一种基于水印的音频审计方法和系统技术方案

本发明专利技术公开了一种基于水印的音频审计方法和系统，属于信息安全技术领域。该方法包括：捕获流入或流出音频文件服务器的所有数据包，进行网络层IP协议及传输层TCP协议的解析，得到相关的网络传输信息；进行TCP重组，进行应用层协议的解析，得到有效音频片段，通过对有效音频片段进行水印解析，得到音频水印中包含的音频关键内容信息；与相关的身份认证系统对接，获取音频访问者的身份信息，构建包含访问者、访问行为、访问对象的完整审计链。该系统包括数据包捕获、TCP/IP协议处理、应用层协议处理、文件片段还原、水印解析、身份对接、系统管理与审计信息展示等模块。本发明专利技术可用于对嵌有水印的音频文件的内容审计。

【技术实现步骤摘要】

本专利技术涉及信息安全领域，具体地说，涉及一种对嵌有水印的音频文件进行内容审计的方法和系统。
技术介绍
当前，确保网络安全、建设网络强国、提升信息化水平、推进传统媒体与新兴媒体融合已成为重大国家战略，构建能够对音频进行集中存储、管理和共享的云计算平台是响应此战略的重要举措，云安全是此类音频云建设的一个重要关注点。音频云是以音频为核心的数据共享平台，因而需要以音频为保护核心，通过用户层和平台层安全防护来构建全面的安全管控体系。针对用户层安全防护，一方面需要对用户的身份和权限进行统一管理，确保用户的合法接入和合法访问；另一方面需要实时地对用户操作音频的行为进行审计，及时发现违规现象。针对平台层安全防护，一方面需要部署传统的安全设备(如防火墙、IPS(IntrusionPreventionSystem，入侵防御系统)、WAF(WebApplicationFirewall，Web应用防火墙)等)和制定相关安全策略，另一方面需要通过实时监控和深入分析音频的流转过程来深度挖掘云平台的安全隐患，以提高安全事故预防能力，提高事故响应、处理、恢复的速度，提高事后审查和恢复能力。因此，不论是用户层还是平台层，对音频进行安全审计都是其中的重要关注点。一般来说，音频云中承载着多个应用，各类电台、专业或商业机构、团体或个人等海量用户通过互联网接入音频云中，音频的访问情况十分复杂。在音频云中，音频一般通过交换机流入或流出音频文件服务器，为了实现对音频的全面安全审计，不仅要运用基于网络旁路抓包的审计技术，捕获并分析流入或流出音频文件服务器的所有数据包，获取相关网络传输信息，实时记录音频在网络中的流转路径；还要能够对音频的关键内容进行快速审计，并获取访问者的身份信息，从而实时记录哪些用户访问了哪些类型、什么内容的音频，以便于及时发现违规访问行为。现有的网络安全审计技术不适用于音频云环境，主要体现在以下两个方面：(1)现有的网络安全审计技术大多对网络操作行为进行审计，而无法进行内容审计。少数可进行内容审计的技术采用的是基于关键词匹配的方法，需要将一个文件对应的数据包完全捕获并做完整拼接之后才能审计，效率很低。当其应用于内容不能直接获取的音频的审计时，还需要在得到完整的音频文件后，进行音频和文本之间的转换，然后再基于关键词匹配对文本内容进行审计，效率极低。(2)现有的网络安全审计技术只能获取网络传输的相关信息，将访问行为、访问对象与某个IP相关联，而不能与访问者的身份信息相关联，无法形成用户访问音频的完整审计链。在音频云中，为了进行版权保护和安全控制，在存储音频之前，可在音频中嵌入水印，来指代ID、版权、安全级别等音频关键内容信息。音频水印技术是指用信号处理的方法在数字化的音频数据中嵌入隐蔽的标记，这种标记通常是人耳不可感知的，只有通过专用的检测器或阅读器才能提取。音频水印一般具有以下两个特点：(1)音频水印的长度是固定的(例如64bit)，其中的比特位与音频的关键内容信息之间有明确的对应关系。(2)为便于进行水印解析，且防止水印信息被完全篡改或破坏，音频水印不只是被嵌入在音频头或是音频的某个位置，而是被循环嵌入到音频中，因此只需要获取不少于特定长度(例如12s)的连续的音频数据，即可解析出完整的音频水印信息。另外，为了进行身份管理和访问控制，音频云中一般部署有身份认证系统，该系统通常会将所有用户的登录、下线行为记录到日志信息中。因此，可设计一种基于水印的音频审计方法，通过网络协议解析得到IP、端口号等网络传输信息，通过水印解析得到音频的关键内容信息，通过与相关的身份认证系统对接得到访问者的身份信息，最终实现对音频的全面内容审计。
