现代检测技术论文(共5则范文)

时间:2019-05-15 00:36:36下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《现代检测技术论文(共)》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《现代检测技术论文(共)》。

第一篇:现代检测技术论文(共)

电磁兼容现场测试中干扰源的自动辨识

姓名: 学号:

专业:控制科学与工程 指导老师:摘 要: 复杂系统由于上装设备众多,空间狭小,导致电磁兼容(EMC)问题突出。电磁兼容现场测试是解决系统性电磁兼容问题的有效手段,但在国内针对电磁兼容现场测试的研究还处于起步阶段,对于电磁兼容现场测试中干扰源的自动辨识研究更是少之又少。因此研究电磁兼容现场测试中的干扰源辨识技术具有重要的意义和工程应用价值。本文把电磁兼容现场测试中的干扰源的自动辨识作为研究目标。首先对电磁兼容现场测试的需求及特点进行分析,然后借鉴模式识别理论并将其应用于电磁兼容现场测试的干扰源辨识,设计了电磁兼容现场测试干扰源辨识方案。论文结合电磁兼容现场测试的实际情况,研究了小波消噪、曲线包络和曲线延拓等数据预处理算法,提出了峰值、包络和谐波等特征的提取方法,形成了原始相关系数、峰值相关系数和相似离度等相似度评价指标。最后构建了辨识系统并建立了辨识系统的数据库,为数据的管理和共享提供了便利的条件。关键词: 电磁兼容 现场测试 干扰源辨识 模式识别 1 研究背景和意义

在科学发达的今天,广播、电视、通信、导航、雷达、遥测测控及计算机等迅速发展,尤其是信息、网络技术以爆炸性方式增长,电磁波利用的快速扩张,产了不断增长的电磁污染,带来了严重的电磁干扰。各种电磁能量通过辐射和传导的途径,以电波、电场和电流的形式,影响着敏感电子设备,严重时甚至使电子设备无法正常工作。上述情况对电子设备及系统的正常工作构成了很大的威胁,因此加强电子产品的电磁兼容性设计,使之能在复杂的电磁环境中正常工作已成为当务之急。电磁兼容性(Electromagnetic Compatibility, EMC)是设备或系统在其电磁环境中,能正常工作且不对该环境中任何事物构成不能承受的电磁骚扰的能力。它包括电磁干扰(Electromagnetic Interference, EMI)和电磁敏感度(Electromagnetic Susceptibility, EMS)两个方面。电磁兼容测试是验证电子设备电磁兼容设计的合理性以及最终评价、解决电子设备电磁兼容问题的主要手段。通过定量的测量,可以鉴别产品是否符合 EMC 相关标准或者规范,找出产品在 EMC方面的薄弱环节。

目前很多国家和组织都制定了相关的电磁兼容标准,只有符合相关指标要求的电子和电气产品才能进入市场。要判断某电子产品是否存在电磁兼容性问题,就需要依据相关标准对该产品进行具体的电磁兼容测试

在目前电磁兼容测试中,针对设备或分系统级的电磁兼容测试与评价有着较为完备的电磁兼容标准或规范体系,不仅规定了测试所使用的仪器设备的具体指标要求,同时还规范了测量方案的组成和环境要求,这是其他标准或规范中所少见的。然而针对系统测试,目前还没有详细具体的标准或规范。已经了解的标准有美军标 MIL-E-6051D《系统电磁兼容性要求》(已等效成国军标 GJB1389《系统电磁兼容性要求》),又如美军标 MIL-STD-1541A《对航天系统的电磁兼容性要求》等。在这些标准中给出了一些应该遵从的原则,但如何将这些原则用于工程,还需要一个实践的过程。2 电磁兼容现场测试分析及测试方法研究

随着电子信息技术的飞速发展,各种电子设备间的电磁兼容问题也日益突出,为了掌握和高这些电子设备的电磁兼容性,最直接的方法就是对它们进行电磁兼容测试。现场系统电磁兼容测试作为最能反映系统真实任务执行能力的电磁兼容测试起着非常重要的作用。本章从标准测试和现场测试的区别、微弱信号测试关键技术和近场抗饱和测试技术等方面分析了现场测试的特点和测试方法。2.1 标准测试

在电磁兼容测试中,场地对测试结果的影响非常明显。主要原因是场地的差异,即空间直射波与地面反射波的反射影响和接收点不同,造成相互叠加的场强不一致。早期的 CISPR 标准要求电磁兼容测试应该在开阔测试场地(OATS)中进行。开阔试验场的基本结构应是周围空旷,无反射物体,地面为平坦而导电率均匀的金属接地表面。场地按椭圆形设计,场地长度不小于椭圆焦点之间距离的 2倍,宽度不小于椭圆焦点之间距离的 1.73 倍,具体尺寸的大小一般视测试频率下限的波长而定。实际电磁辐射干扰测试时,EUT 和接收天线分别置于椭圆场地的两个焦点位置。考虑到开阔试验场及屏蔽暗室的建造成本和环境的限值,国内外电磁兼容标准将 EUT 到接收天线的距离定为 3m 和 10m,俗称 3m 法和 10m 法。如要满足 3m 法测量,场地长度不小于 6m 距离,宽度不小于 5.2m 距离;如要满足 10m 法测量,场地长度不小于 20m 距离,宽度不小于 17.3m 距离。

标准 RE102 测试示意图

2.2 现场测试

标准测试在针对部件级或者设备级的电磁兼容测试方面具有无可比拟的优势,但是在反映任务系统的系统性能方面却有一定的局限性。主要体现在: 1)标准实验室的测试是针对单个设备的测试,无法体现上装环境下成组设备工作时的成组特性。

2)标准实验室内的测试由于空间及连接限制,无法体现设备的实际工作模式。3)标准实验室中电源采用 LISN 供电,LISN 的阻抗为 50 欧姆标准阻抗,能够与设备实现较好的阻抗匹配,无法体现上装环境下设备实际的阻抗特性。2.3近场抗饱和测试技术

在电磁兼容现场测试中,经常会遇到大信号的测量,如针对车载通信系统的无线设备辐射发射特性测试。由于电台的发射功率较大,测试距离近,很容易导致频谱仪出现饱和和失真问题,导致测试结果出现误差。这主要由于以下两个原因:(1)测量信号超过频谱仪的测试动态范围,而导致测试结果的不正确,出现频谱仪饱和现象;(2)测量信号功率位于频谱仪非线性失真区,使测试结果出现非线性失真的现象。所以需要研究近场抗饱和测试技术,来减小饱和带来的误差。在测试过程中可以使用衰减器防止接收到大功率的信号使得频谱仪混频器饱和,给测试带来误差。但是使用了宽带的衰减器引起的问题是:衰减器不仅将大信号进行了衰减,小信号也被衰减以至于小信号可能被噪声淹没。为了解决该问题,在测试过程中使用了中心频率可调的带通或带阻滤波器,该滤波器的功能就是实现 EMC 接收机的前端预选器的功能,使用该滤波器可以防止大功率信号进入频谱仪,只要在测试过程中将带阻滤波器的中心频率调节到电台的发射频率即可。2.4 滤波器补偿技术

补偿的过程首先通过无线设备发射特性信息库读取电台发射特性的测试数据、测试的频率和使用滤波器的情况,然后在滤波器插入损耗库中查找该频率使用的滤波器的插入损耗数据,通过差值算法将滤波器特性数据的数据点和发射特性的数据点相同,然后在经过计算获得最终的结果。测试中的接收端使用了带通/带阻滤波器和宽带衰减器。在进行宽带测试时使用宽带衰减器;在进行电台基波特性测试时使用带阻滤波器;在进行电台谐波测试时使用带通滤波器。

抗饱和辐射发射特性测试示意图 干扰源辨识方案设计

频谱测试曲线在电磁兼容故障诊断中发挥着举足轻重的地位。在部件级或者设备级的电磁兼容分析中,经验丰富的电磁兼容工程师往往通过不同频段的 EUT发射特性曲线判断 EUT 出现电磁兼容问题的根源,然后制定抑制方案,最后解决电磁兼容问题。在电子通信系统中,电磁兼容问题日益突出,对系统级的干扰源定位技术的需求日益迫切。3.1 需求分析

随着现代通信电子科学技术的高速发展和广泛应用,电子通信系统正在向集成化、多任务化、微型化发展。各种各样的电子设备或系统以及其他的电子、电气设备越来越密集导致的系统内电磁环境及其复杂,高密度、宽频谱的电磁信号充满整个空间,使电子通信系统受到了严重的考验,电磁兼容性问题日益突出。以车载通信系统举例来说,由于车辆的车内、车顶空间都非常狭小,在这样狭小的空间内安装了多部不同频带及功能的电台、计算机、数字化车通等各种数字化设备,存在着多种导致系统电磁兼容(EMC)性能恶化的因素,如:有限频带内密集的工作频率,单位体积内较大的电磁功率密度,高低电平器件或装置的混合使用,高灵敏度设备的使用以及设备通过供电系统、接地系统、互连系统以及空间辐射产生电磁干扰耦合等。而若干类型的单车系统又可组成一个庞大的、复杂的电子系统,构成静止状态的有线与无线通信局域网、运动状态的无线通信互连局域网,存在多类通讯天线,会引起频域和时域的混合干扰,这将使电磁环境已经比较恶劣的有限空间内的电磁频谱更加拥挤、电磁环境更加恶化,致使系统电磁兼容问题更加复杂。

随着计算机技术的发展,越来越多的工作已经能够使用计算机语言实现。计算机软件实现的优势在于能够有效的控制因人员差异造成的评价误差、运行速度快且稳定等优点。现代智能模式识别技术在近些年得到了快速的发展,在各个领域都有很好的应用。在电磁兼容领域,目前自动化测试已经较为普及,但是在测试中得到大量的测试数据却难以得到很好的利用,靠人眼分辨测试数据效率低下,迫切的需要自动化的数据处理技术。正是在这种需求背景下,本文借鉴模式识别理论提出了适合于计算机实现的干扰源自动辨识技术。3.2 干扰源辨识方案设计 3.2.1 模式识别的方法

模式识别(pattern recognition)是当前科学发展中的一门前沿科学,也是一门典型的交叉科学,它的发展与人工智能、计算机科学、传感技术、信息论、语言学等科学的研究水平息息相关,相辅相成。所谓模式识别是根据研究对象的特征或属性,利用计算机为中心的机器系统运用一定的分析算法认定它的类别,系统应使分类识别的结果尽可能地符合真实。模式识别涉及的理论与技术相当广泛,涉及多种数学理论、神经心理学、计算机科学、信号处理等等。从本质上讲,模式识别实际上是数据处理及信息分析,而从功能上讲,可以认为它是人工智能的一个分支。针对不同的对象和目的,可以用不同的模式识别理论方法。目前主流的技术是:统计模式识别、句法模式识别、模糊数学方法、神经网络方法、人工智能方法。

