一种视频监控网络的异常检测方法及系统技术方案

本发明专利技术实施例提供一种视频监控网络的异常检测方法及系统，所述方法包括：解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。所述系统执行上述方法。本发明专利技术实施例提供的视频监控网络的异常检测方法及系统，能够准确检测视频监控网络的网络异常状态。

An anomaly detection method and system for video surveillance network

The embodiment of the present invention provides an anomaly detection method and system for a video surveillance network. The method includes: parsing the transport layer protocol to obtain the video stream data flow of the video surveillance network; parsing the application layer protocol to obtain the non-video stream data flow of the video surveillance network; and extracting the video stream number separately. According to the video stream characteristics of traffic and the non-video stream characteristics of the non-video stream data traffic, the video stream characteristics and the non-video stream characteristics are detected respectively according to the pre-established first preset model and the second preset model, and the detection results are sent to the server so that the server can according to the detection results. Generate alarm message for network abnormal state. The system performs the above method. The anomaly detection method and system of the video surveillance network provided by the embodiment of the present invention can accurately detect the network anomaly state of the video surveillance network.

【技术实现步骤摘要】
一种视频监控网络的异常检测方法及系统
本专利技术实施例涉及安全
，具体涉及一种视频监控网络的异常检测方法及系统。
技术介绍
随着物联网技术的蓬勃发展，视频监控设备也得到广泛应用。大量的视频监控设备组成的视频监控网络通常防御能力低，自身安全性差，成为黑客的热门攻击对象。由于视频监控网络的大流量、众多未知攻击行为与异常通信行为等特性，使得现有的基于模型的异常检测技术对网络异常状态的检测存在很高的误报率和漏报率。因此，如何避免上述缺陷，能够准确检测视频监控网络的网络异常状态，成为亟须解决的问题。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种视频监控网络的异常检测方法及系统。第一方面，本专利技术实施例提供一种视频监控网络的异常检测方法，所述方法包括：解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。第二方面，本专利技术实施例提供一种视频监控网络的异常检测方法，所述方法包括：接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的；根据所述检测结果，生成网络异常状态的报警消息。第三方面，本专利技术实施例提供一种视频监控网络的异常检测终端，所述终端包括：获取单元，用于解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；提取单元，用于分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；检测单元，用于根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；发送单元，用于将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。第四方面，本专利技术实施例提供一种视频监控网络的异常检测服务器，所述服务器包括：接收模块，用于接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的；生成模块，用于根据所述检测结果，生成网络异常状态的报警消息。本专利技术实施例提供的视频监控网络的异常检测方法及系统，通过把数据流量划分为视频流数据流量和非视频流数据流量，分别通过不同的预设模型进行检测，能够更准确地检测视频监控网络的网络异常状态。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例视频监控网络的异常检测方法流程示意图；图2为本专利技术另一实施例视频监控网络的异常检测方法流程示意图；图3为本专利技术实施例视频监控网络的异常检测方法总体流程示意图；图4为本专利技术实施例检测视频流特征的方法流程示意图；图5为本专利技术实施例检测非视频流特征的方法流程示意图；图6为本专利技术实施例视频监控网络的异常检测终端结构示意图；图7为本专利技术实施例视频监控网络的异常检测服务器结构示意图；图8为本专利技术实施例提供的终端实体结构示意图；图9为本专利技术实施例提供的服务器实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1为本专利技术实施例视频监控网络的异常检测方法流程示意图，如图1所示，本专利技术实施例提供的一种视频监控网络的异常检测方法，包括以下步骤：S1：解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量。具体的，终端解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量。在该步骤之前，可以对获取到的数据包进行数据链路层、网络层处理，包括网络层协议检测，IP碎片重组等。然后，继续进行传输层处理，包括：解析传输层协议(如TCP、UDP、ICMP、IGMP等)、视频流数据流量可以包括：视频流数据包在传输层的关键信息(如源端口、目的端口、flags、序列号、win窗口大小等)；再过滤掉视频流数据流量，解析应用层协议，从而，获取到非视频流数据流量。S2：分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征。具体的，终端分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征。视频流特征可以包括源IP地址数量，目的IP地址数量，TCP端口数量，UDP端口数量，基于IP的流量大小，基于IP的包率大小，基于ICMP的流量大小，基于ICMP的包率大小，基于TCP的流量大小，基于TCP的包率大小，基于UDP的流量大小，基于UDP的包率大小，IP协议流量占比，IP协议包量占比，ICMP流量占比，ICMP包量占比，TCP流占比，TCP包量占比，UDP流占比，UDP包量占比，TCP各个端口流量占比，TCP各个端口包量占比，UDP各个端口流量占比，UDP各个端口包量占比共24项视频流特征，这些视频流特征可以通过n维特征向量表示。非视频流特征可以是：数据包发送的时间戳、源IP地址、目的IP地址、源端口、目的端口、协议名称、负载长度、负载内容等8项，负载内容可以包括http请求url、ftp、telnet的交互口令；负载长度是该负载内容所占用的存储空间。S3：根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征。具体的，终端根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征。第一预设模型可以通过多元高斯分布方法建立，建立方法可以如下：对视频流特征进行取样，每秒取一次数据，取样五分钟，总计300次数据；计算每个特征值300次取样的均值：其中，μ为均值、m为采样总数、x(i)为第i次的采样数据。以及每个特征值300次取样的方差：其中，∑为方差、m为采样总数、X为采样数据。通过将当前待检测的视频流特征输入建立好的第一预设模型，即可实时对视频流进行异常检测；具体的，当前待检测的视频流异常概率p(x)小于预设定的阈值σ时，则判断为异常，p(x)公式如下：其中，n是24项视频流特征，其他参数可参照上述说明。第二预设模型可以通过mini-Kmeans的机器学习方法建立，具体的，对上述提取到的非视频流特征进行数据归一化处理，之后采用基于mini-Kmeans的机器学习方法对非视频流通信数据包进行聚类建模；选取聚类簇大小N与簇中心，然后随机选取部分通信数据包计算与该N个簇中心的聚类，决定用户归属簇；然后进行上述步骤的重复迭代，直到收本文档来自技高网...

【技术保护点】
1.一种视频监控网络的异常检测方法，其特征在于，包括：解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。

【技术特征摘要】
1.一种视频监控网络的异常检测方法，其特征在于，包括：解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。2.根据权利要求1所述的方法，其特征在于，所述视频流特征包括多种协议的端口数量、流量、包率、流量占比和包量占比。3.根据权利要求1所述的方法，其特征在于，所述非视频流特征包括数据包发送的时间戳、源IP地址、目的IP地址、源端口、目的端口、协议名称、负载长度、负载内容，其中，所述负载内容包括http请求url、ftp、telnet的交互口令；所述负载长度是所述负载内容所占用的存储空间。4.根据权利要求1所述的方法，其特征在于，所述第一预设模型是通过多元高斯分布方法所建立的。5.根据权利要求1所述的方法，其特征在于，所述第二预设模型是通过mini-Kmeans的机器学习方法所建立的。6.一种视频监控网络的异常检测方法，其特征在于，包括：接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的；根据所述...

【专利技术属性】
技术研发人员：孙利民，牛月晗，李志，黄文军，朱红松，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11