用于经由连接的照明器执行整个建筑的无线网络入侵检测的系统和方法与流程

本公开总地针对用于具有无线网络接口的照明器的方法和系统，其被配置成检测网络入侵。

背景技术：

无线网络的普遍存在以及无需物理连接（因此“无线”）即可访问它们或通过它们传导的信息的能力，使得它们成为恶意网络入侵的主要目标。由于当前趋势是向越来越长的设备列表添加无线连接性，以发展诸如家庭/建筑物自动化的领域，例如电视、恒温器、门锁，厨房电器等，所以对安全性的需求被放大。

存在可以安装的指定无线安全系统，但是这些系统仅出于提供安全性的目的就要求设立额外的基础设施。而且，在许多场所中，特别是针对大型办公空间或商业建筑物而言，为了设立基础设施来创建鲁棒的安全系统，可能过度昂贵。

在与这些问题作斗争时特别值得注意的是连接的照明系统，与所有其他类型的连接的设备相比，其提供了独特的特征：在家庭或商业建筑物中，照明系统可能呈现出任何其他设备/电器/系统的无线可联网设备的最高密度。也就是说，因为为了在整个房间或建筑物中提供足够的照明，已经在彼此之间每隔几英尺处提供了光源，所以随之而来的必然是：为每个照明器配备无线接口将导致连接的设备的密集网络。

在家庭或商业办公室内提供改进的照明性能方面（例如减少电力使用以降低日常设施开销），这些连接的照明系统历来有用，有一个未充分使用的副作用是：它们创建了无线连接的设备的难以置信的密集网格。附加地，这些连接的照明系统依靠其他设备或系统来确保它们的无线网络保持安全。

因此，在现有技术中存在对如下的方法和系统的持续需要，即：这些方法和系统改进了无线网络安全，同时利用了已存在的建筑物基础设施，也使得由连接的照明系统创建的相对密集的网络能够提供传统上与照明系统不相关的附加功能性（诸如无线网络安全）。

技术实现要素：

本公开包括用于使用连接的照明系统检测无线网络入侵的发明方法和系统。本文中的各种实施例和实现针对包括与彼此无线通信的多个照明器的连接的照明系统。关于每个照明器生成参考分布，其对应于在给定的假设时间间隔期间在每个照明器的通信范围内的客户端设备的物理层特性的值的预期分布。不同的参考分布可以针对每个假设的时间间隔（在一天、一周、一年等期间出现）生成。照明器收集或以其它方式接收针对每个当前时间间隔的物理层特性，以生成对应于对于当前时间间隔在每个照明器的通信范围内的客户端设备的物理层特性的值的实际分布的观察分布。以这种方式，空间方面（例如，关于地理或位置）和时间方面（例如，关于时间）二者都被考虑到。参考分布充当观察分布对照其进行对比的参考，以便检测实际出现的情况（观察分布）和预期出现的情况（参考分布）之间的任何异常。如果检测到异常，则启动警报状态，这可以导致由系统采取的纠正行动，诸如临时关闭无线网络。照明器被布置为例如具有使用软件定义的无线电设备，以便以以上描述的方式扫描或监测多个不同网络。

一般地，在一个方面，提供了一种方法以检测对至少部分地由以无线通信连接的多个照明器形成的无线网络的入侵者。该方法包括以下步骤：由连接的照明系统（10）中的多个照明器的每个的网络接口（22）监测多个客户端设备（26）的无线网络活动；由照明器的每个的网络接口从接入无线网络并在指定时间间隔上位于由每个照明器的通信范围定义的地理区域（28）内的客户端设备的每个接收（120）一个或多个物理层特性；由连接的照明系统的处理器（20）检索（110）参考分布的阵列（50），该阵列包括每个照明器的参考分布的子集，每个子集包括分别对应于多个时间间隔的多个参考分布，每个参考分布代表在从该多个时间间隔的时间间隔中对应的一个时间间隔期间针对照明器中对应的一个照明器的一个或多个物理层特性的预期分布；由连接的照明系统的处理器生成（130）针对所述照明器的每个的观察分布，每个观察分布代表在指定时间间隔上由照明器的给定一个照明器接收的一个或多个物理层特性的值的实际分布；由连接的照明系统的处理器将每个观察分布与对应于指定时间间隔的参考分布之一进行比较（140）以检测异常；以及如果检测到异常，则由连接的照明系统的处理器启动（160）警报状态。

根据一实施例，参考分布、观察分布或二者都采取直方图的形式。根据一实施例，警报状态引起无线网络至少部分关闭、消息被发送给指定人员、创建音频或视觉提示或包括上述至少一个的组合。根据一实施例，如果没有检测到异常，则至少在指定时间间隔之后针对一个或多个随后的时间间隔重复接收、生成和比较的步骤。根据一实施例，启动警报状态包括经由所述照明器的一个或多个向无线网络上的指定网络设备（25）发送警报信号的步骤。

根据一实施例，无线网络是使用第一网络协议的第一无线网络并且该方法还包括将照明器从第一网络协议切换（330）到由第二网络使用的第二网络协议的步骤，并且接收的步骤关于第一网络和第二网络二者执行。根据另一实施例，照明器中的每个包括软件定义的无线电设备并且在第一和第二网络协议之间的切换由软件定义的无线电设备实现。

根据一实施例，检索的步骤包括以下子步骤：定义（210）参考学习分布；由照明器的每个的网络接口从接入无线网络并且在当前时间间隔上位于每个照明器的通信范围内的客户端设备的每个接收（220）一个或多个物理层特性；由处理器生成（220）针对照明器的每个的物理层特性的观察学习分布；由处理器将观察学习分布与参考学习分布进行比较（230）；由处理器基于所述比较确定（240）参考学习分布是否已经变得稳定；并通过将参考分布存储到连接的照明系统的存储器中，而用来自参考学习分布的数据定义（250）参考分布。

