CN105704126B - 一种基于水印的音频审计方法和系统 - Google Patents
一种基于水印的音频审计方法和系统 Download PDFInfo
- Publication number
- CN105704126B CN105704126B CN201610035147.3A CN201610035147A CN105704126B CN 105704126 B CN105704126 B CN 105704126B CN 201610035147 A CN201610035147 A CN 201610035147A CN 105704126 B CN105704126 B CN 105704126B
- Authority
- CN
- China
- Prior art keywords
- audio
- information
- watermark
- file
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000012550 audit Methods 0.000 claims abstract description 49
- 239000012634 fragment Substances 0.000 claims abstract description 27
- 238000013475 authorization Methods 0.000 claims abstract description 20
- 238000012545 processing Methods 0.000 claims abstract description 19
- 230000005540 biological transmission Effects 0.000 claims abstract description 17
- 238000005516 engineering process Methods 0.000 claims abstract description 13
- 230000006798 recombination Effects 0.000 claims abstract description 10
- 238000005215 recombination Methods 0.000 claims abstract description 10
- 238000012546 transfer Methods 0.000 claims description 11
- 238000011084 recovery Methods 0.000 claims description 8
- 230000006870 function Effects 0.000 claims description 6
- 238000007726 management method Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 238000009825 accumulation Methods 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 claims description 2
- 238000003032 molecular docking Methods 0.000 abstract description 3
- 230000009467 reduction Effects 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 13
- 241001310793 Podium Species 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G10—MUSICAL INSTRUMENTS; ACOUSTICS
- G10L—SPEECH ANALYSIS TECHNIQUES OR SPEECH SYNTHESIS; SPEECH RECOGNITION; SPEECH OR VOICE PROCESSING TECHNIQUES; SPEECH OR AUDIO CODING OR DECODING
- G10L19/00—Speech or audio signals analysis-synthesis techniques for redundancy reduction, e.g. in vocoders; Coding or decoding of speech or audio signals, using source filter models or psychoacoustic analysis
