移动入侵检测系统设计

移动入侵检测系统设计（共9篇）

移动入侵检测系统设计 篇1

一、引言

互联网飞速发展的今天,入侵检测技术受到广泛的关注。入侵检测是监视系统中违背系统安全策略行为的过程,入侵检测系统原型可以规范地划分为三个功能模块:采集器,分析器和管理器模块。

I D W G提出的一种比较通用的入侵检测模型,如图1所示。IDWG还对这些功能模块之间交互的消息和数据流进行了规范定义。

采集器从数据源中收集、跟踪、发掘相关信息;分析器对传感引擎提炼出的数据进行分析,过滤,目的在于发现正在进行的入侵行为或潜在的入侵行为,产生高级别安全警报;管理器负责关联这些告警信息的以及后续处理,并承担所有入侵检测进程接口的管理。

二、IDWG IDS模型的改进

IDWG IDS模型存在模块之间缺乏交互的缺陷,本文所提出的移动入侵检测系统模型在IDWG IDS模型的基础上,加上了模块之间新的交互。如下图2所示。

管理器发给分析器管理查询消息,分析器将查询结果发送到管理器,并等候进一步指示。当分析器对采集器所收集到的监视跟踪事件与数据进行修整,筛选,统一格式等操作。

三、移动入侵检测系统功能模块设计

本文的移动入侵检测系统结构的设计符合上图2改进的IDS模型,其系统结构中主要功能模块设计如图3所示。

1. 原始数据。

原始数据可以是基于主机的的数据源,基于网络数据源,基于报警信息源。常见的基于主机的数据源有操作系统审计记录、系统日志、用户击键、和特权程序系统调用。

(1)操作系统审计记录。操作系统审计记录是由专门的审计子系统产生的系统事件记录,它们是系统活动的信息集合,以事件发生的时间顺序记录,组织为一个或多个审计文件。

(2)系统日志。系统日志是系统和应用程序事件记录,通常是系统程序写的文本文件,操作系统通常提供多个工具记录系统发生的事件。

(3)用户击键。用户击键就是用户使用键盘的习惯,它在一定程度上反映了用户的行为、用户的工作内容等。

(4)特权程序系统调用。特权程序通常是攻击的重点目标。特权进程可访问的系统资源多,影响范围广,它甚至可以绕过内核的安全审核机制而访问系统资源,导致特权程序对系统的安全威胁大。

网络中所有可管理对象的集合——管理信息库(MIB),也是采集原始数据的重要来源。

2. 采集器。

系统的数据采集构件,主要是收集入侵检测中需使用的各种数据,并将数据转化为标准格式传送给I D S引擎处理。采集的数据既可以是网络中的原始数据包,也可以是来自主机的各种原始数据。

这里的移动入侵检测系统的数据采集器由攻击特征信息库,数据归类整理部件与数据统一求精部件构成。如下图4为采集器功能模块图。

数据归类整理部件负责收集原始数据,并对数据作归类整理,比如把数据分成系统级的原始数据,并且依据攻击特征信息库把数据整理成事件数据。

数据统一求精部件负责去除冗余事件,并依据攻击特征信息库将求精后事件其抽象为入侵检测系统的标准数据格式。

3. IDS引擎。

IDS引擎包括管理控制台、事件检测分析器和入侵检测响应器。提供用户和其它构件的管理接口,根据Sensor收集到的数据,对数据进行检测分析,产生检测结果等。如下图5为IDS引擎功能模块图。

事件检测分析器建立相关事件信息,关联已知攻击证据,分析确定该事件是否为入侵行为的事件。

管理控制台对本地系统的采集器,事件分析器,入侵检测响应器以及移动Agent等各部件进行控制和管理,负责根据不同的入侵事件配置相应的入侵响应策略。

入侵检测响应部件负责确认入侵行为采取相应措施,如断开人侵者与系统的连接,甚至自动关闭系统与外部网络的连接,采取反攻击策略等。

4. 移动代理系统。

移动A g e n t系统(Mobile Agent System)用于给移动Agent提供运行环境。每种代理都是独立的软件实体,只执行特定的功能,且可自主的在移动自组网内移动。

监测代理:监测代理被分成网络数据包监测代理,用来监控用户行为和系统级行为。

决策代理:是I D S移动代理的管理中心,负责网络内所有移动Agent的派发、启动和停止,对入侵威胁做出判断。

响应代理:负责对主机与网络的入侵情况做出响应,执行相应的入侵处理操作,并与其他代理协同工作。

探测代理:对群内节点的事件告警进行复查,避免局部的误报、错报影响整个子群甚至全网的检测。

四、结束语

入侵检测是监视系统中违背系统安全策略行为的过程,本文对IDWG IDS模型做了改进,增加了采集器,分析器和管理器模块之间的交互。最后根据改进的模型设计了移动入侵检测系统,并对系统的各个功能模块做了定义。

参考文献

况晓辉胡华平吕世辉:移动Ad-hoc网络安全.小型微型计算机系统,2007

移动入侵检测系统设计 篇2

【摘 要】结合地铁场景的需求特点，论证指出运营商共建移动通信系统的必要性和可行性，并重点就共建设计的2个关键难点问题展开详细分析，最后给出了建议解决方案。

【关键词】地铁 移动通信 共建引言

2009年国务院批复22个大中城市投资高达8 800余亿元地铁建设规划，随着规划地铁陆续开建和运营，地铁将成为大中城市主力公共交通工具。

地铁主要运行于地下，地面无线电波难以有效穿透覆盖，因此地铁场景需进行专项网络覆盖建设。由于建设成本高昂、可用空间等资源稀缺及共建共享推进政策要求，新建地铁中普遍采用民用移动通信系统多运营商共建（以下简称地铁共建）方式。下面将就地铁共建方案设计中需关注的关键难点问题进行分析。地铁建筑结构特点

地铁建筑结构包括2个主要部分：列车隧道和候车站厅/站台。列车隧道是长方体形封闭区间，一般长十几公里到几十公里、宽4m左右。候车站厅/站台一般为二/三层结构：候车站厅为购票场所，位于地下一层，与出入口相连，面积较大；候车站台为候车场所，位于地下二层或换乘站的地下三层，站台一般长100m至200m、宽20m左右，两边为列车隧道，空间开阔。

地铁建筑结构如图1所示。地铁移动通信系统共建的必要性和可

行性

随着我国移动通信进入4G（LTE）时代，新建地铁提供4G覆盖已成为基本选项。根据工信部频谱和牌照许可，目前运营商所获主要频谱概况如表1所示。

由此可见，各运营商在4G时代均需满足2G/3G/4G多网络需求、兼容FDD和TDD多制式、提供800MHz―2.6GHz区间多频段覆盖能力[1]。

由于技术趋同，运营商在地铁场景中覆盖需求也基本一致，运营商共建方案因满足共建网络技术要求投入的成本远小于因共建分摊而节约的成本，且共建大幅减少对地铁公司公共资源占用，可进一步节约网络建设和运营成本。

此外，2014年7月由中国移动、中国联通和中国电信共同出资设立中国铁塔股份有限公司，主营铁塔建设、维护和运营，兼营基站机房、电源、空调配套设施和室内分布系统的建设、维护、运营及基站设备的维护。预期今后运营商地铁共建工作将转交“铁塔公司”统筹推进，以往运营商共建时面临的运营商间沟通低效率、采购建设维护模式不一致、成本分摊协商难等管理难题将得到明显改善，不再成为阻碍运营商共建推进的主要制约因素[2]。因此，地铁移动通信系统共建技术可实现成本有节约、机制能保障，既必要又可行！地铁共建方案设计技术要点

地铁除出入口外，其它区域与室外隔离好，不受外部信号干扰。站厅/站台较空旷，电波传播接近自由空间模式，损耗较小。地铁内人流密集且流动性大，对语音和数据业务都有很大的需求，尤其是上下班高峰期话务量剧增。

相应地，地铁共建设计需关注如下技术要点：

（1）地铁站厅/站台主要采用分布系统建设覆盖方式，以天花板安装全频段吸顶全向天线覆盖为主。方案设计需特别关注站厅出入口与地面大网的协同效应（重点是干扰控制和切换设置）、地铁站台与经停列车之间的切换关系等。

