行为学检测

行为学检测（精选10篇）

行为学检测 篇1

阿尔茨海默病(Alzheimer's Disease,AD)是一种进行性发展的致死性神经退行性疾病,临床表现为认知和记忆功能不断恶化,日常生活能力进行性减退,并有各种神经精神症状和行为障碍。本文主要是对目前国内外常采用的AD转基因小鼠行为学测试方法作一综述。

1 Morris水迷宫实验(Morris water maze)

Morris水迷宫是由英国心理学家Morris于20世纪80年代初设计发明的,是目前最可靠有效的检验动物行为记忆功能的方法。这种装置可观察并记录动物入水后搜索目标所需的时间、采用的策略和它们游泳的轨迹,有助于分析和推断单位的学习、记忆、空间定向和认知功能等方面的能力。目前广泛运用在神经生物学领域的基础和应用研究中。

Morris水迷宫实验装置是一个直径约1 m的圆形水池,水池直径的大小因实验者的习惯或实验动物的大小而不同。填充物为不透明液体,如牛奶或其他人工合成的不透明剂。实验将水池分为4个象限,在目标象限中央液面下1~2 cm的位置放置一个直径约为10 cm的圆形平台。一般将池内的液体的温度控制在25℃左右。

实验设计为两个阶段:定向航行实验(place navigation test)和空间探索实验(spatial probe test)。定向航行实验是学习阶段,一般进行4~9 d,每天训练4次。每次将实验动物随机选择一个象限面朝池壁放入水池中并开始计时,实验动物找到目的象限中隐藏平台所用的时间,即为逃避潜伏期。每次训练时间限制为60 s或120 s,找到平台后允许动物在台上休息10~30 s,若实验动物在限制时间内没有找到平台,则帮助其找到平台,逃避潜伏期记为限制时间。由计算机视频软件系统自动跟踪记录逃避潜伏期、游泳速度、绘制游泳轨迹等。空间探索试验是记忆阶段。此阶段撤去目的象限隐藏的平台,让实验动物在限制时间内在水池中自由游泳,计算机记录动物在各象限时间、穿越平台位置次数、游泳速度、绘制轨迹图等[1,2,3,4]。第四象限时间和穿越平台次数是最有意义的观察指标。Morris水迷宫检测的是动物的空间参考记忆最为经典的行为学检测方法。

之后的研究者在传统方法的基础上又进行了很多改进,如Markowska[5]发现动物学习阶段将平台设计为间歇地出现,这种方法可更加有效地检测动物的空间参考记忆能力。Arteni[6]在水迷宫中采用了两个隐藏平台,轮流升起不同平台的方法还可以检测动物的工作记忆。Morris水迷宫广泛用于啮齿类动物的视觉相关的空间记忆和工作记忆的检测中,但对于检测动物长时程记忆的可靠性仍存在争议。

2 高架十字迷宫实验(elevated plus-maze test)

高架十字迷宫实验室检测动物焦虑情绪和活动能力的行为学方法,被广泛应用在抑郁症、痴呆等疾病模型的相关研究中。迷宫的基本装置主要由呈十字交叉的两条开臂(50 cm×10 cm×10 cm)和两条闭臂(50 cm×10 cm×40 cm)组成,迷宫的底部距离地面50~100 cm不等。四条臂的内部均漆成黑色,室内保持安静暗光。动物从四条臂的交叉区域面向闭臂放入。计算机视频软件系统自动记录动物的活动情况,实验时间为5 min。

实验主要观察的数据包括:闭臂和开臂进入次数(至少两只前爪进入臂内)和停留时间。并计算动物进入开臂的次数和在开臂滞留时间分别占进入两臂总次数和总时间的百分比[7,8]。高架十字迷宫是利用动物对新异环境的探索性和对高悬敞开臂的恐惧,测试动物在复杂环境中的自主活动能力和焦虑程度。动物进入开臂的次数和在开臂滞留时间越长,说明动物的自主活动能力越高,而焦虑程度越低。许多研究发现AD转基因小鼠在高架十字迷宫中表现出焦虑程度增加,自主运动能力降低。

3 开场实验(open field test)

开场实验同样可以检测动物的焦虑程度和自主活动能力。实验装置主要为一60 cm×60 cm×40 cm大小的顶部开口的箱体。箱底内面被平均划分为25个方格,靠近箱壁一圈的方格称之为外周格,靠近内部的方格称之为中央格。实验将动物放入正中一格,计算机视频软件系统记录5 min内动物的活动情况。实验时间一般设定在7∶00~12∶00 am,2次实验之间将箱底打扫干净。

实验主要观察的指标为爬行格子总数和中央格爬行时间。龋齿类动物喜欢在黑暗的角落环境活动,宽敞明亮的环境会使其焦虑程度增加。在开场实验中爬行格子总数反映小鼠的自主活动能力,中央格停留时间可以衡量小鼠的焦虑情绪。研究表明AD转基因小鼠在旷场实验焦虑程度增加,爬行格子总数减少,中央格爬行时间缩短[9,10,11,12]。

4 放射状迷宫实验

放射状迷宫实验放射性迷宫最先由Ohon和Samuelson于1976年应用于动物的空间记忆研究,之后在行为学研究中得到广泛应用,实验方法也得到不断改进。

实验装置由一个中央平台和多条放射臂组成,放射臂的数目不定,多为8条臂。臂长多为50~60 cm,臂宽10 cm,臂的末端放置一个食物盒,迷宫放置在距离地面50 cm高度实验场所中设计一些外形明显的物体作为动物空间参照目标。常用的实验方案有以下3种:(1)所有的臂上的食物盒中都放有食物,把实验动物放置在中央平台上,记录动物进入放射臂的正确次数(未探索过的臂)及错误次数(已探索过的臂)。此方案主要反映了动物的工作记忆;(2)同样在所有的臂上食物盒都放有食物,记录探索完所有臂需要的总次数(最大25次),按公式(day2+day3+day4+day5)-4×day1的计算结果。评估与海马皮层功能相关的空间记忆;(3)部分放射臂中的食物盒中放置食物,记录动物进入放射臂的正确次数(进入有食物的臂)和错误次数(进入没有食物的臂),此方案主要反映了动物的空间记忆[9]。

部分研究将实验中促使动物完成实验的奖赏性措施(食物)换为厌恶性刺激,如放射臂水迷宫(Radial Arm water Maze)[13,14]。实验装置包括一个直径100 cm不等的圆形水池,多为6个放射状分布的游泳臂,在某一臂的末端放置一逃避平台。一天进行4次学习实验,每次约1 min。每次学习实验小鼠被放在没有放置逃离平台的臂内———开始臂。下次实验应重新随机选择另一个开始臂,每个臂只能选择一次。记录小鼠探索的错误次数(如果小鼠探索错误,将会被放回开始臂重新进行探索)。1 d的4次学习实验中,小鼠错误次数的减少作为学习实验的数据。结束后,将小鼠放回窝30 min,再以第4次学习实验相同的开始臂进行一次记忆实验。

5 T型迷宫实验

T型迷宫是检测动物空间学习、工作记忆、交替行为的行为学检测方法,广泛应用于AD转基因鼠的行为学研究中。T型迷宫通常为两条等长的垂直通道,形状如T型。每条通道除底面为黑色外,其他三面由透明树脂组成。通道尺寸一般为75 cm×12 cm×20 cm,其中竖直通道的末端用不透明活动门隔出一通道作为实验动物的起始位置。水平通道的两端分别作为两个目标位置,在由竖直通道进入水平通道的入口处分别有两扇不透明活动门,可以通向通道左右两侧方向,实验者可以控制活动门的开放。实验场所放置外形明显的物体作为视觉参照物。实验开始时将实验动物放置在起始位置处,打开水平通道入口处其中一扇活动门。待实验动物探索完一侧水平通道回到起始位置后,让实验动物在起始位置内滞留5 s,而后将入口处两扇活动门全部打开,当实验动物进入水平通道一侧后,关上另一侧的活动门,待实验动物回到起始区域一次实验结束。重复第二个步骤14次。记录动物每次实验所用时间、每次进入和前一次不同侧通道的比例[15]。

研究者认为此种T型迷宫无奖赏或惩罚因素,动物探索的天性是完成实验的动机,因此能最大限度地减少影响实验结果的混杂因素[16]。但另有研究者发现啮齿动物存在天生的偏侧优势,即动物在T型迷宫中更偏向于向一边走(左边或右边),而且这种现象存在种系差异以及性别差异,各种应激(如饥饿)可以减弱这种偏侧优势。Y型迷宫是一种同T型迷宫类似的检测方法,其实验的设计原理和实验方案和T型迷宫都十分相似,只是把迷宫的形状由T型换成了Y型。

6 Barnes迷宫

1979年Barnes首次采用Barnes迷宫来评定动物的空间记忆能力。Barnes迷宫由一个距离地面50 cm以上的圆形平台构成,平台周边设有10~30个穿透的小洞。平台的直径、厚度以及洞口宽度根据实验动物不同而不同。在平台上方给予强光、噪声以及风吹等刺激,在平台周边选择一个小洞底部放置一个盒子,作为实验动物对刺激的躲避场所;其他洞的底部是空的,试验动物无法进入其中。实验场所放置外形明显的物体作为视觉参照物。动物利用提供的视觉参照物,有效确定躲避场所的洞口所在空间。

实验开始时把实验动物放置在高台中央,记录实验动物找到正确洞口的时间,以及进入错误洞口的次数。每次实验结束后用70%的酒精对洞口进行清洗,变换可以躲避的洞口,但洞口的空间位置不变[17]。相对于其他行为学检测方法而言,Barnes迷宫具有以下几个优点:(1)不需要食物剥夺或电击,因此对动物的应激较小;(2)实验对于动物的体力要求很小,能最低限度地减少因年龄因素所致的体力下降对实验结果的影响;(3)实验所需时间较少。

7 其他

7.1 新事物识别实验

它是基于啮齿类动物具有探索新事物的先天性趋向,探索新事物的过程反映了动物学习、识别和记忆的过程,用来评估动物短记忆的缺损。

7.2 场景性恐惧条件化测试

常用的啮齿类动物情绪性记忆的测试有两种:场景性恐惧条件化(contextual fear condition)与提示性恐惧条件化(cued fear condition)。前者测试的内容是海马依赖型记忆,而后者测试的内容是海马非依赖型记忆。实验分阶段地记录动物僵直不动(freezing)的时间,作为评价结果的依据。

7.3 平衡木测试

用来测试动物的平衡能力和运动能力,小鼠被放在一个长50.8 cm,宽1.2 cm的长木上(悬挂在46 cm高处),两端各有一个14.0 cm×10.2 cm的逃避平台。记录每次实验小鼠掉下长木或到达逃避平台的时间(最长监视60 s,如果小鼠成功到达逃避平台则记录为60 s),三次实验后计算平均时间。

7.4 跳台实验

跳台实验能对动物对新异环境的适应性、探究、紧张、记忆等行为进行评价。在一箱体中,底部铺以铜栅,铜栅通电。箱体底部中央放置一平台(大小和高度根据测试动物而定)。当把动物放在平台上时,会跳下平台并向四周进行探索。如果动物跳下平台时受到电击时会跳回平台以躲避伤害性刺激。记录首次跳下平台的潜伏期、一定时间内受电击的次数(错误次数)。24 h后重复实验1次,记录动物首次跳下平台的潜伏期和一定时间内的错误总数。

