文主要依据国家标准GB/T 8170-2008《数值修约规则与极限数值的表示和判定》要求的修约规则等相关规定,通过对有效数字的数值修约与运算在林产品检测中的一些实例进行探讨,以引起检验人员的重视,从而提高检测结果的准确性。
1有效数字
有效数字是用来表示量的多少,同时反映测量准确程度的各数字,具体说来,有效数字就是指分析工作中实际上能测量到的数字。有效数字反应了测量器具的精度,由其最小分度值所决定,仪器准确度等级反映了仪器测量的不确定度,因此,仪器直接测量值的有效数字便包括确定的数字和最后一位不确定的可疑数字。例如称量某饰面板用耐磨纸样品的质量,用万分之一天平称为1250 0 g,前四位数字是确定的,最后一位是不确定的可疑数字,这五位都是有效数字。通常万分之一天平的误差为±0000 1 g,无论直接称量还是间接称量,都要读两次平衡点,则其相对误差(%)=±0000 1×21250 0×100%=±0016%。若用百分之一天平称量该样质量为125 g,前两位是确定的,最后一位是不确定的可疑数字,称量结果为三位有效数字,天平误差为±001 g,其相对误差(%)=±001×2125×100%=±16%。可见,尽管两个称量值1250 0 g与125 g数值大小相等,但后者相对误差是前者相对误差的100倍,显然前者精度更高,即可疑程度更小。因此,有效数字位数不同,测量结果的准确度有很大区别,故不得任意增加或减少有效数字的位数。在检测活动中,要求记录的数据和计算结果不仅必须是有效数字,而且必须与所用的检测方法和所用仪器的精度相适应,即严格按检测方法的要求选择仪器及量具。
2数值修约
2.1基本概念
数值修约:通过省略原数值的最后若干位数字,调整所保留的末尾数字,使最后所得到的值最接近原数值的过程。经数值修约后的数值称为(原数值的)修约值,它所遵循的规则称为“数值修约规则”。修约间隔:是修约值的最小数值单位,是确定修约保留位数的一种方式,一般以k×10n的形式表示(k=1,2或5等;n为正整数或负整数)。修约间隔一经确定,修约数只能是修约间隔的整数倍。
2.2修约规则
2.2.1数字舍进规则
依据国家标准GB/T 8170-2008的规定,数字舍进规则采用“四舍六入五凑双”法。具体规则为:①拟修约的数字等于或小于4时,该数字舍去;②拟修约的数字等于或大于6时,则进位;③拟修约的数字等于5时,需根据5前面的数字定舍进,若5前面的数字是奇数(1,3,5,7,9)则进位,若是偶数(0,2,4,6,8)则将5舍去,即修约后末尾数字都成为偶数;但是5的后面如果还有不为0的任何数,则此时无论5的前面是奇数还是偶数,均应进位。例1:将746,564,345,115,1050 1,1050修约到一位小数,则修约值分别为75,56,34,12,11,10。过去修约数字常用“四舍五入”法,但该法在统计角度方面来看存在一定问题,如果用“四舍五入”法进行修约,其舍入误差如表1所示。
2.2.4修约次数规则
拟修约数字应在确定修约间隔及指定修约位数后一次修约获得结果,不得按上述2.2.1的规则进行连续修约,即只能一次修约,不允许连续修约。
例2:在对某细木工板进行胶合强度检测时,按GB/T 5849-2006 《细木工板》[3]要求该细木工板的胶合强度≥070 MPa。经计算所得数据为0694 6 MPa,不能如此连续修约:0694 6→0695→070(MPa),从而判定为合格;而应该直接一次修约为069(MPa),判定为不合格。可见如果连续修约,就有可能造成检验结果误判。
2.2.5产品标准要求的修约间隔与引用的试验方法标准给出的修约间隔不一致时的修约规则
当这两种标准给出的修约间隔不一致时,应该按照产品标准的要求进行修约。
例5:对某地板基材用纤维板进行内结合强度检测时,根据LY/T 1611-2011《地板基材用纤维板》[5]要求内胶合强度≥12 MPa,按照其引用的方法标准GB/T 17657-2013《人造板及饰面人造板理化性能试验方法》中4.11.5的规定,要求结果精确至001 MPa,可默认为产品的修约间隔为01(MPa),而方法标准的修约间隔为001(MPa);当检测计算数据为1.325 MPa时,最后修约结果应该按照产品标准要求确定为13 MPa。因为产品标准给出的修约间隔对象是该类产品(如本例为地板基材用纤维板这一单独产品);而试验方法标准为通用方法,不仅只适用于这一种产品,还有可能适用于中密度纤维板、强化木地板等其他人造板的检验。当然为避免引起这种不必要的麻烦,笔者建议今后制定/修订林产品相关标准时,应尽量使产品标准与引用的方法标准给出的修约间隔保持一致。
2.2.6化学分析测量不确定度的数值修约规则
测量不确定度是“表征合理地赋予被测量之值的分散性,与测量结果相联系的参数”[6],为降低这种“分散性”的评估风险,JJF 1135-2005 《化学分析测量不确定度评定》要求,化学测量结果的不确定度的有效数字修约一般采用只进不舍(非零即进)的原则,并且给定的测量结果位数应和不确定度的位数一致。
例6:某胶合板的甲醛释放量的计算值为:352 mg·L-1,当包含因子k为2且扩展不确定度为013 mg·L-1时,根据GB/T 9846-2004《胶合板》的要求精确至01 mg·L-1,则结果应表示为:(35±02)mg·L-1,k=2。
3运算规则
在进行数据处理时,以前依靠手工计算,如果数字位数保留过多,会使计算过程非常繁杂,为使计算简化,采用先修约后计算的规则,且不同位数的有效数字在进行运算时,最后结果所保留位数与运算的类型有关。
在加减法运算中,结果的绝对误差等于各数据绝色误差的代数和,即结果的绝对误差与各数据中绝对误差最大者(即与小数点后位数最少)相一致,因此先以小数点后位数最少的数据为依据进行修约,然后计算得出结果。
在乘除运算中,结果的相对误差应与各因数中相对误差最大的数相适应(即与有效数字位数最少的一致)[7],因此先以有效数字位数最少的那个数为依据进行修约,后计算得出结果。如例7。
例7:1294×0111×1838 3 → 129×0111×184=0263 469 6 → 0263。
但是在实际的运算中,修约过程中有可能出现舍入误差迅速积累的问题,因而又作出一些补充规定,如:在乘除运算中,若有效数字位数最少的那个数值的首位是8或9时,可以多算一位有效数字等等,如911,因其相对误差为01%,与4位有效数字1016的相对误差接近,因而911可算4位有效数字。这样使得运算规则变得繁杂,工作效率不高,还有可能因舍入误差积累影响结果的准确性。而且在乘除运算中,还需对最后的计算结果按参与运算的有效数字位数最少的那个数为依据再作一次修约,因而存在连续修约的嫌疑(如例7,存在两次修约过程)。
在计算机未普及的时代,使用先修约后计算的方法,可以提高计算速度。而现在,计算任务都可由计算机完成,复杂的运算都不是问题,反而修约问题影响数据处理速度。本文提倡先计算后修约的规则,因为中间没有取舍过程,因而计算结果是唯一的,只是最后根据数据的精度要求,对其进行一次修约到位。因为这种规则既可以避免舍入误差积累的问题,提高结果的准确性;而且不用记住上述繁杂的修约规则,从而大大提
高工作效率。
例如上题例7,先进行计算得到的结果是0264 042 382 2,再根据整个计算中参与数据的精度判断结果的有效数字是3位,对其一次修约到位即得结果为0264。显然,先计算后修约所得的结果比先修约后计算所得的结果可靠性更高,而且省去了在计算过程中不断修约的麻烦。
4总结
在林产品检测工作中,有效数字的确定必须与所用的仪器和检测方法的精度相适应,不得任意增加或减少有效数字的位数。有效数字的修约有着重要的意义,“四舍六入五凑双”的修约方法比过去常用的“四舍五入”法更加科学合理性,但对化学分析测量不确定度的数值进行修约时,为降低评估风险,一般采用只进不舍的规则。建议今后制定/修订林产品标准时,产品标准与其引用的方法标准给出的修约间隔应保持一致。本文提倡先计算后修约的运算规则,既简化了繁琐的修约步骤,又避免连续修约的嫌疑,保证了检测数据的准确性,同时提高了检测活动的工作效率。
参考文献
[1]GB/T 8170-2008数值修约规则与极限数值的表示和判定[S].北京:中国标准出版社,2008.
[2]武汉大学.分析化学.上册(第五版).北京:高等教育出版社[M].2006:50.
[3]GB/T 5849-2006细木工板[S].北京:中国标准出版社,2006.
[4]GB/T 17657-2013 人造板及饰面人造板理化性能试验方法[S].北京:中国标准出版社,2014.
