入侵监控范文

入侵监控范文（精选3篇）

入侵监控 第1篇

网络监控和入侵检测已经成为了网络安全领域的一个主要部分。随着无线网络访问的应用, 对网络进行监控变得更加重要, 因为无线网络增加了一个全新和开放的访问入口。网络监控和入侵检测就像是一个单位的保安人员, 如同网络的眼睛和耳朵, 能提醒各种潜在的安全漏洞和入侵企图。要想设计一个安全的无线网络, 不仅要依赖许多标准的安全工具和技术, 还需要应用一些设计技巧。

二、有利于入侵检测的网络设计

设计一个相对安全的无线网络, 需注重对网络的监控, 并关注设备的选择、物理布局和无线电干扰。了解所在建筑的布局和物理障碍物, 有助于判别可能转移注意力的错误警报。知道无线电干扰的来源和网络信号的范围, 也能帮助我们在巡查网络入侵者时, 避免潜在的错误警报和被误导的响应行动。

1. 采用封闭网络

为防止无线网络的开放性和易发现性带来的安全问题, 必须采用“封闭网络” (closed network) 系统。无线接入点不再广播自身的服务集标识符 (Service Set Identifier, SSID) , 而是等待设置了合适SSID和信道的客户端来连接。但这样做的潜在缺点是, 客户端必须事先知道网络的SSID和设置才能进行连接。但从安全的角度来讲, 封闭网络系统是安全无线网络的理想基础。

2. 关注环境障碍物和无线电干扰源

了解网络环境周围的障碍物, 对于决定接入点的数量至关重要, 只有这样才能让无线网络具有充分且恰到好处的覆盖范围。相对于木头或石膏结构的建筑, 钢架混凝土建筑会对802.11信号传输造成更多的限制。由于信号是向外发送的, 接入点应该指向用户所在地的中央位置。这样可以限制到达建筑物之外的信号的数量和强度, 信号越微弱攻击者就越难以探听。还应该考虑所在建筑的外部或内部是否存在无线电干扰源。潜在的问题来源可能是微波炉、2.4GHz无线电话、无线视频安全监控器以及其他的802.11b无线网络。这些干扰源可能会导致安全漏洞, 并减小网络的覆盖范围。

三、防御式监控的考虑因素

要开发一个入侵检测系统, 诸如信号强度、建筑物和固定装置导致的信号失真、本地或远程干扰, 以及用户的移动性等问题都是必须考虑的。另外, 最初的无线网络安装过程中应该将安全监控功能包含在内。许多设备都有日志 (logging) 功能, 应该充分利用这些日志, 以对网络的当前情况有尽可能全面的了解。防火墙、路由器、内部Web服务器、DHCP (动态主机配置协议) 服务器以及一些无线接入点都会提供日志文件, 需要使用各种方法和设备对网络的流量和使用进行定期审查。

首先, 在进行网络监控时, 识别网络环境中的恶意干扰源需要先确定潜在的干扰源。在部署无线网络时遇到干扰情况, 应该先考虑各种可能的解决办法, 而不是先怀疑受到了攻击。如无线电话此类设备可能会对网络连接造成间歇性影响, 无线视频监控器或其他设备会导致严重的信号冲突。确定潜在问题有助于对无线网络环境中的干扰和噪声进行监控。其次, 须对网络信号进行定期监控, 利用实地检查和探测工具确定网络信号范围, 通过对信号强度的调整确定内部和外部网络可用性之间的平衡点。在对网络进行监控时, 应该定期对相关区域进行检查。第三, 还应该对无线网络可能遭到的拒绝服务 (Do S) 攻击进行监控。主动对网络进行调查、确定信号强度是否减弱、是否存在未知MAC地址。

四、入侵检测的策略

除了网络监控, 一个完整的入侵检测系统还应该包含更多的内容, 软件需要对网络中的所有流量进行监控, 通过把传输的数据与预先定义的攻击字符串 (称为“特征”signature) 进行对比, 寻找潜在的攻击和入侵行为。因此需要对不同的入侵检测策略进行研究, 才能充分发挥网络监控的作用。还可以通过在网络中集成监控功能, 利用内置日志功能的网络设备, 包括防火墙、DHCP服务器、路由器, 甚至某些特定的无线接入点。根据从这些来源搜集到的信息, 弄清楚其他入侵检测系统发出的警报, 可获得突发事件的更多相关数据。这些数据也有助于手工检测网络中未经授权的流量和MAC地址。