根据一实施例，该方法还包括基于观察学习分布更新参考学习分布的子步骤，并且，如果在确定的子步骤中参考学习分布被确定为没有变得稳定，则重复接收、生成和确定的子步骤。

根据一实施例，一个或多个物理层特性包括位置相关特性、位置无关特性或包括前述至少一个的组合。根据一个实施例，物理层特性包括接收信号强度指示器（rssi）、信道状态信息（csi）或者包括前述至少一个的组合。

根据一实施例，照明器与网络设备通信并且网络设备包括处理器、存储器或前述的组合。根据权利要求1所述的方法，其中所述照明器包括处理器、存储器或前述的组合。

一种用于检测对具有一个或多个客户端设备（26）的无线网络（24）的入侵者的连接的照明系统（10），包括：多个照明器（14），其经由照明器的每个的网络接口与无线网络以无线通信连接，其中照明器的每个的网络接口被配置成接收（120）在指定时间间隔上在由每个照明器的通信范围定义的地理区域（28）内接入无线网络的客户端设备的每个的物理层特性的值；存储参考分布的阵列（50）的存储器（18），所述阵列包括参考分布的多个子集（60，62），每个子集包括分别对应于多个时间间隔的多个参考分布，每个参考分布代表在时间间隔的对应的一个时间间隔期间接入无线网络的客户端设备的物理层特性的值的预期分布；被配置成生成（130）代表在指定时间间隔上由照明器接收的物理层特性的值的实际分布的观察分布的处理器（20），处理器还被配置成将观察分布与参考分布中对应于指定时间间隔的一个参考分布进行比较（140）以便检测异常。根据一实施例，照明器包括存储器、处理器或包括前述至少一个的组合。

术语“光源”应被理解成指各种辐射源中的任何一种或多种，包括但不限于基于led的源（包括如上定义的一个或多个led）、白炽源（例如，白炽灯、卤素灯）、荧光源、磷光源、高强度放电源（例如，钠蒸气、汞蒸气和金属卤化物灯）、激光器、其他类型的电致发光源、热致发光源（例如，火焰）、烛火发光源（例如，气灯罩、碳弧辐射源）、光致发光源（例如气体放电源）、使用电子饱和的阴极发光源、电流发光源、晶体发光源、运动发光源、热发光源、摩擦发光源、声致发光源、辐射发光源和发光聚合物。

给定的光源可以被配置成生成可见光谱内、可见光谱外或两者的组合的电磁辐射。附加地，光源可以包括一个或多个滤光器（例如，滤色器）、透镜或其他光学组件作为组成的组件。此外，应当理解，光源可以被配置用于各种应用，包括但不限于指示、显示和/或光照。“光照源”是特别配置成生成具有足够强度的辐射以有效照亮内部或外部空间的光源。在这个上下文中，“足够的强度”指的是在空间或环境中生成以提供环境光照的可见光谱中的足够的辐射功率（就辐射功率或“光通量”而言，通常采用单位“流明”来表示在所有方向上来自光源的总的光输出）（即，可以被间接感知的和例如可以在被整体或部分感知之前被各种中间表面中的一个或多个反射掉的光）。

术语“照明单元”、“照明器材”或“照明器”在本文中可互换使用，以指代包括相同或不同类型的一个或多个光源的装置。给定的照明单元可以具有针对（多个）光源的各种安装布置、外壳/外罩布置和形状、和/或电气和机械连接配置中的任何一种。附加地，给定的照明单元可选地可以与涉及（多个）光源的操作的各种其他组件（例如，控制电路）相关联（例如，包括它们、耦合到它们和/或与它们封装在一起）。“基于led的照明单元”是指包括仅如上文所讨论的一个或多个基于led的光源或与其他非基于led的光源组合的照明单元。

在各种实现中，处理器或控制器可以与一个或多个存储介质（在本文中总地称为“存储器”，例如易失性和非易失性计算机存储器，诸如ram、prom、eprom和eeprom、软盘、高密度盘、光盘、磁带等）相关联。在一些实现中，存储介质可以用一个或多个程序编码，当在一个或多个处理器和/或控制器上执行时，该程序执行本文讨论的功能中的至少一些功能。各种存储介质可以固定在处理器或控制器内，或者可以是可迁移的，使得存储在其上的一个或多个程序可以被加载到处理器或控制器中，以便实现本文讨论的本发明的各个方面。术语“程序”或“计算机程序”在本文中以一般的意义使用，指的是可用于对一个或多个处理器或控制器进行编程的任何类型的计算机代码（例如，软件或微码）。

在一个网络实现中，耦合到网络的一个或多个设备可以充当耦合到网络的一个或多个其他设备的控制器（例如，以主/从关系）。在另一实现中，联网环境可以包括被配置成控制耦合到网络的一个或多个设备的一个或多个专用控制器。一般地，耦合到网络的多个设备中的每一个都可以访问存在于一个或多个通信介质上的数据；然而，给定的设备可以是“可寻址的”，因为它被配置成例如基于分配给它的一个或多个特定标识符（例如，“地址”）而选择性地与网络交换数据（即，从网络接收数据和/或向网络发送数据）。

本文使用的术语“网络”是指促进在耦合到网络的任何两个或更多设备之间和/或在多个设备之间的信息传输（例如，用于设备控制、数据存储、数据交换等）的两个或更多设备（包括控制器或处理器）的任何互连。应当容易理解，适于互连多个设备的网络的各种实现可以包括各种网络拓扑中的任何一种，并且采用各种通信协议中的任何一种。附加地，在根据本公开的各种网络中，两个设备之间的任何一个连接可以代表两个系统之间的专用连接，或者替代地，非专用连接。除了携带打算给两个设备的信息之外，这种非专用连接可以携带不一定打算给两个设备中的任何一个的信息（例如，开放式网络连接）。此外，应该容易理解，本文讨论的各种设备网络可以采用一个或多个无线、有线/电缆和/或光纤链路来促进整个网络中的信息传输。