[5]LY/T 1611-2011 地板基材用纤维板[S].北京:中国标准出版社,2011.
[6]JJF 1135-2005 化学分析测量不确定度评定[S].北京:中国计量出版社,2005.
规则检测 篇4
一个好的入侵检测系统拥有丰富的规则库,如果不对这些数量庞大的规则进行有效的组织和分类,则每捕获一个数据包就要遍历一次所有规则,这无疑会增大系统对每个数据包的处理时间,导致丢包。规则解析时数据结构的设计对系统效率和性能至关重要。基于如上分析,在本文中提出了一种基于三维规则链表的规则解析方法。
1 规则描述语言及编写规则
规则描述语言是用来描述规则的语言,规则能反映入侵行为的特征,一条规则对应一种入侵行为。当某个数据包满足某条规则描述的特征时,系统则认为检测到一个入侵事件并进行预警[1]。
在基于规则匹配的入侵检测系统中,规则描述语言设计是否合理、规则库是否丰富是衡量入侵检测系统性能的重要标准;本设计中采用类snort规则的规则描述语言[2~8],规则结构为:
规则:规则头(规则选项)
如一条规则范例:alert tcp 210.43.10 6.1/24 0:65535->192.168.1.0/24 80:80(content:”GET/default.ida?”;msg:"code red")
规则头:alert tcp 210.43.106.1/24 0:65 535->192.168.1.0/24 80:80
规则选项:(content:”GET/default.ida?”;msg:"code red")
2 规则头结构解析
以规则alert tcp 210.43.106.1/24 0:65535->192.168.1.0/24 80:80(content:”GET/default.ida?”;msg:"code red")为例对规则头进行解析:
规则头有固定的格式要求,是一个7元组,每个元组用空格隔开。
3 规则选项结构解析
以规则alert tcp 210.43.106.1/24 0:65535->192.168.1.0/24 80:80(content:”GET/def ault.ida?”;msg:"code red")为例对规则选项进行解析:
规则头后“()”内的部分为规则选项,一条规则可以有不同内容和数目的选项,规则选项构成了规则的核心,它能反应各种入侵事件的基本特征。一条规则选项由选项关键字和选项内容构成,其格式为:
选项关键字[:选项内容]
以(content:”GET/default.ida?”;msg:"code red")为例,共有两个选项,其中关键字content的内容为“GET/default.ida?”,关键字msg的内容为“code red”。
4 规则解析及三维链表的建立
4.1 规则文件插件
规则文件也用到了插件思想,一个入侵检测系统的规则库应当能够动态的扩充,以适应不断出现的新的攻击,这种动态扩充应当以不影响系统结构为前提,插件能满足这种要求。规则文件插件是通过构造一个文件名的链表实现的,系统在初始化时会调用init_rule_file_list()函数对规则文件链表进行初始化:
每次调用add_rule_file()函数都会将对应的规则文件名添加到规则文件链表中,当编写了新的规则文件,只需简单地调用add_rule_file()就可以实现规则库的扩充。
4.2 三维规则链表结构
本设计中采用三维链表的形式组织所有规则,将规则库中所有规则按类别添加到三维链表的相应位置,这种方法既可节省存储空间,又加快了对每个包的处理时间。三维链表结构如图1所示:
4.3 三维规则链表解析
三维链表的形成需要定义相应的数据结构,本小节将对这些数据结构进行详细介绍。图1中rule_list为规则链表头,指向三维链表的第一维。
其中rule_type为规则类型,系统支持两种类型的规则,即前文所述的alert和log,因此三维链表的第一维实际上只有两个结点。
Alert Fun和Log Fun为两个函数指针,分别指向报警函数alert_fun()和log_fun()(在respond.c中定义),当规则类型为log时,Alert Fun指针将被赋值为空;当检测到入侵事件时,两个函数会遍历第二个链表参数operfunlist,将报警信息在终端输出或写入日志文件,同时会根据命令行的参数(-s选项)判断是否让机箱发声预警。
其中Rule Node_t类型变量ip,tcp,udp,ic mp分别代表ip协议,tcp协议,udp协议和icmp协议,当对某条规则解析时,系统会根据规则头部的协议类型将该规则添加到不同的协议类型链表中(Rule Node_t类型,即三维链表的第二维);在对数据包检测时,只有当数据包满足相应的协议类型时,才会继续往下遍历三维链表,这样将有效节省检测时间。
c、Rule Node_t解析
在Protocol Node_t中定义的4个协议类型均为Rule Node_t类型,该结点用来描述规则头的信息,所构成的链表即三维链表的第二维,其结构为:
其中sip_not,dip_not用来标志规则头中IP地址前是否有!符号;
sip和dip分别存储规则中源IP地址和目标IP地址信息,如:
规则中IP地址为210.43.106.1/24,则链表中存字符串“210.43.106”
规则中IP地址为210.43.106.18/32,则链表中存字符串“210.43.106.18”
规则中IP地址为210.43.106.1/0,则链表中存字符串“any”
min_sport,max_sport及min_dport,max_dport存储源、目标端口范围的最小值和最大值
check_fun为一函数指针,指向函数check_packet(packet_t*packet,Rule Node_t*rn),用来检测当前数据包是否满足当前规则头。在对数据包进行检测时,如果此函数检测到当前数据包满足规则头,则继续往下遍历down链表(Rule Option Node_t类型,即三维链表的第三维),如果不满足则跳过当前Rule Node_t结点,继续往右处理下一个Rule Node_t结点,这样可有效地节省检测的时间
down为Rule Option Node_t类型的指针,向下指向规则选项链表
right为右指针,指向下一个Rule Nodt_t结点,用于构建当前链表
在构造第二维链表时,使用一个技巧:由于Rule Node_t是用来描述规则头信息,而在规则中存在很多规则头相同的规则。在解析规则时,当碰到新规则头与当前规则头结点的信息相同时,只需将新规则的选项内容添加到当前规则头结点的down链表中,不需要再另外开辟空间存储新规则头,这样可节省存储空间。
d、Rule Option Node_t解析
规则头结点的下指针down为Rule Option Node_t类型,该结构用来描述规则选项信息,它构成的链表即为三维链表的第三维,这是规则链表中最重要和复杂的结构,检测入侵的判断函数、规则选项内容等都附在该结点上,其结构定义:
其中opt_con_list为void类型的指针数组,用来存储规则选项中每个关键字对应的内容信息,比如,如果有规则选项msg:“codered”,则opt_con_list[OPT_TYPE_MSG]中将存储字符串“code red”;如果有规则选项dsize:20,则opt_con_list[OPT_TYPE_DSIZE]中将存储整数20,这些内容将在规则处理函数中使用。
fun_list为Oper Fun List_t类型指针,指向规则选项处理函数链表,Oper Fun List_t结构定义为:
其中fun为函数指针,指向与选项关键字对应的处理函数,em为预警信息;规则选项的每个关键字都有对应的处理函数(在本设计中,所有的处理函数均以FL开头)。
所谓处理函数,其功能是判断规则选项关键字的内容与数据包对应域的值是否相同,如果不同则返回0(即当前数据包不满足该规则选项),如果相同则需另作处理(下文介绍)。以规则选项dsize:20为例,关键字dsize对应的处理函数为FLdsize_equal(),其功能是判断packet中数据的净荷长度是否等于20,如果不等则返回0。
处理函数也用到了插件思想。规则解析时,每遇到一个规则选项关键字,系统在设置opt_con_list[]数组中对应的值后,同时会调用add_operate_fun()函数将对应的处理函数添加到fun_list链表中,这样,当系统需要添加新的规则选项关键字时,只需简单地调用add_operate_fun()就可实现。
以规则选项(content:”GET/default.i da?”;msg:"code red")为例,系统分析此规则后,将形成的链表结构如图2所示:
应注意的是,在示例规则选项中只有content和msg两个关键字,但在形成的fun_list链表中却有三个结点,为什么会多出一个结点呢?其实这正是本系统使用的一个技巧:在每个处理函数链表最后加上一个尾结点,尾结点的成员fun指向函数tail_fun,函数定义如下:
此函数总是返回1,这样处理的目的是为了使操作处理函数时更加方便:如前文所述,处理函数检测到当前数据包内容与选项内容不相同时会返回0,但当检测到数据包内容与选项内容相同时,所有的处理函数均会执行相同的动作(以dsize关键字对应的处理函数FLdsize_equal()为例):
即返回下一个结点中处理函数的值。这样,在入侵检测模块中检测数据包是否与当前规则选项匹配时,程序只需用如下语句进行判断即可:
e、Content Struct_t解析
Content Struct_t为存储选项关键字content相关信息的结构,其数据结构定义为:
Rule Option Node_t结构中,指针数组成员opt_con_list[OPT_TYPE_CONTENT]指向Rule Option N-ode_t类型的指针。由于一条规则中,关键字content可以出现多次,且它可以被nocase、offset和depth关键字修饰,所以在描述content关键字对应的内容时,不能简单地用一个字符指针或整形指针来描述,而需要用Rule Option Node_t类型的链表进行描述。以(content:”kill me”;nocase;de pth:20;content:”GET”;nocase;offset:10;depth:100)为例,规则选项结点中opt_con_list[OPT_TYPE_CONTENT]的值将是如下链表,如图3所示:
在程序中实现content搜索采用的是BM海量搜索算法,由于其不能区分大小写,所以实际上关键字nocase并无作用。
至此,三维规则链表已经建立完成,利用Libpcap捕获数据包后,就可以遍历此链表进行入侵检测了。
参考文献
[1]刘文涛.网络安全开发包详解[M].北京:电子工业出版社,2005.