（2）地铁列车沿狭长隧道行驶时车体对于信号阻挡严重，通常采用支持多频段的泄漏电缆覆盖方案，保障隧道内场强分布均匀，并需重点考虑隧道内切换带设置。

（3）地铁共建控制系统间干扰为设计重点和难点。地铁（尤其是隧道内）安装空间有限，一般通过定制POI（Point Of Interface，多系统合路平台）、隧道内泄漏电缆收/发分缆、选用符合特定隔离度和互调指标要求的高品质无源器件等方式控制干扰[3]。

（4）地铁作为骨干公共交通工具，投入运营后无法预留足够时间用于民用通信系统网络建设和改造，运营期只有深夜短时间可用于设备检修维护。故要求地铁通信系统共建设计满足建设实施一步到位，检修维护需求高的设备尽量在站台机房安装，隧道内安装设备需满足快速检修维护要求。

（5）地铁覆盖场景容量需求大，通常选取BBU+

RRU等主设备作为信号源[4]，适当预留扩容需求。地铁共建方案设计难点

地铁共建设计技术要点均可在详细设计中提供较成熟的实施方案，但为保障共建设计方案整体合理有效，还需解决以下2个关键难点：

（1）统筹兼顾运营商需求，合理设定共建目标。

（2）共建设计与地铁总体设计高效衔接，保障实施。

5.1 地铁移动通信系统共建构成

地铁移动通信系统共建由于运营商间制式、频段、覆盖、容量方面存在特定细节差异，需要统筹考虑各运营商需求，求同容异，合理设定整体共建目标。

地铁移动通信系统共建构成如图2所示：

图2 地铁移动通信系统共建构成简图

结合共建构成简图分析如下：

（1）核心网、无线BSC/RNC、网管/监控一般由运营商独立建设，不在地铁内设置，但其接入地铁内的传输线路需共建设计确定路由。

（2）考虑运营商灵活配置容量需求，主设备信源一般由运营商独立建设并配置容量；考虑传输网组网要求，和大网直接相连的传输接入设备一般也由运营商独立配置。但主设备信源、传输接入设备安装位置、供电要求、走线路由等由共建设计确定。

（3）机房/隧道安装位置和空间、天线安装点位、漏缆敷设位置、外配电容量、接地及管孔、桥架、走道等走线路由等需使用地铁方公共配套设施资源的，共建设计中统筹明确需求方案，由地铁方配合提供。

（4）机房/隧道内电源设施、ODF/DDF、走线架、接地系统等配套设施、POI、干线分布系统、站台/站厅分布系统、隧道泄漏电缆系统等是共建的关键部分。共建设计方案应统筹考虑，一步到位进行设计。

共建设计中应着重考虑需运营商共建部分，特别注意共建方案中需与地铁方衔接的内容。

5.2 统筹兼顾运营商需求，合理设定共建目标

设定共建目标的重点是在结合各运营商计划建设的移动通信系统制式、频段、覆盖、质量、容量目标基础上整合优化，合理设定共建目标，以确保共建设计方案兼顾运营商需求，有效指导实施。

根据共建原则，信源独立设置可保障容量目标实现的灵活性，因此共建设计重点关注覆盖和质量目标。

根据设计灵活度要求的差异，共建系统的覆盖和质量目标可粗略划分为地铁出入站口的覆盖和质量目标、地铁内系统的覆盖和质量目标。

地铁出入站口设计需重点关注与地面大网协同覆盖和质量要求。由于各运营商地面网络可优化调整空间大于地铁内通信系统，因此协同覆盖和质量目标实现主要依赖于各运营商通过大网优化调整方式保障，地铁共建方案制定需特别关注不同运营商对于出入站口信号场强、切换设置、频点选择、干扰控制等方面的个性化需求，为运营商建设、维护和优化调整预留合理的灵活调整空间。

对于地铁内系统，由于建设完成后优化调整实施难度大，宜按一步到位的要求，详细设定不同区域（尤其是地铁内站台/站厅、隧道等关键区域）的覆盖频段、制式、LTE单/双流要求、边缘场强、切换设置、干扰控制等关键目标和设计原则，以保障后续设计方案实施的有效性。

另外，由于地铁站台/站厅为人群活动频繁的区域，分布系统天线口输出功率应符合国家标准“环境电磁波卫生标准”一级安全区的要求[5]。考虑电磁辐射要求，并适当预留载波扩容空间，站台/站厅室内天线入口设计总功率上限宜不高于15dBm。在满足辐射限制的前提下，运营商各频段、不同制式系统的天线出口功率取值应考虑制式、频段、传播损耗、馈线损耗差异对覆盖范围的影响，合理设定天线入口设计功率，保障不同系统覆盖范围基本一致，以确保共建系统整体覆盖效果。

5.3 共建设计与地铁总体设计高效衔接，保障实施

由于地铁工程的特殊性，地铁移动通信系统共建实施运行必须确保地铁运行安全，因此共建设计需根据地铁总体设计方案优化，以确保节约成本、有效实施。

为保障与地铁总体设计和实施高效衔接，在地铁民用移动通信系统共建设计方案初步完成后，应重点关注与地铁建筑专业、管线综合专业、限界专业等众多地铁基础设施专业的初步设计方案衔接。移动通信系统共建设计应根据对地铁基础设施专业方案衔接要求合理优化，及时提交对建筑专业、管线综合专业、限界专业等资源预留和配合需求（简称“提资”），以确保地铁各公共基础设施专业施工图设计阶段能充分考虑移动通信系统共建实施要求。

由于地铁建筑结构、限界、管线等专业设计、建设刚性约束较大，施工图设计确定后变更的成本大、难度高，因此“提资”的合理性、完备性、准确性要求非常高，是移动通信系统共建设计应特别关注的环节。

共建设计“提资”环节需重点关注与以下专业间衔接内容：

（1）向建筑专业提资

通信机房面积要求：建议不小于60m2，资源紧张的情况下不宜小于55m2，以保障共建设备安装、扩容和维护要求。

隧道区的中板开孔和设备区、公共区等墙体开孔要求：中板、墙体开孔主要是为了给通信机房电力电缆、光缆引出提供路由通道，开孔位置、数量、孔径应符合共建实施要求。

走廊过道的镀锌钢管的敷设路由：在设备区的走廊过道使用镀锌钢管连通时，管径需符合共建实施要求。

（2）向限界专业提资

限界是保障地铁安全运行、限制车辆断面尺寸、限制沿线设备安装尺寸、确定建筑结构有效尺寸的图形，其中设备限界是用于限制安装设备不得侵入的控制线。

共建设计需向限界专业提供隧道区间设备的安装位置、需安装设备区范围、托臂高度等，应确保相应设备安装和维护符合地铁限界要求，不得影响地铁运行安全。

（3）向管线综合专业提资

共建设计向管线综合专业的提资重点是明确地面线路的光缆引入和GPS馈线由出入口经公共区至通信机房所需路由。由于地铁建设实施中常有部分出入口不能在地铁运营前全部完工的情况，提资时应要求每个出入口均预留通信电缆井，均有桥架连通至通信机房，以预留设计调整灵活度，避免因选定出入口进度延迟而影响共建实施进度。共建设计提资宜考虑光缆和GPS馈线布放尽量共用通号专业桥架，以有效节约成本。

（4）向电源专业提资

地铁机房施工时通常会统一铺设电力电缆到通信机房，并就近安装地铁交流配电箱。设计提资时应对进线电缆的载流量、设备需求功耗、配电分路等提出相应的需求，避免出现交流配电箱引入总量不够、分路过小而导致无法支撑共建设备安装和扩容需求。

5.4 地铁移动通信系统共建设计实施建议

地铁共建设计需要在确保地铁运行安全的前提下充分利用地铁公共设施，并结合地铁特殊覆盖场景统筹实现各运营商高质量、低成本的个性化建设目标，保障实施一步到位。设计方案制定的复杂度和难度远高于常规移动通信网络设计要求。

为保障共建设计低成本、高效率指导实施，建议由参建运营商（或承建地铁共建实施的铁塔公司）共同选定经验丰富、综合能力和专业技术能力符合要求的独立第三方通信设计单位承接地铁移动通信系统共建设计。由通信专业设计单位在地铁总体设计约束条件下开展移动通信系统共建专业设计工作，以确保设计方案符合各运营商对地铁内系统覆盖、容量、质量需求及其与地面网络间的协同要求，并尽可能地共用地铁公共设施、共建通信基础设施、设备和布线系统，以充分节约总体网络建设和维护成本。结束语

