CN108111812B - 一种视频安全监测方法及监测*** - Google Patents
一种视频安全监测方法及监测*** Download PDFInfo
- Publication number
- CN108111812B CN108111812B CN201711381363.4A CN201711381363A CN108111812B CN 108111812 B CN108111812 B CN 108111812B CN 201711381363 A CN201711381363 A CN 201711381363A CN 108111812 B CN108111812 B CN 108111812B
- Authority
- CN
- China
- Prior art keywords
- information
- http
- video
- behavior
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本申请公开了一种视频安全监测方法及监测***,其中,所述视频安全监测方法在实现对视频流量信息的还原和监测的基础上,还获取了待处理网络流量信息,并利用预置的配置信息的http资源账号提取信息对所述待处理网络流量信息进行解析,从而实现了对待处理网络流量信息的还原,并且还根据预置的配置信息中的匹配规则信息实现了对还原获得的http敏感行为的监测,从视频流量监视和http流量监视两个方面对视频监控***的视频安全监测,从而有效地覆盖了对各种环境下用户的操作行为的监测,实现了对视频监控***的全面监测。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种视频安全监测方法及监测***。
背景技术
随着摄像设备的普及,由摄像头为基础搭建的视频监控***成为各行业重点部门或重要场所进行实时监控的物理基础,管理部门可以通过视频监控***获得有效数据、图像或声音信息,对突发性异常事件的过程进行及时的监视和记忆,用以提供高效、及时地指挥布置、处理案件等。
网络视频监控***,又可称为IP(Internet Protocol)监控***,是视频监控***的一种。现今主流的IP监控***主要分为前端收集、媒介交流以及用户接入三个层次,共具有前端编码单元、中心业务平台、视频存储单元、客户端单元和解码单元五个组成部分。在网络视频监控***不断发展的过程中,出现了针对网络视频监控***的视频设备非法控制和视频数据的泄漏及滥用的情况,昭示着网络视频监控***中存在的巨大风险。
现有技术中对于视频监控***的视频安全监测方法参考中国专利CN106850285,其主要通过对视频网络数据包的解析,来实现还原其中的视频相关操作,例如视频下载、视频回放、摄像头控制等,从而实现对视频监控***中出现的各类视频相关操作的监控,但是在该方案中仅实现了对视频网络数据包的解析,对视频监控***的视频安全监测不够全面。
发明内容
为解决上述技术问题,本发明提供了一种视频安全监测方法及监测***,以解决现有技术中的视频安全监测方法无法实现对视频监控***的全面监测的问题。
为解决上述技术问题,本发明实施例提供了如下技术方案:
一种视频安全监测方法,包括:
获取预置的配置信息,所述配置信息包括:五元组匹配信息、http资源账号提取信息和匹配规则信息;
获取视频流量信息和网络流量信息,所述网络流量信息包括http流量信息和https流量信息;
根据所述五元组匹配信息对所述视频流量信息和网络流量信息进行过滤,以获得待处理视频流量信息和待处理网络流量信息,所述待处理网络流量信息包括待处理http流量信息和待处理https流量信息;
对所述待处理视频流量信息进行视频协议解析,以获得所述待处理视频流量信息对应的视频行为信息;
利用所述http资源账号提取信息,对所述待处理网络流量信息进行http/https协议解析,以获得所述待处理网络流量信息对应的http行为信息和登录信息;
根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;
根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为。
可选的,所述利用所述http资源账号提取信息,对所述待处理网络流量信息进行http/https协议解析,以获得所述待处理网络流量信息对应的http行为信息和http实施用户信息包括:
对所述待处理https流量信息进行证书解密处理,以获得与所述待处理https流量信息对应的解密http流量信息;
在所述待处理http流量信息和解密http流量信息中提取出请求信息和内容信息,并利用所述http资源账号提取信息在所述待处理http流量信息和解密http流量信息中提取出登录信息;
根据提取出的请求信息和内容信息确定http控制行为信息;
根据提取出的登录信息确定http实施用户信息。
可选的,所述视频行为信息包括:视频控制行为信息和视频实施用户信息;
所述根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为包括:
根据所述匹配规则信息对所述视频控制行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频控制行为信息作为视频敏感行为,并将所述视频敏感行为和与所述视频敏感行为对应的视频实施用户信息绑定,以获得视频敏感行为报告;
所述根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为包括:
根据所述匹配规则信息对所述http控制行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http控制行为信息作为http敏感行为,并将所述http敏感行为和与所述http敏感行为对应的http实施用户信息绑定,以获得http敏感行为报告。
可选的,所述根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为之后还包括:
统计所述视频敏感行为报告和所述http敏感行为报告,根据统计结果生成安全评估报告;
所述安全评估报告包括:用户登录状态报告、登录IP报告、操作行为统计报告和视频录像文件报告。
可选的,所述配置信息还包括阻断规则信息。
可选的,所述根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为之后还包括:
根据所述阻断规则信息对所述http控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的http控制行为信息作为待阻断http行为;
对所述待阻断http行为进行阻断;
根据所述阻断规则信息对所述视频控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的视频控制行为信息作为待阻断视频行为;
对所述待阻断视频行为进行阻断。
可选的,所述配置信息的生成过程包括:
获取预置的初始配置信息;
每隔预设周期,获取数据库http事件表中预设时间段的事件作为学习事件;
对每个学习事件进行解析,获得每个学习事件中各个参数的取值;
统计每个参数的不同取值的总数,作为所述参数的离散度;
将离散度超过预设离散度的参数在所述匹配规则信息中剔除,以获得更新的配置信息,并返回每个预设周期,获取数据库http事件表中预设时间段的事件作为学习事件的步骤。
一种视频安全监测***,包括:
配置获取模块,用于获取预置的配置信息,所述配置信息包括:五元组匹配信息、http资源账号提取信息和匹配规则信息;
流量获取模块,用于获取视频流量信息和网络流量信息;
流量过滤模块,用于根据所述五元组匹配信息对所述视频流量信息和网络流量信息进行过滤,以获得待处理视频流量信息和待处理网络流量信息;
视频解析模块,用于对所述待处理视频流量信息进行视频协议解析,以获得所述待处理视频流量信息对应的视频行为信息;
http解析模块,用于利用所述http资源账号提取信息,对所述待处理网络流量信息进行http/https协议解析,以获得所述待处理网络流量信息对应的http行为信息和http实施用户信息;
第一匹配模块,用于根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;
第二匹配模块,用于根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为。
可选的,所述http解析模块包括:
解密单元,用于对所述待处理https流量信息进行证书解密处理,以获得与所述待处理https流量信息对应的解密http流量信息;
内容提取单元,用于在所述待处理http流量信息和解密http流量信息中提取出请求信息和内容信息,并利用所述http资源账号提取信息在所述待处理http流量信息和解密http流量信息中提取出登录信息;
行为提取单元,用于根据提取出的请求信息和内容信息确定http控制行为信息;
用户信息单元,用于根据提取出的登录信息确定http实施用户信息。
可选的,所述匹配规则信息包括:匹配规则信息和阻断规则信息;
所述视频安全监测***还包括:
阻断模块,用于根据所述阻断规则信息对所述http控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的http控制行为信息作为待阻断http行为;
对所述待阻断http行为进行阻断;
根据所述阻断规则信息对所述视频控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的视频控制行为信息作为待阻断视频行为;
对所述待阻断视频行为进行阻断。
从上述技术方案可以看出,本发明实施例提供了一种视频安全监测方法及监测***,其中,所述视频安全监测方法在实现对视频流量信息的还原和监测的基础上,还获取了待处理网络流量信息,并利用预置的配置信息的http资源账号提取信息对所述待处理网络流量信息进行解析,从而实现了对待处理网络流量信息的还原,并且还根据预置的配置信息中的匹配规则信息实现了对还原获得的http敏感行为的监测,从视频流量监视和http流量监视两个方面对视频监控***的视频安全监测,从而有效地覆盖了对各种环境下用户的操作行为的监测,实现了对视频监控***的全面监测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请的一个实施例提供的一种视频安全监测方法的流程示意图;
图2为本申请的另一个实施例提供的一种视频安全监测方法的流程示意图;
图3为本申请的一个实施例提供的一种对http协议数据进行解析的流程示意图;
图4为本申请的又一个实施例提供的一种视频安全监测方法的流程示意图;
图5为本申请的一个实施例提供的一种对视频协议数据进行解析的流程示意图;
图6为本申请的一个优选实施例提供的一种视频安全监测方法的流程示意图;
图7为本申请的另一个优选实施例提供的一种视频安全监测方法的流程示意图。
具体实施方式
正如背景技术部分所述,现有技术中对于视频监控***的视频安全监测方法通过获取视频监控***中的视频流量信息,并对其进行还原的方式实现了对与视频流量信息相对应的与视频相关的操作的监测,但是在实际的使用过程中,视频流量信息中虽然能够还原出大部分关于视频设备的操作管理动作,例如视频下载、视频回放、摄像头控制等操作,但是针对视频监控***中的资源管理的操作(例如存储视频的拷贝、删除等)大多采用http或https通信协议,也就是说,大部分关于资源管理的操作都无法反映在由视频流量信息还原而来的信息中,因此,现有技术中对于视频监控***的视频安全监测方法仅能反映用户通过视频流量的方式发送的视频相关操作,而无法反映用户通过网络流量的方式发送的视频相关操作,那么也就无法实现通过网络流量的方式发送的视频相关操作的监测,难以实现对视频监控***的视频安全的全面监测。
有鉴于此,本申请实施例提供了一种视频安全监测方法,包括:
获取预置的配置信息,所述配置信息包括:五元组匹配信息、http资源账号提取信息和匹配规则信息;
获取视频流量信息和网络流量信息;
根据所述五元组匹配信息对所述视频流量信息和网络流量信息进行过滤,以获得待处理视频流量信息和待处理网络流量信息;