[2]Kinage.Snort userguaid[EB/0L].(2005-11-10)[2006-03-12]http://blog.tianya.cn/blogger/post-show.asp?BlogID=154815&PostID=3192150&idW riter=0&Key=0.2005.11.
[3]snort 2.0 RULE OPTIMIZER[CP/OL].2003[2006-03-15]http://www.sourcelqre.con.
[4]snort 2.0 Hi-performance Muti-rule Inspe ction[CP/OL].2004[2006-03-15]http://www.sourcefire.con.
[5]snort 2.0 Detection Revisited[CP/OL].2004[2006-03-15]http://www.sourcefire.con.
[6]snort 2.0 Protocol Flow Analyzer[CP/OL].2004[2006-03-15]http://www.sourcefire.con.
[7]Roberto P.Alarm Clustering for Intrusion Detection Systems in Computer Networks[J].Engineering Application of Artificial In-telligence,2006,19(3):429-438.
规则检测 篇5
【发布文号】劳部发[1993]441号 【发布日期】1993-12-30 【生效日期】1994-10-01 【失效日期】
【所属类别】国家法律法规 【文件来源】中国法院网
关于颁发《锅炉压力容器无损检测人员资格考核规则》的通知
(劳部发〔1993〕441号)
各省、自治区、直辖市劳动(劳动人事)厅(局),国务院有关部、委、局,解放军总后勤部工厂部、营房部,有关总公司:
原劳动人事部于一九八七年三月二十三日颁发的《锅炉压力容器无损检测人员资格鉴定考核规则》(劳人锅〔1987〕9号),(以下简称原规则)对提高无损检测人员的技术水平起了重要作用。为了更好地做好考核工作,现颁发修订后的《锅炉压力容器无损检测人员资格考核规则》(以下简称新规则),自一九九四年十月一日起施行,原规则同时废止。请各级劳动部门、各有关单位做好贯彻执行新规则的准备工作;执行中有什么问题,望及时报我部职业安全卫生与锅炉压力容器监察局。
按原规则考核合格所颁发的无损检测人员资格证书,在资格有效期内仍然有效。
中华人民共和国劳动部
一九九三年十二月三十日
锅炉压力容器无损检测人员资格考核规则
第一章 总则
第一条 为了提高锅炉压力容器无损检测工作质量,保证锅炉压力容器安全运行,根据《 锅炉压力容器安全监察暂行条例》及有关规定,制定本规则。
第二条 本规则适用的无损检测方法包括射线(RT)、超声波(UT)、磁粉(MT)、渗透(PT)、涡流(ET)、声发射(AE)。无损检测人员的级别分为:Ⅰ级(初级)、Ⅱ级(中级)、Ⅲ级(高级)。
第三条 从事锅炉压力容器无损检测的人员,必须按本规则经资格考核,取得劳动行政主管部门锅炉压力容器安全监察机构(以下简称监察机构)颁发的相应的资格证书。
第二章 考核组织
第四条 锅炉压力容器无损检测人员(以下简称无损检测人员)的资格考核工作由锅炉压力容器无损检测人员资格考核委员会(以下简称考委会)负责进行。
考委会分为全国考委会(对境外称:中国锅炉压力容器无损检测人员考核委员会)、省考委会(指省、自治区、直辖市考委会,下同)、地市和企业考委会。
第五条 全国考委会受劳动部锅炉压力容器安全监察机构领导,并由该监察机构商请有关部、委的代表及部分无损检测专业技术人员组成。委员中无损检测专业技术人员比例不低于80%,其中,承担考核的每一种无损检测方法的Ⅲ级持证人员不应少于四个。
全国考委会的职责:
1.负责Ⅲ级(必要时可负责Ⅱ级)无损检测人员的资格考核工作;
2.对境外无损检测人员进行资格考核;
3.组织编写无损检测人员的考核大纲和培训教材,建立试题库;
4.组织考核工作经验交流和咨询;
5.承办劳动部锅炉压力容器安全监察机构委托的有关业务;
6.指导省以下(含省)考委会的考核工作;
7.与国外无损检测考核机构交流考核工作经验。
第六条 省考委会受省级监察机构领导,并由该监察机构商请该省有关部门的代表及部分无损检测专业技术人员组成。委员中无损检测专业技术人员比例不低于80%,其中,承担考核的每一种无损检测方法的Ⅲ级持证人员不应少于三个。
省考委会的职责:
1.负责Ⅱ级(必要时可负责Ⅰ级)无损检测人员资格考核工作;
2.指导地市和企业考委会的考核工作;
3.承办省级监察机构委托的有关业务;
4.组织Ⅰ级考委会的考核工作经验交流和咨询。
第七条 地市考委会须经所在地的省级监察机构批准,受所在地的地市级监察机构领导,并由该监察机构商请该地市有关部门的代表及部分无损检测专业技术人员组成。
企业考委会须经所在地的地市级监察机构同意后报所在地的省级监察机构批准。企业考委会受本企业领导并由该企业的技术负责人、质量管理负责人、教育部门的代表及部分无损检测专业技术人员组成。
地市和企业考委会中无损检测专业技术人员比例不低于80%,其中,承担考核的每一种无损检测方法的Ⅲ级持证人员不应少于二个,Ⅱ级持证人员不应少于三个。地市和企业考委会的职责:
负责Ⅰ级无损检测人员的资格考核工作及地市级监察机构委托的有关业务。
第八条 各考委会应制订与考核有关的管理制度,同时应具备考核所需的设备、试件、试块、器材及场地。
第九条 省以下(含省)考委会成立后,应由相应的监察机构报上一级监察机构备案。
第十条 各考委会应将考核工作总结和下一的考核计划报送监察机构,并抄报上一级监察机构。
第十一条 监察机构对所管辖的考委会的考核工作应进行检查。
第三章 报考条件
第十二条 无损检测报考人员(以下简称报考人员)须同时满足下列基本条件:
1.从事无损检测工作的经历应满足表1的要求。
2.双眼矫正视力应在1.0以上,并具有报考的无损检测方法所要求的颜色分辨能力。
表1
┌────────┬───────────────────────────┐
│ │ 报 考 级 别 │
│ ├───────┬───────┬───────────┤ │报考人员的学历 │ Ⅰ │ Ⅱ │ Ⅲ │ │ ├───────┼───────┼──┬────────┤ │ │从事所报考无损│持所报考无损检│持Ⅱ│其中持所报考无损│ │ │检测方法的实习│测方法Ⅰ级证的│级证│检测方法Ⅱ级证的│
│ │时间(月)│时间(年)│(个)│时间(年)│ ├────────┼───────┼───────┼──┼────────┤
│无损检测、焊接专│ │ │ │ │ │业大专以上学历 │3 │ 1 │ │ 2 │ ├────────┼───────┼───────┤ ├────────┤
│其它理工科大专以│ │ │2 │ 3 │ │上学历 │3 │ 2 │注 │ │ ├────────┼───────┼───────┤ ├────────┤ │ │ │ │ │ │
│中专以上学历 │6 │ 3 │ │ 4 │ ├────────┼───────┼───────┤ ├────────┤
│其它学历 │12 │ 4 │ │ 5 │ └────────┴───────┴───────┴──┴────────┘注:其中一个Ⅱ级证必须是RT或UT。
第四章 考核程序
第十三条 报考人员应向表2所列的所在地的初审机构提交《锅炉压力容器无 损检测人员资格考核申请表》(附件一)及有关材料,初审机构审查后送复审机构 审查。
