入侵检测方法范文

入侵检测方法范文（精选12篇）

入侵检测方法 第1篇

关键词：入侵检测,误用检测,异常检测

从上世纪六十年代计算机网络诞生至今, 经过短短五十年的蓬勃发展, 计算机网络已经广泛应用于各行各业, 涉及到人们日常工作、学习、生活的方方面面, 随之而来的网络安全问题, 也日益突显出来, 得到人们的广泛关注。本文主要阐述了各种入侵检测方法, 并进行了简单的分析。

1 入侵检测介绍

所谓入侵, 指的就是未经允许对信息执行非授权的访问或者操作等破坏活动。所谓入侵检测指的就是能够识别出打算入侵、已经入侵或者正在入侵行为的相关行为过程。所有能够执行入侵检测任务和功能的系统, 都可称为入侵检测系统, 其中包括软件系统以及软硬件结合的系统。

2 入侵检测分类

根据对入侵检测的检测方法的不同, 对其进行分类, 主要能够分成两大类, 即异常检测以及误用检测:误用入侵检测主要是基于对各类攻击的攻击手段进行分析, 同时将可能存在的“攻击特征”集合找出来。在这些特征集合的基础之上, 误用检测处理目前的各类数据来源, 之后进行规则匹配或者特征匹配, 如若有匹配满足条件, 那么就会显示一次攻击行为发生;异常检测通常先创建一个可以连续更新的、有关系统正常活动的状态模型, 之后把用户目前正在执行的活动与正常模型相比, 假如偏离程度被发现超过了一定阈值, 就看作发生了一次攻击。

误用检测可以比较准确的检测出已发生的攻击行为, 但是存在未知的攻击却检测不出的情况。异常检测, 具有系统无关性, 能够在一定程度上检测未知攻击, 这种检测要建立在正常行为模型上, 有很强的通用性, 但有较高误报率的缺点, 实际应用中, 常采用信息融合与机器学习来解决这个问题。

3 入侵检测方法

从本质上来说, 能够将入侵检测当作一种分类的问题, 对全部网络行为进行归类, 能够归为异常行为以及正常行为两大种类, 基于此, 就能够将入侵检测问题与模式识别问题进行转化。

3.1 误用检测方法

(1) 基于状态转移分析的误用入侵检测方法:该方法将攻击者的攻击行为当作某种操作序列, 将其表示为系统的状态转移, 而这是可以被监测的, 可以看出系统的从初始状态转移到对系统安全有危害的状态。

(2) 基于条件概率的误用入侵检测方法:该方法首先创建一个事件序列, 然后将不同的入侵方式与不同事件之间建立起对应关系, 最后不断对事件的发生情况进行仔细观察, 根据事件的发生情况来判定入侵的出现。

(3) 其他误用入侵检测方法有:Petri网状态转换、模式匹配、专家系统、键盘监控以及攻击签名分析等。

3.2 异常检测方法

3.2.1 量化分析技术

该方法是将主体的行为属性通过数字来表示出来, 是异常检测当中使用最为广泛以及最基本、最简单的一种方法。其具体的方法有:目标完整性检测和门限检测。

3.2.2 基于传统统计方法的异常检测技术

系统的进程以及用户等主体的具体行为会有一定的规律性, 特别是在某些特定的时间范围内。比如, 程序员会经常使用exec、vi、gcc等命令或者是函数。虽然人工智能是一项很有前景的技术, 但是目前该技术还不够成熟, 所以当前主流的异常检测技术仍然是传统的统计方法。对主体的长期活动或者是短期活动进行监测, 将预设值与实际系统变量的平均偏差进行比对, 若有较大的偏差, 则可以认定系统已经出现了异常状态。

IDES/NIDES这种异常检测模型便是基于统计分析的。该模型对入侵行为的判断的方法是将主体短期的行为和它的历史行为做出对比, 判断两者之间的偏差, 如果累积的偏差值到达一定的数值超过了预定范围, 则认定有系统异常。

3.2.3 基于 (隐) 马尔科夫过程的异常检测技术

该方法本质上是一种基于随机过程的方法, 是一个二维马尔科夫模型, 扩展了基本的马尔科夫模型, 其中核心内容有:一个能够输出观测值的随机过程以及一个拥有状态转移概率的马尔科夫链。

3.2.4 基于神经网络的异常检测模型

神经网络已经能够有效的应用在概率密度估计、模式识别、分类以及函数逼近等研究领域, 能够有效的对非线性系统进行处理。目前, 已有很多研究人员建议可以在入侵检测系统中使用神经网络技术, 因为入侵检测系统的异常检测技术在根本上可以认为是一种分类问题或者是模式识别的问题。

3.2.5 基于免疫学的入侵检测

利用人体免疫系统的识别“非自我/自我”的能力, Forrest首次提出可以利用人体免疫学的特点来是实现入侵检测。该研究小组进行了大量研究工作, 指出对于任意一个指定的程序或者是进程, 都会有相对比较稳定的系统调用序列, 于是可以将主机的“自我”特征表示成该系统调用序列, 任何系统调用若是和这种特定的系统调用序列不同, 那么就可以认定该系统是异常的。

3.2.6 基于遗传算法的异常检测技术

遗传算法, 能够利用自然选择规律, 在选择、变异以及遗传的作用之下, 推动事务从低级到高级的进化, 从而实现系统的优化过程, 它是一种进化算法。

能够使用到异常检测当中的遗传算法主要有两种:遗传算法只是一种辅助的处理方法, 协同进行信息处理;将遗传算法作为一种直接手段来处理信息。

3.2.7 其他异常检测技术

基于支持向量机的异常检测技术、基于贝叶斯聚类的检测方法、基于时态知识模型的方法、基于粗糙集的方法、基于贝叶斯网络的异常检测方法以及对shell命令进行研究的检测方法等。

4 结论

随着网络的发展, 信息的开放性、共享性以及互连性是计算机网络的重要特点。网络安全问题也日益突显出来, 本文主要从入侵方法分类以及入侵方法等方面进行了简单的介绍。

参考文献

[1]胡昌振.网络入侵检测原理与技术[M].北京:北京理工大学出版社, 2010.

[2]尹清波, 张汝波, 李雪耀等.基于线性预测与马尔可夫模型的入侵检测技术研究[J].计算机学报, 2005, 28 (5) :900-907.

入侵检测方法 第2篇

平整度是路面施工质量与服务水平的重要指标之一。它是指以规定的标准量规，间断地或连续地量测路表面的凹凸情况，即不平整度的指标。路面的平整度与路面各结构层次的平整状况有着一定的联系，即各层次的平整效果将累积反映到路面表面上，路面面层由于直接与车辆及大气接触，不平整的表面将会增大行车阻力,并使车辆产生附加振动作用。这种振动作用会造成行车颠簸，影响行车的速度和安全及驾驶的平稳和乘客的舒适，同时，振动作用还会对路面施加冲击力，从而加剧路面和汽车机件损坏和轮胎的磨损，并增大油耗。而且，不平整的路面会积滞雨水，加速路面的破坏。因此；平整度的检测与评定是公路施工与养护的一个非常重要的环节。

平整度的测试设备分为断面类及反应类两大类。断面类实际上是测定路面表面凹凸情况的,如最常用的3m直尺及连续式平整度仪，还可用精确测定高程得到；反应类测定路面凹凸引起车辆振动的颠簸情况。反应类指标是司机和乘客直接感受到的平整度指标，因此它实际上是舒适性能指标，最常用的测试设备是车载式颠簸累积仪。现已有更新型的自动化测试役备，如纵断面分析仪，路面平整度数据采集系统测定车等。国际上通用国际平整度指数IRI衡量路面行驶舒适性或路面行驶质量，可通过标定试验得出IRI与标准差ó 或单向累计值VBI之间的关系。

二、平整度测试方法(一)

3m直尺法

3m直尺测定法有单尺测定最大间隙及等距离(1．5m)连续测定两种。两种方法测定的路面平整度有较好的相关关系。前者常用于施工质量控制与检查验收，单尺测定时要计算出测定段的合格率；等距离连续测试也可用于施工质量检查验收，要算出标准差，用标准差来表示平整程度。

1．试验目的和适用范围

用于测定压实成型的路基、路面各层表面的平整度，以评定路面的施工质量及使用质量。

2．测试要点

(1)在测试路段路面上选择测试地点

①当为施工过程中质量检测需要时，测试地点根据需要确定，可以单杆检测；

②当为路基、路面工程质量检查验收或进行路况评定需要时，应首尾相接连续测量10尺。除特殊需要外，应以行车道一侧车轮轮迹(距车道线80～10ocm)带作为连续测定的标准位置。

③对旧路面已形成车辙的路面，应取车辙中间位置为测定位置，用粉笔在路面上作好 标记。

(2)测试要点

①在施工过程中检测时，按根据需要确定的方向，将3m直尺摆在测试地点的路面上。

②目测3m直尺底面与路面之间的间隙情况，确定间隙为最大的位置。

③用有高度标线的塞尺塞进间隙处，量记最大间隙的高度，精确至0．2mm。

④施工结束后检测时，按现行《公路工程质量检验评定标准调》(JTJ071-98)的规定，每1处连续检测10尺，按上述步骤测记10个最大间隙。

3。计算

单杆检测路面的平整度计算，以3m直尺与路面的最大间隙为测定结果、连续测定10尺时，判断每个测定值是否合格，根据要求计算合格百分率，并计算10个最大间隙的平均值。

4；报告

单杆检测的结果应随时记录测试位置及检测结果。连续测定10尺时，应报告平均值、不合格尺数、合格率。

(二)连续式平整度仪法

1．试验目的与适用范围

用于测定路表面的平整度，评定路面的施工质量和使用质量，但不适用于在己有较多坑 槽、破损严重的路面上测定。

2．仪器设备

(1)连续式平整度仪：

除特殊情况外，连续式平整度仪的标准长度为3m，其质量应符合仪器标准的要求。中间为一个3m长的机架，机架可缩短或折叠，前后各有4个行走轮，前后两组轮的轴间距离为3m。机架中间有一个能起落的测定轮。机架上装有蓄电源及可拆卸的检测箱，检测箱可采用显示。记录、打印或绘图等方式输出测试结果。测定轮上装有位移传感器，自动采集位移数据时，测定间距为10cm，每一计算区间的长度为1oom，ioom输出一次结果。当为人工检测，无自动采集数据及计算功能时，应能记录测试曲线。机架头装有一牵引钩及手拉柄，可用人力或汽车牵引。

(2)牵引车：小面包车或其他小型牵引汽车。

(3)皮尺或测绳。

3，试验要点

(1)选择测试路段路面测试地点，同3m直尺法。

(2)将连续式平整度测定仪置于测试路段路面起点上。

(3)在牵引汽车的后部，将平整度的挂钩挂上后，放下测定轮，启动检测器及记录仪，随即启动汽车，沿道路纵向行驶、横向位置保拧稳定，并检查平整度检测仪表上测定数字显示、打印、记录的情况。如检测设备中某项仪表发生故障，即停车检测，牵引平整度仪的速度应均匀，速度宜为5km/h,最大不得超过12km／h。

在测试路段较短时，亦可用人力拖拉平整度仪测定路面的平整度。但拖拉时应保持匀速前进。

4．计算

(1)连续式平整度测定仪测定后，可按每10cm间距采集的位移值启动计算：100m计算区问的平整度标准差，还可记录测试长度、曲线振幅大于某一定值(3mm、5mm、8mm、10mm等)的 次数、曲线振幅的单向(凸起或凹下)累计值及以3m机架为基准的中点路面偏差曲线图，并打印输出。当为人工计算时，在记录曲线上任意设一基准线，每隔一定距离(宜为1.5m)读取曲线偏离基准线的偏离位移值di。

(2)每一计算区间的路面平整度以该区间测定结果的标准差表示。

(3)计算一个评定路段内各区间平整度标准差的平均值、标准差、变异系数。

5．报告

试验应列表报告每一个评定路段内各测定区间的平整度标准差。各评定路段平整度的平均值、标准差、变异系数以及不合格区问数。

(三)车载式颠簸累积仪法简介

1.目的和适用范围

(1)本方法规定用车载式颠簸累积仪测量车辆在路面上通行时后轴与车厢之间的单向位 移累积值VBI表示路面的平整度，以cm/km计。

(2)本方法适于测定路面表面的平整度，以评定路面的施工质量和使用期的舒适性。但不适用于已有较多坑槽、破损严重的路面上测定。

2．主要设备

本试验需要下列仪具:

(1)车载式颠簸累积仪：由机械传感器、数据处理器及微型打印机组成，传感器固定安装在测试车的底板上。仪器的主要技术性能指标如下：

①测试速度：可在30～50km/h范围内选定；

②最小读数：1cm；

③最大测试幅值：±30cm； ④最大显示值:9999cm;

⑤系统最高反应频率:5K Hz；

(2)测试车：旅行车、越野车或小轿车。

3．工作原理

测试车以一定的速度在路面上行驶，由于路面上的凹凸不平状况，引起汽车的激振，通过机械传感器可测量后轴同车厢之间韵单向位移累积值VBI，以cm／km计。VBI越大，说明路面平整性越差，人体乘坐汽车时越不舒适。

4，使用技术要点

(1)仪器安装应准确、牢固、便于操作。

(2)测试速度以32km/h为宜，一般不宜超过40km/h。

5；注意事项

(1)检测结果与测试车机械系统的振动特性和车辆行驶速度有关。减振性能好，则VBI 测值小；车速越高，vBI测值越大。因此必须通过对机械系统的良好保养和检测时严格控制车速来保持测定结果的稳定性。