技术实现思路
针对现有的网络安全审计技术应用于音频云环境的不足和缺陷，本专利技术提出一种基于水印的音频审计方法和系统，能够对嵌有水印的音频文件进行实时的、全面的内容审计，构建包含访问者、访问行为和访问对象的完整审计链。本专利技术提出了一种基于水印的音频审计方法，捕获流入或流出音频文件服务器的所有数据包，解析其网络传输信息，解析音频中嵌有的水印信息，且将网络传输信息和访问者身份信息相关联，构建包含访问者、访问行为、访问对象的完整审计链。其步骤如图1所示，包括：1)实时捕获流入或流出音频文件服务器的所有数据包，并将捕获到的数据包写入文件存储起来；2)读取存有数据包的文件，进行网络层IP协议和传输层TCP协议的解析，得到相关的网络传输信息；再进行TCP重组，得到有序的TCP数据包；3)依据NFS、CIFS、HTTP、FTP协议的报文格式规定，判断TCP重组后的数据包对应哪种应用层协议，然后进行应用层协议解析，得到相应的有效音频数据及相关信息；4)接收应用层协议解析后得到的有效音频数据及相关信息，对不同的音频文件，开辟不同的缓冲区进行音频数据累积，直到整个音频文件接收完毕或者音频数据量达到预置大小，即得到该文件对应的有效音频片段，放入共享文件夹中存储；5)读取共享文件夹中的有效音频片段，解析出其中的水印信息，并经过进一步分析后得出水印信息对应的音频关键内容信息；6)与相关的身份认证系统对接，将已经获取到的网络传输信息与身份认证系统中的用户登录日志相关联，获取对应的音频访问者的身份信息；7)将网络传输信息、音频关键内容信息、音频访问者的身份信息合为一条完整的审计信息，写入数据库中，并对数据库中的审计信息进行全方位展示。更进一步，步骤1)通过下述方法实现对数据包的捕获和存储：1)基于万兆网卡进行链路层的数据包捕获，通过零拷贝技术实现对数据包的高速捕获；2)对于捕获到的数据包，采用内存映射文件的技术，多线程存储到多个文件中。更进一步，步骤2)进行网络层IP协议解析得到的网络传输信息包括源IP、目的IP等，进行传输层TCP协议解析得到的网络传输信息包括源端口号、目的端口号等。更进一步，步骤3)通过下述方法实现对NFS、CIFS、HTTP、FTP协议的解析：1)NFS(NetworkFileSystem，网络文件系统)协议是一种C/S架构的文件共享协议，通过RPC(RemoteProcedureCall，远程过程调用)报文进行应答，TCP重组后的数据报文遵循RPC报文格式，因此通过对RPC报文进行分析得到有效音频数据。2)CIFS(CommonInternetFileSystem，通用Internet文件系统)协议有通用的报文格式，以‘0xFF’‘S’‘M’‘B’作为引导字符。上传文件使用写命令S本文档来自技高网...

【技术保护点】
一种基于水印的音频审计方法，其特征在于，包括如下步骤：1)实时捕获流入或流出音频文件服务器的所有数据包，并将捕获到的数据包存储到文件中；2)读取存有数据包的文件，进行网络层IP协议和传输层TCP协议的解析，得到相关的网络传输信息；再进行TCP重组，得到有序的TCP数据包；3)依据NFS、CIFS、HTTP、FTP协议的报文格式规定，判断TCP重组后的数据包所对应的应用层协议，然后进行应用层协议解析，得到相应的有效音频数据及相关信息；4)接收应用层协议解析后得到的有效音频数据及相关信息，对不同的音频文件，开辟不同的缓冲区进行音频数据累积，直到整个音频文件接收完毕或者音频数据量达到预置大小，即得到该文件对应的有效音频片段，放入共享文件夹中存储；5)读取共享文件夹中的有效音频片段，解析出其中的水印信息，并经过进一步分析后得出水印信息对应的音频关键内容信息；6)与相关的身份认证系统对接，将已经获取到的网络传输信息与身份认证系统中的用户登录日志相关联，获取对应的音频访问者的身份信息；7)将网络传输信息、音频关键内容信息、音频访问者的身份信息合为一条完整的审计信息，写入数据库中，并对数据库中的审计信息进行全方位展示。...