表2 ┏━━━━━━━━━━━━┯━━━━━━━━━━━━┯━━━━━━━━━━┓ ┃ 报考的级别 │ 初审机构 │ 复审机构 ┃ ┠────────────┼────────────┼──────────┨ ┃Ⅰ级 │ / │地市级监察机构 ┃ ┠────────────┼────────────┼──────────┨ ┃Ⅱ级 │地市级监察机构 │省级监察机构 ┃ ┠────────────┼────────────┼──────────┨ ┃Ⅲ级 │省级监察机构 │劳动部监察机构 ┃ ┗━━━━━━━━━━━━┷━━━━━━━━━━━━┷━━━━━━━━━━┛
第十四条 遇到下列情况之一时,报考人员可到外地接受考核,复审机构应将符合报考条件的申请表及时转至外地相应的监察机构。
1.目前尚未成立考委会的地区;
2.考委会尚无条件对报考的无损检测方法进行考核;
3.考核计划无法满足报考人员的需要。
第十五条 考委会应将考核时间、地点通知符合条件的报考人员,报考人员应按规定缴纳考核费。
第十六条 考委会对符合报考条件的人员进行考核。每次考核,每种无损检测方法的主考人员不应少于三人,并应指定一人负责。
第十七条 考委会评定报考人员的考试成绩后,报相应的监察机构审核。经审核合格的人员,由监察机构签发资格证书(附件二),对其中参加Ⅰ或Ⅱ级考核的外地报考人员的成绩,应分别转至报考人员所在地的地市级或省级监察机构,并由其对考核合格人员签发资格证书。
报考人员对考核结果有异议时,可向考委会所在地的监察机构或上一级监察机构申诉,监察机构可根据情况对考试成绩进行复审。
第五章 考核方法、内容及评定
第十八条 无损检测人员的资格考核方法分笔试、实际操作考试,其中对报考Ⅲ级的人员还必须进行口试。
第十九条 Ⅰ级无损检测人员的考核:
一、笔试按表3的要求命题;
二、实际操作考试包括:
1.检测仪器的调试;
2.典型检测对象的检测操作;
3.识别缺陷的信号、指示及影像;
4.记录检测数据,整理检测资料。
表3 ┏━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃试题总量│①RT、UT考核不少于30道题; ┃ ┃ │②MT、PT、ET、AE考核不少于25道题。┃ ┠────┼───────────────────────────────┨ ┃试题类型│是非题、选择题、问答题、计算题 ┃ ┠────┼───────────────────────────────┨ ┃满 分│100 ┃ ┠────┼───────────────────────────────┨ ┃试题内容│
1、无损检测的种类及其相关术语的基本概念 10%┃ ┃范围及所│
2、报考的无损检测方法的简明原理及安全防护知识 20%┃ ┃占的分数│
3、报考无损检测方法所使用的仪器、设备的性能及检测的基本 ┃ ┃比例 │ 程序 40%┃ ┃ │
4、有关安全规程、标准中规定的对锅炉压力容器采用的探伤方 ┃ ┃ │ 法、比例、合格的标准 15%┃ ┃ │
5、锅炉压力容器的基本知识及焊接中常见的缺陷 15%┃ ┠────┼───────────────────────────────┨ ┃备 注│问答题和计算题不少于25分 ┃ ┗━━━━┷━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
第二十条 Ⅱ级无损检测人员的考核:
一、笔试按表4的要求命题;
二、实际操作考试包括: 1.检测仪器的调试;
2.检测规范的选择;
3.典型检测对象的检测操作;
4.识别缺陷的信号、指示和影像,根据标准评定检测结果; 5.填写检测报告。
表4 ┏━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃试题总量│①RT、UT考核不少于40道题; ┃ ┃ │②MT、PT、ET、AE考核不少于30道题。┃ ┠────┼───────────────────────────────┨ ┃试题类型│是非题、选择题、问答题、计算题 ┃ ┠────┼───────────────────────────────┨ ┃满 分│100 ┃ ┠────┼───────────────────────────────┨ ┃试题内容│
1、无损检测概论,有关规程、标准中对无损检测的要求 30% ┃ ┃范围及所│
2、锅炉压力容器结构、金属材料及制造工艺的一般知识 15% ┃ ┃占的分数│
3、报考的无损检测方法的理论基础和检测工艺 40% ┃ ┃比例 │
4、报考的无损检测专业方法所使用的仪器、设备的性能 ┃ ┃ │ 及防护知识 15% ┃ ┠────┼───────────────────────────────┨ ┃备 注│问答题和计算题不少于30分 ┃ ┗━━━━┷━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
第二十一条 Ⅲ级无损检测人员的考核:
一、笔试分基础知识考试和无损检测知识考试两种,按表5的要求命题;
二、实际操作考试包括: 1.检测仪器的调试; 2.检测规范的选择;
3.典型检测对象的检测操作;
4.判别并解释缺陷的影像、信号和指示,依据标准评定、分析检测结果;
5.填写检测报告;
6.提出改进产品质量和检测工作质量的措施。
表5 ┏━━━━┯━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃试题类型│是非题、选择题、问答题、计算题 ┃ ┠────┼───────────────┬───────────────┨ ┃试题类别│ 基础知识(注)│ 无损检测知识 ┃ ┠────┼───────────────┼───────────────┨ ┃试题总量│ 不少于40道题 │ 不少于50道题 ┃ ┠────┼───────────────┼───────────────┨ ┃满 分│100 │100 ┃ ┠────┼───────────────┼───────────────┨ ┃试题内容│
1、有关条例、规程、规则的基本│
1、报考无损检测方法的理论、工┃ ┃范围及所│ 知识 20% │ 艺、设备及安全防护知识 ┃ ┃占的分数│
2、锅炉压力容器、金属材料及产│ 60% ┃ ┃比例 │ 品制造工艺的基础知识 │
2、报考的无损检测方法的标准、┃ ┃ │ 35% │ 技术规范及技术管理知识 ┃ ┃ │
3、相当于Ⅱ级水平的其它非报考│ 40% ┃ ┃ │ 无损检测方法的知识 │ ┃ ┃ │ 45% │ ┃ ┃ │ │ ┃ ┠────┼───────────────┴───────────────┨ ┃备 注│问答题和计算题不少于35分 ┃ ┗━━━━┷━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ 注:凡已持有某种方法的Ⅲ级资格证书的人员在报考另一种方法Ⅲ级证时,可免试 基础知识。
三、口试。主考人员根据报考人员所从事无损检测工作的简历、技术总结和编 制典型产品的无损检测工艺进行提问,综合考察报考人员处理实际问题的能力。口 试的成绩按优、良、中、差四级评定。
第二十二条 报考人员各科考试成绩同时满足表6相应级别要求时为合格。报 考Ⅰ、Ⅱ级的人员,若笔试和实际操作考试中有一科成绩不合格,可在一年内补考 不合格科目,报考Ⅲ级的人员,若实际操作考试和口试中有一科成绩不合格,可在 一年内补考不合格科目。
表6
┌──────────┬─────────────────────────┐
│ │ 合格标准 │
│ 考试科目 ├───────┬───────┬─────────┤ │ │ Ⅰ │ Ⅱ │ Ⅲ │
├───┬──────┼───────┼───────┼─────────┤
│笔 试│基础知识考试│ │ │≥80 │ │(分)├──────┤ │ ├─────────┤
│ │无损检测知识│ ≥70 │≥75 │ │
│ │考试 │ │ │≥80 │ ├───┴──────┼───────┼───────┼─────────┤
│实际操作考试(分)│≥80 │≥80 │≥80 │ ├──────────┼───────┴───────┼─────────┤
│口试 │ 不考 │优或良 │