3.2.2 干扰源辨识方案

大型电子通信系统有许多的电子设备组成,这些设备在功能上的互补使得系统能够很好的完成设计任务。但是这些设备在完成任务的时候又会互相产生电磁干扰,严重的甚至影响到系统完成任务的能力。电磁兼容测试能够发现问题,找寻相关的干扰源。本文立足于以往的测试数据,以模式识别过程为基本导向,研究了一套适用于电磁兼容测试的干扰源辨别方案。基本思想是先建立关键设备的模板数据库,然后将受扰设备端的测试结果作为待辨识数据,将其通过干扰源辨识算法和模板库中的数据进行比较,最后辨识出干扰源。

干扰源辨识算法 干扰源辨识关键技术分析 4.1 数据预处理技术

在使用频谱仪进行现场测试的过程中,仪器会采集到三种信号的数据:有用信号、仪器内部噪声和外界环境噪声。数据预处理技术的作用正是用于消除噪声的影响。从信号处理的角度看,小波消噪是一个信号滤波的问题,尽管在很大程度上小波消噪可视为低通滤波,但是由于消噪后,还能成功的保留信号的特征,所以在这一点上,小波消噪方法又优于传统的低通滤波器。由此可见,小波消噪实际上是特征提取和低通滤波的综合。4.2 特征提取

在电磁兼容测试中,峰值信号是最为关心的信号。峰值信号所在频率和相应幅值是发现问题、解决问题的关键信息。峰值的判别可以根据测试数据的单调性确定。对测试点左右两侧进行单调性判断,如果该测试点的左侧为单调递增并且右侧为单调递减,则认定其为峰值点,否则不是峰值点。但是由实际的测试曲线可知,环境信号的测试结果中大部分都不是有用信号,而是频谱仪的底部噪声。频谱仪底噪是在一定范围内波动的随机数,若按单调性的方法进行峰值提取,必然会提取出很多的底噪数据,达不到提取干扰信号峰值的效果。所以在进行峰值提取前需要进行噪声阈值判断,对于大于该阈值的信号才进行峰值提取。

峰值提取流程图

4.3 相似度评价

现场电磁兼容的测试能够通过自动测试软件得到频谱特性曲线。干扰源的辨识即是对频谱特性曲线的辨识。频谱特性曲线具有整体特性和局部特性,上节的特征提取技术已经对特征进行了提取,本节提出相应的相似度评价指标以满足干扰源辨识的判别需求。

衡量相似度前,首先需要对电磁兼容测试曲线的特性进行分析。电磁兼容测试曲线辨识最重要特征在于相同频点或频段的趋势一致,而曲线幅值可以具有一定的差异。这是由于测试本身的可重复性差决定的,例如受试设备工作条件的微弱改变,测试距离的微弱改变,外界环境的变化等都可能导致测试的幅值发生一定的变化。如果采用单一的评价指标来衡量电磁兼容测试中的测试曲线的特性,则具有相当的局限性。这是因为无论是采用相关系数、相似离度、包络特征或峰值特征等单一特性都不能完整表现测试曲线的特性。所以需要一个综合的相似指标对干扰源辨识结果进行评价。5 小结

本文主要研究了电磁兼容现场测试中的干扰源辨识技术。本文着眼于实际的工程应用,首先对电磁兼容现场测试的背景及国内外在该项技术上的发展现状和趋势进行了研究,指出了进行电磁兼容现场测试的干扰源辨识的重要性和必性。在此基础上对电磁兼容现场测试的测试方法进行了研究,重点和电磁兼容标准测试作比较,阐述了现场测试相对于标准测试的不同点和复杂性。针对现场测试的特点,提出了微弱信号测试和现场抗饱和测试的测试方法。在对干扰源辨识的需求分析后,借鉴模式识别理论设计了一套干扰源自动辨识的辨识方案并提出干扰源辨识算法。对于干扰源模板的建立,本文给出了详细的测试方法和约束条件。在构建干扰源自动辨识系统的过程中突破了以下关键技术:数据预处理技术、特征提取技术和相似度评价技术。另外本文还存在一些问题有待进一步完善和研究:对干扰源模板的建立,还需要大量测试结果的验证并根据测试结果对模板的建立方法进行改善和优化;干扰源辨识技术中的特征提取方法还可做进一步研究,以找到其它合适的特征;对于综合评价指标的权重选择需要通过大量辨识结果的验证和优化等。参考文献

[1] 钱振宇.3C认证中的电磁兼容测试和对策[M].北京:电子工业出版社,2004 [2] 刘培国,侯冬云.电磁兼容基础[M].北京:电子工业出版社,2008 [3] Jin Tian,Yang Qiu and Liuyu Qian.Research on Algorithm of Digital FilteringBased on Video Information Security[C].the Fifth International Conference on Information Assurance and Security,IEEE Computer society,2009(8),593-596 [4] 陈淑凤,马晓庆等.电磁兼容试验技术[M].北京:北京邮电大学出版社,2001 [5] 刘易勇,郭恩全等.电磁干扰预测试系统研制[J].测控技术,2003 [6] 程君佳:虚拟暗室测试平台总体设计与算法研究[D].成都:电子科大学位论文,2007 [7] EMCSCANNER预诊断系统技术文档.加拿大:艾姆克公司,2006 [8] 盛骤,谢式千,潘承毅.概率论与数理统计[M].浙江大学:高等教育出版社,2004 [9] Craig F.Derewiany.Methods of performing computer controlled EMI compliance tests[J].New London IEEE,2010 [10] Clayton R.Paul.Introduction to electromagnetic compatibility[M].New York:Wiley,1992 [11] 周辉.齿轮故障的特征提取与模式识别技术研究[D],2012 [12] 刘鹏程,邱扬.电磁兼容原理及技术[M].北京:高等教育出版社,1993

第二篇:现代检测技术论文

学习报告

经过这学期现代检测技术的学习,让我对检测技术有了一个全新的认识和理解。现代检测技术的快速发展,让我们在军事、航天、医学、工业生产、食品等很多领域也取得了巨大的进步。这让我以前对现代检测技术浅薄的认识发生很 大的变化,让我对现代检测技术的发展充满信心!

检测是指在各类生产、科研、试验及服务等各个领域,为及时获得被测、被控对象的有关信息而实时或非实时地对一些参量进行定性检查和定量测量。对工业生产而言,采用各种先进的检测技术对生产全过程进行检查、监测,对确保安全生产,保证产品质量,提高产品合格率,降低能源和原材料消耗,提高企业的劳动生产率和经济效益是必不可少的。在军工生产和新型武器、装备研制过程中更离不开现代检测技术,对检测的需求更多,要求更高。在医疗领域,用各种先进的医疗检测仪器可大大提高疾病的检查、诊断速度和准确性,有利于争取时间,对症治疗,增加患者战胜疾病的机会。而食品检测技术的发展,让地沟油、三聚氰胺等不健康物质无所遁形。

中国有句古话:“工欲善其事,必先利其器”,用这句话来说明检测技术在我国现代化建设中的重要性是非常恰当的,今天我们所进行的“事”就是现代化建设大业,而“器”则是先进的检测手段。科学技术的进步、制造业和服务业的发展军队现代化建设的大量需求,促进了检测技术的发展,而先进的检测手段也可提高制造业、服务业的自动化、信息化水平和劳动生产率,促进科学研究和国防建设的进步,提高人民的生活水平。

从以上几点我们可以看出,现代检测技术具有非常好的发展前景。对个人来说,检测技术的发展会给我们提供非常好的就业机会和发展前景,尤其对我们测控技术与仪器这个专业的作用更大。对社会来说,检测技术促进了人类的发展和进步。

现代检测技术的发展几乎是与计算机技术同步、协调向前发展的,计算机技术是检测技术的核心,若脱离开计算机、软件、网络、通信发展的轨道,检测技术产业就不可能壮大。检测技术的发展主要包括传感器的发展、检测手段的发展、测量信号处理的发展。第一、传感器的发展:传感器的作用主要是获取信息,是信息技术的源头。主要发展方向是面向智能化传感器、多传感器、多功能化和高精度化及传感器的融合。第二、检测手段的发展:主要面向硬件功能软件化、集成模块化、参数整定与修改实时化、硬件平台通用化。第三、测量信号处理的发展:主要是面向信号处理芯片方向。这些都与我们专业息息相关,所以我们更要学好现代检测技术。

当然,现代检测技术也并不完美,它也有自己的缺点和局限性。在很多领域检测的误差还比较大,灵敏度和精确度还需要提高!同时,一些落后的、对人类健康有害的检测技术应该被更加智能化、人性化的检测技术所取代。

在以后的学习的生活中,现代检测技术对未来各行各业发展具有有很大作用。对我们以后的发展尤为重要,让我以后对检测技术更加的重视。也希望以后能从事这方面的工作并在这个行业做出自己的贡献。

第三篇:现代检测技术总结报告

现代检测技术总结报告

检测最基本的作用是延伸、扩展、补充或代替人的视觉、听觉、触觉等器官的功能。检测技术服务的领域非常广泛,在现代化工业生产过程、国防军事、环境保护等方面都有极大的应用。可以说只要是自动化的就有检测技术。检测技术是自动化和信息化的基础与前提。

从这门课程学习内容来看,包括传感器技术、误差理论、测量技术、抗干扰技术还有电量转换的技术。在现代检测仪器和检测系统的种类、型号、性能千差万别,但作用都是用于各种物理或化学成分等参量的检测。传感器是检测系统的起点。传感器的作用是感受指定被测参量的变化并按照一定的规律转换成一个相应的便于传递的输出信号。一般都转换成电信号,这样信号容易传输。

在检测系统中,测量肯定存在误差,所以误差理论的学习必不可少。正确认识误差的性质,分析误差的产生原因,以减少甚至消除误差。正确的处理测量到的数据,合理的计算所得结果,以便在一定条件下得到更接近与真值的数据。这样对于监测的量可以的到更精确的值,对于控制系统,可以更好地控制被控对象。

不同的被测对象有不同的测量方法,就算是同一种对象在不同的情况下也有不同的方法。测量技术的学习也不可少。根据被测对象的特性可以研究出不同的测量方法,以便满足不同的实际需求。信号在传输的时候,难免会有各种干扰,抗干扰的技术的学习也很重要。

随着科学技术的不断发展,现代检测系统越来越数字化、自动化、智能化。特别是在信号处理这一块,通常以各种单片机、微处理器甚至是工业控制计算机为核心来构建。所以熟悉一些芯片、单片机或者微处理器的功能,并学会使用,就变得很重要了。

第四篇:现代检测技术作业概要

现代检测技术

院:

业:

名:

号:

指导教师:

2014年12月30日 一 现代检测技术的技术特点和系统的构成

1、现代检测技术特点

(1)测量过程软件控制

智能检测系统可以是新建自稳零放大,自动极性判断,自动量程切换,自动报警,过载保护,非线性补偿,多功能测试和自动巡回检测。由于有了计算机,上述过程可采用软件控制。测量过程的软件控制可以简化系统的硬件结构,缩小体积,降低功耗,提高检测系统的可靠性和自动化程度。(2)智能化数据处理