- G10L19/018—Audio watermarking, i.e. embedding inaudible data in the audio signal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- Acoustics & Sound (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于水印的音频审计方法和系统,属于信息安全技术领域。该方法包括:捕获流入或流出音频文件服务器的所有数据包,进行网络层IP协议及传输层TCP协议的解析,得到相关的网络传输信息;进行TCP重组,进行应用层协议的解析,得到有效音频片段,通过对有效音频片段进行水印解析,得到音频水印中包含的音频关键内容信息;与相关的身份认证系统对接,获取音频访问者的身份信息,构建包含访问者、访问行为、访问对象的完整审计链。该系统包括数据包捕获、TCP/IP协议处理、应用层协议处理、文件片段还原、水印解析、身份对接、系统管理与审计信息展示等模块。本发明可用于对嵌有水印的音频文件的内容审计。
Description
技术领域
本发明涉及信息安全领域,具体地说,涉及一种对嵌有水印的音频文件进行内容审计的方法和系统。
背景技术
当前,确保网络安全、建设网络强国、提升信息化水平、推进传统媒体与新兴媒体融合已成为重大国家战略,构建能够对音频进行集中存储、管理和共享的云计算平台是响应此战略的重要举措,云安全是此类音频云建设的一个重要关注点。音频云是以音频为核心的数据共享平台,因而需要以音频为保护核心,通过用户层和平台层安全防护来构建全面的安全管控体系。针对用户层安全防护,一方面需要对用户的身份和权限进行统一管理,确保用户的合法接入和合法访问;另一方面需要实时地对用户操作音频的行为进行审计,及时发现违规现象。针对平台层安全防护,一方面需要部署传统的安全设备(如防火墙、IPS(Intrusion Prevention System,入侵防御系统)、WAF(Web Application Firewall,Web应用防火墙)等)和制定相关安全策略,另一方面需要通过实时监控和深入分析音频的流转过程来深度挖掘云平台的安全隐患,以提高安全事故预防能力,提高事故响应、处理、恢复的速度,提高事后审查和恢复能力。因此,不论是用户层还是平台层,对音频进行安全审计都是其中的重要关注点。
一般来说,音频云中承载着多个应用,各类电台、专业或商业机构、团体或个人等海量用户通过互联网接入音频云中,音频的访问情况十分复杂。在音频云中,音频一般通过交换机流入或流出音频文件服务器,为了实现对音频的全面安全审计,不仅要运用基于网络旁路抓包的审计技术,捕获并分析流入或流出音频文件服务器的所有数据包,获取相关网络传输信息,实时记录音频在网络中的流转路径;还要能够对音频的关键内容进行快速审计,并获取访问者的身份信息,从而实时记录哪些用户访问了哪些类型、什么内容的音频,以便于及时发现违规访问行为。
现有的网络安全审计技术不适用于音频云环境,主要体现在以下两个方面:
(1)现有的网络安全审计技术大多对网络操作行为进行审计,而无法进行内容审计。少数可进行内容审计的技术采用的是基于关键词匹配的方法,需要将一个文件对应的数据包完全捕获并做完整拼接之后才能审计,效率很低。当其应用于内容不能直接获取的音频的审计时,还需要在得到完整的音频文件后,进行音频和文本之间的转换,然后再基于关键词匹配对文本内容进行审计,效率极低。
(2)现有的网络安全审计技术只能获取网络传输的相关信息,将访问行为、访问对象与某个IP相关联,而不能与访问者的身份信息相关联,无法形成用户访问音频的完整审计链。
在音频云中,为了进行版权保护和安全控制,在存储音频之前,可在音频中嵌入水印,来指代ID、版权、安全级别等音频关键内容信息。音频水印技术是指用信号处理的方法在数字化的音频数据中嵌入隐蔽的标记,这种标记通常是人耳不可感知的,只有通过专用的检测器或阅读器才能提取。音频水印一般具有以下两个特点:
(1)音频水印的长度是固定的(例如64bit),其中的比特位与音频的关键内容信息之间有明确的对应关系。
(2)为便于进行水印解析,且防止水印信息被完全篡改或破坏,音频水印不只是被嵌入在音频头或是音频的某个位置,而是被循环嵌入到音频中,因此只需要获取不少于特定长度(例如12s)的连续的音频数据,即可解析出完整的音频水印信息。
另外,为了进行身份管理和访问控制,音频云中一般部署有身份认证系统,该系统通常会将所有用户的登录、下线行为记录到日志信息中。
因此,可设计一种基于水印的音频审计方法,通过网络协议解析得到IP、端口号等网络传输信息,通过水印解析得到音频的关键内容信息,通过与相关的身份认证系统对接得到访问者的身份信息,最终实现对音频的全面内容审计。
发明内容