应当理解，前述概念和下面更详细讨论的附加概念的所有组合（假设这些概念不相互矛盾）被认为是本文公开的发明主题的一部分。特别地，出现在本公开末尾的所要求保护的主题的所有组合都被认为是本文公开的发明主题的一部分。还应当理解，本文明确使用的、也可能出现在通过引用而并入的任何公开内容中的术语应当被赋予与本文公开的特定概念最一致的含义。

附图说明

在附图中，同样的参考标记在整个不同的视图中一般指相同的部分。此外，附图不一定是按比例绘制的，相反，重点一般放在说明本发明的原理上。

图1是连接的照明系统的示意图，其被配置成检测无线网络的入侵者。

图2是照明器的示意图，其可以形成图1的连接的照明系统的一部分。

图3是示出与照明器相关联的无线通信范围或地理区域的示意图。

图4是以直方图的特定形式的假设分布的示例，其可以由图1的连接的照明系统生成和/或使用。

图5是描述使用连接的照明系统来检测无线网络的入侵者的一种方法的流程图。

图6是参考直方图的阵列，其可以由图1的连接的照明系统使用和/或在图5的方法中使用。

图7是描述生成参考分布的一种方法的流程图。

图8是描述步骤的流程图，这些步骤可以被实现以便修改图1的连接的照明系统和/或图5的方法来针对入侵者而监测多个不同无线网络。

具体实施方式

本公开描述了使用连接的照明系统检测无线网络的入侵者的各种实施例。更一般地，申请人已经认识到并意识到，将连接的照明系统配置成收集或以其它方式接收接入无线网络的客户端设备的物理层特性，然后生成并比较代表物理层特性的值的预期和实际分布的各种数据分布将是有益的。申请人还认识到并意识到，当接收前述物理层特性值并生成和比较前述分布时，考虑时间/时序（chronological）和地理/空间两个方面将是有益的。利用本公开的某些实施例的特定目标是，在将客户端设备的物理层特性的参考或预期分布与客户端设备的物理层特性的观察或实际分布进行比较时，当检测到异常，则检测到无线网络的入侵者。

鉴于前述内容，各种实施例和实现针对包括彼此无线通信的多个照明器的连接的照明系统。生成关于每个照明器的参考分布，该参考分布对应于在给定的假设时间间隔期间每个照明器的通信范围内的客户端设备的物理层特性的值的预期分布。可以为发生在一天、一周、一年等期间的每个假设时间间隔生成不同的参考分布。照明器收集或以其它方式接收针对每个当前时间间隔的物理层特性，以生成针对当前时间间隔与在每个照明器的通信范围内的客户端设备的物理层特性的值的实际分布相对应的观察分布。参考分布充当观察分布对照其进行比较的参考，以便检测实际发生的（观察分布）和预期发生的（参考分布）之间的任何异常。如果检测到异常，就启动警报状态，这可能导致系统采取的纠正动作，诸如暂时关闭无线网络。

在本文使用“数据分布”或简单的“分布”，是指代表或相关于多个客户端设备的所选择特性的数据集，其通过基于客户端设备的所选择特性的相应值对客户端设备的数量和/或类型进行排序、归类和/或量化来帮助识别客户端设备和/或这些设备中的特定设备之间的模式。在一个实施例中，本文讨论的分布是通过将来自时域（即，随时间取得或收集）的数据变换到频域（即，在指定时间间隔内发生的相关事件的数量/数目）来生成的。在一个实施例中，通过初始地取得特性的时间序列（即，随时间收集的一连串特性）来生成分布。在一个更具体的实施例中，该分布可以采取直方图的形式，该直方图将所选择特性归类到不同的值范围中，并且对对应于所选择特性的每个值范围的客户端设备的数量进行计数。在一个实施例中，分布可以包括例如通过离散小波变换、离散傅立叶变换等对数据的时间序列或其他集合执行变换、转换、分析或其他修改，以便基于客户端设备的所选择特性促进对客户端设备的量化和/或归类。考虑到本文所公开的内容，将容易认识到在本文所讨论的各种实施例中可能有用的用于生成分布的其它方式。

参考图1，示出了根据一个实施例的连接的照明系统10，用于包括多个照明器14的代表性工作空间12。应当理解，包括工作空间12是为了图示可受益于本文公开的实施例的区域、空间、房间、建筑物或其他位置的一个可能的实施例。本质上，工作空间12可以采取任何希望用许多照明器材照明的场所的形式，例如，商业办公建筑物、制造或工业设施、仓库、住宅、公寓建筑、体育场或体育设施、公共区域、市政设施或街道、室外公园、停车场等。

在图1中，照明器14以安装在天花板的照明器材的形式被示意性地图示，但应该理解在其他实施例中，照明器14可以被布置为任何适当的设备（例如用于户外使用的街灯、用于住宅使用的落地灯或台灯等）。还应注意，这些照明器14的各个照明器可以包括附加到数字“14”的字母后缀（例如，a、b、c等），从而方便关于照明器14中某些照明器的讨论，然而，应理解的是，除非另有注解，否则对“照明器14”的引用总地可适用于所有的照明器14，而不管字母后缀如何。

根据一个实施例的照明器14之一的基本组件在图2中被示出。在这个实施例中，照明器14包括被布置为具有用于控制、监测和/或以其它方式帮助光源16的操作的适当组件的控制器15。在阐述的实施例中，控制器15包括存储器18、处理器20和网络接口22。存储器18和处理器20可以采取在它们相应的领域中已知的、对控制和/或帮助光源操作有用的任何适当的形式。应理解，控制器15在图2中被示意性地示出，并可以包括对控制、监测和/或帮助光源16操作有用的任何其他组件。