国内大中城市地铁陆续建成并投入运营，成本因素和政策要求使得地铁移动通信系统共建成为优选方案。随着4G时代技术发展和“铁塔公司”预期承接，地铁移动通信系统共建的技术难题和协调困局必将得到有效改善，共建有望更好推进实施。

地铁移动通信系统共建设计的关键难点在于整合优化设定多运营商共建目标并低成本实现，共建设计与地铁总体设计有机结合，高效衔接实现共赢。根据目前国内地铁建设实施的实际情况，选择专业第三方通信设计单位，在地铁总体设计实施约束条件下有效开展移动通信系统共建专业设计工作是值得推荐的解决方式。

参考文献：

移动入侵检测系统设计 篇3

智能视频监控系统, 是实现监控场景中的运动目标检测的监控系统, 通过对摄像机或传感器采集来的视频图像进行自动智能的分析和处理来实现[1,2,3]。在传统视频监控系统中, 存在及时性差和效率低的问题, 而这些问题都是由于人为因素造成的, 所以, 智能视频监控系统的产生, 很好解决了以上问题的发生。

1 系统总体设计

智能视频监控系统主要功能:视频数据采集——数据处理——画面显示——存储——异常情况报警——远程数据传输。在智能视频监控系统中, 本文所研究的视频监控移动目标检测系统只是其中一部分, 要求能实现视频数据采集、图像数据处理、实时结果显示等功能。系统的总体结构 (图1) 。

2 系统硬件设计

2.1 系统硬件构成

系统开发平台:Altera DE2;系统核心处理芯片:CycloneⅡEP2C35F672C6, 用于实现视频图像的实时采集及目标检测与跟踪, 系统硬件构成框图 (图2) 。

(1) 系统通过ADV7181B将摄像机输出的视频信号解码成ITU-R BT.656标准的YCb Cr4:2:2格式的数字视频信号;

(2) 存储时, 需通过FPGA转换成RGB格式数据, 存入SDRAM图像存储空间;

(3) 图像处理模块由DMA控制器从SDRAM中读取图像送入SRAM并进行处理;

(4) 处理后的数据使用ADV 7123对数字信号进行转换, 转换为模拟视频信号后输出到VGA显示器上, 视频解码芯片由FPGA构建的I2C总线配置模块进行初始化和控制, 系统CPU由NiosⅡ软核下载到FPGA实现, 系统上电后由EPCS16进行引导和配置, 系统主程序储存在FLASH中[4]。

2.2 视频输入及显示模块

由ADV7181B、I2C ADV Config两个模块组成视频输入, CCD摄像机将采集到的PAL制式模拟视频信号, 通过BNC接头输入到ADV7181B视频解码芯片中, 对于输入的模拟视频信号, 该芯片是能够自动识别, 通过内部3个54MHz高速ADC完成A/D变换, 输出标准的数字信号, 系统对ADV 7181B内部寄存器通过I2C ADV Config模块进行相应配置, 使解码输出为8位串行信号, 视频输入部分模块框图 (图3) , ADV7181B电路原理图 (图4) 。

2.3 NiosⅡ系统模块

使用SOPC Builder工具生成NiosⅡ系统模块, 包括32位嵌入式软核处理器NiosⅡ/s, 产生50/100MHz时钟信号的PLL锁相环, 存放中断向量的On-Chip Memory, 系统程序存储空间Flash及其Tristate Bridge, CPU处理存储空间SRAM及其Tristate Bridge, 直接存取控制器DMA Controller, 下载及调试接口设备JTAG UART、UART, CPU及μC/OS-Ⅱ操作系统的Interval Timer间隔定时器, System ID外设识别符等标准外设, 以及其它自定制逻辑模块, 包括使NiosⅡ能控制视频输入及显示模块、能在SDRAM中读写数据的CCD Controller外设逻辑等。完成的SOPC工程 (图5) , NiosⅡ处理器设置 (图6) 。

2.4 图像处理模块

模块利用QuartusⅡ的Mega Wizard Plug-In Manager工具, 使用Altera提供的LPM库的IP功能模块生成:Gray部分由1个PARALLEL_ADD多路加法模块、3个LPM_MULT乘法模块组成;Threshold部分由LPM_ABS绝对值模块、LPM_COMPARE比较模块组成, 用于实现移动目标提取。图像处理模块完成了移动目标检测的初步操作, 移动目标参数的计算由NiosⅡ通过C/C++算法来完成, PARALLEL_ADD模块设置 (图7) , 图像处理模块框图 (图8) 。

3 检测算法流程

移动目标检测算法:要求从采集的视频序列帧中检测出场景中出现的运动目标, 采集视频图像场景为静止背景, 该系统能够检测出单个或多个移动目标。具体分为以下三个阶段:

第一, 图像预处理:灰度图像转换, 采集图像滤波;

第二, 基于累积差分更新背景减除法:包括背景模型建立与更新, 移动目标提取;

第三, 检测后处理:形态学滤波, 连通分量分析。[5,6]。

4 实验结果分析

对本系统移动目标检测算法, 我们采集一段视频图像进行功能仿真, VGA 640×480像素30帧/秒, 其仿真情况 (图10) 。

图10-1为当前采集的第120帧图像;图10-2为转换为灰度图像;图1100--33为进行滤波后;

图1100--44为当前背景模型。通过上图仿真可看出, 图10-4背景模型较好地消除车辆进入场景留下的痕迹, 可以清楚看到场景区域树叶被风吹动产生的干扰。

5 结语

系统的核心处理芯片采用由Altera公司开发的Cyclone II EP2C35, 设计了一种基于视频监测移动目标检测系统。因为本系统的主要目的是对图像实时采集和移动目标检测, 所以, 对计算机算法的复杂度的要求不高, 并进行相应整改。背景减除法使用在累积差分更新法建立的背景模型中, 可更好适应场景的变化。针对静止的背景, 该系统能够实时有效地进行图像采集与移动目标进行检测。

参考文献

[1]郝菲.智能视频监控系统中运动目标检测与跟踪的研究[D].北京:北京交通大学, 2009.

[2]Collins R, Lipton A, Kanade T.Introduction to the SpecialSection on Video Surveil-lance[J].IEEE Transactions onPattern Analysis and Machine Intelligence, 2000, 22 (8) :745-746.

[3]Valera M, Velastin S.Intelligent Distributed SurveillanceSystems:A Review[C].Proceed-ings of IEEE Conference onVision Image and Signal Processing, 2005, 152 (2) :192-204.

[4]李月静, 谢维成, 石一兴, 等.基于SOPC的实时运动目标检测与跟踪系统[J].重庆理工大学学报 (自然科学) , 2011.

[5]洪子泉, 杨静宇.用于图像识别的图像代数特征抽取[J].自动化学报, 1992, 18 (2) :233-238.

移动入侵检测系统设计 篇4

将网络入侵检测系统装在被保护的计算机网络中，将原始网络报文作为数据源对入侵对象进行分析。在网络入侵检测系统的设计当中，对于所有通过网络传输数据的实时监控与分析通常采用一个网络适配器即可;对于数据采集模块的设计，需要配备有过滤器、探测器、网络接口引擎等元器件。数据采集模块主要实现的功能是，按照一定网络协议从网络上获取与入侵事件有关的全部数据信息，获取后将其传送至入侵检测系统分析引擎模块，对其安全性进行详细全面的分析，以判断其是否存在攻击性。入侵分析引擎模块的主要功能是，结合计算机网络安全数据库，对从数据采集模块传送来的.数据信息进行安全分析，并将分析结果传送至配置与管理模块。配置与管理模块实现的主要功能是，对其他功能模块的配置工作进行管理，并将从入侵分析引擎模块传送来的安全分析结果以有效的方式向网络管理员告知，从而为网络管理员及时做出入侵应对措施提供依据和支持。当网络入侵系统检测到攻击时，相应的功能模块会立刻以报警、广播、中断连接等方式来对入侵者做出反应，向人们发出提示信息。