(2)用车载式颠簸累积仪测出的颠簸累积值VBI，与用连续式平整仪测出的标准差

ó概念不同，可通过对比试验；建立两者的相关关系，将VBI值换算为ó ,用于路面平整度评定。

(3)通过大量研究观察得出：ó=0.6IRI

(4)国际平整度指数IRI是国际上公认的衡量路面行驶舒适性或路面行驶质量的指数。也可通过标定试验，建立VBI与IRI的相关关系，将颠簸累积仪测出的颠簸累积值VBI换算为国际平整度指数IRI。

关于车载式颠簸累积仪测定平整度试验方法可详见《公路路基路面现场测试规程》(JTJ059-95)。

6，报告

(1)应列表报告每二个评定胳段内各测定区向的颠簸累积值，各评定路段颠簸累积值的平均值、标准差、变异系数。

(2)测试速度

(3)试验结果与国际平整度指数等其他平整度指标建立的相关关系式、参数值、相关系数。

三、乎整度指标间相互关系的建立 1.国际平整度指数

平整度测定的方法和仪器很多，相应采用的指标也各不相同。为了使采用不同的方法和仪器测定的结果可以相互比较，需要寻找一个标准的(或通用的)平整度指标，它同其他平整度指标有良好的相关关系。同时,采用反应类平整度仪测定时，为使测定结果具有时间稳定性，必须经常进行标定；而标定曲线的精度取决于标定路段采用的平整度指标同反应类测定系统的相关性。

为了解决上述问题，世界银行于1982年组织了有巴西、英、美、法等国专家参加的国际研究小组、在巴西进行了大规模的路面平整度试验，在此基础上提出采用国际平整度指数(IRI)作为评价标准的建议。

国际平整度指数(IRI)是一项标准化的平整度指标。它同反应类平整度测定系统类似，但是采用的是数学模型模拟1/4车轮(即单轮，类似于拖车)以规定速度行驶在路面断面上，分析行驶距离内动态反应悬挂系的累积竖向位移量)标准的测定速度规定为80km／h，其测定结果的单位为m／km。因而，这一指标与反应类仪器的平均调整坡ARS相似，称作参照平均调整坡(RARS80)。

求得每一个位置的变量值后，即可计算该位置的调整坡(RS)。

IRI为路段长度内RS变量的平均值。因此，当每个断面点的调整坡求得后，便可 计算IRI。

上述计算过程已编制电算程序，在量测得到纵断面的高程资料后，便可按抽样点间距利用此程序计算该段路面平整度的国际平整度指数IRI值。

国际平整度指数IRI作为通用指标的效果，可以通过考察不同平整度测定方法的测定结果转换成以IRI表征后的一致性得到证实。

2。VRI与其他平整度指标相关关系的建立

用车载式颠簸累积仪测定的VBI值需要与其他平整度指标(如连续式平整度仪测出的标准差、国际平整度指数(IRI)等】进行换算时，应将车载式颠簸累积义的测试结果进行标定，即与相关的平整度仪测量结果建立相关关系，相关系数均不得小于0．90。

为与其他平整度指标建立相关关系，选择的标定路段应符合下列要求：

(1)有5~ 6段不同平整度的现有道路，从好到坏不同程度的都应各有一段

(2)每段路长宜为250~ 3oom。

(3)每一段中的平整度应均匀，段内应无大大差别。(4)标定路段应选纵坡变化较小的平坦、直线地段。

(5)选择交通量小或可以疏导的路段)减少标定时车辆的干扰。

标定路段起迄点用油漆作好标记，并每隔一定距离作中间标记，标定宜选择在行车道的正常轮迹上进行。

1)用连续式平整度仪进行标定

(1)用于标定的仪器应使用按规定进行校准后能准确测定路面平整度的连续式平整 度仪。

(2)按现行操作规程用连续式平整度仪沿选择的每个路段全程连续测量平整度3~5次，取其平均值作为该路段的测试结果(以标准差表示)。

(3)用车载式颠簸累积仪沿各个路段进行测量，重复3 ~5次后，取其各次颠簸累积值的平均值作为该路段的测试结果，与平整度仪的各段测试结果相对应。标定时的测试车速应在30~ 50km／h范围内选用一种或两种稳定的车速分别进行，记录车速及搭载量，以后测试时的情况应与标定时的相同。

(4)整理相关关系

将连续式平整度仪测出的标准差ó 及车载式颠簸累积仪测出的颠簸累积值VBIv绘制出 曲线并进行回归分析，建立相关关系。

2)将车载式颠簸累积仪测定结果换算成国际平整度指数的标定方法

(1)将所选择的标定路段在标记上每隔0.25m作出补充标记。

(2)在每个路段上用经过校准的精密水平仪分别测出每隔0.25m标点上的标高，计算国际平整度指数IRI。

(3)用车载式颠簸累积仪测试得到各个路段的测试结果。

常用建筑材料检测取样及检测方法 第3篇

[关键词]建筑材料；检测取样；检测方法；屈服强度

1、水泥

1.1水泥的检测取样

根据连续进场、等级、厂家、批号和品种都相同的水泥作为划分依据，取样单位同品种、同标号、同编号为一个取样单位，灌装水泥应该进行分别编号和抽样，编号要按照水泥厂年生产能力的规定；每年10--30万吨的不得超过400t作为一个编号；每年要是4--10万吨的不超过200t做为一编号。并且按照同一次进場的有相同出厂编号的水泥作为一个取样单位，任意从至少3个相同罐车中取出同等量的水泥，经均匀混拌后取出至少12kg。另外，水泥存放保管也要符合相关要求。

1.2水泥的检测方法

水泥的检测主要是对水泥的几项重要指标进行相应的检测，主要包括水泥细度的检验、水泥凝结时间检测、水泥安定性检测、水泥胶砂强度检测等。

水泥细度检测是根据《水泥细度检验方法筛析法》（GB/1345—2005）。GB 175—2007规定，评定水泥细度是不是符合标准要求，水泥细度为选择性指标：矿渣硅酸盐水泥、火山灰质硅酸盐水泥、粉煤灰硅酸盐水泥和复合硅酸盐水泥的细度都要要筛余表示，其80μm方孔筛筛余要小于10%或者45μm方孔筛筛余不大于30%

水泥凝结时间检测是根据《水泥标准稠度、凝结时间、体积安定性检测方法》（GB/T 1346—2001）和《通用硅酸盐水泥》（GB 175—2007）的规定：硅酸盐水泥的首次凝结时间应该在45分钟以上，最终凝结时间应该小于390分钟；普通硅酸盐水泥、矿渣的硅酸盐水泥粉煤灰硅酸盐水泥、火山灰质硅酸盐水泥和复合硅酸盐水泥的初次凝结时间应该大于45分钟，最终凝结时间在600分钟以内。

水泥安定性检验依据《水泥标准稠度、凝结时间、体积安定性检测方法》（GB/T 1346—2001）和《通用硅酸盐水泥》（GB 175—2007）的规定，普通硅酸盐水泥、硅酸水泥、矿渣硅酸盐水泥、粉煤灰硅酸盐水泥、火山灰质硅酸盐水泥和复合硅酸盐水泥安定性在沸煮法检验下必须达到相关标准。

水泥胶砂强度检验通过检验不同期间段的抗压强度、抗折强度，来确定水泥强度等级或者进行评定水泥强度是不是和标准要求相同。

2、钢筋

2.1钢筋的检测取样

钢筋的取样要按照同一牌号、炉罐号、规格、出厂日期和假货状态来进行划分，一般情况下，一批钢筋的重量不要大于60吨。其中冷拉钢筋要进行分批验收，一个检验批次应该是同直径、同等级重量不大于20吨的冷拉钢筋。另外对于重量在30吨以内的连续坯轧和冶炼炉钢筋，可以使用同牌号、铜冶炼、同浇筑的方法混合成批次进行，要注意的是每个批次不得大于6个炉号，并且每个炉号的含碳量相差不得大于0.2%含锰量之差应该在0.15%以内。根据相关规定，钢筋取样的流程是：首先去掉钢筋端头500mm，然后再随意截取钢筋端头500到1000mm，作为取样。

2.2钢筋的检测方法

在钢筋进场时，首先检查产品的合格证、出厂检验报告以及进场复验报告等。钢筋检测的主要项目包括：钢筋的屈服强度、伸长率、抗拉强度、焊接和冲击检验、冷弯检测以及反复弯曲等。钢筋质量必须符合国家现行的标准GB13012《钢筋混凝土用热轧光圆钢筋》、GB1499《钢筋混凝土用热轧带肋钢筋》以及GB/T701《低碳钢热轧圆盘条》等规定和设计要求。但是在现实的检测过程中，有些检测人员不能够严格地执行国家检测标准，比如光圆钢筋的力学性能达到了Ⅱ级指标，就判断其实Ⅱ级钢，并且贸然按照Ⅱ级钢筋来使用，实际上这些纲吉的屈服强度和抗拉伸强度都低于Ⅱ级钢筋的十个百分点，如果在建筑施工中，就相当于比工程设计图少放了10%的受力钢筋，必然会影响建筑工程的施工质量，对建筑设施造成安全隐患。

同时还应该注意，在对钢筋进行检测的过程中，应该采用钢筋的公称横截面积对钢筋强度进行计算，因为在建筑市场上钢筋的实际直接往往都小于公称直径，如果采用称量法来计算其强度值的话，钢筋试件会符合标准，但是再采用公称截面积计算就不符合了，如果在建筑施工中使用了这些强度计算错误的钢筋，那么必然会给建筑施工结构带来安全隐患。同样为了保证试验结果比较可信，也需要对检测获得的数据进行合理的修约，比如：按照《金属材料室温拉伸试验方法》的规定，没有具体要求的情况下，强度值大于1000N/mm2时，修约间隔应该为10N/mm2，强度值在200至1000N/mm2时，修约间隔应该为5N/mm2，当强度值不大于200 N/mm2时，修约间隔是1N/mm2。

3、木板

3.1建筑材料木板的检测取样

木板取样应该注意，同一品牌、品种、厂家、规格和类型的木板放在一个批次，在实际的检测工作中我们通常是随机按照规定的面子截取一小块木板作为检测样品。

3.2建筑材料木板的检测方法

在木板进场的时候，首先要对其合格证、出厂报告以及复验报告等进行检查。木板的检测项目主要包括：甲醛释放量、表面耐磨、静曲强度、含水率、吸水厚度膨胀率、表面耐香烟灼烧和表面耐冲击性能等。不过对于类型、品种和用途不同的木板来说，具体的检测项目也存在着不同。

此外，有一点是需要我们特别注意的，甲醛属于一种致癌物质，但是其在人造板中是一种不可替代的材料，甲醛的释放时间很长，所以我们必须重视这方面的检测，详细分析如下：

一般来讲，人造板中甲醛的释放量最主要取决于其在生产过程中所使用的胶黏剂、木材原料和环境等因素，具体的检测方法主要有三种：静态检测法、动态检测法和总量萃取法。

静态检测法，这种方法主要应用为干燥器法，具体的检测步骤是：把截取好的木板样品放入存有蒸馏水的干燥器物中，使其在恒温状态下进行甲醛挥发，这样挥发出来的甲醛就会被底部的蒸馏水所溶解，然后计算木板样品的面积和蒸馏水中甲醛的含量来得出甲醛的释放量。

动态检测法主要是将待检测的木板样品放置在特定湿度、温度、气流量和压力的气候箱中，充分混合其释放出的甲醛和载气，然后利用吸收瓶吸收气候箱中的气体，然后测定出吸收液中的甲醛含量、木板样品表面积和吸收时间，计算出甲醛释放量。

总量萃取法最常用的是穿孔法，适用于没有经过饰面的挤压刨花板、平压刨花板和中密度纤维板。首先，用沸腾的甲苯萃取所检测的样本中的甲醛，然后将溶有甲醛的甲苯通过穿孔器和水进行液液萃取，让甲醛溶于蒸馏水中，再惊醒测定。总量萃取法的过程不容易受到环境温度的影响，所以其检测结果较好、数据较可靠。但是萃取法所需的设备比较复杂，操作费用较高，并且甲苯挥发对人体也是一种伤害，会造成一定的污染。

4、结束语

对建筑材料科学合理的取样，严格按照相关标准对建筑材料进行检测，是确保工程材料和工程质量的重要举措。建筑施工工程的质量问题与国际社会经济的可持续发展进而人民群众的生命财产安全息息相关，所以检测人员必须严格按照检测标准，规范操作，注意检测过程的每一个细节，做好检测工作。

参考文献

[1]沈丽，孙晓东.谈钢筋的检测及注意事项[J].民营科技，2010，（10）

入侵检测方法的研究现状 第4篇

1 入侵检测

入侵检测通过收集并建立网络或系统的关键信息, 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象[1]。从大量的审计数据属性中生成能有效检测入侵的正常行为轮廓, 或从中有效的提取出入侵模式, 是入侵检测模型的研究重点, 并按此将入侵检测分为误用入侵检测和异常入侵检测。

2 入侵检测方法

目前误用检测方法包括专家系统、入侵模型分析、模式匹配、基于状态转换分析、基于条件概率、基于键盘监控、基于Petri网等方法。异常检测包括统计分析、神经网络、遗传算法、数据挖掘、基于模糊技术、基于免疫原理及基于代理等方法[2,3,4]。

1) 专家系统方法

根据专家经验, 在分析入侵行为的基础上建立一套推理规则, 从而形成相应的专家系统。推理规则一般是根据已知的安全漏洞进行制定, 并依据专家经验的积累不断地对规则进行扩充和修正。

2) 基于模型推理方法

根据入侵的行为程序建立特定行为特征的模型, 根据这些模型建立攻击脚本库。检测时通过翻译假定的攻击行为, 并与审计记录进行匹配, 检测恶意的具有特定行为特征的异常行为。

3) 模式匹配方法

将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较, 从而发现违背安全策略的行为。一般来讲, 一种进攻模式可以用一个过程 (如执行一条指令) 或一个输出 (如获得权限) 来表示。