无线网络接口22可以是无线收发器，或者是使照明器14能够与彼此以及与使用相同无线协议标准的其他设备进行无线通信和/或以其它方式监测网络活动的任何其他设备。以这种方式，且返回参考图1，照明器14能够形成无线网络24（其可以被简单地称为网络24）。网络24可以被理解为无线网状网络，因为照明器14能够使用网络24与彼此以及在彼此之间进行通信。以这种方式，系统10被布置为连接的照明系统。这样的系统在本领域中可以被替代地称为智能照明系统或自动照明系统。简言之，照明器14的通信能力使系统10能够对环境状况作出反应，以便以最小的用户介入来更有效地使用照明器14（例如，系统10“知道”在那些照明器中选择的照明器不被需要时关闭它们）。

本文使用的术语“网状网络”意思是设备、节点或客户端的网络，该网络至少部分地是自组网或去中心化的，即设备、节点或客户端能够直接与彼此和/或通过彼此进行通信。通过前一句中的“至少部分地”应当理解，可以包括某个指定的硬件，例如网关、路由器和/或其他类似的设备，例如指定的网络设备25，以帮助提供互联网接入或者以其它方式控制或监测网络24或者促进整个网络24的网络通信。应当理解，本文使用的术语“通信”的任何使用并不需要其他设备主动地或有目的地与照明器14通信，而是可以包括照明器14仅仅在附近设备与网关、路由器或其他网络设备（例如，网络设备25）通信时监测这些附近设备的无线活动。出于本公开的目的，这种类型的被监测的通信应被视为“直接传达”到接收该通信的照明器14。网络设备25可以包括存储器、处理器、网络接口和/或关于照明器14教导的任何其他组件，使得网络设备25能够存储数据（例如，数据或数据分布，诸如直方图）、处理命令（例如，本文公开的方法的步骤）、和/或与照明器14无线通信。可以使用使得能创建无线网状网络24的任何无线协议，例如蓝牙、wi-fi、zigbee等。

在一个实施例中，无线网络接口22包括软件定义的无线电设备，或者采取软件定义的无线电设备的形式。以这种方式，控制器15的软件（例如，存储在存储器18中并由处理器20执行的软件）可以重新定义网络接口22使用的网络协议，使得照明器14可以在否则不能与彼此进行通信的多个不同的网络上通信（例如，网络接口22可以在wi-fi、蓝牙等或任何其他网络协议之间切换）。以这种方式，照明器14可以监测多个不同的无线网络，以便进一步增加如本文所讨论的系统10提供的安全特征。

无线网状网络24由照明器14和总地用参考数字26标明的多个客户端设备创建，并且在它们之间创建。类似于关于照明器14使用的编号惯例，客户端设备26中的个体客户端设备可以包括附加到数字“26”的字母后缀（例如，a、b、c等），以方便关于客户端设备26中某些客户端设备的讨论，然而，应当理解，除非另有注解，否则对“客户端设备26”的引用通常适用于所有客户端设备26，而不管字母后缀如何。

客户端设备26还包括使得它们能连接到网状网络24或另一无线网络的相应的网络接口。在任一情况下，照明器14能够与客户端设备26至少在这样的程度上通信，即：照明器14能够监测客户端设备26的无线活动和/或从客户端设备26收集、检测或以其它方式接收某些识别特性，即物理层特性，正如下面更详细讨论的。应当理解，每当提到照明器14正在收集、接收、传递、获取或发送数据、信号或信息时，除非另有说明，否则是网络接口22为照明器执行这些行动。此外，尽管在图1中未指示，但是应当理解，客户端设备26可以在彼此之间或之中进行通信。

客户端设备26不同于照明器14，因为照明单元本质上是不太可能定期移动或受到干扰的永久固定装置（例如，天花板固定装置，除了不时地更换/替换灯泡或其他光源之外，其不移动且不被进行物理交互），而客户端设备26可能会经历更经常的变化。例如，客户端设备26可以包括智能电话、平板电脑或其他手持计算设备（例如，智能电话26a）；膝上型电脑（例如膝上型电脑26b）；打印机、复印机和其他多功能办公电器（例如，打印机26c）；工作站和台式计算机（例如工作站26d）等。

图1中包括虚线以指示网络24内的直接无线通信（与经由一个或多个中间网络设备链传递数据的间接通信相反）。典型地，由于无线通信有限的范围，所以网络24内可以彼此直接通信的设备在物理上相对极接近。结果，照明器14的每个可以被理解为对应于地理空间或区域，照明器14可以与之通信的任何设备位于该空间中。例如，在图1中，照明器14a被示出为与照明器14b、客户端设备26a和客户端设备26b直接通信，而照明器14b与照明器14a和14b以及客户端设备26a、26b和26c直接通信，以及对于照明器14c和14d同理。应当理解，这仅仅是一个示例，并且每个照明器14可以连接到任意数量的其他照明器或客户端设备26。

图3图示了一实施例，其中照明器14之一被示出为被其对应的地理区域28包围，该地理区域28可替代地被理解为照明器14的信号或通信范围。因此，地理区域28表示为了与对应于该地理区域的照明器直接通信，设备（例如，客户端设备26中的一个或照明器14中的另一个）必须位于其内的边界。换句话说，地理区域28代表对应的照明器14的通信范围。例如，在图3中，图示了三个客户端设备26x、26y和26z。客户端设备26x和26y都在地理区域28内，因此可以直接与图3中的照明器14通信，但是26z在地理区域之外，所以不能直接与图3中的照明器14通信。附加地，设备26x和26y可以产生它们各自的物理层特性的对比值，这可以指示设备26x比设备26y相对更接近照明器14。

