具有分類屬性的異常檢測的系統(tǒng)和方法
【專利摘要】本發(fā)明涉及具有分類屬性的異常檢測的方法和設備,其中方法包括檢測與安全系統(tǒng)內的用戶活動有關的事件,其中事件由多個屬性所定義,其中至少一個屬性是分類的,并且其中事件間的數據距離是事件屬性的函數,通過使用基于密度的異常檢測方法f(r)來評估所檢測的事件,其中r是數據點周圍鄰域的大小,將所評估的表達式的值與邊緣閾值(msg(r))相比較,以及在檢測到該值超過閾值時設置告警。
【專利說明】具有分類屬性的異常檢測的系統(tǒng)和方法
【技術領域】
[0001] 本發(fā)明的領域涉及物理安全系統(tǒng),并且更具體地涉及由安全系統(tǒng)的用戶檢測異常 行為的方法。
【背景技術】
[0002] 安全系統(tǒng)是眾所周知的。這樣的系統(tǒng)通常包括多個傳感器,其檢測與安全區(qū)域關 聯(lián)的安全威脅。安全威脅可包括由入侵者或由環(huán)境威脅(例如火災、煙霧或天然氣)所造成 的那些威脅。
[0003] 安全區(qū)域周圍所包括的可以是防止入侵者進入安全區(qū)域的物理屏障(例如墻壁、 圍欄等等)??蓢@安全區(qū)域外圍提供多個門戶(例如,門、窗等)以允許進入安全區(qū)域中或 從安全區(qū)域出來。
[0004] 允許進入安全區(qū)域的門進而可以由讀卡器和電子鎖來控制,該讀卡器和電子鎖一 起通過對授權人員的入口來限制訪問。每當通過讀卡器刷卡,讀卡器從卡讀取用戶識別符, 并且如果卡上的身份與參考識別符相匹配則允許訪問。
[0005] 雖然這樣的系統(tǒng)運作良好,但這樣的系統(tǒng)中使用的識別卡可能被丟失或偷竊。因 此,存在對于檢測未授權使用這種卡的方法的需求。
【專利附圖】
【附圖說明】
[0006] 圖1是根據所說明的實施例一般性示出的安全系統(tǒng)的框圖。
【具體實施方式】
[0007] 雖然實施例可以采取許多不同的形式,但在理解本公開將被視為是本文原理的示 范,以及實踐該原理的最佳模式的情況下,其具體實施例在附圖中被示出,并將在本文中被 詳細描述。不意在對所說明的具體實施例進行限制。
[0008] 圖1是根據所說明的實施例一般性示出的安全系統(tǒng)的框圖。安全系統(tǒng)內所包括的 是多個傳感器12、14,其被用來檢測安全系統(tǒng)的一個或多個安全區(qū)域16內的安全威脅。在 此方面,安全區(qū)域可被劃分成具有不同安全級別的多個不同的安全地帶38。
[0009] 在一個說明的實施例下,傳感器可包括安裝到門戶(例如門、窗等)的一個或多個 限位開關,該門戶提供到安全區(qū)域中的進入和從安全區(qū)域的外出。以這種方式,傳感器可被 用來檢測進入安全區(qū)域的入侵者。
[0010] 傳感器還可以包括一個或多個環(huán)境檢測器(例如火災、煙霧、天然氣等)。環(huán)境檢測 器可被用來激活聽覺/視覺告警,作為該安全區(qū)域應被疏散的指示。
[0011] 系統(tǒng)內還包括的可以是一個或多個處理器裝置(處理器)22、24,其位于安全系統(tǒng) 的控制面板40內。處理器可在從非瞬時計算機可讀介質(存儲器)30所加載的一個或多個 計算機程序26、28的控制下進行操作。如本文所使用的,對由程序(或系統(tǒng))所執(zhí)行的步驟 的引用也是對執(zhí)行該程序步驟的處理器的引用。
[0012] 在正常操作期間,告警處理器可監(jiān)控針對安全威脅的每個傳感器的狀態(tài)。在檢測 到威脅時,告警處理器可構成告警消息并發(fā)送該消息到中央監(jiān)控站32。中央監(jiān)控站可以通 過向有關當局(proper authority)(例如警察部門、消防部門等)報警來進行響應。