4) 状态转换方法

状态转换分析使用高级状态转换图表来体现和检测已知的入侵攻击方式, 状态转换分析系统利用有限状态机图表模拟入侵。入侵包括初始状态和入侵状态, 这两个状态之间的转换由一系列行为序列组成。建立模型时需要分析每一种入侵方法导致系统由初始状态转换为入侵状态的转换条件, 将其与两种状态使用状态转换图来表示出来集成于模型中。

5) 基于条件概率

该方法将入侵方式对应于一个事件序列, 然后通过观测到的事件发生情况来推测入侵出现。这种方法依据是外部事件序列, 根据贝叶斯定理进行推理检测入侵。它可以通过事件序列的观测, 从而推算出事件出现的概率。

6) 基于键盘监控

该方法假设入侵对应特定的击键序列模式, 然后监测用户击键模式, 并将这一模式与入侵模式匹配, 即能检测入侵。这种方法在没有操作系统支持的情况下, 缺少捕获用户击键的可靠方法, 而且同一种攻击存在无数击键方式表示。

7) 有色Petri网

基于Petri网的入侵检测使用Petri网来表示初始状态与入侵状态及造成两种状态转换的特征事件, 这些事件被集成于模型中, 匹配时根据设定的状态驱动条件阈值来判断是否为入侵。

8) 统计分析方法

统计分析方法利用统计理论提取系统对象的正常行为并采用频度、概率、均值、方差及偏差等统计量为其创建统计描述。统计处理后的数据与系统待检测的数据进行比较, 根据其偏差是否超过所设定的阈值来进行判断, 当超出阈值时系统做出入侵处理。

9) 神经网络算法

神经网络算法主要利用入侵样本进行训练, 构造基于多层感知器的神经网络分类器, 使系统具备对某些入侵行为进行分类的能力。入侵样本主要从系统程序的执行轨迹中提取关键程序的正常系统调用子序列, 或从其遭受入侵攻击的执行轨迹中提取关键程序的标识已知入侵的系统调用子序列。这些数据经过学习, 改变神经元之间的连接权值进而将有关入侵行为的特征信息储存到神经网络中。完成学习后, 利用构建的神经网络分类器监控系统关键程序的执行情况, 从而确定系统是否受到恶意入侵。

10) 遗传算法

遗传算法分析包括两步, 第一步是用一个位串对问题的解决办法进行编码, 第二步是与一些进化标准比较, 找一个最适合的函数测试群体中的每个个体。基于遗传算法的入侵检测先使其通过一个学习样本库进行训练。通过对样本库中各个样本的选取、交叉、变异操作, 生成新一代个体, 然后选取检测能力最强的那些个体进入新一轮的交叉、变异和选择, 通过若干代的循环过程, 直到检测能力不再提高为止。对未知入侵还可以自我学习, 不断完善特征库。

11) 数据挖掘方法

基于数据挖掘的入侵检测方法从大量的审计数据或数据流中提取感兴趣的知识, 这些知识是隐含的、事先未知的潜在有用信息, 提取的知识表示为概念、规则、规律、模式等形式, 并用这些知识去检测异常入侵和己知的入侵。

12) 基于模糊技术

模糊入侵检测系统是基于知识的入侵检测系统, 它不针对每个入侵的模式进行匹配, 而是从多个角度对入侵的模糊特征用模糊集合描述, 并以模糊规则的形式存放在模糊专家系统中, 模糊入侵检测系统分析原始数据产生模糊证据, 提交给模糊专家系统分析, 从而产生响应。

13) 免疫系统方法

免疫方法通过模拟生物有机体的免疫系统工作机制, 使受保护的系统能区分非我与自我。生物免疫系统通常对先前己发现的外界感染类型做出比较强烈的反应。但是它同样可以处理新的未知感染类型, 针对未知的感染病原体进化出新的检测器来处理此种病原体类型。

14) 基于代理检测

基于代理的检测方法就是一个在主机上执行某种安全监控功能的软件实体, 不需要其他进程控制, 只需要操作系统就可完成。基于代理的入侵检测系统能够在其能力允许范围内提供异常检测和误用检测的混合检测能力, 可以适应本地环境变化, 并能在长时间内监控非常不去定的模式。

3 现有入侵检测方法的对比

综合分析来看 (表1) , 误用入侵检测的各类方法实现起来较容易, 并且检测的速度比较快, 检测率和准确率也比较高, 但普遍存在的缺点是不能检测未知攻击, 面对出现的新入侵无能为力;异常入侵检测技术可以较好的检测未知入侵, 然而会产生误报, 额外增加系统的处理操作负担, 并且对“正常”行为特征轮廓的确定、更新和特征量的选取工作难度较大, 检测速率较低。基于两类入侵检测方法国内外已开发了很多入侵检测系统, 但是, 在核心算法方面、在有效性、自适应性等方面以及在检测率方面仍存在较多的问题, 这也是国内外专家仍然不懈地致力于开拓新思路的主要原因。

4 入侵检测方法研究趋势

现今, 网络环境日益复杂, 入侵检测研究面临更大的挑战。一方面, 现今的网络传输速率已经达到Gbit/s, 入侵检测的基础是获得完整的网络数据流, 否则无法完成正常的检测。并且网络内部流量包括了各种业务, 如各种服务FTP、HTTP、SMTP等, 因此入侵检测系统面临着海量数据处理的压力。另一方面, 随着网络日益广泛的普及, 各种黑客工具蔓延, 导致网络入侵越来越复杂, 不断出现新的入侵, 并且新的入侵具有分布式特点, 不断朝着网络化、隐蔽化的方向发展, 因此对入侵检测的准确性与实时性要求也越来要高, 并且需要系统具有发现未知入侵的能力, 来应对新的攻击。目前, 入侵检测方法的主要研究方向有:

1) 智能检测方法从理论到实际应用进行过渡, 积极探求新的方案解决智能检测方法中计算量大的问题, 以发挥智能检测中检测未知入侵的能力, 应对复杂的攻击;

2) 入侵检测与其他安全技术相结合, 提供完整的网络安全保障。其他安全技术如防火墙、PKI/SET等;

3) 单一的入侵检测方法存在难以避免的缺陷, 因此, 加强入侵检测方法之间的协作机制, 以自身的长处弥补协作方的不足, 从而提供纵深的、多方位的综合网络安全防护体系, 成为入侵检测的一个发展趋势。

摘要：网络安全问题日益突出, 入侵检测系统的研究日渐兴盛, 在传统的入侵检测方法基础上, 不断地改进, 并探索与遗传算法、免疫算法等智能算法结合, 向着更智能更多元化发展。该文从误用检测和异常检测两方面入手, 探讨了现有的用于入侵检测的方法, 并对其进行优势与劣势的对比。最后就入侵检测技术研究趋势进行了分析。

关键词：入侵,检测,误用,异常

参考文献

[1]修玮.关于局域网络对外来网络设备排斥的研究[D].大连:大连交通大学, 2009:1-2.

[2]卿斯汉, 蒋建春, 马恒太, 等.入侵检测技术研究综述[J].通信学报.2004, 25 (7) :19-29.

[3]唐正军.入侵检测技术导论[M].北京:机械工业出版社, 2004:246-167.

电脑电源检测方法 第5篇

1 人为唤醒电源检测

简单来说就是接电脑主板 20 针的插头，用一根导线(如一个细铁丝，具体 大家发挥想象) 一头插绿色的线， 一头插黑色的线(有 8 根任意其一)， 若电源风扇转了就说明电源好了，

用一根细导线把 ATX 插头的 14 脚 PS-ON 和另一端的第 3、5、7、13、15、16、17 脚中的 任一短脚连接 ，这是 ATX 电源在待机状态下人为的唤醒启动，这时 PS-ON 信号应 该为低电平，PW-OK、+5VSB 信号应该为高电平，最重要的是开关电源风扇是否会旋转， 如果旋转说明电源应该没有问题 (在没有万用表的情况下这是判断电源是否损坏的最直接的方法) 。

2 脱机带电检测

通常情况下，在待机状态下的 PS-ON 和 PW-OK 的两路电源信号，一个是高电平，另一个 是低电平，插头 9 脚只输出+5VSB 电压，只要用万用表测量电压是否到了参数值，就可判 断出问题的结果。

电源维修常识 一、故障类型：电源无输出 此类为最常见故障，主要表现为电源不工作。在主机确认电源线已连接好(有些有交流开关 的电源要打到开状态)的情况下，开机无反应，显示器无显示(显示器指示灯闪烁) 。无输出故障又分为以下几种： ① +5VSB 无输出 前面已讲到+5VSB 在主机电源一接交流电即应有正常 5V 输出，并为主 板启动电路供电。因此，+5VSB 无输出，主板启动电路无法动作，将无法开机。 此故障制 定方法为：将电源从主机中拆下，接好主机电源交流输入线，用万用表测量电源输出到主板 的 20 芯插头中的紫色线(+5VSB)的电压，如无输出电压则说明+5VSB 线路已损坏，需更 换电源。对有些带有待机指示灯的主板，无万用表时，也可以用指示灯是否亮来判断+5VSB 是否有输出。此种故障显示电源内部有器件损坏，保险很可能已熔断。 ② +5VSB 有输出，但主电源无输出 此种情况待机指示灯亮，但按下开机键后无反应，电 源风扇不动。此现象显示保险丝未熔断，但主电源不工作。故障判定方法为：将电源从主机 中拆下，将 20 芯中绿线(PS ON/OFF)对地短路或接一小电阻对地使其电压在 0.8V 以下， 此时， 电源仍无输出且风扇无转动迹象 (注： 有极少数电源在空载时不工作， 此种情况除外) ， 则说明主电源已损坏，需更换电源。 ③ +5VSB 有输出，但主电源保护 此情况也比较多，由于制造工艺或器件早期失效均会 造成此现象。此现象和②的区别在于开机时风扇会抖动一下，即电源已有输出，但由于故障 或外界因素而发生保护。为排除因电源负载(主板等)损坏短路或其它因素，可将电源从主 机中拆下，将芯中绿线对地短路，如电源输出正常，则可能为： I. 电源负载损坏导致

电源保护，更换损坏的电源负载; II. 电源内部异常导致保护，需更换电源; III. 电源和 负载配合，兼容性不好，导致在某种特定负载下保护，此种情况需做进一步分析。 ④ 电源正常， 但主板未给出开机信号 此种情况下也表现为电源无输出，可通过万用表测量 20 芯中绿色线对地电压是否在主机开机后下降到 0.8V 以下，若未下降或未在 0.8V 以下， 可能导致电源无法开机。 二 故障类型：电源有输出，但主机不显示。 这种情况比较复杂，判定起来也比较困难，但可以从以下几个方面考虑： 1) 电源的各路输 出中有一路或多路输出电压不正常，可用万用表测试; 2) 无 P.G 信号，即测量 20 芯线中 灰色线是否为高电平，如果为低电平，主机将一直处于复位状态，无法启动。 3) 电源输出 上升沿或时序异常，或和主板兼容性不好，也可导致主机不显示，但此种情况较复杂，需借 助存储示波器才可分析。

实用手册:电源输出导线对应功能全接触 实用手册 电源输出导线对应功能全接触 电源是主机的心脏，为电脑的稳定工作源源不断提供能量。是不是大家以为木头又要推荐电源了，哈哈， 今天我们不谈产品，主要聊一下每个电源上都具有的输出导线。对于不同定位的电源，它的输出导线的 数量有所不同，但都离不开花花绿绿的这 9 种颜色：黄、红、橙、紫、蓝、白、灰、绿、黑。健全的 PC 电源中都具备这 9 种颜色的导线(目前主流电源都省去了白线) ，它们的具体功能相信还有不少网友搞不 清楚，今天木头就给大家详细的讲解一下。

颜色多样的电源输出导线 黄色：+ 黄色：+12V ：+ 黄色的线路在电源中应该是数量较多的一种， 随着加入了 CPU 和PCI-E 显卡供电成分， +12V 的作用 在电源里举足轻重。 +12V 一直以来硬盘、光驱、软驱的主轴电机和寻道电机提供电源，及为 ISA 插槽提供工作电压和串 口等电路逻辑信号电平。如果+12V 的电压输出不正常时，常会造成硬盘、光驱、软驱的读盘性能不稳定。 当电压偏低时，表现为光驱挑盘严重，硬盘的逻辑坏道增加，经常出现坏道，系统容易死机，无法正常 使用。偏高时，光驱的.转速过高，容易出现失控现象，较易出现炸盘现象，硬盘表现为失速，飞转。目 前，如果+12V 供电短缺直接会影响 PCI-E 显卡性能，并且影响到 CPU，直接造成死机。 蓝色：- 蓝色：-12V ：- -12V 的电压是为串口提供逻辑判断电平，需要电流较小，一般在 1 安培以下，即使电压偏差较大， 也不会造成故障，因为逻辑电平的 0 电平为-3 到-15V，有很宽的范围。 红色：+ 红色：+5V ：+ +5V 导线数量与黄色导线相当，+5V 电源是提供给 CPU 和 PCI、AGP、ISA 等集成电路的工作电压， 是计算机主要的工作电源。目前，CPU 都使用了+12V 和+5V 的混合供电，对于它的要求已经没有以前那么高。只是在最新的 Intel ATX12V 2.2 版本加强了+5V 的供电能力，加强双核 CPU 的供电。它的电源质量的好坏，直接关系着计算机的系统稳定性。 白色：- 白色：-5V ：- 目前市售电源中很少有带白色导的，-5V 也是为逻辑电路提供判断电平的，需要的电流很小，一般 不会影响系统正常工作，出现故障机率很小，

