第一篇：現(xiàn)代檢測(cè)技術(shù)論文（共）

電磁兼容現(xiàn)場(chǎng)測(cè)試中干擾源的自動(dòng)辨識(shí)

姓名： 學(xué)號(hào)：

專(zhuān)業(yè)：控制科學(xué)與工程 指導(dǎo)老師：摘 要: 復(fù)雜系統(tǒng)由于上裝設(shè)備眾多，空間狹小，導(dǎo)致電磁兼容(EMC)問(wèn)題突出。電磁兼容現(xiàn)場(chǎng)測(cè)試是解決系統(tǒng)性電磁兼容問(wèn)題的有效手段，但在國(guó)內(nèi)針對(duì)電磁兼容現(xiàn)場(chǎng)測(cè)試的研究還處于起步階段，對(duì)于電磁兼容現(xiàn)場(chǎng)測(cè)試中干擾源的自動(dòng)辨識(shí)研究更是少之又少。因此研究電磁兼容現(xiàn)場(chǎng)測(cè)試中的干擾源辨識(shí)技術(shù)具有重要的意義和工程應(yīng)用價(jià)值。本文把電磁兼容現(xiàn)場(chǎng)測(cè)試中的干擾源的自動(dòng)辨識(shí)作為研究目標(biāo)。首先對(duì)電磁兼容現(xiàn)場(chǎng)測(cè)試的需求及特點(diǎn)進(jìn)行分析，然后借鑒模式識(shí)別理論并將其應(yīng)用于電磁兼容現(xiàn)場(chǎng)測(cè)試的干擾源辨識(shí)，設(shè)計(jì)了電磁兼容現(xiàn)場(chǎng)測(cè)試干擾源辨識(shí)方案。論文結(jié)合電磁兼容現(xiàn)場(chǎng)測(cè)試的實(shí)際情況，研究了小波消噪、曲線(xiàn)包絡(luò)和曲線(xiàn)延拓等數(shù)據(jù)預(yù)處理算法，提出了峰值、包絡(luò)和諧波等特征的提取方法，形成了原始相關(guān)系數(shù)、峰值相關(guān)系數(shù)和相似離度等相似度評(píng)價(jià)指標(biāo)。最后構(gòu)建了辨識(shí)系統(tǒng)并建立了辨識(shí)系統(tǒng)的數(shù)據(jù)庫(kù)，為數(shù)據(jù)的管理和共享提供了便利的條件。關(guān)鍵詞： 電磁兼容 現(xiàn)場(chǎng)測(cè)試 干擾源辨識(shí) 模式識(shí)別 1 研究背景和意義

在科學(xué)發(fā)達(dá)的今天，廣播、電視、通信、導(dǎo)航、雷達(dá)、遙測(cè)測(cè)控及計(jì)算機(jī)等迅速發(fā)展，尤其是信息、網(wǎng)絡(luò)技術(shù)以爆炸性方式增長(zhǎng)，電磁波利用的快速擴(kuò)張，產(chǎn)了不斷增長(zhǎng)的電磁污染，帶來(lái)了嚴(yán)重的電磁干擾。各種電磁能量通過(guò)輻射和傳導(dǎo)的途徑，以電波、電場(chǎng)和電流的形式，影響著敏感電子設(shè)備，嚴(yán)重時(shí)甚至使電子設(shè)備無(wú)法正常工作。上述情況對(duì)電子設(shè)備及系統(tǒng)的正常工作構(gòu)成了很大的威脅，因此加強(qiáng)電子產(chǎn)品的電磁兼容性設(shè)計(jì)，使之能在復(fù)雜的電磁環(huán)境中正常工作已成為當(dāng)務(wù)之急。電磁兼容性(Electromagnetic Compatibility, EMC)是設(shè)備或系統(tǒng)在其電磁環(huán)境中，能正常工作且不對(duì)該環(huán)境中任何事物構(gòu)成不能承受的電磁騷擾的能力。它包括電磁干擾(Electromagnetic Interference, EMI)和電磁敏感度(Electromagnetic Susceptibility, EMS)兩個(gè)方面。電磁兼容測(cè)試是驗(yàn)證電子設(shè)備電磁兼容設(shè)計(jì)的合理性以及最終評(píng)價(jià)、解決電子設(shè)備電磁兼容問(wèn)題的主要手段。通過(guò)定量的測(cè)量，可以鑒別產(chǎn)品是否符合 EMC 相關(guān)標(biāo)準(zhǔn)或者規(guī)范，找出產(chǎn)品在 EMC方面的薄弱環(huán)節(jié)。

目前很多國(guó)家和組織都制定了相關(guān)的電磁兼容標(biāo)準(zhǔn)，只有符合相關(guān)指標(biāo)要求的電子和電氣產(chǎn)品才能進(jìn)入市場(chǎng)。要判斷某電子產(chǎn)品是否存在電磁兼容性問(wèn)題，就需要依據(jù)相關(guān)標(biāo)準(zhǔn)對(duì)該產(chǎn)品進(jìn)行具體的電磁兼容測(cè)試

在目前電磁兼容測(cè)試中，針對(duì)設(shè)備或分系統(tǒng)級(jí)的電磁兼容測(cè)試與評(píng)價(jià)有著較為完備的電磁兼容標(biāo)準(zhǔn)或規(guī)范體系，不僅規(guī)定了測(cè)試所使用的儀器設(shè)備的具體指標(biāo)要求，同時(shí)還規(guī)范了測(cè)量方案的組成和環(huán)境要求，這是其他標(biāo)準(zhǔn)或規(guī)范中所少見(jiàn)的。然而針對(duì)系統(tǒng)測(cè)試，目前還沒(méi)有詳細(xì)具體的標(biāo)準(zhǔn)或規(guī)范。已經(jīng)了解的標(biāo)準(zhǔn)有美軍標(biāo) MIL-E-6051D《系統(tǒng)電磁兼容性要求》（已等效成國(guó)軍標(biāo) GJB1389《系統(tǒng)電磁兼容性要求》），又如美軍標(biāo) MIL-STD-1541A《對(duì)航天系統(tǒng)的電磁兼容性要求》等。在這些標(biāo)準(zhǔn)中給出了一些應(yīng)該遵從的原則，但如何將這些原則用于工程，還需要一個(gè)實(shí)踐的過(guò)程。2 電磁兼容現(xiàn)場(chǎng)測(cè)試分析及測(cè)試方法研究

隨著電子信息技術(shù)的飛速發(fā)展，各種電子設(shè)備間的電磁兼容問(wèn)題也日益突出，為了掌握和高這些電子設(shè)備的電磁兼容性，最直接的方法就是對(duì)它們進(jìn)行電磁兼容測(cè)試?，F(xiàn)場(chǎng)系統(tǒng)電磁兼容測(cè)試作為最能反映系統(tǒng)真實(shí)任務(wù)執(zhí)行能力的電磁兼容測(cè)試起著非常重要的作用。本章從標(biāo)準(zhǔn)測(cè)試和現(xiàn)場(chǎng)測(cè)試的區(qū)別、微弱信號(hào)測(cè)試關(guān)鍵技術(shù)和近場(chǎng)抗飽和測(cè)試技術(shù)等方面分析了現(xiàn)場(chǎng)測(cè)試的特點(diǎn)和測(cè)試方法。2.1 標(biāo)準(zhǔn)測(cè)試

在電磁兼容測(cè)試中，場(chǎng)地對(duì)測(cè)試結(jié)果的影響非常明顯。主要原因是場(chǎng)地的差異，即空間直射波與地面反射波的反射影響和接收點(diǎn)不同，造成相互疊加的場(chǎng)強(qiáng)不一致。早期的 CISPR 標(biāo)準(zhǔn)要求電磁兼容測(cè)試應(yīng)該在開(kāi)闊測(cè)試場(chǎng)地(OATS)中進(jìn)行。開(kāi)闊試驗(yàn)場(chǎng)的基本結(jié)構(gòu)應(yīng)是周?chē)諘?，無(wú)反射物體，地面為平坦而導(dǎo)電率均勻的金屬接地表面。場(chǎng)地按橢圓形設(shè)計(jì)，場(chǎng)地長(zhǎng)度不小于橢圓焦點(diǎn)之間距離的 2倍，寬度不小于橢圓焦點(diǎn)之間距離的 1.73 倍，具體尺寸的大小一般視測(cè)試頻率下限的波長(zhǎng)而定。實(shí)際電磁輻射干擾測(cè)試時(shí)，EUT 和接收天線(xiàn)分別置于橢圓場(chǎng)地的兩個(gè)焦點(diǎn)位置?？紤]到開(kāi)闊試驗(yàn)場(chǎng)及屏蔽暗室的建造成本和環(huán)境的限值，國(guó)內(nèi)外電磁兼容標(biāo)準(zhǔn)將 EUT 到接收天線(xiàn)的距離定為 3m 和 10m，俗稱(chēng) 3m 法和 10m 法。如要滿(mǎn)足 3m 法測(cè)量，場(chǎng)地長(zhǎng)度不小于 6m 距離，寬度不小于 5.2m 距離；如要滿(mǎn)足 10m 法測(cè)量，場(chǎng)地長(zhǎng)度不小于 20m 距離，寬度不小于 17.3m 距離。

標(biāo)準(zhǔn) RE102 測(cè)試示意圖

2.2 現(xiàn)場(chǎng)測(cè)試

標(biāo)準(zhǔn)測(cè)試在針對(duì)部件級(jí)或者設(shè)備級(jí)的電磁兼容測(cè)試方面具有無(wú)可比擬的優(yōu)勢(shì)，但是在反映任務(wù)系統(tǒng)的系統(tǒng)性能方面卻有一定的局限性。主要體現(xiàn)在： 1)標(biāo)準(zhǔn)實(shí)驗(yàn)室的測(cè)試是針對(duì)單個(gè)設(shè)備的測(cè)試，無(wú)法體現(xiàn)上裝環(huán)境下成組設(shè)備工作時(shí)的成組特性。

2)標(biāo)準(zhǔn)實(shí)驗(yàn)室內(nèi)的測(cè)試由于空間及連接限制，無(wú)法體現(xiàn)設(shè)備的實(shí)際工作模式。3)標(biāo)準(zhǔn)實(shí)驗(yàn)室中電源采用 LISN 供電，LISN 的阻抗為 50 歐姆標(biāo)準(zhǔn)阻抗，能夠與設(shè)備實(shí)現(xiàn)較好的阻抗匹配，無(wú)法體現(xiàn)上裝環(huán)境下設(shè)備實(shí)際的阻抗特性。2.3近場(chǎng)抗飽和測(cè)試技術(shù)

在電磁兼容現(xiàn)場(chǎng)測(cè)試中，經(jīng)常會(huì)遇到大信號(hào)的測(cè)量，如針對(duì)車(chē)載通信系統(tǒng)的無(wú)線(xiàn)設(shè)備輻射發(fā)射特性測(cè)試。由于電臺(tái)的發(fā)射功率較大，測(cè)試距離近，很容易導(dǎo)致頻譜儀出現(xiàn)飽和和失真問(wèn)題，導(dǎo)致測(cè)試結(jié)果出現(xiàn)誤差。這主要由于以下兩個(gè)原因：（1）測(cè)量信號(hào)超過(guò)頻譜儀的測(cè)試動(dòng)態(tài)范圍，而導(dǎo)致測(cè)試結(jié)果的不正確，出現(xiàn)頻譜儀飽和現(xiàn)象；（2）測(cè)量信號(hào)功率位于頻譜儀非線(xiàn)性失真區(qū)，使測(cè)試結(jié)果出現(xiàn)非線(xiàn)性失真的現(xiàn)象。所以需要研究近場(chǎng)抗飽和測(cè)試技術(shù)，來(lái)減小飽和帶來(lái)的誤差。在測(cè)試過(guò)程中可以使用衰減器防止接收到大功率的信號(hào)使得頻譜儀混頻器飽和，給測(cè)試帶來(lái)誤差。但是使用了寬帶的衰減器引起的問(wèn)題是：衰減器不僅將大信號(hào)進(jìn)行了衰減，小信號(hào)也被衰減以至于小信號(hào)可能被噪聲淹沒(méi)。為了解決該問(wèn)題，在測(cè)試過(guò)程中使用了中心頻率可調(diào)的帶通或帶阻濾波器，該濾波器的功能就是實(shí)現(xiàn) EMC 接收機(jī)的前端預(yù)選器的功能，使用該濾波器可以防止大功率信號(hào)進(jìn)入頻譜儀，只要在測(cè)試過(guò)程中將帶阻濾波器的中心頻率調(diào)節(jié)到電臺(tái)的發(fā)射頻率即可。2.4 濾波器補(bǔ)償技術(shù)

補(bǔ)償?shù)倪^(guò)程首先通過(guò)無(wú)線(xiàn)設(shè)備發(fā)射特性信息庫(kù)讀取電臺(tái)發(fā)射特性的測(cè)試數(shù)據(jù)、測(cè)試的頻率和使用濾波器的情況，然后在濾波器插入損耗庫(kù)中查找該頻率使用的濾波器的插入損耗數(shù)據(jù)，通過(guò)差值算法將濾波器特性數(shù)據(jù)的數(shù)據(jù)點(diǎn)和發(fā)射特性的數(shù)據(jù)點(diǎn)相同，然后在經(jīng)過(guò)計(jì)算獲得最終的結(jié)果。測(cè)試中的接收端使用了帶通/帶阻濾波器和寬帶衰減器。在進(jìn)行寬帶測(cè)試時(shí)使用寬帶衰減器；在進(jìn)行電臺(tái)基波特性測(cè)試時(shí)使用帶阻濾波器；在進(jìn)行電臺(tái)諧波測(cè)試時(shí)使用帶通濾波器。

抗飽和輻射發(fā)射特性測(cè)試示意圖 干擾源辨識(shí)方案設(shè)計(jì)

頻譜測(cè)試曲線(xiàn)在電磁兼容故障診斷中發(fā)揮著舉足輕重的地位。在部件級(jí)或者設(shè)備級(jí)的電磁兼容分析中，經(jīng)驗(yàn)豐富的電磁兼容工程師往往通過(guò)不同頻段的 EUT發(fā)射特性曲線(xiàn)判斷 EUT 出現(xiàn)電磁兼容問(wèn)題的根源，然后制定抑制方案，最后解決電磁兼容問(wèn)題。在電子通信系統(tǒng)中，電磁兼容問(wèn)題日益突出，對(duì)系統(tǒng)級(jí)的干擾源定位技術(shù)的需求日益迫切。3.1 需求分析

隨著現(xiàn)代通信電子科學(xué)技術(shù)的高速發(fā)展和廣泛應(yīng)用，電子通信系統(tǒng)正在向集成化、多任務(wù)化、微型化發(fā)展。各種各樣的電子設(shè)備或系統(tǒng)以及其他的電子、電氣設(shè)備越來(lái)越密集導(dǎo)致的系統(tǒng)內(nèi)電磁環(huán)境及其復(fù)雜，高密度、寬頻譜的電磁信號(hào)充滿(mǎn)整個(gè)空間，使電子通信系統(tǒng)受到了嚴(yán)重的考驗(yàn)，電磁兼容性問(wèn)題日益突出。以車(chē)載通信系統(tǒng)舉例來(lái)說(shuō)，由于車(chē)輛的車(chē)內(nèi)、車(chē)頂空間都非常狹小，在這樣狹小的空間內(nèi)安裝了多部不同頻帶及功能的電臺(tái)、計(jì)算機(jī)、數(shù)字化車(chē)通等各種數(shù)字化設(shè)備，存在著多種導(dǎo)致系統(tǒng)電磁兼容（EMC）性能惡化的因素，如：有限頻帶內(nèi)密集的工作頻率，單位體積內(nèi)較大的電磁功率密度，高低電平器件或裝置的混合使用，高靈敏度設(shè)備的使用以及設(shè)備通過(guò)供電系統(tǒng)、接地系統(tǒng)、互連系統(tǒng)以及空間輻射產(chǎn)生電磁干擾耦合等。而若干類(lèi)型的單車(chē)系統(tǒng)又可組成一個(gè)龐大的、復(fù)雜的電子系統(tǒng)，構(gòu)成靜止?fàn)顟B(tài)的有線(xiàn)與無(wú)線(xiàn)通信局域網(wǎng)、運(yùn)動(dòng)狀態(tài)的無(wú)線(xiàn)通信互連局域網(wǎng)，存在多類(lèi)通訊天線(xiàn)，會(huì)引起頻域和時(shí)域的混合干擾，這將使電磁環(huán)境已經(jīng)比較惡劣的有限空間內(nèi)的電磁頻譜更加擁擠、電磁環(huán)境更加惡化，致使系統(tǒng)電磁兼容問(wèn)題更加復(fù)雜。

隨著計(jì)算機(jī)技術(shù)的發(fā)展，越來(lái)越多的工作已經(jīng)能夠使用計(jì)算機(jī)語(yǔ)言實(shí)現(xiàn)。計(jì)算機(jī)軟件實(shí)現(xiàn)的優(yōu)勢(shì)在于能夠有效的控制因人員差異造成的評(píng)價(jià)誤差、運(yùn)行速度快且穩(wěn)定等優(yōu)點(diǎn)?，F(xiàn)代智能模式識(shí)別技術(shù)在近些年得到了快速的發(fā)展，在各個(gè)領(lǐng)域都有很好的應(yīng)用。在電磁兼容領(lǐng)域，目前自動(dòng)化測(cè)試已經(jīng)較為普及，但是在測(cè)試中得到大量的測(cè)試數(shù)據(jù)卻難以得到很好的利用，靠人眼分辨測(cè)試數(shù)據(jù)效率低下，迫切的需要自動(dòng)化的數(shù)據(jù)處理技術(shù)。正是在這種需求背景下，本文借鑒模式識(shí)別理論提出了適合于計(jì)算機(jī)實(shí)現(xiàn)的干擾源自動(dòng)辨識(shí)技術(shù)。3.2 干擾源辨識(shí)方案設(shè)計(jì) 3.2.1 模式識(shí)別的方法