应当理解，图3是示意性的二维图像，但是照明器14的地理区域实际上将在三维中延伸。此外，虽然地理区域28被图示为圆形（当在三维方向上延伸时将变成球形），但是在实际的实践中，每个地理区域28可能采取更无定形的形状，并且受到诸如来自其他源（例如，其他无线网络）的信号干扰这样的事情、物理障碍物（例如，墙）和其他因素的影响。

根据一些方面，系统10可以包括一个或多个天线或天线阵列，以便提高识别或精确定位客户端设备26关于照明器14的位置或方位的准确度。例如，如以上关于客户端设备26x和26y所讨论的，照明器可能能够确定客户端设备中的一个客户端设备比另一客户端设备相对更接近该照明器。然而，没有一个或多个天线的帮助，照明器可能无法检测客户端设备26位于哪个或哪些方向。这在工作空间12是特定房间、建筑物（例如，房子或办公室）等的实施例中可能特别有利，并且客户端设备26被确定为从该房间或建筑物等的外部接入网络12），因为与客户端设备26从房间、建筑物等的内部访问网络24相比，这种类型的活动更可疑（即更可能是入侵者）。

根据一个实施例，照明器14的每个在其对应的地理区域28中监测或扫描（这些术语在本文中总地可互换地使用）网络24，以便从位于地理区域28内的所有客户端设备26收集、检测或以其它方式接收（这些术语在本文中总地可互换地使用）某些物理层特性，照明器可以经由其网络接口22与这些客户端设备直接通信。“接收某些物理层特性”是指对应于物理层特性的信号、数据、信息或值由每个照明器14的网络接口22接收。物理层特性可以包括计算的位置相关的特性或值，诸如接收信号强度指示符（rssi）或信道状态信息（csi）。“位置相关”是指该值取决于客户端设备26关于照明器14的相对位置而变化。

物理层特性可以替代地或附加地包括可以用于识别无线设备的位置无关的特性。例如，众所周知，许多无线收发器或其他网络接口在某些操作条件下展现出独特的行为或签名。通常，这种类型的设备签名是基于用于创建该设备的具体制造过程中的缺陷或古怪行为（quirk）。例如，收发器或其他网络接口可能会在设备开启后的最初几秒钟内表现出独特的射频输出模式。这种独特的信号模式可被用作或转变成在识别相应设备时有用的“签名”。在一个实施例中，信号模式数据是时域信号（幅度和相位），并通过对数据进行离散小波变换且使用计算的系数作为独特的识别特征而被处理成签名。例如傅立叶变换的其他数学转换可以类似地用于根据客户端设备26的行为特性（诸如前述独特的“开启”信号模式）创建识别签名。对于公司和互联网安全群组来说，保留所谓的“黑名单”设备列表并不罕见，这些设备是基于这种类型的位置相关的特性或签名来识别的。本领域的普通技术人员将会理解，这些仅仅是几个例子，并且将认识到可以由照明器14监测的其他位置相关和位置无关的特性。

照明器14被配置成在一个或多个指定的时间间隔上执行扫描。对应于每个这样的时间间隔生成一个或多个数据分布（或每个简单地为“分布”），令每个分布量化由每个照明器在其对应的地理区域28中监测的客户端设备26的数量和/或类型。例如，在一个实施例中，分布采取直方图的形式，并且客户端设备26按照客户端设备26的数量进行分类，客户端设备26具有落入不同指定值范围的、对于其（多个）物理层特性的值。换句话说，这些分布代表在任何给定照明器14的通信范围内的客户端设备26的物理层特性的值。

图4图示了代表性直方图，其对具有落入四个值范围之一的所选择物理层特性的值的设备的数量（“频率”）进行计数或清点（即，六个设备具有在1.0和2.0之间的物理层特性值，一个设备具有在2.0和3.0之间的值，八个设备具有在3.0和4.0之间的值，以及三个设备具有在4.0和5.0之间的值）。本领域的普通技术人员将容易认识到，图4仅仅是直方图的一个假设例子，其不对应于任何特定物理层特性，且因此任何物理层特性（例如，rssi、csi等）可以以这种方式被监测，并且被分组到任何数量的相关值范围中，以便为任何数量的照明器创建直方图。

本领域普通技术人员将认识到，直方图（例如，如图4所示）仅仅是所公开的实施例可以利用的数据分布的一个示例。例如，在一个实施例中，分布可以采取物理层特性的时间序列的形式（即，随时间收集的一连串物理层特性）。在另外的实施例中，分布可以包括对数据的时间序列或其他集合执行变换、转换、分析或其他修改，例如通过离散小波变换、离散傅立叶变换等。考虑到本文所公开的内容，在本文所讨论的各种实施例中可能有用的其他类型的分布将很容易被认识到。

类似于上述的照明器14的扫描可以发生在本文公开的各种实施例的多个不同阶段，以便生成两种类型的分布，本文称为“参考”分布和“观察”分布。术语“参考”和“观察”仅仅是为了方便描述本文的各种实施例而使用，并且它们各自的字典定义不应被认为以任何方式限制于所公开或要求保护的实施例。

为了更好地理解本文公开的各种实施例，提供了图5，其包括流程图，描述了根据一个实施例的检测无线网络的入侵者的方法100。从方法100的步骤110开始，生成或以其它方式检索或获得参考分布的阵列。在一个实施例中，参考分布的阵列在学习阶段期间生成，这将在下面关于图7中的方法200进行描述。最终，参考分布的目的是提供客户端设备的基线或历史分布，这些客户端设备被预期为在给定的日、周、月、年等的假设时间被每个照明器检测。也就是说，普遍接受的是：人类（尤其是在工作环境中的人类）是“习惯性的生物”，或以其它方式受制于常规的例行程序，因此，预期某些模式将会出现，这些模式能够被参考分布捕获，或者根据参考分布而被领会。

例如，在一个实施例中，可以创建对应于“上午10:00到上午11:00”的时间间隔的参考分布，这将适用于任何给定的日子。也就是说，当被系统10使用时，该参考分布将指示这样的客户端设备26的类型和数量，即：照明器14中对应的一个照明器在任何给定的日子在上午10:00到11:00之间应该预期遇到它们。在另一实施例中，可以创建对应于“星期二下午4:00到4:30”的时间间隔的参考分布，这将指示在这个时间在半小时间隔期间在任何给定的星期二人们可能预期什么。作为另一个例子，参考分布可以对应于“一月的第一个星期一，从早上6:05到6:10”，这将适用于每年的这个特定的日子和月份的五分钟间隔。

可以生成附加的参考分布来完成完整的时序，以便任何给定的情况都有与之相关联的参考分布。例如，在前一段的第一个示例中（“上午10:00到上午11:00”），可以类似地生成23个其他参考分布（总共24个1小时长的时间间隔），以覆盖剩余1小时长的时间间隔中的每一个，从而创建一天的完整时序。类似地，在前一段的第二个示例（“星期二下午4:00到4:30”）中，可以类似地生成另外335个参考分布（总共336个时间间隔，每个30分钟，以便创建一周的完整时序）。取决于所连接的照明系统10的用户的特定需要，参考分布可以如所希望的是颗粒状的（更短和/或更多时间间隔）或宽阔的（更长和/或更少时间间隔）。还应注意，可以创建部分时序而不是完整的时序（例如，在扫描不可行或不可取的某些时间段期间，不进行扫描）。附加地，要注意的是，当创建时序时，时间间隔不需要在长度上一致（例如，当不需要增加的粒度时，可以使用更长的时间间隔，诸如在要扫描的网络流量较少时的周末或深夜）。

图6描绘了针对任意数量的照明器（即，从1到‘n’个照明器，其中‘n’是大于1的任意整数）和任意数量的指定时间间隔（即，从1到‘m’个时间间隔，其中‘m’是大于1的任意整数）的参考分布的阵列50。也就是说，关于图6的实施例，针对第一时间间隔（时间间隔‘1’）期间第一照明器（照明器‘1’）存储参考直方图52，针对“第m”时间间隔（时间间隔‘m’）期间第一照明器（照明器‘1’）存储参考直方图54，针对第一时间间隔（时间间隔‘1’）期间“第n”照明器（照明器‘n’）存储参考直方图56，并且针对“第m”时间间隔（时间间隔‘m’）期间“第n”照明器（照明器‘n’）存储参考直方图58。再次注意，直方图（例如直方图52、54、56和58）只是可以使用的分布的一个示例，并且其他数据分布可以类似地存储在诸如阵列50的阵列中。

以这种方式，为照明器中的每个照明器存储覆盖所有指定时间间隔的分布的子集，即针对第一照明器（照明器‘1’）的子集60和针对第n照明器（照明器‘n’）的子集62。由于客户端设备26的类型和数量可以在全天变化（例如，当用户在那天期间进入、离开建筑物和在整个建筑物移动时），所以阵列50可以被配置为在任何数量的不同指定时间间隔期间为每个照明器存储不同的参考分布。注意，阵列50可以不全部存储在相同的地方，例如，子集中的每个（例如，60、62等）可以存储在该子集对应的相应照明器14的存储器18中。替代地，整个阵列50可以存储在另一个网络设备（例如，网络设备25）上的存储器中。

与参考分布相反，“观察”分布指的是在特定日子的离散时间段内实际观察到的分布，而不是假设的情况或预期。为此，在方法100的步骤120，对于当前或指定的时间间隔，物理层特性由照明器中的每个从其通信范围内的客户端设备接收。步骤120可以基本上实时（即，在当前时间间隔期间）执行，使得照明器监测在该时刻客户端设备的实际物理层特性。在当前时间间隔结束时，在步骤130从接收的物理层特性生成观察分布。这种生成可以由每个照明器14的处理器18来执行，或者照明器14可以将收集的物理层特性数据传送到另一个网络设备，例如网络设备25，用于生成观察分布。

例如，观察分布可以对应于在特定日子（例如，2018年1月1日；2022年3月3日，2019年7月4日；或者任何其他日子）的上午10:00到11:00的时间段期间实际扫描的客户端设备的物理层特性，而参考分布仅仅对应于任何给定日子的“上午10:00到11:00”的一般情况。以这种方式，可以基本上实时地生成观察分布，以量化正在实际发生（和/或刚刚发生）的情况，并与基于历史趋势的假设地预期的情况进行比较。

在步骤140，将观察分布与对应的参考分布进行比较。通过将实际发生的情况（观察分布）与预期发生的情况（参考分布）进行比较，可以识别异常或与预期情况的偏差。用于比较分布的任何已知度量或技术都可以用于分析分布，例如kullback-leibler（库尔贝克-莱布勒）或bhattacharya（巴塔查亚）距离等。比较可以由每个照明器14的处理器20的每个单独执行，或者相关数据可以被传送到另一个网络设备，例如网络设备25，以执行比较。

在步骤150，确定是否检测到异常，如果没有异常，该方法返回到步骤120，而如果检测到异常，则前进到步骤160。应当理解，该系统可以被配置为在某个阈值以下的微小偏差或异常导致步骤150中的“否”，这使该方法返回到步骤120。如果返回到步骤120，该方法对下一个时间间隔和其后的每个后续时间间隔（即，每个新的时间间隔变成当前时间间隔）重复。