智能化数据处理是智能检测系统最突出的特点。计算机可以方便、快捷地实现各种算法。因此,智能检测系统可用软件对测量结果进行及时、在线处理,提高测量精度。另一方面,智能检测系统可以对测量结果再加工,获得并提高更多更可靠的高质量信息。

智能检测系统中的计算机可以方便地用软件实现线性化处理、算术平均值处理、数据融合计算、快速的傅里叶变换(FFT)、相关分析等各种信息处理功能。(3)高度的灵活性

智能检测系统已以软件工作为核心,生产、修改、复制都比较容易,功能和性能指标更加方便。而传统的硬件检测系统,生产工艺复杂,参数分散性较大,每次更改都涉及到元器件和仪器结构的改变。(4)实现多参数检测与信息融合

智能检测系统设备多个测量通道,可以有计算对多路测量通进行检测。在进行多参数检测的基础上,依据各路信息的相关特性,可以实现智能检测系统的多传感器信息融合,从而提高检测系统的准确性、可靠性和容错性。(5)测量速度快

高速测量时智能检测系统追求的目标之一。所谓高速检测,是指从检测开始,经过信号放大、整流滤波、非线性补偿、A/D转换、数据处理和结果输出的全过程所需要的时间。目前,高速A/D转换的采样速度在2000MHz以上,32位PC机的时钟频率也在500MHz以上。随着电子技术的迅猛发展,高速显示、高速打印、高速绘图设备也日臻完善。这些都为智能检测系统的快速检测提供了条件。(6)智能化功能强

以计算机为信息处理核心的智能检测系统具有较强的智能功能,可以满足各类用户的需要。典型的智能功能有:

1)测量选择功能

智能检测系统能够实现量程转换、信号通道和采样方式的自动选择,使系统具有对被测量对象的最优化跟踪检测能力。

2)故障诊断功能

智能检测系统结构复杂,功能较多,系统本身的故障诊断尤为重要,系统可以根据检测通道的特性和计算机本身的自诊断能力,检查个单元故障,显示故障部位,故障原因和应采取的故障排除方法。

3)其他智能功能

智能检测系统还可以具备人机对话、自校准、打印、绘图、通信、专家知识查询和控制输出等智能功能。

2、系统的构成 现代检测技术的一个明显特点就是传感器采用电参量、电能量或数字传感器以及微型集成传感器,信号处理采用集成电路和微处理器。

尽管现代检测仪器和检测系统的种类、型号繁多,用途、性能千差万别,但它们的作用都是用于各种物理或化学成分等参量的检测,其组成单元按信号传递的流程来区分:通常由各种传感器(变送器)将非电被测物理或化学成分参量转换成电信号,然后经信号调理(信号转换、信号检波、信号滤波、信号放大等)、数据采集、信号处理后显示并输出(通常有4~20 mA、经D/A转换和放大后的模拟电压、开关量、脉宽调制PWM、串行数字通信和并行数字输出等),由以上设备以及系统所需的交、直流稳压电源和必要的输入设备(如拨动开关、按钮、数字拨码盘、数字键盘等)便组成了一个完整的检测(仪器)系统,其各部分关系如图0-1所示。

(1)传感器

传感器是检测系统与被测对象直接发生联系的器件或装置。它的作用是感受指定被测参量的变化并按照一定规律将其转换成一个相应的便于传递的输出信号。传感器通常由敏感元件和转换部分组成;其中,敏感元件为传感器直接感受被测参量变化的部分,转换部分的作用通常是将敏感元件的输出转换为便于传输和后续环节处理的电信号。

图0-1 现代检测系统一般组成框图

例如,半导体应变片式传感器能把被测对象受力后的微小变形感受出来,通过一定的桥路转换成相应的电压信号输出。这样,通过测量传感器输出电压便可知道被测对象的受力情况。这里应该说明,并不是所有的传感器均可清楚、明晰地区分敏感和转换两部分;有的传感器已将这两部分合二为一,也有的仅有敏感元件(如热电阻、热电偶)而无转换部分,但人们仍习惯称其为传感器(如人们习惯称热电阻、热电偶为温度传感器)。

传感器种类繁多,其分类方法也较多。主要有按被测参量分类法(如温度传感器、湿度传感器、位移传感器、加速度传感器、荷重传感器等),按传感器转换机理(工作原理)分类法(如电阻式、电容式、电感式、压电式、超声波式、霍尔式等)和按输出信号分类法(分为模拟式传感器和数字式传感器两大类)等。采用按被测参量分类法有利于人们按照目标对象的检测要求选用传感器,而采用按传感器转换机理分类法有利于对传感器做研究和试验。

传感器作为检测系统的信号源,其性能的好坏将直接影响检测系统的精度和其他指标,是检测系统中十分重要的环节。本书主要介绍工程上涉及面较广、应用较多、需求量大的各种物理量、化学成分量常用的先进的检测技术与实现方法以及如何选用合适的传感器,对传感器要求了解其工作原理、应用特点,而对如何提高现有各种传感器本身的技术性能,以及设计开发新的传感器则不作深入研究。通常检测仪器、检测系统设计师对传感器有如下要求: a.精确性

传感器的输出信号必须准确地反应其输入量,即被测量的变化。因此,传感器的输出与输入关系必须是严格的单值函数关系,最好是线性关系; b.稳定性

传感器的输入、输出的单值函数关系最好不随时间和温度而变化,受外界其他因素的干扰影响亦应很小,重复性要好; c.灵敏度

即要求被测参量较小的变化就可使传感器获得较大的输出信号; d.其他

如耐腐蚀性好、低能耗、输出阻抗小和售价相对较低等。各种传感器输出信号的形式也不尽相同,通常有电荷、电压、电流、频率等,在设计检测系统及选择传感器时对此也应给予重视。

(2)信号调理

信号调理在检测系统中的作用是对传感器输出的微弱信号进行检波、转换、滤波、放大等,以方便检测系统后续环节处理或显示。例如,工程上常见的热电阻型数字温度检测(控制)仪表,其传感器Ptl00的输出信号为热电阻值的变化。为便于处理,通常需设计一个四臂电桥,把随被测温度变化的热电阻阻值转换成电压信号;由于信号中往往夹杂着50 Hz工频等噪声电压,故其信号调理电路通常包括滤波、放大、线性化等环节。需要远传的话,通常采取D/A或V/I电路将获得的电压信号转换成标准的4~20 mA电流信号后再进行远距离传送。检测系统种类繁多,复杂程度差异很大,信号的形式也多种多样,各系统的精度、性能指标要求各不相同,它们所配置的信号调理电路的多寡也不尽一致。对信号调理电路的一般要求是:

1)能准确转换、稳定放大、可靠地传输信号; 2)信噪比高,抗干扰性能要好。

(3)数据采集

数据采集(系统)在检测系统中的作用是对信号调理后的连续模拟信号进行离散化并转换成与模拟信号电压幅度相对应的一系列数值信息,同时以一定的方式把这些转换数据及时传递给微处理器或依次自动存储。数据采集系统通常以各类模/数(A/D)转换器为核心,辅以模拟多路开关、采样/保持器、输入缓冲器、输出锁存器等。数据采集系统的主要性能指标是: 1)输入模拟电压信号范围,单位 V; 2)转换速度(率),单位 次/s;

3)分辨率,通常以模拟信号输入为满度时的转换值的倒数来表征;

4)转换误差,通常指实际转换数值与理想A/D转换器理论转换值之差。

(4)信号处理

信号处理模块是现代检测仪表、检测系统进行数据处理和各种控制的中枢环节,其作用和人的大脑相类似。现代检测仪表、检测系统中的信号处理模块通常以各种型号的单片机、微处理器为核心来构建,对高频信号和复杂信号的处理有时需增加数据传输和运算速度快、处理精度高的专用高速数据处理器(DSP)或直接采用工业控制计算机。

当然,由于检测仪表、检测系统种类和型号繁多,被测参量不同,检测对象和应用场合各异,用户对各检测仪表的测量范围、测量精度、功能的要求差别也很大。对检测仪表、检测系统的信号处理环节来说,只要能满足用户对信号处理的要求,则是愈简单愈可靠,成本愈低愈好。对一些容易实现且传感器输出信号大,用户对检测精度要求不高,只要求被测量不要超过某一上限值,一旦越限,送出声(喇叭或蜂鸣器)、光(指示灯)信号即可的检测仪表的信号处理模块,往往只需设计一个可靠的比较电路,该电路的一端为被测信号,另一端为表示上限值的固定电平;当被测信号小于设定的固定电平值,比较器输出为低电平,声、光报警器不动作,一旦被测信号电平大于固定电平值,比较器翻转,经功率放大驱动扬声器、指示灯动作。这种简单系统的信号处理就很简单,只要一片集成比较器芯片和几个分立元件即可。但对于热处理和炉温检测、控制系统来说,其信号处理电路将大大复杂化。因为对热处理炉炉温测控系统,用户不仅要求系统高精度地实时测量炉温,而且需要系统根据热处理工件的热处理工艺制定的时间-温度曲线进行实时控制(调节)。如果采用一般通用的中小规模集成电路来构建这一类较复杂的检测系统的信号处理模块,则不仅构建技术难度很大,而且所设计的信号处理模块必然结构复杂,调试困难,性能和可靠性差。

由于微处理器、单片机和大规模集成电路技术的迅速发展和这类芯片价格不断降低,对稍复杂一点的检测系统(仪器)其信号处理环节都应考虑选用合适型号的单片机、微处理器、DSP或新近开始推广的嵌入式模块为核心来设计和构建(或者由工控机兼任),从而使所设计的检测系统获得更高的性能价格比。

(5)信号显示

通常人们都希望及时知道被测参量的瞬时值、累积值或其随时间的变化情况,因此,各类检测仪表和检测系统在信号处理器计算出被测参量的当前值后通常均需送至各自的显示器作实时显示。显示器是检测系统与人联系的主要环节之一,显示器一般可分为指示式、数字式和屏幕式三种。

1)指示式显示又称模拟式显示。被测参量数值大小由光指示器或指针在标尺上的相对位置来表示。用有形的指针位移模拟无形的被测量是较方便、直观的。指示式仪表有动圈式和动磁式等多种形式,但均有结构简单、价格低廉、显示直观的特点,在检测精度要求不高的单参量测量显示场合应用较多。指针式仪表存在指针驱动误差和标尺刻度误差,这种仪表的读数精度和仪器的灵敏度等受标尺最小分度的限制,如果操作者读仪表示值时,站位不当就会引入主观读数误差。