【技术特征摘要】
1.一种基于水印的音频审计方法，其特征在于，包括如下步骤：
1)实时捕获流入或流出音频文件服务器的所有数据包，并将捕获到的数据包存储到文
件中；
2)读取存有数据包的文件，进行网络层IP协议和传输层TCP协议的解析，得到相关的网
络传输信息；再进行TCP重组，得到有序的TCP数据包；
3)依据NFS、CIFS、HTTP、FTP协议的报文格式规定，判断TCP重组后的数据包所对应的应
用层协议，然后进行应用层协议解析，得到相应的有效音频数据及相关信息；
4)接收应用层协议解析后得到的有效音频数据及相关信息，对不同的音频文件，开辟
不同的缓冲区进行音频数据累积，直到整个音频文件接收完毕或者音频数据量达到预置大
小，即得到该文件对应的有效音频片段，放入共享文件夹中存储；
5)读取共享文件夹中的有效音频片段，解析出其中的水印信息，并经过进一步分析后
得出水印信息对应的音频关键内容信息；
6)与相关的身份认证系统对接，将已经获取到的网络传输信息与身份认证系统中的用
户登录日志相关联，获取对应的音频访问者的身份信息；
7)将网络传输信息、音频关键内容信息、音频访问者的身份信息合为一条完整的审计
信息，写入数据库中，并对数据库中的审计信息进行全方位展示。
2.如权利要求1所述的基于水印的音频审计方法，其特征在于，步骤1)通过下述方法实
现对数据包的捕获和存储：
(1)基于万兆网卡进行链路层的数据包捕获，通过零拷贝技术实现对数据包的高速捕
获；
(2)对于捕获到的数据包，采用内存映射文件的技术，多线程存储到多个文件中。
3.如权利要求1所述的基于水印的音频审计方法，其特征在于，步骤2)进行网络层IP协
议解析得到的网络传输信息包括源IP、目的IP，进行传输层TCP协议解析得到的网络传输信
息包括源端口号、目的端口号。
4.如权利要求1所述的基于水印的音频审计方法，其特征在于，步骤3)通过下述方法实
现对NFS、CIFS、HTTP、FTP协议的解析：
(1)NFS协议是一种C/S架构的文件共享协议，通过RPC报文进行应答，TCP重组后的数据
报文遵循RPC报文格式，因此通过对RPC报文进行分析得到有效音频数据；
(2)CIFS协议有通用的报文格式，以‘0xFF’‘S’‘M’‘B’作为引导字符，上传文件使用写
命令SMB_COM_WRITE_ANDX，下载文件使用读命令SMB_COM_READ_ANDX，每次读写请求所能传
输的最大阀值为一个确定值，因此需要先分多次进行数据报文解析，以偏移量offset标注，
然后进行组装；
(3)对于HTTP协议主要关注下载与上传文件报文，下载文件使用GET方法，一般采用多
线程下载，因此先分析出多个线程片段，每个线程片段通过Content-Range进行标记，再进
行拼凑组装；上传文件使用POST方法，通过比对文件分割符号boundary来提取实体，再分析
实体得到文件片段数据；
(4)FTP协议通过两个连接来进行交互，分别为控制连接和数据连接；在主动模式下，服
务器端的控制端口和数据端口是固定的；在被动模式下，服务器端的数据端口号是随机的。
5.如权利要求1所述的基于水印的音频审计方法，其特征在于，步骤4)在音频数据累积
时，接收音频数据量的预置大小为：确保水印能被成功解析的音频数据量的理论最小值。
6.如权利要求1所...

【专利技术属性】
技术研发人员：陈驰，翟梅洁，于晶，田雪，申培松，杨腾飞，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11