[0013] 除了檢測一個或多個傳感器的激活,監(jiān)控處理器還可以將事件的記錄保存到事件 文件42、44中。記錄可以包括被激活的傳感器的識別符,被激活傳感器的位置和激活時間。
[0014] 安全區(qū)域或地帶的外圍內或沿著安全區(qū)域或地帶的外圍還可以包括的是一個或 多個相機18、20。該相機可以操作來收集視頻幀的序列并將那些幀的圖像保存到存儲器中。
[0015] 相機可連續(xù)操作或僅在檢測到一部分安全區(qū)域內的運動時操作。在這點上,可以 經由傳感器(例如無源紅外(PIR)傳感器)或者通過視頻處理器的操作來檢測運動,該視頻 處理器比較連續(xù)幀的像素值以檢測與相機的視場內與人的移動一致的變化。
[0016] 在一些情況下,例如以高安全性的運動屬于安全地帶之一,對運動的檢測可以被 視為一種安全威脅,且可根據威脅的級別來產生告警。在其他情況下,對運動的檢測可能僅 使安全系統(tǒng)記錄視頻幀的序列以用于以后的評估和行動。在任一情況下,可在事件文件中 保存事件的記錄。記錄可以含有相機的識別符、相機的位置和激活時間。
[0017] 沿著每個安全區(qū)域和/或地帶的外圍定位的可以是一個或多個門戶(例如門)34, 其向授權用戶提供到一個或多個安全區(qū)域或地帶中的進入和從一個或多個安全區(qū)域或地 帶的外出。這些門可具備適當的鎖,其拒絕未授權人員(即入侵者)物理進入到安全區(qū)域中。
[0018] 與進入門相關聯(lián)的可以是訪問控制系統(tǒng)36。訪問控制系統(tǒng)可包括耦合到電子鎖 的識別裝置(例如讀卡器、小鍵盤等等)。為了獲得到安全區(qū)域的進入,授權人員可以輸入個 人識別號或將卡刷過讀卡器,以便激活電子鎖并獲得到安全區(qū)域的進入或從完全區(qū)域的外 出。
[0019] 可由控制面板內的訪問處理器監(jiān)控并控制每個訪問控制系統(tǒng)。在這點上,訪問處 理器可接收尋求對安全區(qū)域或地帶之一的訪問的人員的識別符,并將那些識別符與針對每 個對應安全區(qū)域或地帶的授權人員列表相比較。在確定尋求訪問的人員是被授權的時,訪 問處理器可以發(fā)送打開電子鎖和準許該人員到安全區(qū)域中的訪問的信號。
[0020] 在準許訪問時,訪問處理器可以創(chuàng)建該訪問的記錄并將其保存到事件文件中。保 存在事件文件中的信息可以包括訪問的人員和安全區(qū)域以及時間的識別符。
[0021] 系統(tǒng)內還可包括的是一個或多個處理器,其檢測安全系統(tǒng)所具有的故障或潛在的 安全威脅。潛在的安全威脅可以包括來自相機的視頻丟失或否則在系統(tǒng)處于解除狀態(tài)時將 不產生告警或激活告警傳感器的傳感器之一的激活。在每一種情況下,在檢測到故障的指 示時,故障處理器可將事件的記錄保存到事件文件中。該記錄可以包括故障類型、傳感器、 所涉及的其他裝置的相機和事件時間的識別符。
[0022] -般而言,安全系統(tǒng)的事件文件可以是可用來解決和識別安全漏洞和發(fā)展中的威 脅的重要信息來源。例如,來自特定相機的視頻損失可能是設備故障的簡單情況,或者它可 能是有人在短時間段內故意禁用相機以便掩蓋某些犯罪行為的結果。
[0023] 類似地,在一個組織保護一個區(qū)域以實行某些事業(yè)的情況下,由該組織的員工活 動所引起的保存的事件可被用作檢測不忠實員工或活動模式中的重要信息來源。例如,被 分配到安全區(qū)域的第一地帶內某功能的員工可能突然開始訪問其他地帶而沒有這樣做的 任何明顯理由。這可能表明,該員工正在從事一些非法活動或只是正尋找一種方式來挫敗 安全系統(tǒng)的一個或多個傳感器。
[0024] 類似地,罪犯可能偷竊或以其他方式從授權用戶得到訪問卡,并在下班或安全區(qū) 域否則是空置的時的階段期間嘗試使用訪問卡來獲得到安全區(qū)域進入。在授權用戶將不正 常使用他/她的卡時的時間段期間使用訪問卡可能是安全威脅的指示。