AD转基因小鼠模型也表现出类似人类AD患者的各种特征,记忆力下降,反应迟钝,理解力、判断力降低。但对于小鼠这种低等的啮齿类动物,我们只能设计各种行为学实验,通过其行为改变来推测其认知,记忆的改变。目前最常用的是各种各样的迷宫模型,来检测小鼠的空间学习和记忆能力。相信将来会有更多科学的检测方法,用于AD病理模型的研究。

行为学检测 篇2

进行学术不端行为检测的实施意见（2011年7月7日学校学位评定委员会审议通过）

为切实提高研究生学位论文质量，防范学术不端行为的发生，根据国务院学位委员会《关于在学位授予工作中加强学术道德和学术规范建设的意见》（学位〔2010〕9号），山东省人民政府学位委员会、山东省教育厅《关于加强学位授予质量督查管理工作的意见》（鲁学位〔2011〕2号）及有关规定，制定如下实施意见：

一、学位论文是研究生学术水平与科研能力的综合体现，对学位论文进行学术不端行为的检测是培养研究生创新精神、促使其恪守学术道德规范、保证学位论文质量的重要途径，对于提高研究生培养质量具有重要的推动作用。

二、加强研究生学术道德建设、防止学术不端行为的发生采取自律与监督相结合的原则。研究生应切实提高自律意识，扎实做好研究与实践，培养严谨的治学态度和求实的科学精神，遵守学术规范，端正学术风气，恪守学术诚信，切实保证学位论文质量；各院（系）、学科要加强监管，抓好学术道德和诚信教育，加强对研究生的教育和管理，严防抄袭、剽窃、伪造、篡改等学术不端行为的发生。

三、导师对研究生学位论文质量负有指导责任。导师应严格把关，认真指导学生的课题研究和论文写作，认真审阅论文的结构和相关内容，避免学术不端行为的发生，切实提高论文质量。

四、学位论文中的学术不端行为主要指抄袭、剽窃他人学术成果；篡改他人学术成果；伪造或者篡改数据、文献，捏造事实；伪造注释等。

五、学校采用中国学术期刊（光盘版）电子杂志社开发的“学位论文学术不端行为检测系统”对研究生学位论文进行学术不端行为检测。所有在我校申请硕士学位的研究生均须接受学位论文学术不端行为的检测。

六、研究生学位论文学术不端行为检测工作由研究生处具体组织实施。

七、学术不端行为检测的内容一般为学位论文的主体部分（除去封面、目录、参考文献、致谢部分）。

八、学位论文学术不端行为检测系统的检测结果只作为判断参考，不作为处理依据。对系统所得出的超过规定值的论文检测结果，由学科所在院(系)或学校组织专家评议组进行人工鉴定，是否构成学术不端行为的结论由专家组做出鉴定。

九、对研究生和导师的有关处理意见，由学校学位评定委员会最终决定。

十、检测分两阶段进行：

第一阶段：初检。所有申请硕士学位的研究生，在学位论文评阅前，必须按规定时间下载填写学术不端检测申请书，并提交论文电子版，经导师和学科负责人审核签字，报院（系）审核签字后统一报送研究生处，由研究生处集中进行学术不端行为的检测。初检费用由学校承担。

第二阶段：复检。对于允许进行复检的论文，导师指导研究

生进行全面修改，在规定时间内按程序提交研究生处进行第二次检测。复检费用由研究生本人承担。

十一、检测结果认定与处理：

1、文字重合百分比＜20%（可剔除文献综述部分，下同），由导师和研究生根据具体情况分析判断是否需要进一步修改，如确认无学术不端行为，可进入答辩程序。

2、文字重合百分比在20%~50%之间（含20%，不含50%），导师指导研究生必须对论文进行修改，修改后须进行一次复检。复检文字重合百分比＜20%，导师和研究生确认无学术不端行为，可进入答辩程序；重合百分比≥20%，由院（系）组织专家组进行评议，写出鉴定报告，确认无学术不端行为的，论文再次修改完善后，可进入答辩程序；确认存在学术不端行为的，论文延期半年答辩。

3、文字重合百分比≥50%，由院（系）组织专家组进行评议，写出鉴定报告，确认是否存在学术不端行为及严重程度。无学术不端行为的，导师指导研究生必须进行全面修改，复检合格后进入答辩程序；存在学术不端行为的，取消研究生答辩资格，要求研究生重新开题，重新撰写论文，一年后方可申请论文答辩。

十二、根据情况，研究生处可组织学校专家组对学位论文是否存在学术不端行为进行复评，鉴定结论作为最终结论。

十三、因论文不符合要求延期答辩的，研究生在延长期间所发生的一切费用自理，不享受研究生普通奖学金（生活补助）。

十四、对于判定为存在学术不端行为的学位论文，给予导师和学生全校通报批评，根据情况暂停导师研究生招生资格。

十五、论文被判定为存在严重学术不端行为或结果部分存在数据抄袭、伪造等，视情节轻重，给予学生相应的纪律处分，取消学位申请资格；给予导师全校通报批评，取消导师资格。

十六、研究生和导师对判定结果和处理决定有异议的，可向学校学位评定委员会提出申诉，由学校学位评定委员会做出最终决定。

十七、使用学位论文学术不端行为检测系统仅能防止学位论文撰写中出现的学术不端行为，无法保证学位论文的质量和水平。各院（系）、学科、导师应切实加强对研究生的管理，把握标准，严格要求，加强中期考核和过程监督，抓好开题、调研和实验、论文撰写、导师指导、专家评阅、答辩等关键环节，采取综合措施，切实提高研究生学位论文的质量和水平。

行为学检测 篇3

【关键词】终端行为；IRC；僵尸网络；病毒检测

随着我国经济与社会的不断发展，互联网在我国人民的生活工作和学习中扮演着越来越重要的角色。在使用互联网的过程中，由于僵尸网络病毒的存在对于我国人民正常使用互联网产生了巨大困扰。而目前我国经常受到的僵尸网络病毒攻击为IRC僵尸网络病毒。因此为了保护我国人民能够正常使用互联网，就需要对IRC僵尸网络病毒进行检测。但是传统的IRC僵尸网络病毒的检测方法需要先验知识，而且也不能够满足随时检测的要求，不能很好地保护我国人民正常使用互联网。通过对IRC僵尸网络的分析，我们发现这种僵尸网络拥有着为数众多的僵尸终端，因此就可以使用一种全新的方法来进行IRC僵尸网络病毒的检测，即基于昵称和命令序列，通过这样的检测方法对频道进行逐一的分析就可以将僵尸网络检测出来，不仅节省了大量时间而且还可以满足大规模的网络在线检测。

一、使用终端行为特征检测IRC僵尸网络病毒的概念

利用终端行为特征来对IRC僵尸网络病毒的检测主要是一种基于用户昵称的IRC僵尸网络病毒的检测方法。这种检测方法不同于传统的IRC僵尸网络病毒检测方法，传统的IRC僵尸网络病毒的检测方法主要是使用了正则表达式来对僵尸昵称来进行描述，并且使用评分函数来对这些僵尸昵称进行分析。而使用终端行为特征来检测IRC僵尸网络病毒的方法只需要在同一个频道下来将昵称的相似度进行关注，并不需要先验知识，而且可以检验未知的僵尸网络。这种方法主要试运行在一个高性能的网络捕包分析平台上，并且使用一种基于用户昵称长度的相似性的IRC僵尸网络病毒检测方法。这种算法利用用户昵称的长度来将相似性进行检测，能够十分有效的将IRC僵尸网络病毒检测出来，而且这种方法的攻击性不强，适用于我国人民的日常工作和生活中的IRC僵尸网络病毒的检测。

二、如何使用终端行为特征来对IRC僵尸网络病毒进行检测

在IRC用户登录了客户端后，发送给服务器的第一条命令就是参数和昵称。昵称是IRC客户端用户的标识。而且ICR协议中规定了如果实在相同的IRC网络中，那么昵称不能相同。由于僵尸网络的客户端是有攻击者使用的程序自动生成的昵称，因此在这种情况下程序就会采取一些措施来避免相同昵称的出现。目前的僵尸网络昵称生成程序一般都是使用固定字符+特殊字符+随机字符的方法来避免相同昵称。由此我们可以发现，IRC僵尸网络的用户昵称虽然不相同，但是仍然具有一定的规律，找到了这些规律就可以使用这些规律来进行IRC僵尸网络昵称的检测，来判断频道是否为僵尸频道。

（一）检测IRC昵称相似性的度量属性

为了真实而且准确地将昵称的相似性进行检测，我们需要设置出参数公共字串比率。目前很多的僵尸程序的组成是将昵称的固定字符与随机生成的字符串进行组合，在这样的情况下固定字符串就可以为僵尸网络的检测提供有利的检查机制，如果出现了太多的拥有相同固定字符串的昵称，那么就可以将其踢出频道或者直接拒绝为其服务。公共字符串的比率直接反映了字符串是否包含了公共字符串，如果在频道中的昵称拥有较高的公共字符串比率，那么这些昵称是僵尸网络昵称的比率就很高。不仅是要检测公共字符串的比率，对于昵称的组成距离也要进行检测。昵称主要是由字母和数字组成，大部分的昵称还含有一些特殊字符。通过对目前已知的僵尸网络昵称进行分析后可以发现，目前的僵尸网络昵称虽然组成的字母数字和特殊字符是不同的，但是这些昵称的长度却基本相同。通过这一特点我们也可以对僵尸网络的昵称进行检测。我们将昵称的长度使用四元向量来表示，四元向量主要是指昵称，字母，数字，特殊字符的长度。如果某个频道中的一些昵称长度四元向量是相同的，那么这些昵称就很有可能是僵尸网络的昵称。

（二）检测IRC僵尸网络昵称的算法

通过对僵尸网络昵称的属性分析，我们知道了具有相似性的IRC僵尸网络昵称可以通过昵称组成内容的相似性以及长度来进行检测，从而可以得出在网络中是否有IRC僵尸网络病毒。但是在具体的检测过程中需要一种算法来对频道中的昵称长度和内容进行计算。在具体的计算方法方面，我们主要是使用了TRW算法。这种算法通过对频道中的昵称进行观察来检测判断出在频道中的昵称是否为僵尸网络的昵称。在这种算法下可以先假定一个频道为正常频道，假定另一个频道为僵尸频道，然后在对频道中所拥有的各种昵称进行检测，如果检测的频道是正常频道，那么频道内的昵称相似性低的概率比较高。在将假设给出之后，就会有输出的四种可能，一种为漏报的僵尸频道，一种为误报的正常频道，一种为正确的正常频道，一种为正确的僵尸频道。另一种算法为弹性TRW算法，这种算法主要是在传统的TRW算法中引入了弹性因子，利用弹性因子就可以在频道内的各种昵称进行弹性的分析，从而减少检测错误的产生，与传统的TRW算法比较要准确很多。

三、结语

目前我国由于通讯技术的不断发展，很多人都在使用互联网来学习和工作。在此过程中IRC网络被许多人所使用。但是在使用IRC网络的过程中，许多使用者发现会遭受到IRC僵尸网络病毒的攻击。而IRC僵尸网络病毒一般都是使用僵尸昵称存在的，因此如果可以将IRC僵尸昵称检测出来，也就能够检测出IRC僵尸网络病毒。在检测IRC僵尸网络昵称时可以采用基于终端行为特征的检测方法，检测昵称的长度以及内容，从而使用TRW算法来将这些因素进行计算，也就能够实时的将IRC僵尸网络昵称进行检测，保证我国人民能够安全的使用互联网进行工作和学习。

参考文献：

[1] 闫健恩，袁春阳，许海燕等.基于多维流量特征的IRC僵尸网络频道检测[J].通信学报 ，2013，（10）：49-55，64.

[2] 金鑫，李润恒，甘亮等.基于通信特征曲线动态时间弯曲距离的IRC僵尸网络同源判别方法[J].计算机研究与发展，2012，49（3）：481-490.

[3] 刘建波.基于动态聚类算法的IRC僵尸网络检测[J].哈尔滨商业大学学报（自然科学版），2011，27（5）：713-716.

[4] 倪懿.聚类分析技术在IRC僵尸网络检测系统中的应用[J].计算机光盘软件与应用 ，2013，（10）：88-90.

行为学检测 篇4

关键词：电子商务,鼠标行为,异常检测,身份认证,特征向量

1 引言

随着互联网的发展,电子商务已经成为人们日常生活不可缺少的部分。然而由于网上交易和网络支付平台的迅速兴起,网络支付安全体系尚不健全,网络购物人数不断增加,各种消费欺诈、用户信息泄漏问题频出[1,2]。网络交易中用户的身份验证普遍采用数字证书的方法[3],但是数字证书使用的用户名、密码等信息易泄露,这种方法并不能很好地解决用户身份可信的问题。

本文研究了通过用户行为模式进行身份认证的方法,提出利用鼠标行为认证的方法,对电子商务中用户购物行为的安全性加以保障。在以往的案例中,对用户行为的建模研究多运用于个性化推荐等方面[4],旨在提升用户的网购体验。本文的方法以电子商务活动中用户的购物行为所产生的鼠标行为数据为研究对象,根据用户特有的鼠标行为进行抽象建模,固化合法用户的鼠标行为模式,进而通过模式匹配判断新的购物行为是否属于异常行为。该策略无需辅助设备,可直接部署使用,不存在硬件设备的时效性和携带不便问题,便于优化用户操作体验。

2 基于鼠标行为的异常行为检测方法

2.1 异常行为检测原理

用户在电子商务网站实施的操作是多样化的:登录网站,浏览选购商品,加入或清空购物车,提交或取消订单等。在讨论用户异常行为时,类似于清空购物车,取消订单等的行为,对用户的钱财不会造成损失。所以本文选择了对用户利益可能有实质性伤害的有序行为,即要购买某个商品必须操作的流程,进行分析。

可以把这些流程抽象成一个类似自动机的模型。自动机有状态集,初态,终态,输入字符和转移函数,在某个状态下,输入某个字符,根据转移函数就转移到相应的状态[5]。图1 表示了抽象的类自动机模型。该“类自动机”可以表示为5-元组D=(Q, ∑, δ, q0, F),其中:

(1) Q是非空有穷集合,称为状态集。图1 中用圆角矩形表示,每个圆角矩形表示一种状态。

(2) q0是开始状态,就是说类自动机在还未处理输入的时候的状态。图1中初始状态为“未登录”状态。

(3) F是终止状态集合(F⊆Q)。图1 中终态有两种,即两种判断结果状态:正常与异常状态。

(4) ∑ 是抽象符号的有限集合。图1中,∑={0,1}。字符1抽象表示满足一定的条件,0表示不满足该条件。

(5) δ 是状态转移函数。

在此模型中,当输入字符为0 时,即该阶段的鼠标行为特征向量不匹配时,则当前状态直接转移到终态集中的异常状态,判断出当前用户行为是异常的。只有每次输入的抽象字符是1,即每个阶段的鼠标行为特征向量都匹配时,才能最终转移到终态集中的正常状态,判断出当前用户的行为是正常的。综上所述,检测异常行为的过程就是运行该“类自动机”的过程。

运行上述“类自动机”过程中,最重要的环节是判断每个阶段的输入符号为1 还是0,即每个阶段的鼠标行为特征向量是否匹配,具体地可以这样操作:利用该阶段时用户的鼠标行为数据,通过数学运算得到鼠标行为特征值,并利用基于欧式距离的K-Means聚类算法生成当前用户鼠标行为特征向量,并与之前根据训练阶段所采集的鼠标行为数据分析生成的正常用户行为特征向量,进行匹配,超过一定的阈值,则可以判断出当前行为属于异常行为,否则为正常行为。整个过程如图2 所示。

2.2 鼠标行为特征向量定义和匹配

考虑到在一般的电商网站中,很少或基本不会进行双击操作,所以主要采集鼠标单击和移动两种操作产生的数据。单击时采集数据项有:网站页面序号,X、Y轴坐标值,时间戳,其中网站页面序号这个数据项代表了用户购物的状态,表示用户进行到登录、浏览、下单等几个阶段中哪一步。使用上述数据项,通过数学计算可得到单击时间间隔,单击范围分布等。在采集移动鼠标数据时,需要预先设定一个采样率[6]。移动时采集数据项包括:网站页面序号,X、Y轴坐标值,时间戳。通过这几项数据,后续可以计算出移动速度,加速度,移动角度值等特征属性。

K-Means聚类算法是一种迭代的聚类算法,该算法事先设置K值,算法的结果是将数据划分为K个簇集和相应簇心。每个簇集的簇心就是该簇集中所有数据的均值,物理意义就是簇集中数据的行心[7]。

鼠标行为特征向量的设计,可以利用上述采集到的特征属性值和K-Means聚类算法。考虑到应用环境为电子商务购物网站,在购物过程中每个状态跳转都可以定义独特的特征向量。具体地,如在图1 中从“未登录”状态转移时,考虑到每个用户的手速和操作习惯等不同,可以把单击时间间隔均值及其标准差作为特征向量的一部分;另外,单击区域也因人而异,可将采集到的大量单击点坐标,通过基于欧氏距离的K-Means聚类算法,得到最密集簇的簇心坐标作为特征向量的一部分。其余的状态转移时设计的特征向量类似于上述内容,故不再赘述。

特征向量的匹配,则需要计算特征向量间的距离。考虑到特征向量中的各个特征分量的数量级和单位不同,可以先对特征向量中的各个特征分量做归一化处理,然后求特征向量之间欧式距离。若该距离超过一定的阈值,则可以判断出待测的特征向量异常,检测流程直接跳转至异常状态,拒绝该用户的后续操作。具体如图3所示。

3 实验结果分析

实验有6名用户参与,采集这些用户在购物网站中产生的鼠标行为数据,生成行为特征向量,使用上节所述的检测方法进行用户身份的识别。实验中采用Failed Acceptance Rate(FAR,漏检率)和Failed Rejection Rate (FRR,误检率)[8]两个指标进行效果分析。最终实验结果如表1所示,从表中数据可以得出:该方法的平均FAR为10.50%,FRR为9.72%,说明系统可以较好地识别用户,检测出异常的用户行为。

4 结论

本文针对电子商务中频繁的用户身份冒用现象,给出了利用用户鼠标行为特征进行用户身份认证,进行用户行为异常检测的方法。该方法不需要额外的硬件辅助,只需要在购物网站中嵌入代码采集用户鼠标数据就可以对用户身份进行识别。同时用户鼠标行为特征信息区别于传统的用户名密码信息,具有独特性、不易模仿性和不易盗取性,运用到电子商务用户身份认证领域,具有一定的实用价值。

参考文献

[1]胡伟雄.电子商务安全与认证[M].北京:高等教育出版社,2010.

[2]中国互联网络信息中心.第31次中国互联网络发展状况统计报告[DB/OL].(2013-01).http://news.xinhuanet.com/tech/2013-01/15/c_124233840.htm.

[3]朱玲玲.网络安全中的用户身份认证机制[J].中国科技信息,2006,1(1):46-47.

[4]吴胜兵.Web数据挖掘的应用与研究[M].南昌大学,2007.

[5]Hopcroft J E,霍普克罗夫特,Motwani R,et al.自动机理论,语言和计算导论[M].机械工业出版社,2004.

[6]Pusara M,Brodley C E.User re-authentication via mousemovements[C]//Proceedings of the 2004 ACM workshop on Visualization and data mining for computer security.ACM,2004:1-8.

[7]Machine learning:An artificial intelligence approach[M].Springer Science&Business Media,2013.

行为学检测 篇5

(武汉)

中地大（汉）研字[2011]69号

关于研究生学位论文学术不端行为检测的规定

根据第四十八次校学位评定委员会会议精神，从2012年上半年起，我校所有申请学位的研究生学位论文均需在答辩后进行学位论文学术不端行为检测。

一、检测具体要求：

所有博士、硕士学位论文均需在答辩后，学院学位评定分委员会开会前进行学位论文（归档文稿）的学术不端行为检测，检测结果作为建议是否授予学位的重要依据。

二、检测结果的处理意见：

文字重合百分比≤15%，由导师和研究生根据具体情况分析判断，由学院学位评定分委员会决定是否授予学位。

文字重合百分比在15%-30%（含30%）之间，由研究生和导师写出书面说明，由学院学位评定分委员会决定是否授予学位。

文字重合百分比在30%-60%之间，原则上本学期不授予学位。研究生需对论文进行修改，半年后方可申请学位，延长期间所发生的费用自理。如果学院学位评定分委员会做出授予学位的决定，需提交校学位评定委员会讨论。

文字重合百分比≥60%，本学期不授予学位。研究生需重新开题、重新撰写论文，一年后方可申请学位，延长期间所发生的费用自理，同时对其指导教师予以通报。同一导师连续有2名研究生的学位论文文字重合百分比≥60%，暂停招生一年。

三、检测学位论文要求：

学位论文均为word文档正文部分（第一章至最后一章），命名方式为：学院_学号_姓名.doc，如“地学院_120050215_张三.doc”，不得更改学位论文命名方式。

提交检测的论文必须是最终归档的文本，不再进行编辑处理，直接导入检测系统进行检测。

四、本通知解释权归校学位委员会办公室。

五、本通知自发布之日起执行，原中地大（汉）字［2010］01号文件同时废止。

研究生院

二О一一年十二月二十二日

主题词：学位论文 学术不端行为检测

奶牛发情行为的检测研究 篇6

随着人民生活水平的日益提高,需乳量也逐渐加大,集约化、规模化奶牛养殖场得到了迅速发展[1],奶牛发情的及时检测更显得日益困难。奶牛的发情检测在牛群繁殖管理中具有重要地位,及时发现奶牛发情有利于奶牛的及时受孕、产犊并提高泌乳期[2]。目前,我国绝大多数养牛场还采用人工观察,再依靠经验判断的方法进行奶牛发情识别[3]。这种判断方法仅能用于小规模的奶牛养殖,已经不适合较大规模、集约化的奶牛场。据统计,2009年我国奶牛存栏1410万头,其中超过100头以上的规模化养殖场达到了20%。人工观察法无法实现快速精确的发情检测,且这种方法具有诸多不利因素[4]:需要大量的劳动力,增加了劳动力资金投入;由于专业管理人员数量少、技术差、素质低,单纯依靠人工观察及时发现奶牛发情是件比较困难的事;靠人工观察更难以观察奶牛的安静发情,从而极大地降低了发情检测率。

1 奶牛发情行为检测方法

奶牛发情的主要表现为[1]:接受其它奶牛爬跨,站立不动,同时也爬跨其它奶牛;精神不安,不停走动,不时哞叫[5],食欲减退,体温上升,产奶量下降[6](但目前尚无定论)。奶牛发情后最适宜的配种时间应在性欲结束时再第1次输精,间隔8-12h进行第2次输精[4]。奶牛的发情表现虽有一定规律性,但由于内外因素的影响,有时表现不大明显或欠规律性,因此在确定输精适期时,必须善于综合判断,具体分析。

1.1 影响奶牛发情的因素

1.1.1 环境因素

自然地理环境不同,奶牛初情期和发情时间也会不同。由于季节造成的气候环境差异甚至饲草料差异、管理不当和卫生条件等使酷暑和严寒下的冷热应激变得更为严重,对奶牛的发情都有抑制作用[7]。

1.1.2 营养水平

营养水平是影响奶牛发情表现和初情期的重要因素[8]。良好的饲养可以促进生长,提早初情期,增加发情表现,而长期饲料供应不足,营养不良,能量、蛋白质、维生素和矿物质缺乏均会影响发情,甚至停止发情,即使发情,往往也不正常,发情持续期缩短。

1.1.3 奶牛品种

不同品种的奶牛,初情及发情表现和时间不同[9],大型奶牛的初情期一般比小型牛的晚,水牛和牦牛的初情期比黄牛的晚。

1.1.4 内分泌因素

有时一些器官,尤其是性腺的病患(如黄体囊肿等)会通过激素的变化而影响发情[10]。

1.2 奶牛发情行为检测

发情检测是养好奶牛的重要环节。这项工作做得不好,就会使牛群漏配牛只增加,从而延长产犊间隔,增加饲养成本,降低繁殖率,减少经济效益。Firk[9]和Wangler[11]等人在Brandenburg对奶牛总数在290头以上的16个奶牛场进行研究发现,75%的奶牛场没有进行准确的发情检测致使每头牛损失达199~672欧元之多。准确的发情鉴定更是成功地进行人工授精和超数排卵及胚胎移植的关键。传统的奶牛发情行为检测方法包括以下几种。

1.2.1 外部观察法

主要根据奶牛的外部表现和精神状态来观察判断奶牛的发情状况。奶牛发情周期平均为21d,据杨玉芹[12]观察,发情在18-25 d的奶牛占80%以上。外部观察法精度较高,检测率可达到90%以上,可检测效率只有50%~70%[13]。At-Taras[14]等在牛总数为120头(其中70头为奶牛,50头为不发情的肉牛)的农场,其对奶牛发情进行了检测试验,通过试验发现利用观察法的检测效率在54.4%~54.7%之间。

1.2.2 试情法

采用试情牛,根据奶牛的性欲表现来判断发情的状况,这是最常用的方法。此法尤其适用于群牧的繁殖奶牛群,可以节省人力,提高发情鉴定效果。但该方法不易于规模使用,且要专门饲养试情牛。通常将结扎输精管的试情公牛按1∶(20~30)比例放入牛群中,以此来发现发情奶牛[15]。

1.2.3 直肠检查法

将手伸入奶牛直肠内,隔着直肠壁触摸卵泡的发育程度,以判断奶牛发情的情况。奶牛发情时,卵泡由小到大,由硬变软,由无波动到有波动。

以上各种方法都具有一个共同点,那就是都需要大量的劳动力来实际操作,并且会影响到奶牛的正常活动,且要求管理人员技术娴熟,工作量较大,部分检测工作劳动强度大。Geers[16]认为外部观察法需要占用整个农场30%的劳动力。这就给奶牛养殖业增加了较大的负担,且准确度较低[17],尤其在夜间更是无法观察奶牛的发情行为,因而时常错过奶牛的发情期而不能及时配种,从而导致牛奶和小牛生产的潜力得不到有效利用,极大地降低了奶农的经济效益。

2 奶牛发情行为数字化检测技术

所谓数字化奶牛养殖就是用数字化技术,按人类需要的目标,对奶牛养殖所涉及的对象和全过程进行数字化和可视化的表达、设计、控制和管理的技术[18]。为促进奶牛养殖业的健康发展,提高奶牛养殖的经济效益,需要把现代数字化技术引入奶牛养殖,用科技产品检测奶牛的发情,准确判断奶牛发情时间,充分发挥良种奶牛的繁殖潜力,促进生产性能和经济效益的不断提高,促进现代化奶牛养殖业的发展。Patterson[19]在20世纪90年代首次将数字化技术应用到奶牛发情检测上。我国自20世纪80年代以来,已有少数奶牛场进行了数字化管理模式的尝试,一些管理水平较高的奶牛场,其奶牛发情数字化检测技术仍处在初级阶段[20]。

2.1 奶牛个体特征检测

要想利用数字化技术高效地检测奶牛发情,首先要从检测奶牛的发情体征做起,利用电子测控技术,采集和记录现场奶牛个体的身体物理参量(体温、活动量、呼吸参数、内分泌、采食量以及产奶量等),为奶牛发情监测系统的研究做前期准备性工作。目前对于检测奶牛主要的个体特征的传感器技术包括角度传感器[21]、计步器[15]、加速度传感器[22]、自动图像处理技术[23]、激光技术[24]、位置控制技术以及磁场感应技术[25]等。

2.1.1 活动量规律特征检测

2.1.1.1 计步器检测方法

在以色列的奶牛场每头牛都有记步器,通过记录奶牛运动的强度和运动量来了解牛只的发情及健康状况,一并进入计算机进行系统分析[26]。Redden[15]和Ulrich[6]采用计步器传感器为主要的检测单元,设计了可检测奶牛发情的ALT(Activity,Lying,Temperature)发情检测仪,利用该仪器可检测奶牛的行走步数、静躺时间以及体温等参数,通过分析确定奶牛是否发情。国内张颖超[27]和柳平增[28]等在奶牛发情期运动量偏差的基础上,利用计步器开发了奶牛发情期检测器硬件电路。

Ulrich Brehme[6]通过试验研究发现利用计步器方法检测奶牛发情的检测效率在75%~90%之间。利用计步器仅可以检测奶牛的行走步数,但对于准确检测和区分奶牛的行为特征(如静止、慢走、快走以及跨栏等)方面是十分困难的。

2.1.1.2 加速度传感器检测

加速度传感器通过测量加载于弹簧上的检测质量块的位移量来计算加速度。根据检测位移的方法不同,加速度传感器可以分为MEMS、磁电式、应变式和压电式几类。利用加速度传感器可以检测和区分奶牛行为特征。

Patterson[29]通过研究发现,基于加速度传感器的检测技术不仅可以检测奶牛的活动量,还可以检测出奶牛的活动的剧烈程度。Roger[19]利用加速度传感器检测了奶牛的行为特征,研制了奶牛行为检测仪系统AMS(Activity Monitoring System)。该仪器可佩戴在奶牛后腿上连续工作45d。Maeve[30],Nielsen[31],Poursaberia[32]和Mattachini[33]等人分别利用加速度传感器研究了奶牛的行为规律,进行了发情行为分析。

国内利用加速度传感器首先应用到了医学领域,研究了人体手势检测、人体模拟以及平衡状态的检测,如天津大学[34]、华中科技大学[35]等高校进行了该类项目的研究。

尹令[36]通过加速度传感器检测奶牛的运动规律,利用热电偶传感器和压电薄膜获取奶牛的体温、呼吸频率以及脉搏频率等参数,通过无线传感器节点将数据传输到计算机中。以此建立的动物行为检测系统能准确区分奶牛静止、慢走和爬跨等行为特征,可分析出奶牛的发情情况。但该检测系统的佩戴、功耗、软件设计以及安全措施等问题还有待于进一步解决。

2.1.1.3 全球定位与图像处理技术

Rutter[37]首次将全球定位系统(GPS)应用到绵羊的数字化管理中,检测绵羊日常的活动规律。利用计算机图像处理技术可以分析出奶牛发情时的行为特征。Tillett[38]利用计算机图像处理技术研究了奶牛的活动规律,进一步分析出奶牛的发情特点。目前,利用全球定位系统和计算机图像处理系统需要人工进行主观分析,还不能自动化分析奶牛的发情状态。

2.1.2 内分泌特征检测

可以利用生物传感器检测进行奶牛的内分泌特征。生物传感器是利用生物活性物质分子识别的功能,将感受的被测量转换成可用输出信号的传感器。检测奶牛孕酮的含量变化是进行奶牛发情识别技术手段[39]。孕酮是奶牛排卵后卵巢中形成的黄体和妊娠期胎盘产生的一种激素,极微量的孕酮即能发挥强大的生物效应。在奶牛的繁殖周期中,牛奶孕酮含量的周期性变化直接标示着奶牛卵巢的活动状态,连续监测奶牛孕酮的含量,依据其变化可以做出发情鉴定,早期奸娠诊断。

Delwiche[40]利用生物传感器检测奶牛孕酮的含量,来判断奶牛是否处于发情状态。国内邵谱[8]利用该方法研究出了奶牛孕酮检测的试剂盒进行奶牛发情、妊娠诊断、人工授精效果监测和繁殖障碍诊断等初步应用。

目前,生物传感器的稳定性还没有达到像机械传感器的稳定水平。其稳定性试验应在实时、实温条件下进行,并且利用该类传感器有一定的安全要求。

2.1.3 其它特征检测

2.1.3.1 温度检测

奶牛发情的温度检测有两种方式:奶牛的体温特征和牛奶的温度特征。

Eradus[17]指出奶牛在发情的前几天,体温(耳朵附近)要比平时要低。Geers[16]通过观察发现,奶牛发情过程中的体温(耳朵附近)要比平常高0.5 ℃左右。国内李晋阳[41]研究了奶牛乳腺炎对牛奶温度变化的影响,但没有研究奶牛的发情检测。

2.1.3.2 采食量检测

奶牛在发情过程中食欲减退,采食量减少,通过检测奶牛的采食量可以辅助的判断奶牛的发情规律。田富洋和李法德等人研制了奶牛采食量检测仪,取得不错的效果,可以应用到奶牛发情检测中。

2.2 专家分析平台

专家分析平台是对下位机传感器检测的数据进行分析和处理,并得到诊断的上位机分析软件。因此数据分析技术越来越重要。目前应用于奶牛发情检测的数据分析可分为两类:单变量时间序列分析算法和多变量时间序列分析算法。Phillips[42]首先发明了应用于奶牛发情检测的平滑变量数据分析算法。单变量时间序列分析算法在精度上比较低,目前常用的为多变量时间序列分析算法。多变量分析算法应用于奶牛发情检测主要有基于模糊逻辑分析、基于卡尔曼滤波算法分析以及多参数整合算法分析[1]。

De Mol[43]和Eradus[17]利用模糊逻辑分析对奶牛发情行为检测数据进行了研究,通过试验得出利用该算法的检测率为79%左右,出错率在16%左右。De Mol[43]和Maatje[44]利用卡尔曼滤波算法进行了数据处理,得出该算法的检测率为90%左右,但他们都没有提出利用该算法的出错率。

在美国大多数农场基本上都采用了高科技设备对奶牛进行数字化和规模化的管理,完成奶牛的检测、检查和诊断等日常工作[43]。通过传感器检测奶牛的行为特性,然后与计算机相连,利用专业软件对奶牛进行管理。以色列的AfiMilk系统,是一整套完整的奶牛场管理系统,而其中的子系统AfiAct是乳牛的发情检测系统[28]则是专门用来检测奶牛的发情,能够有效地提高奶牛的配妊率。德国使用传感器等电子元件检测奶牛生理参数,应用VB语言建立数据分析系统,对奶牛哺乳和发情期的生理参数变化进行数据分析。将奶牛发情计算机监测系统安装于数据设备连接的计算机中,对奶牛发情进行实时监测,并做出及时准确的发情预报[18]。上述软件平台由于语言和管理模式的不同、软件应用技术即时改进困难以及售后技术支持服务等方面的问题。这些软件难以在我国得到广泛推广,需要设计国产化的专家软件分析平台。

姜万军[46]等人利用VB的串口通信控件和数据库访问技术,构建了奶牛个体识别及发情监测系统,可以实时地得到奶牛的相关资料。杨勇[47]也应用VB语言建立数据分析系统,对奶牛哺乳期和发情期的生理参数变化进行数据分析。但他们没有对检测数据的处理算法进行进一步说明。

尹令[36]采用K-均值聚类算法对提取的各种参数进行行为特征多级分类识别,经过样本集的反复训练和学习,能够得到较为稳定的聚类中心,进而得到奶牛的行为类别。但此算法的精度以及出错率问题笔者没有进一步验证。

3 存在的问题

1)检测方法。

仅靠检测奶牛一种或者两种奶牛的行为特征判断奶牛的发情行为在精度上是不够的。

2)检测系统设计。

综合检测奶牛的行为特征,会大幅地提高检测系统的功耗,并且在软件设计和硬件设计等方面都是工程人员面临的问题。

3)分析算法。

奶牛发情行为鉴定分析软件还不成熟,需要研究更加成熟的数据统计算法判定奶牛的发情行为。

4)实时监控。

关于奶牛信息的实时采集与处理和奶牛的实时监控,尚未实现自动化。

4 结语

数字化检测仪器不仅大大减少了劳动负担,对奶牛的生产性能测定比传统方法更精确,有助于管理人员改进提高管理养殖水平,大大提高奶牛养殖的经济效益。为此应该开发适于我国国情的奶牛发情检测系统,能够综合、快速检测奶牛发情时的各种行为特征,且研制的检测仪应具备体积小、功能强、低功耗和应用广以及容易佩戴的特点,为我国畜牧业的发展打好基础。肯定地说,依靠现代科学技术来促进奶牛养殖业发展,是准确和高效地检测奶牛发情的必然趋势和重要保证。

摘要：在奶牛养殖中,为增加牛奶产量,使奶牛及时受孕、产犊并提高泌乳期是非常重要的,而要达到上述目的,正确、高效地预测以及检测奶牛的发情期,并适时配种尤为关键。因此,奶牛发情的及时和准确识别则变得举足轻重,在牛群管理中具有重要地位。传统的奶牛发情检测方法愈加不能满足现代化奶牛养殖场的需求,基于微机系统的自动化电子检测技术迫切需要应用到奶牛发情检测中。对奶牛的发情行为的影响因素、传统检测方法以及数字化的检测方法进行了阐述,并对其数字化检测趋势进行了系统深入的探讨。

互联网用户异常行为检测 篇7

入侵检测[1] (Intrusiondetection) 作为一种主动的防御技术被期望实现对网络攻击的全方位检测。ADAM[2], MADAMID[3]和MINDS是采用关联规则的经典算法。ADAM算法主要使用单层关联规则挖掘模式寻找连接记录各属性之间的关联关系, 使用多层关联规则挖掘模式来发掘IP地址的高层抽象的关联规则, 随后将设计全程变量记录某些特征属性的统计值, 但是算法是对已知攻击特征的理解和分析, 并不能为发现新的入侵特征提供支持。MADAMID算法利用挖掘到的频繁模式进行特征构造, 使用分类学习算法进行入侵检测。但是, 所构造的特征只是有限的几个统计模式, 没有构造出新的特征和未知的模式。MINDS使用无监督技术, 对每个网络连接设置一个值, 用来反映每个连接的异常度, 对标记很高异常度的网络连接进行关联模式分析发现异常行为, MINDS存在需要训练集进行分类和只分析数据的头部而没有分析负载数据的问题。由于传统的基于关联规则技术的入侵检测算法是对全部历史数据进行等同学习, 不能准确反映网络的行为特征, 另外, 网络数据具有海量、数据持续到达等特点, 上述算法进行关联模式挖掘需多次扫描数据信息, 无法适应网络数据流信息的特征。

基于前面的分析, 入侵检测系统 (IDS) 行为度量存在如下不足:传统的IDS主要是监测用户的系统行为日志, 根据用户的行为/事件的输入/输出进行监测或预警。其典型的异常行为监测模型基于系统调用序列异常模式和参数的检测方法[4]。这类方法的主要缺陷为:一方面没有全面地对行为进行度量, 通常只注重网络访问者用户系统行为, 而忽视对网络行为的监测;另一方面基于监控系统行为日志的异常行为监测实时性不高, 并且存在较高的误判率。当前的入侵检测是一种后置检测, 缺乏动态适应性。因此本文提出行为的定义, 对网络行为进行异常分析, 针对不同的应用场景采用基于向量空间和语义的行为异常检测算法。仿真实验表明与传统的入侵检测方法相比, 本文方法有较好的环境适应性和较低的误判率。

1 异常检测总体框架

异常检测的对象一般是本机当前的一段行为序列, 记为q, 通过一定的方法, 来判断序列q是否存在异常。在判断过程中可以利用的资源有本机的历史行为序列h, 以及本机所在网络环境的群体行为序列集合c。异常检测作为一种模式判定应用, 往往存在一定的误判, 因此需要从多角度对行为进行检测, 综合做出判断, 以降低误判的几率。为了达到这个目标, 本文提出了一种二维异常检测框架来实现综合判断目标。一方面, 将本机上的当前行为序列和该机上的历史行为序列进行模式匹配, 检测其在纵向的时间维度上是否存在异常;另一方面, 将本机上的当前行为序列和该机所在环境的群体行为序列进行模式匹配, 检测其在横向的群体维度上是否存在异常。最终, 将两个维度上的判断按照统一的参数模型融合起来, 做出综合的异常判断。具体过程如图1所示。

网络行为定义:社会学中[5]认为, 行为是人类在生活中表现出来的生活态度及具体的生活方式, 它是在一定的物质条件下, 不同的个人或群体, 在社会文化制度、个人价值观念的影响下, 在生活中表现出的行为的基本特征, 或对内外环境因素刺激所做出的能动反应。因此, 网络中用户的行为可以由4个基本要素构成, 即网络行为承担者、行为环境、行为目的、行为动作, 具体描述如下。

1) 行为的承担者。

网络中用户的承担者的发起者包括两个要素:发起者的ID, 发起者受体的ID可以用二元组P= (ID, ID') 进行描述。

2) 行为的网络环境。

用户行为的网络环境包括网络行为发生的时间、用户行为所涉及的通信协议、周围用户的状态和用户客户端本身所运行的进程。因此, 用户行为的网络环境可以描述为四元组:E= (HT, CP, PR) , 其中:HT表示网络行为发生的时间;CP为用户行为所涉及的通信协议集合, P= (P1, P2, …, Pn) ;PR为用户的进程集合, PR= (PR1, PR2, …, PRn) 。

在本文提出的模型中, E= (HT, CP, PR) 。

3) 行为目的。

网络中用户行为目的是指用户根据自身的需要, 借助计算机网络作为中介, 预先设想的行为目的。在现实的计算机网络中, 可以映射为用户所需要获取的资源和服务, 可以用如下序列描述M= (S1, S2, …, Sn, π1, π2, …πm) 。其中S1, S2, …, Sn为用户想要获取的服务, π1, π2, …, πm为用户想要获取的资源。

4) 行为的操作序列。

用户行为的操作序列定义为O= (a1, a2, …, an) 。

行为的4元组为 (P, E, M, O) , 该4元组使用下面论述的向量空间归一化操作, 可以映射到n维空间中的一个n维向量。

2 基于向量空间的检测方法

不同的网络环境中对行为预期要求的严格程度不同, 对计算速率要求也不一样。例如生产型信息系统所在的网络中, 要求用户的输出必须落到预期的输出范围内, 而且对实时性要求很高。根据文献[6]中所述, 对生产型信息系统本文采用基于向量空间的检测方法。

在建模阶段, 每段文本都被看作一个词元集合, 通过统计词频 (term frequency) , 其被转换为一个词频序列。在本文中, 网络行为序列有着和文本相似的结构, 其中以行为作为维度来构筑向量空间, 行为序列是分析的对象, 将被映射到空间中形成对应的行为向量。

当网络行为序列被映射为向量空间中的行为向量后, 我们就可以进入匹配阶段来计算行为序列之间的相关度了。顺理成章地, 向量的空间距离是衡量行为向量两两之间的相关度的合理指标。实际应用发现, 在空间距离匹配体系里, 序列的长度往往会影响到相关度的衡量。例如, 两个本来很相似的行为序列, 其中一个序列由于记录的时间较长而比另一个序列长了好几倍, 从而映射为行为向量后, 每个行为维度上的取值都比另一个序列按比例高了好几倍, 其在空间中的表现就是这两个行为向量方向相近, 但是长短差了很多, 如果直接用空间距离来表征相关度, 就会显示这两个序列相关度很低, 而带来很大的误差。因此, 在计算空间距离前, 一般需要对向量进行归一化, 可以解决向量因为长度不一而在匹配上带来的误差。归一化之后, 由于向量之间的空间距离和两者之间的夹角是正相关的, 而向量夹角又是与向量点积正相关, 所以一般选用向量点积来表征向量的匹配度Sim:

其中, Vq, Vh分别表示两个向量。通过模式匹配算法得到当前序列和历史序列之间的匹配度Sim (q, h) 以及当前序列和群体序列集之间的匹配度Sim (q, c) 之后, 我们通过融合算法将两者进行结合, 得到总的匹配度, 以做出异常决策。在这里, 融合过程本质上是一个插值过程, 选用比较流行的线性插值法即可, 其形式为:

其中参数a可以通过训练方法来确定。

3 基于语言空间模型的检测方法

对于普通的网络环境, 异常检测的计算应该符合通用性原则, 根据文献[7]所述, 基于语言空间的异常行为模型具有通用性的计算特点, 因此通用网络环境, 本文采用基于语言空间模型的检测方法, 本方法的建模方法以行为作为基本单位对序列进行频率统计, 并按照倒文档频率行为进行信息量加权。同时, 相较于空间向量模型的建模过程, 本方法在建模对象和建模上存在两点不同。在建模对象上, 本方法只针对以序列或序列集为特征的某个主体进行建模, 在本框架中, 只对本机历史序列h和群体序列集c进行建模。在物理意义上, 与空间向量模型中不同的是, 序列在本方法中的建模结果不是一个空间向量, 而是一个统计概率模型。以本机历史序列h为例, 其中每一个行为t在模型中都有一个对应的产生式概率p (t|h) , 也即在以序列h为特征的本机主体发生行为t的概率为p (t|h) 。同理, 群集行为集c的建模结果为p (t|c) 。

值得注意的是, 在序列h或是序列c中没有出现的行为t, 原则上p (t|h) 或是p (t|c) 的值是0, 但为了计算的合理性, 都对其做一定程度的平滑, 用一个很小的概率θ来代替0。这些θ值一定程度上会影响到模式匹配时的相关度计算, 因此我们在本方法中采用先融合、后匹配的顺序, 通过融合算法, 将θ值的数目尽可能减少, 以提高计算的准确度。为了达到上述目的, 这里采用Bayes插值的方式来进行融合, 其表达式为

其中, Tt│h为事件t在历史序列h中的频率, Len (h) 为历史序列h的长度, 而p (t|h) 为Tt│h/Len (h) , a为插值参数, 可以通过训练确定。

