异常检测的系统和方法

暂无

异常检测的系统和方法\n技术领域\n[0001] 本发明的领域涉及物理安全系统，并且更特别地涉及检测由安全系统的用户进行的异常行为的方法。\n背景技术\n[0002] 安全系统一般是已知的。这种系统典型地包括检测与受保护区域相关联的安全威胁的多个传感器。安全威胁可以包括由入侵者或由环境威胁（诸如火灾、烟尘或天然气）造成的威胁。\n[0003] 在受保护区域周围可以包括的是防止入侵者进入受保护区域的物理屏障（例如墙、围栏等）。可以在受保护区域的外周周围提供多个入口（例如门、窗等），以允许向受保护区域中的进入或从受保护区域的外出。\n[0004] 允许进入到受保护区域中的门进而可以由读卡器和电动锁来控制，读卡器和电动锁通过对被授权的人的入口来一起限制访问。每当通过读卡器来刷卡时，读取器都从卡读取用户标识符，并在卡上的身份与参考标识符相匹配的情况下允许访问。\n[0005] 尽管这种系统运转良好，但是在这种系统中使用的卡可能丢失或被盗。相应地，存在对检测对这种卡的未授权使用的方法的需要。\n发明内容\n[0006] 根据本发明的第一方面，提供了一种方法，包括：检测安全系统内的多个事件；使用由 定义的第一表达式、由 定义的\n第二表达式和由 定义的第三表达式之一来评估事件，其中r\n是数据点周围的邻域的大小，f(r)是r的局部关联积分LOCI，mrg(r)是r的边缘，R是邻域大小的间隔的预定集合，Q是邻域大小的预定离散集合，并且conf(d)是非线性置信函数，其对于与数据点的近距离来说为0且对于较大距离来说快速逼近1；将所评估的表达式的值与阈值进行比较；以及在检测到所述值超过阈值时设置警报。\n[0007] 根据本发明的第二方面，提供了一种装置，包括：事件处理器，检测安全系统内的多个事件；评估处理器，使用由 定义的第一表达式、由\n定义的第二表达式和由 定义的第\n三表达式之一来评估事件，其中r是数据点周围的邻域的大小，f(r)是r的局部关联积分LOCI，mrg(r)是r的边缘，R是邻域大小的间隔的预定集合，Q是邻域大小的预定离散集合，并且conf(d)是非线性置信函数，其对于与数据点的近距离来说为0且对于较大距离来说快速逼近1；比较处理器，将所评估的表达式的值与阈值进行比较；以及警报处理器，在检测到所述值超过阈值时设置警报。\n[0008] 根据本发明的第三方面，提供了一种装置，包括：安全系统，保护具有多个区的受保护区域；检测安全系统内的多个事件的处理器，所述多个事件至少包括向所述多个区中的一些中的进入；\n使用由 定义的第一表达式、由 定义\n的第二表达式和由 定义的第三表达式之一来评估事件的处\n理器，其中r是数据点周围的邻域的大小，f(r)是r的局部关联积分LOCI，mrg(r)是r的边缘，R是邻域大小的间隔的预定集合，Q是邻域大小的预定离散集合，并且conf(d)是非线性置信函数，其对于与数据点的近距离来说为0且对于较大距离来说快速逼近1；将所评估的表达式的值与阈值进行比较的处理器；以及在检测到所述值超过阈值时设置警报的处理器。\n附图说明\n[0009] 图1是根据所说明的实施例总体上示出的安全系统的框图。\n具体实施方式\n[0010] 尽管实施例可以采取许多不同形式，但是在本公开应被视为其原理的例证以及对其进行实施的最佳模式这一理解下，在附图中示出且将在本文中详细描述其具体实施例。\n不意图限制于所说明的具体实施例。\n[0011] 图1是根据所说明的实施例总体上示出的安全系统的框图。在该安全系统内可以包括的是用于检测该安全系统的一个或多个受保护区域16内的安全威胁的多个传感器12、\n14。在这点上，受保护区域可以被划分为具有不同安全级别的多个不同安全区38。\n[0012] 在一个所说明的实施例下，传感器可以包括被安装至提供向受保护区域中的进入或从受保护区域的外出的入口（例如门、窗等）的一个或多个限位开关。这样，传感器可以用于检测进入受保护区域的入侵者。\n[0013] 传感器还可以包括一个或多个环境检测器（例如火灾、烟尘、天然气等）。环境检测器可以用于激活可听/可视警报作为受保护区域应当被腾出的指示。\n[0014] 在该系统内还可以包括的是位于该安全系统的控制面板40内的一个或多个处理器装置（处理器）22、24。处理器可以在从非瞬变计算机可读介质（存储器）30加载的一个或多个计算机程序26、28的控制下操作。如本文所使用的那样，对由程序（或该系统）执行的步骤的引用也是对执行了该程序的该步骤的处理器的引用。\n[0015] 在正常操作期间，警报处理器可以针对安全威胁监视传感器中的每一个的状态。\n在检测到威胁时，警报处理器可以编写警报消息并将该消息发送至中央监视站32。