[0025] 在一個說明的實施例下,當事件實時發(fā)生時,一個或多個事件檢測處理器可檢測 保存到事件文件中的事件。類似地,一個或多個威脅評估處理器可識別類似的過去或同期 事件,并基于當前事件和過去事件之間的偏差來評定威脅。類似事件的識別可基于特定員 工、基于特定傳感器、基于特定時間段、基于事件的位置或基于多個其他不同的統(tǒng)一因素中 的任意。
[0026] 在一個說明的實施例下,分組處理器可處理事件文件內的數據以在多個不同的統(tǒng) 一因素中的任意下將事件pi合并成一組對象P (其中PHpp ...,Pi, ...,pn)。統(tǒng)一因 素可基于觸發(fā)了事件的開關或讀卡器的識別符、事件時間、引起事件的人員的識別符或指 示共同來源的多個其他因素中的任意。一旦基于統(tǒng)一因素被合并,這些事件可以被處理以 識別表現(xiàn)為無關項(outlier)或指示安全威脅的統(tǒng)計可能性的任何當前檢測到的事件。在 檢測到這樣的事件時,可由告警處理器設置警報或告警。
[0027] 可在多個不同的基于密度的異常檢測方法中的任意下完成分組數據的處理。在 2002年11月在由卡耐基梅隆大學計算機科學學院的Papadimitriou等所著的題為"LOCI: Fast Outlier Detection Using the Local Correlation Integral"的出版物或者在2000 年德克薩斯達拉斯召開的ACM SIGM0D 2000關于數據管理的國際會議上由Breunig等所著 的題為"L0F: Identifying Density-Based Local Outliers"的出版物中描述了一種方法。 也還可以使用其他類似方法。
[0028] 為簡單起見,將通過類比L0CI方法來描述分組數據的處理。然而,應當理解的是, 分組數據的處理也可以使用多個其他的基于密度的異常檢測方法中的任意方法的類似過 程來完成的。
[0029] 在L0CI方法下,分組數據可由L0CI處理器所處理。例如,考慮特定傳感 器被激活的情況。在該情況下,可通過以χ-y為基礎通過在X軸上考慮傳感器激 活之間的間隔并在y軸上考慮傳感器激活的數目(或反之亦然)而對這樣的事件進 行分組來評估涉及同一傳感器的過去事件。對于比一些最大半徑值rmax離中心對 象口1更近的所有對象而言,處理器可以執(zhí)行范圍搜索。對象隨后可以基于它們與中 心對象Pi的距離被排序,其中以形成有序列表01。確定Pi的!·鄰域數目的值η (即 n(pLr) =lN(ptlr)l,其中 N(phr) = {p e P|rf(p,pj) < r})。確定該組 r 鄰域上的 n 的平均 (即η)(即n(Pi, r, a) = )??稍赑i的一組r鄰域上確定n(p, ar)的標準 差(Βρσ?(Ρ?,Γ?α)Ξ
[0030] 為了檢測無關項,可為半徑(或標度)r處的點Pi定義多粒度偏差因子(SP, MDEF{pi,r,a))0類似地,可定義可直接與MDEF比較的歸一化偏差(即oMDEF(p i,r,a))0 可以由對表達式M.DEF(Ptr,a) > r,Cf)進行評估的比較處理器來確定無關項, 其中k具有的值為3。