通过融合算法得到统一的产生式模型p (t|hc) 后, 就可以通过匹配算法计算相关度了。在产生式模型里, 对于当前的行为序列q, 以模型h、c产生该序列q的概率p (q|hc) 作为相关度表征, 表示成公式为

其中Tt│h为ti行为在q里发生频率, p (ti|hc) 为模型hc产生行为ti的概率。在本匹配算法里, 当前序列q里的行为ti若在历史序列h和群体蓄力集c里都很少发生, 说明本行为不是很正常, 若q含有的不正常行为越多, 则该序列是异常的可能性则越大。

4 实验仿真

本文的仿真实验主要模拟具体的应用场景及用户之间的交互行为。随着信任模型研究的增多, 为了评估信任模型在P2P (点对点) 环境、Adhoc和普适计算环境中的效果, 本文通过不同的场景来验证本文提出的方法的有效性、效率和环境适应性。

本文通过Net Logo模拟软件仿真了一个网络环境来对本文的提出的用户行为预测模型及其算法进行性能分析, 试验环境为Intel core双核2.66 GB, 内存2 GB, Win7平台上使用Net Logo对网络环境中的实体行为进行仿真。表1为实验参数。

1) 实验中实体有2种角色, 分别为普通用户和服务器, 服务器对用户行为的评估的和用户自身对行为的评估独立进行, 不受到其他用户的影响;

2) 实验中设定了个体最小相似度为λ=0.7, 如果相似度小于0.7就认为当前行为和个体可信行为不相似;

3) 行为预测评估模型中的n1、n2、N分别初始历史行为的数量和群体行为的数量以及网络环境中的实体数目, 上述参数的设定与具体的网络应用场景有关。

通过对网络用户的行为的度量, 来判断该行为是否是攻击行为, 从而进一步确认该网络访问者是否是可信的。下面说明了个体可信行为特征库可信行为数量的增加对行为判断正确率的影响。设在Δt时间内, 系统检测了用户的可信行为有x (t) 个, 恶意行为有y (t) 个, 设该群体中的已经判断为恶意用户的比例为α, 那么MR (恶意行为成功检测率) 可以描述为

本文模型和文献[7-8]中提到的传统的入侵检测机制进行比较, 图2和图3是根据群体中被感染的个体百分比来来进行MR的比较。

从模拟的结果来看, 本文方法比传统的方法更能有效地检测出恶意行为, 从而能更有效地保护网络中的用户群体。

参考文献

[1]罗守山, 温巧燕, 杨义先.入侵检测[M].北京:北京邮电大学出版社, 2004:47-48.

[2]BARBARA D, COUTO J, JAJODIA S.ADAM:A tested for exploring the use of data mining in intrusiondetection[J].SIGMOD, 2001, 30 (4) :l5-24.

[3]STOLFO S J, LEE Wenke, CHAN P K, et a1.Data mining based intrusion detectors:An overview of the Columbia IDS project[J].SIGMODRecord, 2001, 30 (4) :5-14.

[4]ITU-T Recommendation X.509.Information technology.Open systems interconnection.The directory:Public-key and attribute certificate frame works[S].

[5]王瑞鸿.人类行为与社会环境[M].上海:华东理工大学出版社, 2002:1-12.

[6]BUDANITSKY Alexander, HIRST Graeme.Semantic distance in word net:An Experimental, Application-oriented evaluation of five measures[EB/OL].[2013-02-18].ftp://ftp.cs.utoronto.ca/pub/gh/Budanitsky+Hirst-2001.pdf.

[7]WUU L C, HUNG C H, CHEN S F.Building intrusion pattern miller for Snort net work intrusion detection system[J].Journal of Systems and Software, 2007, 80 (10) :1699-1715.

基于行为分析的木马检测 篇8

随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。网络信息系统已经成为社会,政府,企业,学校,科研院所,军队的重要基础设施和交流的工具,其作用日趋重要。但是,出现了各种黑客攻击和网络攻击手段,而木马攻击以其隐蔽性强,攻击范围比较广,危害比较大等特点成为了最为常见的网络攻击技术之一,对网络安全造成了非常大的威胁。网络安全迫切需要有效的木马防范技术。

1 特洛伊木马概述

1.1 特洛伊木马的定义

特洛伊木马是指附着在应用程序中或者单独存在的一些恶意的程序,利用网络远程响应网络另一端的控制程序,实现对感染木马程序的计算机控制。控制者可以控制被秘密植入木马的计算机的一切动作和资源,是恶意攻击者进行窃取信息等的工具。木马程序以C/S模式为主,木马服务器的端程序在被控制的主机上运行,客户端来控制。

1.2 特洛伊木马的种类

后门型木马:这种木马在目标系统中会打开一个特定的后门以便攻击者进入此系统。后门类型主要有:Ftp Server, Proxy Server,HTTP Server, Telnet Server等。

远程控制型木马:这种木马是目前最流行的木马,由控制端和服务端两部分组成。这类木马的服务端必须得先植入目标系统并且运行,接着将控制端连接到服务端。

信息收集型木马:这种木马会记录或收集系统各种重要信息,比如获取登录口令,MSN密码,邮箱密码,也可以记录系统操作,键盘按键情况,然后发送给特定的攻击者。

系统配置修改型:这种木马会修改系统配置。比如修改注册表使磁盘共享随后关闭。

1.3 特洛伊木马的隐蔽技术

特洛伊木马的隐蔽性是指木马设计者为了防止木马程序被发现而采取的各种隐蔽手段。即使被发现,木马也会因为无法具体定位而无法清除掉。木马在被植入目标系统的运行空间中,必须以进程,线程的运行形势。在用户角度可以观察到进程,而线程是观察不到的。木马可以隐蔽自己的 运行形式来防止目标系统的用户管理员发现。比如可以在自身植入目标系统后生成DLL文件,把其主要的完成恶意操作或者通信功能代码放在DLL中,采用各种方法把DLL插入其他进程执行。这个时候插入的木马DLL以线程形式运行在其他进程中。有的木马启动后会在远程进程中创建一个线程将恶意操作代码拷贝到创建的远程线程中运行。

2 常用木马检测方法

常用的按行为特征分类的木马检测方法有:基于静态特征的木马检测方法和基于动态行为的木马检测方法。

2.1 基于静态特征的木马检测方法

木马静态特征归类如下:

(1)在目标系统中运行时进程的名称。

(2)在目标系统中生成的文件及木马原始文件的特征字符串。

(3)在目标系统中具体的启动加载方式。

(4)在目标系统中的生成文件名,文件大小及所在目录。

(5)打开的固定的TCP/UDP端口。

2.2 基于动态行为特征的木马检测

正在不断发展壮大的木马隐蔽技术使得木马在被植入的系统中越来越难以发现。基于静态特征的木马检测技术检测已知木马的各种隐蔽和变化能力已经严重不足,并且基本无法应对未知的木马。

而基于动态行为分析的木马检测方法控制木马的隐蔽,恶意操作,植入等行为的所需要的各种资源条件,可以监控木马的通信,启动的隐蔽行为和恶意操作,以及运行行为来对木马进行检测和防范的。

2.3 木马检测的趋势

现有的木马检方式略有两种:

(1)通过监控发现网络通信异常,阻断木马的网络通信。

采用这种方式的有防火墙,入侵检测,它们对通信端口和网络连接做严格的限制和严密的监控。入侵检测还能自动探测网络流量中潜在的入侵和攻击。

但是,目前有许多的木马趋向于采用无连接的网络通信协议,同时采取特殊的技术使通信端口很难被发现,有的甚至没有端口通信,于此同时又限制了通信流量,所以使用该方法已经越来越难将侧和阻断木马通信。

(2)检查木马特征码文件来判断木马。

采用检测特征码的方式有特征码静态扫描,虚拟机和实时监控。

这种方式无法检测特征码没有包含于特征库中的木马,即使是已知木马,也可以通过加壳等技术避免被检测到,使得木马服务器有机会进行与客户端的通信,带来信息邪路,系统破坏等损失。另外由于新木马及各类木马变种产生的速度非常快,特征码数量也循迅速增加,试用这种方式必然需要非常大的时间开销,使得检测效率不断下降。

为克服这些缺陷,研究人员从行为的角度考虑应对方法,即行为分析:根据程序行为特征判断其是否可疑。

3 基于行为分析的木马检测

木马入侵计算机过程有三个阶段:投放,运行和安装木马服务器,木马服务器与木马客户端的通信。

选择在木马安装阶段拦截与查杀木马。因为木马在通信阶段表现的行为主要是接受和发送数据,这些行为与许多正常网络通信程序一致,并不适合作为区分木马的行为特征。木马在安装阶段具有显著不同于一般正常程序的行为特征,容易辨别。木马行为作用的主要对象是木马程序本身,易于获取木马程序的信息和定位木马,并将其清除。也及早保护系统注册表,系统文件等不被破坏,这样避免了清除木马的同时再对这些文件进行修复。

3.1 木马在安装阶段的行为特征

木马安装有2个步骤:隐藏木马程序和木马服务器自启动设置,以便木马服务器在计算机每次开机或者重启时都自动运行。

木马行为及行为作用的对象归纳如表1所示。

3.2 API钩子技术的应用

钩子,是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理Windows消息或特定事件。

钩子是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。

为了能够拦截木马,可以拦截木马上述行为表现的不同的API调用。

钩子能够作用于系统中所有的进程和线程。预先定义一个钩子函数,安装针对某个API调用的钩子,就可以在真正API调用发生前,先调用钩子函数。

3.3 木马检测框架

(1)木马行为特征库。

木马行为特征库存储了行为作用对象和关于行为描述信息,API名称。

(2)注册表保护模块。

拦截所有修改注册表的行为,同时报警。因为修改注册表的程序比较少,用户自身也很少会去修改注册表,所以当注册表发生修改时,很有可能是木马所为。

(3)系统服务保护模块。

系统服务保护模块会拦截所有程序注册系统服务的行为,一般软件是很少会去注册系统服务保护模块的。

(4)当行为对象可被木马用来实现隐藏或者自启动时,会被拦截,并报警。

整个模块如图1所示。

3.4 本木马检测方法的特点

这个检测方法能停止木马的安装,保护注册表系统文件不被破坏,同时可以在停止木马后继进行网络监控做不到的查杀木马。木马安装阶段的程序隐蔽和自启动设置实现途径有限,所以大量木马在这个阶段的行为具有非常大的相似性,甚至相同。木马的行为特征库比较稳定,变化频率较小。木马的行为如果包含于现有的行为特征库中,就会被拦截。因为发现新的隐藏和自启动设置途径有很大的技术难度,木马常常会使用已知途径中的一种或者几种,也就是说其行为特征一般是已知的,所以已被本方法成功拦截查杀。而且有些木马是隐藏通信端口和无连接的的,网络监控较难发现,却可以根据行为特征轻易检测出来。

4 结束语

木马攻击技术发展至今,木马植入方式,隐蔽技术发生了巨大变化。随着互联网的广泛应用越来越多的新木马会泛滥起来,给网络安全构成极大的威胁。基于行为分析的木马检测方法能够较容易地识破木马的各种检测对抗技术,对各种未知的木马也有比较好的防范能力,是一种较为可靠的木马检测方法。

但是随着技术的发展,木马制作者已经开始将木马技术继续发展,木马朝着功能多样化,嵌入内核级隐蔽,嵌入应用级远程控制的方向发展。木马会与病毒结合起来产生新的针对系统漏洞的复合物会以更快的传播方式对网络安全构成更大的威胁和破坏。

攻与防永远是网络安全领域中恒久不变的主题。能够深入了解木马如何展开攻击行动,对于更好地实施网络安全保障具有很好的借鉴意义。

参考文献

[1]Haykin S Neural Networks-A Comprehensive Foundation[M].机械工业出版社,2004.