└──────────┴───────────────┴─────────┘
第六章 监督管理
第二十三条 锅炉压力容器无损检测持证人员只能从事与其证书级别相应的无损检测工作,其中:
Ⅰ级人员可在Ⅱ、Ⅲ级人员的指导下进行无损检测操作,记录检测数据,整理检测资料。
Ⅱ级人员可编制一般的无损检测程序,并按Ⅲ级无损检测人员编制的无损检测工艺独立进行检测操作,评定检测结果,签发检测报告。
Ⅲ级人员可根据标准编制无损检测工艺,审核或签发检测报告,解释检测结果,仲裁Ⅱ级人员对检测结论的技术争议。
无损检测的实习人员只能在持证人员的指导下,从事无损检测的辅助工作。
第二十四条 持证人员所在单位应对无损检测持证人员加强管理,并建立无损检测人员技术档案,内容包括:
1.检测质量方面的奖惩情况;
2.中断无损检测工作的起止时间;
3.接受技术培训的情况。
当持证人员出现本规则第二十六条所述情况时,持证人员所在单位应及时向所在地的地市级监察机构报告。
第二十五条 如果持证人员不再从事锅炉压力容器无损检测工作,或工作单位发生变动时,持证人员所在单位应书面向地市级监察机构备案,并报发证机构。
第二十六条 监察机构应对本地持证人员的无损检测工作实行监督检查,发现下列情况之一时,视情节轻重,分别予以通报批评、吊销资格证书等处分。
1.转让无损检测资格证书;
2.因弄虚作假、玩忽职守,造成严重责任事故的;
3.因严重漏检、误检,不能保证检测质量的;
4.私自外出从事锅炉压力容器无损检测工作的;
5.从事与资格证书不符的锅炉压力容器无损检测工作的;
无损检测资格证书被吊销者,两年内不准参加资格考核。
第二十七条 持证人员的资格证书有效期为五年。有效期期满前九个月内,持证人员须按本规则第十三条规定的程序向相应的监察机构提交复试申请表(附件三)。
第二十八条 下列人员不得参加复试:
1.连续中断无损检测的时间超过18个月的;
2.本内出现本规则第二十六条所述情况受到通报批评处分的。
第二十九条 复试工作应由相应的考委会进行,但经所在地的监察机构(Ⅱ级人员指省级监察机构,Ⅰ级人员指地市级监察机构)同意,持证人员也可参加外地考委会组织的复试。
第三十条 复试科目分为笔试和实际操作考试。
笔试的内容侧重于考察报考人员对有关的无损检测新技术、新标准的熟知程度;实际操作考试是考察其操作技能是否达到相应级别的要求,可选取本规则第十九条、第二十条、第二十一条中部分实际操作考核项目进行考核。
第三十一条 各科目复试成绩同时符合表7要求时,复试为合格,由相应的监察机构按本规则第十七条的规定签发资格证书。
表7
┌───────────┬────────────────────────┐ │ │ 合格标准 │
│ 考试科目 ├────────┬───────┬───────┤ │ │ Ⅰ │ Ⅱ │ Ⅲ │
├───────────┼────────┼───────┼───────┤
│笔试(分)│ 不考 │≥75 │≥80 │ ├───────────┼────────┼───────┼───────┤
│实际操作考试(分)│ ≥80 │≥80 │≥80 │ └───────────┴────────┴───────┴───────┘
第七章 附则
第三十二条 锅炉压力容器无损检测人员资格证书由劳动部锅炉压力容器安全监察机构统一印制。
第三十三条 本规则由劳动部负责解释。
第三十四条 本规则自一九九四年十月一日起施行。
附件一、二、三(略)
微柱凝胶检测不规则抗体临床研究 篇6
1 资料与方法
1.1 一般资料
本院2008年2月至2009年12月申请输血的患者1020例。男610例,女410例,年龄2~72岁。
1.2 标本采集
受血者输血标本采集EDTAK2抗凝血3~5ml,供血者标本由血袋连接血辫中留取。
1.3 仪器与试剂
仪器ID-Centrifuge12SII、ID-Incubator37SI微柱凝胶工作测试系统、微柱凝胶检测卡 (抗A、抗B、抗D、A型红细胞、B型细胞、Cit管) 、抗体筛选细胞由达亚美 (Diamed) 公司提供,抗人球蛋白试剂、人ABO血型反定型细胞试剂由上海血液生物医药有限公司提供,聚凝胺试剂由台资珠海贝索生物技术有限公司提供。
1.4 方法
微柱凝胶检测不规则抗体筛查:向已标示Ⅰ、Ⅱ、Ⅲ微柱凝胶管中分别加入抗体筛选细胞悬液50μl及受血者血浆25μl,置37℃孵育15 min。取出1000 r/min离心5 min,观察结果。以红细胞全部沉于微柱底部为阴性,聚于微柱上面或凝胶中部者为阳性。对检出的阳性标本再进行抗体特异性鉴定。
采用间接抗人球蛋试验对阳性标本进行确证: (1) 取试管3支,标明受检管、阳性对照管、阴性对照管; (2) 按下表将各反应物加入相应试管内; (3) 混匀,置37℃水浴1 h,用生理盐水洗涤3次。末次洗涤后,将上清液除尽,并用滤纸将附着于管口的盐水吸去,每管各留红细胞悬液1滴; (4) 每管各加适当浓度抗人球蛋白血清1滴,混匀,以1000 r/min离心1min,观察结果; (5) 结果判定。阳性对照管凝集,阴性对照管不凝集,受检管出现凝集者为阳性,表示受检血清中有不完全抗体 (或受检红细胞上有相应抗原) 。见表1。
2 结果
1020例中2例不规则抗体筛查阳性,采用间接抗人球蛋白试验确证,微柱凝胶法与间接抗人球蛋白法两者实验结果相同。抗体筛查特异性见表2。
3 讨论
临床采用微柱凝胶免疫法检测受血者输血前不规则抗体,检出率为0.19% (2/1020) ,与间接抗人球蛋白检测方法比较,两者结果相同。红细胞不规则抗体筛查的经典方法为抗人球蛋白法,此方法操作复杂,不易判读结果,因此在临床开展受到限制,近年发展起来的微柱凝胶免疫检测技术是在传统的抗人球蛋白试验的基础上发展发起来的新型检测方法,在国外输血界已成为常规检测方法[1,2],已被国际公认为标准检测方法。此方法免除了传统间接抗人球蛋白试验反复洗涤红细胞的操作,试验简便快速、灵敏度高、结果稳定可靠,反应清晰判断结果准确、易于标准化、一卡六管多项检测。临床应用比间接抗人球蛋白灵敏度高2~7个滴度,实验时间可缩短50%[3]。
综上所述,输血前受血者进行抗体筛查有助于血液的选择。可防止因输注含有与抗体相应抗原的血液而引起溶血性输血反应,保证临床输血安全性[4]。本院采用微柱凝胶免疫技术检测不规则抗体、血型鉴定、交叉配血试验,体会到此检测方法集快速和准确性为一体,简化了操作过程,一卡可检测输血相容多个项目,最大限度消除了人为判断因素造成的实验误差,可捕捉到十分微弱的抗原抗体反应,减少了非特异性和假性反应,值得推广应用。该方法应用对保证临床输血安全、减少溶血性输血反应起到了非常重要的作用。
摘要:目的 输血前抗体筛查可发现具有临床意义的不规则抗体, 避免受血者因输血引起的溶血性反应。方法 采用微柱凝胶法对1020例受血者进行不规则抗体筛查, 选用抗球蛋白方法进行鉴定, 用以观察不规则抗体检出的阳性率。结果 不规则抗体筛查阳性2例, 检出率为0.19%。结论 在输血前受血者进行抗体筛查有助于血液的选择。可防止因输注含有与抗体相应抗原的血液而引起溶血性输血反应, 保证临床输血安全性具有重要的意义。
关键词:不规则抗体,微柱凝胶法,血型,临床输血
参考文献
[1]Cate JC, Reilly N.Evluation and implementation of the gel test for indirect antiglobulintesting in a community hospital laboratory Arch Pathol Lab Med, 1999, 123:693.
[2]Langston MM, procter JL, Cipolone KM, et al.Evluation of the gel system for ABO grouping and D typing.Transfusion, 1999, 39:300-368.
[3]林甲进, 朱碎永.微柱凝胶法在输血前抗体筛检中的应用.临床输血与检验杂志, 2002, 12 (4) :41.