[0031] 由LOCI處理器所執(zhí)行的步驟可由如下偽代碼來概括。 //Pre-processing For each pi e P: Perform a range-search for N( = fp e P\d(Pt?P) ^ 'mu.?.】 From IV,·, construct a sorted fist i), of the critical and a- critical distances of p; //Post-processing For each p; e P, For each radii r e D, (ascending): Update er) and r, or) From n and n, compute MDEF(pi,r,^) ami (7ft(Pir,a) If MDEP(pit r,a) > 2oM[)EF(pftr, a), then flag p,+ as an outlier and set an aform,
[0032] 為了使用來識別無關項,上述方法需要依據其對數據點群進行計 數的定義良好的局部鄰域。針對維度是連續(xù)屬性的數據空間容易地定義局部鄰域容易,因 為通過定義,針對連續(xù)變量構成的空間,例如歐幾里德度量,可以容易定義度量。對于不存 在可被使用的通用度量的定義分類的分類屬性而言,出現(xiàn)了問題。因此,針對一個或多個分 類屬性表示一個或多個數據空間維度的數據空間不能定義局部鄰域。
[0033] 出現(xiàn)了對于組合連續(xù)和分類屬性以定義其維度的算法的需求。例如,在用于建筑 物或設施的訪問控制系統(tǒng)的情境中的異常事件的檢測中。其中某人可能想要執(zhí)行異常檢測 的情況的一個示例是,在訪問數據包含定義了三維數據空間維度的訪問時間、訪問之后的 停留持續(xù)時間和用戶識別符(ID)的情境中。在此示例中,訪問時間和停留持續(xù)時間是連續(xù) 屬性,其具有數據點之間的距離和鄰域的清晰概念,并且其中用戶ID表示分類屬性,其中 不能定義兩個數據點之間的距離,且因此不能建立局部鄰域。
[0034] 本文所描述的系統(tǒng)通過在數據空間的分類部分中在數據值之間建立距離,解決了 檢測與分類數據相關聯(lián)的異常的問題。一旦建立了距離值,就可針對數據空間或針對將分 類和連續(xù)屬性組合為其維度的任何多維數據空間定義局部鄰域。
[0035] 如何定義分類數據值之間的距離的一種方式可基于數據分類或外部知識的情境, 該數據分類或外部知識可以根據分類數據的意義和/或根據其中使用該分類數據的應用 而可用。對于用戶ID允許對安全系統(tǒng)的安全區(qū)域訪問的特定示例,用戶可基于他們在由訪 問控制系統(tǒng)所控制的建筑物/設施中執(zhí)行的功能進行分組(例如維護、管理、安全、實驗室 員工、實驗室管理人員等)或基于用戶具有訪問權限的安全地帶進行分組。
[0036] 在另一個示例中,分類數據可以是訪問控制器的訪問點識別符(ID),該訪問控制 器控制在該位置處的讀卡器和電子鎖。在這個示例中,訪問點ID可以基于它們在建筑物或 設施內的已知位置、基于其對設施內特定安全地帶的分配或基于訪問控制裝置所位于的安 全地帶的功能類型進行分組。
[0037] -旦分類數據值已被分配到預定義的組,組之間的距離可被定義,且根據這兩個 值的組分配中的區(qū)別將所定義的距離分配給相關的每對分類值。例如,屬于同一安全地帶 的訪問點ID之間的距離可以被定義為0 (零)。訪問點ID離彼此相鄰的區(qū)域中所使用的安 全地帶的距離可以被定義為1。訪問點ID離不相鄰但駐留在同一建筑物的同一樓層上的安 全地帶的距離可以被定義為2。訪問點ID離駐留在不同樓層上的安全地帶的距離可以被定 義為3。訪問點ID離駐留在不同建筑物中的安全地帶的距離可以被定義為4。
[0038] 分組和分配距離的另一個示例可以是基于與訪問點相關聯(lián)的安全區(qū)域的功能類 型。在此示例中,均與相同功能的空間相關聯(lián)的兩個訪問點之間的距離可被定義為被分離 了距離0。均與相似功能類型的空間相關聯(lián)的兩個訪問點之間的距離可被定義為距離1。均 不同功能類型的空間相關聯(lián)兩個訪問點之間的距離可具有定義的距離2。