1. 非法流量、协议监控和未经授权的MAC地址过滤

网络管理员应该持续不断地对网络中的流量进行监控, 以了解网络负载。同时, 关注网络中有哪些类型的网络协议被经常使用, 一般情况下会有SMTP、DNS查询、Telnet、Web或SSH流量。还需要关注网络中某些特定设备还会使用到特定端口下的特定协议。如我们单位大部分部门使用的HP (惠普) 打印机会使用9100端口产生Jet Direct (HP推出的一种将打印机连接到网络上的技术) 流量。通过比对可以分析出那些未知的、可能存在问题的数据流量, 并及时追踪到这些不明流量的来源, 及时处理。最后在安全策略中定义某些类型的应用程序和间谍软件, 禁止其在网络中使用。IRC (互联网即时通信) 流量是网络出现可疑情况的一个重要迹象, 攻击者通常会使用IRC来共享非法信息。MAC地址过滤对在保证无线网络安全方面也非常实用, 这种机制只允许具有指定MAC地址的无线网卡在网络中通信。大部分接入点具有MAC过滤功能, 否则也可通过设置DHCP服务器达到同样的效果。在大型组织网络中, 因为数量巨大, 以至于难以记录全部的MAC地址, 这种情况下可把来自同一厂商的所有无线产品 (MAC地址前部分相同) 添加到允许列表中。

2. 对攻击特征的科学定义

有经验的攻击者可能了解常见IDS检测器的特征文件, 比如在某一特定类型的攻击数据包里, 包含字符“Hacked by Su We i Ping.”默认的过滤器可能因此专门去搜索字符串“Su Wei Ping”, 攻击者会利用这点向网络发送大量无害的数据包, 且数据包中只包含字符串“Su Wei Ping”, 即使这些数据包对网络和系统没有造成任何伤害, 但IDS系统会被欺骗, 并对每个数据包发出警报, 从而导致一系列混乱的响应活动, 使整个系统处于极大的处理压力之下。如管理员因此而关闭IDS系统, 则真正的攻击马上开始。因此需要对攻击特征进行科学地自定义, 并不断地更新, 从而挫败此类攻击策略。

五、结束语

以上简单讨论了入侵检测和监控的一些概念, 以及如何把相应技术应用到无线网络中。我们尤其关注这样的事实:从无线网络的初始设计阶段就应该注重安全问题。安全是需要规划和行动的一个过程, 而不能只依赖于计算机市场上出售的包装得漂漂亮亮的某个工具。通过适当地调查, 我们就能建立一个相对安全的无线网络, 并在危险到来之前就知晓其中存在的潜在问题。并通过把专用的监控软件和安全设备日志相结合使用, 从而获得更有价值的网络状态信息, 并据此采取措施, 以减少可能发生的危险。如果发现网络处于远大于正常情况的负载之下, 则是一个可能遭到入侵的信号。

参考文献

[1]王达.网络测试、监控和实验[M].北京:电子工业出版社, 2008.

入侵监控 第2篇

关键词：网络数据库,远程入侵检测,视频监控

随着社会安全防范意识的提高,基于网络的远程视频监控系统得到了越来越广泛的应用,但是传统的视频监控中心的入侵管理查询是比较复杂的。本文基于网络数据库MySQL和IP摄像头,设计出了具有入侵检测功能的网络视频监控中心系统。当有人入侵时,该系统自动拍摄入侵者的视频,并且通过MPEG4编码成AVI视频文件,同时将入侵视频文件和入侵时间等信息记录到网络数据库中以便录像信息的调用,同时还发出警报声提醒守卫人员。该视频监控中心管理方便、运行稳定。