针对现有的网络安全审计技术应用于音频云环境的不足和缺陷,本发明提出一种基于水印的音频审计方法和系统,能够对嵌有水印的音频文件进行实时的、全面的内容审计,构建包含访问者、访问行为和访问对象的完整审计链。
本发明提出了一种基于水印的音频审计方法,捕获流入或流出音频文件服务器的所有数据包,解析其网络传输信息,解析音频中嵌有的水印信息,且将网络传输信息和访问者身份信息相关联,构建包含访问者、访问行为、访问对象的完整审计链。其步骤如图1所示,包括:
1)实时捕获流入或流出音频文件服务器的所有数据包,并将捕获到的数据包写入文件存储起来;
2)读取存有数据包的文件,进行网络层IP协议和传输层TCP协议的解析,得到相关的网络传输信息;再进行TCP重组,得到有序的TCP数据包;
3)依据NFS、CIFS、HTTP、FTP协议的报文格式规定,判断TCP重组后的数据包对应哪种应用层协议,然后进行应用层协议解析,得到相应的有效音频数据及相关信息;
4)接收应用层协议解析后得到的有效音频数据及相关信息,对不同的音频文件,开辟不同的缓冲区进行音频数据累积,直到整个音频文件接收完毕或者音频数据量达到预置大小,即得到该文件对应的有效音频片段,放入共享文件夹中存储;
5)读取共享文件夹中的有效音频片段,解析出其中的水印信息,并经过进一步分析后得出水印信息对应的音频关键内容信息;
6)与相关的身份认证系统对接,将已经获取到的网络传输信息与身份认证系统中的用户登录日志相关联,获取对应的音频访问者的身份信息;
7)将网络传输信息、音频关键内容信息、音频访问者的身份信息合为一条完整的审计信息,写入数据库中,并对数据库中的审计信息进行全方位展示。
更进一步,步骤1)通过下述方法实现对数据包的捕获和存储:
1)基于万兆网卡进行链路层的数据包捕获,通过零拷贝技术实现对数据包的高速捕获;
2)对于捕获到的数据包,采用内存映射文件的技术,多线程存储到多个文件中。
更进一步,步骤2)进行网络层IP协议解析得到的网络传输信息包括源IP、目的IP等,进行传输层TCP协议解析得到的网络传输信息包括源端口号、目的端口号等。
更进一步,步骤3)通过下述方法实现对NFS、CIFS、HTTP、FTP协议的解析:
1)NFS(Network File System,网络文件系统)协议是一种C/S架构的文件共享协议,通过RPC(Remote Procedure Call,远程过程调用)报文进行应答,TCP重组后的数据报文遵循RPC报文格式,因此通过对RPC报文进行分析得到有效音频数据。
2)CIFS(Common Internet File System,通用Internet文件系统)协议有通用的报文格式,以‘0xFF’‘S’‘M’‘B’作为引导字符。上传文件使用写命令SMB_COM_WRITE_ANDX,下载文件使用读命令SMB_COM_READ_ANDX。每次读写请求所能传输的最大阀值为一个确定值,如32768字节。因此需要先分多次进行数据报文解析,以偏移量offset标注,然后进行组装。
3)HTTP协议(HyperText Transfer Protocol,超文本传输协议)存在很多种应用报文类型,此处主要关注下载与上传文件报文。下载文件使用GET方法,一般采用多线程下载,因此先分析出多个线程片段,每个线程片段通过Content-Range进行标记,再进行拼凑组装。上传文件使用POST方法,通过比对文件分割符号boundary来提取实体,再分析实体得到文件片段数据。
4)FTP协议(File Transfer Protocol,文件传输协议)比较特殊的地方在于,通过两个连接来进行交互,分别为控制连接和数据连接。在主动模式下,服务器端的控制端口和数据端口是固定的;在被动模式下,服务器端的数据端口号是随机的。
更进一步,步骤4)音频数据累积时,接收音频数据量的预置大小为:确保水印能被成功解析的音频数据量的理论最小值。例如,若想确保水印成功解析,音频长度至少为12s;且若该方法运用于码率为128Kbps或256Kbps的音频,则接收音频数据量的预置大小为:长度12s、码率256Kbps的音频的理论数据量。
更进一步,步骤5)通过下述方法实现对音频关键内容信息的获取:
1)读取共享文件夹中的有效音频片段,解析出其中的水印信息,音频水印的长度是固定的,例如64bit;
2)基于音频水印中的比特位与音频的关键内容信息的对应关系,对音频水印的各比特位进行分析和映射,得到音频的关键内容信息。
更进一步,步骤6)通过下述方法实现对音频访问者的身份信息的获取:
1)确定相关的身份认证系统,根据系统的日志信息构建在线用户表,该表中存储的是当前在线的用户的相关登录信息;
2)音频上传时,终端IP对应网络传输信息中的源IP;音频下载时,终端IP对应目的IP;因此,通过数据库检索,找出在线用户表中的IP与网络传输信息中的源IP或目的IP对应相等的元组,即为“IP等值匹配元组”,IP等值匹配元组中的用户信息即是音频访问者的身份信息。
更进一步,步骤7)通过下述方式实现对审计信息的全方位展示:
1)以表的形式展示出所有被操作音频的关键内容信息和操作信息,支持针对媒资名称和采集者进行模糊查询;
2)支持查询某个用户在某个指定的时间段(例如30天内)对音频的操作情况,以柱状图的形式展示出该用户每天操作的音频数量,以饼状图的形式展示出该用户操作的音频的类别分布;
3)支持查询某个音频在某个指定的时间段(例如30天内)的被操作情况,以柱状图的形式展示出该音频每天被操作的次数,以饼状图的形式展示出该音频的操作来源分布。
本发明还提出一种基于水印的音频审计系统,其架构如图2所示,包括:数据包捕获模块、TCP/IP协议处理模块、应用层协议处理模块、文件片段还原模块、水印解析模块、身份对接模块、系统管理与审计信息展示模块。
所述数据包捕获模块实时捕获流入或流出音频文件服务器的所有数据包,并将其存储到文件中;
所述TCP/IP协议处理模块读取所述数据包捕获模块创建的文件,通过网络层IP协议解析和传输层TCP协议解析,获取相关网络传输信息;之后进行TCP重组,得到有序的TCP数据包;
所述应用层协议处理模块接收所述TCP/IP协议处理模块发送的有序TCP数据包,通过解析NFS、CIFS、HTTP、FTP这几种应用层协议,得到其中的有效音频数据及相关信息;
所述文件片段还原模块接收所述应用层协议处理模块发送的有效音频数据及相关信息,对不同的音频文件,开辟不同的缓冲区进行音频数据累积,直到整个音频文件接收完毕或者音频数据量达到预置大小,即得到有效音频片段,然后将其放入共享文件夹中存储;
所述水印解析模块读取共享文件夹中的有效音频片段,通过水印解析,并对音频水印进行进一步分析,得到音频的关键内容信息;
所述身份对接模块与相关的身份认证系统对接,获取音频访问者的身份信息;并将网络传输信息、音频关键内容信息、音频访问者的身份信息合为一条完整的审计信息,写入数据库中;
所述系统管理与审计信息展示模块提供系统管理功能,便于管理员对系统用户信息和配置信息进行管理;提供审计信息展示与查询功能,以表、柱状图、饼状图的形式对审计信息进行全方位展示。
和现有技术相比,本发明具有如下优势:
1.基于本发明的音频审计系统,基于万兆网卡、通过零拷贝技术来捕获数据包,采用内存映射文件的技术来存储数据包,可以实现对大量数据包的实时捕获和高速存储。
2.基于本发明的音频审计系统,通过水印解析技术实现对音频水印的快速解析,得到音频的关键内容信息,实现了针对音频的实时内容审计。
3.基于本发明的音频审计系统,通过与相关的身份认证系统对接,将已经获取到的网络传输信息与身份认证系统中的用户登录日志相关联,能够获取对应的音频访问者的身份信息,从而构建出包含访问者、访问行为、访问对象的完整审计链。
附图说明
图1是本发明音频审计方法的功能流程图;
图2是本发明音频审计系统的系统架构图。
具体实施方式
下面结合附图和具体实施实例对本发明做进一步详细的说明,但不以任何方式限制本发明的范围。
在本实施例中,文件服务器采用NAS(Network Attached Storage,网络附属存储)服务器,NAS和交换机的某个端口(例如,端口1)相连接,IP地址为192.168.119.178。本发明的音频审计系统部署到一个硬件设备中,该硬件设备具有一个网卡和两个网络接口,一个网络接口作为数据包捕获接口,和交换机的某个端口(例如,端口2)相连接,且对交换机进行配置,使端口2作为端口1的镜像端口;另一个网络接口和交换机相连接,使本发明的音频审计系统有确定的IP地址192.168.119.36,能够被远程访问。为了便于描述,将部署了音频审计系统的硬件设备称为“音频审计设备”。
本实施例在Linux客户端创建NFS挂载点,将NAS中的/nfs共享目录,挂载到Linux客户端的/home/zmj/nfs目录下;将Linux客户端中的音频文件“妈妈的吻.wav”拖入/home/zmj/nfs目录,即通过NFS协议实现该音频的上传。本发明的音频审计系统对该文件的审计过程如下。
1.音频“妈妈的吻.wav”分为多个数据包,经由交换机的端口1传输到NAS中。由于端口2为端口1的镜像端口,因此在不影响端口1的正常吞吐流量的情况下,音频“妈妈的吻.wav”对应的所有数据包将被复制到端口2,经由此端口传输到音频审计设备的数据包捕获接口,然后设备中的网卡将接收到这些数据包。之后,数据包捕获模块将进行数据包的捕获和存储:
(1)在内核中创建收包队列,将网卡接收的数据包通过DMA(Direct MemoryAccess,直接内存访问)的方式直接映射到内核的缓冲区;
(2)从收包队列中取出数据包,采用内存映射文件的技术,将数据包写入文件1映射的内存中,即实现了将音频“妈妈的吻.wav”对应的所有数据包存入文件1中。