橙色：+3.3V 这是 ATX 电源专门设置的，为内存提供电源。最新的 24pin 主接口电源中，着重加强了+3.3V 供电。 该电压要求严格，输出稳定，纹波系数要小，输出电流大，要 20 安培以上。一些中高档次的主板为了安 全都采用大功率场管控制内存的电源供应，不过也会因为内存插反而把这个管子烧毁。使用+2.5V DDR 内存和+1.8V DDR2 内存的平台，主板上都安装了电压变换电路。 紫色：+5VSB(+5V 待机电源) ATX 电源通过 PIN9 向主板提供+5V 720MA 的电源， 这个电源为 WOL(Wake-up On Lan)和开机电路， USB 接口等电路提供电源。如果你不使用网络唤醒等功能时，请将此类功能关闭，跳线去除，可以避免 这些设备从+5VSB 供电端分取电流。这路输出的供电质量，直接影响到了电脑待机是的功耗，与我们的 电费直接挂钩。绿色：P-ON(电源开关端) 通过电平控制电源的开启。当该端口的信号电平大于 1.8V 时，主电源为关;如果信号电平为低于 1.8V 时，主电源为开。使用万用表测试该脚的输出信号电平，一般为 4V 左右。因为该脚输出的电压为信 号电平。这里介绍一个初步判断电源好坏的土办法：使用金属丝短接绿色端口和任意一条黑色端口，如 果电源无反应，表示该电源损坏。现在的电源很多加入了保护电路，短接电源后判断没有额外负载，会 自动关闭。因此大家需要仔细观察电源一瞬间的启动。 灰色：P-OK(电源信号线) 一般情况下，灰色线 P-OK 的输出如果在 2V 以上，那么这个电源就可以正常使用;如果 P-OK 的输 出在 1V 以下时，这个电源将不能保证系统的正常工作，必须被更换。这也是判断电源寿命及是否合格的 主要手段之一。 认识导线种类作用是 DIY 玩家的必修课，是菜鸟用户晋级的必经之路，大家掌握了电源导线种类可 以更清晰的认识电源的输出规格，方便大家选购电源和排除故障。

微机的故障经常出在电源上，由电源造成的故障约占整机各类部件总故障数的20%～30%。而对主机各个部分的故障检测和维修，也必须建立在电源供应正常的基础上。下面我们对电源的常见故障做一些讨论。

微机电源一般容易出的故障有以下几种：保险丝熔断、电源无输出或输出电压不稳定、电源有输出但开机无显示、电源负载能力差。

下面分别介绍其检修方法：

1.保险丝熔断

故障分析与排除：出现此类故障时，先打开电源外壳，检查电源上的保险丝是否熔断，据此可以初步确定逆变电路是否发生了故障。若是，则不外如下三种情况造成：

・输入回路中某个桥式整流二极管被击穿

・高压滤波电解电容C5、C6被击穿

・逆变功率开关管Q1、Q2损坏

其主要原因是因为直流滤波及变换振荡电路长时间工作在高压(+300V)、大电流状态，特别是由于交流电压变化较大、输出负载较重时，易出现保险丝熔断的故障。直流滤波电路由四只整流二极管、两只100KΩ左右限流电阻和两只330μF左右的电解电容组成;变换振荡电路则主要由装在同一散热片上的两只型号相同的大功率开关管组成。

交流保险丝熔断后，关机拔掉电源插头，首先仔细观察电路板上各高压元件的外表是否有被击穿烧糊或电解液溢出的痕迹，若无异常，用万用表测量输入端的值，若小于200KΩ，说明后端有局部短路现象，再分别测量两个大功率开关管e、c极间的阻值，若小于100KΩ，则说明开关管已损坏，测量四只整流二级管正、反向电阻和两个限流电阻的阻值，用万用表测量其充放电情况以判定是否正常。另外在更换开关管时，如果无法找到同型号产品而选择代用品时，应注意集电极-发射极反向击穿电压Vceo、集电极最大允许耗散功率Pcm、集电极-基极反向击穿电压Vcbo的参数应大于或等于原晶体管的参数。再一个要注意的是：切不可在查出某元件损坏时，更换后便直接开机，这样很可能由于其它高压元件仍有故障又将更换的元件损坏。一定要对上述电路的所有高压元件进行全面检查测量后，才能彻底排除保险丝熔断故障。

2.无直流电压输出或电压输出不稳定

故障分析与排除：若保险丝完好，在有负载情况下，各级直流电压无输出，其可能原因有：电源中出现开路、短路现象，过压、过流保护电路出现故障，振荡电路没有工作，电源负载过重，高频整流滤电路中整流二极管被击穿，滤波电容漏电等。

处理方法为：

・用万用表测量系统板+5V电源的对地电阻，若大于0.8Ω，则说明系统板无短路现象;

・将微机配置改为最小化，即机器中只留主板、电源、蜂鸣器，测量各输出端的直流电压，若仍无输出，说明故障出在微机电源的控制电路中。控制电路主要由集成开关电源控制器(TL-496、GS3424等)和过压保护电路组成，控制电路工作是否正常直接关系到直流电压有无输出。过压保护电路主要由小功率三极管或可控硅及相关元件组成，可用万用表测量该三极管是否被击穿(若是可控硅则需焊下测量)、相关电阻及电容是否损坏。

・用万用表静态测量高频滤波电路中整流二极管及低压滤波电容是否损坏。

3.电源有输出，但开机无显示

故障分析与排除：出现此故障的可能原因是“POWER GOOD”输入的Reset信号延迟时间不够，或“POWER GOOD”无输出。

开机后，用电压表测量“POWER GOOD”的输出端(接主机电源插头的1脚)，如果无+5V输出，再检查延时元器件，若有+5V输出，则更换延时电路的延时电容即可。

4.电源负载能力差

故障分析与排除：电源在只向主板、软驱供电时能正常工作，当接上硬盘、光驱或插上内存条后，屏幕变白而不能正常工作。其可能原因有：晶体管工作点未选择好，高压滤波电容漏电或损坏，稳压二极管发热漏电，整流二级管损坏等。

浅谈锅炉检测方法 第6篇

【摘 要】本文作者结合工作经验，介绍了锅炉检测的3种主要方法，并进行了相应的讨论，可供参考。

【关键词】锅炉检测；内部检测；无损检测

锅炉属于承压设备，在日常的运转过程中，各受压元件不仅长期受高温高压的水汽作用，同时还承受着高温火焰和烟尘的冲刷，极易发生变形、过烧、磨损和泄漏等问题。这些问题如果不能及时得到解决，就容易在锅炉内部出现堵塞和结渣，严重时甚至会导致爆管和爆炸等恶性事故的发生。

在实际情况中，无缺陷的锅炉几乎是不存在的，或多或少都会出现在整体设计上的失误、安装中的误差和原材料自身的缺陷。检验工作的作用就是发现和解决这些缺陷，但即使是最严格的检验，也会有些许隐患被忽视而隐藏下来。于是，在日常使用中，这些隐患随着操作不当、过载以及诸多复杂的因素而被逐渐放大，如果没有被排除，它们就会最终造成对锅炉的破坏。

如何完善对锅炉的检测工作，保障其安全运行成了锅炉管理工作中的重要内容。为了提高锅炉设备的稳定性，延长其使用寿命，保证安全生产的顺利进行，国家已将锅炉的设计制造、安装使用、检测维修和改造这七个环节纳入了强制管理的范畴。

1.确保检测工作的安全性

锅炉的检测工作是一项易发生事故的高危作业，因此在对锅炉进行检测之前，一定要做好相应的准备工作和安全保障工作，以避免事故的发生，保证工作人员的生命安全。

1.1检测前要认真阅读相关的技术文件和资料

在对锅炉进行检测之前，一定要对与待检测锅炉相关的文件和技术资料（如锅炉的制造和安装说明书、各种参数的资料、锅炉的运行规范以及历次的维修和改造记录，尤其是以往发生的事故记录）进行认真的阅读和掌握，以便深入的了解锅炉的结构。

1.2确保检测环境的安全性

在对锅炉进行检测之前，一定要将锅炉内的水放净。同时，将锅炉上一切的门孔装置开启，以便对锅炉内部进行彻底的通风和冷却。采取切实有效的措施将与锅炉连接的给水、排污和蒸汽管道等有效隔断，防止因意外情况引起水汽倒灌，对检测人员造成伤害。如果锅炉的燃料是燃油或燃气，还要完全切断油气来源。

1.3清理锅炉内部的污垢

在对锅炉进行检测前，认真清理锅炉内部的炉渣、烟灰和水垢。锅炉的内表面往往被水垢和烟灰覆盖，这些污垢很可能遮盖着裂纹、变形等缺陷，如果不对其进行清除，就难以发现这些隐患，也就失去了锅炉检测的意义。

1.4做好辅助工作

在对锅炉进行检测前，要将各类妨碍检测员视线和检测工作的锅筒内件拆除，使对锅炉的检测更加全面、彻底。同时，做好对锅炉内部的照明工作，如果需要检测的部位比较高，则应搭建脚手架，并做好安全防护措施，以免检测人员不慎从高处坠落。

2.检测锅炉的主要方法

根据现行的《锅炉定期检验规则》，锅炉的检测工作应包括内部检验，外部检验和水压试验三项内容。

2.1内部检验的主要方式

2.1.1宏观检查

宏观检查指检验人员进入锅炉内部，目视或以放大镜目视的方式对锅炉内外表面，可以发现受压部件的裂纹，起槽，变形，腐蚀等等的缺陷，对锅炉的状况形成一个直观基本的判断。

2.1.2无损检测

（1）磁粉检测。

磁粉检测，就是先将需要检测的工件磁化，如果工件的表面或者近表面存在裂缝或者磨损，就会在相应部位逸出磁力线并形成漏磁场，最终将工件表面上的磁粉聚集在一起形成磁痕，从而将破损部位显示出来。

磁粉检测的优点是精度较高，同时能显示出肉眼无法观测的近表面中存在的裂纹等问题尤其适合对铁磁性材料进行检测，但针对性较强。若需检测的工件无法磁化或难以消磁，就无法使用磁粉检测的方法。

（2）超声波检测法。

对于锅炉角焊缝熔合程度的检测一般采用超声波检测法，此种方法的精确度较高，但是不易于掌握，对操作人员的要求较高。如果操作人员既没有经过系统的训练也没有一定的实际操作经验，就很难对信号做出准确的判断。

锅炉内部检测的内容较多，因此内部检测工作的重要环节之一就是制订检测方案，根据检测部位和检测重点的不同来选择不同的检测手段，这样不仅可以提高工作效率，还可以使检测人员更加准确迅速的找出隐藏在锅炉上的问题。

2.2 外部检验

锅炉的外部检验工作是在锅炉运行状态下完成的，其检查重点是锅炉的运行和操作是否规范、锅炉管理中是否存在问题、锅炉的安全附件和保护装置是否达到相关要求。外部检测还包括检查锅炉的承压元件有无形变和泄漏等问题。外部检验和内部检验是相辅相成的关系，可以发现在进行内部检验时不易发现的问题，以及锅炉在日常运行中存在的问题，通过日常问题的改善，从而减少日常运行中的安全隐患。

2.3水压试验

所谓水压试验就是以水为介质，通过对水进行加压而对锅炉的承压部件进行检测。所施加压力的大小，应以既能反映出锅炉在严密性和强度方面的问题而又不会损坏完好部件为准。水压试验往往会造成有缺损部件的损伤或破坏，但是这避免了在锅炉运行中可能出现的更大的破坏。

2.3.1水压试验的优点

（1）安全、经济。

水压试验的介质——水，既常见又易于获得，对其进行加压的时候不需要消耗过多的机械功就能达到所需要的压力。同时，水泄压膨胀而释放的能量很小，且不会释放热能，因而不会对完好的元件造成损害。

（2）试压状态与工作状态的可比性较高。

在进行水压试验时，锅炉元件内表面应力的分布与在工作状态下是相同的，如果此时锅炉元件能够承受水压试验的压力，就可以认为其也能承受住工作压力。尽管工作状态下还有其他因素会对锅炉元件造成影响，但是压力是主要因素，也正是由于这个原因，水压试验易于发现和暴露元件的缺陷。

（3）操作方便。

水压试验的实施不需要借助复杂的仪器或设备，也不需要操作人员拥有什么高深的技术，无论大小企业均可自行完成。

2.3.2水压试验的缺点

（1）锅炉各元件由于自身材料和尺寸的差异，在同一水压试验的压力下的应力水平不尽相同，因此各元件能够暴露出的缺陷程度也会因此存在差异。

（2）在水压试验中，锅炉元件缺陷的发现只能靠肉眼分辨，因此那些细微或肉眼无法发现的缺陷难以被察觉。

（3）水压试验使用的水往往没有经过净化，试验结束后锅炉内表面附着的水容易导致锅炉的锈蚀。

尽管水压试验存在着这样那样的不足，但由于其优点同样显著，在未来的一段时间内，水压试验仍旧会是锅炉检测的最基本手段。

3.结论

切实有效的开展锅炉的检验工作既能延长锅炉（下转第129页）（上接第34页）的使用寿命，又能提升锅炉的热效率，更保障了企业的安全生产，因此各单位应给予此项工作更多的关注和更高重视。随着大型锅炉的不断问世并相继投入使用，未来对锅炉检测工作的无损化必将会提出更高的要求。因此，在做好日常检测工作的同时开展对新技术新方法的研究，不仅有利于更好的开展现阶段的工作，还会为适应未来的技术要求打下坚实的技术基础。

【参考文献】

[1]熊谦逊.立式锅炉无损检测的重点[J].无损检测，2006（4）.

[2]金崇林，管诚伟，郑渊蔚.电站锅炉无损检测新技术的探讨[J].中国化工贸易，2011（6）.

入侵检测系统的方法研究 第7篇

随着网络化的日趋成熟, 安全问题越来越严重, 尤其近几年网上交易和智能手机的出现, 安全问题也在逐渐地转移, 例如广大网银用户成为黑客实施网络攻击的主要目标。 黑客通常以邮件、 手机短信等方式向网民发送欺骗性消息, 网民在不知情的情况下打开假冒网址, 并造成直接经济损失。 所以计算机网络安全造成的问题已与人们的生活密切相连, 安全技术无国界, 当出现安全问题时, 传播速度之快, 造成破坏之大, 这必然要引起人们的重视。

对于网络上存在的不安全因素, 已经出现了多种防御措施, 如: 身份鉴别、 数据加密、 身份认证、 防火墙和入侵检测等。 但这些手段不能防御内部攻击, 不能实时地监测系统, 虽然防火墙一定程度能够保证计算机的安全, 但由于 “防外不防内”, 它不能防御已经授权的访问, 以及存在于网络内部系统间的攻击, 不能防御合法用户恶意的攻击, 以及社交攻击等非预期的威胁, 不能修复脆弱的管理措施和存在问题的安全策略, 不能防御不经过防火墙的攻击和威胁。 针对这些缺点, 如何能主动防御入侵行为, 入侵检测系统便应运而生。

2 入侵检测的作用及过程

入侵检测系统 (IDS) 可以是软件, 也可以是硬件, 是对网络上的各种数据和行为进行分析和实时监控, 如果发现可疑行为就报警, 并能采取主动防御措施阻止进一步的入侵。 入侵检测是主动防御, 正好弥补了防火墙 “防外不防内” 的致命缺点。

假设防火墙是一幢大楼的门卫, 那么IDS就类似于大楼里的监视系统。 入侵检测系统是继防火墙之后的又一道安全闸门, 也是安全防护的最后一道防线, 对网络的各种行为进行实时监测, 如攻击、 检测入侵者、 识别入侵行为、 误操作等, 只有实时地监视、 分析网络上的各种行为才能从根本上保证计算机网络的安全。

在网络社会中, 信息的安全是最重要的, 信息的完整性、保密性和可用性都不能受到偶然的或者恶意的破坏、 更改或者泄露, 传统的口令加密码、 信息加密、 防火墙能从一定程度保证计算机信息的安全, 但要能实时发现入侵, 主动发现和检测入侵, 从根本上彻底保证计算机网络的安全, 就需要使用入侵检测系统。 它可以发现主动攻击行为, 进而阻止这些入侵行为, 并对入侵行为采取一定的措施, 使信息损失减少到最低, 保证了信息和数据的安全。

入侵检测系统的过程有以下几个步骤: (1) 收集关键数据。 收集数据是对主机和网络上的各种数据进行收集, 一是主机的各种行为, 二是网络上的各种数据包和协议。 (2) 对收集到的数据进行分析。 根据各关键点收集到的信息采用模式匹配、 统计分析和完整性分析对其进行分析。 (3) 判断行为。 根据分析的结果与特征库进行比较, 进而判断是正常行为还是异常行为。 如果是入侵行为, 要阻止进一步的入侵, 并做出实时报警、 记录日志和有限度地反击攻击源。

3 入侵检测系统

3.1 分类

入侵检测系统根据信息来源可分为基于主机IDS和基于网络的IDS, 基于主机的入侵检测对主机系统进行全面的保护, 主要分析系统日志、 应用程序日志、 监视文件的活动, 它的误报率很低。 基于网络的入侵检测系统是通过分析网络上发送的数据包和协议来实时检测并分析通过网络的所有通信业务, 一旦检测到了网络上的入侵行为, 立即报警并对攻击采取响应的反应。 这类系统不需要主机提供严格的审计, 对主机资源消耗少。

入侵检测系统根据入侵检测的行为分为两种模式: 异常检测和误用检测。 他们最重要的区别就是特征行为。 入侵检测为什么能够主动地检测入侵行为呢, 主要是靠内部的特征库, 特征库是IDS的核心部分, 怎么样部署特征库就会判断一个行为是入侵还是正常行为, 所以特征库的原则很重要。异常检测模型的特征库存放的是正常行为, 当一个行为与特征库的行为一致时就为正常行为, 如果与特征库的行为不一致就判定为入侵行为; 而误用检测的特征库存放的是异常行为, 在这个模型里特征库存放的是认定的入侵行为, 当一个行为与特征库的行为不一致时就为正常行为, 如果与特征库的行为一致就判定为入侵行为。

根据工作方式可以分为离线检测和在线检测两种, 离线检测系统是非实时工作的系统, 它在事后分析审计事件, 从中检查入侵活动。 事后入侵检测由网络管理人员进行, 他们具有网络安全的专业知识, 根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为, 如果有就断开连接, 并记录入侵证据和进行数据恢复。 事后入侵检测是管理员定期或不定期进行的, 不具有实时性。 在线检测系统是实时联机的检测系统, 它包含对实时网络数据包分析, 实时主机审计分析。 其工作过程是实时入侵检测在网络连接过程中进行, 系统根据用户的历史行为模型、 存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断, 一旦发现入侵迹象立即断开入侵者与主机的连接, 并收集证据和实施数据恢复。 这个检测过程是不断循环进行的。

基于异常检测技术的入侵检测系统要想对一个行为做出准确的判断, 必须掌握行为的一些信息, 并且能预期新的行为, 这种情况是不存在的, 就要求对特征库不断地学习更新。它可以检测到未知攻击行为, 所以误报率比较高, 而漏报率低。 常用的检测方法有基于贝叶斯推理检测、 模式预测、 统计和机器学习检测法。 基于误用检测技术的入侵检测系统, 因为特征库存放的是异常行为, 这就要求对各种入侵行为的过程和细节包括入侵特征非常清楚才能检测到所有的入侵行为, 但这种情况也是不存在的, 该类入侵检测系统只能检测出已有的入侵行为, 对新的入侵行为无能为力, 这就要求对新的入侵行为进行不断进行总结和归纳, 然后加到特征库里。 而误用检测开发特征库非常方便, 有更好的确定能力, 不过只能检测出已知攻击, 它的漏报率比较高, 而误报率比较低。 常用的检测方法有模式匹配法、 专家系统法和基于状态转移分析的检测法。 可以看出异常检测与误用检测各有优缺点, 所以在他们基础之上出现了混合检测方法, 该方法是异常检测和误用检测两种方法的结合, 它既能分析系统的正常行为, 同时还可以观察可疑的入侵行为, 所以对各种行为的判断更加全面、 准确、 可靠。

3.2 基于专家系统的入侵检测

专家系统法是误用检测中的一种方法, 它是人工智能的一个分支, 在专家系统中, 它把每个知识表示成一条规则, 知识库也就是规则库, 用于存储关于入侵特征的知识, 是进行推理的基础。 首先模拟人类思维过程分析各种行为并和一条条规则相比, 再用推理算法去检测是否入侵。 每个系统的规则库并不一样, 可以采用正向推理和反向推理来判断是否入侵, 此系统对已知入侵具有很好的检测能力, 而对未知的入侵判断能力较弱, 所以要求基于规则的专家系统必须有自学习和自适应能力, 可以改进和更新规则, 同时可以扩充知识库, 来达到对未知入侵行为的判断。 所以入侵特征的抽取与表达, 是入侵检测专家系统的关键。

基于专家系统的入侵检测结合人工智能的各种技术, 将专家的知识和经验以适当的形式存入计算机, 形成一条条的规则, 系统通过监测日志记录、 系统、 事件、 安全记录以及各种IP数据包和协议的截获来获取数据。 运用专家思维来模拟, 当采集到的数据显示有可疑活动时, 就会触发规则。 即判断发生了入侵行为。 进而作出进一步地判断和决策。 基于专家系统的入侵检测系统功能主要有: (1) 分析用户和系统的行为; (2) 检查系统和软件的漏洞; (3) 识别各种攻击行为并采取相应措施; (4) 统计分析各种异常行为; (5) 评估系统的完整性。 基于专家系统的入侵检测关键技术在于: (1) 如何描述特征; (2) 入侵行为的特征如何提取; ( 3) 知识库如何自学习自更新。

4 结语

入侵检测系统是主动收集系统中的关键信息点, 进而分析这些信息, 然后根据特征库判断行为是正常还是入侵。 异常检测和误用检测各有各自的优缺点, 异常检测能够发现新的入侵行为, 它误报率比较高, 而漏报率低。 而误用检测对新的入侵行为不太敏感, 它的漏报率比较高, 而误报率比较低。 基于专家系统的入侵检测结合了人工智能的技术, 把一些网络安全专家的领域知识变成一条条的规则存放在规则文件中, 当外界的行为或数据包到达后, 它根据自身的规则库进行智能推理, 能够快速发现各种入侵行为, 大大提高了入侵检测系统的检测效率。 入侵检测系统由于具有主动防御性, 能够发现未知的入侵而应用越来越广泛, 未来的入侵检测系统会结合更先进的技术如数据挖掘、 文本分类等形成更加完备的系统, 入侵检测的方法研究任重道远。

摘要：随着计算机的发展出现了网络, 而随着网络的发展, 网络安全问题日益突出, 在信息化高速发展的今天, 一个安全保障的网络系统是必不可少的, 而入侵检测系统就是一种对网络传输进行实时监视, 监控各种数据包和协议, 在发现可疑行为时能够发出警报并能采取主动反应措施, 进一步阻止入侵行为, 从根本上保证了网络的安全。重点介绍了异常检测和误用检测的基本原理及其特征库, 并结合人工智能进一步讨论了基于专家系统的入侵检测。

关键词：入侵检测,异常检测,误用检测,专家系统,主动防御

参考文献

[1]苏英, 苏燕平.基于专家系统的入侵检测技术[J].微机发展, 2004, 14 (6) :121-123.

[2]鲁宏伟, 罗钢.基于专家系统的入侵检测方法[J].检测技术, 2003, 41 (1) :43-48.

[3]吴新民.两种典型的入侵检测方法研究[J].计算机工程与应用, 2002, 10:181-184.

入侵检测中检测器生成方法的研究 第8篇

随着网络和计算机技术的不断发展,网络安全性问题日益突出起来,入侵检测系统是一种重要的安全防范技术,已成为网络安全的重要保障之一[1,2]。目前各种不同的攻击方式不断出现,因此入侵检测中的有关智能性研究逐渐成为入侵检测系统研究领域中的一个重要方向。而入侵检测系统的主要部件是检测器,检测器生成算法是生成有效检测器的关键,是检测异常变化的核心所在[3,4]。检测器的设计对入侵检测系统的性能有着重要的影响,其从产生到成熟再到被丢弃,有自身固有的过程和生命周期,可以利用遗传算法来生成一个成熟检测器集,采用交叉、变异等遗传操作对其进行进化,使成熟检测器群体向“非我”进化。但随着问题规模的不断扩大和搜索空间的更加复杂,遗传算法在实际应用中有一定的局限性,不能表现出算法的优越性,出现迭代次数多、收敛速度慢、易陷入局部最优值和过早收敛等问题。

量子遗传算法结合了量子计算和遗传算法的优点,它将量子所具有的独特计算能力和遗传算法的全局寻优能力结合起来,提升了算法的优化性能,比传统遗传算法具有更高的搜索效率[5]。该文在现在有研究的基础上提出一种检测器生成方法,该算法通过对自然界中的协同进化机制进行模拟,首先将要进化的种群划分为多个子种群,然后各个种群再分别利用量子遗传算法进行优化,使整个入侵检测系统具有良好的自适应性和多样性。

2 相关知识

量子遗传算法本质上是种概率优化方法,其基本思想是基于量子计算原理,用量子比特编码来表示染色体,充分利用量子态的叠加性和相干性,以当前最优个体的信息为指导,通过量子门来完成种群的更新操作,以此来促进算法的收敛,从而来实现目标的最后优化求解。

2.1 量子比特

通常在计算机中用二进制0和1来表示信息单元,而在量子计算机中是用一个双态量子系统即量子比特来表示信息单元。量子比特作为信息单位,形式上表示为两种基态|0>和|1>,一般用|0>表示0,用|1>表示1。与经典比特不同,量子比特不仅可以处于两种基态|0>和|1>,而且还可以处在中间态,也就是|0>和|1>的不同叠加态。因此,量子比特的状态可用下式表示:

2.2 量子染色体[6]

量子遗传算法是采用量子比特的编码方式,用一个复数对(α,β)表示一个量子比特。若一个量子染色体包含m个量子比特,则由m个复数对组成。这个染色体编码形式如下:

2.3 量子旋转门

在量子遗传算法中量子染色体一般是纠缠或叠加的,所以可以用量子门来表示染色体的各个纠缠态或叠加态;父代群体不能决定子代个体的产生,个体的产生是通过父代的最优个体以及它们状态的概率幅决定的。用构造的量子门表示量子叠加态或纠缠态的基态,它们彼此干涉使相位发生改变,以此达到改变各个基态的概率幅的目的。因此,如何构造合适的量子门是量子遗传操作和量子遗传算法亟待解决的关键问题,量子门构造的是否合适会影响到遗传算法的性能。目前在量子遗传算法中通常采用量子旋转门U,U可表示为

2.4 量子变异[7]

通常情况下在遗传算法中,算法的局部搜索能力以及阻止未成熟染色体收敛这些操作都是通过变异作用实现的,量子变异必须达到量子遗传算法对变异操作的要求,这里我们这样定义量子比特的变异操作:

(1)从种群中以给定的概率pi随机地选择若干个体;

(2)确定变异位,以确定的概率对从(1)中选择的个体随机地确定变异位;

(3)对换操作,对换选中位量子比特的概率幅。

2.5 协同进化算法[8]

进化算法的本质是优化,是为了使物种在激烈的竞争中能够具备生存的本领以致在竞争中能够生存下来。在一般的遗传算法中要么只涉及到个别群或个体的进化,要么只是涉及种群之间的竞争,几乎没有顾及到个体与个体,种群与种群之间互惠寄生的协同关系。基于以上原因,提出了协同进化算法。协同进化是生态系统中众多进化方式中的一种,进化中种群要生存下来不仅要受自身因素的影响,同时也受周围同类或异类的相互影响,在这些因素的影响下能够生存下来。在进化的过程中种群的个体之间及其与其它种群之间都要进行相互作用相互影响。

3 基于量子遗传算法的协同进化检测器生成算法设计思路

算法的基本思想:首先对随机生成的种群进行种群分割,将种群分成若干个子种群。利用空间形态学的原理,根据种群中各个自体间的距离来判断它们是否属于一个分割,各个子群之间互相协作,以确保整个系统的适应度不断提高;用量子遗传算法对单个子群进行进化。量子遗传算法优化检测器的入侵检测模型如图1所示。

(1)种群的初始化策略

在量子遗传算法中种群初使化操作通常是这样进行的,各个体的量子位概率幅(αi,βi)的初始值设为,也就是说各个体的全部状态出现的概率相同。协同进化需要多个种群,因此必须增加种群的多样性,所以在初始化时我们将量子位概率空间平均分为N个,即体表N个子群,0、1极限概率为δ,用公式(1)来初始化第k个子种群,也就是将同子种群内的每个个体初始化为量子染色体,每个量子染色体的概率相同,不同子种群个体的状态以不同概率出现,以此来达到增加初始化个体多样性的目的。

(2)量子门更新策略

采用进化方程的方式来调整量子门的旋转角大小和方向。这样做有两个好处:一是减少了参数的个数,同时算法的结构也得到了简化;另一个是利用进化方程的记忆的,可以利用个体自身的局部最优信息,邻域种群的最优信息,以及整个种群最优状态的信息,从而使旋转角θ能够得到更加合理的调整,还能够更好地跳出局部极值。进化方程可定义为:,其中θ=k1(pm-xi)+k2(pi-xi)+k3(pj-xi)+k4(p-xi),其中k1,k2,k3,k4为影响因子,pi,pj是左右邻域种群极值,pm为个体所在种群极值,p为全局极值。

(3)具体实现步骤

Step1:将量子位概率空间平均分为N个,即体表N个子群,0、1极限概率为δ,用公式来初始化第k个子种群,也就是将同子种群内的每个个体初始化为量子染色体,每个量子染色体的概率相ë同βi,û不同ë子1种-群k/个N体+的δû状态以不同概率出现,以此增加初始化个体的多样性。

Step2:初始化步骤1中的每一个子群Qi(t),(i=1,2,...,N)t=0;

Step3:依次测量初始子群Qi(t)中各个体,得到一组状态Pi(t),(i=1,2,...,N);

Step4:依次对Pi(t)进行适应度评估;

Step5:记录下每个初始子群Qi(t)中的最佳个体状态及其适应度值;

Step6:保留步骤5中得到的N个最佳个体,如果此时得到了满意解,则算法终止,否则转入Step7;

Step7:采用(2)中定义的量子门U(t)更新每一个初始子群Qi(t),得到N个新的子代Qi(t+1);

Step8:以确定的概率进行量子变异;

Step9:对于每个新的子代Qi(t+1),算法转至Step4继续进行。

4 结论

检测器集的好坏决定了入侵检测系统的性能,因而检测器集的生成算法是入侵检测系统开发中最核心的部分。该文引入量子遗传算法来实现检测器的优化过程,设计了基于遗传算法的检测器生成算法。该算法通过模拟自然界协同进化机制,把需要进化的种群划分为多个子种群,各个种群采用量子遗传算法进行优化,使整个入侵检测系统具有良好的自适应性和多样性。在接下来的研究中,将重点研究侵检测器中各参数的影响程度的问题,以提高入侵检测系统的自适应性和有效性,进一步提高入侵检测的准确率。

参考文献

[1]卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报,2004(7):19-29.

[2]林果园,黄皓,张永平.入侵检测系统研究进展[J].计算机科学,2008,35(2):69-74.

[3]葛丽娜,钟诚.基于人工免疫入侵检测检测器生成算法[J].计算机工程与应用,2005(23):150-152.

[4]杨东勇,陈晋因.基于多种群遗传算法的检测器生成算法研究[J].自动化学报,2009,35(4):425-432.

[5]罗文坚,曹先彬,王煦法.检测器自适应生成算法研究[J].自动化学报,2005,35(6):907-916.

[6]赵丽,李智勇.求解入侵检测问题的量子免疫算法[J].计算机工程与应用,2011,47(11).

[7]曹建国.基于量子力学遗传算法的入侵检测器生成[J].重庆文理学院院报:自然科学版,2010.29(2).

入侵检测方法 第9篇

在保障网络的安全性时, 入侵检测系统已经成为必选的技术和手段, 因为它比起其他的安全技术存在着很多优势[1,2]。用户在选用IDS时, 总是从各自不同的需要来考虑。要衡量IDS的优劣, 就需要明确IDS应该具备的性能指标, 设计有效的方法来测试。实际上入侵检测系统的测试是一个难度较大的问题, 也是一件费时耗力的工作。对于这一工作, 许多研究机构都进行了相应的研究, 给出了自己的测试方法和测试结果。例如MIT的林肯实验室分别在1998年和1999年进行了IDS的两次测试, 这两次测试的结果曾受到广泛的关注[3,4]。IBM的苏黎世研究院和其他一些研究机构也做过相似的工作[5]。他们的工作都专注于IDS评估和测试的本身, 没有过多考虑到开发者的需要, 而且他们的方法实现起来代价都很大。本文既考虑到测试的目的, 又考虑了开发者的需要, 尽量能够保证测试环境和开发环境的融合, 提出模拟现实的网络环境, 然后搭建软件平台进行IDS测试的方法。该方法比较容易实现, 可控制性强, 能够满足IDS测试的多种需要, 随后的仿真测试说明该方法是有效的。

1 IDS测试目的及指标

入侵检测系统是一个软硬件结合体系, 可以借鉴软件测试方法来测试和评价入侵检测系统, 但是纯粹的软件测试方法并不能很好地满足IDS测试的需要。首先要确定应该以什么样的标准来测试IDS, 也就是选择测试指标。根据IDS的特点采取定量的测试方法, 这些测试指标侧重于那些定量的测量, 以及与检测准确度相关的项目[6]。

IDS的主要目的就是有效地检测出入侵行为, 并进行及时处理。检测率用来确定在一个时间段内及在给定的环境中IDS可以正确检测到攻击的比率。当系统将正常的行为确认为入侵行为时就是发生误报 (False Positive) 。误报率用来确定在一个特定的时间段内及在给定环境中IDS所产生的误报比率, 大多数产生误报的原因是正常的非恶意的后台流量引起的。当系统将入侵行为确认为正常行为时, 则发生漏报 (False Negative) [7]。漏报率用来衡量一个特定的时间段及在给定环境中IDS所产生的漏报比率。

检测率和误报率是紧密相关的, 受试者行为特性曲线 (Receiver Operating Characteristic, ROC) 反映了这两者之间的关系。ROC 曲线的横轴是IDS的误报次数, 纵轴为检测率, 该曲线准确地刻画了IDS的检测率与误报率情况。利用ROC曲线还可以找出IDS的检测和误报之间的平衡点, 但是为了获得这个点需要预先做很多工作。

除了上面的几项指标外, 还有几项重要的指标需要加以考虑。它们包括:自身安全性 (抵抗对于入侵检测系统本身的攻击) 、处理高数据流量的能力、事件关联能力、检测未知攻击的能力、确认攻击是否成功的能力等。

2 IDS测试环境

测试环境是对IDS进行评估和测试的基础, 因为它直接关系到测试的结果, 也直接影响测试的真实性和客观性。无论何种类型的IDS, 其运行的真实环境总是一个具体的网络。但是测试中环境却不拘泥于是否是在某种特定的网络里, IDS的部署和配置总是根据它所在的网络环境而千差万别, 建立的测试环境应该能够满足IDS测试中多样性的需要, 使它不仅能对测试环境进行灵活的调整, 又能在现实网络中使其流量要求与技术指标相符合。测试环境分为三种:现实网络环境、纯软件模拟环境和模拟网络环境。

2.1 现实网络环境和模拟环境

现实网络环境就是本地现有的正在实际使用的网络环境。整个因特网就是一个最大的现实的网络测试环境, 如图1所示。

在内网中布置了IDS, 该IDS可以是基于主机 (Host-based IDS) 的, 也可以是基于网络 (Network-based IDS) 的。发起攻击的主机 (产生攻击行为的主机, 这样的主机可以是一台也可以是多台) 可以在网内, 也可以在网外。网内和网外是一个相对而言的概念, 把与IDS同在一个局域网中的设备和节点看作网内, 其他情况称为网外。发起攻击测试的主机如果是在网内, 那么它们应该与所要测试的IDS在同一个局域网内, 如果这台主机是在网外, 那么它的位置跨度可以很大, 它们可以是因特网上的任何机器。

另外, 还有一种完全用软件来模拟的方法。这种方法类似于虚拟机技术 (如Vmware) 和网络仿真技术 (如OPNET, ns2) 的结合。用一台单主机模拟出一个完备的网络环境, 在此虚拟网络环境中部署IDS, 然后再配合测试软件就可以进行IDS的测试。这种方法有一定的可行性, 因为它的环境单一性使得测试人员能够方便地测试一些轻量级的IDS或者测试IDS某个特定的功能方面。但是这种测试环境下测试效果的好坏还有待于进一步的研究和试验证明。

现实环境的优点是不需要专门建立, 实时性高, 对特定类型的IDS测试时其测试结果的可信度高;但是也有很多缺点, 最主要就是可控性不高, 所能测试的IDS范围比较窄, 种类比较少。

纯软件环境因其本身的运行, 十分消耗资源, 因此难以胜任较大规模的IDS测试工作。

2.2 模拟网络环境

本文选择模拟网络环境来进行测试环境的设计, 模拟测试环境大多数可以由实际的开发环境经过简单的改动而得到。它与前两种测试环境相比, 优势在于:可控性好, 能够根据测试需要定制和更改环境, 可以测试的攻击范围大, 种类多等。另外, 在设计合理的情况下, 其测试效果并不亚于真实的网络环境。从实现的角度考虑, 这种模拟测试环境也能够满足绝大多数IDS测试的需要。基本思路是根据测试的要求, 用一个简单的局域网来模拟规模较大的城域网和因特网。使用模拟网络环境进行IDS测试时需要开发与之相配套的软件平台。模拟网络结构如图2所示。

此网络可以模拟规模较大的、实际的网络结构和设备, 也可以模拟实际网络中多种多样的网络服务。具体方法是利用专门产生网络流量的计算机来产生所需要的网络流量, 然后使用软件把这些流量动态地分派给网络中的节点。一般需要两种产生流量的机器:外部流量产生器, 产生模拟网络和因特网之间的会话和流量;内部流量产生机器, 产生网络内部需要的会话和流量。这两种流量产生器能够产生比实际网络上更为丰富的会话和流量, 因为它们可以进行人为的控制。流量的产生要考虑测试所需流量的大小以及网络规模的大小;另外还需要对多种网络服务和网络协议进行模拟, 以及模拟一些分布式的流量, 所以这样的流量产生器有时要占用好几台性能优越的计算机。

边界路由器介于流量产生器和网络环境之间, 它起到划分内部流量和外部流量的作用。边界路由器还有向网内的其他路由器和设备分配流量的作用。其他的如防火墙和主机等设备与它们在实际网络中的作用和位置相同。这样的模拟环境基本上反映了真实网络的情况, 进行合理的配置完全可以模拟真实网络环境的技术参数、流量要求等指标, 而且整个模拟环境可以与外界完全隔离开来独立使用。

3 IDS测试平台

有了测试环境还不能完成IDS的测试工作, 还需要针对测试环境利用软件搭建一个测试平台。基于上面的模拟网络的测试环境, 建立软件测试平台, 其流程如图3所示。

MIT在入侵检测系统测试评估上发展了一种系统和通用的评估方法[4]。全部工作流程包括数据集的构造、测试过程、测试结果分析, 提供改进算法的意见。这里提出的平台既考虑了通用性, 也考虑了实际IDS开发环境的因素, 它能够完成上述流程的全部工作, 其中的关键部分有流量仿真、攻击仿真、事件合成等。

3.1 流量仿真

评估所需的网络流量仿真是一项很复杂的工作。常规用于研究网络性能的流量仿真方法所产生的数据包, 不考虑数据内容, 极有可能引起IDS 的大量误报。一般的IDS 都工作于网络层或网络层之上, 它们在协议规定的框架内对网络数据包的内容进行分析。因此, IDS 评估环境中的网络流量仿真, 一定是具体到各个协议的流量仿真。流量仿真的子系统结构如图4所示。

由于流量的产生不仅来自网络外部, 还有来自网络内部其他主机的流量, 这样就需要生成两种类型的网络流量:外部网络流量和内部网络流量。对应上一节中的测试环境, 这两种网络流量是由测试环境中的外部流量产生器和内部流量产生器分别产生的。这两种类型的流量中又根据测试需要包含有正常的网络会话流量和非正常的 (有时是攻击性的) 网络会话流量。

3.2 攻击仿真

攻击仿真是整个测试过程的关键, 也是测试结果是否合理的关键。攻击仿真的前期准备工作是收集足够多的攻击数据, 实际上是收集现有所有已知的攻击和系统的弱点数据。这些数据主要来自一些研究机构, 像MIT的林肯实验室、IBM的苏黎世研究院和一些网络界有名的讨论组 (社区) , 如The NSS Group等, 其中MIT林肯实验室的数据就其可用性、全面性和权威性都得到了广泛的认可[2]。