由于这种异常代表从基于历史趋势所预期的情况偏离，所以任何异常都可能是不希望的入侵者获得对网络24的接入的结果。因此，系统10可以被配置为在识别到异常后在步骤160启动警报状态。警报状态可以对应于作为响应采取的任何数量的不同纠正动作。例如，在一个实施例中，系统10被配置成在警报状态启动时完全禁用网络24，以便挫败任何入侵者进入系统的企图。在一个实施例中，警报状态由一个或多个照明器14通过在整个网络24发送警报信号来启动。警报信号最终可以由网关、服务器、路由器或控制和/或监测网络24的其他指定设备（例如，网络设备25）接收。在一个实施例中，系统10被配置为仅禁用网络24在对应于异常的地理区域中的部分。在一个实施例中，消息或警报（例如，通过电子邮件、sms等）被发送给负责网络24（例如，it或安全）的人员。在一个实施例中，系统10例如在配备有it和/或安全人员的指定区域中产生视觉或音频提示，使得可以发生进一步的调查行动。这些后面的示例可能更适合于过度混乱或经历极高程度的网络流量和客户端设备变化的网络和工作空间，这可能导致系统生成相对更大数量的“误报”，因为它们创建了可行的事件来让人类进行进一步调查，而并不立即影响无线网络的性能。本领域的普通技术人员将认识到连接的照明系统在检测到异常后可以采取的其他纠正动作。

当如上文所讨论地操作时，系统10能够检测到客户端行为中相对较小的偏差，因为分布考虑了空间和时间变量两者，即，分布是相对于地理和时序两者而生成的。也就是说，照明器14各自对应于特定的地理区域28，并且分布（参考和观察两者）各自对应于特定的时间或时序。即使从照明器14中仅从客户端设备26收集位置无关的特性，仍然获得关于客户端设备26的地理信息，因为每个照明器14仅收集关于实际在其通信范围内（即，在地理区域28内）的客户端设备26的物理层特性的信息。有利的是，地理和时序二者的这种粒度使得系统10能够考虑处于不断变动中的环境，例如用户正带着他们的客户端设备进入、离开和四处移动的繁忙的商业办公室，从而增加成功识别入侵者的可能性。换句话说，网络24涉及多少客户端设备26，或者该数量的设备是否每天和/或全天变化都没有关系，因为系统10可以被配置为如上文所讨论的适应客户端设备26中的这些变化。

在一个实施例中，步骤110可以根据图7中所示的方法200来执行。方法200开始于步骤210，在步骤210中定义或更新参考学习分布。类似于“参考”和“观察”，仅仅是为了方便而在本文使用短语“学习”，其不应该被认为是以任何方式进行限制。术语“参考学习”分布指的是在学习阶段“学习”或“被训练”的参考分布，但是再一次这个短语仅仅是为了方便而使用，其不应该被认为是以任何方式进行限制。最初，参考学习分布还没有学习到任何东西，且是空白的。在步骤220，针对当前时间间隔收集物理层特性，并且根据上述任何相关的方法（例如，如关于步骤120和130所讨论的）生成观察学习分布。“观察学习”是指在学习阶段使用的观察分布，再一次这个短语仅仅是为了方便而使用，其不应该被认为是以任何方式进行限制。接下来，在步骤230，将观察学习分布与参考学习分布进行比较。在步骤230中进行比较以便在步骤240中识别参考学习分布是否已经收敛或变得稳定，即已经收集了足够的数据来准确预测和/或对应于观察学习分布的结果。

如果参考学习分布未变得稳定，方法200返回到步骤210，在步骤210，基于先前观察学习分布和步骤230的比较结果来更新参考学习分布。如果参考学习分布被确定为已经变得稳定，则方法200可以前进到步骤250，其中参考分布被定义为参考学习分布的最终迭代。对于必须生成的每个参考分布，可以重复方法200。为了确保所生成的参考分布中的足够的准确度水平，步骤240可以直到该方法经历了某个最小次数的循环和/或步骤230中的比较显示了至少最小次数的准确结果才导致“否”的结果。还应注意，在一些实施例中，方法200所描述的学习阶段可以在任何时间用于更新参考分布，例如，特别是在参考分布变得过时和/或开始生成不期望数量的“误报”警报的情况下。

在照明器14能够在不同网络上通信的实施例中（例如，其中网络接口22是软件定义的无线电设备或包括如上文所讨论的软件定义的无线电设备），可以修改操作方法以扫描多个网络。例如，图8图示了部分方法300的一部分，其可用于替代方法100中的步骤120和130。在部分方法300中，步骤310和步骤320分别非常类似于步骤120和130，步骤310和320基本上取代了步骤120和130。然而，步骤310和320是关于利用第一网络协议的第一网络执行的。步骤320进行到步骤330，其中每个照明器的网络接口切换网络协议以监测第二网络。例如，这可以通过使用第二无线收发器或者通过使用如上文所讨论的软件定义的无线电设备来实现。无论如何，接下来是步骤340和350，除了步骤340和350是关于第二网络执行的之外，步骤340和350通常也类似于步骤120和130和/或步骤310和320。如果替换了步骤120和130，则步骤350将前进到步骤140，并遵循方法100的其他步骤。替代地，与方法300类似的步骤可以用于在任意数量的不同网络协议之间切换。附加地，注意，方法300的步骤可以如所期望的以其他顺序与方法100的步骤组合（例如，步骤140在步骤330之前和再次地在步骤350之后发生）。

在一个实施例中，照明器14被配置成彼此协作，以便增加正确识别入侵者的可能性和/或减少识别“误报”的可能性。例如，在一个实施例中，系统10被布置成验证异常和/或查看是否可以通过协调来自多个照明器14的信息来修正异常。如果异常被修正，则系统10可以被布置成不启动警报状态。例如，客户端设备可以被标记为引起异常，因为其被检测为在某个时间处于其正常情况下不会在的某个地理位置，例如，正像通过比较相关参考分布（其在此时在该位置不包括该客户端设备）和实际观察分布（其检测到该客户端设备此时实际在该位置）而确定的。在该示例性实施例中，检测到异常的照明器14可以与其他照明器14通信，以便“询问”它们是否“认识”导致异常的客户端设备26。例如，如上文所讨论的，客户端设备26的每个可以具有由照明器14跟踪的独特签名或其他位置无关的特性。异常客户端设备的位置无关的特性因此可以被传达给其他照明器，以查看异常客户端设备是否是此时通常在另一个位置的已知设备。如果异常设备被“认出”，则系统10可以被配置为修正异常，因此不启动警报状态。