3.2主机入侵检测系统的设计

主机入侵检测系统的数据源通常包括应用程序日志、系统日志等。其入侵检测功能的实现主要是通过对这些审计记录文件所记录的内容与攻击内容进行匹配。若不匹配说明该入侵对象不具有攻击性，若匹配则入侵检测系统及时向网络管理员发出警报，同时做出相应的保护行为。审计数据记录的是系统用户行为信息，在系统运行过程中必须要保证其不会被修改或泄露。然而当系统遭受攻击时，这些数据很可能发生修改或泄露，因此主机入侵检测系统的设计必须要具备一项功能，即检测系统在完全被攻击者控制之前，完成对审计数据的分析，并及时发出警报采取一定防护手段。主机入侵检测系统具有精确判断入侵事件、针对不同操作系统的特点准确判断出计算机网络应用层的入侵事件等优点。

4总结

总之，在计算机网络安全问题的处理过程中，入侵检测系统的研究与设计是非常关键的一个环节。一个性能良好的入侵检测系统可以有效弥补防火墙存在的不足，可以为计算机网络的安全提供可靠的保障，是现代网络安全措施中一种较为有效的防护技术。虽然，现阶段入侵检测技术仍处于发展阶段，但随着社会各界对计算机网络入侵检测系统设计的越来越高度重视，入侵检测系统的应用范围和检测性能必将会上升到一个新的台阶。

参考文献

[1]唐静.计算机网络安全中入侵检测系统的研究[J].网络安全技术与应用，，08：21~22.

[2]库宇.高速网络入侵检测系统的研究与设计[D].吉林大学，.

[3]郑关胜，李含光.基于动态网络安全模型的入侵检测系统的研究[J].计算机应用，(S1)：160~161+185.

移动入侵检测系统设计 篇5

隧道窑温度检测在砖瓦的生产过程中非常重要, 它不仅关系到产品的质量, 而且对于产品的产量也有直接的影响。由湖北理工学院承接的湖北省青年教师下企业项目“移动式隧道窑远程温度检测系统”主要进行窑内各特定点的温度检测、显示与报警, 同时将现场数据通过无线方式实时传递到远程办公室的计算机上, 实现现场和远程的同时检测。其主体是湖北大冶某烧结砖制品厂的移动式隧道窑。这里主要介绍温度检测系统的设计过程。

2 系统要求

移动式隧道窑特点是砖坯不动窑移动, 窑体沿直径60 m~80 m的环形轨道运行。窑体从前到后分为高、低温干燥段、预热段、焙烧段、保温段、冷却段, 总长约100 m~120 m。在未被窑体占用的环形轨道上, 移动台车承载的制坯机与窑体同向运转, 边制坯边码坯。前端“纳入”砖坯, 后端“吐出”成品砖, 依次完成码坯→干燥→预热→焙烧→保温→冷却→出砖的全过程。与传统的普通隧道窑相比, 砖坯一次码在环形窑底上, 由窑体移动来完成制砖工艺所需要的相对移动, 故不需要窑车及其配套设施了。

本系统要求对隧道窑上分布的20个温度检测点的温度进行采集, 移动式隧道窑温度检测点的分布如图1所示, 窑顶的控制室能对各检测点温度进行检测、显示、报错及查询。其实时检测界面显示20个检测点的温度数值和温度分布柱状图, 可实现历史数据报表和历史曲线的查询、显示, 要求数据保存时间至少半年。另外, 现场要求安装有无线Wi Fi模块, 能将实时采集到的温度数据传到远端的办公室, 办公室通过对现场的实时运行温度及历史数据进行调阅和打印, 实现远程的诊断功能。

3 系统硬件组成

根据以上系统要求, 本系统采用智能测量模块作为温度采集设备, 结合工业级的触摸屏构成交互界面, 同时在现场控制室和远端办公室之间都配有无线Wi Fi模块实现温度的远程检测。系统的结构如图2所示。温度智能测量模块选择研华公司的ADAM4118热电偶采集模块和ADAM4015热电阻采集模块, 它们都具有RS-485的通讯接口, 并且能实现Modbus RTU的通讯协议。触摸屏选择的是昆仑通态公司TPC1062KX型10寸触摸屏, 通过组态能实现与温度测量模块之间的Modbus RTU通讯。无线Wi Fi通讯模块选取的是有人科技公司的USR-Wi Fi-600系列的Wi Fi-串口服务器模块, 它能够将RS-232/485串口转换成TCP/IP网络接口, 实现RS-232/485串口与Wi Fi的数据双向透明传输。

3.1 温度传感器及智能测量模块的选择

按照陶瓷和砖瓦烧结理论应在石英晶体转化及体积膨胀率变化较大的敏感温度部位设置测温点如:110℃~120℃、200℃~220℃、460℃~480℃、550℃~580℃、850℃~870℃、1 000℃~1 050℃等α、β、γ石英转化区间设置测定点, 一般采用分段的方法设置测温点, 将整个烧结过程分成低温干燥、中高温干燥、预热、焙烧、保温、冷却六个阶段 (如图1所示) 。在工业应用中, 对于500℃以下的中、低温度, 一般使用热电阻作为测温元件较为适宜;而对于500℃~2 000℃之间, 热电偶具有测量精度高、在小范围内线性度与稳定好、响应时间快等优点, 因此, 本系统在低温干燥段以及中高温干燥段中, 采用铂电阻Pt100作为温度传感器, 其温度测量范围在-200℃~500℃之间, 测量精度高。同时使用研华的ADAM4015热电阻采集模块作为Pt100的采集、变送单元, 它能同时采集6路热电阻信号。在其余四个温度段中, 采用K分度 (镍铬-镍硅) 的热电偶作为温度传感器, 其温度测量范围在-50℃~1 000℃之间, 具有线性度好、热电动势较大、价格便宜等优点。同时使用研华的ADAM4118热电偶采集模块作为K分度热电偶的采集、变送以及冷端补偿单元, 它能同时采集8路热电偶信号。对于ADAM4015、ADAM4118智能采集模块所有通道都提供了可编程的温度采集范围, 既支持Advantech的ASCII协议, 也支持Modbus协议, 因此, 在使用之前需要通过配置软件配置相应的通道参数和通讯参数。

3.2 无线Wi Fi模块的配置

移动式隧道窑现场控制室就在隧道窑顶部, 它跟随整个窑体一起在环形的轨道上移动。如果在现场控制室和远程办公室之间采取有线通讯的方式, 通讯电缆也必须跟着一起移动,

这样给现场布线造成困难, 同时通信可靠性也大大降低。因此, 本系统选择无线通信的方式来实现温度的远程检测。这里选取有人科技公司的USR-Wi Fi-600系列的Wi Fi-串口服务器模块, 它能够将RS-232/485串口转换成TCP/IP网络接口, 实现RS-232/485串口与WIFI的数据双向透明传输。使用时需要先按照有人科技提供的使用手册进行配置, 该模块可以配置成两种工作模式, 即AP模式 (Access Point) 和STA模式 (Station) 。AP模式允许其他无线设备接入, 提供数据访问。STA模式类似于无线终端, STA本身并不接受无线的接入, 它可以连接到AP。在本系统中远程办公室一侧采用USR-Wi Fi232-602模块, 并将其配置成AP模式, 而在现场控制室一侧采用USR-Wi Fi485-610模块模块, 并将其配置成STA模式。

4 监控软件设计

本系统现场控制室选择了昆仑通态的触摸屏作为人机界面, 提供操作者以监视隧道窑各温度检测点的温度变化情况, 并允许操作人员根据温度变化做出决策和调整。

利用昆仑通态公司提供的MCGS7.6嵌入版组态软件作为开发工具, 根据系统的要求添加设备驱动、建立变量, 设计监视画面、定义数据库等, 整个开发过程非常简单且软件可靠得到极大提高。同时系统的扩展性强, 如当需要增加温度检测点时, 只需要在设备库里添加相应智能模块的驱动程序就能很快地实现系统的扩展, 大大缩短软件开发周期, 提高软件质量。图3为移动式隧道窑焙烧、干燥温度实时曲线图。

5 结束语

生产管理信息化是当今工业自动化控制领域的大趋势, 要实现这些功能, 必须借助于现场智能设备、现场网络及开放的工业数据库。隧道窑温度检测点比较分散, 现场条件恶劣,

本文设计的远程温度检测系统, 利用Modbus现场总线实现现场的触摸屏与智能测量模块互联。同时, 在现场控制室和远程办公室之间, 采用了无线Wi Fi通信方式来获取现场的温度数据, 使生产、管理合二为一, 有效地提高了资源利用率。

摘要：以实际项目为背景, 根据移动式隧道窑生产过程的要求, 设计出一套远程温度检测系统。该系统利用Modbus通讯协议, 使现场的触摸屏与智能测量模块互联;同时, 在现场控制室和远程办公室之间, 采用了无线Wi Fi通信方式来获取现场的温度数据, 整个生产和管理实现了一体化, 有效地提高了自动化水平。

关键词：隧道窑,温度检测,Modbus,Wi Fi

参考文献

[1]刘雪良, 薛枫.隧道窑焙烧过程温度监测方案设计[J].砖瓦, 2002 (3) .

