一种面向视频监控网络的入侵检测方法、装置及系统制造方法及图纸

技术编号:19067340 阅读:25 留言:0更新日期:2018-09-29 14:43
本发明专利技术公开一种面向视频监控网络的入侵检测方法、装置及系统。其中,所述方法包括:获取视频监控网络的流量数据;将流量数据划分为视频流数据和非视频流数据;基于视频流数据提取多个视频流特征值;根据多个视频流特征值以及视频流的正常行为轮廓,对视频流数据进行异常检测,获得视频流数据的检测结果;根据非视频流数据的关键字段信息、负载内容和预设规则库,对非视频流数据进行基于规则的入侵检测,获得非视频流数据的检测结果;根据视频流数据的检测结果和非视频流数据的检测结果,发送报警信息。所述装置用于执行上述方法。本发明专利技术提供的面向视频监控网络的入侵检测方法、装置及系统,提高了对视频监控网络的入侵检测的准确性。

【技术实现步骤摘要】
一种面向视频监控网络的入侵检测方法、装置及系统
本专利技术涉及网络安全
,具体涉及一种面向视频监控网络的入侵检测方法、装置及系统。
技术介绍
近些年来随着物联网的蓬勃发展,物联网设备越来越多,据多家分析机构统计显示:2016年物联网设备接近100亿台,预计2020年将达到300亿台。视频监控设备作为物联网设备的一种,正在全球安防领域扮演越来越重要的角色,其已逐渐成为世界各国政府、企业乃至个人家庭安防系统建设领域的刚性需求。据统计显示,全球范围内受到攻击的物联网设备主要集中于视频监控设备。由于视频监控设备数量庞大,而且大多数视频监控设备没有安装通用防护软件,防御能力低,自身安全性差,成为黑客的热门攻击对象。现有技术中,入侵检测是重要的安全防御手段,但是入侵检测在物联网安全领域的应用仍然处于初级阶段,大多数视频监控设备基于嵌入式Unix系统,计算能力与存储空间有限,因此传统的基于主机的入侵检测技术并不适用于视频监控设备。而且由于视频监控网络环境复杂,视频流量大,基于传统网络下的入侵检测方法随着规则库的增加,具有很高的漏报率与误报率。因此,如何提出一种入侵检测方法,能够应用于视频监控网络,以提高入侵检测的准确性成为业界亟待解决的重要课题。
技术实现思路
针对现有技术中的缺陷,本专利技术提供一种面向视频监控网络的入侵检测方法、装置及系统。一方面,本专利技术提出一种面向视频监控网络的入侵检测方法,包括:获取视频监控网络的流量数据;通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;基于所述视频流数据提取多个视频流特征值;根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。另一方面,本专利技术提供一种面向视频监控网络的入侵检测装置,包括:第一获取单元,用于获取视频监控网络的流量数据;识别单元,用于通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;提取单元,用于基于所述视频流数据提取多个视频流特征值;第一检测单元,用于根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;第二获取单元,用于获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;第二检测单元,用于根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;报警单元,用于根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。再一方面,本专利技术提供一种面向视频监控网络的入侵检测系统,包括服务器和多个入侵检测终端,所述服务器和多个所述入侵检测终端在局域网内通信连接,所述入侵检测终端与交换机通信连接,用于获取接入所述交换机的视频监控设备的流量数据。又一方面,本专利技术提供一种电子设备,包括:处理器、存储器和通信总线,其中:所述处理器和所述存储器通过所述通信总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如上述各实施例提供的面向视频监控网络的入侵检测方法。还一方面,本专利技术提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如上述各实施例提供的面向视频监控网络的入侵检测方法。本专利技术提供的面向视频监控网络的入侵检测方法、装置及系统,由于能够获取视频监控网络的流量数据,并通过对流量数据进行视频流协议识别,将流量数据划分为视频流数据和非视频流数据,然后基于视频流数据提取多个视频流特征值,根据多个视频流特征值以及视频流的正常行为轮廓,对视频流数据进行异常检测,获得视频流数据的检测结果,同时获取非视频流数据的关键字段信息,并根据非视频流数据获取负载内容,然后根据关键字段信息、负载内容和预设规则库,对非视频流数据进行基于规则匹配的入侵检测,获得非视频流数据的检测结果,根据视频流数据的检测结果和非视频流数据的检测结果,发送报警信息,从而提高了对视频监控网络的入侵检测的准确性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一实施例面向视频监控网络的入侵检测系统的结构示意图;图2为本专利技术一实施例面向视频监控网络的入侵检测方法的流程示意图;图3为本专利技术另一实施例面向视频监控网络的入侵检测方法的流程示意图;图4为本专利技术又一实施例面向视频监控网络的入侵检测方法的流程示意图;图5为本专利技术再一实施例面向视频监控网络的入侵检测方法的流程示意图;图6为本专利技术一实施例面向视频监控网络的入侵检测装置的结构示意图;图7为本专利技术一实施例电子设备的实体结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术一实施例面向视频监控网络的入侵检测系统的结构示意图,如图1所示,本专利技术提供的面向视频监控网络的入侵检测系统包括服务器1和多个入侵检测终端2,服务器1和多个入侵检测终端2在局域网内通信连接,从而可以防止所述系统被攻击,以提高所述入侵检测系统的安全性,入侵检测终端2与交换机3通信连接,例如入侵检测终端2通过交换机3的镜像端口通信连接,通过交换机的端口镜像技术,入侵检测终端2可以通过所述镜像端口获取接入到交换机3的视频监控设备的流量数据。每个入侵检测终端2在获取到所述流量数据之后,可以根据所述流量数据进行入侵检测。下面针对每个入侵检测终端2对本专利技术提出的面向视频监控网络的入侵检测方法进行详细介绍。图2为本专利技术一实施例面向视频监控网络的入侵检测方法的流程示意图,如图2所示,本专利技术提供的面向视频监控网络的入侵检测方法,包括:S201、获取视频监控网络的流量数据;具体地,入侵检测终端可以通过交换机的镜像端口获取视频监控网络的流量数据,所述流量数据可以是基于TCP、UDP或者ICMP协议的实时流量数据。S202、通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;具体地,所述入侵检测终端在获得所述流量数据之后,可以对所述流量数据按照TCP/IP协议栈分层处理,在链路层的处理可以包括解析所述数据流量的数据包获得源MAC地址和目的MAC地址,在网络层的处理可以包括解析所述数据流本文档来自技高网...