中央监视站可以通过向合适的权威机构（例如警察部门、消防部门等）报警来作出响应。\n[0016] 除了检测对传感器中的一个或多个的激活外，监视处理器还可以将事件的记录保存到事件文件42、44中。该记录可以包括被激活的传感器的标识符、被激活的传感器的位置以及激活的时间。\n[0017] 在受保护区域或区的外周内或者沿着受保护区域或区的外周还可以包括一个或多个摄像机18、20。摄像机可以操作以收集视频帧的序列并将这些帧的图像保存到存储器中。\n[0018] 摄像机可以连续地操作或者仅在检测到受保护区域的部分内的运动时操作。在这点上，可以经由传感器（例如，被动红外（PIR）传感器）或通过视频处理器的下述操作来检测运动：将接续帧的像素值进行比较以检测与摄像机的视野内的人的移动一致的改变。\n[0019] 在一些情况（诸如受保护区之一的高安全区域中的运动）下，运动的检测可以被视为安全威胁，并且，可以根据威胁的级别来提升警报。在其他情况下，运动的检测可以简单地使安全系统记录视频帧的序列以用于稍后的评估和动作。在任一种情况下，可以将事件的记录保存在事件文件中。该记录可以包含摄像机的标识符、摄像机的位置和激活的时间。\n[0020] 沿受保护区域和/或区中的每一个的外周定位的可以是一个或多个入口（例如门）\n34，该一个或多个入口34将向一个或多个受保护区域或区中的进入和从一个或多个受保护区域或区的外出提供给被授权的用户。可以给门提供适当的锁，该锁拒绝未授权的人（即，入侵者）向受保护区域中的物理进入。\n[0021] 与进入门相关联的可以是访问控制系统36。访问控制系统可以包括耦合至电动锁的识别设备（例如读卡器、键区等）。为了获得向受保护区域的进入，被授权的人可以输入个人标识号码或通过读卡器来刷卡，以激活电动锁并获得向受保护区域的进入或从受保护区域的外出。\n[0022] 访问控制系统中的每一个可以由控制面板内的访问处理器监视和控制。在这点上，访问处理器可以接收寻求对受保护区域或区之一的访问的人的标识符，并将这些标识符与针对每个对应受保护区域或区的被授权的人的列表进行比较。在确定寻求访问的人被授权时，访问处理器可以发送打开电动锁且向该人授予向受保护区域中的访问的信号。\n[0023] 在授予访问时，访问处理器可以创建该访问的记录并将其保存到事件文件中。该事件文件内保存的信息可以包括该人和受保护区域的标识符以及访问的时间。\n[0024] 在该系统内还可以包括的是检测针对该系统的故障或其他潜在安全威胁的一个或多个事件处理器。潜在安全威胁可以包括来自摄像机的视频的丢失或者对在该系统处于解除（disarmed）状态中时原本不会导致警报传感器的激活或警报的传感器之一的激活。在每一种情况下，在检测到对故障的指示时，故障处理器可以将事件的记录保存到事件文件中。该记录可以包括故障类型、传感器、所涉及的其他设备的摄像机的标识符以及事件的时间。\n[0025] 一般地，安全系统的事件文件可以是可被用于寻址和识别安全易损性和发展的威胁的信息的重要来源。例如，来自特定摄像机的视频的丢失可以是简单的设备失效情况，或者其可以是某人在较短时间段内有意地禁用摄像机以模糊某犯罪行为的结果。\n[0026] 类似地，在保护用于执行某种事业的区域的组织的情况下，可以将由该组织的雇员的活动导致的所保存的事件用作在检测活动的不忠诚雇员或模式时信息的重要来源。例如，被指派给受保护区域的第一区内的某种功能的雇员可能突然开始访问其他区，而没有任何明显的原因来这样做。这可以指示该雇员正在从事某种非法活动或简单地正在寻找用于击败安全系统的一个或多个传感器的方式。\n[0027] 类似地，罪犯可能窃取或以其他方式占有来自被授权的用户的访问卡，并试图在下班或者当受保护区域以其他方式空缺时的时段期间使用该访问卡来获得向受保护区域的进入。在当被授权的用户通常不会使用他/她的卡时的时间段期间对该访问卡的使用可以是对安全威胁的指示。\n[0028] 在一个所说明的实施例下，一个或多个事件处理器在被保存到事件文件中的事件实时发生时检测该事件。类似地，一个或多个威胁评估处理器识别类似的过去或同期事件，并基于当前事件与过去事件之间的偏差来评定威胁。类似事件的识别可以基于特定雇员、特定传感器、时间段、事件的位置、或者多个其他不同联合因素中的任一个。\n[0029] 在所说明的实施例下，成组处理器可以在多个不同联合因素中的任一个下处理事件文件内的数据以将事件pi合并成对象集合P（其中，P={p1, …, pi, …, pN}）。联合因素可以基于触发事件的开关或读卡器的标识符、事件的时间、导致事件的人的标识符、或者指示公共来源的多个其他因素中的任一个。一旦基于联合因素而合并，就可以处理事件以识别作为离群值而出现且指示安全威胁的统计可能性的任何当前检测到的事件。在检测到这种事件时，警告或警报可以由警报处理器设置。\n[0030] 在所说明的实施例下，成组的数据可以由LOCI处理器使用局部关联积分（LOCI）方法来处理。例如，考虑对特定传感器进行激活的情形。在这种情况下，可以通过在x-y的基础上经由在x轴上考虑传感器的激活之间的间隔且在y轴上考虑传感器的激活的数目（或者反之亦然）对涉及相同传感器的过去事件进行成组，来评估这种事件。处理器可以针对比某最大半径值rmax距中心对象pi更接近的所有对象执行范围搜索。然后，可以基于这些对象与中心对象pi的距离来对这些对象进行排序以形成有序列表Di。确定pi的r邻居的数目的值n（即， ，其中 ）。确定r邻居的集合上n的平\n均值（即，）（即， ）。可以在 的r邻居的集合上确定 的标\n准差（即， ）（即， ）。\n[0031] 由LOCI处理器执行的步骤可以由伪代码概括如下：\n[0032] //预处理\n[0033]\n[0034] //后处理\n[0035]\n[0036] 检测异常的现有技术方法从事件文件中提取统计物，并基于所计算出的异常分数来对每个访问事件进行分类。所计算出的异常分数表征了访问事件从如所记录的统计模型所表征的正常状态偏离多少。现有技术LOCI模型根据以不同尺度表达的异常函数来对事件进行分类。然而，可用尺度的数目间接地依赖于训练样本的数目，这使函数易受样本数目的改变影响。因此，训练样本的数目的增加可能稍微出人意料地导致假警报的增加，而不是导致其减少。\n[0037] 本文描述的系统通过引入异常分数的定义和计算的三种方法来解决该问题，这三种方法提高了对抗训练样本数据集合的大小的改变的鲁棒性。此外，所描述的方法在利用新训练样本对统计模型的任何更新之后递送更一致的结果。\n[0038] 所描述的方法基于定义事件的数据点的LOCI函数f(r)来对定义事件的数据点进行分类，其中，r是该点周围的邻域的大小。与原始LOCI方法（其中，如果存在单个r，则该点被视为异常，其中，f(r)落到在平均LOCI函数周围形成的边缘（margin）值mrg(r)（例如，3σ）之外）相比，所描述的方法基于一个或多个以及可能所有的邻域大小、考虑到其重要性来对异常进行分类。\n[0039] 例如，将R表示为邻域大小的间隔的集合，其中，点落到所提及的边缘之外。此外，令Q为落到该边缘之外的邻域大小的离散集合，并且f(r)或mgr(r)是临界距离。临界距离是由f(r)和mrg(r)的线性段限定的公共边上的邻域大小。\n[0040] 可以使用三个可能的表达式1-3中的一个或多个来确定或以其他方式计算异常分数如下：\n[0041] （1） ；\n[0042] （2） ，其可以被简化为梯形的面积之和，这是由于f(r)和\nmrg(r)二者都由线性部分组成；以及\n[0043] （3） ，其中conf(r)是非线性置信函数，其对于近距\n离来说为0且对于较大距离来说快速逼近1（例如，由值 描述）。\n[0044] 在这点上，比较处理器将异常分数（经由处理器1-3中的一个或多个而计算）与阈值进行比较。如果异常分数超过阈值，则处理器设置警报。\n[0045] 由于所提出的方法考虑所有可用距离，因此由表达式1-3提供的异常分数的值不再如原始方法中那样受单个离群值支配，并且因此，所提出的方法是更鲁棒的。确定由表达式2和3提供的异常分数的值的方法附加地考虑在临界距离之间对LOCI函数f(r)的定义，并精确地对其与mrg(r)的差值进行积分，这进一步改进了异常准则的精确度和鲁棒性。异常分数的最精确值由表达式3的方法提供，该方法包括积分和置信函数conf(d)二者，然而，如果需要数值积分来计算该值，则其可能在计算方面要求高。有利地，所提出的对conf(d)的定义允许分析性积分，因此，与LOCI算法的其他分量相比，所有三种方法在计算方面可忽略不计。\n[0046] 一般地，该系统实现了包括下述步骤的方法：检测安全系统内的多个事件；使用由定义的第一表达式、由 定义的第二\n表达式和由 定义的第三表达式之一来评估事件，其中r是数\n据点周围的邻域的大小，f(r)是r的局部关联积分（LOCI），mrg(r)是r的边缘，R是邻域大小的间隔的预定集合（例如，{[r1,r2], [r3,r4], [r5,r6]等），Q是邻域大小的预定离散集合，并且conf(d)是非线性置信函数，其对于与数据点的近距离来说为0且对于较大距离来说快速逼近1；将所评估的表达式的值与阈值进行比较；以及在检测到该值超过阈值时设置警报。\n[0047] 从上述内容中将观察到，在不脱离其精神和范围的情况下，可以实施许多变形和修改。应当理解的是，并不预期或不应当推断关于本文说明的具体装置的限制。当然，意图通过所附权利要求来覆盖如落在权利要求的范围内的所有这种修改。