CN101883081A - 一种基于网络数据包内容进行视频流传输过滤的方法 - Google Patents
一种基于网络数据包内容进行视频流传输过滤的方法 Download PDFInfo
- Publication number
- CN101883081A CN101883081A CN2009100944286A CN200910094428A CN101883081A CN 101883081 A CN101883081 A CN 101883081A CN 2009100944286 A CN2009100944286 A CN 2009100944286A CN 200910094428 A CN200910094428 A CN 200910094428A CN 101883081 A CN101883081 A CN 101883081A
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- video stream
- module
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明即一种基于网络数据包内容进行视频流传输过滤的方法涉及网络安全技术领域,包括网络数据包的捕获模块、网络数据包的重组模块、视频流标识字符串匹配过滤模块。网络数据包的捕获模块特指支持Windows、Linux系统下的网络数据包捕获以及对于捕获得到的数据包依据数据信息源主机IP,目标主机IP,服务协议端口等信息进行简单过滤;网络数据包的重组模块特指通过相同源IP地址、目的IP地址以及应用层标志字符串排除协商、应答、重传、包头等网络附加信息,实现信源数据的还原;视频流标识字符串匹配过滤模块特指依据视频流压缩标识在还原后的数据包中的匹配情况进行数据过滤的处理。
Description
(一)技术领域
本发明属于网络安全技术领域,特别涉及一种基于网络数据包内容的视频流传输过滤方法。
(二)背景技术
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。它涉及到防火墙技术、VPN技术、认证/PKI技术已经入侵检测技术等。通过这些技术方法来保护计算机、网络系统的硬件、软件及其系统中的数据,使之不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。可以看出,除了入侵检测技术,其他几项都是立足于防。在设计现有防护系统的时候,只可能考虑到已知的安全威胁与有限范围的未知安全威胁。防护技术只能做到尽量阻止攻击企图的得逞或者延缓这个过程,而不能阻止各种攻击事件的发生,这就需要入侵检测手段的引入加以弥补。然而目前入侵检测类的产品一般是根据事先定义的规则和模板来判断网络上是否有攻击行为发生,对于防范黑客具有一定的作用。入侵检测类的产品对于内部的,有针对性的违规行为的识别和判断欠佳,而且对于一些重要的非入侵行为的记录和配置不是很方便。虽然有些入侵检测软件已经具备用户自定义规则的功能,但是要真正定义一个和实际应用相关的规则是十分困难的(如仅仅支持特有格式的网络视频传输)。此外,目前的入侵检测软件在效率上、数据事后分析和挖掘上、数据保护上、可扩充性上还不能覆盖所有的需求。所以纯入侵检测软件功能只能实现网络安全需求中的一部分,不能覆盖完整的网络安全需求。
而近几年来,光纤网、移动通信网和下一代网络(Next GenerationNetwork,NGN)的不断飞速发展,大大改善和提高了不同网络业务的可利用带宽资源,这也促使了网络业务类型的多样性发展。视频流传输(VideoStreaming)就是其中一项正在迅速发展的技术,它可以广泛应用于视频点播、网上购物、电视会议、远程教育、远程医疗、安防监控以及实况转播等领域。
基于网络数据包内容进行视频传输过滤是完成视频流的安全传输的重要功能之一,在网络安全领域具有很强的实用价值。在实际应用中,基于网络数据包内容的视频过滤方法可以有效的用于将平安城市的监控视频信息传入公安监控网络。以及对于政府、军队、院校、企业中从事网络信息安全监测、信息保密检测的行政部门也具有广泛的应用前景。
(三)发明内容
本发明要解决的技术问题在于:1)找出一种有效的基于网络数据包内容进行视频流传输过滤的方法。当前的网络安全主要采用基于端口、基于应用协议进行数据的过滤,我们针对视频流传输的特点,采用了技术网络数据包内容进行视频流传输过滤的方法。2)设计实现了支持Windows,Linux等不同操作系统下的捕获数据包的数据采集模块。3)设计实现一个信息接收信源管理模块,完成从数据包中得到数据片段分发到模块中还原重组器中,按照多种类型的协议对数据包进行拼接,并排除协商、应答、重传、包头等网络附加信息,最终实现信源数据的还原。4)分析了常见监控视频流的压缩方法,提取了基于mpeg4、H.264压缩视频数据的标识字符串,实现采用Aho-Corasic字符串匹配算法对视频流的过滤。
本发明重点研究视频监控中基于网络传输的视频流过滤方法。本发明的目的是这样实现的:
1、网络数据包的捕获模块:实现网络数据包的捕获,并且进行简单的数据过滤。
2、网络数据包的重组模块:实现网络数据包按网络应用层协议的重组。
3、视频流标识字符串匹配过滤模块:实现按照各种视频数据流特有标识符字符串与重组的数据信源内容进行字符串匹配,按匹配情况对视频流进行过滤。
本发明有以下技术特征:
1、进行网络数据包的捕获。网络数据包捕获支持了Windows、Linux操作系统。具体采用了libpcap开发包对于Linux系统下进行了数据包的捕获模块。采用了Winpcap函数库对于Windows系统下进行了数据包的捕获。
2、简单的数据过滤。根据捕获数据信息源主机IP,目标主机IP,服务协议端口等信息进行简单的数据过滤,再将用户感兴趣的数据发送给网络数据包的重组模块进行分析。
3、网络数据包重组模块主要管理多个数据流协议还原重组器。其按照相同源IP地址和目的IP地址将数据包分配到同一个数据流协议还原重组器中,按照多种类型的协议对数据包进行拼接,并排除协商、应答、重传、包头等网络附加信息,最终实现信源数据的还原。
4、具体的网络数据重组还原是通过基于应用层标志字符串进行的。具体实现过程中首先建立所有会话标志集合。会话标志包括会话开始标志、会话结束标志。会话开始标志对于一个应用协议必须是唯一的,即根据这些标志可以确定一个会话的开始。会话标志可以是一个特殊的字符串,也可以是应用协议的标志位。
5、提取设定的视频流压缩标识,主要提取了基于mpeg、H.264压缩算法的视频数据标识符。具体方法中匹配基于mpeg和H.264压缩的视频流的“起始码”字符串“0X 000001”。
6、在还原的信源数据中采用Aho-Corasic字符串匹配算法匹配设定的视频标识符,如果找到说明相关的数据包属于此种格式的视频流,则将完整数据包相关的数据交由相应的视频监控软件处理,否则滤除掉还原的完整数据包相关的数据包。
与现有技术相比,本发明的优点在于:
1、为了获得各种系统的数据包,采用了libpcap开发包对于Linux系统下进行了数据包的捕获。采用了Winpcap函数库对于Windows系统下进行了数据包的捕获。
2、区别于网络安全中立足于防的技术,本发明具有针对性的设计了一种基于网络数据包内容的安全过滤方法。
3、区别于基于应用协议、端口号的视频过滤方法,本发明设计的视频过滤算法是分析视频流数据包内容,根据视频数据流标识符匹配进行视频流的过滤方法。
(四)附图说明
图1本发明的方法处理模块示意图。
图2本发明的基于网络数据包内容进行视频流传输过滤的方法流程图。
(五)具体实施方式
下面结合具体实施例和附图进一步详细说明:
实施例1:
图1所示为本发明的方法处理模块示意图,本发明方法包括网络数据包捕获模块、网络数据包重组模块以及视频流标识字符串匹配过滤模块三个模块。1)网络数据包捕获模块完成基于Linux系统、Windows系统的网络数据采集,该层是整个方法的基础,其关键技术是数据的高效采集,具体采用了libpcap开发包对于Linux系统下进行了数据包的捕获模块。采用了Winpcap函数库对于Windows系统下进行了数据包的捕获。对于采集得到的数据包进行了简单的数据过滤。根据捕获数据信息源主机IP,目标主机IP,服务协议端口等信息进行简单的数据过滤,再将用户感兴趣的数据发送给网络数据包的重组模块进行分析。2)网络数据包重组模块主要接收网络数据包捕获模块简单过滤后的网络数据包,实现对接收到的网络数据包按网络应用层协议的重组。主要管理多个数据流协议还原重组器。其按照相同源IP地址和目的IP地址将数据包分配到同一个数据流协议还原重组器中,按照多种类型的协议对数据包进行拼接,并排除协商、应答、重传、包头等网络附加信息,最终实现信源数据的还原。具体的网络数据重组还原是通过基于应用层标志字符串进行的。具体实现过程中首先建立所有会话标志集合。会话标志包括会话开始标志、会话结束标志。会话开始标志对于一个应用协议必须是唯一的,即根据这些标志可以确定一个会话的开始。会话标志可以是一个特殊的字符串,也可以是应用协议的标志位。3)视频流标识字符串匹配过滤模块按照设定的有效视频流格式的标识字符串在还原的信源数据中进行匹配操作,如果找到说明相关的数据包属于此种格式的视频流,否则过滤除掉数据还原的信源数据相关的数据包。达到基于网络数据包内容进行视频流传输过滤的效果。
实施例2:
图2为基于网络数据包内容进行视频流传输过滤的方法流程图。具体的处理步骤如下:1)根据配置信息提取操作系统信息,如果是Windows操作系统采用基于Winpcap函数库开发的程序进行网络数据包捕获,如果是Linux系统采用基于libpcap开发包开发的程序进行网络数据包捕获。2)对于已经捕获的数据包根据数据包信息源主机IP,目标主机IP,服务协议端口等信息进行简单的数据过滤。3)对于简单过滤后的数据包根据依据会话开始标志判断属于哪个数据流协议还原重组器,如果是一个新的会话,初始化一个新的数据流协议还原重组器。4)对于数据包进入具体数据流协议还原重组器还原数据,主要工作排除协商、应答、重传、包头等网络附加信息,实现信源数据的还原。5)对于每一个数据包判断是否已经还原为一个基于会话的完整记录,如果是进行进一步的匹配过滤。否则等待下一个数据包处理。6)根据设定的有效视频流标识字符串与还原完整的数据记录字符串根据Aho-Corasic字符串匹配算法进行匹配。对于完整的数据记录匹配得到视频流标识字符串则将相关的数据包交由相应的视频监控软件进一步处理,否则滤除掉还原的完整数据包相关的数据包。
Claims (4)
1.一种基于网络数据包内容进行视频流传输过滤的方法,其特征在于,所述方法模块包括:
(1)网络数据包的捕获模块,完成网络数据包的捕获及简单过滤。
(2)网络数据包的重组模块,完成基于网络应用层协议的网络数据包重组。
(3)视频流标识字符串匹配过滤模块,根据设定的视频格式,提取视频流标识与重组后的网络数据包进行匹配,达到过滤数据包的作用。
2.根据权利要求1所述的一种基于网络数据包内容进行视频流传输过滤的方法,其特征在于,所述网络数据包的捕获模块特征包括:
(1)支持Windows、Linux操作系统的网络数据包捕获。
(2)具体Windows系统通过Winpcap函数库开发捕获数据包程序。
(3)具体Linux系统通过libpcap开发包开发捕获数据包程序。
(4)对于捕获得到的数据包根据数据信息源主机IP,目标主机IP,服务协议端口等信息进行简单的数据过滤。
(5)对于过滤后的数据送入网络数据包的重组模块进一步处理。
3.根据权利要求1所述的一种基于网络数据包内容进行视频流传输过滤的方法,其特征在于,所述网络数据包的重组模块特征包括:
(1)网络数据包重组模块通过管理多个数据流协议还原重组器完成数据包的重组。
(2)具体的数据流协议还原重组器指按照相同源IP地址和目的IP地址将数据包进行还原重组。
(3)数据流协议还原重组器是通过基于应用层标志字符串进行的。具体实现过程中依据会话开始标志。
(4)数据流协议还原重组器通过排除协商、应答、重传、包头等网络附加信息,实现信源数据的还原。
4.根据权利要求1所述的一种基于网络数据包内容进行视频流传输过滤的方法,其特征在于,所述视频流标识字符串匹配过滤模块特征包括:
(1)获取设定的视频流格式,提取视频流压缩标识,具体对于基于mpeg和H.264压缩的视频流提取了“起始码”字符串“0X 000001”作为压缩标识。
(2)在还原的信源数据中采用Aho-Corasic字符串匹配算法匹配设定的视频标识符。
(3)对于匹配结果,如果在信源数据中找到视频流压缩标识,则将信源数据相关的所有网络数据包传给相应的视频处理软件。否则过滤掉相应的所有网络数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100944286A CN101883081A (zh) | 2009-05-05 | 2009-05-05 | 一种基于网络数据包内容进行视频流传输过滤的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100944286A CN101883081A (zh) | 2009-05-05 | 2009-05-05 | 一种基于网络数据包内容进行视频流传输过滤的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101883081A true CN101883081A (zh) | 2010-11-10 |
Family
ID=43054972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100944286A Pending CN101883081A (zh) | 2009-05-05 | 2009-05-05 | 一种基于网络数据包内容进行视频流传输过滤的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101883081A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447878A (zh) * | 2011-12-23 | 2012-05-09 | 南京超然科技有限公司 | 一种电视墙服务器和录播服务器的远程截包方法 |
| CN103765821A (zh) * | 2011-03-25 | 2014-04-30 | QoSMOS公司 | 从ip网络流过的数据流中提取数据的方法和设备 |
| CN106533980A (zh) * | 2016-11-30 | 2017-03-22 | 浙江宇视科技有限公司 | 一种网络数据包处理方法及装置 |
| CN109086602A (zh) * | 2017-06-13 | 2018-12-25 | 中国移动通信集团四川有限公司 | 针对内核数据修改的拦截方法、装置及计算机存储介质 |
| CN109412981A (zh) * | 2018-11-09 | 2019-03-01 | 深圳市酷开网络科技有限公司 | 数据传输方法及其传输系统、数据还原方法及其还原系统 |
| CN112311717A (zh) * | 2019-07-24 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 网络数据恢复方法、装置、存储介质和计算机设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
| CN1614565A (zh) * | 2003-11-07 | 2005-05-11 | 趋势株式会社 | 数据包内容过滤装置及方法以及储存媒体 |
| CN101039254A (zh) * | 2006-03-15 | 2007-09-19 | 联想(北京)有限公司 | 一种媒体数据重组方法以及组包服务器 |
| US20070239999A1 (en) * | 2002-01-25 | 2007-10-11 | Andrew Honig | Systems and methods for adaptive model generation for detecting intrusions in computer systems |
-
2009
- 2009-05-05 CN CN2009100944286A patent/CN101883081A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070239999A1 (en) * | 2002-01-25 | 2007-10-11 | Andrew Honig | Systems and methods for adaptive model generation for detecting intrusions in computer systems |
| CN1614565A (zh) * | 2003-11-07 | 2005-05-11 | 趋势株式会社 | 数据包内容过滤装置及方法以及储存媒体 |
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
| CN101039254A (zh) * | 2006-03-15 | 2007-09-19 | 联想(北京)有限公司 | 一种媒体数据重组方法以及组包服务器 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103765821A (zh) * | 2011-03-25 | 2014-04-30 | QoSMOS公司 | 从ip网络流过的数据流中提取数据的方法和设备 |
| CN103765821B (zh) * | 2011-03-25 | 2017-03-22 | QoSMOS公司 | 从ip网络流过的数据流中提取数据的方法和设备 |
| CN102447878A (zh) * | 2011-12-23 | 2012-05-09 | 南京超然科技有限公司 | 一种电视墙服务器和录播服务器的远程截包方法 |
| CN106533980A (zh) * | 2016-11-30 | 2017-03-22 | 浙江宇视科技有限公司 | 一种网络数据包处理方法及装置 |
| CN106533980B (zh) * | 2016-11-30 | 2019-07-12 | 浙江宇视科技有限公司 | 一种网络数据包处理方法及装置 |
| CN109086602A (zh) * | 2017-06-13 | 2018-12-25 | 中国移动通信集团四川有限公司 | 针对内核数据修改的拦截方法、装置及计算机存储介质 |
| CN109412981A (zh) * | 2018-11-09 | 2019-03-01 | 深圳市酷开网络科技有限公司 | 数据传输方法及其传输系统、数据还原方法及其还原系统 |
| CN112311717A (zh) * | 2019-07-24 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 网络数据恢复方法、装置、存储介质和计算机设备 |
| CN112311717B (zh) * | 2019-07-24 | 2022-08-23 | 腾讯科技(深圳)有限公司 | 网络数据恢复方法、装置、存储介质和计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Salman et al. | A machine learning based framework for IoT device identification and abnormal traffic detection | |
| CN106034056B (zh) | 一种业务安全分析的方法和系统 | |
| EP2974144B1 (en) | System and method for extracting and preserving metadata for analyzing network communications | |
| CN103780610A (zh) | 基于协议特征的网络数据恢复方法 | |
| CN101883081A (zh) | 一种基于网络数据包内容进行视频流传输过滤的方法 | |
| US10498618B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
| CN104243477A (zh) | 基于xmpp协议实现的公安行业的数据采集方法及系统 | |
| CN107666486A (zh) | 一种基于报文协议特征的网络数据流恢复方法及系统 | |
| Tang et al. | A simple framework for distributed forensics | |
| Ren et al. | Distributed agent-based real time network intrusion forensics system architecture design | |
| CN108184091A (zh) | 一种视频监控设备部署方法及装置 | |
| Pluskal et al. | Netfox Detective: A tool for advanced network forensics analysis | |
| Salman et al. | Pushing intelligence to the network edge | |
| CN105530098B (zh) | 一种协议指纹自动提取方法及系统 | |
| Banu et al. | Monosek–a network packet processing system for analysis & detection of tcp xmas attack using pattern analysis | |
| Bijalwan et al. | Examining the Crimninology using Network Forensic | |
| Dagdee et al. | Intrusion attack pattern analysis and signature extraction for web services using honeypots | |
| Khan et al. | Embedding a covert channel in active network connections | |
| CN111131793A (zh) | 一种视频入网安全装置 | |
| CN102843689A (zh) | 一种无线局域网安全系统及其方法 | |
| Mohemmed Sha et al. | Forensic framework for skype communication | |
| CN114745175B (zh) | 一种基于注意力机制的网络恶意流量识别方法及系统 | |
| Ming et al. | A new system design of network invasion forensics | |
| Zhou et al. | Security issues and possible solutions in PACS systems through public networks | |
| Slay12 et al. | Voice over IP and forensics: A review of recent Australian work |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 650021, 1601, Jinlong mansion, dragon garden, 166 Weiyuan street, Yunnan, Kunming Applicant after: Yunnan Chi Schindler Technology Development Co. Ltd. Address before: Wuhua District of Yunnan city in Kunming Province Nanping Street 650021 No. 88 Century Square C2 building 15 floor A block Applicant before: Yunnan Chi Schindler Technology Development Co. Ltd. |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101110 |