2.TCP/IP协议处理模块读取文件1,进行网络层IP协议解析和传输层TCP协议解析,获取相关网络传输信息;然后进行TCP重组,得到有序的TCP数据包:
(1)获取当前时间(2015-12-3110:45:01);解析IP包头,得到源IP(192.168.111.14)、目的IP(192.168.119.178);
(2)解析TCP包头,得到源端口号(50591)、目的端口号(59183);对于已获取的网络传输信息,通过调用相关接口,传输给应用层协议处理模块;
(3)创建链表,链表的节点为TCP数据包中的应用数据;根据TCP包头中的顺序号、确认号进行TCP重组,将应用数据插入到链表中的相应位置;对于链表中已经排好序的节点,依次调用应用层协议处理模块的接口。
3.NFS客户端与服务器之间的通信基于RPC机制,客户端向服务器发送RPC请求,服务器对客户端身份进行验证,验证通过后进行RPC响应,最后将结果封装到应答消息中发送给客户端。应用层协议处理模块接收应用数据,获取有效音频数据:
(1)依据RPC请求报文、RPC响应报文的结构特点,判定应用数据对应NFS协议;
(2)对报文进行解析,去除RPC头部得到NFS数据,即得到有效音频数据,然后调用文件片段还原模块的接口;
(3)另外,对于接收到的网络传输信息,通过调用相关接口,传输给文件片段还原模块。
4.文件片段还原模块进行有效音频数据的累积,得到音频“妈妈的吻.wav”对应的连续12s音频片段,放入共享文件夹/results中:
(1)创建链表,链表的节点为有效音频数据;将接收到的有效音频数据按序插入到链表中的相应位置;
(2)“妈妈的吻.wav”码率为256Kbps,长度大于12s;该模块中接收音频数据量的预置大小为长度12s、码率256Kbps的音频的理论数据量384KB;因此,当链表数据大小达到384KB之后,不再向链表中插入新的数据;将链表中的数据按序组装,即得到“妈妈的吻.wav”对应的连续12s音频片段;
(3)将接收到的网络传输信息作为前缀添加到原有的文件名中,作为该12s音频片段的新文件名,并将音频片段存入共享文件夹/results中。前缀的结构如表1所示:
表1:文件名前缀的结构
因此,该12s音频片段的新文件名为“201512311045011921681110145059119216811917859183_妈妈的吻.wav”。
5.水印解析模块读取共享文件夹/results中的音频文件,获取音频水印对应的音频关键内容信息:
(1)调用水印解析算法,解析出的音频水印为64bit,二进制表示为“1110110100100011110011000011110010111010110011011111010100111010”;
(2)音频水印与音频关键内容信息之间的对应关系如表2所示:
表2:音频水印与音频关键内容信息之间的对应关系
根据音频水印与音频关键内容信息之间的对应关系,通过解析“妈妈的吻.wav”中的音频水印,得到的关键内容信息如表3所示:
表3:音频“妈妈的吻.wav”的关键内容信息
(3)调用身份对接模块的接口,将音频文件名和音频关键内容信息传输给身份对接模块。
6.身份对接模块与身份认证系统对接,获取访问者身份信息;并将网络传输信息、音频关键内容信息、音频访问者的身份信息合为一条完整的审计信息,写入数据库中。
身份对接的实现思想为:如果音频传输时的终端IP和某个(某些)在线用户的IP相等,则认为这个(这些)用户是音频访问者。基于该思想,通过“在线用户筛选”和“IP等值匹配”,可以实现网络审计信息与访问者身份信息的关联。
身份认证系统将用户登录行为和下线行为记录到登录日志表authentication_access中,该表的主要数据结构如表4所示。但该表数据量过多且快速增长,不利于检索,因此在身份认证系统数据库中创建新表online_record,记录在线用户,其数据结构如表5所示。在authentication_access表中设置关于INSERT的AFTER触发器,当authentication_access表插入新行后执行触发程序。触发程序实现,若authentication_access表插入的是用户的登录信息,则将登录信息插入到online_record表中;若authentication_access表插入的是用户的下线信息,则从online_record表中删除该用户对应的登录元组。则在任意时刻,online_record表中保存的都是该时刻在线用户的相关登录信息。
表4:身份认证系统中,登录日志表authentication_access的主要数据结构
字段名 | 类型 | 说明 |
Time | Datetime | 登录或下线时间 |
IPAddr | Varchar | 登录或下线IP |
MessageID | Integer | 行为标识,区分是登录行为还是下线行为 |