1 视频监控中心的组成结构

视频监控终端可以采用基于中星微ZC301P芯片和2410核心板构成的IP摄像头[1],也可以直接购买IP摄像头,但是需要注意的是IP摄像头通过网络传递的视频流不要含有其它的协议内容。具有不同IP地址的视频监控终端将采集到的视频流通过网络传送给视频监控中心,监控中心通过视频监控程序对传送来的视频流进行入侵检测。当有人入侵时,立即开始录像,并发出报警声。当监控中心与视频监控终端失去连接时,也可能是因为有人恶意破坏监控终端,同样也会发出

报警声。视频监控中心的结构图如图1所示。

2 监控中心数据库MySQL的安装

Linux下数据库MySQL的安装步骤很多,这里不做具体的讲解,大家可以参考MySQL的官方网站的说明文档和源代码中的INSTALL文件[2]。在此要特别强调以下几点:

1)MySQL的安装涉及许多权限的设置问题,一定要严格按照INSTALL文档执行。

2)MySQL安装完成之后,数据库的root是没有密码的需要,要先设置密码。

3)创建一个用于记录入侵事件的数据库motion,并将motion数据库的读写权限给用户motion_user,并设置好密码

4)建立一个记录入侵事件的表格security,该表格有六个字段camera,filename,frame,file_type,time_stamp,event_time_stamp,分别记录了摄像头的编号、文件名称、帧数、文件类型、时间、事件时间。

3 监控中心WEB服务器与PHP脚本模块的安装

Linux下Apache和PHP的安装步骤也参考Apache和PHP的官方网站[3,4],在此要说明的是PHP是作为Apache的共享模块安装的,因此在安装Apache的时候要作如下配置./configure--enable-so,而配置PHP的时候需要说明Apache的安装路径和MySQL数据库的安装目录,PHP的配置如下:

4 入侵检测的基本理论

入侵检测技术能自动对监控视频图像序列进行检测,检查判断是否有人入侵。目前入侵检测的方法主要有光流法(optical flow),帧差法(temporal difference)和背景减法(background subtraction)[5]。光流法对噪声比较敏感,计算相当复杂,因此不常用。背景减法受光照变化、背景变动等环境变化的影响大。帧间差法对光线等场景变化不太敏感、背景更新快、能适应环境的动态变化,稳定性较好,所以我们采用帧间差法进行入侵检测。该算法是将相邻帧的差分图像阈值化来提取图像中的入侵目标,判断相邻帧差分图的像素差是否大于阈值,当超过阈值的像素点个数达到某一数值时,就表明检测到了有人入侵。摄像头将获得的第N帧和第N+1帧图像进行帧间差法,帧间差法的数学表达式为:记当前帧的灰度图像为ft-1(x,y),上一帧为ft-1(x,y),两帧差分可得:

其中,th为阈值,R(x,y)是对差分图像D(x,y)的二值化结果,1表示这一位置的像素点发生了变化,0表示这一像素点没有发生了变化.当超过阈值的点数SUM达到某一数值时,就表明检测到了运动的物体。

5 安装入侵检测监控程序

5.1 视频编码库ffmpeg的安装

ffmpeg编码库的版本有很多,我们需要使用的版本要从motion的官方网站上http://www.lavrsen.dk/foswiki/bin/view/Motion/WebHome下载,其安装步骤如下:

1)tar zxvf ffmpeg-cvs-20060306-certified-with-motion-3.2.5.tar.gz(解压);2)cd ffmpeg-cvs-20060306-certified-with-motion-3.2.5;3)./configure--enable-shared(配置);4)make(编译);5)make install(安装)。

ffmpeg默认的安装路径在/usr/local/目录下,为了使得所有的程序都能使用ffmpeg,我们需要刷新库信息,在文件/etc/ld.so.conf中加入/usr/local/lib一行后,之后执行ldconfig。

5.2 入侵监控程序motion的安装

基于开源协议GPL 2的motion能够同时监视来自多个IP摄像头的视频流信息,并且能够对视频流进行入侵检测判断,能及时地发现入侵者并拍摄视频,同时经过mpeg4的编码产生AVI视频文件,同时发出报警声。motion的安装步骤如下[6]:

1)解压源文件motion-3.2.12.tar.gz,并进入到该目录下

2)修改configure配置信息,指明支持MySQL,和ffmpeg视频编码。

3)修改编译文件Makefile

在CFLAGS变量和$(CC)变量这两行的后面加上-static指明为静态编译,否则运行时会出错。

4)编译并安装

6 视频监控中心的配置及运行结果

1)修改motion运行配置文件motion.conf中的参数,特别要加入对数据库MySQL的支持参数。

这6摄像头都有自己的配置文件/usr/local/etc/thread1.conf到/usr/local/etc/thread6.conf,再加上公共的配置文件motion.conf。对于1号摄像头的配置文件

对于6号摄像头的配置文件

当检测到入侵时,终端的监控程序motion会发出拷贝指令将入侵标志网页alarm.html拷贝到Apache网页服务器的服务目录下以便显示入侵标志,同时发出报警声声音。监控中心每隔1秒钟就要去读取监控终端是否有入侵标志网页alarm.html[1]。

2)报警脚本alarm.html

当1号摄像头检测到入侵时,入侵标志页面alarm1.html放入到网站服务器Apache的对外服务目录/usr/local/apache2/htdocs/下,入侵标志页面alarm1.html的代码如下:消除警报。在标志页alarm.html中含有入侵标志alarm.jpg和报警声alarm.wav。待保安查明原因后就需要解除报警状态,用来解除报警状态的delete.php脚本代码如下:

在监控中心点击“消除警报”的按钮就相当于发出了一个网络连接的请求http://delete.php?delete=alarm1.html,使用了带参数delete=alarm.html的delete.php脚本删除了报警状态文件alarm1.html。

3)视频监控中心查询入侵脚本

查询脚本search.php的代码如下:

其中要说明的是连接数据库时需要指明socket文件为/tmp/mysql.sock,与启动的socket一致,由于默认的数据库表格security的第二个字段为本机的绝对路径,要使用PHP提供的substr()函数去掉/usr/local/apache2/htdocs/这26个字符,这样得到的视频地址才是有效地网络地址。

4)运行结果

启动Apache网站服务器和MySQL数据库服务器之后,再运行./motion-n视频监控程序。当有人从前门入侵时,在前门的监控点出现了入侵头像标志并发出了报警声,同时出现了”消除报警”的按钮,监控中心的视频画面如图2所示。视频监控程序同时将入侵事件信息都存入数据库中。

运行查询脚本search.php后,就可以得到入侵的记录。我们在浏览器中点击视频就会启动本机的多媒体播放器来播放入侵视频,结果如图3所示。

7 结论

本文构建了一个基于网络数据库的远程智能视频监控中心,当检查到有人入侵时才启动视频拍摄功能,减少了对存储空间的要求,同时将入侵事件记录到网络数据库中以方便查询。该视频监控中心运行可靠、管理方便,特别适用于家庭、银行等重要场所。

参考文献

[1]丰海.具有入侵检测功能的嵌入式远程视频监控系统的实现[J].电脑编程技巧与维护,2010(12).

[2]Oracle.MySQL Official Website[EB/OL].[2010-11-01].www.mysql.com.

[3]The Apache Software Foundation.Apache Official Website[EB/OL].[2010-11-1].http://httpd.apache.org.

[4]The PHP Group,PHP Official Website[EB/OL].[2010-11-01].http://www.php.net.

[5]刘志伟.基于ARM的嵌入式图像监控系统研究[D].西安:西安工业大学,2006.

入侵监控 第3篇

1 Vi BE算法

Vi BE算法[2]的主要思想是给一帧图片中每个像素点建立一个样本集,采样该像素点的过去时刻的像素值及其周围邻居点像素值填充样本集。对视频帧图片每一个新的像素值和对应该点的样本集进行比较来判断是否属于背景点,在此过程中,以一定的概率更新样本集以适应背景环境的变化。Vi BE的核心部分由初始化背景模型、前景检测和背景模型更新组成。

1.1 初始化背景模型

对于通常的运动目标检测算法,他们往往要在一定长度的视频帧序列里才能完成初始化背景模型,但是Vi BE算法仅仅用第一帧图像就可以完成。因为基于图像的渐变性,即一个像素点周围的像素值都是相似的,像素值不会有很大的突变。在初始化过程中就可以随机用相邻的像素值填充该点的样本集。