[2]柏飞, 梁嘉琪.移动式隧道窑生产工艺的实践与探讨[J].砖瓦世界, 2007 (1) .

[3]ADAM4000系列数据采集模块用户手册[M], 台湾研华公司, 2013.

移动入侵检测系统设计 篇6

1、传统的入侵检测系统及其局限性

传统的入侵检测系统可以根据检测对象的不同分为基于主机的入侵检测系统和基于网络的入侵检测系统。前者主要是分析和审计单个主机的数据, 后者通过对网络的流量数据进行分析来寻找可能的入侵。根据检测的实现技术不同, 入侵检测系统可分为基于滥用技术的入侵检测系统和基于异常的入侵检测系统。前者具有较高的准确度, 后者具有较高的完整性。

随着网络的扩大和复杂, 入侵检测系统也应该能够在大规模高速网络中实现入侵检测和防范。从这个角度讲, 传统的入侵检测系统存在如下不足:

1) 传统系统在现在高速网络中, 不能很好的检测所有的数据包。网络速度的发展远远超过了数据包模式分析技术发展的速度。

2) 对大多数传统的入侵检测系统都采用模式匹配的分析方法, 这要求攻击特征库的特征值应该是最新的。但现有入侵检测系统没有提供一种好的方法来时刻更新攻击特征。

3) 现在攻击的方法越来越复杂, 单一的基于模式匹配或统计的分析方法已经难以发现某一些攻击。

4) 现有的检测系统之间不能交换信息;现有的入侵检测系统也不能和其他网络安全产品互操作。

5) 现有的检测系统是从原来的基于网络或者基于主机的检测系统不断改进而来的, 因此在体系结构等方面不能满足分布、开放等要求。

另外, 信息加密、入侵者人数不断增加、广泛使用机动代码、误报警等, 都是传统的入侵检测系统所面对的巨大挑战。

2、将移动代理技术应用于入侵检测

移动代理, 是一种具有一定自主性、灵活性和智能性的软件实体, 能够在特定的环境下执行特定的任务。

移动代理可以就地分析、处理问题、进行响应, 这恰好符合入侵检测系统快速检测和响应的要求, 弥补了传统入侵检测系统的一些缺点和不足。具体说来, 使用移动代理有如下优点:

(1) 移动代理提供一种灵活多样的运行机制, 使得自身可以适应所处的环境。同时移动代理也可以方便地被克隆、分派、挂起、回收。

(2) 移动代理可以移动到事发现场, 因此移动代理可以有效减轻和平衡网络负载, 有利于提高网络的使用效率。

(3) 移动代理可以在平台间移动。由于入侵是不可预知的, 而响应又需要及时作出, 因此使用移动代理可以及时切断源主机和目标主机的连接。另外, 使用移动代理还可以实现对入侵者的追踪。

(4) 使用移动代理可以把一个大规模分布式入侵检测系统根据功能模块化。这种模块化的设计使系统有较好的扩展性。

另外, 使用移动代理技术的最突出问题就是安全。移动代理的安全问题可以分为四类:代理到代理、代理到平台、平台到代理和其它外部实体到平台。

此外, 实现对移动代理的克隆、分派、回收等也是一个比较复杂的问题。再者, 为了使移动代理可以跨平台执行, 编写移动代理程序时一般都使用解释性语言, 这样就影响了代理运行的速度。

3、本系统的结构及主要功能

本系统模型包括移动代理环境、数据收集代理、入侵检测代理、追踪代理和数据库、优化代理六大部分。

3.1 移动代理环境

它的职责主要有:响应主管的命令和要求, 协调系统检测、响应入侵的活动;触发响应警报;向网络中的主机派遣Agent, 启动或者中止检测网络中某个Agent的运行等。并可确定移动代理对本地资源的访问, 防止恶意的代理非法使用本地资源。

3.2 数据收集代理

数据收集代理的主要功能时收集系统的日志、审计数据和网络数据包, 并对数据进行预处理, 然后把它传送给入侵检测代理进行分析。它分为数据采集和数据预处理两层。数据预处理的意义主要在于以减少无用信息流入移动检测代理, 提高实时性。

3.3 入侵检测代理

入侵检测代理可以在异质的网络节点间迁移, 到达目的主机后, 从本地数据收集代理接受数据, 进行分析处理, 判断系统或网络是否受到入侵。这样减少了信息在网络中的传输, 保证了数据的安全性, 同时增强了响应的实时性。入侵检测代理由多种检测代理组成, 根据输入的数据源不同实现不同的检测任务, 他们相互协作完成复杂的入侵行为检测。具体可分为主机检测代理和网络检测代理, 分别对主机审计数据和网络数据包进行监控。

3.4 追踪代理

控制中心接收到可疑入侵报告后, 向被检测到可疑信息的目标系统分派一个追踪代理, 追踪入侵者的路径, 确定它的起始点, 即入侵者留下的被目标主机所记录的地方。根据需要, 跟踪代理可以转移到跟踪路由上的另一个目标系统中。如果跟踪到达入侵路由的起点, 或者不能再转移到任何其他地方, 或者如果其他的跟踪代理已经到达了它将要到达的路由, 那么它将返回控制中心, 重构入侵者的攻击路径, 处理结果可作为响应依据, 根据既定策略进行进一步的响应。

3.5 自优化代理

自优化代理主要包括两个模块, 分别是优化决策代理和数据分析算法转换代理。优化决策代理负责对数据分析Agent的检测速度和检测正确率两个方面进行性能评估。如果评估的结果低于设置的门限值, 就由数据分析算法转化Agent进行分析算法调整或者由数据采集Agent进行数据包分发方向的调整以提高检测速度。数据分析算法转换的原则有:一, 采用接收到的数据包中数量上占主流的数据包所适合的算法。二, 采用接收到的数据包中数量增长趋势占主流的数据包所适合的检测算法。三, 当数据分析Agent接收到的数据包中, 两种类型的数据包数量相近或增长趋势相近时, 则倾向于转换检测开销较大的数据包检测算法。四, 数据采集Agent对数据包进行分发的调整开销相比数据分析Agent算法转换的开销要小, 因此在相同的调整效果下首先考虑数据包分发策略的调整。

3.6 数据库

控制中心的数据库的作用是描述用户正常和异常使用系统的行为特征或描述已用系统缺陷和其他已知的入侵方法进行攻击的模式。为了提高系统的入侵检测性能, 可在数据库中同时保存异常和正常两类规则。异常和正常两类规则的存在, 就能在一定程度上既可识别已知的攻击, 又能检测未知的入侵。本地数据库中主要存放本地工作日志和发送到本地的网络数据包。

4、结束语

本文提出了一种基于移动代理的分布式入侵检测系统, 它意在弥补现有入侵检测系统在检测网络内部入侵方面的不足它由大量的小移动代理组成, 这些小移动代理通过相互协作和协商共同确定入侵行为, 并及时采取相应的防范措施。因此, 本系统具有易构, 灵活, 高效, 容错, 网络负担轻等优点, 然而, 在其自身安全性方面还存在着一定的不足, 需要进一步的研究。

摘要：本文分析了入侵检测的基本原理和移动代理的特点, 根据目前入侵检测系统存在的不足, 提出了一种基于移动代理的入侵检测系统模型。该模型具有分布式检测、响应入侵的能力;整个体系可以灵活、动态地配置和方便地扩展;根据数据流量和数据包类型进行数据包的分发和检测算法的转换;在最大程度上追踪入侵源IP, 以防范入侵。

关键词：入侵检测,移动代理,回溯,优化

参考文献

[1]Christopher Krugel, ThomasToth.Applying Mobile Agent Technology toIntrusion Detection[EB/OL].http://www.elet.polimi.it/users/dei/sections/compeng/gianpietro.pic-co/icse01 mobility/papers/krugel.pdf, 2001 05 14.