对所述待处理视频流量信息进行视频协议解析,以获得所述待处理视频流量信息对应的视频行为信息;
利用所述http资源账号提取信息,对所述待处理网络流量信息进行http/https协议解析,以获得所述待处理网络流量信息对应的http行为信息和http实施用户信息;
根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;
根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为。
所述视频安全监测方法在实现对视频流量信息的还原和监测的基础上,还获取了待处理网络流量信息,并利用预置的配置信息的http资源账号提取信息对所述待处理网络流量信息进行解析,从而实现了对待处理网络流量信息的还原,并且还根据预置的配置信息中的匹配规则信息实现了对还原获得的http敏感行为的监测,从视频流量监视和http流量监视两个方面对视频监控***的视频安全监测,从而有效地覆盖了对各种环境下用户的操作行为的监测,实现了对视频监控***的全面监测。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请实施例提供了一种视频安全监测方法,如图1所示,包括:
S101:获取预置的配置信息,所述配置信息包括:五元组匹配信息、http资源账号提取信息和匹配规则信息。
五元组匹配信息是根据用户环境,对制定的IP、端口进行配置的信息,以此来过滤掉不关心的流量,提升视频安全监测方法的实施效率。一般情况下,五元组匹配信息包括目的IP、目的端口、源IP、源端口和传输层协议等五个关键元素,通过这五个关键元素可以精确锁定到流量中指定的数据流。
http资源账号提取信息包括web登陆时的url、资源账号关键字等信息。匹配规则信息是根据视频监控业务而定义的具体操作,比如配置http的某个url,或者视频协议中的某个摄像机控制命令。具体地说,例如用户认为任何人移动了某个关键摄像头(ID=1)位置时一种危险操作,则可以将“控制命令”=摄像机垂直方向控制+摄像机水平方向控制,“设备ID”=1作为一条规则放入所述匹配规则信息中。
S102:获取视频流量信息和网络流量信息;
一般情况下,我们可以直接从视频监控***的网关中抓取视频流量信息和网络流量信息;但在本申请的其他实施例中,也可以在视频监控***的网关中设置发送视频流量信息和网络流量信息的策略,本申请对此并不做限定,具体视实际情况而定。
S103:根据所述五元组匹配信息对所述视频流量信息和网络流量信息进行过滤,以获得待处理视频流量信息和待处理网络流量信息;
在实际的使用过程中,通常将源端口设置为全匹配(任何端口都可以匹配成功),因为视频监控***的客户端通常使用一个随机端口号发起连接。例如某个服务器IP为192.168.10.10,它可以提供http服务,端口号为80,我们需要对客户A(所在网络为192.168.10.0/24)对其的访问进行监测,那么我们就可以配置五元组匹配信息为:目的IP=192.168.10.10、目的端口=80、源IP=192.168.10.0/24、源端口=ANY(全匹配)、传输层协议=TCP,如果不是我们关心的流量,则不进入高层协议解析。
S104:对所述待处理视频流量信息进行视频协议解析,以获得所述待处理视频流量信息对应的视频行为信息;
在对待处理视频流量信息的视频协议解析过程中,需要遵循GB/T28181-2011《安全防范视频监控联网***信息传输、交换、控制技术要求》,这是由公安部科技信息化局提出,由全国安全防范报警***标准化技术委员会(SAC/TC100)归口,公安部一所等多家单位共同起草的一部国家标准。该标准的协议接口符合SIP(会话初始化协议)消息的RFC文档的规定。所以我们首先解析了SIP协议的头部,然后再按照GB/T28181格式解析SIP协议的内容。
S105:利用所述http资源账号提取信息,对所述待处理网络流量信息进行http/https协议解析,以获得所述待处理网络流量信息对应的http行为信息和http实施用户信息;
S106:根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;
S107:根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为。
所述视频安全监测方法在实现对视频流量信息的还原和监测的基础上,还获取了待处理网络流量信息,并利用预置的配置信息的http资源账号提取信息对所述待处理网络流量信息进行解析,从而实现了对待处理网络流量信息的还原,并且还根据预置的配置信息中的匹配规则信息实现了对还原获得的http敏感行为的监测,从视频流量监视和http流量监视两个方面对视频监控***的视频安全监测,从而有效地覆盖了对各种环境下用户的操作行为的监测,实现了对视频监控***的全面监测。
在上述实施例的基础上,在本申请的一个实施例中,如图2所示,所述利用所述http资源账号提取信息,对所述待处理网络流量信息进行http/https协议解析,以获得所述待处理网络流量信息对应的http行为信息包括:
S1051:对所述待处理https流量信息进行证书解密处理,以获得与所述待处理https流量信息对应的解密http流量信息;
S1052:在所述待处理http流量信息和解密http流量信息中提取出请求信息和内容信息,并利用所述http资源账号提取信息在所述待处理http流量信息和解密http流量信息中提取出登录信息;
S1053:根据提取出的请求信息和内容信息确定http控制行为信息;
S1054:根据提取出的登录信息确定http实施用户信息。
在http数据中,我们主要关心url、post、content等内容,因为这些都是可以描述一个具体业务操作的主要参数,本申请的一个具体实施例提供了一种对http数据进行解析的具体操作步骤,如图3所示,包括:步骤301提取http头中的url以及method方法,这些参数在http头的首行。步骤302按照以\r\n结尾的标志,逐行提取每一行http头部的信息。步骤303获取该行http头具体内容,以key:value的格式分别提取key与value的值。步骤304判断http头是否解析完成,如果解析完成将进入到body内容的解析。步骤305提取body内容,如果是http请求包,而http方法又是POST,则该body内容为post内容,如果是http响应包,则该body内容为content响应内容。