1.2 前景检测

初始化背景模型建立好之后,就可以检测运动目标,即前景检测。设已经建立的样本集

式(1)中,p(x,y)表示像素(x,y)处的样本集,p1,p2,…,pn表示建立的n个样本集的元素。

如图1所示,为了度量当前的像素值与对应的样本集的相似程度,可以形象化地在图1中表示。定义以p(x,y)为圆心,R为半径的球体SR[p(x,y)]与该点的样本集相交的个数为N

N的值越大,说明该值与对应的样本集相似性越高,该值就越有可能是背景点。设定阈值Nmin,当N≥Nmin时,当前像素点判断为背景像素点,否则为前景点。

至此,这里引出Vi BE算法的前景检测三个重要参数:距离判定阈值即半径R、背景样本集大小n、相交点个数阈值Nmin。现在n取16,Nmin取4,而R可以自适应变化取值,这是本论文后面提出的改进之一。

1.3 背景模型更新

因为铁路监控画面区域背景不是一成不变的,光照的变化,铁路沿线的树草摆动,还有特别是有火车经过时画面会有较大的抖动等。所以需要实时地更新背景模型。Vi BE的更新策略有三个重要组成部分:无记忆性更新策略,时间二次采样,空间连续性。

1.3.1 无记忆性更新策略

填充样本集是随机的,这种方法的优点在于样本集具有一个平稳的生命周期。因为背景样本集是在等概率的情况下随机选择更新的,所以一个样本在t时刻被更新的概率为1/n,那么其不被更新的概率就为(n-1)/n,经过dt时间段还留存在样本集中的概率为

化为指数形式为

从公式可以看出,在(t,t+dt)时间段里样本集中的各个样本有没有被更新与时间没有关系,dt更新后,一个样本值继续保留在样本集中的可能性以指数形式衰减,从而保证了整个样本集能随时间抛弃无效陈旧的样本。这是一种无记忆性的更新策略,更加和实际场景一致。

1.3.2 时间二次采样

样本集的是随着视频帧的增加不断地进行更新,但是并不是每一帧都更新,只有在某个像素点被检测到是背景像素时,这里介绍采样因子Φ,那么它将以1/Φ的概率更新自己的背景样本集中的样本值,同时,它也有1/Φ的概率更新自己邻域里的样本集。

1.3.3 空间连续性

当在起始帧建立样本集的时候,由于起始帧内可能就会有前景目标,这样就会导致接下的很长的视频帧内都会有“鬼影”现象。这是一种保守的更新策略,即前景点是永远不可能来更新背景样本集的。采用前景点累计的方法,统计每个像素点判断为前景像素的次数,当大于某个阈值时就判断该像素点为背景点。由于空间的连续性,不仅要用该像素值更新自己的背景样本集还要更新自己邻域的背景样本集。

2 基于铁路沿线环境中改进的Vi BE算法

2.1 传统的Vi BE算法在铁路沿线环境中运行的不足

通常的Vi BE算法在铁路沿线环境中应用的不足主要表现在三个方面。

(1)当监控画面中有火车经过时,画面抖动比较大且持续时间长。因为在火车经过这段时间内一直有前景点的存在,达到前景累计的阈值,背景样本集的更新会错误的把前景点归化为背景点。当火车驶离画面时背景模型来不及更新,会有“鬼影”[3]现象。可以说在火车经过的时间段里背景样本集都是混乱的。

(2)通常的Vi BE算法里的参数都是固定不变的,不适合铁路沿线不同的背景环境。

(3)当在火车沿线有非法入侵时,移动速度慢,会导致检测的前景有空洞现象。

2.2 改进的Vi BE算法

针对以上三个方面的不足,提出了适用于铁路沿线的入侵报警改进的Vi BE算法,主要基于以下几点。

2.2.1 Vi BE与帧差法切换

针对第一方面的不足,在Vi BE算法中设计开启特殊模式,当检测到火车来的时候由Vi BE算法切换到帧差法,当检测到火车驶离画面并且画面已经稳定时,再重新初始化背景样本集切换到Vi BE算法。帧差法是将相连两帧图像像素相减来获得运动前景目标。式(5)是帧差法提取运动前景目标的计算方法。