测试用例的选择应该尽可能的全面, 但是不可能把每一种现有的攻击都试验一遍, 因此要把所有的攻击按照某种标准进行划分, 在所划分的每个子集里挑选若干个典型的攻击来完成测试。实施具体的攻击, 可以利用软件直接来实现, 也可以用编写脚本的方法来实现, 利用shell编程和脚本语言编写攻击脚本来模拟入侵用户的行为, 实现攻击的重放。

使用脚本和脚本解释器的方法来模拟用户的行为, 对编写好的脚本进行解析, 执行再利用网络连接命令连接到远端主机, 就能够实现多种多样的攻击重放。如果编写并输入多个不同的脚本, 用并行算法加以控制就能够模拟多个并发用户的行为, 实现多用户并发攻击的模拟。攻击脚本的编写要事先制定统一的编写规范和格式。

3.3 事件合成

事件合成也是很重要的环节, 它是对网络流量、模拟攻击和测试对比的综合考虑。一个仿真事件要包括事件的发生时间、结束时间和事件的内容等其他一些必要的相关信息。网络流量仿真中的事件可以是每一个网络连接, 基于连接的流量如TCP, 也可以是一个网络数据包, 基于数据包的流量如UDP。主机使用仿真中的事件可以是网络服务的每次使用, 也可以是一条用户指令的执行。合成好的原始事件一方面给测试模块做测试之用, 一方面用日志记录下来以备离线考察。将测试结果和原始事件进行有效的对比就可以得出大部分的测试结果。

3.4 其他模块

正常流量数据库存放准备好的网络流量数据, 为流量仿真模块的调用做事先的准备;攻击数据库存放收集到的攻击数据, 攻击仿真模块从攻击数据库取得数据处理后形成攻击。事件日志记录合成事件的日志和事件原始数据, 这些数据用于对测试结果的补充和一些离线的测试。运行日志专门记录IDS运行产生的一系列事件及其对入侵行为的反应。测试结果模块最终向用户提交一份指定格式的测试报告, 记录测试结果, 还可以进一步给出对IDS改进的意见等。

3.5 测试过程

整个平台的工作过程如下:流量数据库提供网络会话流量由流量产生模块处理后生成所需的网络流量, 攻击数据库提供原始的攻击素材, 由攻击仿真模块加工后形成攻击数据流;两者经过事件合成模块合成为攻击事件;攻击事件一方面对待检测的IDS发起攻击, 另一方面送给测试模块作对比之用;测试模块根据测试算法通过和待测IDS的双向交互, 评估IDS的各种行为和对入侵事件的反应;事件日志对攻击事件进行记录, 运行日志对IDS的运行情况进行记录;最后由测试结果模块报告测试的结果。

3.6 测试结果

测试环境也可以用于IDS的开发环境, 只需要进行简单的调整。IDS开发过程中的一些性能测试、算法测试和攻击特征优化测试等都能够在这个环境中完成。本研究的初衷就是能够使开发环境和测试环境相统一。利用这个环境对开发的基于多代理的入侵检测系统进行了相应的测试, 其结果如下:此IDS运行时, CPU占用率为0%～5%, 内存开销为7 492+6 648 KB;用tcpreplay产生TCPDUMP格式的文件, 进行9 Mb/s的流量重放时, IDS处理到的流量为5.46 Kb/s;对于攻击测试, 主要测试了Dosnuke, SYN FLOOD攻击以及扫描攻击等, 其检测率和误报次数的ROC曲线如图5所示。可以看出, 该IDS在误报比较少的情况下能够达到比较好的检测率。

4 结 语

网络的发展和新网络入侵方式的出现, 促使了入侵检测系统的不断发展和完善, 入侵检测系统的测试技术也随之不断发展。实际而言, 入侵检测系统的测试不但存在很多的困难, 而且也非常的耗时耗力, 例如MIT有名的1998年和1999年测试都分别耗时一年时间。但是对于入侵检测系统的测试又是一个不得不解决的事情。当然, IDS的测试本身还存在一些难题需要解决[8], 如攻击脚本和受害软件难于收集, 对基于异常的系统还缺乏有效的方法进行测试等。这些都有待于更进一步的深入研究。

摘要：入侵检测系统 (IDS) 已经成为保障网络安全不可缺少的环节, 对IDS的评估和测试是验证IDS系统有效性的必要手段。讨论了入侵检测系统测试的目的和测试的性能指标, 基于对现实网络环境的模拟, 建立测试环境, 并在此测试环境中搭建软件测试平台, 阐述了对入侵检测系统进行测试的方法, 最后结合实验给出了仿真测试的结果。

关键词：入侵检测系统,测试环境,测试平台,环境模拟

参考文献

[1]Char Sample, Mike Nickle, Ian Poynter.Firewall And IDSShortcomings[R].SANS Network Security, Monterey, Cali-fornia, 2000.

[2]林果园, 黄皓, 张永平.入侵检测系统研究进展[J].计算机科学, 2008, 35 (2) :68-74.

[3]Richard Lippmann.1998 DARPA Intrusion Detection EvaluationPlans:Part 1[R].MIT Lincoln Laboratory, 1998.

[4]Hains J W, Richard Lippmann.1999 DARPA Intrusion De-tection Evaluation:Design and Procedures[R].MIT LincolnLaboratory, 2001.

[5]Dominique Alessandri.Using Rule-based Activity Descrip-tions to Evaluation Intrusion-Detection System[R].Swi-tzerland, IBM Research Laboratory, 1999.

[6]Peter Mell.An Overview of Issues in Testing Intrusion De-tection Systems[R].NIST Release of NIST Interagency Re-port (NISTIR) 7007, 2003.

[7]徐明, 陈纯, 应晶, 等.基于系统调用分类的异常检测[J].软件学报, 2004, 15 (3) :391-403.

一种基于MAS的入侵检测方法 第10篇

随着计算机互联网技术的发展在连结信息能力、流通能力提高的同时,给广大用户带来便利的同时,基于网络连接的安全问题也日益突出,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,然而另一个更为有效的解决途径就是入侵检测,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。

1. MAS定义及发展

1.1 Agent的定义及应用

Agent技术来源于分布式人工智能DAI领域,也有人将其翻为智能主体或智能体。Agent是一个运行于动态环境下的具有较高自制能力的实体(即自制体可以是系统、机器等:软件Agent是一个计算机软件程序),其根本目标是接受另外一个实体(即主体可以是用户、计算机程序、系统或机器等)的委托并为之提供帮助和服务,能够在该目标的驱动下主动采取包括社交、学习等手段在内的各种必要的行为以感知、适应并对动态环境的变化进行适当的反应,它与其服务体之间具有较为松散和相对独立的关系。

关于Agent的确切定义,目前存在很多争论[1],在其组成上没有达成一致。在人工智能领域,Agent表示具有一定智能,在不确定性环境中,根据自身能力、状态、资源、相关知识以及外部环境信息,通过规划、推理和决策实现问题求解,并进行相应的活动,自主地完成特定任务送达到某一目标的封装的计算机系统。一般说来,一个Agent拥有有限的知识源,具有多个目标,以及适应环境的能力。Agent拥有的有限知识是对其所处环境或求解问题的描述。Agent所采取的一切动作都是面向目标的。Agent要达到目标,首先必须能感知环境,然后利用所拥有的知识形成一系列可执行的动作计划并选择执行。Agent适应环境能力是指其具有推理、决策、计划、控制的能力。

Agent技术在20世纪90年代成为热门话题,甚至被一些文献称为软件领域下一个意义深远的突破,其重要原因之一在于,该技术在基于网络的分布计算这一当今计算机主流技术领域中,正发挥着越来越重要的作用。一方面,Agent技术为解决新的分布式应用问题提供了有效途径;另一方面,Agent技术为全面准确地研究分布计算系统的特点提供了合理的概念模型。

1.2 MAS定义

Multi-Agent系统(MAS)是多个Agent组成的集合,其多个Agent成员之间相互协调,相互服务,共同完成一个任务。它的目标是将大而复杂的系统建设成小的、彼此互相通信和协调的,易于管理的系统。各Agent成员之间的活动是自治独立的,其自身的目标和行为不受其它Agent成员的限制,它们通过竞争和磋商等手段协商和解决相互之间的矛盾和冲突。MAS主要研究目的是通过多个Agent所组成的交互式团体来求解超出Agent个体能力的大规模复杂问题。

MAS的关键问题是该系统中每个Agent功能的确定以及各Agent之间的协作、协商、交流。单个Agent的功能即该Agent的自主性,即该Agent所能完成的功能;Agent之间的协作即某个Agent将要完成的任务分配给其他Agent然后综合各Agent的结果将最后的结果输出给用户的过程;协商即Agent之间解决冲突并最后达到一致的过程。

之所以提到这些关于Multi-Agent系统的介绍,是因为它为今后的传感器网络发展提供了理论支持。今后的信息获取模式将由目前的信息获取系统具有固定的层次结构,变为下一代的信息获取系统根据任务进行自组织。随着人工智能和无线技术的进一步发展,传感器也将由智能传感器发展到多自主体传感器网络,以任务为中心,采用动态架构,从本地智能发展到网络智能。

1.3 MAS优势

Multi-Agent(多智能体)系统用于解决实际问题的优势,归纳起来,主要有以下几点:

1)在Multi-Agent系统中,每个Agent具有独立性和自主性,能够解决给定的子问题,自主地推理和规划并选择适当的策略,并以特定的方式影响环境。

2)Multi-Agent系统支持分布式应用,所以具有良好的模块性、易于扩展性和设计灵活简单,克服了建设一个庞大的系统所造成的管理和扩展的困难,能有效降低系统的总成本;

3)在Multi-Agent系统的实现过程中,不追求单个庞大复杂的体系,而是按面向对象的方法构造多层次,多元化的Agent,其结果降低了系统的复杂性,也降低了各个Agent问题求解的复杂性;

4)Multi-Agent系统是一个讲究协调的系统,各Agent通过互相协调去解决大规模的复杂问题;Multi-Agent系统也是一个集成系统,它采用信息集成技术,将各子系统的信息集成在一起,完成复杂系统的集成;

5)在Multi-Agent系统中,各Agent之间互相通信,彼此协调,并行地求解问题,因此能有效地提高问题求解的能力;

6)多Agent技术打破了人工智能领域仅仅使用一个专家系统的限制,在MAS环境,各领域的不同专家可能协作求解某一个专家无法解决或无法很好解决的问题,提高了系统解决问题的能力;

7)Agent是异质的和分布的。它们可以是不同的个人或组织,采用不同的设计方法和计算机语言开发而成,因而可能是完全异质的和分布的。

8)处理是异步的。由于各Agent是自治的,每个Agen都有自己的进程,按照自己的运行方式异步地进行。

2. 入侵检测的发展现状

2.1 入侵检测的主要问题

(1)现有的入侵检测系统检测速度远小于网络传输速度导致误报率和漏报率;(2)入侵检测产品和其它网络安全产品结合问题,即期间的信息交换,共同协作发现攻击并阻击攻击;(3)基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测,并且其本身构建易受攻击;(4)入侵检测系统体系结构问题。

2.2 入侵检测的发展趋势

未来,入侵检测将可能有三种发展趋势。

(1)对分析技术加以改进:采用当前的分析技术和模型会产生大量的误报和漏报,难确定真正的入侵行为。采用协议分析和行为分析等新的分析技术后,可极大地提高检测效率和准确性,从而对真正的攻击做出反应。协议分析是目前最先进的检测技术,通过对数据包进行结构化协议分析来识别入侵企图和行为,这种技术比模式匹配检测效率更高,并能对一些未知的攻击特征进行识别,具有一定的免疫功能;行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生、攻击行为是否生效,是入侵检测技术发展的趋势。

(2)增进对大流量网络的处理能力:随着网络流量的不断增长,对获得的数据进行实时分析的难度加大,这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。

(3)向高度可集成性发展:集成网络监控和网络管理的相关功能。入侵检测可以检测网络中的数据包,当发现某台设备出现问题时,可立即对该设备进行相应的管理。未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。

具体应用趋势如:1)基于Agent的分布协作式入侵检测与通用入侵检测结合;2)入侵检测标准的研究,目前缺乏统一标准,未来肯定需要建立统一标准;3)宽带高速网络实时入侵检测技术;4)智能入侵检测;5)提高入侵检测的测度等。

3. 一种基于MAS的入侵检测方法

3.1 MAIDS系统结构

基于Agent驱动软件工程的思想[2],以及角色、交互、交流、执行(R ICA)理论在构建Multi-Agent系统架构中的成功应用,结合入侵检测的流程需求,提出一种基于MAS的入侵检测方法—MAIDS。该系统主要由以下几个功能模块组成:1)监视Agent模块;2)Agent管理模块;3)系统管理模块;4)用户账户管理模块;5)用户接口模块。如图1。

在MAIDS系统中,核心部分是系统控制模块,它除了接收并格式化用户自定义的各种信息,如用户可以自定义的入侵检测策略、Agent的运行参数和环境变量等。最主要的功能是数据分析和决策。系统控制模块从Agent带回的跟踪信息中分析和判断,某一行为是否是入侵行为,并根据判定结果下达回应动作指令。在这个过程中,可以结合入侵指征库,提高决策的有效性;可加入自适应学习功能,将新出现的可疑行为,经过学习分析判定为入侵行为后,归纳出该行为的入侵指征,并加入到入侵指征库,为以后的入侵判定做准备。

Agent管理模块在MAIDS中主要负责以下功能:1)提供用户接口,为用户实现Agent库的增加、删除或升级;2)提供系统管理模块的接口,实现系统管理模块对Agent库的各种调用;3)对Agent库的管理维护,主要是实现Agent库的数据结构的物理存储和操作的物理实现等。

MAIDS的另一重要模块是多智能体平台(MA平台)。它负责所有监视Agent的行为,包括注册、注销、移动、通讯等;其中,负责监控的Agent十分重要,它负责实时监视各类最系统的动作。为系统管理模块提供丰富全面的信息,为其做出正确决策提供依据。当然,MAIDS系统同时提供人性化友好的用户界面,完备的用户接口,良好安全的用户账户管理模块,通过各模块的整体协作为系统用户提供安全保障。

4. 结束语

近年来,入侵检测系统得到了快速发展。国外有很多实验室和公司在从事入侵检测系统的研究和开发工作,已经完成了原形系统和产品。如思科公司的Net Ranger、ISS公司的Real Secure等[3]。国内的研究机构和从事网络安全产品的公司也进行了相关的研究,开发国内的入侵检测产品比较少,典型的产品有东软公司的Net Eye IDS、清华紫光的UNISIDS入侵检测系统等。但入侵检测系统在技术上还有许多问题有待解决。入侵检测系统的研究是一门多学科交叉的系统性研究,涉及计算机技术、自动控制技术、网络技术、软件技术以及人工智能等的技术。本文对多智能体在入侵检测中的应用进行探解,但仍在在很多方面有待进一步的研究与探讨,如:智能体间安全的通信,如何防止智能体被恶意攻击;不同类型的用户会有不同的使用需求和习惯,如何将入侵检测更个性化,能根据不同对象有的放矢,更有针对性,从而提高检测效率,减少检测的运行成本。

摘要：本文根据入侵检测的现状和存在问题,结合Multi-Agent系统(MAS)的特点,提出一种基于MAS的入侵检测方法—MAIDS,结合完备的入侵指征库,该方法能正确完成各种入侵检测任务,为用户和系统安全保驾护航。

关键词：入侵检测,智能体,入侵检测系统

参考文献

[1]叶周武.智能算法在入侵检测系统中的应用[M].浙江大学硕士学位论文,2008,04.11-1.