在上述实施例的基础上,在本申请的另一个实施例中,如图4所示,所述视频行为信息包括:视频控制行为信息和视频实施用户信息;
所述根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为包括:
S1061:根据所述匹配规则信息对所述视频控制行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频控制行为信息作为视频敏感行为,并将所述视频敏感行为和与所述视频敏感行为对应的视频实施用户信息绑定,以获得视频敏感行为报告;
所述根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为包括:
S1071:根据所述匹配规则信息对所述http控制行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http控制行为信息作为http敏感行为,并将所述http敏感行为和与所述http敏感行为对应的http实施用户信息绑定,以获得http敏感行为报告。
本申请的一个具体实施例提供了一种对待处理视频流量信息和待处理网络流量信息进行解析的具体过程,在本实施例中,分为两种数据类型对待处理视频流量信息和待处理网络流量信息的解析过程进行说明,其中,一种是业务操作的数据,在这种数据中可以准确还原用户操作的业务内容(视频控制行为信息和http控制行为信息);另一种是登录认证的数据,在这种数据中,我们可以解析到用户登录的资源账号,这可以在安全事件中精确定位到事件的来源,追溯本次事件到底是因为谁的操作引起的。
首先对于待处理视频流量信息的解析进行说明,一个视频协议的请求数据,也称为一个SIP协议数据,其构成大致如下:
MESSAGE sip:[email protected]/2.0
From:<sip:[email protected]>;tag=98kd3g87
To:<sip:[email protected]>
Call-ID:9843c136
CSeq:1MESSAGE
Subject:80000000000000000001100000000100
Content-Type:application/xml
Content-Length:224
<?xml version="1.0"?>
<Control>
<CmdType>DeviceControl</CmdType>
<DeviceID>64010000041310000345</DeviceID>
<PTZCmd>A50F4D1000001021</PTZCmd>
<Info>
<ControlPriority>5</ControlPriority>
</Info>
</Control>
从SIP协议数据的头字段中,我们可以通过“From”字段和“To”字段精确定位到操作的来源和操作的对象。根据协议头字段Conten-Length字段获得内容长度,传输的内容为xml格式,各个节点名称的含义以及节点值表示的具体内容,都需要参见GB/T28181-2011标准文档。以上面摄像机控制命令为例,我们在解析过程中需要提取的关键信息为<DeviceID>64010000041310000345</DeviceID>:指明***作的设备,其值为具体的设备ID号;<PTZCmd>A50F4D1000001021</PTZCmd>:指明具体的操作指令,其值为一个8字节的指令值,根据GB/T28181-2011的定义,这8字节中只有第4~7字节是我们所关心的内容,第4字节为指令码,根据不同bit位的值确认所做的操作(镜头变倍/摄像机垂直方向控制/摄像机水平方向控制),第5字节控制水平方向速度,第6字节控制垂直方向速度,第7字节的高4位为变焦速度。以上摄像机操作命令的含义即为:让ID为64010000041310000345的设备镜头放大,变焦速度为1,这是我们最终需要上报的直观内容。
对于一个视频协议数据,对其进行解析的具体步骤参考图5,包括:步骤501按照以\r\n结尾的标志,逐行提取每一行SIP头部的信息。步骤502获取该行SIP头的具体信息,以key:value的格式分别提取key与value的值,其中value可以存在多个值,每个值以分号进行分割,而我们主要关心的key主要是From、To、Content-Length等几个。步骤503判断SIP头是否解析完成,如果解析完成将进入到内容解析。步骤504解析SIP的body内容,即xml格式的数据。步骤505在xml数据中查找到摄像机控制的节点,以上面数据为例需要找到Control/PTZCmd节点的值,有可能在不同的用户环境中,xml节点会根据用户自身的情况有一定的调整,所以具体的节点路径我们将通过配置文件的形式导入,可以随着用户环境的变化而变化。步骤506提取具体的操作对象与操作值,将解得的数据解析成实际的操作,得到最终有效内容。
对于视频协议的登录认证的数据,其具体数据格式大致如下:
REGISTER sip:[email protected]/2.0
Via:SIP/2.0/192.168.1.10
From:<sip:[email protected]>;tag=98kd3g87
To:<sip:[email protected]>
Call-ID:9843c136
CSeq:2REGISTER
Contact:<sip:[email protected]>
Authorization:Digest username="64010000002020000001",realm="64010000",
nonce="6fe9ba44a76be22a",
uri="sip:[email protected]:5060",
response="9625d92d1bddea7a911926e0db054968",algorithm=MD5