[0039] 定義分類數據值之間距離的另一種方式可以基于與每個分類值相關聯(lián)的數據的 統(tǒng)計信息。如果存在對于每個分類值可用的足量數據,通過比較與每個分類值相關聯(lián)的數 據的統(tǒng)計信息,可針對分類值定義相似性度量。相似性度量可基于統(tǒng)計信息或任何其他因 素的穩(wěn)定性。對于其中由分類屬性構成數據空間的一個維度并且其他維度是連續(xù)屬性的多 維數據空間中的異常檢測來說,這將是尤其有用的。在這些情況下,用戶可基于統(tǒng)計信息為 每個分類值構建連續(xù)屬性分布。統(tǒng)計相似性度量,例如Kullback-Leibler散度或互信息也 可以被用來提供兩個分布之間的距離值。一旦定義了每兩個分類值之間的相似性,可將相 似性轉化成距離度量并將其用于建立任何分類值周圍鄰域的概念。
[0040] 一般而言,基于密度的異常檢測方法可以被用于安全系統(tǒng)的許多不同方面中,以 增加設施的安全區(qū)域的安全級別。在這點上,異常事件可以指示不規(guī)則活動或行為,并且因 此可導致嚴重安全威脅的早期發(fā)現(xiàn)。在一個實施例中,該系統(tǒng)可以在由安全區(qū)域的訪問控 制裝置所報告的事件中查找異常行為。在其他實施例中,系統(tǒng)可在集成安全系統(tǒng)的安全事 件的數據庫中搜索異常事件,該系統(tǒng)由入侵檢測、訪問控制系統(tǒng)、視頻分析和其他安全相關 的子系統(tǒng)組成。
[0041] 在其他實施例中,系統(tǒng)可以從系統(tǒng)診斷裝置中檢查事件。在此情況下,系統(tǒng)可分析 和檢測特定設備中的缺陷、系統(tǒng)故障或人試圖利用系統(tǒng)弱點的證據。
[0042] 一般而言,系統(tǒng)包括實現(xiàn)檢測異常的方法的裝置。該方法包括以下步驟:檢測與 安全系統(tǒng)內用戶活動有關的事件,其中事件由多個屬性所定義,其中至少一個屬性是分類 的,并且其中事件間的數據距離是事件屬性的函數,通過使用局部關聯(lián)積分(LOCI)f(r)來 評估所檢測的事件,其中r是數據點周圍鄰域的大小;將所評估的表達式的值與邊緣閾值 (msg(r))進行比較,以及在檢測到該值超過閾值時設置告警。
[0043] 根據前述內容,將明顯的是,在不脫離本發(fā)明精神和范圍的情況下,可以實現(xiàn)許多 變形和修改。要理解的是,不意在或不應推斷出相對于本文中所說明的具體設備的限制。當 然,意在由所附權利要求覆蓋如落入權利要求的范圍內的所有此類修改。
【權利要求】
1. 一種方法,包括: 檢測與安全系統(tǒng)內的用戶活動有關的多個事件,其中所述事件由多個屬性所定義,其 中至少一個屬性是分類的,并且其中事件之間的數據距離是事件屬性的函數; 通過使用基于密度的異常檢測方法f (r)來評估所檢測的事件,其中r是表示所述事件 的數據點周圍鄰域的大??; 將所評估的表達式的值與邊緣閾值(msg(r))相比較;以及 在檢測到所述值超過所述閾值時設置告警。
2. 如權利要求1中的方法,其中所述事件屬性的函數進一步包括將事件的訪問點識別 符(ID)關聯(lián)到所述安全區(qū)域內的多個安全地帶中預定的一個,其中基于安全地帶的空間布 置來確定事件間的距離,并且其中所述距離被用來建立表示所述事件的數據點周圍鄰域的 概念。
3. 如權利要求1中的方法,其中所述事件屬性的函數進一步包括將所述事件的用戶ID 關聯(lián)到所述安全區(qū)域內的多個用戶角色中預定的一個,其中基于所關聯(lián)的用戶角色的相似 性來確定事件之間的距離,并且其中所述距離被用來建立表示所述事件的數據點周圍鄰域 的概念。
4. 如權利要求1中的方法,其中所述事件屬性的函數進一步包括將所述事件的用戶ID 關聯(lián)到所述安全區(qū)域內的多個安全地帶中預定的一個,其中基于所關聯(lián)的安全地帶之間的 區(qū)別來確定事件之間的距離,并且其中所述距離被用來建立表示所述事件的數據點周圍鄰 域的概念。
5. 如權利要求1中的方法,其中所述函數進一步包括連續(xù)數據值,所述連續(xù)數據值包 括以下中的至少一個:進入到安全區(qū)域中的時間、每個時間段進入到安全區(qū)域中的頻率、每 次進入之后停留在安全區(qū)域內的持續(xù)時間、在安全區(qū)域內從一個安全地帶行進到另一個的 頻率以及未進入到安全區(qū)域中的持續(xù)時間。
6. 如權利要求5中的方法,進一步包括針對與用戶的每個分類值相關聯(lián)的每個連續(xù)數 據值函數構建連續(xù)屬性分布。
7. 如權利要求6中的方法,進一步包括使用至少包括針對兩個分布所定義的 Kullback-Leibler散度或互信息的相似性度量來定義相似性度量。
8. 如權利要求7中的方法,進一步包括將相似性轉化成距離測量,并使用其來建立表 示所述事件的數據點周圍鄰域的概念。
9. 一種設備,包括: 事件處理器,其檢測與安全系統(tǒng)內的用戶活動有關的多個事件,其中所述事件由多 個屬性所定義,其中至少一個屬性是分類的,并且其中事件間的數據距離是事件屬性的函 數; 評估處理器,其通過使用基于密度的異常檢測方法f(r)來評估所檢測的事件,其中r 是表示所述事件的數據點周圍鄰域的大??; 比較處理器,其將所評估的表達式的值與邊緣閾值(msg(r))進行比較;以及 告警處理器,其在檢測到所述值超過所述閾值時設置告警。
10. 如權利要求9中的裝置,其中所述事件處理器和所述事件屬性的函數進一步包括 處理器,其將事件的訪問點識別符(ID)關聯(lián)到所述安全區(qū)域內的多個安全地帶中預定的一 個,其中基于所述安全地帶的空間布置來確定事件間的距離,并且其中所述距離被用來建 立表示所述事件的數據點周圍鄰域的概念。
11. 如權利要求9中的裝置,其中所述事件處理器和所述事件屬性的函數進一步包括 處理器,其將所述事件的用戶ID關聯(lián)到所述安全區(qū)域內的多個用戶角色中預定的一個,其 中基于所關聯(lián)的用戶角色的相似性來確定事件間的距離,并且其中所述距離被用來建立表 示所述事件的數據點周圍鄰域的概念。
12. 如權利要求9中的裝置,其中所述事件處理器和所述事件屬性的函數進一步包括 處理器,其將所述事件的用戶ID關聯(lián)到所述安全區(qū)域內的多個安全地帶中預定的一個,其 中基于所關聯(lián)的安全地帶之間的區(qū)別來確定事件間的距離,并且其中所述距離被用來建立 表示所述事件的數據點周圍鄰域的概念。
13. 如權利要求9中的裝置,其中所述函數進一步包括連續(xù)數據值,所述連續(xù)數據值包 括以下中的至少一個:進入到安全區(qū)域中的時間、每個時間段進入到安全區(qū)域中的頻率、每 次進入之后停留在安全區(qū)域內的持續(xù)時間、在安全區(qū)域內從一個安全地帶行進到另一個的 頻率以及未進入到安全區(qū)域中的持續(xù)時間。
14. 如權利要求13中的裝置,進一步包括針對與用戶的每個分類值相關聯(lián)的每個連續(xù) 數據值函數構建連續(xù)屬性分布。
15. 如權利要求14中的裝置,進一步包括使用至少包括針對兩個分布所定義的 Kullback-Leibler散度或互信息的相似性度量來定義相似性度量。
【文檔編號】H04L9/32GK104050787SQ201410089034
【公開日】2014年9月17日 申請日期:2014年3月12日 優(yōu)先權日:2013年3月12日
【發(fā)明者】V.利巴爾, P.瓦查, V.古拉爾尼克 申請人:霍尼韋爾國際公司