【技术保护点】
1.一种面向视频监控网络的入侵检测方法,其特征在于,包括:获取视频监控网络的流量数据;通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;基于所述视频流数据提取多个视频流特征值;根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。

【技术特征摘要】
1.一种面向视频监控网络的入侵检测方法,其特征在于,包括:获取视频监控网络的流量数据;通过对所述流量数据进行视频流协议识别,将所述流量数据划分为视频流数据和非视频流数据;基于所述视频流数据提取多个视频流特征值;根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果;其中,所述视频流的正常行为轮廓是预设的;获取所述非视频流数据的关键字段信息,并根据所述非视频流数据获取负载内容;根据所述关键字段信息、所述负载内容和预设规则库,对所述非视频流数据进行基于规则匹配的入侵检测,获得所述非视频流数据的检测结果;根据所述视频流数据的检测结果和所述非视频流数据的检测结果,发送报警信息。2.根据权利要求1所述的方法,其特征在于,所述视频流的正常行为轮廓根据如下步骤建立:对所述视频监控网络在预设时间段内的流量数据进行连续采样,获得预设数量的采样数据;对每个所述采样数据进行所述视频流协议识别,根据识别结果获得每个所述采样数据的视频流数据;基于每个所述采样数据的视频流数据提取各个所述采样数据的多个视频流特征值;根据各个所述采样数据的所述多个视频流特征值,获得所述视频流特征值的均值向量和协方差矩阵。3.根据权利要求2所述的方法,其特征在于,所述根据所述多个视频流特征值以及视频流的正常行为轮廓,对所述视频流数据进行异常检测,获得所述视频流数据的检测结果包括:根据所述多个视频流特征值和所述视频流的正常行为轮廓,获得所述视频流数据的异常概率;若判断获知所述异常概率小于阈值,则所述视频流数据存在异常。4.根据权利要求1所述的方法,其特征在于,所述视频流特征值包括:源IP地址数量,目的IP地址数量,TCP端口数量,UDP端口数量,基于IP的流量大小,基于IP的包率大小,基于ICMP的流量大小,基于ICMP的包率大小,基于TCP的流量大小,基于TCP的包率大小,基于UDP的流量大小,基于UDP的包率大小,IP协议流量占比,IP协议包量占比,ICMP流量占比,ICMP包量占比,TCP流占比,TCP包量占比,UDP流量占比,UDP包量占比,各个TCP端口流量占比,各个TCP端口包量占比,各个UDP端口流量占比,各个UDP端口包量占比。5.根据权利要求1所述的方法,其特征在于,所述根据所述关键字段信息、所述负载内容和预设规则,对所...

【专利技术属性】
技术研发人员:孙利民牛月晗李志黄文军朱红松
申请(专利权)人:中国科学院信息工程研究所
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1