规则检测 篇7
关键词:关联规则,入侵检测,无线网络
0前言
移动无线网络的特点,导致许多新的安全漏洞,而这些漏洞在有线网络环境中是不存在的。因此,许多在有线网络环境下采取的安全措施,在无线网络环境下效果并不好。因此,如防火墙和加密技术等,有线网络条件的安全防范机制,已经不能满足网络安全的需要。需要制定一个新的架构和机制,来保护无线网络和移动网络安全。入侵检测做为一种有效的检测网络安全的手段在网络安全领域被广泛的使用,但一般的数据挖掘方法存在审计日志数据库扫描费时,审计日志数据库更新频繁,入侵检测效果不佳。
本文将有线网络入侵检测方式应用于无线网络环境,捕获无线局域网传输的数据包,根据无线网络协议对数据包进行分析,提出一种基于滑动窗口的高效的入侵检测方法,检测无线局域网的可能出现的安全漏洞,管理员可以及时采取措施,以保证整个无线网络体系的安全运作和稳定。
1 基本概念
设I={i1,i2,…,im}是m个不同项目集。对于给定事务集D中的T,如果T⊆I,则称T为项目集或模式。项目集中项目的个数称为项目集的维或长度,如果T包含k个项目,即|T|=k,则称T为k-项目集,T的维或长度为k。频繁k-项目集简称频繁项目。关联规则是形如A=>B的蕴涵式,其中A⊆I,B⊆I,且A∩B=Φ。支持度是D中事务包含AUB的百分比,即概率P(AUB),记为support(A=>B)=P(A∪B)。置信度是D中同时包含A的事务和B事务的百分比,即条件概率P(B|A),记为confidence(A=>B)=P(B|A)。关联规则挖掘是指给定事务数据库D,以及最小支持度阈值minsup和最小置信度阈值minconf,关联规则挖掘就是求R(D,minsup,minconf)。
设K={I1,I2,I3,……,Im}是一组项的结合,H是一组事物的集合,其中每一个事物X是项的集合,X⊆K。假设有一个项集A,事物X包含A,当且仅当A⊆X,则称事物X支持项集A。
定义1:设日志数据库分为n个区块P1,P2,…,Pn,记录T在各区块中出现的次数为t1,t2,…,tn,聚合次数N(T)=t1+t2+……+tn。设g(T)=(t1,t2,……tn)为聚合向量,定义频繁模式矩阵G=(g(T1),g(T2),……g(Tm))T,G为日志数据库中所有出现过的审计记录的聚集向量。
定义2:设向量集合G=(g(T1),g(T2),...,g(Ti),...,g(Tm))T,属性项目集p的关联向量Dp定义为D p=(dp1,dp2,……dpi,……dpm),其中若属性集p不属于g(Ti),则dpi=0,否则dpi=1。
定义3:设频繁模式矩阵G=(g(T1),g(T2),...,g(Ti),...,g(Tm))T,项目p在日志数据库中出现的次数定义为项目p的支持度,设Dp与支持度的关联向量,定义为Dp=1的元素聚集向量之和。
性质2:对于任意集合Ⅴp,关联次数Cen(Dp)必定小于等于支持度Sup(p);因此,如果项目集的最小支持度Smin小于等于关联次数Cen(Dp),则必有最小支持度Smin≤Sup(p)。
2 时间窗口挖掘算法
2.1 算法思路
在入侵检测系统中,首先日志数据库分n个区块,使用滑动时间窗口规则设定时间窗口每次需要移动的数据块和时间窗口总计需要扫描的数据块的数目;其次,当系统使用过程中,更新日志数据库后可以在时间窗口上加入新的区块、并且可以将已经移出滑动时间窗口的区块信息删除。整个算法可以只需扫描更新部分的日志数据块而不需重新扫描整个数据库,可以根据变动的日志项高效的同步更新关联规则,提高了算法的效率。
2.2 算法流程
(1)设Shell命令记录主机上的用户的telnet登录数据,三元组合(Useri,Addressi,Op)分别表示用户i,登录ip,操作命令。例(User1,Address1,U2R)表示用户User1在Address1中使用U2R操作。首先扫描整个日志数据库生成频繁模式矩阵,得到表1。
建立频繁模式矩阵G的算法
输入:日志数据data
输出:频繁模式矩阵G
(2)创建基于1-项目集的关联向量。
表1中根据时间把日志集为成三块,每一条记录表示该条记录在各时间块中出去的次数。例如第1条记录表示(User1,Address1,U2R)操作在区块1中出现两次,在区块二出现1次,在区块三中出现0次,该条操作在各个区块中可能不是连续出现。则根据表1所述,可以将记录1(User1,Address1,U2R)中的各项拆分,得到3个1-项目集,分别是:{User1}、{Address1}、{U2R}。则1-项目集{User1},根据表1所述分别出现在第1,2,4条记录,则{User1}的关联向量为Duser1=(1,1,0,1,0,0)。其它1-项目集Duser2、DAddress1、DAddress2、DU2R分等可以依次生成。
(3)生成1-频繁项目集。
假设最小支持度Supmin=3,则由定义3得出在项目集中关联向量为1的个数记为项目集的关联次数。则由第二步得出{R2L}、{DOS}、{Normal}、{U2R}、{Address2}、{Address1}、{User2}、{User1}的关联次数分别为1,2,2,1,2,4,3,3,根据数值得知,关联次数大于Supmin的项目集有{User1}、{User2}、{Address1},{User1}、{User2}、{Address1}即为频繁项目集,同时产少于的候选项目集有{R2L}、{DOS}、{Normal}、{U2R}、{Address2}。针对这些候选集,进一步找出其它频繁项目集,针对{Address2},DAddress2=(0,0,1,0,0,1),则(1,0,1)和(0,0,1)是向量为1的成员对应的聚集向量,则Sup Address2=0+0+1+1+0+1=3因此,Sup Address2=Supmin,即{Address2}也为频繁项目集。通过计算得出所有1-频繁项目集为{User1}、{User2}、{Address1}、{Address2}和{Normal}。
(4)生成k-频繁项目集。
设Supmin=3,则1-频繁项目集按用户、地址、操作属性分为3类:(User1,User2),(Address1,Address2),(Normal),则根据排例组合得到长度为2的项目集(User1,Address1)、(User1,Address2)、(User1,Normal)、(User2,Address1)、(User2,Address2)、(User2,Normal)、(Address1,Normal)、(Address2,Normal)。则由性质1,由步骤2中1-项目集的关联向量得到k-项目集的关联向量。根据步骤3,计算项目集的实际出现次数和关联次数,得到2-频繁项目集。同样可得到长度为k的频繁项目集{User1,Address1,Normal}。
生成k-频繁项目集算法
3 结论
将本算法与Apriori算法进行实验验证比较,以验证算法的效率。在实验过程采用内存为512M,主频为2.2GHz的实验主机。实验采用模拟的美国空军局域网KDDCup99网络入侵检测数据集。实验数据集包括9个星期的网络连接数据,分成标识训练数据与未标识数据。实验结果表明在低支持度下Apriori算法的候选集数目要大于本文所提出的算法候选集数目。当最小支持度大于关联度时,频繁项目集即为该项目集,从而可以减少生成候选项目集的数目。
本文所提出的基于时间窗口的关联规则挖掘算法针对无线网络环境的入侵检测的规则,只需要对项目集进行一次扫描,从而能最大限度的减少候选集的数量,降低时间复杂度,从来提高了挖掘的效率。
参考文献
[1]HAN J W,KAMBER M.范明,孟小峰译.数据挖掘—概念与技术[M].北京:机械工业出版社.2001.
[2]AGRAWAL R,SBIKANT R.Fast algorithms for mining association rules[C]//Proceedings of 1994 International Conference on Very Large Data Bases(VLDB94).Santiago:[s.n.].1994.
[3]Lee W,Stolfo S.Mining in a Data-Flow Environment:Experience in Network Intrusion Deteetion[C]//Procof the ACMSIGKDD Int’l Conf Knowledge Discovery&Dat aMining.1999.
[4]范明,李川.在FP-树中挖掘频繁模式而不生成条件FP-树[J].计算机研究与发展.2003.
[5]Barbara D,Couto J,Jajodia S,Popyack L,Wu N.ADAM:Detecting Intrusions by Data Mining.In:IEEE workshop on Information Assurance and Security.2001.
[6]Lee W.Stolfo S J.A Framework for Constructing Features and Models for Intrusion Detection Systems.ACM Transactions on Information and System security.2000.
[7]王克刚,王丽君,陈升等.基于Apriori改进算法的入侵检测系统的研究[J].计算机应用与软件.2009.
规则检测 篇8
1 资料与方法
1.1 一般资料
选取2013年1月~2014年8月在我院输血的5800例患者作为研究对象。5800例患者中包括男3012例, 女2788例;年龄17~83 (56.2±1.5) 岁。5800例研究对象均对我院本次研究知情, 同意参与我院本次研究, 且在参与研究前均已签署我院制定的研究知情同意书。
1.2 仪器与试剂
凝聚胺试剂盒 (生产厂家:珠海贝索生物技术有限公司) ;细胞谱及筛选细胞Ⅰ号、筛选细胞Ⅱ号和筛选细胞Ⅲ号 (生产厂家:上海血液生物医药有限责任公司) 。微柱凝胶孵育器及配套微柱凝胶血清离心机 (生产厂家:瑞士Dia Med公司) 、自动配血系统仪器、微柱凝胶Coombs卡。
1.3方法我院本次研究使用瑞士Dia Med公司生产的微柱凝胶孵育器及配套微柱凝胶血清离心机、以及自动配血系统仪器和微柱凝胶Coombs卡。使用上海血液生物医药有限责任公司生产的鉴定细胞谱及筛选细胞Ⅰ号、筛选细胞Ⅱ号和筛选细胞Ⅲ号。使用珠海贝索生物技术有限公司生产的凝聚胺试剂盒。 (1) 微柱凝胶免疫检测技术:采集5800例患者的静脉血5ml, 使用微柱凝胶血清离心机以3000r/min的速度离心5min, 置入试管中, 对试管进行编号。采用微柱凝胶免疫检测技术进行检测时, 将患者的50μl血清加入至检测卡标记好的微柱孔中, 并分别加入Ⅰ~Ⅲ号抗体筛查细胞及自身细胞50μl, 然后将检测卡放置在温度为37℃的孵育器中进行孵育15min。采用巯基试剂 (2-Me) 鉴定不规则抗体Ig类别。 (2) 凝聚胺法:应用凝聚胺法检测输血患者血清中不规则抗体时, 严格按照凝聚胺试剂盒中提供的操作说明进行检测。
1.4 评价标准
阳性判断标准:红细胞在凝胶柱的上端, 表示患者的红细胞与相应的抗体发生凝集, 判断结果为阳性, 反之患者血清中的红细胞通过凝胶缝隙到达凝胶柱底部, 则表示红细胞未与相应的抗体发生凝集, 判断结果为阴性。
1.5 统计学处理
数据采用SPSS 19.0统计学软件进行处理。计数资料采用例 (百分率) 表示, 行χ2检验。P<0.05示差异有统计学意义。
2 结果
2.1 血清不规则抗体阳性患者的特异性抗体类型和分布情况
5800例输血患者中, 共有32例 (0.55%) 患者的血清中检测出不规则抗体, 其中13例患者有输血史, 11例患者有妊娠史。见表1。
2.2 两种血清不规则抗体检测方法的检测准确率比较
采用微柱凝胶免疫检测技术进行检测的结果显示, 共有30例患者的血清不规则抗体呈阳性, 检测准确率为93.75%, 采用凝聚胺法进行检测的结果显示, 共有23例患者的血清不规则抗体呈阳性, 检测准确率为71.88%。两种血清不规则抗体检测方法的检出率比较, 差异显著, 具有统计学意义 (P<0.05) 。见表2。
3 讨论
临床输血工作中, 如果受血患者血清中的不规则抗体接受对应抗原血液, 就会导致患者出现溶血性输血反应, 威胁患者生命健康[2]。通过本次研究总结出临床检测输血患者血清不规则抗体的意义主要包括以下几点: (1) 对献血者的血清不规则抗体进行检测, 可有效避免含有不规则抗体的血清输入到受血者体内, 引起溶血性输血反应, 对受血者的生命健康造成威胁[3,4]。 (2) 检测受血者血清中的不规则抗体, 可为临床医师选择适合患者的血液提供参考依据, 能够有效避免患者因输入与自身血清中抗原相对性的血液, 发生输血输血反应[5]。 (3) 妊娠期女性接受血清不规则抗体检测, 可为妊娠期疾病和新生儿溶血性疾病的防治提供参考依据。
本次检测结果显示, 有既往输血史、妊娠史患者的血清不规则抗体检出率明显高于无输血史、妊娠史的患者, 多数患者血清不规则抗体为抗E, 除自身抗体检出率外, 男性患者和女性患者的其它各类型特异性抗体检出率比较不存在明显差异 (P>0.05) 。采用微柱凝胶免疫检测技术检测5800例输血患者的血清不规则抗体的准确率明显高于凝聚胺法检测, 由此证明, 输血患者的不规则抗体检出率较低, 而微柱凝胶免疫检测技术检测输血患者血清不规则抗体操作简单、准确性高, 值得临床进一步深入推广和应用。
参考文献
[1]陈洪国, 谭廷爵.8775例临床输血治疗患者不规则抗体筛查结果分析[J].国际检验医学杂志, 2012, 33 (4) :444-445.
[2]李金, 何燕, 李秀红, 等.红细胞血型不规则抗体筛选在临床输血中的意义[J].宁夏医科大学学报, 2011, 33 (11) :1077-1078.
[3]张松, 常利, 宋任浩, 等.输血患者不规则抗体筛查结果分析[J].中国输血杂志, 2014, 27 (9) :945-947.
[4]邓梅英, 蒋利星, 陈宇, 等.微柱凝胶法筛查不规则抗体的应用及影响因素分析[J].检验医学与临床, 2009, 6 (22) :1891-1892.
规则检测 篇9
一、关联规则以及入侵检测简介
(一) 关联规则简介
关联规则的可以用一个集合来表示, 例如:假设集合A{a1, a2……, am}, 集合A是一项含有数据项的集合, 这个集合又称为项集。设集合B为一个数据事务集合, 每个数据集合都含有数据事务C, 且每个C都有唯一的标识, 这个标识称之为TID标识。集合C真含于集合A, 其中项集E、F, E真含于A、F真含于A, 并且E和F相交为空集, 这就可以得出E、F的关联规则。设立关联规则的目的是为了找出不同的数据集合之间的关系, 也是为了更方便的识别集合与集合之间的关系。
在关联规则中还有一个概念是支持度, 支持度是集合B中包含项集E的事务数与B之比, 以此可以理解为E在集合B中出现的概率, 表示为Pr (E) , 关联规则E、F关系式的支持度就可以表示为Pr (E∪F) 。例如:一个集合的长度为G, 这个项集就可以称之为G阶项集, 若假定一个最小支持数I, 如果G阶项集的支持度Pr (I) 大于或者等于最小支持数I, 就可称G为大项集, 这个大项集又可以表示为G阶频繁项集的集合, 数学表达式为Lg。
置信度概念也是关联规则中又一重要概念, 那么什么是置信度呢?该置信度概念与概率论中的置信度概念相似。例如:关联规则E、F的支持度为Pr (E∪F) , 那么规则关联式E、F的置信度就是Pr (E∪F) /Pr (E) =support (E∪F) /support (E) , 这个公式表示数据事务库A中同时包含单项数据E和F的可能性, 关联规则的置信度也可以用条件概率符号进行表示, 具体的数学表达式为Pr (F/E) 。
(二) 入侵检测简介
入侵是指用户的计算机网络遭到非法用户地攻击, 导致用户计算机内部的资料丢失、泄漏, 或者整个计算机网络处于瘫痪状态。入侵检测即是非法用户攻击计算机网络, 被安全系统所检测到的过程, 检测系统从计算机网络或者系统中的关键环节监测信息, 之后将所收集的信息和样本进行比较, 以此鉴定计算机是否有被入侵的行为和迹象。入侵检测是一项复杂的检测过程, 涉及到计算机、网络安全等多个领域的内容。
二、关联规则在计算机入侵检测系统中地应用
(一) 基于关联规则的入侵检测体系结构地建立
基于关联规则的入侵检测体系结构可通过设计一个WAFP入侵检测模型来实现, 其主要工作过程为先从网络中采集所需要的数据, 之后对所采集的数据进行第一步干预, 并将干预过后的数据转入到数据库中去, 之后用WAFP检测模型对入侵行为进行判断, 若是模型判定出入侵行为是事实, 则要交给模型的处理环节进行处理, 若不是入侵行为则要记录其信息详情, 以便后续处理。
(二) 基于关联规则入侵检测系统地运行
基于关联规则的入侵检测系统的模型就是上段文章所描述的, 那么其具体的运行过程又是通过什么模块来实现的呢?入侵检测系统运行是主要依靠数据采集模块、数据预处理模块、WAFP检测代理模块以及决策响应模块。
数据采集模块, 顾名思义是一个信息收集的过程, 即是从入侵检测系统的信息网络中收集到能够体现用户行为的信息。例如:用户对特别文件夹的浏览次数、用户对重要信息的浏览次数, 而对于用户所浏览的无关信息可以不用关注。入侵检测依靠的是强大的数据支持, 只要所收集到的数据够可靠、够准确, 那么信息收集范围越广, 入侵行为被发现的概率也就越高。
数据预处理模块是对数据采集模块所收集到的数据进行处理的模块。主要工作内容是将采集模块中收集到的原始数据进行进一步处理, 原始数据的特点是信息不完整、数据冗余、含有与关联规则无关的噪声等等。检测系统对这些原始数据是无法进行甄别的, 就要需要数据预处理模块进行干预。数据预处理模块的工作内容是将原始数据所缺失的部分进行数据赋值和信息填补工作, 处理之后的数据就可以统一放在一个数据库中存储, 之后再将整理好的数据传递到下一模块。
WAFP检测模块的工作内容对来自预处理模块的数据进行处理, 检测模块先将预处理模块处理好的数据分为训练集和测试集两个集合, 对于训练集中的数据进行关联规则挖掘, 主要目的是对不同属性产生的不同数据进行分类;而测试集中的数据则是要跟规则库中的规则数据进行对比, 以此判定该数据是否符合入侵行为, 若是入侵行为则需要系统的相关环节进行处理。
上段所提到的系统相关环节即是决策响应环节, 决策响应环节是对关联规则模块挖掘出的规则, 在相关系统地指导下进行入侵行为检测。例如:响应模块检测到入侵行为, 响应模块中的某个单元就会做出相关的防护措施, 根据入侵检测系统的不同, 我们可以将响应的方式定义为主动响应和被动响应, 若响应模块无法判定入侵行为, 则需要将其报告给计算机安全员处理, 由安全员进行判断。
结语
总而言之, 基于关联规则法的计算机入侵检测方法是维护计算机网络安全的主要手段之一。本文所有研究的内容具有针对性和专一性, 工程师在建立计算网络入侵检测体系时, 应根据入侵行为的相关性进行分析, 建立较为合理的入侵检测体系, 同时在系统运行之后还应定期地对检测系统进行维护, 避免新的问题出现。
摘要:计算机入侵检测是维护网络安全的重要手段, 当计算机系统检测到入侵行为时, 这就要求响应环节做出尽快地响应, 并记录出本次入侵的类型, 为网络安全保驾护航。由于大多数入侵行为具有关联性、特征性, 所以计算机入侵检测系统地建立就依靠这种特征。本文主要研究了基于关联规则的计算机入侵检测方法的相关内容, 并在文章的最后部分介绍了入侵检测体系是如何运行的。
关键词:关联规则,计算机,入侵检测,应用,建立
参考文献
[1]张新有, 曾华燊, 贾磊.入侵检测数据集KDD CUP99研究[J].计算机工程与设计, 2010, 31 (22) :4809-4812.