Max-Forwards:70
Expires:3600
Content-Length:0
我们需要提取SIP协议数据头部中的“Authorization”字段,在该字段中查找username关键字,找到其对应的value值即是资源账号内容。
对于待处理网络流量信息的业务操作的数据的解析过程在上面的实施例中进行了说明,这里不做赘述。
对于待处理网络流量信息的登录认证的数据的解析步骤与上面对于待处理网络流量信息的业务操作的数据的解析过程一致,当提取的url与配置的登陆url吻合的时候,则会在url、post或cookie中查找配置的资源账号关键字,提取关键字对应的value值填充为资源账号。比如我们配置的登陆url为www.xxx.com/login资源账号关键字为usr,当审计该条登陆数据的url为www.xxx.com/login?usr=zhangsan时,则可以找到登陆名称为zhangsan。
在上述实施例的基础上,在本申请的一个优选实施例中,如图6所示,所述根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为之后还包括:
S108:统计所述视频敏感行为报告和所述http敏感行为报告,根据统计结果生成安全评估报告;
所述安全评估报告包括:用户登录状态报告、登录IP报告、操作行为统计报告和视频录像文件报告。
所述用户登录状态报告用于对***的用户登录事件做全方位的分析,含:同一用户名一段时间内从多个不同的IP登录、用户在非工作时段的登录、一定时间范围内多次登录失败等异常情况报表输出。
所述登录IP报告通过对客户端IP段进行聚类分析活动,主要记录常见的IP段范围和异常的IP地址的操作事件,对异常的IP地址操作提供钻取式的查询操作,辅助管理员精确识别是否违规操作。
所述操作行为统计报告用于对摄像头的各类操作进行统计,含:摄像头访问的频次排名、画面参数调整设置的统计、高频摄像机转动导致设备损坏的风险预估、媒体服务器上视频并发路数统计等报表输出,辅助运维人员分析视频监控***的健康状态。
所述视频录像文件报告用于对视频录像文件的操作精确查询,含:录像列表查询统计、录像回放记录、录像文件删除事件记录、录像下载事件记录,提供视频录像文件的安全审查。
在上述事实的基础上,在本申请的另一个优选实施例中,如图7所示,所述配置信息还包括阻断规则信息。
所述根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为之后还包括:
S109:根据所述阻断规则信息对所述http控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的http控制行为信息作为待阻断http行为;
S110:对所述待阻断http行为进行阻断;
S111:根据所述阻断规则信息对所述视频控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的视频控制行为信息作为待阻断视频行为;
S112:对所述待阻断视频行为进行阻断。
需要说明的是,所述阻断规则信息与匹配规则信息类似,都是在认为加某一针对视频监控***中的动作是危险操作时,将其制定为一条规则作为阻断规则信息或匹配规则信息,只是阻断规则信息中记录的动作的危险级要高于匹配规则信息中记录的动作的危险级,因此当http控制行为信息或视频控制行为信息符合阻断规则信息时,需要自动对其进行阻断,避免非授权的用户对视频设备或存储的视频内容进行非法操作的危险情况发生。
在上述实施例的基础上,在本申请的一个具体实施例中,所述配置信息的生成过程包括:
获取预置的初始配置信息;
每隔预设周期,获取数据库http事件表中预设时间段的事件作为学习事件;
对每个学习事件进行解析,获得每个学习事件中各个参数的取值;
统计每个参数的不同取值的总数,作为所述参数的离散度;
将离散度超过预设离散度的参数在所述匹配规则信息中剔除,以获得更新的配置信息,并返回每个预设周期,获取数据库http事件表中预设时间段的事件作为学习事件的步骤。
在本实施例中,为了更好的完善配置信息,对配置信息制定了一个自学习的过程,这是因为依靠一条url或者一条post并不能定义一种操作,因为不同用户在不同的环境中执行同一类操作时,url或post所带的个别参数值可能会有区别,一般来说可以将参数分为两种类型,一种是action,指示了某项或者几项功能,会对应较少的参数值,而另一种是parameter,由用户实际使用产生,会有较多的参数值变化,比如张三在删除视频资源时的url为www.xxx.com?opt=del&usr=zhangsan,而李四删除视频资源时的url为www.xxx.com?opt=del&usr=lisi,其中opt为便为action参数,usr为parameter参数。所以为了精确匹配上用户的一类操作,需要一个持续学习的阶段,识别出同一类操作url或post中哪些参数是action参数,哪些是parameter参数。在实际过程中,我们需要action参数来识别具体动作,而将parameter参数剔除出配置信息中,避免对过多种类的parameter参数影响具体动作的识别。
下面对本申请实施例提供的视频安全监测***进行描述,下文描述的视频安全监测***与上文描述的视频安全监测方法可相互对应参照。
相应的,本申请实施例还提供了一种视频安全监测***,包括:
配置获取模块,用于获取预置的配置信息,所述配置信息包括:五元组匹配信息、http资源账号提取信息和匹配规则信息;
流量获取模块,用于获取视频流量信息和网络流量信息;
流量过滤模块,用于根据所述五元组匹配信息对所述视频流量信息和网络流量信息进行过滤,以获得待处理视频流量信息和待处理网络流量信息;
视频解析模块,用于对所述待处理视频流量信息进行视频协议解析,以获得所述待处理视频流量信息对应的视频行为信息;
http解析模块,用于利用所述http资源账号提取信息,对所述待处理网络流量信息进行http/https协议解析,以获得所述待处理网络流量信息对应的http行为信息;
第一匹配模块,用于根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;