[3]W Jansen, P Mell, T Karygiannis, and D Marks.Mobile agent in intrusiondetection and response[A].The 12th Annual Canadian Information Tech-nology Security Symposium[C].Ottawa, Canada, 2000.

[6]P Gupta, N McKeown.Packet classification using hierarchical intelligentcuttings.IEEE Micro, 2000, 20 (1) :34-41

移动入侵检测系统设计 篇7

关键词：Ad Hoc网络,分布式入侵检测系统,单点入侵检测,联合检测

AdHoc网络又称为多跳网络(multi-hopnetworks)、无固定基础设施的网络(infrastructureless networks)或自组织网络(self-organizednetworks),是由一组带有无线收发装置的自主的无线节点或终端通过相互合作形成的网络,可以独立于固定的基础设施,是一种自创造、自组织和自管理的网络[1]它是一种不依赖任何固定基础设施的新型无线网络,在网络中,节点之间的通信完全依赖无线链路,网络拓扑随着节点的移动频繁变化。由于其本身固有的特性,如开放性介质、动态拓扑、分布式合作以及有限的能量等,AdHoc网络很容易受到各种攻击,因此安全性较差[2]。

Zapata提出的SAODV路由协议、Hu等人提出的Ariadne的路由协议和SEAD协议[3]大多用于防止系统遭受外界的攻击,属于被动的防御措施,无法有效地消除入侵根源,且AdHoc网络拓扑频繁变化,报文的加密解密过程实现复杂,网络节点可能被截获而泄露密码,导致攻击从内部产生,造成加密认证技术的失效[4]。

入侵检测技术在袭击的早期阶段就收集足够的袭击证据,采取相应的抵抗措施,会大大降低侵害损失。因此,作为网络安全的第二道防护线,入侵检测技术正日益成为保障网络安全的关键组成部分,发挥更重要的作用[5]。

1 AdHoc网络仿真平台

1.1仿真平台

为了实时高效的检测AdHoc路由协议在实施阶段的运行情况,在实验室中实际搭建了一个仿真平台。该仿真平台基于分布运行并集中控制的思想:在各个分布式终端节点运行真正的路由协议,而在中心控制端通过虚拟移动和虚拟拓扑管理控制多个分布式终端节点来仿真复杂的AdHoc网络拓扑。

仿真平台的设计主要分为两部分,终端节点和控制中心节点,原理图如图1。

1.2 仿真平台与路由协议的接口

由于AODV协议的所有路由控制报文都是通过UDP端口号654进行发送和接收的,通过这点可以确立仿真平台与路由协议的接口,在仿真平台各个终端的Netfilter钩子函数过滤部分,收到报文时,先判断一下它的UDP端口号,如果是654则直接返回NF_ACCEPT进行接收,这样报文就可以进入下一步处理,直到进入AODV的实现部分。AODV需要发送出去的报文同样把端口号设为654,和其他报文一样按照Linux正常处理途径发送出去。

2 Ad Hoc网络分布式入侵检测系统在仿真平台上的实现

入侵检测系统的实现是基于路由协议来实现的,而AODV的实现是通过修改Linux操作系统的路由转发功能而实现的,在AODV代码的基础上实现单点入侵检测系统、联合入侵检测和入侵反应系统的详细设计与实现流程。当单点发现有攻击行为时,发送SID报文通知其他节点恶意节点的存在,同时触发联合检测系统。每个节点在收到SID时都要查询自己的SID缓存表,若关于某个恶意节点的SID的数量超过M个(M-out-of-N原则),则发送GID通知其他节点,同时启动入侵反应系统,将恶意节点隔离出整个网络。

2.1 单点入侵检测在仿真平台上的实现

根据设计的需要,建立了一些表及报文来维护需要的信息从而实现检测的目的。系统中完成了对序列号攻击检测的实现、对资源消耗攻击检测以及对伪造RERR报文攻击检测。

2.2 联合入侵检测系统的实现

联合检测中主要有两个处理程序功能模块——SID处理模块和GID处理模块,此外还有一个SID缓存表的处理程序,它们互相配合,完成对节点恶意行为的多点联合判定。

节点收到SID报文后,要进行SID报文处理,当节点接收到SID报文后将对该SID报文进行检查,看是否已经接收过该报文,或者报文中标志的恶意节点是否是自己,如果是将其丢弃;否则将该SID报文信息记录在SID广播缓存表中,启动GID判断程序,然后继续转发该SID报文。GID判断程序的任务是遍历SID缓存表,看对于某个节点的SID报文是否达到一定数量(满足M-out-of-N判定原则)。如果已经超过了M数值范围,将判定该节点为恶意节点,向全网广播一个GID报文;否则程序退出。

节点收到GID报文后,要进行GID报文处理,当节点收到GID报文后,先查询恶意节点列表看GID中标志的恶意节点M是否已经在表中。如果是则直接转发此GID报文,否则将M存入恶意节点列表中,并清除M相关的SID记录,同时运行入侵反应系统,再继续转发此GID报文。

2.3 入侵反应系统的实现

对于由联合入侵检测系统做出的检测结果,网络要做出快速的应对,以防止网络继续遭受恶意行为的攻击,造成更大的损失。入侵反应系统对恶意行为的反应分为孤立恶意节点和路由重构。

孤立恶意节点主要通过恶意节点列表来辅助完成。节点每收到一个控制报文或数据包,都要遍历恶意节点列表,查找控制报文或数据包的源节点是否在恶意节点列表中,如果存在则丢弃该报文不做任何处理。通过这种方式,网络中的所有节点都不与恶意节点交流,把恶意节点孤立起来,使网络免受攻击。在孤立恶意节点的同时,还要在网络中进行路由重构。

因为网络中存在了恶意节点,所以路由必定要产生变化。这里所用的办法是将下一跳和目的地址为恶意节点的路由删除,然后采用AODV自带的机制进行路由本地修复,或当需要传输数据时重新发起路由请求。当再次进行路由请求时,由于所有节点都拒绝与恶意节点进行通信合作,所以新建立路径必定绕过恶意节点,将网络再次受到攻击的可能性降低到最小。

3 入侵检测系统在仿真平台上的测试结果及分析

本文采用了小规模的网络进行测试实验。网络中的每个终端节点和控制中心都连接在一个交换机上,每个程序运行的软件平台是Linux操作系统,需要2.4.0以上的内核版本。开发时采用的发行套件是RedHat 9.0 ,其内核版本是2.4.20,支持Netfilter功能框架硬件平台是普通的台式电脑,配置为cpu:PIII900MHZ,内存:256 M,硬盘:30 GB,网卡:10/100 M。测试时最初的网络拓扑如图2,用线连接的两个节点是邻居,可以进行通信。测试进行到40 s时的网络拓扑图如图3所示,测试到100 s时和150 s测试结束时的网络拓扑如图4和图5所示。

为了更好的比较入侵检测系统对网络性能的影响,把AODV协议、AODV协议在攻击下和加上入侵检测系统后的AODV协议的路由开销放在一起作对比,如图6所示。由于入侵检测系统对序列号攻击的检测只是通过分析网络中的路由控制报文来检测攻击,并不产生额外的路由开销,所有路由开销并没产生多少变化。

为了更好的比较网络的抗攻击性能,在仿真平台上做了对网络吞吐率的测试。原始AODV协议在攻击下时的网络吞吐率如图7所示,加上入侵检测系统的AODV协议在攻击下的网络吞吐率如图8所示。

图9是随发包率的增加,网络吞吐率的比较。

从图中可以看出,由于恶意节点的虚假路由信息导致采用AODV协议的网络形成黑洞,源节点发送的数据分组无法到达目的节点,严重影响网络吞吐率。

AODV协议在序列号攻击下,网络性能急剧下降,AODV吞吐率在40%到60%之间,而加上入侵检测系统的AODV能够迅速发现恶意行为,并将恶意节点隔离出网络,维持网络正常运行,所以仍能保持较高的吞吐率,具有较好的抗攻击性。