OrgNameID | Integer | 用户所属组织的ID |
OrgName | Varchar | 用户所属组织名 |
UserNameID | Integer | 用户ID |
UserName | Varchar | 用户名 |
表5:身份认证系统中,在线用户表online_record的数据结构
字段名 | 类型 | 说明 |
Time | Datetime | 登录时间 |
IPAddr | Varchar | 登录IP |
OrgNameID | Integer | 用户所属组织的ID |
OrgName | Varchar | 用户所属组织名 |
UserNameID | Integer | 用户ID |
UserName | Varchar | 用户名 |
本实施例中,身份对接模块的功能步骤为:
(1)解析音频文件名前缀,获取网络传输信息;
(2)判断出网络传输信息中的目的IP和NAS的IP相同,说明这是上传操作;
(3)找出在线用户表online_record中的IPAddr与网络传输信息中的源IP相等的元组,即为“IP等值匹配元组”;IP等值匹配元组中的UserName字段的值test即是音频“妈妈的吻.wav”的访问用户名;
(4)将音频ID“3392695”、音频名称“妈妈的吻_wav”、音频类型“素材”、采集者“李四”、编辑者“沈梦”、审核者“吕石”、安全级别“机密”、版权单位“深圳卫视”、版权期限“2028年6月”写入系统数据库mfshow的音频信息表media_info中,该表的数据结构如表6所示;将网络传输信息(传输时间“2015-12-3110:45:01”、源IP“192.168.111.14”、目的IP“192.168.119.178”、源端口号“50591”、目的端口号“59183”)、访问用户名“test”、访问类型“上传”写入系统数据库mfshow的音频传输信息表media_tranfer_info中,该表的数据结构如表7所示。
表6:音频审计系统中,音频信息表media_info的数据结构
字段名 | 类型 | 说明 |
MediaID | Integer | 音频的标识,主键 |
Name | Varchar | 音频的名称 |
Kind | Varchar | 音频的类型 |
Collector | Varchar | 音频的采集者 |
Editor | Varchar | 音频的编辑者 |
Auditor | Varchar | 音频的审核者 |
SecLevel | Varchar | 音频的安全级别 |
CprightUnit | Varchar | 音频的版权单位 |
CprightTerm | Varchar | 音频的版权期限 |
表7:音频审计系统中,音频传输信息表media_tranfer_info的数据结构
字段名 | 类型 | 说明 |
ID | Integer | 传输信息的标识,由1开始递增,主键 |
MediaID | Integer | 音频的标识,外键 |
TransTime | Varchar | 传输时间 |
SourceIP | Varchar | 源IP |
DestIP | Varchar | 目的IP |
SourcePort | Varchar | 源端口号 |
DestPort | Varchar | 目的端口号 |
OperName | Varchar | 访问用户名 |
OperType | Varchar | 访问类型(上传或下载) |
7.系统管理与审计信息展示模块提供系统管理功能,便于管理员对系统用户信息和配置信息进行管理;提供审计信息展示与查询功能,以表、柱状图、饼状图的形式对审计信息进行全方位展示。可通过在浏览器中输入http://192.168.119.36:8080/mfshow/来进行系统管理及审计信息查询。
从本实施例可以看出,本系统运用基于网络旁路抓包的审计技术,实现对网络传输信息的记录和文件片段还原;运用水印解析技术,实现对音频关键内容信息的实时获取;与身份认证系统对接,获取访问者的身份信息,构建完整审计链,并全方位展示审计记录。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (9)
1.一种基于水印的音频审计方法,其特征在于,包括如下步骤:
1)实时捕获流入或流出音频文件服务器的所有数据包,并将捕获到的数据包存储到文件中;
2)读取存有数据包的文件,进行网络层IP协议和传输层TCP协议的解析,得到相关的网络传输信息;再进行TCP重组,得到有序的TCP数据包;
3)依据NFS、CIFS、HTTP、FTP协议的报文格式规定,判断TCP重组后的数据包所对应的应用层协议,然后进行应用层协议解析,得到相应的有效音频数据及相关信息;