2)数字式显示以数字形式直接显示出被测参量数值的大小。在正常情况下,数字式显示彻底消除了显示驱动误差,能有效地克服读数的主观误差,(相对指示式仪表)可提高显示和读数的精度,还能方便地与计算机连接并进行数据传输。因此,各类检测仪表和检测系统正越来越多地采用数字式显示方式。

3)屏幕显示实际上是一种类似电视显示方法,具有形象性和易于读数的优点,又能同时在同一屏幕上显示一个被测量或多个被测量的(大量数据式)变化曲线,有利于对它们进行比较、分析。屏幕显示器一般体积较大,价格与普通指示式显示和数字式显示相比要高得多,其显示通常需由计算机控制,对环境温度、湿度等指标要求较高,在仪表控制室、监控中心等环境条件较好的场合使用较多。

(6)输出 在许多情况下,检测仪表和检测系统在信号处理器计算出被测参量的瞬时值后除送显示器进行实时显示外,通常还需把测量值及时传送给控制计算机、可编程控制器(PLC)或其他执行器、打印机、记录仪等,从而构成闭环控制系统或实现打印(记录)输出。检测仪表和检测系统的信号输出通常有4~20 mA的电流信号,经D/A转换和放大后的模拟电压、开关量、脉宽调制PWM、串行数字通信和并行数字输出等多种形式,需根据测控系统的具体要求确定。

(7)设备

输入设备是操作人员和检测仪表或检测系统联系的另一主要环节,用于输入设置参数,下达有关命令等。最常用的输入设备是各种键盘、拨码盘、条码阅读器等。近年来,随着工业自动化、办公自动化和信息化程度的不断提高,通过网络或各种通信总线利用其他计算机或数字化智能终端,实现远程信息和数据输入的方式愈来愈普遍。最简单的输入设备是各种开关、按钮,模拟量的输入、设置,往往借助电位器进行。

(8)稳压电源

一个检测仪表或检测系统往往既有模拟电路部分,又有数字电路部分,通常需要多组幅值大小要求各异但稳定的电源。这类电源在检测系统使用现场一般无法直接提供,通常只能提供交流220 V工频电源或+24 V直流电源。检测系统的设计者需要根据使用现场的供电电源情况及检测系统内部电路的实际需要,统一设计各组稳压电源,给系统各部分电路和器件分别提供它们所需的稳定电源。

最后,值得一提的是,以上七个部分不是所有的检测系统(仪表)都具备的,而且对有些简单的检测系统,其各环节之间的界线也不是十分清楚,需根据具体情况进行分析。

另外,在进行检测系统设计时,对于把以上各环节具体相连的传输通道,也应给予足够的重视。传输通道的作用是联系仪表的各个环节,给各环节的输入、输出信号提供通路。它可以是导线、管路(如光导纤维)以及信号所通过的空间等。信号传输通道比较简单,易被人们忽视,如果不按规定的要求布置及选择,则易造成信号的损失、失真或引入干扰等,影响检测系统的精度。二 简述现代检测技术中数据处理内容和处理的方法

1、数据处理内容

主要是测量误差的分析。

而测量误差有可以分为随机误差、系统误差、粗大误差。在同一测量条件下,多次重复测量同一量值时,测量误差的大小和正负符号以不可预知的方式变化,这种误差叫做随机误差,又称偶然误差。随机误差是由很多复杂因素的微小变化的总和所引起的,因此分析比较困难。(1)系统误差

当在一定的相同条件下,对同一物理量进行多次测量时,误差的大小和正负总保持不变或者误差按一定的规律变化,这种误差叫做系统误差。引起系统误差的因素主要有:材料、零部件及工艺缺陷;环境温度、湿度、压力的变化以及其它外界干扰等。可以利用修正值来减小或消除系统误差(2)粗大误差

在相同的条件下,多次重复测量同一量时,明显地歪曲了测量结果的误差,称为粗大误差,简称粗差。粗差是由于疏忽大意,操作不当,或测量条件的超常变化而引起的。含有粗大误差的测量值称为坏值,所有的坏值都应去除,但不是主观或随便去除,必须科学地舍弃。正确的实验结果不应该包含有粗大误差。

2、数据处理方法

(1)有效数字和数据舍入规则

1)有效数字

测量结果和数据处理中,确保几位有效数字是很重要的问题,测量结果既然包含误差,说明测量值实际就是一个近似值,在记录测量结果或者是数据运算时取多少有效数字,应该以测量能达到的准确度为依据,如果认为测量结果中小数点后的位数越多,数据就越准确这是片面的。

2)数据舍入规则

对于位数很多的的近似数,当有效位数确定以后,其后面多余的数组应舍去,而保留的有效数字最末以为数字应按下面的舍入规则进行凑整。

① 若舍去部分的数值小于保留部分末位的半个单元,则末位不变。②若舍去部分的数值大于保留部分末位的半个单元,则末位加1。

③若舍去部分的数值等于保留部分末位的半个单元,则末位凑成偶数,即末位为偶数时不变,末位为奇数时加1。

(2)数据运算规则

在近似运算中,为保证最后结果又尽可能公安的准确度,所有参与运算的数据,在有效数字后可多保留一位数组作为参考数字,或称为安全数字。

1)在加减运算时,各运算数据以小数位数最少的数据位数为准,其余各数据可多取一位小数,单最后结果应与小数位数最少的数据小数位相同。

2)在乘除运算时,个运算数据应以有效位数最少的数据为准,其余各数据要比有效位数最少的数据位数多取一位数字,而最后结果应与有效位数最少的数据位数相同。3)在平方或开平方运算时,平方相当于乘法运算,开方是平方的逆运算,故可以按照乘除法运算处理。

4)在对数运算时,n位有效数字的数据应该是用n位对数表,或用n+1位对数表,以免损失精度。)三角函数运算中,所取函数值得位数应随角度误差的减小而增多。

(3)最小二乘法

最小二乘算法的基本原理是将输入数据与预先设计好的含有非周期分量和某些谐波分量的函数按最小二乘法原理进行拟合,从中求出输入信号中所包含的基频分量和各种谐波分量的幅值和相角。为便于下面的分析和计算,假设系统故障的暂态电流包含有衰减性直流分量和小于6次谐波的各种整数次谐波分量,则可给定电流表达式: 在我们研究两个变量(x, y)之间的相互关系时,通常可以得到一系列成对的数据(x1, y1、x2, y2...xm , ym);将这些数据描绘在x-y直角坐标系中(如图1), 若发现这些点在一条直线附近,可以令这条直线方程如(式1-1)。

Y计= a0 + a1 X(式1-1)其中:a0、a1 是任意实数

为建立这直线方程就要确定a0和a1,应用《最小二乘法原理》,将实测值Yi与利用(式1-1)计算值(Y计=a0+a1X)的离差(Yi-Y计)的平方和〔∑(YiY计)2(式1-2)

把(式1-1)代入(式1-2)中得:

φ = ∑(Yia1 Xi)2(式1-3)

当∑(Yi-Y计)平方最小时,可用函数 φ 对a0、a1求偏导数,令这两个偏导数等于零。

亦即:

m a0 +(∑Xi)a1 = ∑Yi(式1-6)

(∑Xi)a0 +(∑Xi2)a1 = ∑(Xi, Yi)(式1-7)

得到的两个关于a0、a1为未知数的两个方程组,解这两个方程组得出:

a0 =(∑Yi)/ m(∑Xi ∑Yi)] / [n∑Xi2-(∑Xi)2)](式1-9)这时把a0、a1代入(式1-1)中, 此时的(式1-1)就是我们回归的元线性方程即:数学模型。

反映了除y与x存在直线关系以外的一切因素(包括x对y的非线性影响及其他一切未加控制的随机因素)所引起的y的变异程度,称为离回归平方和或剩余平方和,所以要求它最小,即其它影响因素最小。

反映了y的总变异程度,称为y的总变异平方和。

最小二乘法是处理各种观测数据进行测量平差的一种基本方法。

如果以不同精度多次观测一个或多个未知量,为了求定各未知量的最可靠值,各观测量必须加改正数,使其各改正数的平方乘以观测值的权数的总和为最小。因此称最小二乘法。

一般线性情况

若含有更多不相关模型变量t1,...,tq,可如组成线性函数的形式

即线性方程组

通常人们将tij记作数据矩阵 A,参数xj记做参数矢量x,观测值yi记作b,则线性方程组又可写成:

即 Ax = b 上述方程运用最小二乘法导出为线性平差计算的形式为:

三 简述信息处理的内容和算法

对信息处理实质就是对信号处理

为了深入了解信号的物理实质,将其进行分类研究是非常必要的。以不同的角度来看待信号,我们可以将信号分为

1.确定性信号与非确定性信号

2.能量信号与功率信号

3.时限信号与频限信号

4.连续时间信号与离散时间信号

5.物理可实现信号

1.1确定性信号与非确定性信号 a)确定性信号

可以用明确的数学关系式描述的信号称为确定性信号。它可以进一步分为周期信号、非周期信号与准周期信号等,如下图所示。

周期信号是经过一定时间可以重复出现的信号,满足条件:

x(t)= x(t + nT)式中,T——周期,T=2π/ω0;ω0——基频;n=0,±1, …。

非周期信号是不会重复出现的信号。例如,锤子的敲击力;承载缆绳断裂时应力变化;热电偶插入加热炉中温度的变化过程等,这些信号都属于瞬变非周期信号,并且可用数学关系式描述。例如,下图是单自由度振动模型在脉冲力作用下的响应。

准周期信号是周期与非周期的边缘情况,是由有限个周期信号合成的,但各周期信号的频率相互间不是公倍关系,其合成信号不满足周期条件,例如 是两个正弦信号的合成,其频率比不是有理数,不成谐波关系。

这种信号往往出现于通信、振动系统,应用于机械转子振动分析,齿轮噪声分析,语音分析等场合

b)非确定性信号

非确定性信号不能用数学关系式描述,其幅值、相位变化是不可预知的,所描述的物理现象是一种随机过程。例如,汽车奔驰时所产生的振动;飞机在大气流中的浮动;树叶随风飘荡;环境噪声等。

1.1 信号的时域分析

信号时域分析又称之为波形分析或时域统计分析,它是通过信号的时域波形计算信号的均值、均方值、方差等统计参数。信号的时域分析很简单,用示波器、万用表等普通仪器就可以进行分析。1.信号类型确定

信号时域分析(波形分析)的一个重要功能是根据信号的分类和各类信号的特点 确定信号的类型。然后再根据信号类型选用合适的信号分析方法。

2.周期T

对周期信号来说,可以用时域分析来确定信号的周期,也就是计算相邻的两个信号波峰的时间差。

3.均值

均值E[x(t)]表示集合平均值或数学期望值.基于随机过程的特性,可用时间间隔T内的幅值平均值表示,即

4.均方值

信号x(t)的均方值E[x2(t)],或称为平均功率,其表达式为:

值表达了信号的强度,其正平方根值,又称为有效值,也是信号的平均能量的一种表达。在工程信号测量中一般仪器的表头示值显示的就是信号的均方值。

5.方差

信号x(t)的方差定义为:

称为均方差或标准差。可以证明,描述了信号的波动量;

描述了信号的静态量。

方差反映了信号绕均值的波动程度。

1.3 信号的相关分析 1.3.1 相关的概念 相关是指客观事物变化量之间的相依关系,在统计学中是用相关系数来描述两个变量x,y之间的相关性的,即:

式中pxy是两个随机变量波动量之积的数学期望,称之为协方差或相关性,表征了x、y之间的关联程度;、分别为随机变量x、y的均方差,是随机变量波动量平方的数学期望。

自然界中的事物变化规律的表现,总有互相关联的现象,不一定是线形相关,也不一定是完全无关,如:人的身高与体重,吸烟与寿命的关系。

2.4 信号的幅值分析

信号的幅值分析包括信号的幅值概率密度函数和幅值概率分布函数,它反映了幅值信号落在不同强度区域的概率情况。

a)概率密度函数

随机信号的概率密度函数定义为:

对于各态历经过程:

b)概率分布函数

概率分布函数是信号幅值小于或等于某值R的概率,其定义为:

概率分布函数又称之为累积概率,表示了落在某一区间的概率,亦可写为:

典型信号的概率密度函数和概率分布函数如下图所示:

1.5 信号的表述

1.5.1 周期信号的表述

一般周期信号可以利用傅里叶级数展开成多个乃至无穷多个不同频率的谐波信号的线性叠加。傅里叶级数展开式包含三角函数展开式、复指数展开式。

1三角函数展开式

.对于满足狄里赫勒条件:函数在(-T/2,T/2)区间连续或只有有限个第一类间断点,且只有有限个极值点的周期信号,均可展开成:

式中常值分量、余弦分量幅值、正弦分量幅值分别为

式中:a0,an,bn为傅里叶系数;T0 为信号的周期,也是信号基波成份的周期;

ω0=2π/T0为信号的基频, nω0为n次谐频。由三角函数变换,可将式中的正、余弦同频项合并

式中:常值分量 A0=a0 各谐波分量的幅值

各谐波分量的初相角

2、复指数展开式 利用欧拉公式

2.6 信号的频谱分析

信号频谱分析是采用傅立叶变换将时域信号x(t)变换为频域信号X(f),从而帮助人们从另一个角度来了解信号的特征。时域信号x(t)的傅氏变换为:

式中X(f)为信号的频域表示,x(t)为信号的时域表示,f为频率。傅里叶变换的主要性质

傅里叶变换是信号分析与处理中,时域与频域之间转换的基本数学工具。掌握傅里叶变换的主要性质,有助于了解信号在某一域中变化时,在另一域中相应的变化规律,从而使复杂信号的计算分析得以简化。四 应用实例---天然气管道腐蚀检测技术

天然气管道腐蚀检测技术 在现有的技术条件下,人们认为钢质管道传输送危险液体和气体被认为是安全有效的方式,但是随着时间的推移和管道自身以及周围环境的变化,管道会出现不可避免的缺陷,这种随时间的的积累的缺陷很容易导致事故的发生,其表现的形式主要是腐蚀穿孔,钢制管道腐蚀有内腐蚀和外输入介质含有的腐蚀性杂质引起管壁均匀减薄等一系列问题。管道外腐蚀是指在外防腐层破坏,阴极保护不完全,被屏蔽情况下放生的。发生后腐蚀速度与土壤腐蚀性,阴极保护度等因相关。防腐层失效的主要原因是土壤环境中含有的化学,物理破坏,运行条件造成的图层老化,阴极保护副作用造成图层剥离,以及外界活动破坏的防腐层。

钢质管道内腐蚀检测技术

钢质管道内腐蚀检测技术是通过装有无损检测设备及数据采集、处理和存储数据系统的智能清理管道器,完成对管体的逐级扫描,达到对缺陷检测的目的。

(1)漏磁法智能清管器

它是通过检测器是目前应用历史较长、技术较为完善的设备,其主要通途在管道穿孔之前确定或扫描因内、外腐蚀引起的壁厚变化情况,同时也能检测出管壁的凹痕等缺陷。

磁通法检测器一般由三个模块组成各模块之间由联轴节连接,而其表现形式主要为腐蚀穿如图l所示:钢质管道腐蚀有内腐蚀

图1 漏磁通法检测器的结构示意图

第一个模块为电池模块,中间为探测漏磁的传感器模块,第三个为仪器模块。漏磁通法检测的基本原理是建立在铁磁料的高磁导率这一特性之上的。其检测的基本原理如图2所示:

钢管中因腐蚀而产生缺陷处的磁导率远小于钢管的磁导率,钢管在外加磁场作用下被磁化,当钢管中无缺陷时,磁力线绝大部分通过钢管,此时磁力线均匀分布;当钢管内部有缺陷时,磁力线发生弯曲,并且有一部分磁力线泄漏出钢管表面,检测被磁化钢管表面逸出的漏磁通,就可判断缺陷是否存在。

漏磁通法适用于检测中小型管道,可以对各种管壁缺陷进行检验,检测的管壁不能太厚,干扰因素多,空间分辨力低,另外,小而深的管壁缺陷处的漏磁信号要比形状平滑但很严重的缺陷处的信号大得多,所以漏磁检测数据往往需要经过校验才能使用。检测过程中当管道所采用的材料混有杂质时,还会出现虚假数据。使用漏磁法检测管壁厚度时,检测信号易受到管壁腐蚀缺陷的长度,深度和缺陷形等因素的影响。当腐蚀缺陷的面积大于探头的灵敏区时,管壁厚度的检测精度高。但是,当腐蚀缺陷的面积小于探头的灵敏区时,管壁厚度的检测精度难以得到保证。

因此,漏磁检测装置分为高分辨率和低分辨率两种。高,低分辨率漏磁检测装置的划分以所用探头数的多少或各探头间的周向间距而定。探头数愈多,各探头之间的周向间距愈小,分辨率愈高,则检测精度愈高。高分辨率漏磁检测装置对槽型缺陷具有良好的检测效果,对长宽比大于2,宽度小于探头周向间距的槽型缺陷而言,当采用探头周向间距为30 40mm的漏磁检测装置检测时,壁厚的检测值明显偏小。而采用探头周向间距为8ram的漏磁检测装置再次对这种缺陷进行检测时,则能精确测量壁厚。

(2)超声波裂纹检测仪。

管内超声波在役检测原理见图3/多i:示。垂直于管道壁的超声波探头对管道壁发出一组超声波脉冲后,探头首先接收到由管道壁内表面反射的回波(前波),随后接收到由管道壁缺陷或管道壁外表面反射的回波(缺陷波或底波)。于是,探头至管道壁内表面的距离A与管道壁厚度T可以通过前波时间以及前波和缺陷波(或底波)的时间差来确定:

A--tA/2(1)T----tbn,/2(2)式中,t,为第一次反射回波(前波)时间,t。为第二次反射回波(底波或缺陷波)时间,n,为超声波在介质中的声速,n。为超声波在管道中的声速。不过,仅仅根据管道壁厚度T曲线尚无法判别管道属内壁缺陷还是外壁缺陷,还需要根据探头至管道壁内表面的距离A曲线来判别。当外壁腐蚀减薄时,距离A曲线不变·而当内壁腐蚀减薄时,距离A曲线与壁厚T曲线呈反对称。于是,根据距离A和壁厚T两条曲线,即可确定管道壁缺陷,并判别管道是内壁腐蚀减薄缺陷还是外壁腐蚀减薄缺陷。

(3)涡流检测技术。涡流检测技术的原理是:在涡流式检测器的两个初级线圈内通以微弱的电流,使钢管表面因

图3管内超声波检测原理示意圈

电磁感应而产生涡流,用次级线圈进行检测。若管壁没有缺陷,每个初级线圈上的磁通量均与次级线圈上的磁通量相等,由于反相连接,次级线圈上不产生电压。有缺陷时,磁通发生紊乱,磁力线扭曲,使次级线圈的磁失去平衡而产生电压。通过对该电压的分析,检测出腐蚀情况。2.2钢质管道外腐蚀检测技术国内外埋地钢质管道外防腐层检测技术方法很多,但就其信号源来说,都可归纳为直流法和交流法两种。当今防腐层状况检测技术大多是通过管道上方地面测量或防腐层性能的间接测试而完成,这里主要介绍两种地面常用的检测技术。

1)Pearson(PS)(皮尔逊)检测法

Pearson检测法由美国人Pear-SOn提出。该方法需要在管道与大地之间施加1000 Hz的交流信号,该交流电会在管道防腐层的破损处流向大地,从而在破损点的上方形成交流电压梯度,其电流密度随着离防腐层破损点距离的增加而减小。两名操作者相距3 6m沿管线上方(与探管机配合使用)检测地面电压梯度。检测电极可分别由两个操作人员的人体代替,用人体对地的耦合电容来检测电压梯度信号,并通过链式电缆传送到接受装置,经过滤波放大后,由指示仪表指示检测结果,故该方法又称为“人体阻容法”。这种方法具有较高的检测效率,但钡9量结果与操作人员技术和经验有很大关系。这时不同的土壤和涂层电阻都能引起信号改变,可能被误认为是涂层缺陷,没有现场经验的人不易确定涂层缺陷的位置,或者不能确定是否存在有涂层缺陷。该方法具有识别破损点大小的功能,在长输管道的检测与运行维护中使用效果较好。

2)多频管中电流法a℃A母 多频管中电流法应用较为简便。检测时将发射机发射的检测信号供入管道如图4所示,在地面上沿管道记录管道中各测点流过的电流值,观测数据经过软件处理即得出检测结果。图形结果可直接显示破损点位置,也可定性地判断各段防腐层的老化状况。若要定量地测量防腐层的状况,则可用不同频率的信号电流进行类似测量,将测量数据通过GD.FFW软件,便算出各段防腐层的绝缘电阻值Rg。参照行业标准即可判定防腐层的状态级别,检测的原始数据及分析结果可以作为防腐数据库的原始资料。多频管中电流法其原理为:当

检测信号从管道某一点供入后,电流会通过管道经大地流回发射机,并在管道流动中随距离增加而衰减。对于有一定长度的管道,电流 I随距离x成指数衰减。

在进行同一组观测时,频率是不变的。如果仪器的发射机及接收机都能提供几种测试频率,则可以用几个不同的频率对同一管段进行测定,然后解算出所需要的结果。如果管道内的第n点与n+l点之间防腐层出现破损,则部分信号电流将从破损处流人土壤中。因此Idb曲线在这两点间将有异常的衰减,同时在Y曲线上会出现一个明显的脉冲形跃变。这就是利用电流的异常衰变确定防腐层破损点的原理。多频管中电流法就是在不同情况下,以Rg、L、c作为待定变量,以不同频率耐相同昝道上的不测结果YI、Y2、Y3等进行反演求解,进而推算出防腐层的绝电阻Rg。参照石油天然气的行标准中的标准,即可判定防腐状态级别。

