一种基于内存行为特征的视频监控设备攻击检测系统技术方案

一种基于内存行为特征的视频监控设备攻击检测系统，该系统包括：采集模块，用于采集视频监控设备的内存行为特征，通过修改视频监控设备的系统内核，捕获系统产生的各个系统调用号的频次；存储模块，用于及时有效存储视频监控设备的内存行为特征，将各个系统调用号的访问密度图进行存储；模型构建模块，用于构建视频监控设备的内存行为模型，对采集到的内存特征数据进行降维处理与聚类处理；检测与报警模块，用于检测视频监控设备当前的攻击行为，并进行报警；测试模块，模拟视频监控设备的攻击行为，测试所述检测与报警模块性能。该系统通过系统调用密度图能够刻画不同种类型的攻击。

A video surveillance device attack detection system based on memory behavior characteristics

【技术实现步骤摘要】
一种基于内存行为特征的视频监控设备攻击检测系统
本专利技术属于网络安全领域，通过关联嵌入式系统内存行为与具体攻击实例，构建视频监控设备行为模型，设计并提出了一种基于内存行为特征的视频监控设备攻击检测系统。
技术介绍
随着计算机技术与通信技术的不断发展，视频监控设备伴随着“物联网”“智慧城市”等全新信息技术应用模式在日常生产生活中得到越来越广泛的应用。视频监控设备作为一种嵌入式设备，其内部资源有限、运行环境恶劣，导致大量安全机制因为受到计算能力和系统运行条件的极大限制(如时延约束、无法停机更新等)而无法使用。因此，与通用计算机系统相比，视频监控设备面临着更为严峻的安全挑战。而近年来，随着Mirai，DirtyCow等针对嵌入式设备的恶意软件和漏洞后门的大量涌现，以及利用漏洞发起的大规模攻击事件的频繁发生，更使得视频监控设备的异常检测成为发现和解决物联网、智能硬件安全的关键技术问题。针对嵌入式系统漏洞各类攻击方式，产生了不同层次与角度的抵抗机制。从入侵检测系统的结构角度出发，可以分为基于网络的入侵检测系统、基于主机的入侵检测系统、混合分布式入侵检测系统。根据嵌入式入侵检测系统的常见方法流派，又可以分为轻量级嵌入式Snort网络入侵检测方法、基于污点分析的嵌入式异常检测方法、基于控制流完整性的嵌入式异常检测方法、基于内存行为分析的异常检测方法、基于硬件辅助的嵌入式设备运行时监控方法、基于多核架构的运行时监控方法等等。基于内存行为分析的异常检测方法的主要思想是分析系统或应用程序的内存行为，以判断系统状态。由于嵌入式系统及运行在嵌入式设备中的目标应用在正常与异常时所对应的特定内存特征是不同的，因此可以根据内存特征的变化来检测系统或者系统应用是否遭受攻击。
技术实现思路
本专利技术克服了现有针对嵌入式设备的入侵检测系统中系统开销大、实时性差、参照指标不具备通性的问题，从系统内存行为的角度出发，通过检测正常系统和异常系统之间的系统调用号使用频率的差异，提供了一种可通过升级操作系统内核即可使用的攻击检测系统，以视频监控设备为原型系统，通过内存特征数据的系统内提取模块，采用合适的降维与聚类算法，提供对内存特征数据的有效分析与表示，实现系统正常内存行为模型的构建与异常行为的检测分析。本专利技术的所述系统包括以下模块：采集模块：用于采集视频监控设备的内存行为特征，通过修改视频监控设备的系统内核，捕获系统产生的各个系统调用号的频次；存储模块：用于存储视频监控设备的内存行为特征，统计固定总量中各系统调用号的使用频次，通过使用内核输出函数，将各个系统调用号的访问密度图进行存储，所述访问密度图作为构建模型模块的数据源，用于刻画系统行为；模型构建模块：用于构建视频监控设备的内存行为模型，构建过程需要对采集到的内存特征数据进行降维处理与聚类处理；检测与报警模块：用于检测视频监控设备当前的攻击行为，并进行报警；测试模块：模拟视频监控设备的攻击行为，测试所述检测与报警模块的性能。例如，本专利技术的实施例提供的基于内存行为特征的视频监控设备攻击检测系统中，其中，所述采集模块用于采集视频监控设备的内存行为特征时的采集过程为：以视频监控设备为原型系统，在其内核源码实现系统调用的汇编文件中，使用汇编指令调用捕获函数获取嵌入式系统运行过程中实时使用的每一个内核服务所对应的系统调用号。例如，本专利技术的实施例所述的使用汇编指令调用捕获函数的方法，其中，所述使用汇编指令调用捕获函数获取嵌入式系统运行过程中实时使用每一个内核服务所对应的系统调用号包括：步骤11：在Linux内核源码实现系统调用的汇编文件同级目录下添加含系统调用号捕获函数的文件；步骤12：根据汇编指令调用系统调用号捕获函数，获得系统调用号，该系统调用号与嵌入式系统运行过程中实时使用的每一个内核服务所对应；步骤13：构建系统调用号访问密度图，统计所有系统调用号在预设时间间隔的使用次数，将所述使用次数作为内存特征数据。例如，本专利技术的实施例提供的基于内存行为特征的视频监控设备攻击检测系统中，其中，所述存储模块用于及时有效存储视频监控设备的内存行为特征的过程包括：获取系统调用号之后，使用内核输出函数printk()以及日志审计文件的方式对系统调用号进行记录与分析。例如，本专利技术的实施例提供的基于内存行为特征的视频监控设备攻击检测系统，其中，所述使用内核输出函数printk()以及日志审计文件的方式对系统调用号进行记录与分析的过程包括：步骤21：统计预设总量后的系统调用号数组，得到系统调用号密度图，并通过printk()函数打印到putty终端；步骤22：系统调用号数组前增加起始标志符；步骤23：对系统调用号的统计过程和输出过程加锁，利用自旋锁为防止多处理器并发产生的中断；步骤24：利用putty终端的日志审计功能将起始标识符和系统调用号数组记录到日志文件。例如，本专利技术的实施例提供的基于内存行为特征的视频监控设备攻击检测系统中，所述模型构建模块用于构建视频监控设备的内存行为模型的过程包括：对采集到的内存特征数据进行降维与聚类处理，其具体包括：步骤31：采用PCA算法对非流行结构的高维内存特征数据进行降维；步骤32：使用高斯混合模型(GMM)对降维后的内存访问密度矩阵进行聚类。例如，本专利技术的实施例提供的基于内存行为特征的视频监控设备攻击检测系统，其中，采用主要成分分析算法对非流行结构的高维内存特征数据进行降维包括：1)计算原始的内存访问密度矩阵的均值右移矩阵；2)计算均值右移向量的协方差矩阵；3)采用奇异值分析法从协方差矩阵中按照特征值降序提取预设数目的内存特征向量，每个内存特征向量是目标内存区域主要活动的映射；4)将内存特征向量与内存访问密度均值右移矩阵相乘得到降维后的矩阵。例如，本专利技术的实施例提供的基于内存行为特征的视频监控设备攻击检测系统，其中，使用高斯混合模型对降维后的内存访问密度矩阵进行聚类包括：1)初始化高斯混合分布的模型参数；2)计算均值向量、协方差矩阵、混合系数；3)基于极大似然估计方法求解，并对模型进行迭代更新。例如，本专利技术的实施例提供的基于内存行为特征的视频监控设备攻击检测系统中，所述检测与报警模块用于检测视频监控设备当前的攻击行为，并进行报警的过程为：将构建的内存行为模型作为视频监控设备的攻击检测模型，当给定一个待检验的内存访问密度图，如果其高斯概率密度的log值小于预设的阈值，则判定为系统发生异常，进行报警。例如，本专利技术的实施例提供的基于内存行为特征的视频监控设备攻击检测系统中，所述测试模块，其设计为：攻击单元：用于向真实网络环境中的视频监控设备进行攻击；响应单元：用于统计攻击单元产生后系统产生的额外时间开销以及检测与报警模块的响应时间；评估单元：用于根据检测与报警模块返回的攻击类型的准确率来评估检测与报警模块的准确率。本文档来自技高网...

【技术保护点】
1.一种基于内存行为特征的视频监控设备攻击检测系统，包括：/n采集模块：用于采集视频监控设备的内存行为特征，通过修改视频监控设备的系统内核，捕获系统产生的各个系统调用号的频次；/n存储模块：用于存储视频监控设备的内存行为特征，统计固定总量中各系统调用号的使用频次，通过使用内核输出函数，将各个系统调用号的访问密度图进行存储，所述访问密度图作为构建模型模块的数据源，用于刻画系统行为；/n模型构建模块：用于构建视频监控设备的内存行为模型，构建过程需要对采集到的内存特征数据进行降维处理与聚类处理；/n检测与报警模块：用于检测视频监控设备当前的攻击行为，并进行报警；/n测试模块：模拟视频监控设备的攻击行为，测试所述检测与报警模块的性能。/n

【技术特征摘要】
1.一种基于内存行为特征的视频监控设备攻击检测系统，包括：
采集模块：用于采集视频监控设备的内存行为特征，通过修改视频监控设备的系统内核，捕获系统产生的各个系统调用号的频次；
存储模块：用于存储视频监控设备的内存行为特征，统计固定总量中各系统调用号的使用频次，通过使用内核输出函数，将各个系统调用号的访问密度图进行存储，所述访问密度图作为构建模型模块的数据源，用于刻画系统行为；
模型构建模块：用于构建视频监控设备的内存行为模型，构建过程需要对采集到的内存特征数据进行降维处理与聚类处理；
检测与报警模块：用于检测视频监控设备当前的攻击行为，并进行报警；
测试模块：模拟视频监控设备的攻击行为，测试所述检测与报警模块的性能。


2.如权利要求1所述的基于内存行为特征的视频监控设备攻击检测系统，其中，所述采集模块用于采集视频监控设备的内存行为特征时的采集过程为：
以视频监控设备为原型系统，在其内核源码实现系统调用的汇编文件中，使用汇编指令调用捕获函数获取嵌入式系统运行过程中实时使用的每一个内核服务所对应的系统调用号。


3.如权利要求2所述的基于内存行为特征的视频监控设备攻击检测系统，其中，所述使用汇编指令调用捕获函数获取嵌入式系统运行过程中实时使用每一个内核服务所对应的系统调用号包括：
步骤11：在Linux内核源码实现系统调用的汇编文件同级目录下添加含系统调用号捕获函数的文件；
步骤12：根据汇编指令调用系统调用号捕获函数，获得系统调用号，该系统调用号与嵌入式系统运行过程中实时使用的每一个内核服务所对应；
步骤13：构建系统调用号访问密度图，统计所有系统调用号在预设时间间隔的使用次数，将所述使用次数作为内存特征数据。


4.如权利要求1所述的基于内存行为特征的视频监控设备攻击检测系统，其中，所述存储模块用于存储视频监控设备的内存行为特征的过程包括：
获取系统调用号之后，使用内核输出函数printk()以及日志审计文件的方式对系统调用号进行记录与分析。


5.如权利要求4所述的基于内存行为特征的视频监控设备攻击检测系统，其中，所述使用内核输出函数printk()以及日志审计文件的方式对系统调用号进行记录与分析的过程包括：
步骤21：统计预设总量后的系统调用号数组，得到系统调用号密度图，并通过printk()函数打...

【专利技术属性】
技术研发人员：党相凛，许宝东，何云华，肖珂，
申请(专利权)人：北京安为科技有限公司，
类型：发明
国别省市：北京;11