第二匹配模块,用于根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为。
可选的,所述http解析模块包括:
解密单元,用于对所述待处理https流量信息进行证书解密处理,以获得与所述待处理https流量信息对应的解密http流量信息;
内容提取单元,用于在所述待处理http流量信息和解密http流量信息中提取出请求信息和内容信息,并利用所述http资源账号提取信息在所述待处理http流量信息和解密http流量信息中提取出登录信息;
行为提取单元,用于根据提取出的请求信息和内容信息确定http控制行为信息;
用户信息单元,用于根据提取出的登录信息确定http实施用户信息。
可选的,所述匹配规则信息包括:匹配规则信息和阻断规则信息;
所述视频安全监测***还包括:
阻断模块,用于根据所述阻断规则信息对所述http控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的http控制行为信息作为待阻断http行为;
对所述待阻断http行为进行阻断;
根据所述阻断规则信息对所述视频控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的视频控制行为信息作为待阻断视频行为;
对所述待阻断视频行为进行阻断。
可选的,所述视频行为信息包括:视频控制行为信息和视频实施用户信息;
所述视频解析模块对所述待处理视频流量信息进行视频协议解析,以获得所述待处理视频流量信息对应的视频行为信息具体用于,根据所述匹配规则信息对所述视频控制行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频控制行为信息作为视频敏感行为,并将所述视频敏感行为和与所述视频敏感行为对应的视频实施用户信息绑定,以获得视频敏感行为报告;
所述http解析模块根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为具体用于,根据所述匹配规则信息对所述http控制行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http控制行为信息作为http敏感行为,并将所述http敏感行为和与所述http敏感行为对应的http实施用户信息绑定,以获得http敏感行为报告。
可选的,所述视频安全监测***还包括:
统计模块,用于统计所述视频敏感行为报告和所述http敏感行为报告,根据统计结果生成安全评估报告;
所述安全评估报告包括:用户登录状态报告、登录IP报告、操作行为统计报告和视频录像文件报告。
可选的,所述配置信息的生成过程包括:
获取预置的初始配置信息;
每隔预设周期,获取数据库http事件表中预设时间段的事件作为学习事件;
对每个学习事件进行解析,获得每个学习事件中各个参数的取值;
统计每个参数的不同取值的总数,作为所述参数的离散度;
将离散度超过预设离散度的参数在所述匹配规则信息中剔除,以获得更新的配置信息,并返回每个预设周期,获取数据库http事件表中预设时间段的事件作为学习事件的步骤。
综上所述,本申请实施例提供了一种视频安全监测方法及监测***,其中,所述视频安全监测方法在实现对视频流量信息的还原和监测的基础上,还获取了待处理网络流量信息,并利用预置的配置信息的http资源账号提取信息对所述待处理网络流量信息进行解析,从而实现了对待处理网络流量信息的还原,并且还根据预置的配置信息中的匹配规则信息实现了对还原获得的http敏感行为的监测,从视频流量监视和http流量监视两个方面对视频监控***的视频安全监测,从而有效地覆盖了对各种环境下用户的操作行为的监测,实现了对视频监控***的全面监测。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (9)
1.一种视频安全监测方法,其特征在于,包括:
获取预置的配置信息,所述配置信息包括:五元组匹配信息、http资源账号提取信息和匹配规则信息;
获取视频流量信息和网络流量信息,所述网络流量信息包括http流量信息和https流量信息;
根据所述五元组匹配信息对所述视频流量信息和网络流量信息进行过滤,以获得待处理视频流量信息和待处理网络流量信息,所述待处理网络流量信息包括待处理http流量信息和待处理https流量信息;
对所述待处理视频流量信息进行视频协议解析,以获得所述待处理视频流量信息对应的视频行为信息;
利用所述http资源账号提取信息,对所述待处理网络流量信息进行http/https协议解析,以获得所述待处理网络流量信息对应的http行为信息和登录信息;
根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;
根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为;
所述配置信息的生成过程包括:
获取预置的初始配置信息;
每隔预设周期,获取数据库http事件表中预设时间段的事件作为学习事件;
对每个学习事件进行解析,获得每个学习事件中各个参数的取值;
统计每个参数的不同取值的总数,作为所述参数的离散度;
将离散度超过预设离散度的参数在所述匹配规则信息中剔除,以获得更新的配置信息,并返回每个预设周期,获取数据库http事件表中预设时间段的事件作为学习事件的步骤。
2.根据权利要求1所述的方法,其特征在于,所述利用所述http资源账号提取信息,对所述待处理网络流量信息进行http/https协议解析,以获得所述待处理网络流量信息对应的http行为信息和http实施用户信息包括:
对所述待处理https流量信息进行证书解密处理,以获得与所述待处理https流量信息对应的解密http流量信息;
在所述待处理http流量信息和解密http流量信息中提取出请求信息和内容信息,并利用所述http资源账号提取信息在所述待处理http流量信息和解密http流量信息中提取出登录信息;
根据提取出的请求信息和内容信息确定http控制行为信息;
根据提取出的登录信息确定http实施用户信息。
