第一篇:現代檢測技術論文(共)
電磁兼容現場測試中干擾源的自動辨識
姓名: 學號:
專業:控制科學與工程 指導老師:摘 要: 復雜系統由于上裝設備眾多,空間狹小,導致電磁兼容(EMC)問題突出。電磁兼容現場測試是解決系統性電磁兼容問題的有效手段,但在國內針對電磁兼容現場測試的研究還處于起步階段,對于電磁兼容現場測試中干擾源的自動辨識研究更是少之又少。因此研究電磁兼容現場測試中的干擾源辨識技術具有重要的意義和工程應用價值。本文把電磁兼容現場測試中的干擾源的自動辨識作為研究目標。首先對電磁兼容現場測試的需求及特點進行分析,然后借鑒模式識別理論并將其應用于電磁兼容現場測試的干擾源辨識,設計了電磁兼容現場測試干擾源辨識方案。論文結合電磁兼容現場測試的實際情況,研究了小波消噪、曲線包絡和曲線延拓等數據預處理算法,提出了峰值、包絡和諧波等特征的提取方法,形成了原始相關系數、峰值相關系數和相似離度等相似度評價指標。最后構建了辨識系統并建立了辨識系統的數據庫,為數據的管理和共享提供了便利的條件。關鍵詞: 電磁兼容 現場測試 干擾源辨識 模式識別 1 研究背景和意義
在科學發達的今天,廣播、電視、通信、導航、雷達、遙測測控及計算機等迅速發展,尤其是信息、網絡技術以爆炸性方式增長,電磁波利用的快速擴張,產了不斷增長的電磁污染,帶來了嚴重的電磁干擾。各種電磁能量通過輻射和傳導的途徑,以電波、電場和電流的形式,影響著敏感電子設備,嚴重時甚至使電子設備無法正常工作。上述情況對電子設備及系統的正常工作構成了很大的威脅,因此加強電子產品的電磁兼容性設計,使之能在復雜的電磁環境中正常工作已成為當務之急。電磁兼容性(Electromagnetic Compatibility, EMC)是設備或系統在其電磁環境中,能正常工作且不對該環境中任何事物構成不能承受的電磁騷擾的能力。它包括電磁干擾(Electromagnetic Interference, EMI)和電磁敏感度(Electromagnetic Susceptibility, EMS)兩個方面。電磁兼容測試是驗證電子設備電磁兼容設計的合理性以及最終評價、解決電子設備電磁兼容問題的主要手段。通過定量的測量,可以鑒別產品是否符合 EMC 相關標準或者規范,找出產品在 EMC方面的薄弱環節。
目前很多國家和組織都制定了相關的電磁兼容標準,只有符合相關指標要求的電子和電氣產品才能進入市場。要判斷某電子產品是否存在電磁兼容性問題,就需要依據相關標準對該產品進行具體的電磁兼容測試
在目前電磁兼容測試中,針對設備或分系統級的電磁兼容測試與評價有著較為完備的電磁兼容標準或規范體系,不僅規定了測試所使用的儀器設備的具體指標要求,同時還規范了測量方案的組成和環境要求,這是其他標準或規范中所少見的。然而針對系統測試,目前還沒有詳細具體的標準或規范。已經了解的標準有美軍標 MIL-E-6051D《系統電磁兼容性要求》(已等效成國軍標 GJB1389《系統電磁兼容性要求》),又如美軍標 MIL-STD-1541A《對航天系統的電磁兼容性要求》等。在這些標準中給出了一些應該遵從的原則,但如何將這些原則用于工程,還需要一個實踐的過程。2 電磁兼容現場測試分析及測試方法研究
隨著電子信息技術的飛速發展,各種電子設備間的電磁兼容問題也日益突出,為了掌握和高這些電子設備的電磁兼容性,最直接的方法就是對它們進行電磁兼容測試。現場系統電磁兼容測試作為最能反映系統真實任務執行能力的電磁兼容測試起著非常重要的作用。本章從標準測試和現場測試的區別、微弱信號測試關鍵技術和近場抗飽和測試技術等方面分析了現場測試的特點和測試方法。2.1 標準測試
在電磁兼容測試中,場地對測試結果的影響非常明顯。主要原因是場地的差異,即空間直射波與地面反射波的反射影響和接收點不同,造成相互疊加的場強不一致。早期的 CISPR 標準要求電磁兼容測試應該在開闊測試場地(OATS)中進行。開闊試驗場的基本結構應是周圍空曠,無反射物體,地面為平坦而導電率均勻的金屬接地表面。場地按橢圓形設計,場地長度不小于橢圓焦點之間距離的 2倍,寬度不小于橢圓焦點之間距離的 1.73 倍,具體尺寸的大小一般視測試頻率下限的波長而定。實際電磁輻射干擾測試時,EUT 和接收天線分別置于橢圓場地的兩個焦點位置。考慮到開闊試驗場及屏蔽暗室的建造成本和環境的限值,國內外電磁兼容標準將 EUT 到接收天線的距離定為 3m 和 10m,俗稱 3m 法和 10m 法。如要滿足 3m 法測量,場地長度不小于 6m 距離,寬度不小于 5.2m 距離;如要滿足 10m 法測量,場地長度不小于 20m 距離,寬度不小于 17.3m 距離。
標準 RE102 測試示意圖
2.2 現場測試
標準測試在針對部件級或者設備級的電磁兼容測試方面具有無可比擬的優勢,但是在反映任務系統的系統性能方面卻有一定的局限性。主要體現在: 1)標準實驗室的測試是針對單個設備的測試,無法體現上裝環境下成組設備工作時的成組特性。
2)標準實驗室內的測試由于空間及連接限制,無法體現設備的實際工作模式。3)標準實驗室中電源采用 LISN 供電,LISN 的阻抗為 50 歐姆標準阻抗,能夠與設備實現較好的阻抗匹配,無法體現上裝環境下設備實際的阻抗特性。2.3近場抗飽和測試技術
在電磁兼容現場測試中,經常會遇到大信號的測量,如針對車載通信系統的無線設備輻射發射特性測試。由于電臺的發射功率較大,測試距離近,很容易導致頻譜儀出現飽和和失真問題,導致測試結果出現誤差。這主要由于以下兩個原因:(1)測量信號超過頻譜儀的測試動態范圍,而導致測試結果的不正確,出現頻譜儀飽和現象;(2)測量信號功率位于頻譜儀非線性失真區,使測試結果出現非線性失真的現象。所以需要研究近場抗飽和測試技術,來減小飽和帶來的誤差。在測試過程中可以使用衰減器防止接收到大功率的信號使得頻譜儀混頻器飽和,給測試帶來誤差。但是使用了寬帶的衰減器引起的問題是:衰減器不僅將大信號進行了衰減,小信號也被衰減以至于小信號可能被噪聲淹沒。為了解決該問題,在測試過程中使用了中心頻率可調的帶通或帶阻濾波器,該濾波器的功能就是實現 EMC 接收機的前端預選器的功能,使用該濾波器可以防止大功率信號進入頻譜儀,只要在測試過程中將帶阻濾波器的中心頻率調節到電臺的發射頻率即可。2.4 濾波器補償技術
補償的過程首先通過無線設備發射特性信息庫讀取電臺發射特性的測試數據、測試的頻率和使用濾波器的情況,然后在濾波器插入損耗庫中查找該頻率使用的濾波器的插入損耗數據,通過差值算法將濾波器特性數據的數據點和發射特性的數據點相同,然后在經過計算獲得最終的結果。測試中的接收端使用了帶通/帶阻濾波器和寬帶衰減器。在進行寬帶測試時使用寬帶衰減器;在進行電臺基波特性測試時使用帶阻濾波器;在進行電臺諧波測試時使用帶通濾波器。
抗飽和輻射發射特性測試示意圖 干擾源辨識方案設計
頻譜測試曲線在電磁兼容故障診斷中發揮著舉足輕重的地位。在部件級或者設備級的電磁兼容分析中,經驗豐富的電磁兼容工程師往往通過不同頻段的 EUT發射特性曲線判斷 EUT 出現電磁兼容問題的根源,然后制定抑制方案,最后解決電磁兼容問題。在電子通信系統中,電磁兼容問題日益突出,對系統級的干擾源定位技術的需求日益迫切。3.1 需求分析
隨著現代通信電子科學技術的高速發展和廣泛應用,電子通信系統正在向集成化、多任務化、微型化發展。各種各樣的電子設備或系統以及其他的電子、電氣設備越來越密集導致的系統內電磁環境及其復雜,高密度、寬頻譜的電磁信號充滿整個空間,使電子通信系統受到了嚴重的考驗,電磁兼容性問題日益突出。以車載通信系統舉例來說,由于車輛的車內、車頂空間都非常狹小,在這樣狹小的空間內安裝了多部不同頻帶及功能的電臺、計算機、數字化車通等各種數字化設備,存在著多種導致系統電磁兼容(EMC)性能惡化的因素,如:有限頻帶內密集的工作頻率,單位體積內較大的電磁功率密度,高低電平器件或裝置的混合使用,高靈敏度設備的使用以及設備通過供電系統、接地系統、互連系統以及空間輻射產生電磁干擾耦合等。而若干類型的單車系統又可組成一個龐大的、復雜的電子系統,構成靜止狀態的有線與無線通信局域網、運動狀態的無線通信互連局域網,存在多類通訊天線,會引起頻域和時域的混合干擾,這將使電磁環境已經比較惡劣的有限空間內的電磁頻譜更加擁擠、電磁環境更加惡化,致使系統電磁兼容問題更加復雜。
隨著計算機技術的發展,越來越多的工作已經能夠使用計算機語言實現。計算機軟件實現的優勢在于能夠有效的控制因人員差異造成的評價誤差、運行速度快且穩定等優點。現代智能模式識別技術在近些年得到了快速的發展,在各個領域都有很好的應用。在電磁兼容領域,目前自動化測試已經較為普及,但是在測試中得到大量的測試數據卻難以得到很好的利用,靠人眼分辨測試數據效率低下,迫切的需要自動化的數據處理技術。正是在這種需求背景下,本文借鑒模式識別理論提出了適合于計算機實現的干擾源自動辨識技術。3.2 干擾源辨識方案設計 3.2.1 模式識別的方法
模式識別(pattern recognition)是當前科學發展中的一門前沿科學,也是一門典型的交叉科學,它的發展與人工智能、計算機科學、傳感技術、信息論、語言學等科學的研究水平息息相關,相輔相成。所謂模式識別是根據研究對象的特征或屬性,利用計算機為中心的機器系統運用一定的分析算法認定它的類別,系統應使分類識別的結果盡可能地符合真實。模式識別涉及的理論與技術相當廣泛,涉及多種數學理論、神經心理學、計算機科學、信號處理等等。從本質上講,模式識別實際上是數據處理及信息分析,而從功能上講,可以認為它是人工智能的一個分支。針對不同的對象和目的,可以用不同的模式識別理論方法。目前主流的技術是:統計模式識別、句法模式識別、模糊數學方法、神經網絡方法、人工智能方法。
3.2.2 干擾源辨識方案
大型電子通信系統有許多的電子設備組成,這些設備在功能上的互補使得系統能夠很好的完成設計任務。但是這些設備在完成任務的時候又會互相產生電磁干擾,嚴重的甚至影響到系統完成任務的能力。電磁兼容測試能夠發現問題,找尋相關的干擾源。本文立足于以往的測試數據,以模式識別過程為基本導向,研究了一套適用于電磁兼容測試的干擾源辨別方案。基本思想是先建立關鍵設備的模板數據庫,然后將受擾設備端的測試結果作為待辨識數據,將其通過干擾源辨識算法和模板庫中的數據進行比較,最后辨識出干擾源。
干擾源辨識算法 干擾源辨識關鍵技術分析 4.1 數據預處理技術
在使用頻譜儀進行現場測試的過程中,儀器會采集到三種信號的數據:有用信號、儀器內部噪聲和外界環境噪聲。數據預處理技術的作用正是用于消除噪聲的影響。從信號處理的角度看,小波消噪是一個信號濾波的問題,盡管在很大程度上小波消噪可視為低通濾波,但是由于消噪后,還能成功的保留信號的特征,所以在這一點上,小波消噪方法又優于傳統的低通濾波器。由此可見,小波消噪實際上是特征提取和低通濾波的綜合。4.2 特征提取
在電磁兼容測試中,峰值信號是最為關心的信號。峰值信號所在頻率和相應幅值是發現問題、解決問題的關鍵信息。峰值的判別可以根據測試數據的單調性確定。對測試點左右兩側進行單調性判斷,如果該測試點的左側為單調遞增并且右側為單調遞減,則認定其為峰值點,否則不是峰值點。但是由實際的測試曲線可知,環境信號的測試結果中大部分都不是有用信號,而是頻譜儀的底部噪聲。頻譜儀底噪是在一定范圍內波動的隨機數,若按單調性的方法進行峰值提取,必然會提取出很多的底噪數據,達不到提取干擾信號峰值的效果。所以在進行峰值提取前需要進行噪聲閾值判斷,對于大于該閾值的信號才進行峰值提取。
峰值提取流程圖
4.3 相似度評價
現場電磁兼容的測試能夠通過自動測試軟件得到頻譜特性曲線。干擾源的辨識即是對頻譜特性曲線的辨識。頻譜特性曲線具有整體特性和局部特性,上節的特征提取技術已經對特征進行了提取,本節提出相應的相似度評價指標以滿足干擾源辨識的判別需求。
衡量相似度前,首先需要對電磁兼容測試曲線的特性進行分析。電磁兼容測試曲線辨識最重要特征在于相同頻點或頻段的趨勢一致,而曲線幅值可以具有一定的差異。這是由于測試本身的可重復性差決定的,例如受試設備工作條件的微弱改變,測試距離的微弱改變,外界環境的變化等都可能導致測試的幅值發生一定的變化。如果采用單一的評價指標來衡量電磁兼容測試中的測試曲線的特性,則具有相當的局限性。這是因為無論是采用相關系數、相似離度、包絡特征或峰值特征等單一特性都不能完整表現測試曲線的特性。所以需要一個綜合的相似指標對干擾源辨識結果進行評價。5 小結
本文主要研究了電磁兼容現場測試中的干擾源辨識技術。本文著眼于實際的工程應用,首先對電磁兼容現場測試的背景及國內外在該項技術上的發展現狀和趨勢進行了研究,指出了進行電磁兼容現場測試的干擾源辨識的重要性和必性。在此基礎上對電磁兼容現場測試的測試方法進行了研究,重點和電磁兼容標準測試作比較,闡述了現場測試相對于標準測試的不同點和復雜性。針對現場測試的特點,提出了微弱信號測試和現場抗飽和測試的測試方法。在對干擾源辨識的需求分析后,借鑒模式識別理論設計了一套干擾源自動辨識的辨識方案并提出干擾源辨識算法。對于干擾源模板的建立,本文給出了詳細的測試方法和約束條件。在構建干擾源自動辨識系統的過程中突破了以下關鍵技術:數據預處理技術、特征提取技術和相似度評價技術。另外本文還存在一些問題有待進一步完善和研究:對干擾源模板的建立,還需要大量測試結果的驗證并根據測試結果對模板的建立方法進行改善和優化;干擾源辨識技術中的特征提取方法還可做進一步研究,以找到其它合適的特征;對于綜合評價指標的權重選擇需要通過大量辨識結果的驗證和優化等。參考文獻
[1] 錢振宇.3C認證中的電磁兼容測試和對策[M].北京:電子工業出版社,2004 [2] 劉培國,侯冬云.電磁兼容基礎[M].北京:電子工業出版社,2008 [3] Jin Tian,Yang Qiu and Liuyu Qian.Research on Algorithm of Digital FilteringBased on Video Information Security[C].the Fifth International Conference on Information Assurance and Security,IEEE Computer society,2009(8),593-596 [4] 陳淑鳳,馬曉慶等.電磁兼容試驗技術[M].北京:北京郵電大學出版社,2001 [5] 劉易勇,郭恩全等.電磁干擾預測試系統研制[J].測控技術,2003 [6] 程君佳:虛擬暗室測試平臺總體設計與算法研究[D].成都:電子科大學位論文,2007 [7] EMCSCANNER預診斷系統技術文檔.加拿大:艾姆克公司,2006 [8] 盛驟,謝式千,潘承毅.概率論與數理統計[M].浙江大學:高等教育出版社,2004 [9] Craig F.Derewiany.Methods of performing computer controlled EMI compliance tests[J].New London IEEE,2010 [10] Clayton R.Paul.Introduction to electromagnetic compatibility[M].New York:Wiley,1992 [11] 周輝.齒輪故障的特征提取與模式識別技術研究[D],2012 [12] 劉鵬程,邱揚.電磁兼容原理及技術[M].北京:高等教育出版社,1993
第二篇:現代檢測技術論文
學習報告
經過這學期現代檢測技術的學習,讓我對檢測技術有了一個全新的認識和理解。現代檢測技術的快速發展,讓我們在軍事、航天、醫學、工業生產、食品等很多領域也取得了巨大的進步。這讓我以前對現代檢測技術淺薄的認識發生很 大的變化,讓我對現代檢測技術的發展充滿信心!
檢測是指在各類生產、科研、試驗及服務等各個領域,為及時獲得被測、被控對象的有關信息而實時或非實時地對一些參量進行定性檢查和定量測量。對工業生產而言,采用各種先進的檢測技術對生產全過程進行檢查、監測,對確保安全生產,保證產品質量,提高產品合格率,降低能源和原材料消耗,提高企業的勞動生產率和經濟效益是必不可少的。在軍工生產和新型武器、裝備研制過程中更離不開現代檢測技術,對檢測的需求更多,要求更高。在醫療領域,用各種先進的醫療檢測儀器可大大提高疾病的檢查、診斷速度和準確性,有利于爭取時間,對癥治療,增加患者戰勝疾病的機會。而食品檢測技術的發展,讓地溝油、三聚氰胺等不健康物質無所遁形。
中國有句古話:“工欲善其事,必先利其器”,用這句話來說明檢測技術在我國現代化建設中的重要性是非常恰當的,今天我們所進行的“事”就是現代化建設大業,而“器”則是先進的檢測手段。科學技術的進步、制造業和服務業的發展軍隊現代化建設的大量需求,促進了檢測技術的發展,而先進的檢測手段也可提高制造業、服務業的自動化、信息化水平和勞動生產率,促進科學研究和國防建設的進步,提高人民的生活水平。
從以上幾點我們可以看出,現代檢測技術具有非常好的發展前景。對個人來說,檢測技術的發展會給我們提供非常好的就業機會和發展前景,尤其對我們測控技術與儀器這個專業的作用更大。對社會來說,檢測技術促進了人類的發展和進步。
現代檢測技術的發展幾乎是與計算機技術同步、協調向前發展的,計算機技術是檢測技術的核心,若脫離開計算機、軟件、網絡、通信發展的軌道,檢測技術產業就不可能壯大。檢測技術的發展主要包括傳感器的發展、檢測手段的發展、測量信號處理的發展。第一、傳感器的發展:傳感器的作用主要是獲取信息,是信息技術的源頭。主要發展方向是面向智能化傳感器、多傳感器、多功能化和高精度化及傳感器的融合。第二、檢測手段的發展:主要面向硬件功能軟件化、集成模塊化、參數整定與修改實時化、硬件平臺通用化。第三、測量信號處理的發展:主要是面向信號處理芯片方向。這些都與我們專業息息相關,所以我們更要學好現代檢測技術。
當然,現代檢測技術也并不完美,它也有自己的缺點和局限性。在很多領域檢測的誤差還比較大,靈敏度和精確度還需要提高!同時,一些落后的、對人類健康有害的檢測技術應該被更加智能化、人性化的檢測技術所取代。
在以后的學習的生活中,現代檢測技術對未來各行各業發展具有有很大作用。對我們以后的發展尤為重要,讓我以后對檢測技術更加的重視。也希望以后能從事這方面的工作并在這個行業做出自己的貢獻。
第三篇:現代檢測技術總結報告
現代檢測技術總結報告
檢測最基本的作用是延伸、擴展、補充或代替人的視覺、聽覺、觸覺等器官的功能。檢測技術服務的領域非常廣泛,在現代化工業生產過程、國防軍事、環境保護等方面都有極大的應用。可以說只要是自動化的就有檢測技術。檢測技術是自動化和信息化的基礎與前提。
從這門課程學習內容來看,包括傳感器技術、誤差理論、測量技術、抗干擾技術還有電量轉換的技術。在現代檢測儀器和檢測系統的種類、型號、性能千差萬別,但作用都是用于各種物理或化學成分等參量的檢測。傳感器是檢測系統的起點。傳感器的作用是感受指定被測參量的變化并按照一定的規律轉換成一個相應的便于傳遞的輸出信號。一般都轉換成電信號,這樣信號容易傳輸。
在檢測系統中,測量肯定存在誤差,所以誤差理論的學習必不可少。正確認識誤差的性質,分析誤差的產生原因,以減少甚至消除誤差。正確的處理測量到的數據,合理的計算所得結果,以便在一定條件下得到更接近與真值的數據。這樣對于監測的量可以的到更精確的值,對于控制系統,可以更好地控制被控對象。
不同的被測對象有不同的測量方法,就算是同一種對象在不同的情況下也有不同的方法。測量技術的學習也不可少。根據被測對象的特性可以研究出不同的測量方法,以便滿足不同的實際需求。信號在傳輸的時候,難免會有各種干擾,抗干擾的技術的學習也很重要。
隨著科學技術的不斷發展,現代檢測系統越來越數字化、自動化、智能化。特別是在信號處理這一塊,通常以各種單片機、微處理器甚至是工業控制計算機為核心來構建。所以熟悉一些芯片、單片機或者微處理器的功能,并學會使用,就變得很重要了。
第四篇:現代檢測技術作業概要
現代檢測技術
學
院:
專
業:
姓
名:
學
號:
指導教師:
2014年12月30日 一 現代檢測技術的技術特點和系統的構成
1、現代檢測技術特點
(1)測量過程軟件控制
智能檢測系統可以是新建自穩零放大,自動極性判斷,自動量程切換,自動報警,過載保護,非線性補償,多功能測試和自動巡回檢測。由于有了計算機,上述過程可采用軟件控制。測量過程的軟件控制可以簡化系統的硬件結構,縮小體積,降低功耗,提高檢測系統的可靠性和自動化程度。(2)智能化數據處理
智能化數據處理是智能檢測系統最突出的特點。計算機可以方便、快捷地實現各種算法。因此,智能檢測系統可用軟件對測量結果進行及時、在線處理,提高測量精度。另一方面,智能檢測系統可以對測量結果再加工,獲得并提高更多更可靠的高質量信息。
智能檢測系統中的計算機可以方便地用軟件實現線性化處理、算術平均值處理、數據融合計算、快速的傅里葉變換(FFT)、相關分析等各種信息處理功能。(3)高度的靈活性
智能檢測系統已以軟件工作為核心,生產、修改、復制都比較容易,功能和性能指標更加方便。而傳統的硬件檢測系統,生產工藝復雜,參數分散性較大,每次更改都涉及到元器件和儀器結構的改變。(4)實現多參數檢測與信息融合
智能檢測系統設備多個測量通道,可以有計算對多路測量通進行檢測。在進行多參數檢測的基礎上,依據各路信息的相關特性,可以實現智能檢測系統的多傳感器信息融合,從而提高檢測系統的準確性、可靠性和容錯性。(5)測量速度快
高速測量時智能檢測系統追求的目標之一。所謂高速檢測,是指從檢測開始,經過信號放大、整流濾波、非線性補償、A/D轉換、數據處理和結果輸出的全過程所需要的時間。目前,高速A/D轉換的采樣速度在2000MHz以上,32位PC機的時鐘頻率也在500MHz以上。隨著電子技術的迅猛發展,高速顯示、高速打印、高速繪圖設備也日臻完善。這些都為智能檢測系統的快速檢測提供了條件。(6)智能化功能強
以計算機為信息處理核心的智能檢測系統具有較強的智能功能,可以滿足各類用戶的需要。典型的智能功能有:
1)測量選擇功能
智能檢測系統能夠實現量程轉換、信號通道和采樣方式的自動選擇,使系統具有對被測量對象的最優化跟蹤檢測能力。
2)故障診斷功能
智能檢測系統結構復雜,功能較多,系統本身的故障診斷尤為重要,系統可以根據檢測通道的特性和計算機本身的自診斷能力,檢查個單元故障,顯示故障部位,故障原因和應采取的故障排除方法。
3)其他智能功能
智能檢測系統還可以具備人機對話、自校準、打印、繪圖、通信、專家知識查詢和控制輸出等智能功能。
2、系統的構成 現代檢測技術的一個明顯特點就是傳感器采用電參量、電能量或數字傳感器以及微型集成傳感器,信號處理采用集成電路和微處理器。
盡管現代檢測儀器和檢測系統的種類、型號繁多,用途、性能千差萬別,但它們的作用都是用于各種物理或化學成分等參量的檢測,其組成單元按信號傳遞的流程來區分:通常由各種傳感器(變送器)將非電被測物理或化學成分參量轉換成電信號,然后經信號調理(信號轉換、信號檢波、信號濾波、信號放大等)、數據采集、信號處理后顯示并輸出(通常有4~20 mA、經D/A轉換和放大后的模擬電壓、開關量、脈寬調制PWM、串行數字通信和并行數字輸出等),由以上設備以及系統所需的交、直流穩壓電源和必要的輸入設備(如撥動開關、按鈕、數字撥碼盤、數字鍵盤等)便組成了一個完整的檢測(儀器)系統,其各部分關系如圖0-1所示。
(1)傳感器
傳感器是檢測系統與被測對象直接發生聯系的器件或裝置。它的作用是感受指定被測參量的變化并按照一定規律將其轉換成一個相應的便于傳遞的輸出信號。傳感器通常由敏感元件和轉換部分組成;其中,敏感元件為傳感器直接感受被測參量變化的部分,轉換部分的作用通常是將敏感元件的輸出轉換為便于傳輸和后續環節處理的電信號。
圖0-1 現代檢測系統一般組成框圖
例如,半導體應變片式傳感器能把被測對象受力后的微小變形感受出來,通過一定的橋路轉換成相應的電壓信號輸出。這樣,通過測量傳感器輸出電壓便可知道被測對象的受力情況。這里應該說明,并不是所有的傳感器均可清楚、明晰地區分敏感和轉換兩部分;有的傳感器已將這兩部分合二為一,也有的僅有敏感元件(如熱電阻、熱電偶)而無轉換部分,但人們仍習慣稱其為傳感器(如人們習慣稱熱電阻、熱電偶為溫度傳感器)。
傳感器種類繁多,其分類方法也較多。主要有按被測參量分類法(如溫度傳感器、濕度傳感器、位移傳感器、加速度傳感器、荷重傳感器等),按傳感器轉換機理(工作原理)分類法(如電阻式、電容式、電感式、壓電式、超聲波式、霍爾式等)和按輸出信號分類法(分為模擬式傳感器和數字式傳感器兩大類)等。采用按被測參量分類法有利于人們按照目標對象的檢測要求選用傳感器,而采用按傳感器轉換機理分類法有利于對傳感器做研究和試驗。
傳感器作為檢測系統的信號源,其性能的好壞將直接影響檢測系統的精度和其他指標,是檢測系統中十分重要的環節。本書主要介紹工程上涉及面較廣、應用較多、需求量大的各種物理量、化學成分量常用的先進的檢測技術與實現方法以及如何選用合適的傳感器,對傳感器要求了解其工作原理、應用特點,而對如何提高現有各種傳感器本身的技術性能,以及設計開發新的傳感器則不作深入研究。通常檢測儀器、檢測系統設計師對傳感器有如下要求: a.精確性
傳感器的輸出信號必須準確地反應其輸入量,即被測量的變化。因此,傳感器的輸出與輸入關系必須是嚴格的單值函數關系,最好是線性關系; b.穩定性
傳感器的輸入、輸出的單值函數關系最好不隨時間和溫度而變化,受外界其他因素的干擾影響亦應很小,重復性要好; c.靈敏度
即要求被測參量較小的變化就可使傳感器獲得較大的輸出信號; d.其他
如耐腐蝕性好、低能耗、輸出阻抗小和售價相對較低等。各種傳感器輸出信號的形式也不盡相同,通常有電荷、電壓、電流、頻率等,在設計檢測系統及選擇傳感器時對此也應給予重視。
(2)信號調理
信號調理在檢測系統中的作用是對傳感器輸出的微弱信號進行檢波、轉換、濾波、放大等,以方便檢測系統后續環節處理或顯示。例如,工程上常見的熱電阻型數字溫度檢測(控制)儀表,其傳感器Ptl00的輸出信號為熱電阻值的變化。為便于處理,通常需設計一個四臂電橋,把隨被測溫度變化的熱電阻阻值轉換成電壓信號;由于信號中往往夾雜著50 Hz工頻等噪聲電壓,故其信號調理電路通常包括濾波、放大、線性化等環節。需要遠傳的話,通常采取D/A或V/I電路將獲得的電壓信號轉換成標準的4~20 mA電流信號后再進行遠距離傳送。檢測系統種類繁多,復雜程度差異很大,信號的形式也多種多樣,各系統的精度、性能指標要求各不相同,它們所配置的信號調理電路的多寡也不盡一致。對信號調理電路的一般要求是:
1)能準確轉換、穩定放大、可靠地傳輸信號; 2)信噪比高,抗干擾性能要好。
(3)數據采集
數據采集(系統)在檢測系統中的作用是對信號調理后的連續模擬信號進行離散化并轉換成與模擬信號電壓幅度相對應的一系列數值信息,同時以一定的方式把這些轉換數據及時傳遞給微處理器或依次自動存儲。數據采集系統通常以各類模/數(A/D)轉換器為核心,輔以模擬多路開關、采樣/保持器、輸入緩沖器、輸出鎖存器等。數據采集系統的主要性能指標是: 1)輸入模擬電壓信號范圍,單位 V; 2)轉換速度(率),單位 次/s;
3)分辨率,通常以模擬信號輸入為滿度時的轉換值的倒數來表征;
4)轉換誤差,通常指實際轉換數值與理想A/D轉換器理論轉換值之差。
(4)信號處理
信號處理模塊是現代檢測儀表、檢測系統進行數據處理和各種控制的中樞環節,其作用和人的大腦相類似。現代檢測儀表、檢測系統中的信號處理模塊通常以各種型號的單片機、微處理器為核心來構建,對高頻信號和復雜信號的處理有時需增加數據傳輸和運算速度快、處理精度高的專用高速數據處理器(DSP)或直接采用工業控制計算機。
當然,由于檢測儀表、檢測系統種類和型號繁多,被測參量不同,檢測對象和應用場合各異,用戶對各檢測儀表的測量范圍、測量精度、功能的要求差別也很大。對檢測儀表、檢測系統的信號處理環節來說,只要能滿足用戶對信號處理的要求,則是愈簡單愈可靠,成本愈低愈好。對一些容易實現且傳感器輸出信號大,用戶對檢測精度要求不高,只要求被測量不要超過某一上限值,一旦越限,送出聲(喇叭或蜂鳴器)、光(指示燈)信號即可的檢測儀表的信號處理模塊,往往只需設計一個可靠的比較電路,該電路的一端為被測信號,另一端為表示上限值的固定電平;當被測信號小于設定的固定電平值,比較器輸出為低電平,聲、光報警器不動作,一旦被測信號電平大于固定電平值,比較器翻轉,經功率放大驅動揚聲器、指示燈動作。這種簡單系統的信號處理就很簡單,只要一片集成比較器芯片和幾個分立元件即可。但對于熱處理和爐溫檢測、控制系統來說,其信號處理電路將大大復雜化。因為對熱處理爐爐溫測控系統,用戶不僅要求系統高精度地實時測量爐溫,而且需要系統根據熱處理工件的熱處理工藝制定的時間-溫度曲線進行實時控制(調節)。如果采用一般通用的中小規模集成電路來構建這一類較復雜的檢測系統的信號處理模塊,則不僅構建技術難度很大,而且所設計的信號處理模塊必然結構復雜,調試困難,性能和可靠性差。
由于微處理器、單片機和大規模集成電路技術的迅速發展和這類芯片價格不斷降低,對稍復雜一點的檢測系統(儀器)其信號處理環節都應考慮選用合適型號的單片機、微處理器、DSP或新近開始推廣的嵌入式模塊為核心來設計和構建(或者由工控機兼任),從而使所設計的檢測系統獲得更高的性能價格比。
(5)信號顯示
通常人們都希望及時知道被測參量的瞬時值、累積值或其隨時間的變化情況,因此,各類檢測儀表和檢測系統在信號處理器計算出被測參量的當前值后通常均需送至各自的顯示器作實時顯示。顯示器是檢測系統與人聯系的主要環節之一,顯示器一般可分為指示式、數字式和屏幕式三種。
1)指示式顯示又稱模擬式顯示。被測參量數值大小由光指示器或指針在標尺上的相對位置來表示。用有形的指針位移模擬無形的被測量是較方便、直觀的。指示式儀表有動圈式和動磁式等多種形式,但均有結構簡單、價格低廉、顯示直觀的特點,在檢測精度要求不高的單參量測量顯示場合應用較多。指針式儀表存在指針驅動誤差和標尺刻度誤差,這種儀表的讀數精度和儀器的靈敏度等受標尺最小分度的限制,如果操作者讀儀表示值時,站位不當就會引入主觀讀數誤差。
2)數字式顯示以數字形式直接顯示出被測參量數值的大小。在正常情況下,數字式顯示徹底消除了顯示驅動誤差,能有效地克服讀數的主觀誤差,(相對指示式儀表)可提高顯示和讀數的精度,還能方便地與計算機連接并進行數據傳輸。因此,各類檢測儀表和檢測系統正越來越多地采用數字式顯示方式。
3)屏幕顯示實際上是一種類似電視顯示方法,具有形象性和易于讀數的優點,又能同時在同一屏幕上顯示一個被測量或多個被測量的(大量數據式)變化曲線,有利于對它們進行比較、分析。屏幕顯示器一般體積較大,價格與普通指示式顯示和數字式顯示相比要高得多,其顯示通常需由計算機控制,對環境溫度、濕度等指標要求較高,在儀表控制室、監控中心等環境條件較好的場合使用較多。
(6)輸出 在許多情況下,檢測儀表和檢測系統在信號處理器計算出被測參量的瞬時值后除送顯示器進行實時顯示外,通常還需把測量值及時傳送給控制計算機、可編程控制器(PLC)或其他執行器、打印機、記錄儀等,從而構成閉環控制系統或實現打印(記錄)輸出。檢測儀表和檢測系統的信號輸出通常有4~20 mA的電流信號,經D/A轉換和放大后的模擬電壓、開關量、脈寬調制PWM、串行數字通信和并行數字輸出等多種形式,需根據測控系統的具體要求確定。
(7)設備
輸入設備是操作人員和檢測儀表或檢測系統聯系的另一主要環節,用于輸入設置參數,下達有關命令等。最常用的輸入設備是各種鍵盤、撥碼盤、條碼閱讀器等。近年來,隨著工業自動化、辦公自動化和信息化程度的不斷提高,通過網絡或各種通信總線利用其他計算機或數字化智能終端,實現遠程信息和數據輸入的方式愈來愈普遍。最簡單的輸入設備是各種開關、按鈕,模擬量的輸入、設置,往往借助電位器進行。
(8)穩壓電源
一個檢測儀表或檢測系統往往既有模擬電路部分,又有數字電路部分,通常需要多組幅值大小要求各異但穩定的電源。這類電源在檢測系統使用現場一般無法直接提供,通常只能提供交流220 V工頻電源或+24 V直流電源。檢測系統的設計者需要根據使用現場的供電電源情況及檢測系統內部電路的實際需要,統一設計各組穩壓電源,給系統各部分電路和器件分別提供它們所需的穩定電源。
最后,值得一提的是,以上七個部分不是所有的檢測系統(儀表)都具備的,而且對有些簡單的檢測系統,其各環節之間的界線也不是十分清楚,需根據具體情況進行分析。
另外,在進行檢測系統設計時,對于把以上各環節具體相連的傳輸通道,也應給予足夠的重視。傳輸通道的作用是聯系儀表的各個環節,給各環節的輸入、輸出信號提供通路。它可以是導線、管路(如光導纖維)以及信號所通過的空間等。信號傳輸通道比較簡單,易被人們忽視,如果不按規定的要求布置及選擇,則易造成信號的損失、失真或引入干擾等,影響檢測系統的精度。二 簡述現代檢測技術中數據處理內容和處理的方法
1、數據處理內容
主要是測量誤差的分析。
而測量誤差有可以分為隨機誤差、系統誤差、粗大誤差。在同一測量條件下,多次重復測量同一量值時,測量誤差的大小和正負符號以不可預知的方式變化,這種誤差叫做隨機誤差,又稱偶然誤差。隨機誤差是由很多復雜因素的微小變化的總和所引起的,因此分析比較困難。(1)系統誤差
當在一定的相同條件下,對同一物理量進行多次測量時,誤差的大小和正負總保持不變或者誤差按一定的規律變化,這種誤差叫做系統誤差。引起系統誤差的因素主要有:材料、零部件及工藝缺陷;環境溫度、濕度、壓力的變化以及其它外界干擾等。可以利用修正值來減小或消除系統誤差(2)粗大誤差
在相同的條件下,多次重復測量同一量時,明顯地歪曲了測量結果的誤差,稱為粗大誤差,簡稱粗差。粗差是由于疏忽大意,操作不當,或測量條件的超常變化而引起的。含有粗大誤差的測量值稱為壞值,所有的壞值都應去除,但不是主觀或隨便去除,必須科學地舍棄。正確的實驗結果不應該包含有粗大誤差。
2、數據處理方法
(1)有效數字和數據舍入規則
1)有效數字
測量結果和數據處理中,確保幾位有效數字是很重要的問題,測量結果既然包含誤差,說明測量值實際就是一個近似值,在記錄測量結果或者是數據運算時取多少有效數字,應該以測量能達到的準確度為依據,如果認為測量結果中小數點后的位數越多,數據就越準確這是片面的。
2)數據舍入規則
對于位數很多的的近似數,當有效位數確定以后,其后面多余的數組應舍去,而保留的有效數字最末以為數字應按下面的舍入規則進行湊整。
① 若舍去部分的數值小于保留部分末位的半個單元,則末位不變。②若舍去部分的數值大于保留部分末位的半個單元,則末位加1。
③若舍去部分的數值等于保留部分末位的半個單元,則末位湊成偶數,即末位為偶數時不變,末位為奇數時加1。
(2)數據運算規則
在近似運算中,為保證最后結果又盡可能公安的準確度,所有參與運算的數據,在有效數字后可多保留一位數組作為參考數字,或稱為安全數字。
1)在加減運算時,各運算數據以小數位數最少的數據位數為準,其余各數據可多取一位小數,單最后結果應與小數位數最少的數據小數位相同。
2)在乘除運算時,個運算數據應以有效位數最少的數據為準,其余各數據要比有效位數最少的數據位數多取一位數字,而最后結果應與有效位數最少的數據位數相同。3)在平方或開平方運算時,平方相當于乘法運算,開方是平方的逆運算,故可以按照乘除法運算處理。
4)在對數運算時,n位有效數字的數據應該是用n位對數表,或用n+1位對數表,以免損失精度。)三角函數運算中,所取函數值得位數應隨角度誤差的減小而增多。
(3)最小二乘法
最小二乘算法的基本原理是將輸入數據與預先設計好的含有非周期分量和某些諧波分量的函數按最小二乘法原理進行擬合,從中求出輸入信號中所包含的基頻分量和各種諧波分量的幅值和相角。為便于下面的分析和計算,假設系統故障的暫態電流包含有衰減性直流分量和小于6次諧波的各種整數次諧波分量,則可給定電流表達式: 在我們研究兩個變量(x, y)之間的相互關系時,通常可以得到一系列成對的數據(x1, y1、x2, y2...xm , ym);將這些數據描繪在x-y直角坐標系中(如圖1), 若發現這些點在一條直線附近,可以令這條直線方程如(式1-1)。
Y計= a0 + a1 X(式1-1)其中:a0、a1 是任意實數
為建立這直線方程就要確定a0和a1,應用《最小二乘法原理》,將實測值Yi與利用(式1-1)計算值(Y計=a0+a1X)的離差(Yi-Y計)的平方和〔∑(YiY計)2(式1-2)
把(式1-1)代入(式1-2)中得:
φ = ∑(Yia1 Xi)2(式1-3)
當∑(Yi-Y計)平方最小時,可用函數 φ 對a0、a1求偏導數,令這兩個偏導數等于零。
亦即:
m a0 +(∑Xi)a1 = ∑Yi(式1-6)
(∑Xi)a0 +(∑Xi2)a1 = ∑(Xi, Yi)(式1-7)
得到的兩個關于a0、a1為未知數的兩個方程組,解這兩個方程組得出:
a0 =(∑Yi)/ m(∑Xi ∑Yi)] / [n∑Xi2-(∑Xi)2)](式1-9)這時把a0、a1代入(式1-1)中, 此時的(式1-1)就是我們回歸的元線性方程即:數學模型。
反映了除y與x存在直線關系以外的一切因素(包括x對y的非線性影響及其他一切未加控制的隨機因素)所引起的y的變異程度,稱為離回歸平方和或剩余平方和,所以要求它最小,即其它影響因素最小。
反映了y的總變異程度,稱為y的總變異平方和。
最小二乘法是處理各種觀測數據進行測量平差的一種基本方法。
如果以不同精度多次觀測一個或多個未知量,為了求定各未知量的最可靠值,各觀測量必須加改正數,使其各改正數的平方乘以觀測值的權數的總和為最小。因此稱最小二乘法。
一般線性情況
若含有更多不相關模型變量t1,...,tq,可如組成線性函數的形式
即線性方程組
通常人們將tij記作數據矩陣 A,參數xj記做參數矢量x,觀測值yi記作b,則線性方程組又可寫成:
即 Ax = b 上述方程運用最小二乘法導出為線性平差計算的形式為:
三 簡述信息處理的內容和算法
對信息處理實質就是對信號處理
為了深入了解信號的物理實質,將其進行分類研究是非常必要的。以不同的角度來看待信號,我們可以將信號分為
1.確定性信號與非確定性信號
2.能量信號與功率信號
3.時限信號與頻限信號
4.連續時間信號與離散時間信號
5.物理可實現信號
1.1確定性信號與非確定性信號 a)確定性信號
可以用明確的數學關系式描述的信號稱為確定性信號。它可以進一步分為周期信號、非周期信號與準周期信號等,如下圖所示。
周期信號是經過一定時間可以重復出現的信號,滿足條件:
x(t)= x(t + nT)式中,T——周期,T=2π/ω0;ω0——基頻;n=0,±1, …。
非周期信號是不會重復出現的信號。例如,錘子的敲擊力;承載纜繩斷裂時應力變化;熱電偶插入加熱爐中溫度的變化過程等,這些信號都屬于瞬變非周期信號,并且可用數學關系式描述。例如,下圖是單自由度振動模型在脈沖力作用下的響應。
準周期信號是周期與非周期的邊緣情況,是由有限個周期信號合成的,但各周期信號的頻率相互間不是公倍關系,其合成信號不滿足周期條件,例如 是兩個正弦信號的合成,其頻率比不是有理數,不成諧波關系。
這種信號往往出現于通信、振動系統,應用于機械轉子振動分析,齒輪噪聲分析,語音分析等場合
b)非確定性信號
非確定性信號不能用數學關系式描述,其幅值、相位變化是不可預知的,所描述的物理現象是一種隨機過程。例如,汽車奔馳時所產生的振動;飛機在大氣流中的浮動;樹葉隨風飄蕩;環境噪聲等。
1.1 信號的時域分析
信號時域分析又稱之為波形分析或時域統計分析,它是通過信號的時域波形計算信號的均值、均方值、方差等統計參數。信號的時域分析很簡單,用示波器、萬用表等普通儀器就可以進行分析。1.信號類型確定
信號時域分析(波形分析)的一個重要功能是根據信號的分類和各類信號的特點 確定信號的類型。然后再根據信號類型選用合適的信號分析方法。
2.周期T
對周期信號來說,可以用時域分析來確定信號的周期,也就是計算相鄰的兩個信號波峰的時間差。
3.均值
均值E[x(t)]表示集合平均值或數學期望值.基于隨機過程的特性,可用時間間隔T內的幅值平均值表示,即
4.均方值
信號x(t)的均方值E[x2(t)],或稱為平均功率,其表達式為:
值表達了信號的強度,其正平方根值,又稱為有效值,也是信號的平均能量的一種表達。在工程信號測量中一般儀器的表頭示值顯示的就是信號的均方值。
5.方差
信號x(t)的方差定義為:
稱為均方差或標準差。可以證明,描述了信號的波動量;
描述了信號的靜態量。
方差反映了信號繞均值的波動程度。
1.3 信號的相關分析 1.3.1 相關的概念 相關是指客觀事物變化量之間的相依關系,在統計學中是用相關系數來描述兩個變量x,y之間的相關性的,即:
式中pxy是兩個隨機變量波動量之積的數學期望,稱之為協方差或相關性,表征了x、y之間的關聯程度;、分別為隨機變量x、y的均方差,是隨機變量波動量平方的數學期望。
自然界中的事物變化規律的表現,總有互相關聯的現象,不一定是線形相關,也不一定是完全無關,如:人的身高與體重,吸煙與壽命的關系。
2.4 信號的幅值分析
信號的幅值分析包括信號的幅值概率密度函數和幅值概率分布函數,它反映了幅值信號落在不同強度區域的概率情況。
a)概率密度函數
隨機信號的概率密度函數定義為:
對于各態歷經過程:
b)概率分布函數
概率分布函數是信號幅值小于或等于某值R的概率,其定義為:
概率分布函數又稱之為累積概率,表示了落在某一區間的概率,亦可寫為:
典型信號的概率密度函數和概率分布函數如下圖所示:
1.5 信號的表述
1.5.1 周期信號的表述
一般周期信號可以利用傅里葉級數展開成多個乃至無窮多個不同頻率的諧波信號的線性疊加。傅里葉級數展開式包含三角函數展開式、復指數展開式。
1三角函數展開式
.對于滿足狄里赫勒條件:函數在(-T/2,T/2)區間連續或只有有限個第一類間斷點,且只有有限個極值點的周期信號,均可展開成:
式中常值分量、余弦分量幅值、正弦分量幅值分別為
式中:a0,an,bn為傅里葉系數;T0 為信號的周期,也是信號基波成份的周期;
ω0=2π/T0為信號的基頻, nω0為n次諧頻。由三角函數變換,可將式中的正、余弦同頻項合并
式中:常值分量 A0=a0 各諧波分量的幅值
各諧波分量的初相角
2、復指數展開式 利用歐拉公式
2.6 信號的頻譜分析
信號頻譜分析是采用傅立葉變換將時域信號x(t)變換為頻域信號X(f),從而幫助人們從另一個角度來了解信號的特征。時域信號x(t)的傅氏變換為:
式中X(f)為信號的頻域表示,x(t)為信號的時域表示,f為頻率。傅里葉變換的主要性質
傅里葉變換是信號分析與處理中,時域與頻域之間轉換的基本數學工具。掌握傅里葉變換的主要性質,有助于了解信號在某一域中變化時,在另一域中相應的變化規律,從而使復雜信號的計算分析得以簡化。四 應用實例---天然氣管道腐蝕檢測技術
天然氣管道腐蝕檢測技術 在現有的技術條件下,人們認為鋼質管道傳輸送危險液體和氣體被認為是安全有效的方式,但是隨著時間的推移和管道自身以及周圍環境的變化,管道會出現不可避免的缺陷,這種隨時間的的積累的缺陷很容易導致事故的發生,其表現的形式主要是腐蝕穿孔,鋼制管道腐蝕有內腐蝕和外輸入介質含有的腐蝕性雜質引起管壁均勻減薄等一系列問題。管道外腐蝕是指在外防腐層破壞,陰極保護不完全,被屏蔽情況下放生的。發生后腐蝕速度與土壤腐蝕性,陰極保護度等因相關。防腐層失效的主要原因是土壤環境中含有的化學,物理破壞,運行條件造成的圖層老化,陰極保護副作用造成圖層剝離,以及外界活動破壞的防腐層。
鋼質管道內腐蝕檢測技術
鋼質管道內腐蝕檢測技術是通過裝有無損檢測設備及數據采集、處理和存儲數據系統的智能清理管道器,完成對管體的逐級掃描,達到對缺陷檢測的目的。
(1)漏磁法智能清管器
它是通過檢測器是目前應用歷史較長、技術較為完善的設備,其主要通途在管道穿孔之前確定或掃描因內、外腐蝕引起的壁厚變化情況,同時也能檢測出管壁的凹痕等缺陷。
磁通法檢測器一般由三個模塊組成各模塊之間由聯軸節連接,而其表現形式主要為腐蝕穿如圖l所示:鋼質管道腐蝕有內腐蝕
圖1 漏磁通法檢測器的結構示意圖
第一個模塊為電池模塊,中間為探測漏磁的傳感器模塊,第三個為儀器模塊。漏磁通法檢測的基本原理是建立在鐵磁料的高磁導率這一特性之上的。其檢測的基本原理如圖2所示:
鋼管中因腐蝕而產生缺陷處的磁導率遠小于鋼管的磁導率,鋼管在外加磁場作用下被磁化,當鋼管中無缺陷時,磁力線絕大部分通過鋼管,此時磁力線均勻分布;當鋼管內部有缺陷時,磁力線發生彎曲,并且有一部分磁力線泄漏出鋼管表面,檢測被磁化鋼管表面逸出的漏磁通,就可判斷缺陷是否存在。
漏磁通法適用于檢測中小型管道,可以對各種管壁缺陷進行檢驗,檢測的管壁不能太厚,干擾因素多,空間分辨力低,另外,小而深的管壁缺陷處的漏磁信號要比形狀平滑但很嚴重的缺陷處的信號大得多,所以漏磁檢測數據往往需要經過校驗才能使用。檢測過程中當管道所采用的材料混有雜質時,還會出現虛假數據。使用漏磁法檢測管壁厚度時,檢測信號易受到管壁腐蝕缺陷的長度,深度和缺陷形等因素的影響。當腐蝕缺陷的面積大于探頭的靈敏區時,管壁厚度的檢測精度高。但是,當腐蝕缺陷的面積小于探頭的靈敏區時,管壁厚度的檢測精度難以得到保證。
因此,漏磁檢測裝置分為高分辨率和低分辨率兩種。高,低分辨率漏磁檢測裝置的劃分以所用探頭數的多少或各探頭間的周向間距而定。探頭數愈多,各探頭之間的周向間距愈小,分辨率愈高,則檢測精度愈高。高分辨率漏磁檢測裝置對槽型缺陷具有良好的檢測效果,對長寬比大于2,寬度小于探頭周向間距的槽型缺陷而言,當采用探頭周向間距為30 40mm的漏磁檢測裝置檢測時,壁厚的檢測值明顯偏小。而采用探頭周向間距為8ram的漏磁檢測裝置再次對這種缺陷進行檢測時,則能精確測量壁厚。
(2)超聲波裂紋檢測儀。
管內超聲波在役檢測原理見圖3/多i:示。垂直于管道壁的超聲波探頭對管道壁發出一組超聲波脈沖后,探頭首先接收到由管道壁內表面反射的回波(前波),隨后接收到由管道壁缺陷或管道壁外表面反射的回波(缺陷波或底波)。于是,探頭至管道壁內表面的距離A與管道壁厚度T可以通過前波時間以及前波和缺陷波(或底波)的時間差來確定:
A--tA/2(1)T----tbn,/2(2)式中,t,為第一次反射回波(前波)時間,t。為第二次反射回波(底波或缺陷波)時間,n,為超聲波在介質中的聲速,n。為超聲波在管道中的聲速。不過,僅僅根據管道壁厚度T曲線尚無法判別管道屬內壁缺陷還是外壁缺陷,還需要根據探頭至管道壁內表面的距離A曲線來判別。當外壁腐蝕減薄時,距離A曲線不變·而當內壁腐蝕減薄時,距離A曲線與壁厚T曲線呈反對稱。于是,根據距離A和壁厚T兩條曲線,即可確定管道壁缺陷,并判別管道是內壁腐蝕減薄缺陷還是外壁腐蝕減薄缺陷。
(3)渦流檢測技術。渦流檢測技術的原理是:在渦流式檢測器的兩個初級線圈內通以微弱的電流,使鋼管表面因
圖3管內超聲波檢測原理示意圈
電磁感應而產生渦流,用次級線圈進行檢測。若管壁沒有缺陷,每個初級線圈上的磁通量均與次級線圈上的磁通量相等,由于反相連接,次級線圈上不產生電壓。有缺陷時,磁通發生紊亂,磁力線扭曲,使次級線圈的磁失去平衡而產生電壓。通過對該電壓的分析,檢測出腐蝕情況。2.2鋼質管道外腐蝕檢測技術國內外埋地鋼質管道外防腐層檢測技術方法很多,但就其信號源來說,都可歸納為直流法和交流法兩種。當今防腐層狀況檢測技術大多是通過管道上方地面測量或防腐層性能的間接測試而完成,這里主要介紹兩種地面常用的檢測技術。
1)Pearson(PS)(皮爾遜)檢測法
Pearson檢測法由美國人Pear-SOn提出。該方法需要在管道與大地之間施加1000 Hz的交流信號,該交流電會在管道防腐層的破損處流向大地,從而在破損點的上方形成交流電壓梯度,其電流密度隨著離防腐層破損點距離的增加而減小。兩名操作者相距3 6m沿管線上方(與探管機配合使用)檢測地面電壓梯度。檢測電極可分別由兩個操作人員的人體代替,用人體對地的耦合電容來檢測電壓梯度信號,并通過鏈式電纜傳送到接受裝置,經過濾波放大后,由指示儀表指示檢測結果,故該方法又稱為“人體阻容法”。這種方法具有較高的檢測效率,但鋇9量結果與操作人員技術和經驗有很大關系。這時不同的土壤和涂層電阻都能引起信號改變,可能被誤認為是涂層缺陷,沒有現場經驗的人不易確定涂層缺陷的位置,或者不能確定是否存在有涂層缺陷。該方法具有識別破損點大小的功能,在長輸管道的檢測與運行維護中使用效果較好。
2)多頻管中電流法a℃A母 多頻管中電流法應用較為簡便。檢測時將發射機發射的檢測信號供入管道如圖4所示,在地面上沿管道記錄管道中各測點流過的電流值,觀測數據經過軟件處理即得出檢測結果。圖形結果可直接顯示破損點位置,也可定性地判斷各段防腐層的老化狀況。若要定量地測量防腐層的狀況,則可用不同頻率的信號電流進行類似測量,將測量數據通過GD.FFW軟件,便算出各段防腐層的絕緣電阻值Rg。參照行業標準即可判定防腐層的狀態級別,檢測的原始數據及分析結果可以作為防腐數據庫的原始資料。多頻管中電流法其原理為:當
檢測信號從管道某一點供入后,電流會通過管道經大地流回發射機,并在管道流動中隨距離增加而衰減。對于有一定長度的管道,電流 I隨距離x成指數衰減。
在進行同一組觀測時,頻率是不變的。如果儀器的發射機及接收機都能提供幾種測試頻率,則可以用幾個不同的頻率對同一管段進行測定,然后解算出所需要的結果。如果管道內的第n點與n+l點之間防腐層出現破損,則部分信號電流將從破損處流人土壤中。因此Idb曲線在這兩點間將有異常的衰減,同時在Y曲線上會出現一個明顯的脈沖形躍變。這就是利用電流的異常衰變確定防腐層破損點的原理。多頻管中電流法就是在不同情況下,以Rg、L、c作為待定變量,以不同頻率耐相同昝道上的不測結果YI、Y2、Y3等進行反演求解,進而推算出防腐層的絕電阻Rg。參照石油天然氣的行標準中的標準,即可判定防腐狀態級別。
第五篇:入侵檢測技術論文
目錄
第一章 緒論
1.1 入侵檢測技術的背景 1.2 程序設計的目的 第二章 入侵檢測系統 2.1 網絡入侵概述
2.2 網絡存在的安全隱患
2.3 網絡入侵與攻擊的常用手段 2.4 入侵檢測技術
2.4.1 誤用入侵檢測技術 2.4.2 異常入侵檢測技術
第三章 協議分析 3.1 協議分析簡介 3.2 協議分析的優勢
第四章 PANIDS系統的設計及實現 4.1 PANIDS系統總體結構設計
4.2 系統基本信息讀取模塊的設計及實現 4.3 網絡數據包捕獲模塊的設計及實現 4.4 基于協議分析的入侵檢測模塊的設計及實現 4.4.1 數據包的分解 4.4.2 入侵檢測的實現 4.5 實驗結果及結論
第五章 總結與參考文獻
摘要
網絡技術高速發展的今天,人們越來越依賴于網絡進行信息的處理。因此,網絡安全就顯得相當重要,隨之產生的各種網絡安全技術也得到了不斷地發展。防火墻、加密等技術,總的來說均屬于靜態的防御技術。如果單純依靠這些技術,仍然難以保證網絡的安全性。入侵檢測技術是一種主動的防御技術,它不僅能檢測未經授權的對象入侵,而且也能監視授權對象對系統資源的非法使用。傳統的入侵檢測系統一般都采用模式匹配技術,但由于技術本身的特點,使其具有計算量大、檢測效率低等缺點,而基于協議分析的檢測技術較好的解決了這些問題,其運用協議的規則性及整個會話過程的上下文相關性,不僅提高了入侵檢測系統的速度,而且減少了漏報和誤報率。本文提出了一種基于協議分析的網絡入侵檢測系統PANIDS的模型,在該模型中通過Winpcap捕獲數據包,并對數據包進行協議分析,判斷其是否符合某種入侵模式,從而達到入侵檢測的目的。
關鍵詞: 入侵檢測,協議分析,PANIDS
第一章 緒論
1.1 入侵檢測技術的背景
隨著計算機網絡的飛速發展,網絡通信已經滲透到社會經濟、文化和科學的各個領域;對人類社會的進步和發展起著舉足輕重的作用,它正影響和改變著人們工作、學習和生活的方式。另外,Internet的發展和應用水平也已經成為衡量一個國家政治、經濟、軍事、技術實力的標志;發展網絡技術是國民經濟現代化建設不可缺少的必要條件。網絡使得信息的獲取、傳遞、存儲、處理和利用變得更加有效、迅速,網絡帶給人們的便利比比皆是。然而,網絡在給人們的學習、生活和工作帶來巨大便利的同時也帶來了各種安全問題。網絡黑客可以輕松的取走你的機密文件,竊取你的銀行存款,破壞你的企業帳目,公布你的隱私信函,篡改、干擾和毀壞你的數據庫,甚至直接破壞你的磁盤或計算機,使你的網絡癱瘓或者崩潰。因此,研究各種切實有效的安全技術來保障計算機系統和網絡系統的安全,已經成為刻不容緩的課題。伴隨著網絡的發展,各種網絡安全技術也隨之發展起來。常用的網絡安全技術有:數據加密、虛擬專用網絡(VPN,Virtual Private Network)、防火墻、殺毒軟件、數字簽名和身份認證等技術。這些傳統的網絡安全技術,對保護網絡的安全起到非常重要的作用,然而它們也存在不少缺陷。例如,防火墻技術雖然為網絡服務提供了較好的身份認證和訪問控制,但是它不能防止來自防火墻內部的攻擊、不能防備最新出現的威脅、不能防止繞過防火墻的攻擊,入侵者可以利用脆弱性程序或系統漏洞繞過防火墻的訪問控制來進行非法攻擊。傳統的身份認證技術,很難抵抗脆弱性口令、字典攻擊、特洛伊木馬、網絡窺探器以及電磁輻射等攻擊手段。虛擬專用網技術只能保證傳輸過程中的安全,并不能防御諸如拒絕服務攻擊、緩沖區溢出等常見的攻擊。另外,這些技術都屬于靜態安全技術的范疇;靜態安全技術的缺點是只能靜態和消極地防御入侵,而不能主動檢測和跟蹤入侵。而入侵檢測技術是一種動態安全技術,它主動地收集包括系統審計數據,網絡數據包以及用戶活動狀態等多方面的信息;然后進行安全性分析,從而及時發現各種入侵并產生響應。1.2 程序設計的目的
在目前的計算機安全狀態下,基于防火墻、加密技術等的安全防護固然重要;但是要根本改善系統的安全現狀,必須要發展入侵檢測技術。它已經成為計算機安全策略中的核心技術之一。Intrusion Detection System(簡稱IDS)作為一種主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護。從網絡安全立體縱深的多層次防御角度出發,入侵檢測理應受到高度重視,這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內,隨著上網關鍵部門、關鍵業務越來越多,迫切需要具有自主版權的入侵檢測產品;但目前我國的入侵檢測技術還不夠成熟,處于發展和跟蹤國外技術的階段,所以對入侵檢測系統的研究非常重要。傳統的入侵檢測系統中一般采用傳統的模式匹配技術,將待分析事件與入侵規則相匹配。從網絡數據包的包頭開始與攻擊特征字符串比較。若比較結果不同,則下移一個字節再進行;若比較結果相同,那么就檢測到一個可 能 的攻擊。這種逐字節匹配方法具有計算負載大及探測不夠靈活兩個最根本的缺陷。面對近幾年不斷出現的ATM、千兆以太網、G比特光纖網等高速網絡應用,實現實時入侵檢測成為一個現實的問題。適應高速網絡的環境,改進檢測算法以提高運行速度和效率是解決該問題的一個途徑。協議分析能夠智能地”理解”協議,利用網絡協議的高度規則性快速探測攻擊的存在,從而大大減少了模式匹配所需的運算。所以說研究基于協議分析的入侵檢測技術具有很強的現實意義。
第二章 入侵檢測系統
2.1 網絡入侵概述
網絡在給人們帶來便利的同時也引入了很多安全問題。從防衛者的角度來看,網絡安全的目標可以歸結為以下幾個方面 :(1)網絡服務的可用性。在需要時,網絡信息服務能為授權用戶提供實時有效的服務。
(2)網絡信息的保密性。網絡服務要求能防止敏感信息泄漏,只有授權用戶才能獲取服務信息。
(3)網絡信息的完整性。網絡服務必須保證服務者提供的信息內容不能被非授權篡改。完整性是對信息的準確性和可靠性的評價指標。
(4)網絡信息的不可抵賴性。用戶不能否認消息或文件的來源地,也不能否認接受了信息或文件。
(5)網絡運行的可控性。也就是網絡管理的可控性,包括網絡運行的物理的可控性和邏輯或配置的可控性,能夠有效地控制網絡用戶的行為及信息的傳播范圍。
2.2 網絡存在的安全隱患
網絡入侵從根本上來說,主要是因為網絡存在很多安全隱患,這樣才使得攻擊者有機可乘。導致網絡不安全的主要因素可以歸結為下面幾點:
(1)軟件的Bug。眾所周知,各種操作系統、協議棧、服務器守護進程、各種應用程序等都存在不少漏洞。可以不夸張的說,幾乎每個互聯網上的軟件都或多或少的存在一些安全漏洞。這些漏洞中,最常見的有緩沖區溢出、競爭條件(多個程序同時訪問一段數據)等。
(2)系統配置不當。操作系統的默認配置往往照顧用戶的友好性,但是容易使用的同時也就意味著容易遭受攻擊。這類常見的漏洞有:系統管理員配置不恰當、系統本身存在后門等。
(3)脆弱性口令。大部分人為了輸入口令的時候方便簡單,多數都使用自己或家人的名字、生日、門牌號、電話號碼等作為口令。攻擊者可以通過猜測口令或拿到口令文件后,利用字典攻擊等手段來輕易破解口令。
(4)信息泄漏。入侵者常用的方法之一就是竊聽。在廣播式的局域網上,將網卡配置成”混雜”模式,就可以竊聽到該局域網的所有數據包。如果在服務器上安裝竊聽軟件就可以拿到遠程用戶的帳號和口令。
(5)設計的缺陷。最典型的就是TCP/IP協議,在協議設計時并沒有考慮到安全因素。雖然現在已經充分意識到了這一點,但是由于TCP/IP協議已經廣泛使用,因此暫時還無法被完全代替。另外,雖然操作系統設計的時候考慮了很多安全因素,但是仍然無法避免地存在一些缺陷。例如,廣泛使用的Windows操作系統,幾乎每隔幾個月都要出一定數量的安全補丁,就是因為系統存在很多安全隱患。2.3 網絡入侵與攻擊的常用手段
長期以來,黑客攻擊技術沒有成為系統安全研究的一個重點,一方面是攻擊技術很大程度上依賴于個人的經驗以及攻擊者之間的交流,這種交流通常都是地下的,黑客有他們自己的交流方式和行為準則,這與傳統的學術研究領域不相同;另一方面,研究者還沒有充分認識到:只有更多地了解攻擊技術,才能更好地保護系統的安全。下面簡單介紹幾種主要的攻擊類型。1.探測攻擊
通過掃描允許連接的服務和開放端口,能迅速發現目標主機端口的分配情況以及所提供的各項服務和服務程序的版本號。另外通過掃描還可以探測到系統的漏洞等信息。黑客找到有機可乘的服務或端口后就可以進行攻擊了。常見的探測掃描程序有:SATAN、NTScan、X_Scan、Nessus等。2.網絡監聽
將網卡設置為混雜模式,對已流經某個以太網段的所有數據包進行監聽,以獲取敏感信息,如包含了”usename”或”password”等信息的數據包。常見的網絡監聽工具有:NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解碼類攻擊
通過各種方法獲取password文件,然后用口令猜測程序來破譯用戶帳號和密碼。常見的解碼工具有:Crack、LophtCrack等。
2.4 入侵檢測技術
入侵檢測技術可以分為兩大類:異常入侵檢測技術和誤用入侵檢測技術。下面分別介紹這兩種入侵檢測技術。2.4.1 誤用入侵檢測技術
誤用入侵檢測首先對表示特定入侵的行為模式進行編碼,建立誤用模式庫;然后對實際檢測過程中得到的審計事件數據進行過濾,檢查是否包含入侵特征串。誤用檢測的缺陷在于只能檢測已知的攻擊模式。常見的誤用入侵檢測技術有以下幾種:
1.模式匹配
模式匹配是最常用的誤用檢測技術,特點是原理簡單、擴展性好、檢測效率高、可以實時檢測;但是只能適用于比較簡單的攻擊方式。它將收集到的信息與已知的網絡入侵和系統誤用模式串進行比較,從而發現違背安全策略的行為。著名的輕量級開放源代碼入侵檢測系統Snort就是采用這種技術。2.專家系統
該技術根據安全專家對可疑行為的分析經驗來形成一套推理規則,然后在此基礎上建立相應的專家系統來自動對所涉及的入侵行為進行分析。該系統應當能夠隨著經驗的積累而利用其自學習能力進行規則的擴充和修正。專家系統方法存在一些實際問題:處理海量數據時存在效率問題,這是由于專家系統的推理和決策模塊通常使用解釋型語言來實現,所以執行速度比編譯型語言慢;專家系統的性能完全取決于設計者的知識和技能;規則庫維護非常艱巨,更改規則時必須考慮到對知識庫中其他規則的影響等等。3.狀態遷移法
狀態遷移圖可用來描述系統所處的狀態和狀態之間可能的遷移。狀態遷移圖用于入侵檢測時,表示了入侵者從合法狀態遷移到最終的危害狀態所采取的一系列行動。
在檢測未知的脆弱性時,因為狀態遷移法強調的是系統處于易受損的狀態而不是未知入侵的審計特征,因此這種方法更具有健壯性。而它潛在的一個弱點是太拘泥于預先定義的狀態遷移序列。這種模型運行在原始審計數據的抽象層次上,它利用系統狀態的觀念和事件的轉變流;這就有可能提供了一種既能減少誤警率又能檢測到新的攻擊的途徑。另外,因為涉及了比較高層次的抽象,有希望把它的知識庫移植到不同的機器、網絡和應用的入侵檢測上。2.4.2 異常入侵檢測技術
異常檢測是通過對系統異常行為的檢測來發現入侵。異常檢測的關鍵問題在于正常使用模式的建立,以及如何利用該模式對當前系統或用戶行為進行比較,從而判斷出與正常模式的偏離程度。”模式”(profiles)通常使用一組系統的度量(metrics)來定義。度量,就是指系統或用戶行為在特定方面的衡量標準。每個度量都對應于一個門限值。常用的異常檢測技術有: 1.統計分析
最早的異常檢測系統采用的是統計分析技術。首先,檢測器根據用戶對象的動作為每個用戶建立一個用戶特征表,通過比較當前特征與已存儲定型的以前特征,從而判斷是否異常行為。統計分析的優點:有成熟的概率統計理論支持、維護方便,不需要象誤用檢測系統那樣不斷地對規則庫進行更新和維護等。統計分析的缺點:大多數統計分析系統是以批處理的方式對審計記錄進行分析的,不能提供對入侵行為的實時檢測、統計分析不能反映事件在時間順序上的前后相關性,而不少入侵行為都有明顯的前后相關性、門限值的確定非常棘手等。2.神經網絡
這種方法對用戶行為具有學習和自適應功能,能夠根據實際檢測到的信息有效地加以處理并做出入侵可能性的判斷。利用神經網絡所具有的識別、分類和歸納能力,可以使入侵檢測系統適應用戶行為特征的可變性。從模式識別的角度來看,入侵檢測系統可以使用神經網絡來提取用戶行為的模式特征,并以此創建用戶的行為特征輪廓。總之,把神經網絡引入入侵檢測系統,能很好地解決用戶行為的動態特征以及搜索數據的不完整性、不確定性所造成的難以精確檢測的問題。利用神經網絡檢測入侵的基本思想是用一系列信息單元(命令)訓練神經單元,這樣在給定一組輸入后,就可能預測輸出。將神經網絡應用于攻擊模式的學習,理論上也是可行的。但目前主要應用于系統行為的學習,包括用戶以及系統守護程序的行為。與統計理論相比,神經網絡更好地表達了變量間的非線性關系,并且能自動學習并更新。
神經網絡也存在一些問題:在不少情況下,系統趨向于形成某種不穩定的網絡結構,不能從訓練數據中學習特定的知識,這種情況目前尚不能完全確定產生的原因;另外,神經網絡對判斷為異常的事件不會提供任何解釋或說明信息,這導致了用戶無法確認入侵的責任人,也無法判斷究竟是系統哪方面存在的問題導致了攻擊者得以成功入侵。
前面介紹了誤用檢測和異常檢測所使用的一些常用檢測手段,在近期入侵檢測系統的發展過程中,研究人員提出了一些新的入侵檢測技術。這些技術不能簡單地歸類為誤用檢測或異常檢測,它們提供了一種有別于傳統入侵檢測視角的技術層次。這些新技術有:免疫系統、基因算法、數據挖掘、基于代理的檢測等等,他們提供了更具有普遍意義的分析檢測技術,或者提出了新的檢測系統構架,因此無論是對誤用檢測還是對異常檢測來說都可以得到很好的應用。
第三章 協議分析
3.1 協議分析簡介 1.以太幀協議分析
這是對以太網數據幀頭進行協議分析,并把分析的結果記入Packet結構中。分析完以太幀頭后把數據包傳送到下一級協議分析程序中。數據幀的第13和14兩個字節組成的字段是協議類型字段。如果用十六進制表示,那么IP協議對應0X0800、ARP對應0X0806、RARP對應0X0835。2.ARP和RARP數據包協議分析
這是對ARP或RARP數據進行協議分析,并把協議分析后的數據送入基于ICMP協議規則集的匹配檢測模塊進行檢測,查看是否存在ARP和RARP相關的攻擊。由于基于ARP/RARP協議的攻擊較少,所以把他們歸入ICMP協議規則集中。3.IP數據包協議分析
這是對IP 數據包進行協議分析,并把協議分析后的數據送入基于IP協議規則集的匹配檢測程序中進行檢測。IP數據包首部的第一個字節的后面4個比特組成的字段標識了IP首部的長度。該字段的值乘以4就等于IP首部的長度。沒有包含IP選項的普通IP首部長度為20,如果大于20就說明此IP數據包包含IP首部。第5和第6個字節是IP數據包的16位標識,每一IP數據包都有唯一的標識。該標識在IP數據包分片重組時中起到至關重要的作用,每個分片就是通過檢查此ID號來判別是否屬于同一個IP包。第7個字節開始的前3個比特是重要的標志位:第一個標志位(最高位)為保留位(該位必須為0,否則就是一個錯誤的IP數據包),第二個標志位DF指示該IP數據包能否分片(該位為0則表示該IP數據包可以分片,為1則不能分片),第三個標志位MF指示該數據包是否為最后一個分片(該位為0表示此數據包是最后一個分片,為1表示不是最后一個分片)。從MF標志位開始的后面13個比特位記錄了分片的偏移量。分片的IP數據包,各個分片到目的端才會重組;傳輸過程中每個分片可以獨立選路。如何才能重組一個分片了的IP數據包呢?首先,16位分片ID(Fragment ID)標識了每個IP數據包的唯一性。數據包分片后,它的每個分片具有相同的標識。其次,通過每個分片的片偏移量可以確定每個分片的位置,再結合MF可以判斷該分片是否為最后一個分片。綜合上述信息,就可以順利的重組一個數據包。分片重組對網絡入侵檢測系統具有重要意義。首先,有一些攻擊方法利用了操作系統協議棧中分片合并實現上的漏洞,例如著名的TearDrop攻擊就是在短時間內發送若干偏移量有重疊的分片,目標機接收到這樣的分片的時候就會合并分片,由于其偏移量的重疊而發生內存錯誤,甚至會導致協議棧的崩潰。這種攻擊手段單從一個數據包上是無法辨認的,需要在協議分析中模擬操作系統的分片合并,以發現不合法的分片。另外,Tiny Fragment(極小分片)等攻擊方法,將攻擊信息隱藏在多個微小分片內來繞過入侵檢測系統或防火墻的檢測從而達到攻擊的目的。對付這種攻擊也需要在檢測的過程中合并碎片,恢復數據包的真實面目。
IP包頭的第10個字節開始的后面八個比特位表示了協議的類型:其中1表示ICMP協議,2表示IGMP協議,6表示TCP協議,17表示UDP協議。(這些數字是十進制的)。對IP數據包檢測完畢后,如果檢測到攻擊就記錄該數據包,然后重新開始檢測一個新的原始數據包。如果沒有檢測到攻擊,則在判斷上層協議類型之后就把數據包分流到TCP、UDP等協議分析程序中進行進一步協議分析。4.TCP數據包協議分析
這是對TCP數據包進行協議分析,并把協議分析后的數據送入基于TCP協議規則集的匹配檢測程序中進行檢測。首先讀入TCP數據包,對TCP包頭進行協議分析;并檢查是否有TCP選項,如果有的話就對TCP選項進行協議分析。然后,判斷該TCP數據包是否發生分段,如果發生了分段就進行TCP重組。再把重組后的數據包送入基于TCP協議規則集的匹配檢測程序進行檢測。如果檢測到攻擊就記錄下該攻擊數據包,以備攻擊取證等使用。記錄數據包后又返回,重新讀取一個新的數據包。如果沒有檢測到攻擊,就把該數據包送入下一級協議分析模塊中,作進一步的協議分析。
5.ICMP數據包協議分析
這是對ICMP數據包進行協議分析,并把協議分析后的數據送入基于ICMP協議規則集的匹配檢測程序中進行檢測。ICMP報文有很多類型,根據報文中的類型字段和代碼字段就可以區分每一種ICMP報文類型。6.UDP協議分析
這是對UDP數據包進行協議分析,并把協議分析后的數據送入基于UDP協議規則集的匹配檢測程序中進行檢測。如果檢測到攻擊就記錄該數據包,然后返回并讀取下一個數據包。如果沒有檢測到攻擊,那么就把數據包送入基于應用層協議規則集的檢測模塊進行進一步的檢測分析。應用層協議很復雜,這里不進行詳細討論。
3.2 協議分析的優勢(1)提高性能:當系統提升協議棧來解析每一層時,它用已獲得的知識來消除在數據包結構中不可能出現的攻擊。比如4層協議是TCP,那就不用再搜索其他第四層協議如UDP上形成的攻擊。如果數據包最高層是簡單網絡管理協議SNMP(Simple Network Management Protocol),那就不用再尋找Telnet或HTTP攻擊。這樣檢測的范圍明顯縮小,而且更具有針對性;從而使得IDS系統性能得到明顯改善。
(2)能夠探測碎片攻擊等基于協議漏洞的攻擊:在基于協議分析的IDS中,各種協議都被解析。如果出現IP分片,數據包將首先被重裝;然后再對整個數據包進行詳細分析來檢測隱藏在碎片中的潛在攻擊行為。這是采用傳統模式匹配技術的NIDS所無法做到的。(3)降低誤報和漏報率:協議分析能減少傳統模式匹配NIDS系統中常見的誤報和漏報現象。在基于協議分析的NIDS系統中誤報率會明顯減少,因為它們知道和每個協議有關的潛在攻擊的確切位置以及該位置每個字節的真正含義。例如,針對基于協議分析的IDS不但能識別簡單的路徑欺騙:例如把CGI攻擊”/cgi-bin/phf”變為”/cgi-bin/./phf”或”/cgi-binphf”;而且也能識別復雜的HEX編碼欺騙:例如”/winnt/system32/cmd.exe”,編碼后變為”/winnt/system32/%2563md.exe”,通過協議分析%25 解碼后為‘%’,%63解碼后為‘c’,這樣就解析出了攻擊串。又如針對Unicode(UTF-8)的編碼欺騙(與ASCII字符相關的HEX編碼一直到%7f,Unicode編碼值要高于它),攻擊串編碼后得到”/winnt/system32%c0%afcmd.exe”,通過解碼可知%c0%af在Unicode中對應/,所以解碼后就能順利還原出攻擊串。第四章 PANIDS系統的設計及實現
4.1 PANIDS系統總體結構設計
PANIDS系統 主要由系統基本信息讀取模塊、網絡數據包捕獲模塊、基于協議分析的入侵檢測模塊、響應模塊和控制管理中心等幾部分組成。4.2 系統基本信息讀取模塊的設計及實現
為了更好的顯示出本機的特性,在此PANIDS系統中特別增加系統基本信息讀取模塊。通過此模塊能顯示出主機名和本機的IP地址和所使用的Winsock的版本
在此模塊中主要用到函數gethostname()和gethostbyname()。gethostname()函數作用是獲取本地主機的主機名,其定義如下:
int PASCAL FAR gethostname(char FAR * name, int namelen);name:用于指向所獲取的主機名的緩沖區的指針。Namelen:緩沖區的大小,以字節為單位。
gethostbyname()在此模塊中是一個主要函數,該函數可以從主機名數據庫中得到對應的”主機”。其定義如下:
#include
gethostbyname()返回對應于給定主機名的包含主機名字和地址信息的hostent結構指針。結構的聲明與gethostaddr()中一致。如果沒有錯誤發生,gethostbyname()返回如上所述的一個指向hostent結構的指針,否則,返回一個空指針。hostent結構的數據結構如下: struct hostent { char *h_name;//地址的正式名稱
char **h_aliases;//空字節-地址的預備名稱的指針 int h_addrtype;//地址類型,通常是AF_INET int h_length;//地址的比特長度
char **h_addr_list;//零字節-主機網絡地址指針,網絡字節順序 };返回的指針指向一個由Windows Sockets實現分配的結構。應用程序不應該試圖修改這個結構或者釋放它的任何部分。此外,每一線程僅有一份這個結構的拷貝,所以應用程序應該在發出其他Windows Scokets API調用前,把自己所需的信息拷貝下來。
gethostbyname()實現沒有必要識別傳送給它的IP地址串。對于這樣的請求,應該把IP地址串當作一個未知主機名同樣處理。如果應用程序有IP地址串需要處理,它應該使用inet_addr()函數把地址串轉換為IP地址,然后調用gethostbyaddr()來得到hostent結構。4.3 網絡數據包捕獲模塊的設計及實現 網絡數據包捕獲的方法有很多,比如既可以利用原始套接字來實現,也可以通過Libpcap、Jpcap和WinPcap 提供的接口函數來實現。Libpcap、Jpcap和WinPcap是世界各地的網絡專家共同努力的結果,為開發者提供了很多高效且與系統無關的網絡數據包截獲接口函數;所以在性能上一般比采用普通的套接字方法要好。LibPcap是一個優秀跨平臺的網絡抓包開發工具,JPcap是它的一個Java版本。WinPcap在某種程度上可以說它是LibPcap的一個Windows版本,因為它們的大部分接口函數以及所采用的數據結構都是一樣的。另外,WinPcap在某些方面進行了優化,還提供了發送原始數據包和統計網絡通信過程中各種信息的功能(LibPcap沒有統計功能),方便進行測試;所以采用WinPcap所提供的庫函數來截獲網絡數據包。
Winpcap捕獲數據包的實現
1.網絡數據包捕獲的主要數據結構(1)PACKET結構
typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//這個buffer就是指向存放數據包的用戶緩沖區 UINT Length;//buffer的長度
DWORD ulBytesReceived;//調用PacketReceivePacket()函數所讀 //取的字節數,可能包含多個數據包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注釋的幾個成員,都是過時的成員,他們的存在只是為了與原來的兼容。此結構主要用來存放從內核中讀取的數據包。(2)pcap_file_header 結構 struct pcap_file_header{ bpf_u_int32 magic;//一個標識號,標識特定驅動器產生的dump文件 u_short version_major;//WinPcap的主版本號 u_short version_minor;//WinPcap的次版本號
bpf_int32 thiszone;//GMT時間與本地時間的校正值 bpf_u_int32 sigfigs;//精確的時間戳
bpf_u_int32 snaplen;//每個數據包需要存放到硬盤上的最大長度 bpf_u_int32 linktype;//鏈路層的數據類型 };//這個頭部共24個字節
把截獲的數據包以標準的Windump格式存放到硬盤上時,就是以這個結構 作為文件的開頭。(3)bpf_hdr結構 struct bpf_hdr { struct timeval bh_tstamp;//數據包捕獲的時間戳信息 UINT bh_caplen;//數據包被捕獲部分的長度 UINT bh_datalen;//數據的原始長度 USHORT bh_hdrlen;//此結構的長度 };從內核中讀取數據包并存放在用戶緩沖區中時,采用此結構來封裝所截獲的 數據包。其中timeval的結構如下 struct timeval { long tv_sec;//以秒為單位的時間 long tv_usec;//以毫秒為單位的時間 };(4)dump_bpf_hdr結構 struct dump_bpf_hdr{ struct timeval ts;//數據包捕獲的時間戳 UINT caplen;//數據包被捕獲部分的長度 UINT len;//數據包的原始長度 };把數據包存放到硬盤上或者向網絡上發送數據包時,都使用此結構來封裝每一個數據包。
2.數據包捕獲的具體實現
在了解其數據結構的基礎上,下面來分析其是如何具體實現網絡數據包捕獲的。其前期的主要過程應為:首先應找到設備列表,然后顯示適配器列表和選擇適配器,最后通過pcap_open_live()函數根據網卡名字將所選的網卡打開,并設置為混雜模式。
用Winpacp捕獲數據包時,數據包捕獲的程序流程圖如圖4.3所示,其中pcap_loop()是截包的關鍵環節,它是一個循環截包函數,分析此函數的源碼可知,其內部主要處理過程如圖4.4所示。在pcap_loop()的每次循環中,首先通過調用PacketReceivePacket()函數,從內核緩沖區中把一組數據包讀取到用戶緩沖區。然后,根據bpf_hdr結構提供的該數據包的定位信息,把用戶緩沖區的多個數據包逐個的提取出來,并依次送入回調函數進行進一步處理。通過這個過程就實現了網絡數據包的捕獲。
4.4 基于協議分析的入侵檢測模塊的設計及實現
此模塊是基于協議分析入侵檢測系統PANIDS的核心部分,下面我們重點討論此模塊的設計及實現。4.4.1 數據包的分解 當需要發送數據時,就需要進行封裝。封裝的過程就是把用戶數據用協議來進行封裝,首先由應用層協議進行封裝,如HTTP協議。而HTTP協議是基于TCP協議的。它就被TCP協議進行封裝,http包作為TCP數據段的數據部分。而TCP協議是基于IP協議的,所以TCP段就作為IP協議的數據部分,加上IP協議頭,就構成了IP數據報,而IP數據報是基于以太網的,所以這個時候就被封裝成了以太網幀,這個時候就可以發送數據了。通過物理介質進行傳送。在這里我們所用到的是數據包的分解。分解的過程與封裝的過程恰恰相反,這個時候就需要從一個以太網幀中讀出用戶數據,就需要一層一層地進行分解,首先是去掉以太網頭和以太網尾,在把剩下的部分傳遞給IP層軟件進行分解,去掉IP頭,然后把剩下的傳遞給傳輸層,例如TCP協議,此時就去掉TCP頭,剩下應用層協議部分數據包了,例如HTTP協議,此時HTTP協議軟件模塊就會進一步分解,把用戶數據給分解出來,例如是HTML代碼。這樣應用軟件就可以操作用戶數據了,如用瀏覽器來瀏覽HTML頁面。其具體的數據包分解如下:
ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵檢測的實現
通過Winpcap捕獲數據包,數據包分解完以后就對其進行協議分析,判斷分組是否符合某種入侵模式,如果符合,則進行入侵告警。在本系統中實現了對多種常見入侵模式的檢測,采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻擊、應用層攻擊。1.ICMP分片
ICMP報文是TCP/IP協議中一種控制報文,它的長度一般都比較小,如果出現ICMP報文分片,那么說明一定出現了Ping of Death攻擊。
在本系統中ip->ip_p == 0×1,這是表示ip首部的協議類型字段,0×1代表ICMP。
string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);當(ip->ip_off > 1)&& str1!= str2時,就表認為是Ping of Death攻擊。如果都符合,就報警(調用函數將受到攻擊的時間、攻擊名稱以及攻擊的IP地址顯示出來)。
2.常用端口
一些攻擊特洛伊木馬、蠕蟲病毒等都會采用一些固定端口進行通信,那么如果在分組分析過程中發現出現了某個端口的出現,則可以認為可能出現了某種攻擊,這里為了減少誤判,應當設置一個閾值,僅當某個端口的分組出現超過閾值后才進行報警。這就意味著檢測到發往某個端口的的分組超過閾值后才認為出現了某種攻擊,并進行告警。本系統定義了兩種端口掃描,Trojan Horse端口掃描和代理服務器端口掃描。Trojan Horse端口掃描實現如下:首先根據if((tcp->th_flags & TH_SYN)==TH_SYN)判斷其是否為TCP SYN報文,若是,并且端口為Trojan Horse的常用掃描端口時,最后判斷報文數是否超過閾值TrojanThreshold,如果超過的后,就被認定為Trojan Horse端口掃描,然后報警。對代理服務器端口掃描檢測的實現方法和Trojan Horse端口掃描實現方法一樣,這里不再論述。
3.IGMP分片
IGMP(Internet Group Message Protocol)是Internet中多播組管理協議,其長度也一般較小。同上ip->ip_p==0×2也是表示首部的協議類型字段,0×2代表IGMP,本系統實現了對其兩種攻擊模式的檢測。
(1)通過if(ntohs(ip->ip_len)>1499)首先判斷其是否為分片的IGMP報文,若是,并且收到的報文數超過設定的閾值IGMPThreshold,則就最終判定其為IGMP DoS攻擊,然后報警。
(2)通過if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判斷其是否為某種特定的源地址等于目的地址或者目的地址等于0的報文,若是,并且收到的報文數超過設定的閾值LandThreshold則被判定為land DoS攻擊,然后報警。
4.WinNuke攻擊 通過if((tcp->th_flags & TH_URG)==TH_URG)判斷其是否為TCP URG報文,若是,則根據WinNuke的典型特征是使用TCP中的Ugrent指針,并使用135、137、138、139端口,因此可以利用這兩個特征加以判斷,同樣為了減少誤判,應當設置一個閾值。當閾值超過設定的WinNukeThreshold時,就被最終判定為WinNuke攻擊,然后報警。5.應用層攻擊
其是分析應用層的數據特征,判斷是否存在入侵。在本系統中實現了對一種較為簡單的應用層攻擊的檢測。它也是屬于TCP SYN報文中的一種。主要思想是監測報文中是否存在system32關鍵字,如果存在,則報警。
4.5 實驗結果及結論
程序編譯成功后,執行可執行文件,此時系統已被啟動,然后在”設置”菜單中將網卡設為混雜模式,點擊”開始”按鈕,本系統開始檢測。由實驗結果可知,本系統能較好的檢測出一些典型攻擊,并能在界面上顯示出攻擊日期/時間、攻擊的類型、攻擊源的IP地址,達到了預期的效果。
第五章 總結與參考文獻
入侵檢測是一種積極主動的安全防護技術;它既能檢測未經授權的對象入侵系統,又能監視授權對象對系統資源的非法操作。入侵檢測與防火墻、身份認證、數據加密、數字簽名等安全技術共同構筑了一個多層次的動態安全體系。本文主要對基于網絡的入侵檢測系統的關鍵技術進行了研究和探討。首先較全面、系統地分析了入侵檢測技術的歷史、現狀和發展趨勢、了解了黑客常用的攻擊手段及其原理。然后,系統地闡述了入侵檢測的原理。接著講述了協議分析和模式匹配技術,最后,針對當前典型的網絡入侵,設計并實現了一個基于協議分析的網絡入侵檢測系統PANIDS,實現了多層次的協議分析,包括基本協議的解析、協議上下文的關聯分析以及應用層協議的分析,并取得了較為滿意的檢測效果。
[1] 戴英俠,連一峰,王航.系統安全與入侵檢測[M].北京:清華大學出版社 [2] 聶元銘,丘平.網絡信息安全技術[M].北京:科學出版社
[3] 董玉格,金海,趙振.攻擊與防護-網絡安全與實用防護技術[M].北京:人民 郵電出版社 [4] 戴云,范平志.入侵檢測系統研究綜述[J].計算機工程與應用 [5] 劉文淘.網絡入侵檢測系統[M].北京:電子工業出版社,
點擊咨詢 