参考文献

[1]Giordano S.Mobile ad hoc networks,NewYork,USA:John Wiley&Sons,January2002:325—346

[2]Perkins C E.Ad Hoc Networking.London:Addison-Wesley,March2001:288—193

[3]郑少仁,王海涛.Ad hoc网络技术,北京:人民邮电出版社,2005:8—21

[4]程林,陈福生.无线Ad Hoc网络路由协议的分析比较,计算机工程与应用2004;4(2):143—149

移动入侵检测系统设计 篇8

1)系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而依靠单一的主机或网络IDS不会发现入侵行为。

2)入侵行为不再是单一的行为，而是表现出相互协作入侵的特点。例如分布式拒绝服务攻击。

3)入侵检测所依靠的数据来源分散化，收集原始的检测数据变得困难。如交换型网络使得监听网络数据包受到限制。

4)网络速度传输加快，网络的流量大，集中处理原始的数据方式往往导致检测瓶颈，从而导致漏检。

这些问题对对IDS提出了新的要求，既要求IDS能分布式协作检测入侵，又能够及时地处理大型网络的海量数据，分布式移动Agent的入侵检测系统显然是上述问题最佳对策。然而，迄今为止，最为流行的用作分布式Agent网络来处理多Agent是C/S模型。C/S模型是一种中心化的网络结构，过分依赖于中心服务器，而基于移动IDS-Agent的P2P模型中各实体是对等的，可以不经过服务器和其他实体进行连接，从而有效地解决传统C/S网络结构中频繁访问服务器端单一资源造成的瓶颈问题，并且消除了服务器端出现故障造成的网络瘫痪情况的发生。因此，应用P2P技术降低了网络流量，优化了网络性能[1]。该文在传统的分布式多Agent的入侵检测的基础上，提出了基于P2P的移动IDS-Agent的入侵检测系统模型。

1 基于移动Agent的P2P分布式入侵检测系统的提出

在文中提出的人侵检测系统中引入了移动Agent技术和P2P结构。移动Agent是一个独立运行的软件实体，它包括完成所规定功能的代码、数据和状态信息，具有移动性、自主性、反应性、主动性和交互性的特点，可以在一定的机制控制下，携带自身代码、数据及其状态信息在网络环境中从一个节点迁移到另一个节点上继续运行。采用P2P(peer-to-peer)结构将各个结点的工作模式设为平等的协作模式，系统的各个部分协同合作，可以不经过服务器和其他实体进行直接连接，避免了单点失效和数据的传输瓶颈问题。

2 基于移动Agent的P2P分布式入侵检测系统模型

在本文中提出的基于P2P结构的入侵检测系统结构中，网络中的每个结点都是一个完整的人侵检测系统，它们之间是完全对等的。在这种结构下，每一个结点都会有若干个结点和它连接是最近的，称这些结点为这个结点的邻居结点。

如图1所示，结点IDS-IDS-A有邻居结点IDS-B和IDS-C，结点IDS-B有邻居结点IDS-IDS-A,IDS-C和IDS-D，结点IDS-C有邻居结点IDS-IDS-A,IDS-B和IDS-D，结点IDS-D有邻居结点IDS-B,IDS-C和IDS-E，结点E有邻居结点IDS-D。

如图2所示，每个结点上的系统主要由三个部分组成:核心信息部分、检测部分和移动代理部分。每一个结点都存储有和它相邻的结点的核心信息，比如关键数据文件的校验和、文件结构、一些访问控制文件的信息。移动代理根据检测需要也分为多种，它们在各个结点上运行并且把运行结果报告给检测部分。当一个结点收到可疑的人侵信息后，它立即把这个信息发送给它的邻居结点，然后由这些邻居结点判断这一结点发来的信息是否值得信任。如果这些邻居结点中大多数能够确认前一结点发送来的信息是值得信任的，那么这些邻居结点就继续向它们各自的邻居结点发送这个人侵信息，否则，它们认为这个结点是可信任的，不再继续向它们的邻居结点发送这个信息。

在这种结构中，每个结点上建立一个记录异常信息的日志数据库，用来存放已经确认的异常事件。如果探测到有新的异常事件发生，就立即与受攻击结点本身的日志数据库中的记录相比较，如果这个结点的日志数据库中没有这个记录，就等待它的邻居结点来判断这个事件是不是一个攻击行为，如果是就把这个事件记录到这个日志中，并且把这个攻击信息发送给网络中的其他结点;如果发现已经有了这个记录就不再向邻居结点发送信息，结点自身采取措施阻止这个事件，这样可以减少一部分的网络流量。

在图1的结构中，对于结点IDS-A，它存储有自身的核心信息，而且还有邻居结点IDS-B,IDS-C中的一些信息，如文件校验和、文件大小等信息。从IDS-A发出一个专门检测校验和的检测代理负责定期地检测IDS-B中文件的校验和并返回给IDS-A,和IDS-A中存储的值进行比较看是否匹配。如果发现IDS-B中文件校验和与IDS-A中先前存储的校验和不匹配，则认为IDS-B中的文件可能被修改，于是从结点IDS-A再发出一个检测文件大小的代理，来比较IDS-B中现有文件的大小和IDS-A中的数据是否一致，如果不一致，则认为IDS-B是危险的，IDS-A中IDS-B的信誉值降低。接着IDS-A把这个信誉值发送给它的邻居结点IDS-B和IDS-C。结点IDS-C经过数字认证确认由IDS-A发来的信息是可信的才接受这个信息，然后IDS-C同样向IDS-B发送一个代理，把代理返回的值和自身存储的值相比较，如果也是不匹配，那么这个信誉值再次降低，并把降低后的信誉值发送到结点IDS-D，结点IDS-D重复IDS-C的操作，最后由IDS-D把这个信誉值再发送给IDS-A。如果发现大多数的结点都认为IDS-B中的文件信息已经被改变，IDS-A就做出判断：IDS-B受到了人侵，并把这个事件更新到日志数据库中，然后把这个信息发送给其他结点，其他结点的日志数据库也做出相应的更新。

3 系统性能及安全性

基于移动Agent的P2P入侵检测是针对分布式网络攻击的一种有效的分布式入侵检测的方法，不仅把检测器分布到网络的各个节点上，而且把分析部分和控制部分分布部署。它们之间协同合作，以P2P的方式进行通信，避免了单点失效，在一定程度上克服了C/S模式的网络瓶颈。

但是如果系统配置不当，入侵检测系统本身可能成为攻击的牺牲品。如篡改Agent和Agent间的消息等。采取的对策是把Agen间传输的消息加密，增加Agent间通信的认证机制。

4 结论及进一步工作

文中提出了一种基于移动Agent的P2P人侵检测系统，引人了移动Agent，各个Agent之间互相独立又相互协作，且可以根据实际要求添加或者减少部分代理，而且网络中的结点也可以按照要求增加或者减少，在分布式人侵检测系统的基础上能够进一步降低网络流量提高检测效率。下一步的工作是进一步完善这种结构，对每个移动Agent的采集的信息使用数据融合技术进行数据融合出来，从而降低入侵检测的漏报率和误报率，进而完善和实现这种人侵检测系统。

摘要：该文先分析了网络结构变化带来的问题和C/S模式的不足。并简述了移动Agent和P2P技术的优点,提出了一种采用移动Agent技术和P2P结构的入侵检测系统的模型。该模型避免了分布式入侵检测系统存在的单点失效问题和传输瓶颈问题,提高了系统的自身安全性。最后指出了模型的优缺点,并提出了下一步的工作。

关键词：入侵检测,移动Agent,P2P,分布式,c/s模型

参考文献

[1]毛薇,姚青.P2P系统发现技术的研究与实现[J].武汉理工大学学报:交通科学与工程版,2002(6):808-810.

[2]Smirnova V.Multi-agnet System for Distributed Data Fusion in Peer-To Peer Environment[J].Mobile computing,2002:28(1).

[3]张超,霍红卫.入侵检测系统概述[J].计算机工程与应用,2004(3):116-119.

[4]徐峰,宋如顺.基于P2P多代理数据融合入侵检测系统模型研究[J].计算机工程与应用,2004(17):159-161.

[5]张云勇,刘锦德.移动代理技术[M].北京:清华大学出版社,2003

[6]陈建华.黄道颖计算机对等网络P2P技术[J].计算机工程与应用,2003(33):162-64.

[7]Christopher Kruegel,Thomas Toth.Applying Mobile Agent Technology To Intrusion Detection[EB/OL].http://www.infosys.tuwien.ac/Staff/tt/publications/,2002-4-30.

移动入侵检测系统设计 篇9

1.1 UCMP系统的检测原理

1.1.1 检测单元

当没有关闭电梯轿门时如果轿厢出现了意外移动, 会严重威胁轿厢中乘客的人身安全, 所以要先对轿门进行单独的关闭检测。通过利用单独的辅助轿门触点来进行检测, 当回路出现意外短接时, 辅助轿门触点可以实现UCM检测功能。

1.1.2 控制单元

当轿厢位于非平层区域或者轿门保持在一个没有关闭的状态下时, 利用检测单元的BCR继电器和AGSR继电器常闭触点可以和UCMR继电器产生吸合, 然后实现保护轿厢意外移动的目的。

1.1.3 执行单元

执行单元具备对轿厢意外移动进行检测的功能。并且可以使轿厢制停, 并持续处于停滞不动的状态下。

1.2 检测电路的技术要求

(1) 在没有锁住层门且没有关闭轿门时, 如果轿厢运行过程中的控制系统或者驱动主机的控制单元失效, 就会导致轿厢出现意外移动, 为了保证电梯使用的安全性, 要求电梯可以对此移动具有预防能力或者电梯中安装有意外移动停止设备。

(2) 要求轿厢从开锁区离开时, 达到电气安全装置对轿厢意外移动进行检测的目的。

(3) 电梯轿箱意外移动保护系统要可以对轿厢的意外移动进行检测, 并且可以及时对意外移动进行控制, 使其处于停滞状态下。

1.3 对于包含有电子元件的电路安全性的相关要求

当电梯系统中任意一个电气设备出现故障时, 不能使电梯出现以下故障:

(1) 导致电梯系统中的电压变低。

(2) 电梯系统中无电压。

(3) 不能损坏金属结构构件。

(4) 不能中断导线。

(5) 不能改变电气原件的参数功能, 或者使电气原件出现断路、短路等情况。

(6) 继电器、接触器的可动衔铁不能完全吸合或者完全不吸合。

(7) 触电不能出现断开的情况。

(8) 不能使继电器、接触器的可动衔铁无法释放。

(9) 不能出现触电无法闭合的情况。

对于同时出现两个故障才能引起危险的情况, 要在第一个故障元件参与到下一个故障程序操作之前, 使故障停止。只要上一个故障产生, 就必须保证电梯不能进一步进行操作。而对于两个故障无法引发故障, 而在有第三个故障加入后才会诱发危险时, 那么要在前两个故障中的任意一个故障参与之前停止电梯的进一步操作。要求安全电路可以进行自我检测, 并可以检测到所有可能引起电梯事故的故障, 立即执行电梯操作。

2 电梯轿厢意外移动保护检测电路中常见的问题

本文以图1中的电梯轿厢意外移动保护线路来进行分析。此电路系统不仅是检测轿厢意外移动的线路, 并且也是电梯微动平层电路和电梯提前开门电路, 电路中包含有电子元件。电路使用带有自动监控功能的制动器作为制停元件UCMP系统。在图中, 安全继电器为KA、KB、KC, 井道中的光电感应开关未FML1和FML2, 电路输出端为SO1和SO2, 电梯运行控制器输出的信号为Y1。

在此电路系统中, 遮光板和井道中光电感应开关的安装, 分别在轿架上对WFLS、FML/FML1/FML2、WFLX光电感应开关进行固定, 其中WFLX属于下微动开关、WFLS属于上微动开关。FML属于平层信号开关, 意外移动检测开关分别为FML1和FML2。这两个开关要同时接入电梯控制系统和轿厢意外移动保护检测电路中。光电开关中的三个输出点分别为FML/FML1/FML2, 这三个输出点和WFLS、WFLX之间的距离为h1, 在导轨支架上安装遮光板, 每层导轨支架上均安装一个遮光板, 要求遮光板的长度为h2。遮光板和FML/FML1/FML2以及WFLS、WFLX同时对准时。电梯轿厢处于正常的平层状态下。

此保护系统在应用过程中, 操作方式如图2所示。在电路图中, 电梯运行接触器为MC、抱闸控制接触器为BZC、安全回路接触器常开触点为AC、层门接触器常开触点为MSC, 轿门接触器的常开触点位JMC。以电梯轿厢向上移动为例, 在电梯向上移动的过程中, 感应开关中插入遮光板以后, 会使FML联通, 在检测到FML信号后, Y1此时的线路是连通的, 如果在这时接通KA和KB, 连通FML1和FML2, 断开KC, 接通SO1和SO2, 会使JMC和MSC短接。此时电梯控制系统会向外输出开门信号, 进而达到提前开门的目的。

当在微动平层保护电路中应用此保护系统时, 以电梯轿厢向下移动为例, 当电梯处于平层时, 将遮光布插入到感应开关和WFLX、WFLS中时, 会同时导通四个感应开关。对于因为钢丝长度变长造成的轿厢出现下沉, 并大于设定的距离后, 会使WFLS从遮光板离开, 并使得WFLS的输出被中断。因此这时SO1和SO2处于导通状态, FML/FML1/FML2也处于导通状态, JMC和MSC处于短接, 电梯控制系统会向上输出微动信号, 从而使轿厢向上微动平层。在使用层系统来对电路工作原理进行检测时, 当层门处于打开时, 因电机供电故障和控制系统故障会使轿箱向下方意外的进行移动。在移动具有大于h2/2时, FML1和FML2会从遮光板离开, FML2和FML1的输出也会断开, SO1和SO2的输出也处于断开, 而KA和KB也会断开。因为这时的层门是开启的, 因此MSC是断开的。MC和BZC会失电, 电机无法继续运行。制动器线圈也会失电, 产生制动, 使轿厢不再移动。

3 保护系统电路中存在的不足

本保护系统检测电路在工作过程中, 微动平层电路输出SO1、SO2以及电梯门的提前开启主要是由FML1和FML2来实现的。因此要将微动平层和电梯提前开门运行限制在遮光板长度的1/2的平层区间中, 并且使用其来检测位置的检测信号。在轿厢从该位置离开后, 在检测电路输出端的SO1和SO2会被中断, 并且会将电机和制动器的供电切断, 进而达到制停轿厢的目的。

以上功能只需要使用FML1和FML2中的任何一个就可以实现。在这里使用两个开关主要是达到冗余的效果。如果两个开关中的某个出现故障, 就会导致UCMP检测电路无法实现检测功能, 导致电气轿厢出现意外移动。为了实现冗余保护功能, 首先要自检测冗余电路。保证在出现FML1短路故障是, 电路可以将此故障检测到, 并立即使电梯的运动停止。从而避免出现因FML2也有故障出现后, 使得故障组无法对电梯轿厢的意外移动进行检测, 使电梯进入到危险的运行状态中, 影响乘客的安全。

在此安全电路中, 直接在电梯控制系统中接入FML1和FML2, 电路并不检测FML1和FML2的故障, 信号的通断也主要是有电梯控制系统来实现的。当电梯在平层区域进出, 而信号保持不变时, 那么此时可以判断开关无法正常工作。

4 结论

电路安全功能在使用冗余设计来进行保护时, 要求冗余部分可以自我检测所有可能会出现的故障。电梯轿厢意外移动保护系统检测电路中, 在井道中安装的感应开关是检测轿厢位置的一个主要设备, 在评价电路的安全性时, 要对所有可能出现的故障进行考虑, 并根据安全电路的实际情况来达到检测感应开关故障的目的。

摘要：在电梯使用过程中, 电梯轿厢出现意外移动是一种非常危险的情况, 会影响进入或离开电梯乘客的人身安全。因此, 需要做好电梯轿厢意外移动的控制工作。基于此, 本文对电梯轿厢意外移动保护系统检测电路进行分析探讨。

关键词：电梯轿厢,意外移动,保护系统,检测电路

参考文献

[1]GB 7588-2003.电梯制造与安装安全规范[S]:23-24.

[2]彭仁东.论电梯安全电路的检验[J].中国特种设备安全, 2008, 25 (2) :35-39.