3.根据权利要求2所述的方法,其特征在于,所述视频行为信息包括:视频控制行为信息和视频实施用户信息;
所述根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为包括:
根据所述匹配规则信息对所述视频控制行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频控制行为信息作为视频敏感行为,并将所述视频敏感行为和与所述视频敏感行为对应的视频实施用户信息绑定,以获得视频敏感行为报告;
所述根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为包括:
根据所述匹配规则信息对所述http控制行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http控制行为信息作为http敏感行为,并将所述http敏感行为和与所述http敏感行为对应的http实施用户信息绑定,以获得http敏感行为报告。
4.根据权利要求3所述的方法,其特征在于,所述根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为之后还包括:
统计所述视频敏感行为报告和所述http敏感行为报告,根据统计结果生成安全评估报告;
所述安全评估报告包括:用户登录状态报告、登录IP报告、操作行为统计报告和视频录像文件报告。
5.根据权利要求1所述的方法,其特征在于,所述配置信息还包括阻断规则信息。
6.根据权利要求5所述的方法,其特征在于,所述根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为之后还包括:
根据所述阻断规则信息对http控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的http控制行为信息作为待阻断http行为;
对所述待阻断http行为进行阻断;
根据所述阻断规则信息对视频控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的视频控制行为信息作为待阻断视频行为;
对所述待阻断视频行为进行阻断。
7.一种视频安全监测***,其特征在于,包括:
配置获取模块,用于获取预置的配置信息,所述配置信息包括:五元组匹配信息、http资源账号提取信息和匹配规则信息;
流量获取模块,用于获取视频流量信息和网络流量信息;
流量过滤模块,用于根据所述五元组匹配信息对所述视频流量信息和网络流量信息进行过滤,以获得待处理视频流量信息和待处理网络流量信息;
视频解析模块,用于对所述待处理视频流量信息进行视频协议解析,以获得所述待处理视频流量信息对应的视频行为信息;
http解析模块,用于利用所述http资源账号提取信息,对所述待处理网络流量信息进行http/https协议解析,以获得所述待处理网络流量信息对应的http行为信息和http实施用户信息;
第一匹配模块,用于根据所述匹配规则信息对所述视频行为信息进行匹配,将符合所述匹配规则信息中任一项规则的视频行为信息作为视频敏感行为;
第二匹配模块,用于根据所述匹配规则信息对所述http行为信息进行匹配,将符合所述匹配规则信息中任一项规则的http行为信息作为http敏感行为;
所述配置信息的生成过程包括:
获取预置的初始配置信息;
每隔预设周期,获取数据库http事件表中预设时间段的事件作为学习事件;
对每个学习事件进行解析,获得每个学习事件中各个参数的取值;
统计每个参数的不同取值的总数,作为所述参数的离散度;
将离散度超过预设离散度的参数在所述匹配规则信息中剔除,以获得更新的配置信息,并返回每个预设周期,获取数据库http事件表中预设时间段的事件作为学习事件的步骤。
8.根据权利要求7所述的***,其特征在于,所述http解析模块包括:
解密单元,用于对所述待处理https流量信息进行证书解密处理,以获得与所述待处理https流量信息对应的解密http流量信息;
内容提取单元,用于在所述待处理http流量信息和解密http流量信息中提取出请求信息和内容信息,并利用所述http资源账号提取信息在所述待处理http流量信息和解密http流量信息中提取出登录信息;
行为提取单元,用于根据提取出的请求信息和内容信息确定http控制行为信息;
用户信息单元,用于根据提取出的登录信息确定http实施用户信息。
9.根据权利要求8所述的***,其特征在于,所述匹配规则信息包括:匹配规则信息和阻断规则信息;
所述视频安全监测***还包括:
阻断模块,用于根据所述阻断规则信息对http控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的http控制行为信息作为待阻断http行为;
对所述待阻断http行为进行阻断;
根据所述阻断规则信息对视频控制行为信息进行匹配,将符合所述阻断规则信息中任一项规则的视频控制行为信息作为待阻断视频行为;
对所述待阻断视频行为进行阻断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711381363.4A CN108111812B (zh) | 2017-12-20 | 2017-12-20 | 一种视频安全监测方法及监测*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711381363.4A CN108111812B (zh) | 2017-12-20 | 2017-12-20 | 一种视频安全监测方法及监测*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108111812A CN108111812A (zh) | 2018-06-01 |
| CN108111812B true CN108111812B (zh) | 2020-07-03 |
Family