[2]唐卫宁,徐福缘.基于语义网的供需网知识协同研究[J].微电子学与计算机,2008,25(11):97-100.

浅谈梅毒常用检测方法 第11篇

【关健词】　梅毒检测；梅毒螺旋体；检测方法

梅毒为苍白螺旋体（T.pallidum TP）感染引起的性传播疾病，亦是血液传播性疾病之一。梅毒发病率近年来在我国呈明显上升趋势，已成为十分重要的社会和医学问题［1］。据估计，全世界每年有200万新感染病例［2］。由于梅毒早期可以潜伏感染，晚期可引起全身组织和脏器的损害及病变，因此，选择快速、简便、敏感且特异的检测方法，对早期梅毒的诊断和治疗有重要意义。现对实验室常见梅毒的检测方法作一综述。1　目前常用的梅毒诊断方法1.1　病原学检查　直接检查TP是早期梅毒检测的最好方法。用药前取患者病灶渗出物或淋巴结穿刺液，在暗视野显微镜下观察TP的形态特征和运动方式。穿刺孕妇羊水做暗视野显微镜观察，对胎儿梅毒具有诊断价值。此外，作免疫荧光试验（DFA），在荧光显微镜下可见绿色的TP。活体组织用银染色法或荧光抗体染色，可见黑褐色梅毒螺旋体。1.2　血清学检查　当人体感染TP2-4周后，血清中可产生一定数量的非特异性抗心磷脂类抗体和TP特异性抗体。用血清学方法可检测这两种抗体，作为梅毒诊断的重要手段。1.2.1　TP非特异性抗心磷脂抗体血清试验　TP感染人体后，宿主迅速对TP表面的脂质做出免疫应答，在3~4周后产生抗心磷脂抗体(反应素)。反应素对机体无保护作用。未经治疗，体内反应素可长期存在，经适当治疗后，逐渐减少至转为阴性。因此，可用于療效观察及判愈。目前，检测反应素的实验常用：血浆反应素环状试验(RPR)、甲苯胺红不加热试验(TRSUT)、胶体金SYP等。它们的共同点：具有相同的抗原成分，敏感性相似且较差；易受生物学和某些生理因素的干扰导致假阳性；假阴性反应主要是前滞现象及敏感度较差所致；试验结果肉眼可观察，RPR和TRUST可用显微镜镜检以助结果的判定。1.2.2　TP特异性抗体血清试验　采用TP作抗原，检测梅毒IgG、IgM抗体。此检测法分为：⑴血球凝集试验(TPHA、TPPA等) ，利用间接血凝法测定人血清或血浆中的TP特异性抗体，血清吸收剂可消除试验中的生物学假阳性反应，提高试验的准确性。此试验用于梅毒确诊，具有快速、简便、敏感和特异等优点。⑵金标法是根据双抗原夹心免疫层析原理，样品中的TP抗体首选与金标抗原结合成复合物，顺膜渗透至包被区，与包被TP抗原结合，形成由胶体金抗原-TP抗体-抗原组成的紫红色反应带。本法简单，特异性好，无需特殊设备，全部试验过程可在30min内完成。⑶酶联免疫吸附试验（ELISA）是利用TP多肽抗原包被反应板的试验。它用双抗原夹心法，同时检测IgM/IgG抗体，可用于早期诊断，并避免了单片段抗原混合干扰。1.3　分子生物学法 目前主要用PCR试验，有引物和脱氧核糖核酸存在，在DNA聚合酶的作用下，利用模板DNA，针对编码TP抗原和TpN47（Tpp47）的DNA开放编码区扩增延伸。目前，有四套TP的PCR扩增系统。PCR是在兔感染试验（RIT）基础上建立起来的一种体外DNA扩增试验，该试验结果显示PCR检测方法敏感度和特异性均优于暗视野检测法和血清学试验，为梅毒的早期诊断起到重要作用。2　各种检验方法的比较2.1　病原学检查　标本为病灶渗出物或淋巴结穿刺液，观察TP的形态特征和运动方式。因此，该方法适合于感染早期用药前。镀银染色能使TP染成棕褐色或褐黑色，染色层次清楚，反差明显，形态清晰，易于辨认，封片后可永久保存，可用于科研或教学。对于早期显性梅毒的诊断及生殖器疱疹、软下疳的鉴别诊断具有重要意义。缺点：制约条件较多，如检前用药、荧光显微镜的性能、试剂和技术等均影响检测结果，而且，镀银染色不能观察TP的运动方式，易与类似物相混淆。因此，实际检出率并不高，很难从干疹、血液标本、口腔病灶中检出TP，对晚期及隐性梅毒病人也不适用。2.2.1　TP非特异性抗体血清试验　用于梅毒初筛试验。TP感染4周后有非特异性抗体出现。对于二期、三期梅毒以及判定梅毒的发展和痊愈，药物的疗效有重要意义，且实验操作简易、快速、易于观察结果，成本低等，适合批量筛查。但敏感性、特异性较差，易受其他因素影响，有时会出现假阳性和假阴性，容易造成漏检和误诊。不适合早期梅毒、先天梅毒、神经梅毒的诊断。孕妇梅毒筛查可考虑用RPR试验，因为孕妇梅毒隐性感染者占98％，RPR对隐性梅毒敏感。2.3　分子生物学法　常用PCR法，标本为病灶分泌物或穿刺液。对生殖器溃疡能早期鉴别诊断，区分梅毒、生殖器疱疹及软下疳。优点：对一期梅毒、艾滋病合并梅毒、神经梅毒等均较敏感，可区分母体梅毒与胎传梅毒，能判断传染性。这点优于血清学。由于 TP现在还不能人工培养，因此，PCR法又优越于病原学方法。缺点：干扰因素较多，如引物的非特异性，易受标本中的组织和细胞碎片等物质抑制。而且当皮损开始愈合、分泌物减少、血清学试验阳性反应时，采用PCR方法就不合适。3　展望

一种基于数据挖掘的入侵检测方法 第12篇

随着互联网的飞速发展, 计算机的应用越来越广泛, 然而却面临着日益严重的网络安全问题。入侵检测 (intrusion detection) 对网络安全的保护有着较强的作用, 目前, 我们可以将这项技术分为两种:一种是误用检测, 其主要用于检测已知的系统漏洞识别入侵、攻击模式等, 另一种是异常检测, 其主要针对于与正常行为模式背离的识别入侵。

通过上述的分析, 我们对入侵检测有了一定的了解, 本文就是要将数据挖掘技术应用到其中, 形成一种新的入侵检测手段。

2 检测方法

实际上, 这里所说的数据挖掘就是发现潜在价值和信息的过程, 应用数据未经过挖掘之前不但数量大、有噪声, 而且还体现出不完全、随机性等特征, 而数据挖掘要做的就是发现这些应用数据的价值。它是一门交叉性学科, 涉及到一些算法, 我们熟悉的有决策树、序列模型等, 对入侵检测会发挥较大的作用, 总的来看, 数据挖掘的一般可分为四步:确定目标, 了解应用的范围、目的;数据准备, 主要包括两个方面的内容, 一个方面是数据压缩, 另一个方面是数据转换;数据挖掘, 完成数据挖掘算法的选择, 就可以进行数据挖掘工作;结果表现, 完成上述功能之后, 还需要进行表达、评价、巩固, 这样才能达到理想的效果。

在入侵检测系统中运用数据挖掘的方法, 能够将现在检测系统的弊端有效地克服掉, 进而确保检测的有效性、扩展性和适应性。其优势在于可以在入侵检测中应用数据挖掘的分类、关联等算法, 不需要对其进行手工分析、编码, 这样统计量选择的猜测成分就能够被有效地减少。

这里提出一种系统结构, 我们经过研究得出, 其包括学习代理以及检测代理。前者主要应用于服务器, 主要针对于规则集的形成与维护, 基本检测代理等会用到其产生的规则库。

基本检测代理对网络数据包预处理, 相应的记录会与规则库进行匹配, 匹配结果是入侵的话, 会显示出来, 并将其加入异常数据, 否则放入正常数据库。在这样的检测规则之下, 就出现了正常数据和异常数据, 对于这些数据, 学习代理也可以进行重复学习, 以从中发现一些新规则, 并加以利用。

我们应该看到, 检测代理具有一定的扩展性, 通过学习代理, 其可以获得规则库, 输入的审计数据, 在其检测引擎的作用下, 执行的是分类的功能, 并将相应的入侵证据输出。之后将其传输给后检测代理, 形成一个后检测器, 后检测器不但是分层的, 而且呈现出并行状态。

入侵检测模型数据挖掘, 包括如下几个方面的内容: (1) 预处理原始审计数据, 使其成为主机时间数据, 对这些数据进行总结, 然后在主机对话记录中将这些数据导入。 (2) 在主机对话记录中, 应用数据挖掘程度会计算频繁模式, 不但会用到频繁片段, 还会使用关联规则, 然后再对其进行附加特征构建。在离线分析中, 挖掘频繁模式价值很高, 频繁模式集不同, 所能够识别审计数据集的行为也有所差异。 (3) 应用分类程序学习检测模型。

用到的数据挖掘算法包括分类、关联规则和频繁片段算法。本系统主要用到频繁片段算法, 以经典的Apriori Association Rules Algorithm关联规则算法作为例子来进行分析, 具体来说, 该算法分为两步: (1) 寻找频繁项集, 从审计数据中寻找; (2) 推出关联规则, 这主要依赖于频繁项集, 寻找所有的频繁项集是算法性能好坏至关重要的环节。Apriori算法是一个迭代算法, 首先从寻找频繁1-项集开始, 然后从频繁k-项集中迭代地计算频繁 (k+1) -项集, 直到没有新的频繁项集产生, 得到的频繁项集即为最大频繁项集。

传统的Apriori算法大都采用的是Hash树存放项集, 计算复杂度高, 维护繁杂, I/O负担很重。本文对算法进行了部分改进: (1) 设置行向量, 这需要在每个项集数据结构中完成, 其起的作用主要是对该项集事务进行记录。生成频繁1-项集列表只需要扫描一下数据库即可。当两个频繁 (k-1) -项集合并生成一个候选k-项集时, 该项集的行向量只需由两个频繁 (k-1) -项集的行向量进行简单的“与”运算即可。其支持度通过计算对应行向量中“1”的个数便能得到。 (2) 引入了“等价项”的概念, N个频繁k-项集, 如果其前k-1项均相同, 则构成等价项, 同时构造了等价项链表结构。这样合并生成 (k+1) -项集时, 直接沿着等价项链表合并即可, 提高了算法的效率。

由于缺乏对实际情况的考虑, 上面的算法或许得到诸多无关规则或显而易见的规则。在对关联规则进行分析时, 要结合实际情况, 找出感兴趣的规则, 才能更加有效地建立入侵检测系统, 保证计算机网络的安全。经过甄别、分析的关联规则加入到规则库, 其代表的就是用户的正常行为模式, 检测代理可以对其进行施用, 也可以进行离线分析, 并为其构造附加特征, 以达到更好地检测目的。

3 总结

在入侵检测系统里应用数据挖掘技术是一个必然的趋势, 经过大量的实践和理论研究发现, 入侵检测系统应用了数据挖掘能够起到更好地效果, 有着较好的发展和应用前景。

摘要：现有的入侵方法不但扩展性和适应性上不尽如人意, 入侵的检测效率也比较低。而以数据为中心是数据挖掘技术的核心观点, 相较于其他的检测方法, 其把入侵检测看做一个数据分析过程, 运用数据挖掘中的算法来建立入侵检测系统, 尽量减少了手工和经验的影响, 较好地解决了有效性、扩展性和适应性的问题。

关键词：数据挖掘,入侵检测系统

参考文献

[1]杨德刚.入侵检测中数据挖掘技术的应用研究分析[J].重庆师范大学学报:自然科学版, 2004, 21 (4) :120-125.

[2]CHEN MS, HAN J, YU PS.Data Mining:An Overview from a Database Perspective[J].IEEE Transaction on Knowledge and Data Engineering, 1996, 8 (6) :862-883.