[2]蔡伟贤.关联分析在入侵检测中的研究与应用[D].广州:广东工业大学, 2011.
规则检测 篇10
入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。任何类型的入侵检测系统模型都包括有检测事件的产生、检测事件的分析、响应单元和事件数据库等主要部分。入侵检测系统需要分析的数据统称为事件, 它是网络中的数据包或系统日志等从其他途径获得的信息。事件产生器的目的是从网络环境中获得活动, 并向系统的其他部件提供该活动;事件分析器分析该数据和产生分析结果;响应单元则是对分析结果做出反应;数据库用来存放各种中间和最终数据。
入侵检测系统的活动可以根据一定规律来审计各种相关的记录, 根据往常的正常记录的基本情况进行比较和判断, 由规则集管理引擎处理或与历史纪录比较分析, 来实现入侵检测系统的检测结果。与此同时入侵检测系统可以根据实际情况, 修改规划设计或更新活动档案。Snort入侵检测系统是一个通用系统。
2、Snort系统
2.1 Snort系统整体结构
Snort入侵检测系统主要包括几个部分:数据包嗅探器, 预处理器, 检测引擎和报警输出模块。如图1所示。
1) 数据包嗅探器
主要完成数据包的捕获和保存, 通过打开Libpcap包捕获接口。
2) 预处理器
调用预处理器插件初始化函数InitPreprocessors, 注册所有的预处理器插件。
3) 检测引擎
检测引擎将检测的规则存储在一个三维的链表结构中。主要分为三个部分:规则动作、链表头和链表选项。在检测时首先对规则动作匹配后, 再进行链表头中的规则的各种共有属性进行匹配。在链表头中包含的是多个规则中的共有属性, 而不同的检测属性选项则包含在不同的链表选项中。对于每一个数据包, 系统都会在三维的方向上对此规则链进行递归搜索工作。系统的检测引擎将检查那些已经在预处理器处理过的规则和由规则解析器设定好的链表选项。一旦检测引擎检测到一个检测属性与解析后的数据包的某些特性相匹配的规则, 则触发相应的规则动作并返回。
4) 报警输出模块
对检测后的结果进行处理。日志报警系统可在运行时由用户接口界面的选项进行选择。日志模式有三种形式:不用关闭、以ASCII可读形式记录数据包和以TCPdump二进制形式记录数据包。为了获得更高和更好的运行效果, 我们可以关闭日志功能, 只保留警报功能, 但这不利于我们日后进行对入侵痕迹的分析和判断。
2.2 Snort系统规则
Snort规则是通过调用ParseRulesFile函数读取规则文件, 并且把规则文件中的各项填充到相应的数据结构中。Snort规则可以划分为两个逻辑部分:规则头和规则选项。
2.2.1 规则头
规则头包含了规则动作、协议、IP源地址和目的地址、子网掩码以及源端口和目标端口值等信息。规则动作包括Alert:使用选定的报警方式生成警报信号, 然后记录当前数据包;Log记录当前数据包;Pass:丢弃 (忽略) 当前数据包。协议字段, Snort主要支持对3种IP协议进行分析, 以发现可疑行为, 它们是TCP、UDP和ICMP协议。
2.2.2 规则选项
它是Snort检测规则设计中的核心部分, Snort规则选项的设计将易用性和检测性能以及灵活性结合起来。规则选项主要是msg:在警报信号和数据包日志中显示一条消息;log:将数据包记录到用户指定名称的文件, 而不是标准输出文件;content:在数据包负载中搜索指定模式;uricontent:在特定的URL字段域内搜索特定模式;除此外还有ttl、id、dsize、flow、ontent-list、offset:、depth、nocase、flags、seq、ack、itype、icode、session、icmp_id、icmp_seq、ipoption等字段。
3、规则配置
有时需要我们可以根据自己的需要, 对snort系统配置相应的规则。主要有以下几种情况。
3.1 规则修改流程
对原规则进行改进, 主要从两个方面, 一是对规则头进行改进, 二是对规则选项进行改进。修改后就生成了新的规则, 然后再通过规则更新模块, 完成新规则的链接。
3.2 针对规则头过滤定义规则
首先我们以ip地址为例, 来分析如何自定义规则头。
比如我们要对来自10.0.0.1的访问网段192.168.1.0/24的udp数据进行报警, 那么我们可以设定的规则为:
Alert udp 10.0.0.1 any->192.168.1.0/24
如果以端口配置为例, 如我们要记录来自任意端口且目标端口为1~1024范围内的UDP数据包, 配置规则为:
log udp any any->192.168.1.0/24 1:1024
要记录目标端口小于或等于6000的TCP数据包, 配置规则为:
log tcp any any->192.168.1.0/24:6000
当然也可以根据传送方向来设置, 我们这里就不再一一分析了。
3.3 根据规则选项定义规则
我们以规则选项中的uricontent和content字段为例, 来分析针对几种常见的攻击, 如何配置规则。我们设定服务器的ip为192.168.0.1。
(1) Uricontent字段的检测
对uricontent的检测, 主要用于对URL的检测, 比如对访问恶意网站的检测过滤。假设某网站www.gongji.com为恶意网站, 为了不让客户端进行访问, 那么我们就可以设置如下过滤规则。
alert tcp$EXTERNAL_NET any->192.168.0.1 80 (msg:gongji web";uricontent:"www.gongji.com";) 。
另外还可以对访问特定程序进行检测, 如我们要检测客户端是否对运行任何非法的*.com程序, 选取特征码http://**/*com, 其中*号为可以匹配任意字符。设计的规则如下:
alert tcp$EXTERNAL_NET any->192.168.0.1 80 (msg:"*.com attack";uricontent:"http://**/*.com";) 。
(2) content字段检测
content字段检测可以用在应用程序的某些特征上来检测, 比如远程缓冲区攻击检测、木马、病毒等检测。我们通过I m a p d远程缓冲区攻击来提取特征码, 编写新的规则。I m a p d实现存在漏洞, 远程攻击者可能以root用户的权限执行任意指令。Imapd传递给验证命令的参数被拷贝到一个1024字节长的缓冲区, 该参数的最大值是8192字节, 只要大于1024字节将产生缓冲溢出。我们对记录的数据进行分析比对得到其惟一的特征码/b i n/s h字符串及其前面的机器代码, 这实际上是一个s h e l l c o de。我们写出一条新的规则:
Alert tcp$EXTERNAL_NET any->192.168.0.1 143 (content:"|45E8 53BC 7600 A4FB EEFD|/bin/sh";msg:"Buffer of imapd Overflow!";)
该规则指定外部任意机子通过TCP协议访问服务器192168.0.2的143端口, 如果包内容包含/bin/sh字段, 则给与报警, 并显示相应信息。
当然, 我们还可以获取更多的木马或病毒程序的特征值, 根据这些特征值, 设定不同的内容检测值, 从而达到过滤这些入侵的效果。另外规则选项中的其他字段也可以任意修改, 由于篇幅问题, 我们就不再一一分析了。
4、系统测试
我们在两台CPU:Genuine Intel (R) 1.66GHz;双网卡:inte100M;内存:1G机子上分别安装Linux9.0系统, 安装snort 2.0和其它的辅助软件。服务器IP地址设为192.168.0.1。根据设置的规则, 客户端对服务器的发出不同的攻击, 用以上设置的规则来检测入侵。
首先, 在命令行上键入:[root@localhost root]#snort-dev-h192..168.0.1-c snort.conf, 启动snort入侵检测系统。
其次, 客户端通过访问服务器的http端口, 那么根据前面我们对规则头的配置, 这次的访问数据被记录在日志里。另外客户端给出的url中包含了**.com字段, 根据事先设定的规则选项, 我们对该次访问给与警报, 并显示"*.com attack"信息。
最后, 我们模拟I mapd攻击, 也得到了预想的效果。
5、总结
本文分析了较通用的入侵检测系统Snort, 分析了Snort系统的整体架构和工作过程和规则构成, 研究基于Snort入侵检测系统的特征规则, 并对该系统规则从规则头和规则选项上进行配置, 生成新的规则。在实际平台上测试了自定义的规则, 能适应特定环境的需要, 显示其有效性。
参考文献
[1]胡大辉, 刘乃琦.高效的Snort规则匹配机制[J].微计算机信息, 2006, 2-3:10-11。
[2]曹元大, 薛静峰, 祝烈煌, 阎慧.入侵检测技术.北京:人民邮电出版社, 2007.
[3]郭兆丰, 徐兴元, 邢静宇.Snort在入侵检测系统中的应用.大众科技, 2007, 总第96期, 69-71.
[4]石福斌.基于Snort的入侵检测系统在校园网中的应用.哈尔滨理工大学学报.2007.
[5]林果园, 黄皓, 张永平.入侵检测系统研究进展.计算机科学, 2008, 35 (2) , 69-74.