ID=62210456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711381363.4A Active CN108111812B (zh) | 2017-12-20 | 2017-12-20 | 一种视频安全监测方法及监测*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108111812B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2874396A1 (en) * | 2013-11-15 | 2015-05-20 | Everseen Ltd. | Method and system for securing a stream of data |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103647794B (zh) * | 2013-12-31 | 2017-07-21 | 北京启明星辰信息安全技术有限公司 | 一种基于j2ee平台的数据关联方法及关联插件 |
| CN106850285A (zh) * | 2017-01-19 | 2017-06-13 | 薛辉 | 视频安全监控设备、审计***及其部署结构以及方法 |
| CN106878074B (zh) * | 2017-02-17 | 2020-09-08 | 杭州迪普科技股份有限公司 | 流量过滤方法及装置 |
-
2017
- 2017-12-20 CN CN201711381363.4A patent/CN108111812B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2874396A1 (en) * | 2013-11-15 | 2015-05-20 | Everseen Ltd. | Method and system for securing a stream of data |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108111812A (zh) | 2018-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2020257044B2 (en) | Cybersecurity system | |
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| Collins | Network security through data analysis: building situational awareness | |
| CN104115463A (zh) | 用于处理网络元数据的流式传输方法和*** | |
| US20030084318A1 (en) | System and method of graphically correlating data for an intrusion protection system | |
| CN107667510A (zh) | 恶意软件和恶意应用的检测 | |
| KR20010085057A (ko) | 네트워크 흐름 분석에 의한 침입 탐지 장치 | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| Joshi et al. | Fundamentals of Network Forensics | |
| CN114297038A (zh) | 一种持续监控设备配置变更的方法 | |
| KR20030056652A (ko) | 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법 | |
| CN114338600A (zh) | 一种设备指纹的推选方法、装置、电子设备和介质 | |
| Xiao et al. | GlobalView: building global view with log files in a distributed/networked system for accountability | |
| CN108111812B (zh) | 一种视频安全监测方法及监测*** | |
| US20180083992A1 (en) | Multi-tier aggregation for complex event correlation in streams | |
| KR101011223B1 (ko) | 에스아이피(sip) 기반의 통합보안 관리시스템 | |
| CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| D'Antonio et al. | Flow selection techniques | |
| Amjad et al. | ENCVIDC: an innovative approach for encoded video content classification | |
| KR101681017B1 (ko) | 폐쇄망을 이용하는 서버의 모니터링 시스템 | |
| KR102657163B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| KR102669468B1 (ko) | 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체 | |
| CN115102725B (zh) | 一种工业机器人的安全审计方法、装置及介质 | |
| EP3474489B1 (en) | A method and a system to enable a (re-)configuration of a telecommunications network | |
| KR100916155B1 (ko) | 패킷캡쳐감사시스템 및 패킷캡쳐감사방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |