一种基于两级过滤器的RTSP混合入侵检测方法技术

本发明专利技术公开了一种基于两级过滤器的RTSP混合入侵检测方法，所述方法包括：获取网络流量数据；识别RTSP协议，并对RTSP数据包进行预处理，获取RTSP数据包；根据RTSP语法分析器，采用基于规范的入侵检测技术，在单个RTSP数据包的级别上，进行恶意消息的检测；根据RTSP交互消息序列特征和基于SVDD的单分类模型，采用基于异常的入侵检测技术，对RTSP交互行为进行异常检测；根据所述RTSP语法分析器的检测结果和所述RTSP异常交互行为的检测结果，更新黑名单。本发明专利技术的方法不仅能检测已知的攻击，还能检测未知的攻击，提高了RTSP入侵检测的准确性。性。性。

【技术实现步骤摘要】
一种基于两级过滤器的RTSP混合入侵检测方法


[0001]本专利技术涉及网络安全
，具体涉及一种基于两级过滤器的RTSP混合入侵检测方法。

技术介绍

[0002]随着“智慧城市”、“感知中国”等口号的响起，万物互联的概念正深入人心，物联网在智慧城市领域的应用得到了大力推广，我国智慧城市发展建设也已经进入纵深阶段。数据显示，早在2016年，我国就已经有将近600个智慧城市相关试点，而城市监控是智慧城市、平安城市建设非常重要的组成部分，视频监控设备作为应用到物联网的产品之一，也得到了大规模的发展。但是由于监控设备需要通过网络进行管理，通常直接暴露在互联网上，并且缺乏完善的安全防护措施，使得视频监控网络已经成为黑客的攻击对象，这让大家对视频监控设备的广泛部署、视频监控系统的安全性提出了质疑。
[0003]RTSP作为标准的流媒体传输协议，几乎是视频监控网络设备的标准配置，在网络摄像头和录像机等视频监控设备中得到了广泛应用。有研究者对不安全的RTSP端口进行扫描后发现有超过460万台设备向Internet暴露了RTSP服务，并且近几年有关RTSP协议的漏洞也不断被爆出，基于RTSP发起的网络攻击对视频监控网络的安全构成了毁灭性的打击。
[0004]RTSP协议是一种基于文本编码的应用层协议，协议本身并不复杂，但是协议的可扩展性和特殊的应用场景，使得基于RTSP的服务对恶意攻击非常敏感，一些畸形的RTSP数据包、恶意的RTSP命令以及异常的RTSP交互行为都可能造成视频监控设备通信异常甚至设备故障、网络瘫痪。其中畸形的消息指的是格式错误的、消息长度异常的、使用异常字符等违反RTSP语法定义的消息，恶意的RTSP命名指的是带有TEARDOWN、REDIRECT命令的RTSP消息，异常交互行为指的是不符合RTSP状态机的交互行为，包括但不限于RTSP凭据嗅探攻击、RTSP消息泛洪攻击等。
[0005]现有技术中，入侵检测是一种重要的安全防御手段，然而在现有的入侵检测方法中，针对基于文本编码的RTSP协议的攻击检测，大多采用基于特征的入侵检测方法，但是这种仅根据攻击特征的检测方法很难检测到未知的攻击，并且畸形数据包的内容通常是千变万化的，攻击特征对应规则库的维护和更新将很难进行。另一方面，针对RTSP异常交互行为的检测，现阶段主要采用基于RTSP状态机的检测方法，但是该方法不能很好的检测到RTSP全连接攻击。基于以上问题，本专利技术提出了一种基于两级过滤器的混合入侵检测方法，RTSP恶意消息攻击问题和RTSP异常交互行为攻击问题，分别采用基于规范的入侵检测技术和基于SVDD半监督分类算法的异常检测技术来实现入侵检测。

技术实现思路

[0006]针对现有技术中的缺陷，本专利技术提供了一种基于两级过滤器的RTSP入侵检测方法。其中第一级过滤器采用基于规范的入侵检测技术，实现RTSP恶意消息的检测，第二级过滤器采用基于半监督学习算法SVDD的异常入侵检测技术，实现RTSP异常交互行为检测。
[0007]为实现上述目的，本专利技术提供如下技术方案：
[0008]一种基于两级过滤器的RTSP混合入侵检测方法，包括以下步骤：
[0009](1)获取网络流量数据；
[0010](2)通过对所述流量数据进行RTSP协议识别，获取RTSP网络数据流，并对RTSP数据包进行预处理，预处理具体包括：数据包解码、数据包重组以及获取完整的RTSP数据包；
[0011](3)第一级过滤器：根据所述RTSP语法分析器，采用基于规范的入侵检测技术，在单个数据包的级别上，对RTSP数据包进行畸形消息和恶意操作命令的检测，获取恶意RTSP消息中的IP地址，并输出符合RTSP协议规范格式的RTSP数据包；其中，所述RTSP语法分析器是根据预设的RTSP安全语法规则实现的；
[0012](4)第二级过滤器：经过第一级过滤器检测后，对于被判定为符合RTSP协议规范格式的RTSP消息，采用基于异常的入侵检测技术，在会话级别上，获取所述RTSP交互消息序列特征，根据预训练的基于SVDD的单分类模型，对所述RTSP交互消息序列特征进行异常检测。
[0013](5)根据所述第一级过滤器检测结果和所述第二级过滤器检测结果，更新IP地址黑名单。
[0014]进一步地，所述步骤(3)中的第一级过滤器的检测过程包含如下步骤：
[0015](31)输入完整的RTSP数据包；
[0016](32)通过预处理，将RTSP数据包的有效负载转换成<属性，值>的结构化表示特征；
[0017](33)将RTSP数据包的所有结构化特征输入RTSP语法分析器，所有与语法分析器中预设的安全语法规则不符合的特征，都认为是异常的，对应的RTSP数据包被认为是恶意的RTSP消息；
[0018](34)提取恶意RTSP消息的源IP地址。
[0019]进一步地，所述的第一级过滤器的检测过程中，所述RTSP语法分析器中的安全语法规则根据如下步骤建立：
[0020](331)根据RTSP协议的RFC文档，针对其中基于ABNF语法的RTSP的形式化定义，将其转换为正则表达式定义规则，即利用编译的思想，将ABNF规则集转换为正则表达式定义；
[0021](332)在现有的ABNF规则集上增加安全的RTSP语法规则，并将安全的语法规则转换为正则表式定义；
[0022]进一步地，所述步骤(4)中的第二级过滤器的检测过程包含如下步骤：
[0023](41)输入符合RTSP协议规范格式的RTSP数据包，提取源IP地址和目的IP地址；
[0024](42)在时间窗口T下，将同一交互过程中的所有请求报文和响应报文视为一组交互消息序列，经过特征工程，将每一组交互消息序列转换为所述RTSP交互消息序列特征，每一组特征以请求报文的<源IP，目的IP>作为标识；
[0025](43)将每一组RTSP交互消息序列特征输入预训练的基于SVDD的单分类模型，输出1和
‑
1，其中，
‑
1即该交互消息序列特征是异常的，也即表示其对应的RTSP交互行为是异常的；
[0026](44)对于被判定为异常的交互消息序列特征，提取其对应标识中的源IP地址。
[0027]进一步地，所述的第二级过滤器的检测过程中，所述RTSP交互消息序列特征根据如下步骤建立：
[0028](421)将T时间段内捕获的所有RTSP消息采用基于协议关键词的表示形式，转换为
由协议关键词组成的消息序列；
[0029](422)将步骤(421)得到的消息序列转换成一系列长度为2的子序列的组合；
[0030](423)统计步骤(422)中得到的消息序列中各子序列出现的频率，并将计算的频率添加到对应子序列中，作为第三维特征；
[0031](424)将RTSP规范中定义的11种方法分别数字化为1，2，...

【技术保护点】

【技术特征摘要】
1.一种基于两级过滤器的RTSP混合入侵检测方法，其特征在于，该方法包括以下步骤：(1)获取网络流量数据；(2)通过对步骤(1)中获取的网络流量数据进行RTSP协议识别，获取RTSP网络数据流，并对RTSP网络数据流中的每个RTSP数据包进行预处理，预处理具体包括：数据包解码、数据包重组以及获取完整的RTSP数据包；(3)第一级过滤器检测：根据RTSP语法分析器，采用基于规范的入侵检测技术，在单个数据包的级别上，对RTSP数据包进行畸形消息和恶意操作命令的检测，获取恶意RTSP消息中的IP地址，并输出符合RTSP协议规范格式的RTSP数据包；其中，所述RTSP语法分析器是根据预设的RTSP安全语法规则实现的；(4)第二级过滤器检测：经过第一级过滤器检测后，所有被认为是符合RTSP协议规范格式的RTSP消息，进一步采用基于异常的入侵检测技术，在会话级别上，获取RTSP交互消息序列特征，根据预训练的基于SVDD的单分类模型，对所述RTSP交互消息序列特征进行异常检测。(5)根据所述第一级过滤器检测结果和所述第二级过滤器检测结果，更新IP地址黑名单。2.根据权利要求1所述的基于两级过滤器的RTSP混合入侵检测方法，其特征在于，步骤(3)中所述的第一级过滤器检测过程包含如下步骤：(31)输入完整的RTSP数据包；(32)经过预处理，将RTSP数据包的有效负载转换成<属性，值>的结构化特征；(33)将RTSP数据包的所有结构化特征输入RTSP语法分析器，所有与RTSP语法分析器中预设的安全语法规则不符合的特征，都认为是异常的，对应的RTSP数据包被认为是恶意的RTSP消息；(34)提取恶意RTSP消息的源IP地址。3.根据权利要求2所述的基于两级过滤器的RTSP混合入侵检测方法，其特征在于，所述第一级过滤器的检测过程中，RTSP语法分析器中的预设的RTSP安全语法规则根据如下步骤建立：(331)根据RTSP协议的RFC文档，针对其中基于ABNF语法的RTSP的形式化定义，将其转换为正则表达式定义规则，即利用编译的思想，将ABNF规则集转换为正则表达式定义；(332)在现有的ABNF规则集上增加安全的RTSP语法规则，并将安全的语法规则转换为正则表式定义。4.根据权利要求1所述的基于两级过滤器的RTSP混合入侵检测方法，其特征在于，步骤(4)中所述的第二级过滤器检测的过程包含如下步骤：(41)输入符合RTSP协议规范格式的RTSP数...

【专利技术属性】
技术研发人员：黄杰，汪周红，
申请(专利权)人：东南大学，
类型：发明
国别省市：