第五篇:入侵检测技术论文

目录

第一章 绪论

1.1 入侵检测技术的背景 1.2 程序设计的目的 第二章 入侵检测系统 2.1 网络入侵概述

2.2 网络存在的安全隐患

2.3 网络入侵与攻击的常用手段 2.4 入侵检测技术

2.4.1 误用入侵检测技术 2.4.2 异常入侵检测技术

第三章 协议分析 3.1 协议分析简介 3.2 协议分析的优势

第四章 PANIDS系统的设计及实现 4.1 PANIDS系统总体结构设计

4.2 系统基本信息读取模块的设计及实现 4.3 网络数据包捕获模块的设计及实现 4.4 基于协议分析的入侵检测模块的设计及实现 4.4.1 数据包的分解 4.4.2 入侵检测的实现 4.5 实验结果及结论

第五章 总结与参考文献

摘要

网络技术高速发展的今天,人们越来越依赖于网络进行信息的处理。因此,网络安全就显得相当重要,随之产生的各种网络安全技术也得到了不断地发展。防火墙、加密等技术,总的来说均属于静态的防御技术。如果单纯依靠这些技术,仍然难以保证网络的安全性。入侵检测技术是一种主动的防御技术,它不仅能检测未经授权的对象入侵,而且也能监视授权对象对系统资源的非法使用。传统的入侵检测系统一般都采用模式匹配技术,但由于技术本身的特点,使其具有计算量大、检测效率低等缺点,而基于协议分析的检测技术较好的解决了这些问题,其运用协议的规则性及整个会话过程的上下文相关性,不仅提高了入侵检测系统的速度,而且减少了漏报和误报率。本文提出了一种基于协议分析的网络入侵检测系统PANIDS的模型,在该模型中通过Winpcap捕获数据包,并对数据包进行协议分析,判断其是否符合某种入侵模式,从而达到入侵检测的目的。

关键词: 入侵检测,协议分析,PANIDS

第一章 绪论

1.1 入侵检测技术的背景

随着计算机网络的飞速发展,网络通信已经渗透到社会经济、文化和科学的各个领域;对人类社会的进步和发展起着举足轻重的作用,它正影响和改变着人们工作、学习和生活的方式。另外,Internet的发展和应用水平也已经成为衡量一个国家政治、经济、军事、技术实力的标志;发展网络技术是国民经济现代化建设不可缺少的必要条件。网络使得信息的获取、传递、存储、处理和利用变得更加有效、迅速,网络带给人们的便利比比皆是。然而,网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取走你的机密文件,窃取你的银行存款,破坏你的企业帐目,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏你的磁盘或计算机,使你的网络瘫痪或者崩溃。因此,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为刻不容缓的课题。伴随着网络的发展,各种网络安全技术也随之发展起来。常用的网络安全技术有:数据加密、虚拟专用网络(VPN,Virtual Private Network)、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷。例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击。传统的身份认证技术,很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击。另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵。而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应。1.2 程序设计的目的

在目前的计算机安全状态下,基于防火墙、加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术。它已经成为计算机安全策略中的核心技术之一。Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要。传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配。从网络数据包的包头开始与攻击特征字符串比较。若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可 能 的攻击。这种逐字节匹配方法具有计算负载大及探测不够灵活两个最根本的缺陷。面对近几年不断出现的ATM、千兆以太网、G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题。适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径。协议分析能够智能地”理解”协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算。所以说研究基于协议分析的入侵检测技术具有很强的现实意义。

第二章 入侵检测系统

2.1 网络入侵概述

网络在给人们带来便利的同时也引入了很多安全问题。从防卫者的角度来看,网络安全的目标可以归结为以下几个方面 :(1)网络服务的可用性。在需要时,网络信息服务能为授权用户提供实时有效的服务。

(2)网络信息的保密性。网络服务要求能防止敏感信息泄漏,只有授权用户才能获取服务信息。

(3)网络信息的完整性。网络服务必须保证服务者提供的信息内容不能被非授权篡改。完整性是对信息的准确性和可靠性的评价指标。

(4)网络信息的不可抵赖性。用户不能否认消息或文件的来源地,也不能否认接受了信息或文件。

(5)网络运行的可控性。也就是网络管理的可控性,包括网络运行的物理的可控性和逻辑或配置的可控性,能够有效地控制网络用户的行为及信息的传播范围。

2.2 网络存在的安全隐患

网络入侵从根本上来说,主要是因为网络存在很多安全隐患,这样才使得攻击者有机可乘。导致网络不安全的主要因素可以归结为下面几点:

(1)软件的Bug。众所周知,各种操作系统、协议栈、服务器守护进程、各种应用程序等都存在不少漏洞。可以不夸张的说,几乎每个互联网上的软件都或多或少的存在一些安全漏洞。这些漏洞中,最常见的有缓冲区溢出、竞争条件(多个程序同时访问一段数据)等。

(2)系统配置不当。操作系统的默认配置往往照顾用户的友好性,但是容易使用的同时也就意味着容易遭受攻击。这类常见的漏洞有:系统管理员配置不恰当、系统本身存在后门等。

(3)脆弱性口令。大部分人为了输入口令的时候方便简单,多数都使用自己或家人的名字、生日、门牌号、电话号码等作为口令。攻击者可以通过猜测口令或拿到口令文件后,利用字典攻击等手段来轻易破解口令。

(4)信息泄漏。入侵者常用的方法之一就是窃听。在广播式的局域网上,将网卡配置成”混杂”模式,就可以窃听到该局域网的所有数据包。如果在服务器上安装窃听软件就可以拿到远程用户的帐号和口令。

(5)设计的缺陷。最典型的就是TCP/IP协议,在协议设计时并没有考虑到安全因素。虽然现在已经充分意识到了这一点,但是由于TCP/IP协议已经广泛使用,因此暂时还无法被完全代替。另外,虽然操作系统设计的时候考虑了很多安全因素,但是仍然无法避免地存在一些缺陷。例如,广泛使用的Windows操作系统,几乎每隔几个月都要出一定数量的安全补丁,就是因为系统存在很多安全隐患。2.3 网络入侵与攻击的常用手段

长期以来,黑客攻击技术没有成为系统安全研究的一个重点,一方面是攻击技术很大程度上依赖于个人的经验以及攻击者之间的交流,这种交流通常都是地下的,黑客有他们自己的交流方式和行为准则,这与传统的学术研究领域不相同;另一方面,研究者还没有充分认识到:只有更多地了解攻击技术,才能更好地保护系统的安全。下面简单介绍几种主要的攻击类型。1.探测攻击

通过扫描允许连接的服务和开放端口,能迅速发现目标主机端口的分配情况以及所提供的各项服务和服务程序的版本号。另外通过扫描还可以探测到系统的漏洞等信息。黑客找到有机可乘的服务或端口后就可以进行攻击了。常见的探测扫描程序有:SATAN、NTScan、X_Scan、Nessus等。2.网络监听

将网卡设置为混杂模式,对已流经某个以太网段的所有数据包进行监听,以获取敏感信息,如包含了”usename”或”password”等信息的数据包。常见的网络监听工具有:NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解码类攻击

通过各种方法获取password文件,然后用口令猜测程序来破译用户帐号和密码。常见的解码工具有:Crack、LophtCrack等。

2.4 入侵检测技术

入侵检测技术可以分为两大类:异常入侵检测技术和误用入侵检测技术。下面分别介绍这两种入侵检测技术。2.4.1 误用入侵检测技术

误用入侵检测首先对表示特定入侵的行为模式进行编码,建立误用模式库;然后对实际检测过程中得到的审计事件数据进行过滤,检查是否包含入侵特征串。误用检测的缺陷在于只能检测已知的攻击模式。常见的误用入侵检测技术有以下几种:

1.模式匹配

模式匹配是最常用的误用检测技术,特点是原理简单、扩展性好、检测效率高、可以实时检测;但是只能适用于比较简单的攻击方式。它将收集到的信息与已知的网络入侵和系统误用模式串进行比较,从而发现违背安全策略的行为。著名的轻量级开放源代码入侵检测系统Snort就是采用这种技术。2.专家系统

该技术根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析。该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。专家系统方法存在一些实际问题:处理海量数据时存在效率问题,这是由于专家系统的推理和决策模块通常使用解释型语言来实现,所以执行速度比编译型语言慢;专家系统的性能完全取决于设计者的知识和技能;规则库维护非常艰巨,更改规则时必须考虑到对知识库中其他规则的影响等等。3.状态迁移法

状态迁移图可用来描述系统所处的状态和状态之间可能的迁移。状态迁移图用于入侵检测时,表示了入侵者从合法状态迁移到最终的危害状态所采取的一系列行动。

在检测未知的脆弱性时,因为状态迁移法强调的是系统处于易受损的状态而不是未知入侵的审计特征,因此这种方法更具有健壮性。而它潜在的一个弱点是太拘泥于预先定义的状态迁移序列。这种模型运行在原始审计数据的抽象层次上,它利用系统状态的观念和事件的转变流;这就有可能提供了一种既能减少误警率又能检测到新的攻击的途径。另外,因为涉及了比较高层次的抽象,有希望把它的知识库移植到不同的机器、网络和应用的入侵检测上。2.4.2 异常入侵检测技术

异常检测是通过对系统异常行为的检测来发现入侵。异常检测的关键问题在于正常使用模式的建立,以及如何利用该模式对当前系统或用户行为进行比较,从而判断出与正常模式的偏离程度。”模式”(profiles)通常使用一组系统的度量(metrics)来定义。度量,就是指系统或用户行为在特定方面的衡量标准。每个度量都对应于一个门限值。常用的异常检测技术有: 1.统计分析

最早的异常检测系统采用的是统计分析技术。首先,检测器根据用户对象的动作为每个用户建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否异常行为。统计分析的优点:有成熟的概率统计理论支持、维护方便,不需要象误用检测系统那样不断地对规则库进行更新和维护等。统计分析的缺点:大多数统计分析系统是以批处理的方式对审计记录进行分析的,不能提供对入侵行为的实时检测、统计分析不能反映事件在时间顺序上的前后相关性,而不少入侵行为都有明显的前后相关性、门限值的确定非常棘手等。2.神经网络

这种方法对用户行为具有学习和自适应功能,能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。利用神经网络所具有的识别、分类和归纳能力,可以使入侵检测系统适应用户行为特征的可变性。从模式识别的角度来看,入侵检测系统可以使用神经网络来提取用户行为的模式特征,并以此创建用户的行为特征轮廓。总之,把神经网络引入入侵检测系统,能很好地解决用户行为的动态特征以及搜索数据的不完整性、不确定性所造成的难以精确检测的问题。利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测输出。将神经网络应用于攻击模式的学习,理论上也是可行的。但目前主要应用于系统行为的学习,包括用户以及系统守护程序的行为。与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习并更新。

神经网络也存在一些问题:在不少情况下,系统趋向于形成某种不稳定的网络结构,不能从训练数据中学习特定的知识,这种情况目前尚不能完全确定产生的原因;另外,神经网络对判断为异常的事件不会提供任何解释或说明信息,这导致了用户无法确认入侵的责任人,也无法判断究竟是系统哪方面存在的问题导致了攻击者得以成功入侵。

前面介绍了误用检测和异常检测所使用的一些常用检测手段,在近期入侵检测系统的发展过程中,研究人员提出了一些新的入侵检测技术。这些技术不能简单地归类为误用检测或异常检测,它们提供了一种有别于传统入侵检测视角的技术层次。这些新技术有:免疫系统、基因算法、数据挖掘、基于代理的检测等等,他们提供了更具有普遍意义的分析检测技术,或者提出了新的检测系统构架,因此无论是对误用检测还是对异常检测来说都可以得到很好的应用。

第三章 协议分析

3.1 协议分析简介 1.以太帧协议分析

这是对以太网数据帧头进行协议分析,并把分析的结果记入Packet结构中。分析完以太帧头后把数据包传送到下一级协议分析程序中。数据帧的第13和14两个字节组成的字段是协议类型字段。如果用十六进制表示,那么IP协议对应0X0800、ARP对应0X0806、RARP对应0X0835。2.ARP和RARP数据包协议分析

这是对ARP或RARP数据进行协议分析,并把协议分析后的数据送入基于ICMP协议规则集的匹配检测模块进行检测,查看是否存在ARP和RARP相关的攻击。由于基于ARP/RARP协议的攻击较少,所以把他们归入ICMP协议规则集中。3.IP数据包协议分析

这是对IP 数据包进行协议分析,并把协议分析后的数据送入基于IP协议规则集的匹配检测程序中进行检测。IP数据包首部的第一个字节的后面4个比特组成的字段标识了IP首部的长度。该字段的值乘以4就等于IP首部的长度。没有包含IP选项的普通IP首部长度为20,如果大于20就说明此IP数据包包含IP首部。第5和第6个字节是IP数据包的16位标识,每一IP数据包都有唯一的标识。该标识在IP数据包分片重组时中起到至关重要的作用,每个分片就是通过检查此ID号来判别是否属于同一个IP包。第7个字节开始的前3个比特是重要的标志位:第一个标志位(最高位)为保留位(该位必须为0,否则就是一个错误的IP数据包),第二个标志位DF指示该IP数据包能否分片(该位为0则表示该IP数据包可以分片,为1则不能分片),第三个标志位MF指示该数据包是否为最后一个分片(该位为0表示此数据包是最后一个分片,为1表示不是最后一个分片)。从MF标志位开始的后面13个比特位记录了分片的偏移量。分片的IP数据包,各个分片到目的端才会重组;传输过程中每个分片可以独立选路。如何才能重组一个分片了的IP数据包呢?首先,16位分片ID(Fragment ID)标识了每个IP数据包的唯一性。数据包分片后,它的每个分片具有相同的标识。其次,通过每个分片的片偏移量可以确定每个分片的位置,再结合MF可以判断该分片是否为最后一个分片。综合上述信息,就可以顺利的重组一个数据包。分片重组对网络入侵检测系统具有重要意义。首先,有一些攻击方法利用了操作系统协议栈中分片合并实现上的漏洞,例如著名的TearDrop攻击就是在短时间内发送若干偏移量有重叠的分片,目标机接收到这样的分片的时候就会合并分片,由于其偏移量的重叠而发生内存错误,甚至会导致协议栈的崩溃。这种攻击手段单从一个数据包上是无法辨认的,需要在协议分析中模拟操作系统的分片合并,以发现不合法的分片。另外,Tiny Fragment(极小分片)等攻击方法,将攻击信息隐藏在多个微小分片内来绕过入侵检测系统或防火墙的检测从而达到攻击的目的。对付这种攻击也需要在检测的过程中合并碎片,恢复数据包的真实面目。

IP包头的第10个字节开始的后面八个比特位表示了协议的类型:其中1表示ICMP协议,2表示IGMP协议,6表示TCP协议,17表示UDP协议。(这些数字是十进制的)。对IP数据包检测完毕后,如果检测到攻击就记录该数据包,然后重新开始检测一个新的原始数据包。如果没有检测到攻击,则在判断上层协议类型之后就把数据包分流到TCP、UDP等协议分析程序中进行进一步协议分析。4.TCP数据包协议分析

这是对TCP数据包进行协议分析,并把协议分析后的数据送入基于TCP协议规则集的匹配检测程序中进行检测。首先读入TCP数据包,对TCP包头进行协议分析;并检查是否有TCP选项,如果有的话就对TCP选项进行协议分析。然后,判断该TCP数据包是否发生分段,如果发生了分段就进行TCP重组。再把重组后的数据包送入基于TCP协议规则集的匹配检测程序进行检测。如果检测到攻击就记录下该攻击数据包,以备攻击取证等使用。记录数据包后又返回,重新读取一个新的数据包。如果没有检测到攻击,就把该数据包送入下一级协议分析模块中,作进一步的协议分析。

5.ICMP数据包协议分析

这是对ICMP数据包进行协议分析,并把协议分析后的数据送入基于ICMP协议规则集的匹配检测程序中进行检测。ICMP报文有很多类型,根据报文中的类型字段和代码字段就可以区分每一种ICMP报文类型。6.UDP协议分析

这是对UDP数据包进行协议分析,并把协议分析后的数据送入基于UDP协议规则集的匹配检测程序中进行检测。如果检测到攻击就记录该数据包,然后返回并读取下一个数据包。如果没有检测到攻击,那么就把数据包送入基于应用层协议规则集的检测模块进行进一步的检测分析。应用层协议很复杂,这里不进行详细讨论。

3.2 协议分析的优势(1)提高性能:当系统提升协议栈来解析每一层时,它用已获得的知识来消除在数据包结构中不可能出现的攻击。比如4层协议是TCP,那就不用再搜索其他第四层协议如UDP上形成的攻击。如果数据包最高层是简单网络管理协议SNMP(Simple Network Management Protocol),那就不用再寻找Telnet或HTTP攻击。这样检测的范围明显缩小,而且更具有针对性;从而使得IDS系统性能得到明显改善。

(2)能够探测碎片攻击等基于协议漏洞的攻击:在基于协议分析的IDS中,各种协议都被解析。如果出现IP分片,数据包将首先被重装;然后再对整个数据包进行详细分析来检测隐藏在碎片中的潜在攻击行为。这是采用传统模式匹配技术的NIDS所无法做到的。(3)降低误报和漏报率:协议分析能减少传统模式匹配NIDS系统中常见的误报和漏报现象。在基于协议分析的NIDS系统中误报率会明显减少,因为它们知道和每个协议有关的潜在攻击的确切位置以及该位置每个字节的真正含义。例如,针对基于协议分析的IDS不但能识别简单的路径欺骗:例如把CGI攻击”/cgi-bin/phf”变为”/cgi-bin/./phf”或”/cgi-binphf”;而且也能识别复杂的HEX编码欺骗:例如”/winnt/system32/cmd.exe”,编码后变为”/winnt/system32/%2563md.exe”,通过协议分析%25 解码后为‘%’,%63解码后为‘c’,这样就解析出了攻击串。又如针对Unicode(UTF-8)的编码欺骗(与ASCII字符相关的HEX编码一直到%7f,Unicode编码值要高于它),攻击串编码后得到”/winnt/system32%c0%afcmd.exe”,通过解码可知%c0%af在Unicode中对应/,所以解码后就能顺利还原出攻击串。第四章 PANIDS系统的设计及实现

4.1 PANIDS系统总体结构设计

PANIDS系统 主要由系统基本信息读取模块、网络数据包捕获模块、基于协议分析的入侵检测模块、响应模块和控制管理中心等几部分组成。4.2 系统基本信息读取模块的设计及实现

为了更好的显示出本机的特性,在此PANIDS系统中特别增加系统基本信息读取模块。通过此模块能显示出主机名和本机的IP地址和所使用的Winsock的版本

在此模块中主要用到函数gethostname()和gethostbyname()。gethostname()函数作用是获取本地主机的主机名,其定义如下:

int PASCAL FAR gethostname(char FAR * name, int namelen);name:用于指向所获取的主机名的缓冲区的指针。Namelen:缓冲区的大小,以字节为单位。

gethostbyname()在此模块中是一个主要函数,该函数可以从主机名数据库中得到对应的”主机”。其定义如下:

#include struct hostent FAR *PASCAL FAR gethostbyname(const char FAR * addr)name:指向主机名的指针。

gethostbyname()返回对应于给定主机名的包含主机名字和地址信息的hostent结构指针。结构的声明与gethostaddr()中一致。如果没有错误发生,gethostbyname()返回如上所述的一个指向hostent结构的指针,否则,返回一个空指针。hostent结构的数据结构如下: struct hostent { char *h_name;//地址的正式名称

char **h_aliases;//空字节-地址的预备名称的指针 int h_addrtype;//地址类型,通常是AF_INET int h_length;//地址的比特长度

char **h_addr_list;//零字节-主机网络地址指针,网络字节顺序 };返回的指针指向一个由Windows Sockets实现分配的结构。应用程序不应该试图修改这个结构或者释放它的任何部分。此外,每一线程仅有一份这个结构的拷贝,所以应用程序应该在发出其他Windows Scokets API调用前,把自己所需的信息拷贝下来。

gethostbyname()实现没有必要识别传送给它的IP地址串。对于这样的请求,应该把IP地址串当作一个未知主机名同样处理。如果应用程序有IP地址串需要处理,它应该使用inet_addr()函数把地址串转换为IP地址,然后调用gethostbyaddr()来得到hostent结构。4.3 网络数据包捕获模块的设计及实现 网络数据包捕获的方法有很多,比如既可以利用原始套接字来实现,也可以通过Libpcap、Jpcap和WinPcap 提供的接口函数来实现。Libpcap、Jpcap和WinPcap是世界各地的网络专家共同努力的结果,为开发者提供了很多高效且与系统无关的网络数据包截获接口函数;所以在性能上一般比采用普通的套接字方法要好。LibPcap是一个优秀跨平台的网络抓包开发工具,JPcap是它的一个Java版本。WinPcap在某种程度上可以说它是LibPcap的一个Windows版本,因为它们的大部分接口函数以及所采用的数据结构都是一样的。另外,WinPcap在某些方面进行了优化,还提供了发送原始数据包和统计网络通信过程中各种信息的功能(LibPcap没有统计功能),方便进行测试;所以采用WinPcap所提供的库函数来截获网络数据包。

Winpcap捕获数据包的实现

1.网络数据包捕获的主要数据结构(1)PACKET结构

typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//这个buffer就是指向存放数据包的用户缓冲区 UINT Length;//buffer的长度