[2]戴敏.基于文件静态信息的木马检测模型[J].计算工程,2003.

[3]李进,李伟.Windwos9X/NT注册表技术内幕[M].清华大学出版社,2000.

[4]Jeffery Richter.Programming Applicatiions for Microsoft Windows[M].4th ed.

行为学检测 篇9

1 对象与方法

1.1对象本研究中,流动青少年是指离开户口所在地到北京打工超过3个月,年龄在16~24岁,主要从事饮食及公共服务行业的流动青少年。选取北京市城乡各1个区县疾病预防控制中心健康证体检中心作为调查点,分别为海淀区和顺义区。使用时间地点抽样方法,即在调查时段内,所有前来体检中心接受从业人员健康证体检者都被邀请参加匿名问卷调查。经过知情同意,当场填写问卷并回收。共回收有效问卷3 708份,其中符合本研究入选条件问卷2 182份,占总问卷的58.8%。入选率较低原因是调查时,为了便于现场管理,人群年龄进行了扩大化选择,即不分年龄全部体检对象均在知情同意后参加问卷调查。

1.2调查方法调查问卷采用自行制定的经过预实验的半开放式结构问卷。问卷内容主要包括调查对象人口学特征、艾滋病抗体检测行为和检测意向。检测行为使用“你是否做过艾滋病抗体检测?”测量,设定“是,否,拒绝回答”3个选项,若回答“是”即认为该研究对象做过艾滋病检测,若回答“拒绝回答”则情况待定。

检测意向使用4 个题目测量,分别是“我很想确定知道自己是否感染了艾滋病、我想做艾滋病检测、我打算做艾滋病检测、我有做艾滋病检测的意向”,每个题目5 级评分,很同意、同意、一般、反对、很反对分别赋分2,1,0,- 1,- 2。4 个题目得分总和除以4 为检测意向得分。得分在( 0,+ 2]的为具有检测意向,得分为0 的为检测意向不明,得分在[- 2,0) 的无检测意向。

1. 3 质量控制和伦理学考虑问卷的制定经过回顾文献、定性调查结果分析、专家评估、预实验4 个过程,反复修改完善而成; 现场调查前取得疾病预防控制中心领导和体检中心医生的支持,保证现场调查顺利实施; 在调查过程中,为保护调查对象隐私,采取问卷匿名、填表时座位隔开并避免相互讨论及被填问卷装入统一的信封等信息保密措施。问卷当场发放,当场收回。

1. 4 统计分析问卷回收后,首先进行清理,剔除不合格问卷,合格问卷进行编码,并使用Epi Data 3. 0 软件建立数据库。数据库建立过程中,为保证录入质量,采用逻辑检错和双录入技术。使用SPSS 20. 0 对数据进行描述性分析和 χ2检验等,以P < 0. 05 为差异有统计学意义。

2 结果

2. 1 基本情况调查对象平均年龄为21. 17 岁,男性占42. 9% ( 936 /2 182) ,女性占57. 1% ( 1 246 /2 182) ;流出地为城镇人口者占19. 0% ( 401 /2 105) ,为乡村人口者占81. 0% ( 1 704 /2 105) ; 已婚者占24. 7%( 537 /2 174) ,31. 6% ( 686 /2 174) 有男/女朋友。调查对象目前工作以餐饮业为主,占51. 9% ( 1 122 /2162) ; 其次是服务业,占24. 4% ( 528 /2 162) 。教育程度以初中为主,占40. 7% ( 883 /2 169) ; 其次是高中( 23. 9% ,519 /2 169) 、大学及以上( 17. 4% ,378 /2169) 。居住场所以单位宿舍和自租房子为主,分别占43. 7% ( 937 /2 146) 和43. 4% ( 932 /2 146) 。

2. 2 检测意向城乡流动青少年艾滋病检测意向4个题目的测量结果见表1。59. 9% ( 1 252 /2 092) 的调查对象得分在( 0,2],表明其具有检测行为意向;13. 8% ( 289 /2 092) 的调查对象得分为0 分,表明其检测意向不明; 26. 3% ( 551 /2 092) 的调查对象得分为[- 2,0) ,表明其没有HIV检测意向。

2. 3 艾滋病抗体检测现状见表2。

注: ( ) 内数字为构成比/% 。

注: ( ) 内数字为构成比/% ; 部分数据有缺失值。

调查对象的艾滋病抗体检测率为2. 4% ( 52 /2 182) ,拒绝回答者占3. 5% ( 76 /2 182 ) 。按调查对象的人口学特征进行分层,用 χ2检验分析各层之间的艾滋病抗体检测情况,结果发现,调查对象在有无男女朋友、从业工作、教育程度等因素上检测率差异均有统计学意义( P值均< 0. 05) 。但在城乡、不同性别、家庭住址和居住场所等因素上差异均无统计学意义( P值均> 0. 05) 。

3 讨论

城乡流动青少年存在感染艾滋病的危险行为［5］,这使得该人群被界定为艾滋病传播中的重点人群和脆弱人群［6］。艾滋病抗体检测可以帮助感染者早发现早治疗,延缓发病,减少艾滋病的进一步传播。但本研究结果显示,仅59. 9% 的流动青少年具有艾滋病抗体检测意向。检测意向是检测行为的重要预测因子,因此若要提高流动青少年艾滋病抗体检测率,就需要通过多种措施提高其检测意向。Vermund等［4］指出,对艾滋病风险行为缺少认知是人们积极进行艾滋病抗体检测的一大障碍。因此若要提高城乡流动青少年艾滋病抗体检测意向,需要通过多种措施提高他们的风险意识,使其能够正确评估感染艾滋病的风险。

其他人群的相关研究显示,在促进HIV检测的各种因素中,社会工作宣传动员起绝对主导作用。白玥等［7］在妇科门诊就诊者中的调查发现,曾经考虑过进行艾滋病抗体检测者占22. 6% ,未接受检测者中89.2% 的人认为没有必要检测。本研究中调查对象所处城乡两地流动人口所具有的特点,加剧了流动青少年感染艾滋病的风险,因此建议采取适宜措施,加强艾滋病检测相关知识宣传,提高城乡流动青少年的风险意识,从而提高艾滋病抗体检测意向和检测率,减少艾滋病对城乡流动青少年的危害。

本研究结果提示,城乡流动青少年中艾滋病抗体检测率为2. 4% ,与以往相关人群的研究结果相比偏低。常进锋等［8］在城乡流动青少年男男性行为者( men who have sex with men,MSM) 中的调查发现HIV抗体检测率为38. 1% 。邓敏莉等［9］研究发现,使用互联网交友的MSM最近1 a HIV抗体检测率为32. 8% ,其中53. 5% 因担心自己有感染风险而去做检测。刘霞等［10］研究发现,农村居民HIV抗体检测率为11.8% ~ 14. 8% 。白玥等［7］在妇科门诊就诊者中的调查发现,8. 7% 既往接受过检测。提示需要重视城乡流动青少年中艾滋病抗体检测的问题。

检测是一种预防手段,同时也可以认为是一种干预手段［4］。检测的作用不仅是及早发现艾滋病感染者,使其获得适宜的诊疗、关怀支持与帮助,同时还可以提高检测对象的艾滋病防控知识,降低危险行为的发生,减少艾滋病的传播［4］。丁贤彬等［11］研究发现,在MSM人群中,曾进行艾滋病抗体检测者比从未进行过艾滋病抗体检测者的艾滋病知晓率高,不安全性行为低,感染率也较低。因此,通过综合措施扩大检测覆盖面,可以提高城乡流动青少年艾滋病抗体检测率,降低城乡流动青少年感染艾滋病的风险。

综上所述,北京城乡流动青少年具有一定的艾滋病抗体检测意向,但是艾滋病抗体检测率偏低,提示应采取适当措施,制定可行的艾滋病抗体检测策略,扩大检测覆盖面,减少流动青少年感染和传播艾滋病的风险。

摘要：目的 了解北京城乡流动青少年艾滋病抗体检测意向及检测行为,为制定艾滋病防控策略提供依据。方法以北京市海淀区和顺义区疾病预防控制中心健康体检中心为调查地点,对前来进行从业人员健康证体检的16~24岁流动青少年进行匿名问卷调查,采用Epi Data 3.0建立数据库并进行逻辑检错和双录入,采用SPSS 20.0对数据进行统计分析。结果 共收集2 182份问卷,有艾滋病检测意向者占59.9%(1 252/2 092),无检测意向者占26.3%(551/2 092)。调查对象艾滋病抗体检测率为2.4%(52/2 182),检测率在教育程度、从事职业、有无男女朋友等因素上差异有统计学意义(χ2值分别为24.400,17.495,12.418,P值均<0.05),在城乡、性别、家庭住址和居住场所等因素之间差异均无统计学意义(P值均>0.05)。结论 北京城乡流动青少年中艾滋病抗体检测率低,检测意向不高。需要加强宣传教育,采取适宜措施,提高检测意向,扩大检测覆盖面。

行为学检测 篇10

由于硬件设备的制约,群体行为的自动化分析在近几年才开慢慢得到重视,在此之前,很多研究者投入了大量时间和精力对个体行为的识别和暴力检测问题进行了研究,并得到了许多经典的算法[1,2]。但是,群体行为的识别与检测更加复杂,其主要有以下三个原因:①传统的基于人体关键点的轨迹跟踪算法[3]在人群密度较高时,不能有效地获得每个个体的关键点。同时,对高密度人群进行跟踪本身在计算机视觉领域就是一个极其困难的问题。②传统的动作特征描述子不能有效表征人群运动的特征。群体行为不仅包含了整个人群的运动,还包括其中的个体与个体之间的交互。③现有特征描述子无法做到实时或准实时要求,一些经典特征如Mo SIFT特征,虽然得到了较好的检测结果,但是其提取速度十分缓慢,无法投入到实际生产环境中。从上述分析可以看出,目前缺少一种能够高效,且能实时或准实时对暴力群体行为进行检测的算法。

面对这一难题,本文提出了一套基于深度学习思想的暴力群体行为检测算法,将深度学习中常见的卷积(convolution),级联(stack)思想运用到群体行为特征的提取和量化上,从而使得到的特征能够更好的表征人群复杂的变化行为。该方法在Crowd Violence dataset上达到了91.01%的准确率,处理速度可达到17毫秒每帧,优于在该数据集上的其他算法。

1 改进的级联Fisher编码

1.1 Fisher编码原理

Fisher编码[4]已经被广泛运用在了计算机图形学领域,在大规模图像分类问题上,通过与不同时空局部特征结合运用,已经取得了十分突出的结果。Fisher编码的基本原则是其假设局部特征描述子能够通过一个概率密度函数p(·;θ)来进行建模。通常选取高斯混合模型(GMM)作为概率密度函数,则经过Fisher编码的特征向量本质上便是似然函数的梯度向量。令X={xt,t-1,…,T}表示了从视频片段中提取获得的局部特征集合,选择为K个高斯混合模型,其中λ={ωi,μi,∑i,i=1,…,K}表示第i个高斯混合模型的权重,均值向量和协方差矩阵。假设各个xt分别由uλ独立生成,那么X可以由等式(1)中似然函数的梯度向量进行表征:

令γt(i)为特征xt是由第i个高斯分布生成的概率:

则Gλx的梯度可以表示为向量gμX,i和gXσ,i的级联,其中,GμX,i是关于均值μi的D维梯度向量,gXσ,i是关于标准差σi的梯度向量,分别可由公式(3)和公式(4)得到:

令D为每个局部特征描述子的维度,假设给定词汇大小为N,则经过Fisher编码后将会得到一个(2×D+1)×N-1维的量化向量。

1.2 改进的级联Fisher编码实现

传统单层Fisher编码不能捕捉到一些复杂的全局结构特征,为了使局部特征描述子能够更加全面,涵盖更丰富的语义信息。文献[5]提出了级联Fisher编码的思想,根据其思想,本文在局部特征聚合时进行改进,由于原算法的子空间聚类复杂且耗时,本文提出基于max-pooling的级联Fisher编码算法,算法的训练和待检特征量化工作流程如图1所示。

直接从视频中提取的到的局部特征,一般属于低级语音,特征向量中常常仍然含有一定的冗余信息。令X=[X1,X2,…,XN]∈Rd×N表示N个输入的局部特征,每个特征的维数为d。为了满足混合高斯模型的对角协方差假设,在进行第一层Fisher编码前,先进行一次PCA+whitening操作。完成该步骤后,对特征进行第一层Fisher编码,通过训练得到K1个混合高斯模型,并对所有输入特征用该GMM进行编码得到第一层Fisher编码的输出向量,每个输出向量的维数为2×K1×d。在得到第一层输出向量后,需要对这些输出向量进行聚合,文献[5]的子空间聚合方法,本文采用基于max-pooling的聚合方法。令第一次输出的经过Fisher编码的特征向量为P∈Rk×N,max-pooling函数定义如公式(5):

其中,βi为β的第i个元素,Pij为矩阵P的第(i,j)个元素。对于每一个视频块,本文进行一次组分max-pooling,将每个块内的特征分为M组,对每组内的特征进行独立的max-pooling,之后进行再进行正规化。由于Fisher编码的特点,经过max-pooling的聚合向量仍然有很高的维度,需要降维来减少计算量,与第一层Fisher编码时一样,首先用PCA+Whitening对聚合向量进行降维和白化,通过训练得到K2个高斯混合模型,重复和第一层同样的操作得到第二层的Fisher编码的输出向量。对于每一个视频块,进一步在块层面进行max-pooling得到每个块的聚合向量。将所有块的聚合向量级联起来并进行降维和正规化,则得到了每一个视频对应的特征向量。

与Bo W模型以及单层Fisher编码不同,级联Fisher编码由于使用了max-pooling的方法,在每层的特征聚合时进行增强,保留了一组特征中最具代表性的部分,从而使得两层之后获得的特征更加具有区分度,又由于Fisher编码本身的特点,获得的特征中包含了全局的统计信息,使经过级联Fisher编码后的特征鲁棒性更强。将经过级联Fisher编码得到的特征作为输入,即可运用SVM进行暴力群体行为分类检测。

2 暴力群体行为检测算法框架

图2展示了本文提出算法的完整框架,在本文的框架中,主要分为三个步骤:首先从视频中提取得到SC-ISA特征,该特征同样通过深度学习思想得到,具有提取速度快,动作表征好的优势;接着将SC-ISA特征作为输入,进行级联Fisher编码;最后,将量化后的特征用于SVM的训练和分类。

本文提出的算法的详细流程为:

①视频预处理。对于不同的输入样本,存在着不同的分辨率以及不同的视频格式等问题,在进入后续检测分类流程钱,首先要对输入视频样本进行预处理,将样本的分辨率统一转换成320×240大小,并将视频格式转换成AVI格式。

②SC-ISA特征提取。文献[6]提出了SC-ISA特征,该特征最早被用于个人的动作识别。与级联Fisher编码相同,SC-ISA也是一个两层训练得到的特征。首先对视频进行分块,第一层视频块大小为16×16×10,第二层的大小为20×20×14,且每一层的步长均为4像素。对于第一层,首先通过一些小的视频块作为输入,学习得到特征的网络。然后,运用学习得到的网络与输入的更大规模的视频块进行卷积,将这些卷积得到的结果结合到一起作降维和白化处理,得到第二层的输入,重复上述步骤,即可得到SC-ISA特征。第一层得到的特征维数为300维,第二层得到的最终特征维数为200维。

③SFV特征量化。根据1中SFV算法,本文将得到的SFV特征进行量化。在对于第一层GMM模型,我们选择256个分量进行学习,根据公式(3)和公式(4)得到每个特征进行Fisher编码后的向量。对第一层Fisher编码得到的特征向量进行组分max-pooling,本文将每个块中,每10个向量作为一组,进行特征聚合和正规化。第一层得到的特征向量维数为106数量级,进一步进行PCA和白化,将其降至400维作为第二次Fisher编码的输入,重复与第一层同样的过程,第二层的GMM模型分量仍然选为256,对第二层得到的特征再一次进行块层面的max-pooling,并对每一个块级聚合向量进行级联,最后进行特征降维,得到一个500维的特征。

④SVM训练与分类检测。由SFV得到量化后的运动特征,即可对这些特征进行训练,本文采用了LIBSVM[7],对于输入的训练样本,使用SVM进行训练,在训练得到SVM模型后即可用于视频分类检测。对于待检测的视频,参照第①,②步提取SC-ISA特征并进行量化,运用LIBSVM训练得到的SVM模型进行分类检测,即可得到待检测视频的检测结果。

3 仿真实验与分析

3.1 仿真环境说明

文献[8]提出的Crowd Violence dataset(www.openu.ac.il/home/hassner/data/violentflows/)是当今公认的具有较高挑战性的群体行为检测公共样本库,该样本库为不同的群体行为检测算法提供了良好的实验平台。该样本库包含了从You Tube上收集获得的246段视频,其中作为正负样本的视频片段各为123段,视频的分辨率均为320×240。在样本库中,视频样本的平均长度约为3.60秒,并且包含了许多不同类型的场景类型,视频质量和监控场景。所有的这些视频,被平均分成5个小组,用于进行交叉验证。

本文所有实验均在MATLAB2014上完成,SC-ISA特征提取采用文献[6]中算法,附加用到了libsvm的MATLAB源程序。本文选用了权威的准确率(Racc),查全率(Rr),查准率(Rp)以及F-measure作为实验结果的评估标准,定义如下:

式中,P代表正样本总数,N代表负样本总数,TP代表将正样本判定为正样本的视频数目,TN代表将负样本判定为负样本的视频数目,FP代表将负样本判定为正样本的视频数目。

3.2 仿真结果分析

本部分实验使用Crowd Violence样本库进行自身算法的验证性实验,主要目的为了检验算法的可行性。本文从样本库实现分好的五个小组中,每次选择一个小组的样本作为训练集,进行SC-ISA的网络训练和级联Fisher编码的GMM模型训练,剩下的四组作为组成测试集,重复五次得到5个结果,进行加权平均得到一次样本集的实验结果,反复进行10次实验。表1所示为仿真实验的结果。

从表1中可以看出,本算法对于暴力群体行为检测效果较。准确率达到了91.01%,查全率和查准率分别达到了94.31%和88.55%,大部分的暴力视频都被准确检测出,少部分的正常视频被归结为暴力群体行为,F-measure达到91.34%,算法能够对群体暴力行为进行检测。

本文和在同一样本集得到优秀结果的其他检测算法进行了对比。对比对象主要包括文献[8]提出的基于Vi F特征描述子的检测算法,该算法正是由Crowd Violence样本库的作者提出的,十分具有对比意义;本文算法的另一个对比算法由文献[9]提出的基于Mosift和稀疏编码的检测算法,该算法在Crowd Violence样本库上取得了当前最好的实验结果,十分具有挑战性。表2所示为准确率对比实验的结果。

由表2中的本文算法与文献[8]给出的实验结果对比可知,本文提出的算法在对暴力群体行为检测的准确率上提高9.71%,AUC提高10.04%,但标准差与文献[8]比略大。由表2中的本文算法与文献[9]给出的实验结果对比可知,本文提出的算法在准确率上进一步提高1.96%,AUC提高1.47%,标准差降低0.18%,在总体问题行差别不大的情况下,比文献[9]的算法在暴力群体行为检测上有更优秀的表现。

本文提出的算法在提取暴力群体行为特征时速度为17ms每帧,处理速度较快,基本达到了实时和准实时要求,能够运用在常规的群体行为检测系统中。

综上所述可以看出,本算法在保持算法准确率的同时,进一步提升了算法框架在检测暴力群体行为时的速度,具有更快速的响应时间,总体性能良好。

4 结束语

本文提出一种基于深度学习思想的暴力群体行为检测算法,提出了基于max-pooling局部特征聚合的级联Fisher编码的方法来提升特征量化后的效果,并将SC-ISA特征运用到了暴力群体行为检测问题上来提升算法的检测效果。

大量仿真和对比实验证明,该算法框架对于暴力群体行为检测这一问题有着较高的准确率和较快的处理速度,能够运用到实时或准实时系统中,帮助监控摄像头工作人员进行自动化辅助分析。在下一步中将继续研究暴力群体行为的多分类问题。

摘要：提出一种基于深度学习思想的暴力群体行为检测算法。该算法分为三个阶段,第一阶段提取一种被称为SC-ISA的时空不变性特征;在第二阶段,运用max-pooling方法与Stacked Fisher Vector Coding(SFV)结合进行特征量化;在第三阶段,运用SVM分类算法对视频进行分类检测。该算法在Crowd Violence dataset上进行了仿真实验,视频测试结果表明,其准确性和检测速度都优于对比算法。

关键词：暴力人群行为检测,局部特征描述子,时空不变性特征,Fisher向量编码

参考文献

[1]Kantorov V,Laptev I.Efficient Feature Extraction,Encoding,and Classification for Action Recognition[C].Computer Vision and Pattern Recognition(CVPR),2014 IEEE Conference on IEEE,2014:2593-2600.

[2]Yu G,Yuan J,Liu Z.Propagative Hough Voting for Human Activity Detection and Recognition[J].Circuits&Systems for Video Technology IEEE Transactions on,2015,25(1):87-98.

[3]Wang H,Klser A,Schmid C,et al.Dense Trajectories and Motion Boundary Descriptors for Action Recognition[J].International Journal of Computer Vision,2013,103(1):60-79.

[4]Perronnin F,Dance C.Fisher kenrels on visual vocabularies for image categorization[C].Computer Vision and Pattern Recognition(CVPR),2006 IEEE Conference on IEEE,2006:1-6.

[5]Peng X,Zou C,Qiao Y,et al.Action Recognition with Stacked Fisher Vectors[M].Computer Vision-ECCV 2014 Springer International Publishing,2014:581-595.

[6]Le Q V,Zou W Y,Yeung S Y,et al.Learning hierarchical invariant spatio-temporal features for action recognition with independent subspace analysis[C].IEEE Conference on Computer Vision&Pattern Recognition IEEE Computer Society,2011:3361-3368.

[7]Chang C C,Lin C J.LIBSVM:a Library for Support Vector Machines[J].Acm Transactions on Intelligent Systems&Technology,2006,2(3):389-396.

[8]Hassner T,Itcher Y,Kliper-Gross O.Violent flows:Real-time detection of violent crowd behavior[C].Computer Vision and Pattern Recognition Workshops(CVPRW),2012 IEEE Computer Society Conference on IEEE,2012:1-6.