鉴于前面的段落，在一个实施例中，网络设备25被布置为仅当异常不能被网络设备25修正时才通过启动警报状态来监测“宏观”级别（例如，整个工作空间12）上的异常，而照明器14的每个被布置为检测“微观”级别上（例如，在照明器14的每个的相应地理区域28内）的异常。换句话说，在该实施例中，由照明器14检测到的异常仅在其不能被修正时才被认为是在“宏观”或系统级别的异常。本领域普通技术人员将认识到照明器14和/或网络设备25可以进行通信的其它方式，以便验证、修正或以其它方式更准确地识别异常。

虽然本文已经描述和图示了几个发明实施例，但是本领域普通技术人员将容易想到用于执行功能和/或获得本文描述的结果和/或一个或多个优点的各种其他手段和/或结构，并且这些变化和/或修改中的每一个都被认为在本文描述的发明实施例的范围内。更一般地，本领域的技术人员将容易意识到，本文描述的所有参数、尺寸、材料和配置都打算是示例性的，并且实际的参数、尺寸、材料和/或配置将取决于本发明教导要用于的（多个）具体应用。本领域的技术人员将认识到，或者将仅仅使用常规实验就能够确定本文描述的具体发明实施例的许多等同物。因此，要理解，前述实施例仅通过示例的方式呈现，并且在所附权利要求及其等同物的范围内，发明实施例可以以不同于具体描述和声明的其它方式实施。本公开的发明实施例针对本文描述的每个单独的特征、系统、物品、材料、套件和/或方法。此外，如果这样的特征、系统、物品、材料、套件和/或方法不是相互矛盾的，则两个或更多个这样的特征、系统、物品、材料、套件和/或方法的任何组合被包括在本公开的发明范围内。

本文定义和使用的所有定义应理解为在字典定义、通过引用并入的文档中的定义和/或已定义术语的普通含义之上控制。

此处在说明书和权利要求书中使用的不定冠词“a”（“一”）和“an”（“一个”）应理解为意指“至少一个”，除非明确相反地指示。

此处在说明书和权利要求书中使用的短语“和/或”应理解为意指如此结合的元素中的“任一个或两个”，即这些元素在某些情况下结合存在而在其他情况下分离存在。用“和/或”列出的多个元素应该以相同的方式解释，即这样结合的元素中的“一个或多个”。除了由“和/或”子句具体标识的元素之外，其他元素可以可选地存在，无论与那些具体标识的元素相关还是不相关。因此，作为非限制性示例，当结合诸如“包括”的开放式语言使用时，对“a和/或b”的引用在一个实施例中可以仅指a（可选地包括除了b之外的元素）；在另一个实施例中，仅指b（可选地包括除了a之外的元素）；在又一个实施例中，指a和b（可选地包括其他元素）；等等。

如此处在说明书和权利要求书中所使用的，“或”应理解为具有与上述定义的“和/或”相同的含义。例如，当分开列表中的项目时，“或”或者“和/或”应被解释为包括性的，即包括至少一个，而且也包括元素列表或许多元素中多于一个的元素，以及可选地，包括附加的未列出的项目。只有明确相反地指示的术语，诸如“……中的仅一个”或“……中的恰好一个”，或者当在权利要求书中使用时的“由……组成”，将指包括许多元素或元素列表中的恰好一个元素。一般来说，在前面有排他性的术语（例如“任一”、“……中的一个”、“……中的仅一个”或“……中的恰好一个”）时，本文使用的术语“或”仅应被解释为指示排他性的替代物（即，“一个或另一个，但不是两个”）。当在权利要求书中使用时，“基本上由……组成”应具有其在专利法领域中使用时的普通含义。

如此处在说明书和权利要求书中所使用的，参照一个或多个元素的列表的短语“至少一个”应该被理解为意指从元素列表中的任何一个或多个元素中选择的至少一个元素，但是不一定包括元素列表中具体列出的每一个元素中的至少一个，并且不排除元素列表中的元素的任何组合。该定义还允许：除了在短语“至少一个”所指的元素列表中具体标识的元素之外，其他元素可以可选地存在，无论与那些具体标识的元素相关还是不相关。因此，作为非限制性示例，在一个实施例中，“a和b中的至少一个”（或者等同地，“a或b中的至少一个”，或者等同地，“a和/或b中的至少一个”）可以指至少一个a，可选地包括多于一个的a，不存在b（并且可选地包括除b之外的元素）；在另一个实施例中，指至少一个b，可选地包括多于一个的b，不存在a（并且可选地包括除了a之外的元素）；在又一个实施例中，指至少一个a，可选地包括多于一个的a，以及至少一个b，可选地包括多于一个的b（以及可选地包括其他元素）；等等。

还应当理解，除非明确相反地指示，否则在本文要求保护的包括多于一个步骤或行动的任何方法中，该方法的步骤或行动的顺序不必限于叙述该方法的步骤或行动的顺序。

在权利要求书以及以上的说明书中，所有过渡短语，例如“包括”、“包含”、“携带”、“具有”、“内含”、“涉及”、“持有”、“组成”等，都应理解为开放式的，即意味着包括但不限于。根据美国专利局《专利审查程序手册》第2111.03节的规定，只有过渡短语“由……组成”和“基本上由……组成”应分别是封闭或半封闭的过渡短语。