DWORD ulBytesReceived;//调用PacketReceivePacket()函数所读 //取的字节数,可能包含多个数据包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注释的几个成员,都是过时的成员,他们的存在只是为了与原来的兼容。此结构主要用来存放从内核中读取的数据包。(2)pcap_file_header 结构 struct pcap_file_header{ bpf_u_int32 magic;//一个标识号,标识特定驱动器产生的dump文件 u_short version_major;//WinPcap的主版本号 u_short version_minor;//WinPcap的次版本号

bpf_int32 thiszone;//GMT时间与本地时间的校正值 bpf_u_int32 sigfigs;//精确的时间戳

bpf_u_int32 snaplen;//每个数据包需要存放到硬盘上的最大长度 bpf_u_int32 linktype;//链路层的数据类型 };//这个头部共24个字节

把截获的数据包以标准的Windump格式存放到硬盘上时,就是以这个结构 作为文件的开头。(3)bpf_hdr结构 struct bpf_hdr { struct timeval bh_tstamp;//数据包捕获的时间戳信息 UINT bh_caplen;//数据包被捕获部分的长度 UINT bh_datalen;//数据的原始长度 USHORT bh_hdrlen;//此结构的长度 };从内核中读取数据包并存放在用户缓冲区中时,采用此结构来封装所截获的 数据包。其中timeval的结构如下 struct timeval { long tv_sec;//以秒为单位的时间 long tv_usec;//以毫秒为单位的时间 };(4)dump_bpf_hdr结构 struct dump_bpf_hdr{ struct timeval ts;//数据包捕获的时间戳 UINT caplen;//数据包被捕获部分的长度 UINT len;//数据包的原始长度 };把数据包存放到硬盘上或者向网络上发送数据包时,都使用此结构来封装每一个数据包。

2.数据包捕获的具体实现

在了解其数据结构的基础上,下面来分析其是如何具体实现网络数据包捕获的。其前期的主要过程应为:首先应找到设备列表,然后显示适配器列表和选择适配器,最后通过pcap_open_live()函数根据网卡名字将所选的网卡打开,并设置为混杂模式。

用Winpacp捕获数据包时,数据包捕获的程序流程图如图4.3所示,其中pcap_loop()是截包的关键环节,它是一个循环截包函数,分析此函数的源码可知,其内部主要处理过程如图4.4所示。在pcap_loop()的每次循环中,首先通过调用PacketReceivePacket()函数,从内核缓冲区中把一组数据包读取到用户缓冲区。然后,根据bpf_hdr结构提供的该数据包的定位信息,把用户缓冲区的多个数据包逐个的提取出来,并依次送入回调函数进行进一步处理。通过这个过程就实现了网络数据包的捕获。

4.4 基于协议分析的入侵检测模块的设计及实现

此模块是基于协议分析入侵检测系统PANIDS的核心部分,下面我们重点讨论此模块的设计及实现。4.4.1 数据包的分解 当需要发送数据时,就需要进行封装。封装的过程就是把用户数据用协议来进行封装,首先由应用层协议进行封装,如HTTP协议。而HTTP协议是基于TCP协议的。它就被TCP协议进行封装,http包作为TCP数据段的数据部分。而TCP协议是基于IP协议的,所以TCP段就作为IP协议的数据部分,加上IP协议头,就构成了IP数据报,而IP数据报是基于以太网的,所以这个时候就被封装成了以太网帧,这个时候就可以发送数据了。通过物理介质进行传送。在这里我们所用到的是数据包的分解。分解的过程与封装的过程恰恰相反,这个时候就需要从一个以太网帧中读出用户数据,就需要一层一层地进行分解,首先是去掉以太网头和以太网尾,在把剩下的部分传递给IP层软件进行分解,去掉IP头,然后把剩下的传递给传输层,例如TCP协议,此时就去掉TCP头,剩下应用层协议部分数据包了,例如HTTP协议,此时HTTP协议软件模块就会进一步分解,把用户数据给分解出来,例如是HTML代码。这样应用软件就可以操作用户数据了,如用浏览器来浏览HTML页面。其具体的数据包分解如下:

ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵检测的实现

通过Winpcap捕获数据包,数据包分解完以后就对其进行协议分析,判断分组是否符合某种入侵模式,如果符合,则进行入侵告警。在本系统中实现了对多种常见入侵模式的检测,采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻击、应用层攻击。1.ICMP分片

ICMP报文是TCP/IP协议中一种控制报文,它的长度一般都比较小,如果出现ICMP报文分片,那么说明一定出现了Ping of Death攻击。

在本系统中ip->ip_p == 0×1,这是表示ip首部的协议类型字段,0×1代表ICMP。

string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);当(ip->ip_off > 1)&& str1!= str2时,就表认为是Ping of Death攻击。如果都符合,就报警(调用函数将受到攻击的时间、攻击名称以及攻击的IP地址显示出来)。

2.常用端口

一些攻击特洛伊木马、蠕虫病毒等都会采用一些固定端口进行通信,那么如果在分组分析过程中发现出现了某个端口的出现,则可以认为可能出现了某种攻击,这里为了减少误判,应当设置一个阈值,仅当某个端口的分组出现超过阈值后才进行报警。这就意味着检测到发往某个端口的的分组超过阈值后才认为出现了某种攻击,并进行告警。本系统定义了两种端口扫描,Trojan Horse端口扫描和代理服务器端口扫描。Trojan Horse端口扫描实现如下:首先根据if((tcp->th_flags & TH_SYN)==TH_SYN)判断其是否为TCP SYN报文,若是,并且端口为Trojan Horse的常用扫描端口时,最后判断报文数是否超过阈值TrojanThreshold,如果超过的后,就被认定为Trojan Horse端口扫描,然后报警。对代理服务器端口扫描检测的实现方法和Trojan Horse端口扫描实现方法一样,这里不再论述。

3.IGMP分片

IGMP(Internet Group Message Protocol)是Internet中多播组管理协议,其长度也一般较小。同上ip->ip_p==0×2也是表示首部的协议类型字段,0×2代表IGMP,本系统实现了对其两种攻击模式的检测。

(1)通过if(ntohs(ip->ip_len)>1499)首先判断其是否为分片的IGMP报文,若是,并且收到的报文数超过设定的阈值IGMPThreshold,则就最终判定其为IGMP DoS攻击,然后报警。

(2)通过if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判断其是否为某种特定的源地址等于目的地址或者目的地址等于0的报文,若是,并且收到的报文数超过设定的阈值LandThreshold则被判定为land DoS攻击,然后报警。

4.WinNuke攻击 通过if((tcp->th_flags & TH_URG)==TH_URG)判断其是否为TCP URG报文,若是,则根据WinNuke的典型特征是使用TCP中的Ugrent指针,并使用135、137、138、139端口,因此可以利用这两个特征加以判断,同样为了减少误判,应当设置一个阈值。当阈值超过设定的WinNukeThreshold时,就被最终判定为WinNuke攻击,然后报警。5.应用层攻击

其是分析应用层的数据特征,判断是否存在入侵。在本系统中实现了对一种较为简单的应用层攻击的检测。它也是属于TCP SYN报文中的一种。主要思想是监测报文中是否存在system32关键字,如果存在,则报警。

4.5 实验结果及结论

程序编译成功后,执行可执行文件,此时系统已被启动,然后在”设置”菜单中将网卡设为混杂模式,点击”开始”按钮,本系统开始检测。由实验结果可知,本系统能较好的检测出一些典型攻击,并能在界面上显示出攻击日期/时间、攻击的类型、攻击源的IP地址,达到了预期的效果。

第五章 总结与参考文献

入侵检测是一种积极主动的安全防护技术;它既能检测未经授权的对象入侵系统,又能监视授权对象对系统资源的非法操作。入侵检测与防火墙、身份认证、数据加密、数字签名等安全技术共同构筑了一个多层次的动态安全体系。本文主要对基于网络的入侵检测系统的关键技术进行了研究和探讨。首先较全面、系统地分析了入侵检测技术的历史、现状和发展趋势、了解了黑客常用的攻击手段及其原理。然后,系统地阐述了入侵检测的原理。接着讲述了协议分析和模式匹配技术,最后,针对当前典型的网络入侵,设计并实现了一个基于协议分析的网络入侵检测系统PANIDS,实现了多层次的协议分析,包括基本协议的解析、协议上下文的关联分析以及应用层协议的分析,并取得了较为满意的检测效果。

[1] 戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社 [2] 聂元铭,丘平.网络信息安全技术[M].北京:科学出版社

[3] 董玉格,金海,赵振.攻击与防护-网络安全与实用防护技术[M].北京:人民 邮电出版社 [4] 戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用 [5] 刘文淘.网络入侵检测系统[M].北京:电子工业出版社,

下载现代检测技术论文(共5则范文)word格式文档
下载现代检测技术论文(共5则范文).doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    现代分离技术论文

    分离技术的发展现状和展望 摘 要: 简要阐述了分离技术的产生和发展概况,各主要常规和新型分离技术的发展现状、研究前沿及未来的发展方向,并讨论了分离技术将继续推动现代化工......

    现代化工技术论文

    现代化工技术论文 班级:化学工程与工艺1104班 学号:120110815 姓名:孙思明 现代化工企业三废治理技术及其展望 ——造纸废水治理技术及其展望 摘 要 废纸的回收具有良好的经......

    传感器与检测技术论文

    光电传感器--太阳能电池板 太阳能电池板是利用光生伏特效应原理制造的。在光线作用下能够使物体产生一定方向的电动势的现象叫做光生伏特效应。基于该效应的光电器件有光电......

    现代防震减灾技术论文

    学校代码:11517 学号:xxxxxxxxxx HENAN INSTITUTE OF ENGINEERING 现代防震减灾技术论文 学生姓名 专业班级学 号 学 院 指导教师 目录一.四大地震带.......................

    现代分离技术综述论文

    现代分离技术研究与进展 摘要:从现代化工和新技术的发展需求出发,论述了化工分离技术的重要性,以及各新型分离技术的分离原理,应用优点和缺陷以及应用现状,并对当代化工新型分离......

    高职土木工程检测技术实践教学改革论文

    【摘要】土木工程检测是一门实践性较强的专业,高职院校要培养出适应现代化建设需要的人才,加强实践教学改革势在必行。本文分析了高职院校土木工程检测实践教学中存在的几点问......

    现代足球论文(共5篇)

    《现代足球论文》 信息科学与技术学院 计科1004 袁杰华 2010014412 足球-中国赛事 新中国成立后,逐步开展了足球运动。1951年举行了第1届全国足球赛,有6大行政区代表队和解放......

    现代信息技术—论文(共5篇)

    XXXX职业技术学院 (现代信息技术-论文) 题目:现代信息技术 院系:XXX 专业:XXX 班级:XXX 学号:XXX 姓名:XXX 时间:二〇一四年十二月十一日 现代信息技术 现代信息技术是借助以微电子学......