式(5)中D1(x,y)是t1时刻的视频帧,D2(x,y)是t2时刻的视频帧。从式(5)可以看出,用前后两帧相减,运动前景目标在差值图像中被保留。因为帧差法不需要更新背景模型,所以火车经过的时候可以暂时使用帧差法。

2.2.2 自适应阈值

由于铁路沿线的监控环境恶劣,特别是当火车经过时,振动比较大,画面会有轻微的抖动。传统的Vi BE算法距离判定阈值R是固定的,适用于背景是静态的,不会有抖动的场景。如果背景有变化,比如抖动等,阈值R应该适当地调大点,如果背景基本不会变化,阈值R就调小点。本文中,R的公式如下。

式(6)中为自适应阈值的R,p(x,y)是当前点的像素值,pi是该点像素值对应的样本集。为了防止的值溢出,按照公式(7)限定值:

2.2.3 形态学填充

通过改进的Vi BE算法可以检测出运动目标,但是由于其他方面的一些噪音干扰,检测出来的目标往往会有空洞现象,需要用形态学的方法填充,进一步完善检测的运动目标。

3 实验结果与分析

为了说明改进的Vi BE算法更适用于铁路沿线环境中。主要采集了两组监控视频,第一组如图2所示,为有非法行人在铁路上的场景,第二组如图3所示,为当有火车经过的复杂场景。

图2分别截取的第50帧和第350帧。从图中可以看出传统的Vi BE算法检测的运动目标断断续续的,空洞比较严重,后续就不能完成跟踪任务。而改进的Vi BE算法检测出来的目标完全看不出明显的空洞,给运动目标跟踪[4]提供了很好的保障。

图3分别取自火车刚进入监控画面和刚驶离监控画面,可以清楚的看到应用通常的Vi BE算法画面有大量“鬼影”的存在,且在火车驶离画面后“鬼影”还会持续一段时间。而改进的Vi BE算法在火车经过画面时能快速的识别并切换到帧差法检测。从图3中可以看出分离出的运动目标很清楚,没有残影。在后期目标筛选中,火车的前景目标因为不符合特征匹配会被过滤掉。当火车火车驶离画面后又能快速的切换到Vi BE算法检测,解决了火车经过时“鬼影”长时间存在的问题。

应用Vi BE算法和改进的Vi BE算法试运行一个月的漏报误报统计如表1所示。

从表1中可以看出两种算法都能抓住运动目标,但是改进的Vi BE因为经过后期的形态学填充,漏报率更低;其次VIBE算算法在火车经过的时候误报率比较高,当背景有稍微变化时也会有误报。可见,改进的Vi BE算法能够很好的适用于铁路的沿线环境中。

4 结语

通过对铁路沿线复杂的背景环境分析,提出了一种改进的Vi BE算法。算法通过自适应阈值克服了小幅度抖动、动态背景的影响;其中增加了火车经过时特定的处理模块,消除了长时间存在“鬼影”的现象;在后处理中形态学处理,获得了准确的运动目标。长期的试运行表明,改进的Vi BE算法不仅能满足系统实时性的要求,还具有较好的鲁棒性。

参考文献

[1]谢甲旭,吕晓军,昝蕊.高速铁路客运站视频监控系统的研究与实现.铁路计算机应用,2013Xie J X,Lv X J,Zan R.Research and implementation for Video Surveillance System of passenger station for high-speed railway.Railway Computer Application,2013

[2] Barnich O,Van Droogenbroeck M,ViB E:a universal background subtraction algorithm for video sequences,image processing.IEEETransactions on,2011;20(6):1709-1724

[3]陈亮,陈晓竹,范振涛.基于ViB E的鬼影抑制算法.中国计量学院学报,2013;24(4):425-429Chen L,Chen X Z,Fan Z T.Based on the ViB E ghost suppression algorithm.Journal of China Institute of Metrology,2013;24(4):425-429