模式識(shí)別(pattern recognition)是當(dāng)前科學(xué)發(fā)展中的一門(mén)前沿科學(xué)，也是一門(mén)典型的交叉科學(xué)，它的發(fā)展與人工智能、計(jì)算機(jī)科學(xué)、傳感技術(shù)、信息論、語(yǔ)言學(xué)等科學(xué)的研究水平息息相關(guān)，相輔相成。所謂模式識(shí)別是根據(jù)研究對(duì)象的特征或?qū)傩裕糜?jì)算機(jī)為中心的機(jī)器系統(tǒng)運(yùn)用一定的分析算法認(rèn)定它的類(lèi)別，系統(tǒng)應(yīng)使分類(lèi)識(shí)別的結(jié)果盡可能地符合真實(shí)。模式識(shí)別涉及的理論與技術(shù)相當(dāng)廣泛，涉及多種數(shù)學(xué)理論、神經(jīng)心理學(xué)、計(jì)算機(jī)科學(xué)、信號(hào)處理等等。從本質(zhì)上講，模式識(shí)別實(shí)際上是數(shù)據(jù)處理及信息分析，而從功能上講，可以認(rèn)為它是人工智能的一個(gè)分支。針對(duì)不同的對(duì)象和目的，可以用不同的模式識(shí)別理論方法。目前主流的技術(shù)是：統(tǒng)計(jì)模式識(shí)別、句法模式識(shí)別、模糊數(shù)學(xué)方法、神經(jīng)網(wǎng)絡(luò)方法、人工智能方法。

3.2.2 干擾源辨識(shí)方案

大型電子通信系統(tǒng)有許多的電子設(shè)備組成，這些設(shè)備在功能上的互補(bǔ)使得系統(tǒng)能夠很好的完成設(shè)計(jì)任務(wù)。但是這些設(shè)備在完成任務(wù)的時(shí)候又會(huì)互相產(chǎn)生電磁干擾，嚴(yán)重的甚至影響到系統(tǒng)完成任務(wù)的能力。電磁兼容測(cè)試能夠發(fā)現(xiàn)問(wèn)題，找尋相關(guān)的干擾源。本文立足于以往的測(cè)試數(shù)據(jù)，以模式識(shí)別過(guò)程為基本導(dǎo)向，研究了一套適用于電磁兼容測(cè)試的干擾源辨別方案?；舅枷胧窍冉㈥P(guān)鍵設(shè)備的模板數(shù)據(jù)庫(kù)，然后將受擾設(shè)備端的測(cè)試結(jié)果作為待辨識(shí)數(shù)據(jù)，將其通過(guò)干擾源辨識(shí)算法和模板庫(kù)中的數(shù)據(jù)進(jìn)行比較，最后辨識(shí)出干擾源。

干擾源辨識(shí)算法 干擾源辨識(shí)關(guān)鍵技術(shù)分析 4.1 數(shù)據(jù)預(yù)處理技術(shù)

在使用頻譜儀進(jìn)行現(xiàn)場(chǎng)測(cè)試的過(guò)程中，儀器會(huì)采集到三種信號(hào)的數(shù)據(jù)：有用信號(hào)、儀器內(nèi)部噪聲和外界環(huán)境噪聲。數(shù)據(jù)預(yù)處理技術(shù)的作用正是用于消除噪聲的影響。從信號(hào)處理的角度看，小波消噪是一個(gè)信號(hào)濾波的問(wèn)題，盡管在很大程度上小波消噪可視為低通濾波，但是由于消噪后，還能成功的保留信號(hào)的特征，所以在這一點(diǎn)上，小波消噪方法又優(yōu)于傳統(tǒng)的低通濾波器。由此可見(jiàn)，小波消噪實(shí)際上是特征提取和低通濾波的綜合。4.2 特征提取

在電磁兼容測(cè)試中，峰值信號(hào)是最為關(guān)心的信號(hào)。峰值信號(hào)所在頻率和相應(yīng)幅值是發(fā)現(xiàn)問(wèn)題、解決問(wèn)題的關(guān)鍵信息。峰值的判別可以根據(jù)測(cè)試數(shù)據(jù)的單調(diào)性確定。對(duì)測(cè)試點(diǎn)左右兩側(cè)進(jìn)行單調(diào)性判斷，如果該測(cè)試點(diǎn)的左側(cè)為單調(diào)遞增并且右側(cè)為單調(diào)遞減，則認(rèn)定其為峰值點(diǎn)，否則不是峰值點(diǎn)。但是由實(shí)際的測(cè)試曲線(xiàn)可知，環(huán)境信號(hào)的測(cè)試結(jié)果中大部分都不是有用信號(hào)，而是頻譜儀的底部噪聲。頻譜儀底噪是在一定范圍內(nèi)波動(dòng)的隨機(jī)數(shù)，若按單調(diào)性的方法進(jìn)行峰值提取，必然會(huì)提取出很多的底噪數(shù)據(jù)，達(dá)不到提取干擾信號(hào)峰值的效果。所以在進(jìn)行峰值提取前需要進(jìn)行噪聲閾值判斷，對(duì)于大于該閾值的信號(hào)才進(jìn)行峰值提取。

峰值提取流程圖

4.3 相似度評(píng)價(jià)

現(xiàn)場(chǎng)電磁兼容的測(cè)試能夠通過(guò)自動(dòng)測(cè)試軟件得到頻譜特性曲線(xiàn)。干擾源的辨識(shí)即是對(duì)頻譜特性曲線(xiàn)的辨識(shí)。頻譜特性曲線(xiàn)具有整體特性和局部特性，上節(jié)的特征提取技術(shù)已經(jīng)對(duì)特征進(jìn)行了提取，本節(jié)提出相應(yīng)的相似度評(píng)價(jià)指標(biāo)以滿(mǎn)足干擾源辨識(shí)的判別需求。

衡量相似度前，首先需要對(duì)電磁兼容測(cè)試曲線(xiàn)的特性進(jìn)行分析。電磁兼容測(cè)試曲線(xiàn)辨識(shí)最重要特征在于相同頻點(diǎn)或頻段的趨勢(shì)一致，而曲線(xiàn)幅值可以具有一定的差異。這是由于測(cè)試本身的可重復(fù)性差決定的，例如受試設(shè)備工作條件的微弱改變，測(cè)試距離的微弱改變，外界環(huán)境的變化等都可能導(dǎo)致測(cè)試的幅值發(fā)生一定的變化。如果采用單一的評(píng)價(jià)指標(biāo)來(lái)衡量電磁兼容測(cè)試中的測(cè)試曲線(xiàn)的特性，則具有相當(dāng)?shù)木窒扌?。這是因?yàn)闊o(wú)論是采用相關(guān)系數(shù)、相似離度、包絡(luò)特征或峰值特征等單一特性都不能完整表現(xiàn)測(cè)試曲線(xiàn)的特性。所以需要一個(gè)綜合的相似指標(biāo)對(duì)干擾源辨識(shí)結(jié)果進(jìn)行評(píng)價(jià)。5 小結(jié)

本文主要研究了電磁兼容現(xiàn)場(chǎng)測(cè)試中的干擾源辨識(shí)技術(shù)。本文著眼于實(shí)際的工程應(yīng)用，首先對(duì)電磁兼容現(xiàn)場(chǎng)測(cè)試的背景及國(guó)內(nèi)外在該項(xiàng)技術(shù)上的發(fā)展現(xiàn)狀和趨勢(shì)進(jìn)行了研究，指出了進(jìn)行電磁兼容現(xiàn)場(chǎng)測(cè)試的干擾源辨識(shí)的重要性和必性。在此基礎(chǔ)上對(duì)電磁兼容現(xiàn)場(chǎng)測(cè)試的測(cè)試方法進(jìn)行了研究，重點(diǎn)和電磁兼容標(biāo)準(zhǔn)測(cè)試作比較，闡述了現(xiàn)場(chǎng)測(cè)試相對(duì)于標(biāo)準(zhǔn)測(cè)試的不同點(diǎn)和復(fù)雜性。針對(duì)現(xiàn)場(chǎng)測(cè)試的特點(diǎn)，提出了微弱信號(hào)測(cè)試和現(xiàn)場(chǎng)抗飽和測(cè)試的測(cè)試方法。在對(duì)干擾源辨識(shí)的需求分析后，借鑒模式識(shí)別理論設(shè)計(jì)了一套干擾源自動(dòng)辨識(shí)的辨識(shí)方案并提出干擾源辨識(shí)算法。對(duì)于干擾源模板的建立，本文給出了詳細(xì)的測(cè)試方法和約束條件。在構(gòu)建干擾源自動(dòng)辨識(shí)系統(tǒng)的過(guò)程中突破了以下關(guān)鍵技術(shù)：數(shù)據(jù)預(yù)處理技術(shù)、特征提取技術(shù)和相似度評(píng)價(jià)技術(shù)。另外本文還存在一些問(wèn)題有待進(jìn)一步完善和研究：對(duì)干擾源模板的建立，還需要大量測(cè)試結(jié)果的驗(yàn)證并根據(jù)測(cè)試結(jié)果對(duì)模板的建立方法進(jìn)行改善和優(yōu)化；干擾源辨識(shí)技術(shù)中的特征提取方法還可做進(jìn)一步研究，以找到其它合適的特征；對(duì)于綜合評(píng)價(jià)指標(biāo)的權(quán)重選擇需要通過(guò)大量辨識(shí)結(jié)果的驗(yàn)證和優(yōu)化等。參考文獻(xiàn)

[1] 錢(qián)振宇．3C認(rèn)證中的電磁兼容測(cè)試和對(duì)策[M]．北京：電子工業(yè)出版社，2004 [2] 劉培國(guó)，侯冬云．電磁兼容基礎(chǔ)[M]．北京：電子工業(yè)出版社，2008 [3] Jin Tian，Yang Qiu and Liuyu Qian．Research on Algorithm of Digital FilteringBased on Video Information Security[C]．the Fifth International Conference on Information Assurance and Security，IEEE Computer society，2009(8)，593-596 [4] 陳淑鳳，馬曉慶等．電磁兼容試驗(yàn)技術(shù)[M]．北京：北京郵電大學(xué)出版社，2001 [5] 劉易勇，郭恩全等．電磁干擾預(yù)測(cè)試系統(tǒng)研制[J]．測(cè)控技術(shù)，2003 [6] 程君佳：虛擬暗室測(cè)試平臺(tái)總體設(shè)計(jì)與算法研究[D]．成都：電子科大學(xué)位論文，2007 [7] EMCSCANNER預(yù)診斷系統(tǒng)技術(shù)文檔．加拿大：艾姆克公司，2006 [8] 盛驟，謝式千，潘承毅．概率論與數(shù)理統(tǒng)計(jì)[M]．浙江大學(xué)：高等教育出版社，2004 [9] Craig F.Derewiany．Methods of performing computer controlled EMI compliance tests[J]．New London IEEE，2010 [10] Clayton R.Paul．Introduction to electromagnetic compatibility[M]．New York：Wiley，1992 [11] 周輝．齒輪故障的特征提取與模式識(shí)別技術(shù)研究[D]，2012 [12] 劉鵬程，邱揚(yáng)．電磁兼容原理及技術(shù)[M]．北京：高等教育出版社，1993

第二篇：現(xiàn)代檢測(cè)技術(shù)論文

學(xué)習(xí)報(bào)告

經(jīng)過(guò)這學(xué)期現(xiàn)代檢測(cè)技術(shù)的學(xué)習(xí)，讓我對(duì)檢測(cè)技術(shù)有了一個(gè)全新的認(rèn)識(shí)和理解?，F(xiàn)代檢測(cè)技術(shù)的快速發(fā)展，讓我們?cè)谲娛?、航天、醫(yī)學(xué)、工業(yè)生產(chǎn)、食品等很多領(lǐng)域也取得了巨大的進(jìn)步。這讓我以前對(duì)現(xiàn)代檢測(cè)技術(shù)淺薄的認(rèn)識(shí)發(fā)生很 大的變化，讓我對(duì)現(xiàn)代檢測(cè)技術(shù)的發(fā)展充滿(mǎn)信心！

檢測(cè)是指在各類(lèi)生產(chǎn)、科研、試驗(yàn)及服務(wù)等各個(gè)領(lǐng)域，為及時(shí)獲得被測(cè)、被控對(duì)象的有關(guān)信息而實(shí)時(shí)或非實(shí)時(shí)地對(duì)一些參量進(jìn)行定性檢查和定量測(cè)量。對(duì)工業(yè)生產(chǎn)而言，采用各種先進(jìn)的檢測(cè)技術(shù)對(duì)生產(chǎn)全過(guò)程進(jìn)行檢查、監(jiān)測(cè)，對(duì)確保安全生產(chǎn)，保證產(chǎn)品質(zhì)量，提高產(chǎn)品合格率，降低能源和原材料消耗，提高企業(yè)的勞動(dòng)生產(chǎn)率和經(jīng)濟(jì)效益是必不可少的。在軍工生產(chǎn)和新型武器、裝備研制過(guò)程中更離不開(kāi)現(xiàn)代檢測(cè)技術(shù)，對(duì)檢測(cè)的需求更多，要求更高。在醫(yī)療領(lǐng)域，用各種先進(jìn)的醫(yī)療檢測(cè)儀器可大大提高疾病的檢查、診斷速度和準(zhǔn)確性，有利于爭(zhēng)取時(shí)間，對(duì)癥治療，增加患者戰(zhàn)勝疾病的機(jī)會(huì)。而食品檢測(cè)技術(shù)的發(fā)展，讓地溝油、三聚氰胺等不健康物質(zhì)無(wú)所遁形。

中國(guó)有句古話(huà)：“工欲善其事，必先利其器”，用這句話(huà)來(lái)說(shuō)明檢測(cè)技術(shù)在我國(guó)現(xiàn)代化建設(shè)中的重要性是非常恰當(dāng)?shù)?，今天我們所進(jìn)行的“事”就是現(xiàn)代化建設(shè)大業(yè)，而“器”則是先進(jìn)的檢測(cè)手段?？茖W(xué)技術(shù)的進(jìn)步、制造業(yè)和服務(wù)業(yè)的發(fā)展軍隊(duì)現(xiàn)代化建設(shè)的大量需求，促進(jìn)了檢測(cè)技術(shù)的發(fā)展，而先進(jìn)的檢測(cè)手段也可提高制造業(yè)、服務(wù)業(yè)的自動(dòng)化、信息化水平和勞動(dòng)生產(chǎn)率，促進(jìn)科學(xué)研究和國(guó)防建設(shè)的進(jìn)步，提高人民的生活水平。

從以上幾點(diǎn)我們可以看出，現(xiàn)代檢測(cè)技術(shù)具有非常好的發(fā)展前景。對(duì)個(gè)人來(lái)說(shuō)，檢測(cè)技術(shù)的發(fā)展會(huì)給我們提供非常好的就業(yè)機(jī)會(huì)和發(fā)展前景，尤其對(duì)我們測(cè)控技術(shù)與儀器這個(gè)專(zhuān)業(yè)的作用更大。對(duì)社會(huì)來(lái)說(shuō)，檢測(cè)技術(shù)促進(jìn)了人類(lèi)的發(fā)展和進(jìn)步。

現(xiàn)代檢測(cè)技術(shù)的發(fā)展幾乎是與計(jì)算機(jī)技術(shù)同步、協(xié)調(diào)向前發(fā)展的，計(jì)算機(jī)技術(shù)是檢測(cè)技術(shù)的核心，若脫離開(kāi)計(jì)算機(jī)、軟件、網(wǎng)絡(luò)、通信發(fā)展的軌道，檢測(cè)技術(shù)產(chǎn)業(yè)就不可能壯大。檢測(cè)技術(shù)的發(fā)展主要包括傳感器的發(fā)展、檢測(cè)手段的發(fā)展、測(cè)量信號(hào)處理的發(fā)展。第一、傳感器的發(fā)展：傳感器的作用主要是獲取信息，是信息技術(shù)的源頭。主要發(fā)展方向是面向智能化傳感器、多傳感器、多功能化和高精度化及傳感器的融合。第二、檢測(cè)手段的發(fā)展：主要面向硬件功能軟件化、集成模塊化、參數(shù)整定與修改實(shí)時(shí)化、硬件平臺(tái)通用化。第三、測(cè)量信號(hào)處理的發(fā)展：主要是面向信號(hào)處理芯片方向。這些都與我們專(zhuān)業(yè)息息相關(guān)，所以我們更要學(xué)好現(xiàn)代檢測(cè)技術(shù)。

當(dāng)然，現(xiàn)代檢測(cè)技術(shù)也并不完美，它也有自己的缺點(diǎn)和局限性。在很多領(lǐng)域檢測(cè)的誤差還比較大，靈敏度和精確度還需要提高！同時(shí)，一些落后的、對(duì)人類(lèi)健康有害的檢測(cè)技術(shù)應(yīng)該被更加智能化、人性化的檢測(cè)技術(shù)所取代。

在以后的學(xué)習(xí)的生活中，現(xiàn)代檢測(cè)技術(shù)對(duì)未來(lái)各行各業(yè)發(fā)展具有有很大作用。對(duì)我們以后的發(fā)展尤為重要，讓我以后對(duì)檢測(cè)技術(shù)更加的重視。也希望以后能從事這方面的工作并在這個(gè)行業(yè)做出自己的貢獻(xiàn)。

第三篇：現(xiàn)代檢測(cè)技術(shù)總結(jié)報(bào)告

現(xiàn)代檢測(cè)技術(shù)總結(jié)報(bào)告

檢測(cè)最基本的作用是延伸、擴(kuò)展、補(bǔ)充或代替人的視覺(jué)、聽(tīng)覺(jué)、觸覺(jué)等器官的功能。檢測(cè)技術(shù)服務(wù)的領(lǐng)域非常廣泛，在現(xiàn)代化工業(yè)生產(chǎn)過(guò)程、國(guó)防軍事、環(huán)境保護(hù)等方面都有極大的應(yīng)用?？梢哉f(shuō)只要是自動(dòng)化的就有檢測(cè)技術(shù)。檢測(cè)技術(shù)是自動(dòng)化和信息化的基礎(chǔ)與前提。

從這門(mén)課程學(xué)習(xí)內(nèi)容來(lái)看，包括傳感器技術(shù)、誤差理論、測(cè)量技術(shù)、抗干擾技術(shù)還有電量轉(zhuǎn)換的技術(shù)。在現(xiàn)代檢測(cè)儀器和檢測(cè)系統(tǒng)的種類(lèi)、型號(hào)、性能千差萬(wàn)別，但作用都是用于各種物理或化學(xué)成分等參量的檢測(cè)。傳感器是檢測(cè)系統(tǒng)的起點(diǎn)。傳感器的作用是感受指定被測(cè)參量的變化并按照一定的規(guī)律轉(zhuǎn)換成一個(gè)相應(yīng)的便于傳遞的輸出信號(hào)。一般都轉(zhuǎn)換成電信號(hào)，這樣信號(hào)容易傳輸。

在檢測(cè)系統(tǒng)中，測(cè)量肯定存在誤差，所以誤差理論的學(xué)習(xí)必不可少。正確認(rèn)識(shí)誤差的性質(zhì)，分析誤差的產(chǎn)生原因，以減少甚至消除誤差。正確的處理測(cè)量到的數(shù)據(jù)，合理的計(jì)算所得結(jié)果，以便在一定條件下得到更接近與真值的數(shù)據(jù)。這樣對(duì)于監(jiān)測(cè)的量可以的到更精確的值，對(duì)于控制系統(tǒng)，可以更好地控制被控對(duì)象。

不同的被測(cè)對(duì)象有不同的測(cè)量方法，就算是同一種對(duì)象在不同的情況下也有不同的方法。測(cè)量技術(shù)的學(xué)習(xí)也不可少。根據(jù)被測(cè)對(duì)象的特性可以研究出不同的測(cè)量方法，以便滿(mǎn)足不同的實(shí)際需求。信號(hào)在傳輸?shù)臅r(shí)候，難免會(huì)有各種干擾，抗干擾的技術(shù)的學(xué)習(xí)也很重要。

隨著科學(xué)技術(shù)的不斷發(fā)展，現(xiàn)代檢測(cè)系統(tǒng)越來(lái)越數(shù)字化、自動(dòng)化、智能化。特別是在信號(hào)處理這一塊，通常以各種單片機(jī)、微處理器甚至是工業(yè)控制計(jì)算機(jī)為核心來(lái)構(gòu)建。所以熟悉一些芯片、單片機(jī)或者微處理器的功能，并學(xué)會(huì)使用，就變得很重要了。

第四篇：現(xiàn)代檢測(cè)技術(shù)作業(yè)概要

現(xiàn)代檢測(cè)技術(shù)

學(xué)

院：

專(zhuān)

業(yè)：

姓

名：

學(xué)

號(hào)：

指導(dǎo)教師：

2014年12月30日 一 現(xiàn)代檢測(cè)技術(shù)的技術(shù)特點(diǎn)和系統(tǒng)的構(gòu)成

1、現(xiàn)代檢測(cè)技術(shù)特點(diǎn)

（1）測(cè)量過(guò)程軟件控制

智能檢測(cè)系統(tǒng)可以是新建自穩(wěn)零放大，自動(dòng)極性判斷，自動(dòng)量程切換，自動(dòng)報(bào)警，過(guò)載保護(hù)，非線(xiàn)性補(bǔ)償，多功能測(cè)試和自動(dòng)巡回檢測(cè)。由于有了計(jì)算機(jī)，上述過(guò)程可采用軟件控制。測(cè)量過(guò)程的軟件控制可以簡(jiǎn)化系統(tǒng)的硬件結(jié)構(gòu)，縮小體積，降低功耗，提高檢測(cè)系統(tǒng)的可靠性和自動(dòng)化程度。（2）智能化數(shù)據(jù)處理

智能化數(shù)據(jù)處理是智能檢測(cè)系統(tǒng)最突出的特點(diǎn)。計(jì)算機(jī)可以方便、快捷地實(shí)現(xiàn)各種算法。因此，智能檢測(cè)系統(tǒng)可用軟件對(duì)測(cè)量結(jié)果進(jìn)行及時(shí)、在線(xiàn)處理，提高測(cè)量精度。另一方面，智能檢測(cè)系統(tǒng)可以對(duì)測(cè)量結(jié)果再加工，獲得并提高更多更可靠的高質(zhì)量信息。

智能檢測(cè)系統(tǒng)中的計(jì)算機(jī)可以方便地用軟件實(shí)現(xiàn)線(xiàn)性化處理、算術(shù)平均值處理、數(shù)據(jù)融合計(jì)算、快速的傅里葉變換（FFT）、相關(guān)分析等各種信息處理功能。（3）高度的靈活性

智能檢測(cè)系統(tǒng)已以軟件工作為核心，生產(chǎn)、修改、復(fù)制都比較容易，功能和性能指標(biāo)更加方便。而傳統(tǒng)的硬件檢測(cè)系統(tǒng)，生產(chǎn)工藝復(fù)雜，參數(shù)分散性較大，每次更改都涉及到元器件和儀器結(jié)構(gòu)的改變。（4）實(shí)現(xiàn)多參數(shù)檢測(cè)與信息融合

智能檢測(cè)系統(tǒng)設(shè)備多個(gè)測(cè)量通道，可以有計(jì)算對(duì)多路測(cè)量通進(jìn)行檢測(cè)。在進(jìn)行多參數(shù)檢測(cè)的基礎(chǔ)上，依據(jù)各路信息的相關(guān)特性，可以實(shí)現(xiàn)智能檢測(cè)系統(tǒng)的多傳感器信息融合，從而提高檢測(cè)系統(tǒng)的準(zhǔn)確性、可靠性和容錯(cuò)性。（5）測(cè)量速度快

高速測(cè)量時(shí)智能檢測(cè)系統(tǒng)追求的目標(biāo)之一。所謂高速檢測(cè)，是指從檢測(cè)開(kāi)始，經(jīng)過(guò)信號(hào)放大、整流濾波、非線(xiàn)性補(bǔ)償、A/D轉(zhuǎn)換、數(shù)據(jù)處理和結(jié)果輸出的全過(guò)程所需要的時(shí)間。目前，高速A/D轉(zhuǎn)換的采樣速度在2000MHz以上，32位PC機(jī)的時(shí)鐘頻率也在500MHz以上。隨著電子技術(shù)的迅猛發(fā)展，高速顯示、高速打印、高速繪圖設(shè)備也日臻完善。這些都為智能檢測(cè)系統(tǒng)的快速檢測(cè)提供了條件。（6）智能化功能強(qiáng)

以計(jì)算機(jī)為信息處理核心的智能檢測(cè)系統(tǒng)具有較強(qiáng)的智能功能，可以滿(mǎn)足各類(lèi)用戶(hù)的需要。典型的智能功能有：

1）測(cè)量選擇功能

智能檢測(cè)系統(tǒng)能夠?qū)崿F(xiàn)量程轉(zhuǎn)換、信號(hào)通道和采樣方式的自動(dòng)選擇，使系統(tǒng)具有對(duì)被測(cè)量對(duì)象的最優(yōu)化跟蹤檢測(cè)能力。

2）故障診斷功能

智能檢測(cè)系統(tǒng)結(jié)構(gòu)復(fù)雜，功能較多，系統(tǒng)本身的故障診斷尤為重要，系統(tǒng)可以根據(jù)檢測(cè)通道的特性和計(jì)算機(jī)本身的自診斷能力，檢查個(gè)單元故障，顯示故障部位，故障原因和應(yīng)采取的故障排除方法。

3）其他智能功能

智能檢測(cè)系統(tǒng)還可以具備人機(jī)對(duì)話(huà)、自校準(zhǔn)、打印、繪圖、通信、專(zhuān)家知識(shí)查詢(xún)和控制輸出等智能功能。

2、系統(tǒng)的構(gòu)成 現(xiàn)代檢測(cè)技術(shù)的一個(gè)明顯特點(diǎn)就是傳感器采用電參量、電能量或數(shù)字傳感器以及微型集成傳感器，信號(hào)處理采用集成電路和微處理器。

盡管現(xiàn)代檢測(cè)儀器和檢測(cè)系統(tǒng)的種類(lèi)、型號(hào)繁多，用途、性能千差萬(wàn)別，但它們的作用都是用于各種物理或化學(xué)成分等參量的檢測(cè)，其組成單元按信號(hào)傳遞的流程來(lái)區(qū)分：通常由各種傳感器（變送器）將非電被測(cè)物理或化學(xué)成分參量轉(zhuǎn)換成電信號(hào)，然后經(jīng)信號(hào)調(diào)理（信號(hào)轉(zhuǎn)換、信號(hào)檢波、信號(hào)濾波、信號(hào)放大等）、數(shù)據(jù)采集、信號(hào)處理后顯示并輸出（通常有4～20 mA、經(jīng)D／A轉(zhuǎn)換和放大后的模擬電壓、開(kāi)關(guān)量、脈寬調(diào)制PWM、串行數(shù)字通信和并行數(shù)字輸出等），由以上設(shè)備以及系統(tǒng)所需的交、直流穩(wěn)壓電源和必要的輸入設(shè)備（如撥動(dòng)開(kāi)關(guān)、按鈕、數(shù)字撥碼盤(pán)、數(shù)字鍵盤(pán)等）便組成了一個(gè)完整的檢測(cè)（儀器）系統(tǒng)，其各部分關(guān)系如圖0-1所示。

（1）傳感器

傳感器是檢測(cè)系統(tǒng)與被測(cè)對(duì)象直接發(fā)生聯(lián)系的器件或裝置。它的作用是感受指定被測(cè)參量的變化并按照一定規(guī)律將其轉(zhuǎn)換成一個(gè)相應(yīng)的便于傳遞的輸出信號(hào)。傳感器通常由敏感元件和轉(zhuǎn)換部分組成；其中，敏感元件為傳感器直接感受被測(cè)參量變化的部分，轉(zhuǎn)換部分的作用通常是將敏感元件的輸出轉(zhuǎn)換為便于傳輸和后續(xù)環(huán)節(jié)處理的電信號(hào)。

圖0-1 現(xiàn)代檢測(cè)系統(tǒng)一般組成框圖

例如，半導(dǎo)體應(yīng)變片式傳感器能把被測(cè)對(duì)象受力后的微小變形感受出來(lái)，通過(guò)一定的橋路轉(zhuǎn)換成相應(yīng)的電壓信號(hào)輸出。這樣，通過(guò)測(cè)量傳感器輸出電壓便可知道被測(cè)對(duì)象的受力情況。這里應(yīng)該說(shuō)明，并不是所有的傳感器均可清楚、明晰地區(qū)分敏感和轉(zhuǎn)換兩部分；有的傳感器已將這兩部分合二為一，也有的僅有敏感元件（如熱電阻、熱電偶）而無(wú)轉(zhuǎn)換部分，但人們?nèi)粤?xí)慣稱(chēng)其為傳感器（如人們習(xí)慣稱(chēng)熱電阻、熱電偶為溫度傳感器）。

傳感器種類(lèi)繁多，其分類(lèi)方法也較多。主要有按被測(cè)參量分類(lèi)法（如溫度傳感器、濕度傳感器、位移傳感器、加速度傳感器、荷重傳感器等），按傳感器轉(zhuǎn)換機(jī)理（工作原理）分類(lèi)法（如電阻式、電容式、電感式、壓電式、超聲波式、霍爾式等）和按輸出信號(hào)分類(lèi)法（分為模擬式傳感器和數(shù)字式傳感器兩大類(lèi)）等。采用按被測(cè)參量分類(lèi)法有利于人們按照目標(biāo)對(duì)象的檢測(cè)要求選用傳感器，而采用按傳感器轉(zhuǎn)換機(jī)理分類(lèi)法有利于對(duì)傳感器做研究和試驗(yàn)。

傳感器作為檢測(cè)系統(tǒng)的信號(hào)源，其性能的好壞將直接影響檢測(cè)系統(tǒng)的精度和其他指標(biāo)，是檢測(cè)系統(tǒng)中十分重要的環(huán)節(jié)。本書(shū)主要介紹工程上涉及面較廣、應(yīng)用較多、需求量大的各種物理量、化學(xué)成分量常用的先進(jìn)的檢測(cè)技術(shù)與實(shí)現(xiàn)方法以及如何選用合適的傳感器，對(duì)傳感器要求了解其工作原理、應(yīng)用特點(diǎn)，而對(duì)如何提高現(xiàn)有各種傳感器本身的技術(shù)性能，以及設(shè)計(jì)開(kāi)發(fā)新的傳感器則不作深入研究。通常檢測(cè)儀器、檢測(cè)系統(tǒng)設(shè)計(jì)師對(duì)傳感器有如下要求： a.精確性

傳感器的輸出信號(hào)必須準(zhǔn)確地反應(yīng)其輸入量，即被測(cè)量的變化。因此，傳感器的輸出與輸入關(guān)系必須是嚴(yán)格的單值函數(shù)關(guān)系，最好是線(xiàn)性關(guān)系； b.穩(wěn)定性

傳感器的輸入、輸出的單值函數(shù)關(guān)系最好不隨時(shí)間和溫度而變化，受外界其他因素的干擾影響亦應(yīng)很小，重復(fù)性要好； c.靈敏度

即要求被測(cè)參量較小的變化就可使傳感器獲得較大的輸出信號(hào)； d.其他

如耐腐蝕性好、低能耗、輸出阻抗小和售價(jià)相對(duì)較低等。各種傳感器輸出信號(hào)的形式也不盡相同，通常有電荷、電壓、電流、頻率等，在設(shè)計(jì)檢測(cè)系統(tǒng)及選擇傳感器時(shí)對(duì)此也應(yīng)給予重視。

(2)信號(hào)調(diào)理

信號(hào)調(diào)理在檢測(cè)系統(tǒng)中的作用是對(duì)傳感器輸出的微弱信號(hào)進(jìn)行檢波、轉(zhuǎn)換、濾波、放大等，以方便檢測(cè)系統(tǒng)后續(xù)環(huán)節(jié)處理或顯示。例如，工程上常見(jiàn)的熱電阻型數(shù)字溫度檢測(cè)（控制）儀表，其傳感器Ptl00的輸出信號(hào)為熱電阻值的變化。為便于處理，通常需設(shè)計(jì)一個(gè)四臂電橋，把隨被測(cè)溫度變化的熱電阻阻值轉(zhuǎn)換成電壓信號(hào)；由于信號(hào)中往往夾雜著50 Hz工頻等噪聲電壓，故其信號(hào)調(diào)理電路通常包括濾波、放大、線(xiàn)性化等環(huán)節(jié)。需要遠(yuǎn)傳的話(huà)，通常采取D／A或V／I電路將獲得的電壓信號(hào)轉(zhuǎn)換成標(biāo)準(zhǔn)的4～20 mA電流信號(hào)后再進(jìn)行遠(yuǎn)距離傳送。檢測(cè)系統(tǒng)種類(lèi)繁多，復(fù)雜程度差異很大，信號(hào)的形式也多種多樣，各系統(tǒng)的精度、性能指標(biāo)要求各不相同，它們所配置的信號(hào)調(diào)理電路的多寡也不盡一致。對(duì)信號(hào)調(diào)理電路的一般要求是：

1）能準(zhǔn)確轉(zhuǎn)換、穩(wěn)定放大、可靠地傳輸信號(hào)； 2）信噪比高，抗干擾性能要好。

（3）數(shù)據(jù)采集

數(shù)據(jù)采集（系統(tǒng)）在檢測(cè)系統(tǒng)中的作用是對(duì)信號(hào)調(diào)理后的連續(xù)模擬信號(hào)進(jìn)行離散化并轉(zhuǎn)換成與模擬信號(hào)電壓幅度相對(duì)應(yīng)的一系列數(shù)值信息，同時(shí)以一定的方式把這些轉(zhuǎn)換數(shù)據(jù)及時(shí)傳遞給微處理器或依次自動(dòng)存儲(chǔ)。數(shù)據(jù)采集系統(tǒng)通常以各類(lèi)模／數(shù)（A／D）轉(zhuǎn)換器為核心，輔以模擬多路開(kāi)關(guān)、采樣／保持器、輸入緩沖器、輸出鎖存器等。數(shù)據(jù)采集系統(tǒng)的主要性能指標(biāo)是： 1）輸入模擬電壓信號(hào)范圍，單位 V； 2）轉(zhuǎn)換速度（率），單位 次／s；

3）分辨率，通常以模擬信號(hào)輸入為滿(mǎn)度時(shí)的轉(zhuǎn)換值的倒數(shù)來(lái)表征；

4）轉(zhuǎn)換誤差，通常指實(shí)際轉(zhuǎn)換數(shù)值與理想A／D轉(zhuǎn)換器理論轉(zhuǎn)換值之差。

（4）信號(hào)處理

信號(hào)處理模塊是現(xiàn)代檢測(cè)儀表、檢測(cè)系統(tǒng)進(jìn)行數(shù)據(jù)處理和各種控制的中樞環(huán)節(jié)，其作用和人的大腦相類(lèi)似。現(xiàn)代檢測(cè)儀表、檢測(cè)系統(tǒng)中的信號(hào)處理模塊通常以各種型號(hào)的單片機(jī)、微處理器為核心來(lái)構(gòu)建，對(duì)高頻信號(hào)和復(fù)雜信號(hào)的處理有時(shí)需增加數(shù)據(jù)傳輸和運(yùn)算速度快、處理精度高的專(zhuān)用高速數(shù)據(jù)處理器（DSP）或直接采用工業(yè)控制計(jì)算機(jī)。

當(dāng)然，由于檢測(cè)儀表、檢測(cè)系統(tǒng)種類(lèi)和型號(hào)繁多，被測(cè)參量不同，檢測(cè)對(duì)象和應(yīng)用場(chǎng)合各異，用戶(hù)對(duì)各檢測(cè)儀表的測(cè)量范圍、測(cè)量精度、功能的要求差別也很大。對(duì)檢測(cè)儀表、檢測(cè)系統(tǒng)的信號(hào)處理環(huán)節(jié)來(lái)說(shuō)，只要能滿(mǎn)足用戶(hù)對(duì)信號(hào)處理的要求，則是愈簡(jiǎn)單愈可靠，成本愈低愈好。對(duì)一些容易實(shí)現(xiàn)且傳感器輸出信號(hào)大，用戶(hù)對(duì)檢測(cè)精度要求不高，只要求被測(cè)量不要超過(guò)某一上限值，一旦越限，送出聲（喇叭或蜂鳴器）、光（指示燈）信號(hào)即可的檢測(cè)儀表的信號(hào)處理模塊，往往只需設(shè)計(jì)一個(gè)可靠的比較電路，該電路的一端為被測(cè)信號(hào)，另一端為表示上限值的固定電平；當(dāng)被測(cè)信號(hào)小于設(shè)定的固定電平值，比較器輸出為低電平，聲、光報(bào)警器不動(dòng)作，一旦被測(cè)信號(hào)電平大于固定電平值，比較器翻轉(zhuǎn)，經(jīng)功率放大驅(qū)動(dòng)揚(yáng)聲器、指示燈動(dòng)作。這種簡(jiǎn)單系統(tǒng)的信號(hào)處理就很簡(jiǎn)單，只要一片集成比較器芯片和幾個(gè)分立元件即可。但對(duì)于熱處理和爐溫檢測(cè)、控制系統(tǒng)來(lái)說(shuō)，其信號(hào)處理電路將大大復(fù)雜化。因?yàn)閷?duì)熱處理爐爐溫測(cè)控系統(tǒng)，用戶(hù)不僅要求系統(tǒng)高精度地實(shí)時(shí)測(cè)量爐溫，而且需要系統(tǒng)根據(jù)熱處理工件的熱處理工藝制定的時(shí)間-溫度曲線(xiàn)進(jìn)行實(shí)時(shí)控制（調(diào)節(jié)）。如果采用一般通用的中小規(guī)模集成電路來(lái)構(gòu)建這一類(lèi)較復(fù)雜的檢測(cè)系統(tǒng)的信號(hào)處理模塊，則不僅構(gòu)建技術(shù)難度很大，而且所設(shè)計(jì)的信號(hào)處理模塊必然結(jié)構(gòu)復(fù)雜，調(diào)試?yán)щy，性能和可靠性差。

由于微處理器、單片機(jī)和大規(guī)模集成電路技術(shù)的迅速發(fā)展和這類(lèi)芯片價(jià)格不斷降低，對(duì)稍復(fù)雜一點(diǎn)的檢測(cè)系統(tǒng)（儀器）其信號(hào)處理環(huán)節(jié)都應(yīng)考慮選用合適型號(hào)的單片機(jī)、微處理器、DSP或新近開(kāi)始推廣的嵌入式模塊為核心來(lái)設(shè)計(jì)和構(gòu)建（或者由工控機(jī)兼任），從而使所設(shè)計(jì)的檢測(cè)系統(tǒng)獲得更高的性能價(jià)格比。

（5）信號(hào)顯示

通常人們都希望及時(shí)知道被測(cè)參量的瞬時(shí)值、累積值或其隨時(shí)間的變化情況，因此，各類(lèi)檢測(cè)儀表和檢測(cè)系統(tǒng)在信號(hào)處理器計(jì)算出被測(cè)參量的當(dāng)前值后通常均需送至各自的顯示器作實(shí)時(shí)顯示。顯示器是檢測(cè)系統(tǒng)與人聯(lián)系的主要環(huán)節(jié)之一，顯示器一般可分為指示式、數(shù)字式和屏幕式三種。

1）指示式顯示又稱(chēng)模擬式顯示。被測(cè)參量數(shù)值大小由光指示器或指針在標(biāo)尺上的相對(duì)位置來(lái)表示。用有形的指針位移模擬無(wú)形的被測(cè)量是較方便、直觀(guān)的。指示式儀表有動(dòng)圈式和動(dòng)磁式等多種形式，但均有結(jié)構(gòu)簡(jiǎn)單、價(jià)格低廉、顯示直觀(guān)的特點(diǎn)，在檢測(cè)精度要求不高的單參量測(cè)量顯示場(chǎng)合應(yīng)用較多。指針式儀表存在指針驅(qū)動(dòng)誤差和標(biāo)尺刻度誤差，這種儀表的讀數(shù)精度和儀器的靈敏度等受標(biāo)尺最小分度的限制，如果操作者讀儀表示值時(shí)，站位不當(dāng)就會(huì)引入主觀(guān)讀數(shù)誤差。

2）數(shù)字式顯示以數(shù)字形式直接顯示出被測(cè)參量數(shù)值的大小。在正常情況下，數(shù)字式顯示徹底消除了顯示驅(qū)動(dòng)誤差，能有效地克服讀數(shù)的主觀(guān)誤差，（相對(duì)指示式儀表）可提高顯示和讀數(shù)的精度，還能方便地與計(jì)算機(jī)連接并進(jìn)行數(shù)據(jù)傳輸。因此，各類(lèi)檢測(cè)儀表和檢測(cè)系統(tǒng)正越來(lái)越多地采用數(shù)字式顯示方式。

3）屏幕顯示實(shí)際上是一種類(lèi)似電視顯示方法，具有形象性和易于讀數(shù)的優(yōu)點(diǎn)，又能同時(shí)在同一屏幕上顯示一個(gè)被測(cè)量或多個(gè)被測(cè)量的（大量數(shù)據(jù)式）變化曲線(xiàn)，有利于對(duì)它們進(jìn)行比較、分析。屏幕顯示器一般體積較大，價(jià)格與普通指示式顯示和數(shù)字式顯示相比要高得多，其顯示通常需由計(jì)算機(jī)控制，對(duì)環(huán)境溫度、濕度等指標(biāo)要求較高，在儀表控制室、監(jiān)控中心等環(huán)境條件較好的場(chǎng)合使用較多。

（6）輸出 在許多情況下，檢測(cè)儀表和檢測(cè)系統(tǒng)在信號(hào)處理器計(jì)算出被測(cè)參量的瞬時(shí)值后除送顯示器進(jìn)行實(shí)時(shí)顯示外，通常還需把測(cè)量值及時(shí)傳送給控制計(jì)算機(jī)、可編程控制器（PLC）或其他執(zhí)行器、打印機(jī)、記錄儀等，從而構(gòu)成閉環(huán)控制系統(tǒng)或?qū)崿F(xiàn)打?。ㄓ涗洠┹敵觥z測(cè)儀表和檢測(cè)系統(tǒng)的信號(hào)輸出通常有4～20 mA的電流信號(hào)，經(jīng)D／A轉(zhuǎn)換和放大后的模擬電壓、開(kāi)關(guān)量、脈寬調(diào)制PWM、串行數(shù)字通信和并行數(shù)字輸出等多種形式，需根據(jù)測(cè)控系統(tǒng)的具體要求確定。

（7）設(shè)備

輸入設(shè)備是操作人員和檢測(cè)儀表或檢測(cè)系統(tǒng)聯(lián)系的另一主要環(huán)節(jié)，用于輸入設(shè)置參數(shù)，下達(dá)有關(guān)命令等。最常用的輸入設(shè)備是各種鍵盤(pán)、撥碼盤(pán)、條碼閱讀器等。近年來(lái)，隨著工業(yè)自動(dòng)化、辦公自動(dòng)化和信息化程度的不斷提高，通過(guò)網(wǎng)絡(luò)或各種通信總線(xiàn)利用其他計(jì)算機(jī)或數(shù)字化智能終端，實(shí)現(xiàn)遠(yuǎn)程信息和數(shù)據(jù)輸入的方式愈來(lái)愈普遍。最簡(jiǎn)單的輸入設(shè)備是各種開(kāi)關(guān)、按鈕，模擬量的輸入、設(shè)置，往往借助電位器進(jìn)行。

（8）穩(wěn)壓電源

一個(gè)檢測(cè)儀表或檢測(cè)系統(tǒng)往往既有模擬電路部分，又有數(shù)字電路部分，通常需要多組幅值大小要求各異但穩(wěn)定的電源。這類(lèi)電源在檢測(cè)系統(tǒng)使用現(xiàn)場(chǎng)一般無(wú)法直接提供，通常只能提供交流220 V工頻電源或+24 V直流電源。檢測(cè)系統(tǒng)的設(shè)計(jì)者需要根據(jù)使用現(xiàn)場(chǎng)的供電電源情況及檢測(cè)系統(tǒng)內(nèi)部電路的實(shí)際需要，統(tǒng)一設(shè)計(jì)各組穩(wěn)壓電源，給系統(tǒng)各部分電路和器件分別提供它們所需的穩(wěn)定電源。

最后，值得一提的是，以上七個(gè)部分不是所有的檢測(cè)系統(tǒng)（儀表）都具備的，而且對(duì)有些簡(jiǎn)單的檢測(cè)系統(tǒng)，其各環(huán)節(jié)之間的界線(xiàn)也不是十分清楚，需根據(jù)具體情況進(jìn)行分析。

另外，在進(jìn)行檢測(cè)系統(tǒng)設(shè)計(jì)時(shí)，對(duì)于把以上各環(huán)節(jié)具體相連的傳輸通道，也應(yīng)給予足夠的重視。傳輸通道的作用是聯(lián)系儀表的各個(gè)環(huán)節(jié)，給各環(huán)節(jié)的輸入、輸出信號(hào)提供通路。它可以是導(dǎo)線(xiàn)、管路（如光導(dǎo)纖維）以及信號(hào)所通過(guò)的空間等。信號(hào)傳輸通道比較簡(jiǎn)單，易被人們忽視，如果不按規(guī)定的要求布置及選擇，則易造成信號(hào)的損失、失真或引入干擾等，影響檢測(cè)系統(tǒng)的精度。二 簡(jiǎn)述現(xiàn)代檢測(cè)技術(shù)中數(shù)據(jù)處理內(nèi)容和處理的方法

1、數(shù)據(jù)處理內(nèi)容

主要是測(cè)量誤差的分析。

而測(cè)量誤差有可以分為隨機(jī)誤差、系統(tǒng)誤差、粗大誤差。在同一測(cè)量條件下，多次重復(fù)測(cè)量同一量值時(shí)，測(cè)量誤差的大小和正負(fù)符號(hào)以不可預(yù)知的方式變化，這種誤差叫做隨機(jī)誤差，又稱(chēng)偶然誤差。隨機(jī)誤差是由很多復(fù)雜因素的微小變化的總和所引起的，因此分析比較困難。（1）系統(tǒng)誤差

當(dāng)在一定的相同條件下，對(duì)同一物理量進(jìn)行多次測(cè)量時(shí)，誤差的大小和正負(fù)總保持不變或者誤差按一定的規(guī)律變化，這種誤差叫做系統(tǒng)誤差。引起系統(tǒng)誤差的因素主要有：材料、零部件及工藝缺陷；環(huán)境溫度、濕度、壓力的變化以及其它外界干擾等。可以利用修正值來(lái)減小或消除系統(tǒng)誤差（2）粗大誤差

在相同的條件下，多次重復(fù)測(cè)量同一量時(shí)，明顯地歪曲了測(cè)量結(jié)果的誤差，稱(chēng)為粗大誤差，簡(jiǎn)稱(chēng)粗差。粗差是由于疏忽大意，操作不當(dāng)，或測(cè)量條件的超常變化而引起的。含有粗大誤差的測(cè)量值稱(chēng)為壞值，所有的壞值都應(yīng)去除，但不是主觀(guān)或隨便去除，必須科學(xué)地舍棄。正確的實(shí)驗(yàn)結(jié)果不應(yīng)該包含有粗大誤差。

2、數(shù)據(jù)處理方法

（1）有效數(shù)字和數(shù)據(jù)舍入規(guī)則

1）有效數(shù)字

測(cè)量結(jié)果和數(shù)據(jù)處理中，確保幾位有效數(shù)字是很重要的問(wèn)題，測(cè)量結(jié)果既然包含誤差，說(shuō)明測(cè)量值實(shí)際就是一個(gè)近似值，在記錄測(cè)量結(jié)果或者是數(shù)據(jù)運(yùn)算時(shí)取多少有效數(shù)字，應(yīng)該以測(cè)量能達(dá)到的準(zhǔn)確度為依據(jù)，如果認(rèn)為測(cè)量結(jié)果中小數(shù)點(diǎn)后的位數(shù)越多，數(shù)據(jù)就越準(zhǔn)確這是片面的。

2）數(shù)據(jù)舍入規(guī)則

對(duì)于位數(shù)很多的的近似數(shù)，當(dāng)有效位數(shù)確定以后，其后面多余的數(shù)組應(yīng)舍去，而保留的有效數(shù)字最末以為數(shù)字應(yīng)按下面的舍入規(guī)則進(jìn)行湊整。

① 若舍去部分的數(shù)值小于保留部分末位的半個(gè)單元，則末位不變。②若舍去部分的數(shù)值大于保留部分末位的半個(gè)單元，則末位加1。

③若舍去部分的數(shù)值等于保留部分末位的半個(gè)單元，則末位湊成偶數(shù)，即末位為偶數(shù)時(shí)不變，末位為奇數(shù)時(shí)加1。

（2）數(shù)據(jù)運(yùn)算規(guī)則

在近似運(yùn)算中，為保證最后結(jié)果又盡可能公安的準(zhǔn)確度，所有參與運(yùn)算的數(shù)據(jù)，在有效數(shù)字后可多保留一位數(shù)組作為參考數(shù)字，或稱(chēng)為安全數(shù)字。

1）在加減運(yùn)算時(shí)，各運(yùn)算數(shù)據(jù)以小數(shù)位數(shù)最少的數(shù)據(jù)位數(shù)為準(zhǔn)，其余各數(shù)據(jù)可多取一位小數(shù)，單最后結(jié)果應(yīng)與小數(shù)位數(shù)最少的數(shù)據(jù)小數(shù)位相同。

2）在乘除運(yùn)算時(shí)，個(gè)運(yùn)算數(shù)據(jù)應(yīng)以有效位數(shù)最少的數(shù)據(jù)為準(zhǔn)，其余各數(shù)據(jù)要比有效位數(shù)最少的數(shù)據(jù)位數(shù)多取一位數(shù)字，而最后結(jié)果應(yīng)與有效位數(shù)最少的數(shù)據(jù)位數(shù)相同。3）在平方或開(kāi)平方運(yùn)算時(shí)，平方相當(dāng)于乘法運(yùn)算，開(kāi)方是平方的逆運(yùn)算，故可以按照乘除法運(yùn)算處理。

4）在對(duì)數(shù)運(yùn)算時(shí)，n位有效數(shù)字的數(shù)據(jù)應(yīng)該是用n位對(duì)數(shù)表，或用n+1位對(duì)數(shù)表，以免損失精度。）三角函數(shù)運(yùn)算中，所取函數(shù)值得位數(shù)應(yīng)隨角度誤差的減小而增多。

（3）最小二乘法

最小二乘算法的基本原理是將輸入數(shù)據(jù)與預(yù)先設(shè)計(jì)好的含有非周期分量和某些諧波分量的函數(shù)按最小二乘法原理進(jìn)行擬合,從中求出輸入信號(hào)中所包含的基頻分量和各種諧波分量的幅值和相角。為便于下面的分析和計(jì)算,假設(shè)系統(tǒng)故障的暫態(tài)電流包含有衰減性直流分量和小于6次諧波的各種整數(shù)次諧波分量,則可給定電流表達(dá)式: 在我們研究?jī)蓚€(gè)變量(x, y)之間的相互關(guān)系時(shí)，通?？梢缘玫揭幌盗谐蓪?duì)的數(shù)據(jù)(x1, y1、x2, y2...xm , ym)；將這些數(shù)據(jù)描繪在x-y直角坐標(biāo)系中(如圖1), 若發(fā)現(xiàn)這些點(diǎn)在一條直線(xiàn)附近，可以令這條直線(xiàn)方程如(式1-1)。

Y計(jì)= a0 + a1 X(式1-1)其中：a0、a1 是任意實(shí)數(shù)

為建立這直線(xiàn)方程就要確定a0和a1，應(yīng)用《最小二乘法原理》，將實(shí)測(cè)值Yi與利用(式1-1)計(jì)算值(Y計(jì)=a0+a1X)的離差(Yi-Y計(jì))的平方和〔∑(YiY計(jì))2(式1-2)

把(式1-1)代入(式1-2)中得:

φ = ∑(Yia1 Xi)2(式1-3)

當(dāng)∑(Yi-Y計(jì))平方最小時(shí)，可用函數(shù) φ 對(duì)a0、a1求偏導(dǎo)數(shù)，令這兩個(gè)偏導(dǎo)數(shù)等于零。

亦即：

m a0 +(∑Xi)a1 = ∑Yi(式1-6)

(∑Xi)a0 +(∑Xi2)a1 = ∑(Xi, Yi)(式1-7)

得到的兩個(gè)關(guān)于a0、a1為未知數(shù)的兩個(gè)方程組，解這兩個(gè)方程組得出：

a0 =(∑Yi)/ m(∑Xi ∑Yi)] / [n∑Xi2-(∑Xi)2)](式1-9)這時(shí)把a(bǔ)0、a1代入(式1-1)中, 此時(shí)的(式1-1)就是我們回歸的元線(xiàn)性方程即：數(shù)學(xué)模型。

反映了除y與x存在直線(xiàn)關(guān)系以外的一切因素（包括x對(duì)y的非線(xiàn)性影響及其他一切未加控制的隨機(jī)因素）所引起的y的變異程度，稱(chēng)為離回歸平方和或剩余平方和，所以要求它最小，即其它影響因素最小。

反映了y的總變異程度，稱(chēng)為y的總變異平方和。

最小二乘法是處理各種觀(guān)測(cè)數(shù)據(jù)進(jìn)行測(cè)量平差的一種基本方法。

如果以不同精度多次觀(guān)測(cè)一個(gè)或多個(gè)未知量，為了求定各未知量的最可靠值，各觀(guān)測(cè)量必須加改正數(shù)，使其各改正數(shù)的平方乘以觀(guān)測(cè)值的權(quán)數(shù)的總和為最小。因此稱(chēng)最小二乘法。

一般線(xiàn)性情況

若含有更多不相關(guān)模型變量t1,...,tq，可如組成線(xiàn)性函數(shù)的形式

即線(xiàn)性方程組

通常人們將tij記作數(shù)據(jù)矩陣 A，參數(shù)xj記做參數(shù)矢量x，觀(guān)測(cè)值yi記作b，則線(xiàn)性方程組又可寫(xiě)成：

即 Ax = b 上述方程運(yùn)用最小二乘法導(dǎo)出為線(xiàn)性平差計(jì)算的形式為：

三 簡(jiǎn)述信息處理的內(nèi)容和算法

對(duì)信息處理實(shí)質(zhì)就是對(duì)信號(hào)處理

為了深入了解信號(hào)的物理實(shí)質(zhì)，將其進(jìn)行分類(lèi)研究是非常必要的。以不同的角度來(lái)看待信號(hào)，我們可以將信號(hào)分為

1.確定性信號(hào)與非確定性信號(hào)

2.能量信號(hào)與功率信號(hào)

3.時(shí)限信號(hào)與頻限信號(hào)

4.連續(xù)時(shí)間信號(hào)與離散時(shí)間信號(hào)

5.物理可實(shí)現(xiàn)信號(hào)

1.1確定性信號(hào)與非確定性信號(hào) a)確定性信號(hào)

可以用明確的數(shù)學(xué)關(guān)系式描述的信號(hào)稱(chēng)為確定性信號(hào)。它可以進(jìn)一步分為周期信號(hào)、非周期信號(hào)與準(zhǔn)周期信號(hào)等，如下圖所示。

周期信號(hào)是經(jīng)過(guò)一定時(shí)間可以重復(fù)出現(xiàn)的信號(hào)，滿(mǎn)足條件：

x(t)= x(t + nT)式中，T——周期，T=2π/ω0；ω0——基頻；n=0,±1, …。

非周期信號(hào)是不會(huì)重復(fù)出現(xiàn)的信號(hào)。例如，錘子的敲擊力；承載纜繩斷裂時(shí)應(yīng)力變化；熱電偶插入加熱爐中溫度的變化過(guò)程等，這些信號(hào)都屬于瞬變非周期信號(hào)，并且可用數(shù)學(xué)關(guān)系式描述。例如，下圖是單自由度振動(dòng)模型在脈沖力作用下的響應(yīng)。

準(zhǔn)周期信號(hào)是周期與非周期的邊緣情況，是由有限個(gè)周期信號(hào)合成的，但各周期信號(hào)的頻率相互間不是公倍關(guān)系，其合成信號(hào)不滿(mǎn)足周期條件，例如 是兩個(gè)正弦信號(hào)的合成，其頻率比不是有理數(shù)，不成諧波關(guān)系。

這種信號(hào)往往出現(xiàn)于通信、振動(dòng)系統(tǒng)，應(yīng)用于機(jī)械轉(zhuǎn)子振動(dòng)分析，齒輪噪聲分析，語(yǔ)音分析等場(chǎng)合

b)非確定性信號(hào)

非確定性信號(hào)不能用數(shù)學(xué)關(guān)系式描述，其幅值、相位變化是不可預(yù)知的，所描述的物理現(xiàn)象是一種隨機(jī)過(guò)程。例如，汽車(chē)奔馳時(shí)所產(chǎn)生的振動(dòng)；飛機(jī)在大氣流中的浮動(dòng)；樹(shù)葉隨風(fēng)飄蕩；環(huán)境噪聲等。

1.1 信號(hào)的時(shí)域分析

信號(hào)時(shí)域分析又稱(chēng)之為波形分析或時(shí)域統(tǒng)計(jì)分析，它是通過(guò)信號(hào)的時(shí)域波形計(jì)算信號(hào)的均值、均方值、方差等統(tǒng)計(jì)參數(shù)。信號(hào)的時(shí)域分析很簡(jiǎn)單，用示波器、萬(wàn)用表等普通儀器就可以進(jìn)行分析。1.信號(hào)類(lèi)型確定

信號(hào)時(shí)域分析(波形分析)的一個(gè)重要功能是根據(jù)信號(hào)的分類(lèi)和各類(lèi)信號(hào)的特點(diǎn) 確定信號(hào)的類(lèi)型。然后再根據(jù)信號(hào)類(lèi)型選用合適的信號(hào)分析方法。

2.周期T

對(duì)周期信號(hào)來(lái)說(shuō)，可以用時(shí)域分析來(lái)確定信號(hào)的周期，也就是計(jì)算相鄰的兩個(gè)信號(hào)波峰的時(shí)間差。

3.均值

均值E[x(t)]表示集合平均值或數(shù)學(xué)期望值．基于隨機(jī)過(guò)程的特性，可用時(shí)間間隔T內(nèi)的幅值平均值表示，即

4.均方值

信號(hào)x(t)的均方值E[x2(t)]，或稱(chēng)為平均功率，其表達(dá)式為：

值表達(dá)了信號(hào)的強(qiáng)度，其正平方根值，又稱(chēng)為有效值，也是信號(hào)的平均能量的一種表達(dá)。在工程信號(hào)測(cè)量中一般儀器的表頭示值顯示的就是信號(hào)的均方值。

5.方差

信號(hào)x(t)的方差定義為：

稱(chēng)為均方差或標(biāo)準(zhǔn)差?？梢宰C明，描述了信號(hào)的波動(dòng)量；

描述了信號(hào)的靜態(tài)量。

方差反映了信號(hào)繞均值的波動(dòng)程度。

1.3 信號(hào)的相關(guān)分析 1.3.1 相關(guān)的概念 相關(guān)是指客觀(guān)事物變化量之間的相依關(guān)系，在統(tǒng)計(jì)學(xué)中是用相關(guān)系數(shù)來(lái)描述兩個(gè)變量x，y之間的相關(guān)性的，即：

式中pxy是兩個(gè)隨機(jī)變量波動(dòng)量之積的數(shù)學(xué)期望，稱(chēng)之為協(xié)方差或相關(guān)性，表征了x、y之間的關(guān)聯(lián)程度；、分別為隨機(jī)變量x、y的均方差，是隨機(jī)變量波動(dòng)量平方的數(shù)學(xué)期望。

自然界中的事物變化規(guī)律的表現(xiàn)，總有互相關(guān)聯(lián)的現(xiàn)象，不一定是線(xiàn)形相關(guān)，也不一定是完全無(wú)關(guān)，如：人的身高與體重，吸煙與壽命的關(guān)系。

2.4 信號(hào)的幅值分析

信號(hào)的幅值分析包括信號(hào)的幅值概率密度函數(shù)和幅值概率分布函數(shù)，它反映了幅值信號(hào)落在不同強(qiáng)度區(qū)域的概率情況。

a)概率密度函數(shù)

隨機(jī)信號(hào)的概率密度函數(shù)定義為：

對(duì)于各態(tài)歷經(jīng)過(guò)程：

b)概率分布函數(shù)

概率分布函數(shù)是信號(hào)幅值小于或等于某值R的概率，其定義為：

概率分布函數(shù)又稱(chēng)之為累積概率，表示了落在某一區(qū)間的概率，亦可寫(xiě)為：

典型信號(hào)的概率密度函數(shù)和概率分布函數(shù)如下圖所示：

1.5 信號(hào)的表述

1.5.1 周期信號(hào)的表述

一般周期信號(hào)可以利用傅里葉級(jí)數(shù)展開(kāi)成多個(gè)乃至無(wú)窮多個(gè)不同頻率的諧波信號(hào)的線(xiàn)性疊加。傅里葉級(jí)數(shù)展開(kāi)式包含三角函數(shù)展開(kāi)式、復(fù)指數(shù)展開(kāi)式。

1三角函數(shù)展開(kāi)式

.對(duì)于滿(mǎn)足狄里赫勒條件：函數(shù)在(-T/2，T/2)區(qū)間連續(xù)或只有有限個(gè)第一類(lèi)間斷點(diǎn)，且只有有限個(gè)極值點(diǎn)的周期信號(hào)，均可展開(kāi)成：

式中常值分量、余弦分量幅值、正弦分量幅值分別為

式中：a0，an，bn為傅里葉系數(shù)；T0 為信號(hào)的周期，也是信號(hào)基波成份的周期；

ω0=2π/T0為信號(hào)的基頻, nω0為n次諧頻。由三角函數(shù)變換，可將式中的正、余弦同頻項(xiàng)合并

式中：常值分量 A0=a0 各諧波分量的幅值

各諧波分量的初相角

2、復(fù)指數(shù)展開(kāi)式 利用歐拉公式

2.6 信號(hào)的頻譜分析

信號(hào)頻譜分析是采用傅立葉變換將時(shí)域信號(hào)x(t)變換為頻域信號(hào)X(f)，從而幫助人們從另一個(gè)角度來(lái)了解信號(hào)的特征。時(shí)域信號(hào)x(t)的傅氏變換為：

式中X(f)為信號(hào)的頻域表示，x(t)為信號(hào)的時(shí)域表示，f為頻率。傅里葉變換的主要性質(zhì)

傅里葉變換是信號(hào)分析與處理中，時(shí)域與頻域之間轉(zhuǎn)換的基本數(shù)學(xué)工具。掌握傅里葉變換的主要性質(zhì)，有助于了解信號(hào)在某一域中變化時(shí)，在另一域中相應(yīng)的變化規(guī)律，從而使復(fù)雜信號(hào)的計(jì)算分析得以簡(jiǎn)化。四 應(yīng)用實(shí)例---天然氣管道腐蝕檢測(cè)技術(shù)

天然氣管道腐蝕檢測(cè)技術(shù) 在現(xiàn)有的技術(shù)條件下，人們認(rèn)為鋼質(zhì)管道傳輸送危險(xiǎn)液體和氣體被認(rèn)為是安全有效的方式，但是隨著時(shí)間的推移和管道自身以及周?chē)h(huán)境的變化，管道會(huì)出現(xiàn)不可避免的缺陷，這種隨時(shí)間的的積累的缺陷很容易導(dǎo)致事故的發(fā)生，其表現(xiàn)的形式主要是腐蝕穿孔，鋼制管道腐蝕有內(nèi)腐蝕和外輸入介質(zhì)含有的腐蝕性雜質(zhì)引起管壁均勻減薄等一系列問(wèn)題。管道外腐蝕是指在外防腐層破壞，陰極保護(hù)不完全，被屏蔽情況下放生的。發(fā)生后腐蝕速度與土壤腐蝕性，陰極保護(hù)度等因相關(guān)。防腐層失效的主要原因是土壤環(huán)境中含有的化學(xué)，物理破壞，運(yùn)行條件造成的圖層老化，陰極保護(hù)副作用造成圖層剝離，以及外界活動(dòng)破壞的防腐層。

鋼質(zhì)管道內(nèi)腐蝕檢測(cè)技術(shù)

鋼質(zhì)管道內(nèi)腐蝕檢測(cè)技術(shù)是通過(guò)裝有無(wú)損檢測(cè)設(shè)備及數(shù)據(jù)采集、處理和存儲(chǔ)數(shù)據(jù)系統(tǒng)的智能清理管道器，完成對(duì)管體的逐級(jí)掃描，達(dá)到對(duì)缺陷檢測(cè)的目的。

（1）漏磁法智能清管器

它是通過(guò)檢測(cè)器是目前應(yīng)用歷史較長(zhǎng)、技術(shù)較為完善的設(shè)備，其主要通途在管道穿孔之前確定或掃描因內(nèi)、外腐蝕引起的壁厚變化情況，同時(shí)也能檢測(cè)出管壁的凹痕等缺陷。

磁通法檢測(cè)器一般由三個(gè)模塊組成各模塊之間由聯(lián)軸節(jié)連接，而其表現(xiàn)形式主要為腐蝕穿如圖l所示：鋼質(zhì)管道腐蝕有內(nèi)腐蝕

圖1 漏磁通法檢測(cè)器的結(jié)構(gòu)示意圖

第一個(gè)模塊為電池模塊，中間為探測(cè)漏磁的傳感器模塊，第三個(gè)為儀器模塊。漏磁通法檢測(cè)的基本原理是建立在鐵磁料的高磁導(dǎo)率這一特性之上的。其檢測(cè)的基本原理如圖2所示：

鋼管中因腐蝕而產(chǎn)生缺陷處的磁導(dǎo)率遠(yuǎn)小于鋼管的磁導(dǎo)率，鋼管在外加磁場(chǎng)作用下被磁化，當(dāng)鋼管中無(wú)缺陷時(shí)，磁力線(xiàn)絕大部分通過(guò)鋼管，此時(shí)磁力線(xiàn)均勻分布；當(dāng)鋼管內(nèi)部有缺陷時(shí)，磁力線(xiàn)發(fā)生彎曲，并且有一部分磁力線(xiàn)泄漏出鋼管表面，檢測(cè)被磁化鋼管表面逸出的漏磁通，就可判斷缺陷是否存在。

漏磁通法適用于檢測(cè)中小型管道，可以對(duì)各種管壁缺陷進(jìn)行檢驗(yàn)，檢測(cè)的管壁不能太厚，干擾因素多，空間分辨力低，另外，小而深的管壁缺陷處的漏磁信號(hào)要比形狀平滑但很?chē)?yán)重的缺陷處的信號(hào)大得多，所以漏磁檢測(cè)數(shù)據(jù)往往需要經(jīng)過(guò)校驗(yàn)才能使用。檢測(cè)過(guò)程中當(dāng)管道所采用的材料混有雜質(zhì)時(shí)，還會(huì)出現(xiàn)虛假數(shù)據(jù)。使用漏磁法檢測(cè)管壁厚度時(shí)，檢測(cè)信號(hào)易受到管壁腐蝕缺陷的長(zhǎng)度，深度和缺陷形等因素的影響。當(dāng)腐蝕缺陷的面積大于探頭的靈敏區(qū)時(shí)，管壁厚度的檢測(cè)精度高。但是，當(dāng)腐蝕缺陷的面積小于探頭的靈敏區(qū)時(shí)，管壁厚度的檢測(cè)精度難以得到保證。

因此，漏磁檢測(cè)裝置分為高分辨率和低分辨率兩種。高，低分辨率漏磁檢測(cè)裝置的劃分以所用探頭數(shù)的多少或各探頭間的周向間距而定。探頭數(shù)愈多，各探頭之間的周向間距愈小，分辨率愈高，則檢測(cè)精度愈高。高分辨率漏磁檢測(cè)裝置對(duì)槽型缺陷具有良好的檢測(cè)效果，對(duì)長(zhǎng)寬比大于2，寬度小于探頭周向間距的槽型缺陷而言，當(dāng)采用探頭周向間距為30 40mm的漏磁檢測(cè)裝置檢測(cè)時(shí)，壁厚的檢測(cè)值明顯偏小。而采用探頭周向間距為8ram的漏磁檢測(cè)裝置再次對(duì)這種缺陷進(jìn)行檢測(cè)時(shí)，則能精確測(cè)量壁厚。

(2)超聲波裂紋檢測(cè)儀。

管內(nèi)超聲波在役檢測(cè)原理見(jiàn)圖3／多i：示。垂直于管道壁的超聲波探頭對(duì)管道壁發(fā)出一組超聲波脈沖后，探頭首先接收到由管道壁內(nèi)表面反射的回波(前波)，隨后接收到由管道壁缺陷或管道壁外表面反射的回波(缺陷波或底波)。于是，探頭至管道壁內(nèi)表面的距離A與管道壁厚度T可以通過(guò)前波時(shí)間以及前波和缺陷波(或底波)的時(shí)間差來(lái)確定：

A--tA／2(1)T----tbn,／2(2)式中，t，為第一次反射回波(前波)時(shí)間，t。為第二次反射回波(底波或缺陷波)時(shí)間，n，為超聲波在介質(zhì)中的聲速，n。為超聲波在管道中的聲速。不過(guò)，僅僅根據(jù)管道壁厚度T曲線(xiàn)尚無(wú)法判別管道屬內(nèi)壁缺陷還是外壁缺陷，還需要根據(jù)探頭至管道壁內(nèi)表面的距離A曲線(xiàn)來(lái)判別。當(dāng)外壁腐蝕減薄時(shí)，距離A曲線(xiàn)不變·而當(dāng)內(nèi)壁腐蝕減薄時(shí)，距離A曲線(xiàn)與壁厚T曲線(xiàn)呈反對(duì)稱(chēng)。于是，根據(jù)距離A和壁厚T兩條曲線(xiàn)，即可確定管道壁缺陷，并判別管道是內(nèi)壁腐蝕減薄缺陷還是外壁腐蝕減薄缺陷。

(3)渦流檢測(cè)技術(shù)。渦流檢測(cè)技術(shù)的原理是：在渦流式檢測(cè)器的兩個(gè)初級(jí)線(xiàn)圈內(nèi)通以微弱的電流，使鋼管表面因

圖3管內(nèi)超聲波檢測(cè)原理示意圈

電磁感應(yīng)而產(chǎn)生渦流，用次級(jí)線(xiàn)圈進(jìn)行檢測(cè)。若管壁沒(méi)有缺陷，每個(gè)初級(jí)線(xiàn)圈上的磁通量均與次級(jí)線(xiàn)圈上的磁通量相等，由于反相連接，次級(jí)線(xiàn)圈上不產(chǎn)生電壓。有缺陷時(shí)，磁通發(fā)生紊亂，磁力線(xiàn)扭曲，使次級(jí)線(xiàn)圈的磁失去平衡而產(chǎn)生電壓。通過(guò)對(duì)該電壓的分析，檢測(cè)出腐蝕情況。2．2鋼質(zhì)管道外腐蝕檢測(cè)技術(shù)國(guó)內(nèi)外埋地鋼質(zhì)管道外防腐層檢測(cè)技術(shù)方法很多，但就其信號(hào)源來(lái)說(shuō)，都可歸納為直流法和交流法兩種。當(dāng)今防腐層狀況檢測(cè)技術(shù)大多是通過(guò)管道上方地面測(cè)量或防腐層性能的間接測(cè)試而完成，這里主要介紹兩種地面常用的檢測(cè)技術(shù)。

1）Pearson(PS)(皮爾遜)檢測(cè)法

Pearson檢測(cè)法由美國(guó)人Pear-SOn提出。該方法需要在管道與大地之間施加1000 Hz的交流信號(hào)，該交流電會(huì)在管道防腐層的破損處流向大地，從而在破損點(diǎn)的上方形成交流電壓梯度，其電流密度隨著離防腐層破損點(diǎn)距離的增加而減小。兩名操作者相距3 6m沿管線(xiàn)上方(與探管機(jī)配合使用)檢測(cè)地面電壓梯度。檢測(cè)電極可分別由兩個(gè)操作人員的人體代替，用人體對(duì)地的耦合電容來(lái)檢測(cè)電壓梯度信號(hào)，并通過(guò)鏈?zhǔn)诫娎|傳送到接受裝置，經(jīng)過(guò)濾波放大后，由指示儀表指示檢測(cè)結(jié)果，故該方法又稱(chēng)為“人體阻容法”。這種方法具有較高的檢測(cè)效率，但鋇9量結(jié)果與操作人員技術(shù)和經(jīng)驗(yàn)有很大關(guān)系。這時(shí)不同的土壤和涂層電阻都能引起信號(hào)改變，可能被誤認(rèn)為是涂層缺陷，沒(méi)有現(xiàn)場(chǎng)經(jīng)驗(yàn)的人不易確定涂層缺陷的位置，或者不能確定是否存在有涂層缺陷。該方法具有識(shí)別破損點(diǎn)大小的功能，在長(zhǎng)輸管道的檢測(cè)與運(yùn)行維護(hù)中使用效果較好。

2）多頻管中電流法a℃A母 多頻管中電流法應(yīng)用較為簡(jiǎn)便。檢測(cè)時(shí)將發(fā)射機(jī)發(fā)射的檢測(cè)信號(hào)供入管道如圖4所示，在地面上沿管道記錄管道中各測(cè)點(diǎn)流過(guò)的電流值，觀(guān)測(cè)數(shù)據(jù)經(jīng)過(guò)軟件處理即得出檢測(cè)結(jié)果。圖形結(jié)果可直接顯示破損點(diǎn)位置，也可定性地判斷各段防腐層的老化狀況。若要定量地測(cè)量防腐層的狀況，則可用不同頻率的信號(hào)電流進(jìn)行類(lèi)似測(cè)量，將測(cè)量數(shù)據(jù)通過(guò)GD．FFW軟件，便算出各段防腐層的絕緣電阻值Rg。參照行業(yè)標(biāo)準(zhǔn)即可判定防腐層的狀態(tài)級(jí)別，檢測(cè)的原始數(shù)據(jù)及分析結(jié)果可以作為防腐數(shù)據(jù)庫(kù)的原始資料。多頻管中電流法其原理為：當(dāng)

檢測(cè)信號(hào)從管道某一點(diǎn)供入后，電流會(huì)通過(guò)管道經(jīng)大地流回發(fā)射機(jī)，并在管道流動(dòng)中隨距離增加而衰減。對(duì)于有一定長(zhǎng)度的管道，電流 I隨距離x成指數(shù)衰減。

在進(jìn)行同一組觀(guān)測(cè)時(shí)，頻率是不變的。如果儀器的發(fā)射機(jī)及接收機(jī)都能提供幾種測(cè)試頻率，則可以用幾個(gè)不同的頻率對(duì)同一管段進(jìn)行測(cè)定，然后解算出所需要的結(jié)果。如果管道內(nèi)的第n點(diǎn)與n+l點(diǎn)之間防腐層出現(xiàn)破損，則部分信號(hào)電流將從破損處流人土壤中。因此Idb曲線(xiàn)在這兩點(diǎn)間將有異常的衰減，同時(shí)在Y曲線(xiàn)上會(huì)出現(xiàn)一個(gè)明顯的脈沖形躍變。這就是利用電流的異常衰變確定防腐層破損點(diǎn)的原理。多頻管中電流法就是在不同情況下，以Rg、L、c作為待定變量，以不同頻率耐相同昝道上的不測(cè)結(jié)果YI、Y2、Y3等進(jìn)行反演求解，進(jìn)而推算出防腐層的絕電阻Rg。參照石油天然氣的行標(biāo)準(zhǔn)中的標(biāo)準(zhǔn)，即可判定防腐狀態(tài)級(jí)別。

第五篇：入侵檢測(cè)技術(shù)論文

目錄

第一章 緒論

1.1 入侵檢測(cè)技術(shù)的背景 1.2 程序設(shè)計(jì)的目的 第二章 入侵檢測(cè)系統(tǒng) 2.1 網(wǎng)絡(luò)入侵概述

2.2 網(wǎng)絡(luò)存在的安全隱患

2.3 網(wǎng)絡(luò)入侵與攻擊的常用手段 2.4 入侵檢測(cè)技術(shù)

2.4.1 誤用入侵檢測(cè)技術(shù) 2.4.2 異常入侵檢測(cè)技術(shù)

第三章 協(xié)議分析 3.1 協(xié)議分析簡(jiǎn)介 3.2 協(xié)議分析的優(yōu)勢(shì)

第四章 PANIDS系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn) 4.1 PANIDS系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)

4.2 系統(tǒng)基本信息讀取模塊的設(shè)計(jì)及實(shí)現(xiàn) 4.3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的設(shè)計(jì)及實(shí)現(xiàn) 4.4 基于協(xié)議分析的入侵檢測(cè)模塊的設(shè)計(jì)及實(shí)現(xiàn) 4.4.1 數(shù)據(jù)包的分解 4.4.2 入侵檢測(cè)的實(shí)現(xiàn) 4.5 實(shí)驗(yàn)結(jié)果及結(jié)論

第五章 總結(jié)與參考文獻(xiàn)

摘要

網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，人們?cè)絹?lái)越依賴(lài)于網(wǎng)絡(luò)進(jìn)行信息的處理。因此，網(wǎng)絡(luò)安全就顯得相當(dāng)重要，隨之產(chǎn)生的各種網(wǎng)絡(luò)安全技術(shù)也得到了不斷地發(fā)展。防火墻、加密等技術(shù)，總的來(lái)說(shuō)均屬于靜態(tài)的防御技術(shù)。如果單純依靠這些技術(shù)，仍然難以保證網(wǎng)絡(luò)的安全性。入侵檢測(cè)技術(shù)是一種主動(dòng)的防御技術(shù)，它不僅能檢測(cè)未經(jīng)授權(quán)的對(duì)象入侵，而且也能監(jiān)視授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法使用。傳統(tǒng)的入侵檢測(cè)系統(tǒng)一般都采用模式匹配技術(shù)，但由于技術(shù)本身的特點(diǎn)，使其具有計(jì)算量大、檢測(cè)效率低等缺點(diǎn)，而基于協(xié)議分析的檢測(cè)技術(shù)較好的解決了這些問(wèn)題，其運(yùn)用協(xié)議的規(guī)則性及整個(gè)會(huì)話(huà)過(guò)程的上下文相關(guān)性，不僅提高了入侵檢測(cè)系統(tǒng)的速度，而且減少了漏報(bào)和誤報(bào)率。本文提出了一種基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)PANIDS的模型，在該模型中通過(guò)Winpcap捕獲數(shù)據(jù)包，并對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分析，判斷其是否符合某種入侵模式，從而達(dá)到入侵檢測(cè)的目的。

關(guān)鍵詞： 入侵檢測(cè)，協(xié)議分析，PANIDS

第一章 緒論

1.1 入侵檢測(cè)技術(shù)的背景

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)通信已經(jīng)滲透到社會(huì)經(jīng)濟(jì)、文化和科學(xué)的各個(gè)領(lǐng)域；對(duì)人類(lèi)社會(huì)的進(jìn)步和發(fā)展起著舉足輕重的作用，它正影響和改變著人們工作、學(xué)習(xí)和生活的方式。另外，Internet的發(fā)展和應(yīng)用水平也已經(jīng)成為衡量一個(gè)國(guó)家政治、經(jīng)濟(jì)、軍事、技術(shù)實(shí)力的標(biāo)志；發(fā)展網(wǎng)絡(luò)技術(shù)是國(guó)民經(jīng)濟(jì)現(xiàn)代化建設(shè)不可缺少的必要條件。網(wǎng)絡(luò)使得信息的獲取、傳遞、存儲(chǔ)、處理和利用變得更加有效、迅速，網(wǎng)絡(luò)帶給人們的便利比比皆是。然而，網(wǎng)絡(luò)在給人們的學(xué)習(xí)、生活和工作帶來(lái)巨大便利的同時(shí)也帶來(lái)了各種安全問(wèn)題。網(wǎng)絡(luò)黑客可以輕松的取走你的機(jī)密文件，竊取你的銀行存款，破壞你的企業(yè)帳目，公布你的隱私信函，篡改、干擾和毀壞你的數(shù)據(jù)庫(kù)，甚至直接破壞你的磁盤(pán)或計(jì)算機(jī)，使你的網(wǎng)絡(luò)癱瘓或者崩潰。因此，研究各種切實(shí)有效的安全技術(shù)來(lái)保障計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全，已經(jīng)成為刻不容緩的課題。伴隨著網(wǎng)絡(luò)的發(fā)展，各種網(wǎng)絡(luò)安全技術(shù)也隨之發(fā)展起來(lái)。常用的網(wǎng)絡(luò)安全技術(shù)有：數(shù)據(jù)加密、虛擬專(zhuān)用網(wǎng)絡(luò)（VPN，Virtual Private Network）、防火墻、殺毒軟件、數(shù)字簽名和身份認(rèn)證等技術(shù)。這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，對(duì)保護(hù)網(wǎng)絡(luò)的安全起到非常重要的作用，然而它們也存在不少缺陷。例如，防火墻技術(shù)雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪(fǎng)問(wèn)控制，但是它不能防止來(lái)自防火墻內(nèi)部的攻擊、不能防備最新出現(xiàn)的威脅、不能防止繞過(guò)防火墻的攻擊，入侵者可以利用脆弱性程序或系統(tǒng)漏洞繞過(guò)防火墻的訪(fǎng)問(wèn)控制來(lái)進(jìn)行非法攻擊。傳統(tǒng)的身份認(rèn)證技術(shù)，很難抵抗脆弱性口令、字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探器以及電磁輻射等攻擊手段。虛擬專(zhuān)用網(wǎng)技術(shù)只能保證傳輸過(guò)程中的安全，并不能防御諸如拒絕服務(wù)攻擊、緩沖區(qū)溢出等常見(jiàn)的攻擊。另外，這些技術(shù)都屬于靜態(tài)安全技術(shù)的范疇；靜態(tài)安全技術(shù)的缺點(diǎn)是只能靜態(tài)和消極地防御入侵，而不能主動(dòng)檢測(cè)和跟蹤入侵。而入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)安全技術(shù)，它主動(dòng)地收集包括系統(tǒng)審計(jì)數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)包以及用戶(hù)活動(dòng)狀態(tài)等多方面的信息；然后進(jìn)行安全性分析，從而及時(shí)發(fā)現(xiàn)各種入侵并產(chǎn)生響應(yīng)。1.2 程序設(shè)計(jì)的目的

在目前的計(jì)算機(jī)安全狀態(tài)下，基于防火墻、加密技術(shù)等的安全防護(hù)固然重要；但是要根本改善系統(tǒng)的安全現(xiàn)狀，必須要發(fā)展入侵檢測(cè)技術(shù)。它已經(jīng)成為計(jì)算機(jī)安全策略中的核心技術(shù)之一。Intrusion Detection System（簡(jiǎn)稱(chēng)IDS）作為一種主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。從網(wǎng)絡(luò)安全立體縱深的多層次防御角度出發(fā)，入侵檢測(cè)理應(yīng)受到高度重視，這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。在國(guó)內(nèi)，隨著上網(wǎng)關(guān)鍵部門(mén)、關(guān)鍵業(yè)務(wù)越來(lái)越多，迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品；但目前我國(guó)的入侵檢測(cè)技術(shù)還不夠成熟，處于發(fā)展和跟蹤國(guó)外技術(shù)的階段，所以對(duì)入侵檢測(cè)系統(tǒng)的研究非常重要。傳統(tǒng)的入侵檢測(cè)系統(tǒng)中一般采用傳統(tǒng)的模式匹配技術(shù),將待分析事件與入侵規(guī)則相匹配。從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始與攻擊特征字符串比較。若比較結(jié)果不同,則下移一個(gè)字節(jié)再進(jìn)行；若比較結(jié)果相同,那么就檢測(cè)到一個(gè)可 能 的攻擊。這種逐字節(jié)匹配方法具有計(jì)算負(fù)載大及探測(cè)不夠靈活兩個(gè)最根本的缺陷。面對(duì)近幾年不斷出現(xiàn)的ATM、千兆以太網(wǎng)、G比特光纖網(wǎng)等高速網(wǎng)絡(luò)應(yīng)用,實(shí)現(xiàn)實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問(wèn)題。適應(yīng)高速網(wǎng)絡(luò)的環(huán)境，改進(jìn)檢測(cè)算法以提高運(yùn)行速度和效率是解決該問(wèn)題的一個(gè)途徑。協(xié)議分析能夠智能地”理解”協(xié)議,利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在,從而大大減少了模式匹配所需的運(yùn)算。所以說(shuō)研究基于協(xié)議分析的入侵檢測(cè)技術(shù)具有很強(qiáng)的現(xiàn)實(shí)意義。

第二章 入侵檢測(cè)系統(tǒng)

2.1 網(wǎng)絡(luò)入侵概述

網(wǎng)絡(luò)在給人們帶來(lái)便利的同時(shí)也引入了很多安全問(wèn)題。從防衛(wèi)者的角度來(lái)看，網(wǎng)絡(luò)安全的目標(biāo)可以歸結(jié)為以下幾個(gè)方面 ：（1）網(wǎng)絡(luò)服務(wù)的可用性。在需要時(shí)，網(wǎng)絡(luò)信息服務(wù)能為授權(quán)用戶(hù)提供實(shí)時(shí)有效的服務(wù)。

（2）網(wǎng)絡(luò)信息的保密性。網(wǎng)絡(luò)服務(wù)要求能防止敏感信息泄漏，只有授權(quán)用戶(hù)才能獲取服務(wù)信息。

（3）網(wǎng)絡(luò)信息的完整性。網(wǎng)絡(luò)服務(wù)必須保證服務(wù)者提供的信息內(nèi)容不能被非授權(quán)篡改。完整性是對(duì)信息的準(zhǔn)確性和可靠性的評(píng)價(jià)指標(biāo)。

（4）網(wǎng)絡(luò)信息的不可抵賴(lài)性。用戶(hù)不能否認(rèn)消息或文件的來(lái)源地，也不能否認(rèn)接受了信息或文件。

（5）網(wǎng)絡(luò)運(yùn)行的可控性。也就是網(wǎng)絡(luò)管理的可控性，包括網(wǎng)絡(luò)運(yùn)行的物理的可控性和邏輯或配置的可控性，能夠有效地控制網(wǎng)絡(luò)用戶(hù)的行為及信息的傳播范圍。

2.2 網(wǎng)絡(luò)存在的安全隱患

網(wǎng)絡(luò)入侵從根本上來(lái)說(shuō)，主要是因?yàn)榫W(wǎng)絡(luò)存在很多安全隱患，這樣才使得攻擊者有機(jī)可乘。導(dǎo)致網(wǎng)絡(luò)不安全的主要因素可以歸結(jié)為下面幾點(diǎn)：

（1）軟件的Bug。眾所周知，各種操作系統(tǒng)、協(xié)議棧、服務(wù)器守護(hù)進(jìn)程、各種應(yīng)用程序等都存在不少漏洞?？梢圆豢鋸埖恼f(shuō)，幾乎每個(gè)互聯(lián)網(wǎng)上的軟件都或多或少的存在一些安全漏洞。這些漏洞中，最常見(jiàn)的有緩沖區(qū)溢出、競(jìng)爭(zhēng)條件（多個(gè)程序同時(shí)訪(fǎng)問(wèn)一段數(shù)據(jù)）等。

（2）系統(tǒng)配置不當(dāng)。操作系統(tǒng)的默認(rèn)配置往往照顧用戶(hù)的友好性，但是容易使用的同時(shí)也就意味著容易遭受攻擊。這類(lèi)常見(jiàn)的漏洞有：系統(tǒng)管理員配置不恰當(dāng)、系統(tǒng)本身存在后門(mén)等。

（3）脆弱性口令。大部分人為了輸入口令的時(shí)候方便簡(jiǎn)單，多數(shù)都使用自己或家人的名字、生日、門(mén)牌號(hào)、電話(huà)號(hào)碼等作為口令。攻擊者可以通過(guò)猜測(cè)口令或拿到口令文件后，利用字典攻擊等手段來(lái)輕易破解口令。

（4）信息泄漏。入侵者常用的方法之一就是竊聽(tīng)。在廣播式的局域網(wǎng)上，將網(wǎng)卡配置成”混雜”模式，就可以竊聽(tīng)到該局域網(wǎng)的所有數(shù)據(jù)包。如果在服務(wù)器上安裝竊聽(tīng)軟件就可以拿到遠(yuǎn)程用戶(hù)的帳號(hào)和口令。

（5）設(shè)計(jì)的缺陷。最典型的就是TCP/IP協(xié)議，在協(xié)議設(shè)計(jì)時(shí)并沒(méi)有考慮到安全因素。雖然現(xiàn)在已經(jīng)充分意識(shí)到了這一點(diǎn)，但是由于TCP/IP協(xié)議已經(jīng)廣泛使用，因此暫時(shí)還無(wú)法被完全代替。另外，雖然操作系統(tǒng)設(shè)計(jì)的時(shí)候考慮了很多安全因素，但是仍然無(wú)法避免地存在一些缺陷。例如，廣泛使用的Windows操作系統(tǒng)，幾乎每隔幾個(gè)月都要出一定數(shù)量的安全補(bǔ)丁，就是因?yàn)橄到y(tǒng)存在很多安全隱患。2.3 網(wǎng)絡(luò)入侵與攻擊的常用手段

長(zhǎng)期以來(lái)，黑客攻擊技術(shù)沒(méi)有成為系統(tǒng)安全研究的一個(gè)重點(diǎn)，一方面是攻擊技術(shù)很大程度上依賴(lài)于個(gè)人的經(jīng)驗(yàn)以及攻擊者之間的交流，這種交流通常都是地下的，黑客有他們自己的交流方式和行為準(zhǔn)則，這與傳統(tǒng)的學(xué)術(shù)研究領(lǐng)域不相同；另一方面，研究者還沒(méi)有充分認(rèn)識(shí)到：只有更多地了解攻擊技術(shù)，才能更好地保護(hù)系統(tǒng)的安全。下面簡(jiǎn)單介紹幾種主要的攻擊類(lèi)型。1.探測(cè)攻擊

通過(guò)掃描允許連接的服務(wù)和開(kāi)放端口，能迅速發(fā)現(xiàn)目標(biāo)主機(jī)端口的分配情況以及所提供的各項(xiàng)服務(wù)和服務(wù)程序的版本號(hào)。另外通過(guò)掃描還可以探測(cè)到系統(tǒng)的漏洞等信息。黑客找到有機(jī)可乘的服務(wù)或端口后就可以進(jìn)行攻擊了。常見(jiàn)的探測(cè)掃描程序有：SATAN、NTScan、X_Scan、Nessus等。2.網(wǎng)絡(luò)監(jiān)聽(tīng)

將網(wǎng)卡設(shè)置為混雜模式，對(duì)已流經(jīng)某個(gè)以太網(wǎng)段的所有數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng)，以獲取敏感信息，如包含了”usename”或”password”等信息的數(shù)據(jù)包。常見(jiàn)的網(wǎng)絡(luò)監(jiān)聽(tīng)工具有：NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解碼類(lèi)攻擊

通過(guò)各種方法獲取password文件，然后用口令猜測(cè)程序來(lái)破譯用戶(hù)帳號(hào)和密碼。常見(jiàn)的解碼工具有：Crack、LophtCrack等。

2.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)可以分為兩大類(lèi)：異常入侵檢測(cè)技術(shù)和誤用入侵檢測(cè)技術(shù)。下面分別介紹這兩種入侵檢測(cè)技術(shù)。2.4.1 誤用入侵檢測(cè)技術(shù)

誤用入侵檢測(cè)首先對(duì)表示特定入侵的行為模式進(jìn)行編碼，建立誤用模式庫(kù)；然后對(duì)實(shí)際檢測(cè)過(guò)程中得到的審計(jì)事件數(shù)據(jù)進(jìn)行過(guò)濾，檢查是否包含入侵特征串。誤用檢測(cè)的缺陷在于只能檢測(cè)已知的攻擊模式。常見(jiàn)的誤用入侵檢測(cè)技術(shù)有以下幾種：

1.模式匹配

模式匹配是最常用的誤用檢測(cè)技術(shù)，特點(diǎn)是原理簡(jiǎn)單、擴(kuò)展性好、檢測(cè)效率高、可以實(shí)時(shí)檢測(cè)；但是只能適用于比較簡(jiǎn)單的攻擊方式。它將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式串進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。著名的輕量級(jí)開(kāi)放源代碼入侵檢測(cè)系統(tǒng)Snort就是采用這種技術(shù)。2.專(zhuān)家系統(tǒng)

該技術(shù)根據(jù)安全專(zhuān)家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后在此基礎(chǔ)上建立相應(yīng)的專(zhuān)家系統(tǒng)來(lái)自動(dòng)對(duì)所涉及的入侵行為進(jìn)行分析。該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。專(zhuān)家系統(tǒng)方法存在一些實(shí)際問(wèn)題：處理海量數(shù)據(jù)時(shí)存在效率問(wèn)題，這是由于專(zhuān)家系統(tǒng)的推理和決策模塊通常使用解釋型語(yǔ)言來(lái)實(shí)現(xiàn)，所以執(zhí)行速度比編譯型語(yǔ)言慢；專(zhuān)家系統(tǒng)的性能完全取決于設(shè)計(jì)者的知識(shí)和技能；規(guī)則庫(kù)維護(hù)非常艱巨，更改規(guī)則時(shí)必須考慮到對(duì)知識(shí)庫(kù)中其他規(guī)則的影響等等。3.狀態(tài)遷移法

狀態(tài)遷移圖可用來(lái)描述系統(tǒng)所處的狀態(tài)和狀態(tài)之間可能的遷移。狀態(tài)遷移圖用于入侵檢測(cè)時(shí)，表示了入侵者從合法狀態(tài)遷移到最終的危害狀態(tài)所采取的一系列行動(dòng)。

在檢測(cè)未知的脆弱性時(shí)，因?yàn)闋顟B(tài)遷移法強(qiáng)調(diào)的是系統(tǒng)處于易受損的狀態(tài)而不是未知入侵的審計(jì)特征，因此這種方法更具有健壯性。而它潛在的一個(gè)弱點(diǎn)是太拘泥于預(yù)先定義的狀態(tài)遷移序列。這種模型運(yùn)行在原始審計(jì)數(shù)據(jù)的抽象層次上，它利用系統(tǒng)狀態(tài)的觀(guān)念和事件的轉(zhuǎn)變流；這就有可能提供了一種既能減少誤警率又能檢測(cè)到新的攻擊的途徑。另外，因?yàn)樯婕傲吮容^高層次的抽象，有希望把它的知識(shí)庫(kù)移植到不同的機(jī)器、網(wǎng)絡(luò)和應(yīng)用的入侵檢測(cè)上。2.4.2 異常入侵檢測(cè)技術(shù)

異常檢測(cè)是通過(guò)對(duì)系統(tǒng)異常行為的檢測(cè)來(lái)發(fā)現(xiàn)入侵。異常檢測(cè)的關(guān)鍵問(wèn)題在于正常使用模式的建立，以及如何利用該模式對(duì)當(dāng)前系統(tǒng)或用戶(hù)行為進(jìn)行比較，從而判斷出與正常模式的偏離程度?！蹦Ｊ健保╬rofiles）通常使用一組系統(tǒng)的度量（metrics）來(lái)定義。度量，就是指系統(tǒng)或用戶(hù)行為在特定方面的衡量標(biāo)準(zhǔn)。每個(gè)度量都對(duì)應(yīng)于一個(gè)門(mén)限值。常用的異常檢測(cè)技術(shù)有： 1.統(tǒng)計(jì)分析

最早的異常檢測(cè)系統(tǒng)采用的是統(tǒng)計(jì)分析技術(shù)。首先，檢測(cè)器根據(jù)用戶(hù)對(duì)象的動(dòng)作為每個(gè)用戶(hù)建立一個(gè)用戶(hù)特征表，通過(guò)比較當(dāng)前特征與已存儲(chǔ)定型的以前特征，從而判斷是否異常行為。統(tǒng)計(jì)分析的優(yōu)點(diǎn)：有成熟的概率統(tǒng)計(jì)理論支持、維護(hù)方便，不需要象誤用檢測(cè)系統(tǒng)那樣不斷地對(duì)規(guī)則庫(kù)進(jìn)行更新和維護(hù)等。統(tǒng)計(jì)分析的缺點(diǎn)：大多數(shù)統(tǒng)計(jì)分析系統(tǒng)是以批處理的方式對(duì)審計(jì)記錄進(jìn)行分析的，不能提供對(duì)入侵行為的實(shí)時(shí)檢測(cè)、統(tǒng)計(jì)分析不能反映事件在時(shí)間順序上的前后相關(guān)性，而不少入侵行為都有明顯的前后相關(guān)性、門(mén)限值的確定非常棘手等。2.神經(jīng)網(wǎng)絡(luò)

這種方法對(duì)用戶(hù)行為具有學(xué)習(xí)和自適應(yīng)功能，能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并做出入侵可能性的判斷。利用神經(jīng)網(wǎng)絡(luò)所具有的識(shí)別、分類(lèi)和歸納能力，可以使入侵檢測(cè)系統(tǒng)適應(yīng)用戶(hù)行為特征的可變性。從模式識(shí)別的角度來(lái)看，入侵檢測(cè)系統(tǒng)可以使用神經(jīng)網(wǎng)絡(luò)來(lái)提取用戶(hù)行為的模式特征，并以此創(chuàng)建用戶(hù)的行為特征輪廓?？傊?，把神經(jīng)網(wǎng)絡(luò)引入入侵檢測(cè)系統(tǒng)，能很好地解決用戶(hù)行為的動(dòng)態(tài)特征以及搜索數(shù)據(jù)的不完整性、不確定性所造成的難以精確檢測(cè)的問(wèn)題。利用神經(jīng)網(wǎng)絡(luò)檢測(cè)入侵的基本思想是用一系列信息單元（命令）訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測(cè)輸出。將神經(jīng)網(wǎng)絡(luò)應(yīng)用于攻擊模式的學(xué)習(xí)，理論上也是可行的。但目前主要應(yīng)用于系統(tǒng)行為的學(xué)習(xí)，包括用戶(hù)以及系統(tǒng)守護(hù)程序的行為。與統(tǒng)計(jì)理論相比，神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量間的非線(xiàn)性關(guān)系，并且能自動(dòng)學(xué)習(xí)并更新。

神經(jīng)網(wǎng)絡(luò)也存在一些問(wèn)題：在不少情況下，系統(tǒng)趨向于形成某種不穩(wěn)定的網(wǎng)絡(luò)結(jié)構(gòu)，不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)特定的知識(shí)，這種情況目前尚不能完全確定產(chǎn)生的原因；另外，神經(jīng)網(wǎng)絡(luò)對(duì)判斷為異常的事件不會(huì)提供任何解釋或說(shuō)明信息，這導(dǎo)致了用戶(hù)無(wú)法確認(rèn)入侵的責(zé)任人，也無(wú)法判斷究竟是系統(tǒng)哪方面存在的問(wèn)題導(dǎo)致了攻擊者得以成功入侵。

前面介紹了誤用檢測(cè)和異常檢測(cè)所使用的一些常用檢測(cè)手段，在近期入侵檢測(cè)系統(tǒng)的發(fā)展過(guò)程中，研究人員提出了一些新的入侵檢測(cè)技術(shù)。這些技術(shù)不能簡(jiǎn)單地歸類(lèi)為誤用檢測(cè)或異常檢測(cè)，它們提供了一種有別于傳統(tǒng)入侵檢測(cè)視角的技術(shù)層次。這些新技術(shù)有：免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理的檢測(cè)等等，他們提供了更具有普遍意義的分析檢測(cè)技術(shù)，或者提出了新的檢測(cè)系統(tǒng)構(gòu)架，因此無(wú)論是對(duì)誤用檢測(cè)還是對(duì)異常檢測(cè)來(lái)說(shuō)都可以得到很好的應(yīng)用。

第三章 協(xié)議分析

3.1 協(xié)議分析簡(jiǎn)介 1.以太幀協(xié)議分析

這是對(duì)以太網(wǎng)數(shù)據(jù)幀頭進(jìn)行協(xié)議分析，并把分析的結(jié)果記入Packet結(jié)構(gòu)中。分析完以太幀頭后把數(shù)據(jù)包傳送到下一級(jí)協(xié)議分析程序中。數(shù)據(jù)幀的第13和14兩個(gè)字節(jié)組成的字段是協(xié)議類(lèi)型字段。如果用十六進(jìn)制表示，那么IP協(xié)議對(duì)應(yīng)0X0800、ARP對(duì)應(yīng)0X0806、RARP對(duì)應(yīng)0X0835。2.ARP和RARP數(shù)據(jù)包協(xié)議分析

這是對(duì)ARP或RARP數(shù)據(jù)進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于ICMP協(xié)議規(guī)則集的匹配檢測(cè)模塊進(jìn)行檢測(cè)，查看是否存在A(yíng)RP和RARP相關(guān)的攻擊。由于基于A(yíng)RP/RARP協(xié)議的攻擊較少，所以把他們歸入ICMP協(xié)議規(guī)則集中。3.IP數(shù)據(jù)包協(xié)議分析

這是對(duì)IP 數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于IP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。IP數(shù)據(jù)包首部的第一個(gè)字節(jié)的后面4個(gè)比特組成的字段標(biāo)識(shí)了IP首部的長(zhǎng)度。該字段的值乘以4就等于IP首部的長(zhǎng)度。沒(méi)有包含IP選項(xiàng)的普通IP首部長(zhǎng)度為20，如果大于20就說(shuō)明此IP數(shù)據(jù)包包含IP首部。第5和第6個(gè)字節(jié)是IP數(shù)據(jù)包的16位標(biāo)識(shí)，每一IP數(shù)據(jù)包都有唯一的標(biāo)識(shí)。該標(biāo)識(shí)在IP數(shù)據(jù)包分片重組時(shí)中起到至關(guān)重要的作用，每個(gè)分片就是通過(guò)檢查此ID號(hào)來(lái)判別是否屬于同一個(gè)IP包。第7個(gè)字節(jié)開(kāi)始的前3個(gè)比特是重要的標(biāo)志位：第一個(gè)標(biāo)志位（最高位）為保留位（該位必須為0，否則就是一個(gè)錯(cuò)誤的IP數(shù)據(jù)包），第二個(gè)標(biāo)志位DF指示該IP數(shù)據(jù)包能否分片（該位為0則表示該IP數(shù)據(jù)包可以分片，為1則不能分片），第三個(gè)標(biāo)志位MF指示該數(shù)據(jù)包是否為最后一個(gè)分片（該位為0表示此數(shù)據(jù)包是最后一個(gè)分片，為1表示不是最后一個(gè)分片）。從MF標(biāo)志位開(kāi)始的后面13個(gè)比特位記錄了分片的偏移量。分片的IP數(shù)據(jù)包，各個(gè)分片到目的端才會(huì)重組；傳輸過(guò)程中每個(gè)分片可以獨(dú)立選路。如何才能重組一個(gè)分片了的IP數(shù)據(jù)包呢？首先，16位分片ID（Fragment ID）標(biāo)識(shí)了每個(gè)IP數(shù)據(jù)包的唯一性。數(shù)據(jù)包分片后，它的每個(gè)分片具有相同的標(biāo)識(shí)。其次，通過(guò)每個(gè)分片的片偏移量可以確定每個(gè)分片的位置，再結(jié)合MF可以判斷該分片是否為最后一個(gè)分片。綜合上述信息，就可以順利的重組一個(gè)數(shù)據(jù)包。分片重組對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有重要意義。首先，有一些攻擊方法利用了操作系統(tǒng)協(xié)議棧中分片合并實(shí)現(xiàn)上的漏洞，例如著名的TearDrop攻擊就是在短時(shí)間內(nèi)發(fā)送若干偏移量有重疊的分片，目標(biāo)機(jī)接收到這樣的分片的時(shí)候就會(huì)合并分片，由于其偏移量的重疊而發(fā)生內(nèi)存錯(cuò)誤，甚至?xí)?dǎo)致協(xié)議棧的崩潰。這種攻擊手段單從一個(gè)數(shù)據(jù)包上是無(wú)法辨認(rèn)的，需要在協(xié)議分析中模擬操作系統(tǒng)的分片合并，以發(fā)現(xiàn)不合法的分片。另外，Tiny Fragment（極小分片）等攻擊方法，將攻擊信息隱藏在多個(gè)微小分片內(nèi)來(lái)繞過(guò)入侵檢測(cè)系統(tǒng)或防火墻的檢測(cè)從而達(dá)到攻擊的目的。對(duì)付這種攻擊也需要在檢測(cè)的過(guò)程中合并碎片，恢復(fù)數(shù)據(jù)包的真實(shí)面目。

IP包頭的第10個(gè)字節(jié)開(kāi)始的后面八個(gè)比特位表示了協(xié)議的類(lèi)型：其中1表示ICMP協(xié)議，2表示IGMP協(xié)議，6表示TCP協(xié)議，17表示UDP協(xié)議。（這些數(shù)字是十進(jìn)制的）。對(duì)IP數(shù)據(jù)包檢測(cè)完畢后，如果檢測(cè)到攻擊就記錄該數(shù)據(jù)包，然后重新開(kāi)始檢測(cè)一個(gè)新的原始數(shù)據(jù)包。如果沒(méi)有檢測(cè)到攻擊，則在判斷上層協(xié)議類(lèi)型之后就把數(shù)據(jù)包分流到TCP、UDP等協(xié)議分析程序中進(jìn)行進(jìn)一步協(xié)議分析。4.TCP數(shù)據(jù)包協(xié)議分析

這是對(duì)TCP數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于TCP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。首先讀入TCP數(shù)據(jù)包，對(duì)TCP包頭進(jìn)行協(xié)議分析；并檢查是否有TCP選項(xiàng)，如果有的話(huà)就對(duì)TCP選項(xiàng)進(jìn)行協(xié)議分析。然后，判斷該TCP數(shù)據(jù)包是否發(fā)生分段，如果發(fā)生了分段就進(jìn)行TCP重組。再把重組后的數(shù)據(jù)包送入基于TCP協(xié)議規(guī)則集的匹配檢測(cè)程序進(jìn)行檢測(cè)。如果檢測(cè)到攻擊就記錄下該攻擊數(shù)據(jù)包，以備攻擊取證等使用。記錄數(shù)據(jù)包后又返回，重新讀取一個(gè)新的數(shù)據(jù)包。如果沒(méi)有檢測(cè)到攻擊，就把該數(shù)據(jù)包送入下一級(jí)協(xié)議分析模塊中，作進(jìn)一步的協(xié)議分析。

5.ICMP數(shù)據(jù)包協(xié)議分析

這是對(duì)ICMP數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于ICMP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。ICMP報(bào)文有很多類(lèi)型，根據(jù)報(bào)文中的類(lèi)型字段和代碼字段就可以區(qū)分每一種ICMP報(bào)文類(lèi)型。6.UDP協(xié)議分析

這是對(duì)UDP數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于UDP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。如果檢測(cè)到攻擊就記錄該數(shù)據(jù)包，然后返回并讀取下一個(gè)數(shù)據(jù)包。如果沒(méi)有檢測(cè)到攻擊，那么就把數(shù)據(jù)包送入基于應(yīng)用層協(xié)議規(guī)則集的檢測(cè)模塊進(jìn)行進(jìn)一步的檢測(cè)分析。應(yīng)用層協(xié)議很復(fù)雜，這里不進(jìn)行詳細(xì)討論。

3.2 協(xié)議分析的優(yōu)勢(shì)（1）提高性能：當(dāng)系統(tǒng)提升協(xié)議棧來(lái)解析每一層時(shí)，它用已獲得的知識(shí)來(lái)消除在數(shù)據(jù)包結(jié)構(gòu)中不可能出現(xiàn)的攻擊。比如4層協(xié)議是TCP，那就不用再搜索其他第四層協(xié)議如UDP上形成的攻擊。如果數(shù)據(jù)包最高層是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP（Simple Network Management Protocol），那就不用再尋找Telnet或HTTP攻擊。這樣檢測(cè)的范圍明顯縮小，而且更具有針對(duì)性；從而使得IDS系統(tǒng)性能得到明顯改善。

（2）能夠探測(cè)碎片攻擊等基于協(xié)議漏洞的攻擊：在基于協(xié)議分析的IDS中，各種協(xié)議都被解析。如果出現(xiàn)IP分片，數(shù)據(jù)包將首先被重裝；然后再對(duì)整個(gè)數(shù)據(jù)包進(jìn)行詳細(xì)分析來(lái)檢測(cè)隱藏在碎片中的潛在攻擊行為。這是采用傳統(tǒng)模式匹配技術(shù)的NIDS所無(wú)法做到的。（3）降低誤報(bào)和漏報(bào)率：協(xié)議分析能減少傳統(tǒng)模式匹配N(xiāo)IDS系統(tǒng)中常見(jiàn)的誤報(bào)和漏報(bào)現(xiàn)象。在基于協(xié)議分析的NIDS系統(tǒng)中誤報(bào)率會(huì)明顯減少，因?yàn)樗鼈冎篮兔總€(gè)協(xié)議有關(guān)的潛在攻擊的確切位置以及該位置每個(gè)字節(jié)的真正含義。例如，針對(duì)基于協(xié)議分析的IDS不但能識(shí)別簡(jiǎn)單的路徑欺騙：例如把CGI攻擊”/cgi-bin/phf”變?yōu)椤?cgi-bin/./phf”或”/cgi-binphf”；而且也能識(shí)別復(fù)雜的HEX編碼欺騙：例如”/winnt/system32/cmd.exe”，編碼后變?yōu)椤?winnt/system32/%2563md.exe”，通過(guò)協(xié)議分析%25 解碼后為‘%’，%63解碼后為‘c’，這樣就解析出了攻擊串。又如針對(duì)Unicode（UTF-8）的編碼欺騙（與ASCII字符相關(guān)的HEX編碼一直到％7f，Unicode編碼值要高于它），攻擊串編碼后得到”/winnt/system32%c0%afcmd.exe”，通過(guò)解碼可知%c0%af在Unicode中對(duì)應(yīng)/,所以解碼后就能順利還原出攻擊串。第四章 PANIDS系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)

4.1 PANIDS系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)

PANIDS系統(tǒng) 主要由系統(tǒng)基本信息讀取模塊、網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、基于協(xié)議分析的入侵檢測(cè)模塊、響應(yīng)模塊和控制管理中心等幾部分組成。4.2 系統(tǒng)基本信息讀取模塊的設(shè)計(jì)及實(shí)現(xiàn)

為了更好的顯示出本機(jī)的特性，在此PANIDS系統(tǒng)中特別增加系統(tǒng)基本信息讀取模塊。通過(guò)此模塊能顯示出主機(jī)名和本機(jī)的IP地址和所使用的Winsock的版本

在此模塊中主要用到函數(shù)gethostname()和gethostbyname()。gethostname()函數(shù)作用是獲取本地主機(jī)的主機(jī)名，其定義如下：

int PASCAL FAR gethostname(char FAR * name, int namelen);name：用于指向所獲取的主機(jī)名的緩沖區(qū)的指針。Namelen：緩沖區(qū)的大小，以字節(jié)為單位。

gethostbyname()在此模塊中是一個(gè)主要函數(shù)，該函數(shù)可以從主機(jī)名數(shù)據(jù)庫(kù)中得到對(duì)應(yīng)的”主機(jī)”。其定義如下：

#include struct hostent FAR *PASCAL FAR gethostbyname(const char FAR * addr)name：指向主機(jī)名的指針。

gethostbyname()返回對(duì)應(yīng)于給定主機(jī)名的包含主機(jī)名字和地址信息的hostent結(jié)構(gòu)指針。結(jié)構(gòu)的聲明與gethostaddr()中一致。如果沒(méi)有錯(cuò)誤發(fā)生，gethostbyname()返回如上所述的一個(gè)指向hostent結(jié)構(gòu)的指針，否則，返回一個(gè)空指針。hostent結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu)如下： struct hostent { char *h_name;//地址的正式名稱(chēng)

char **h_aliases;//空字節(jié)-地址的預(yù)備名稱(chēng)的指針 int h_addrtype;//地址類(lèi)型，通常是AF_INET int h_length;//地址的比特長(zhǎng)度

char **h_addr_list;//零字節(jié)-主機(jī)網(wǎng)絡(luò)地址指針,網(wǎng)絡(luò)字節(jié)順序 };返回的指針指向一個(gè)由Windows Sockets實(shí)現(xiàn)分配的結(jié)構(gòu)。應(yīng)用程序不應(yīng)該試圖修改這個(gè)結(jié)構(gòu)或者釋放它的任何部分。此外，每一線(xiàn)程僅有一份這個(gè)結(jié)構(gòu)的拷貝，所以應(yīng)用程序應(yīng)該在發(fā)出其他Windows Scokets API調(diào)用前，把自己所需的信息拷貝下來(lái)。

gethostbyname()實(shí)現(xiàn)沒(méi)有必要識(shí)別傳送給它的IP地址串。對(duì)于這樣的請(qǐng)求，應(yīng)該把IP地址串當(dāng)作一個(gè)未知主機(jī)名同樣處理。如果應(yīng)用程序有IP地址串需要處理，它應(yīng)該使用inet_addr()函數(shù)把地址串轉(zhuǎn)換為IP地址，然后調(diào)用gethostbyaddr()來(lái)得到hostent結(jié)構(gòu)。4.3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的設(shè)計(jì)及實(shí)現(xiàn) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲的方法有很多，比如既可以利用原始套接字來(lái)實(shí)現(xiàn)，也可以通過(guò)Libpcap、Jpcap和WinPcap 提供的接口函數(shù)來(lái)實(shí)現(xiàn)。Libpcap、Jpcap和WinPcap是世界各地的網(wǎng)絡(luò)專(zhuān)家共同努力的結(jié)果，為開(kāi)發(fā)者提供了很多高效且與系統(tǒng)無(wú)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包截獲接口函數(shù)；所以在性能上一般比采用普通的套接字方法要好。LibPcap是一個(gè)優(yōu)秀跨平臺(tái)的網(wǎng)絡(luò)抓包開(kāi)發(fā)工具，JPcap是它的一個(gè)Java版本。WinPcap在某種程度上可以說(shuō)它是LibPcap的一個(gè)Windows版本，因?yàn)樗鼈兊拇蟛糠纸涌诤瘮?shù)以及所采用的數(shù)據(jù)結(jié)構(gòu)都是一樣的。另外，WinPcap在某些方面進(jìn)行了優(yōu)化，還提供了發(fā)送原始數(shù)據(jù)包和統(tǒng)計(jì)網(wǎng)絡(luò)通信過(guò)程中各種信息的功能（LibPcap沒(méi)有統(tǒng)計(jì)功能），方便進(jìn)行測(cè)試；所以采用WinPcap所提供的庫(kù)函數(shù)來(lái)截獲網(wǎng)絡(luò)數(shù)據(jù)包。

Winpcap捕獲數(shù)據(jù)包的實(shí)現(xiàn)

1.網(wǎng)絡(luò)數(shù)據(jù)包捕獲的主要數(shù)據(jù)結(jié)構(gòu)(1)PACKET結(jié)構(gòu)

typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//這個(gè)buffer就是指向存放數(shù)據(jù)包的用戶(hù)緩沖區(qū) UINT Length;//buffer的長(zhǎng)度

DWORD ulBytesReceived;//調(diào)用PacketReceivePacket()函數(shù)所讀 //取的字節(jié)數(shù),可能包含多個(gè)數(shù)據(jù)包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注釋的幾個(gè)成員,都是過(guò)時(shí)的成員,他們的存在只是為了與原來(lái)的兼容。此結(jié)構(gòu)主要用來(lái)存放從內(nèi)核中讀取的數(shù)據(jù)包。(2)pcap_file_header 結(jié)構(gòu) struct pcap_file_header{ bpf_u_int32 magic;//一個(gè)標(biāo)識(shí)號(hào)，標(biāo)識(shí)特定驅(qū)動(dòng)器產(chǎn)生的dump文件 u_short version_major;//WinPcap的主版本號(hào) u_short version_minor;//WinPcap的次版本號(hào)

bpf_int32 thiszone;//GMT時(shí)間與本地時(shí)間的校正值 bpf_u_int32 sigfigs;//精確的時(shí)間戳

bpf_u_int32 snaplen;//每個(gè)數(shù)據(jù)包需要存放到硬盤(pán)上的最大長(zhǎng)度 bpf_u_int32 linktype;//鏈路層的數(shù)據(jù)類(lèi)型 };//這個(gè)頭部共24個(gè)字節(jié)

把截獲的數(shù)據(jù)包以標(biāo)準(zhǔn)的Windump格式存放到硬盤(pán)上時(shí)，就是以這個(gè)結(jié)構(gòu) 作為文件的開(kāi)頭。(3)bpf_hdr結(jié)構(gòu) struct bpf_hdr { struct timeval bh_tstamp;//數(shù)據(jù)包捕獲的時(shí)間戳信息 UINT bh_caplen;//數(shù)據(jù)包被捕獲部分的長(zhǎng)度 UINT bh_datalen;//數(shù)據(jù)的原始長(zhǎng)度 USHORT bh_hdrlen;//此結(jié)構(gòu)的長(zhǎng)度 };從內(nèi)核中讀取數(shù)據(jù)包并存放在用戶(hù)緩沖區(qū)中時(shí)，采用此結(jié)構(gòu)來(lái)封裝所截獲的 數(shù)據(jù)包。其中timeval的結(jié)構(gòu)如下 struct timeval { long tv_sec;//以秒為單位的時(shí)間 long tv_usec;//以毫秒為單位的時(shí)間 };(4)dump_bpf_hdr結(jié)構(gòu) struct dump_bpf_hdr{ struct timeval ts;//數(shù)據(jù)包捕獲的時(shí)間戳 UINT caplen;//數(shù)據(jù)包被捕獲部分的長(zhǎng)度 UINT len;//數(shù)據(jù)包的原始長(zhǎng)度 };把數(shù)據(jù)包存放到硬盤(pán)上或者向網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)包時(shí)，都使用此結(jié)構(gòu)來(lái)封裝每一個(gè)數(shù)據(jù)包。

2.數(shù)據(jù)包捕獲的具體實(shí)現(xiàn)

在了解其數(shù)據(jù)結(jié)構(gòu)的基礎(chǔ)上，下面來(lái)分析其是如何具體實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲的。其前期的主要過(guò)程應(yīng)為：首先應(yīng)找到設(shè)備列表，然后顯示適配器列表和選擇適配器，最后通過(guò)pcap_open_live（）函數(shù)根據(jù)網(wǎng)卡名字將所選的網(wǎng)卡打開(kāi)，并設(shè)置為混雜模式。

用Winpacp捕獲數(shù)據(jù)包時(shí)，數(shù)據(jù)包捕獲的程序流程圖如圖4.3所示，其中pcap_loop()是截包的關(guān)鍵環(huán)節(jié)，它是一個(gè)循環(huán)截包函數(shù)，分析此函數(shù)的源碼可知，其內(nèi)部主要處理過(guò)程如圖4.4所示。在pcap_loop()的每次循環(huán)中，首先通過(guò)調(diào)用PacketReceivePacket()函數(shù)，從內(nèi)核緩沖區(qū)中把一組數(shù)據(jù)包讀取到用戶(hù)緩沖區(qū)。然后，根據(jù)bpf_hdr結(jié)構(gòu)提供的該數(shù)據(jù)包的定位信息，把用戶(hù)緩沖區(qū)的多個(gè)數(shù)據(jù)包逐個(gè)的提取出來(lái)，并依次送入回調(diào)函數(shù)進(jìn)行進(jìn)一步處理。通過(guò)這個(gè)過(guò)程就實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。

4.4 基于協(xié)議分析的入侵檢測(cè)模塊的設(shè)計(jì)及實(shí)現(xiàn)

此模塊是基于協(xié)議分析入侵檢測(cè)系統(tǒng)PANIDS的核心部分，下面我們重點(diǎn)討論此模塊的設(shè)計(jì)及實(shí)現(xiàn)。4.4.1 數(shù)據(jù)包的分解 當(dāng)需要發(fā)送數(shù)據(jù)時(shí)，就需要進(jìn)行封裝。封裝的過(guò)程就是把用戶(hù)數(shù)據(jù)用協(xié)議來(lái)進(jìn)行封裝，首先由應(yīng)用層協(xié)議進(jìn)行封裝，如HTTP協(xié)議。而HTTP協(xié)議是基于TCP協(xié)議的。它就被TCP協(xié)議進(jìn)行封裝，http包作為T(mén)CP數(shù)據(jù)段的數(shù)據(jù)部分。而TCP協(xié)議是基于IP協(xié)議的，所以TCP段就作為IP協(xié)議的數(shù)據(jù)部分，加上IP協(xié)議頭，就構(gòu)成了IP數(shù)據(jù)報(bào)，而IP數(shù)據(jù)報(bào)是基于以太網(wǎng)的，所以這個(gè)時(shí)候就被封裝成了以太網(wǎng)幀，這個(gè)時(shí)候就可以發(fā)送數(shù)據(jù)了。通過(guò)物理介質(zhì)進(jìn)行傳送。在這里我們所用到的是數(shù)據(jù)包的分解。分解的過(guò)程與封裝的過(guò)程恰恰相反，這個(gè)時(shí)候就需要從一個(gè)以太網(wǎng)幀中讀出用戶(hù)數(shù)據(jù)，就需要一層一層地進(jìn)行分解，首先是去掉以太網(wǎng)頭和以太網(wǎng)尾，在把剩下的部分傳遞給IP層軟件進(jìn)行分解，去掉IP頭，然后把剩下的傳遞給傳輸層，例如TCP協(xié)議，此時(shí)就去掉TCP頭，剩下應(yīng)用層協(xié)議部分?jǐn)?shù)據(jù)包了，例如HTTP協(xié)議，此時(shí)HTTP協(xié)議軟件模塊就會(huì)進(jìn)一步分解，把用戶(hù)數(shù)據(jù)給分解出來(lái)，例如是HTML代碼。這樣應(yīng)用軟件就可以操作用戶(hù)數(shù)據(jù)了，如用瀏覽器來(lái)瀏覽HTML頁(yè)面。其具體的數(shù)據(jù)包分解如下：

ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵檢測(cè)的實(shí)現(xiàn)

通過(guò)Winpcap捕獲數(shù)據(jù)包，數(shù)據(jù)包分解完以后就對(duì)其進(jìn)行協(xié)議分析，判斷分組是否符合某種入侵模式，如果符合，則進(jìn)行入侵告警。在本系統(tǒng)中實(shí)現(xiàn)了對(duì)多種常見(jiàn)入侵模式的檢測(cè)，采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻擊、應(yīng)用層攻擊。1.ICMP分片

ICMP報(bào)文是TCP/IP協(xié)議中一種控制報(bào)文，它的長(zhǎng)度一般都比較小，如果出現(xiàn)ICMP報(bào)文分片，那么說(shuō)明一定出現(xiàn)了Ping of Death攻擊。

在本系統(tǒng)中ip->ip_p == 0×1，這是表示ip首部的協(xié)議類(lèi)型字段，0×1代表ICMP。

string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);當(dāng)(ip->ip_off > 1)&& str1!= str2時(shí)，就表認(rèn)為是Ping of Death攻擊。如果都符合，就報(bào)警（調(diào)用函數(shù)將受到攻擊的時(shí)間、攻擊名稱(chēng)以及攻擊的IP地址顯示出來(lái)）。

2.常用端口

一些攻擊特洛伊木馬、蠕蟲(chóng)病毒等都會(huì)采用一些固定端口進(jìn)行通信，那么如果在分組分析過(guò)程中發(fā)現(xiàn)出現(xiàn)了某個(gè)端口的出現(xiàn)，則可以認(rèn)為可能出現(xiàn)了某種攻擊，這里為了減少誤判，應(yīng)當(dāng)設(shè)置一個(gè)閾值，僅當(dāng)某個(gè)端口的分組出現(xiàn)超過(guò)閾值后才進(jìn)行報(bào)警。這就意味著檢測(cè)到發(fā)往某個(gè)端口的的分組超過(guò)閾值后才認(rèn)為出現(xiàn)了某種攻擊，并進(jìn)行告警。本系統(tǒng)定義了兩種端口掃描，Trojan Horse端口掃描和代理服務(wù)器端口掃描。Trojan Horse端口掃描實(shí)現(xiàn)如下：首先根據(jù)if((tcp->th_flags & TH_SYN)==TH_SYN)判斷其是否為T(mén)CP SYN報(bào)文，若是，并且端口為T(mén)rojan Horse的常用掃描端口時(shí)，最后判斷報(bào)文數(shù)是否超過(guò)閾值TrojanThreshold，如果超過(guò)的后，就被認(rèn)定為T(mén)rojan Horse端口掃描，然后報(bào)警。對(duì)代理服務(wù)器端口掃描檢測(cè)的實(shí)現(xiàn)方法和Trojan Horse端口掃描實(shí)現(xiàn)方法一樣，這里不再論述。

3.IGMP分片

IGMP（Internet Group Message Protocol）是Internet中多播組管理協(xié)議，其長(zhǎng)度也一般較小。同上ip->ip_p==0×2也是表示首部的協(xié)議類(lèi)型字段，0×2代表IGMP，本系統(tǒng)實(shí)現(xiàn)了對(duì)其兩種攻擊模式的檢測(cè)。

（1）通過(guò)if(ntohs(ip->ip_len)>1499)首先判斷其是否為分片的IGMP報(bào)文，若是，并且收到的報(bào)文數(shù)超過(guò)設(shè)定的閾值IGMPThreshold，則就最終判定其為IGMP DoS攻擊，然后報(bào)警。

（2）通過(guò)if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判斷其是否為某種特定的源地址等于目的地址或者目的地址等于0的報(bào)文，若是，并且收到的報(bào)文數(shù)超過(guò)設(shè)定的閾值LandThreshold則被判定為land DoS攻擊,然后報(bào)警。

4.WinNuke攻擊 通過(guò)if((tcp->th_flags & TH_URG)==TH_URG)判斷其是否為T(mén)CP URG報(bào)文，若是，則根據(jù)WinNuke的典型特征是使用TCP中的Ugrent指針，并使用135、137、138、139端口，因此可以利用這兩個(gè)特征加以判斷，同樣為了減少誤判，應(yīng)當(dāng)設(shè)置一個(gè)閾值。當(dāng)閾值超過(guò)設(shè)定的WinNukeThreshold時(shí)，就被最終判定為WinNuke攻擊，然后報(bào)警。5.應(yīng)用層攻擊

其是分析應(yīng)用層的數(shù)據(jù)特征，判斷是否存在入侵。在本系統(tǒng)中實(shí)現(xiàn)了對(duì)一種較為簡(jiǎn)單的應(yīng)用層攻擊的檢測(cè)。它也是屬于TCP SYN報(bào)文中的一種。主要思想是監(jiān)測(cè)報(bào)文中是否存在system32關(guān)鍵字，如果存在，則報(bào)警。

4.5 實(shí)驗(yàn)結(jié)果及結(jié)論

程序編譯成功后，執(zhí)行可執(zhí)行文件，此時(shí)系統(tǒng)已被啟動(dòng)，然后在”設(shè)置”菜單中將網(wǎng)卡設(shè)為混雜模式，點(diǎn)擊”開(kāi)始”按鈕，本系統(tǒng)開(kāi)始檢測(cè)。由實(shí)驗(yàn)結(jié)果可知，本系統(tǒng)能較好的檢測(cè)出一些典型攻擊，并能在界面上顯示出攻擊日期/時(shí)間、攻擊的類(lèi)型、攻擊源的IP地址，達(dá)到了預(yù)期的效果。

第五章 總結(jié)與參考文獻(xiàn)

入侵檢測(cè)是一種積極主動(dòng)的安全防護(hù)技術(shù)；它既能檢測(cè)未經(jīng)授權(quán)的對(duì)象入侵系統(tǒng)，又能監(jiān)視授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作。入侵檢測(cè)與防火墻、身份認(rèn)證、數(shù)據(jù)加密、數(shù)字簽名等安全技術(shù)共同構(gòu)筑了一個(gè)多層次的動(dòng)態(tài)安全體系。本文主要對(duì)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)進(jìn)行了研究和探討。首先較全面、系統(tǒng)地分析了入侵檢測(cè)技術(shù)的歷史、現(xiàn)狀和發(fā)展趨勢(shì)、了解了黑客常用的攻擊手段及其原理。然后，系統(tǒng)地闡述了入侵檢測(cè)的原理。接著講述了協(xié)議分析和模式匹配技術(shù)，最后，針對(duì)當(dāng)前典型的網(wǎng)絡(luò)入侵，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)PANIDS，實(shí)現(xiàn)了多層次的協(xié)議分析，包括基本協(xié)議的解析、協(xié)議上下文的關(guān)聯(lián)分析以及應(yīng)用層協(xié)議的分析，并取得了較為滿(mǎn)意的檢測(cè)效果。

[1] 戴英俠，連一峰，王航.系統(tǒng)安全與入侵檢測(cè)[M].北京：清華大學(xué)出版社 [2] 聶元銘，丘平.網(wǎng)絡(luò)信息安全技術(shù)[M].北京：科學(xué)出版社

[3] 董玉格，金海，趙振.攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京：人民 郵電出版社 [4] 戴云,范平志.入侵檢測(cè)系統(tǒng)研究綜述[J].計(jì)算機(jī)工程與應(yīng)用 [5] 劉文淘.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[M].北京：電子工業(yè)出版社，