4)接收应用层协议解析后得到的有效音频数据及相关信息,对不同的音频文件,开辟不同的缓冲区进行音频数据累积,直到整个音频文件接收完毕或者音频数据量达到预置大小,即得到该文件对应的有效音频片段,放入共享文件夹中存储;
5)读取共享文件夹中的有效音频片段,解析出其中的水印信息,并基于音频水印中的比特位与音频的关键内容信息的对应关系,对音频水印的各比特位进行分析和映射,得出水印信息对应的音频关键内容信息;
6)与相关的身份认证系统对接,将已经获取到的网络传输信息与身份认证系统中的用户登录日志相关联,采用以下步骤获取对应的音频访问者的身份信息:
(1)确定相关的身份认证系统,根据系统的日志信息构建在线用户表,该表中存储的是当前在线的用户的相关登录信息;
(2)音频上传时,终端IP对应网络传输信息中的源IP;音频下载时,终端IP对应目的IP;因此,通过数据库检索,找出在线用户表中的IP与网络传输信息中的源IP或目的IP对应相等的元组,即为IP等值匹配元组,IP等值匹配元组中的用户信息即是音频访问者的身份信息;
7)将网络传输信息、音频关键内容信息、音频访问者的身份信息合为一条完整的审计信息,写入数据库中,并对数据库中的审计信息进行全方位展示。
2.如权利要求1所述的基于水印的音频审计方法,其特征在于,步骤1)通过下述方法实现对数据包的捕获和存储:
(1)基于万兆网卡进行链路层的数据包捕获,通过零拷贝技术实现对数据包的高速捕获;
(2)对于捕获到的数据包,采用内存映射文件的技术,多线程存储到多个文件中。
3.如权利要求1所述的基于水印的音频审计方法,其特征在于,步骤2)进行网络层IP协议解析得到的网络传输信息包括源IP、目的IP,进行传输层TCP协议解析得到的网络传输信息包括源端口号、目的端口号。
4.如权利要求1所述的基于水印的音频审计方法,其特征在于,步骤3)通过下述方法实现对NFS、CIFS、HTTP、FTP协议的解析:
(1)NFS协议是一种C/S架构的文件共享协议,通过RPC报文进行应答,TCP重组后的数据报文遵循RPC报文格式,因此通过对RPC报文进行分析得到有效音频数据;
(2)CIFS协议有通用的报文格式,以‘0xFF’‘S’‘M’‘B’作为引导字符,上传文件使用写命令SMB_COM_WRITE_ANDX,下载文件使用读命令SMB_COM_READ_ANDX,每次读写请求所能传输的最大阀值为一个确定值,因此需要先分多次进行数据报文解析,以偏移量offset标注,然后进行组装;
(3)对于HTTP协议主要关注下载与上传文件报文,下载文件使用GET方法,一般采用多线程下载,因此先分析出多个线程片段,每个线程片段通过Content-Range进行标记,再进行拼凑组装;上传文件使用POST方法,通过比对文件分割符号boundary来提取实体,再分析实体得到文件片段数据;
(4)FTP协议通过两个连接来进行交互,分别为控制连接和数据连接;在主动模式下,服务器端的控制端口和数据端口是固定的;在被动模式下,服务器端的数据端口号是随机的。
5.如权利要求1所述的基于水印的音频审计方法,其特征在于,步骤4)在音频数据累积时,接收音频数据量的预置大小为:确保水印能被成功解析的音频数据量的理论最小值。
6.如权利要求1所述的基于水印的音频审计方法,其特征在于,步骤5)读取共享文件夹中的有效音频片段,解析出其中的水印信息,音频水印的长度是固定的。
7.如权利要求1所述的基于水印的音频审计方法,其特征在于,步骤7)通过下述方式实现对审计信息的全方位展示:
(1)以表的形式展示出所有被操作音频的关键内容信息和操作信息,支持针对媒资名称和采集者进行模糊查询;
(2)支持查询某个用户在某个指定的时间段对音频的操作情况,以柱状图的形式展示出该用户每天操作的音频数量,以饼状图的形式展示出该用户操作的音频的类别分布;
(3)支持查询某个音频在某个指定的时间段的被操作情况,以柱状图的形式展示出该音频每天被操作的次数,以饼状图的形式展示出该音频的操作来源分布。
8.一种基于水印的音频审计系统,其特征在于,包括数据包捕获模块、TCP/IP协议处理模块、应用层协议处理模块文件片段还原模块、水印解析模块、身份对接模块、系统管理与审计信息展示模块;
所述数据包捕获模块实时捕获流入或流出音频文件服务器的所有数据包,并将其存储到文件中;
所述TCP/IP协议处理模块读取所述数据包捕获模块创建的文件,通过网络层IP协议解析和传输层TCP协议解析,获取相关网络传输信息;之后进行TCP重组,得到有序的TCP数据包;
所述应用层协议处理模块接收所述TCP/IP协议处理模块发送的有序TCP数据包,通过解析应用层NFS、CIFS、HTTP、FTP协议,得到其中的有效音频数据及相关信息;
所述文件片段还原模块接收所述应用层协议处理模块发送的有效音频数据及相关信息,对不同的音频文件开辟不同的缓冲区进行音频数据累积,直到整个音频文件接收完毕或者音频数据量达到预置大小,即得到有效音频片段,然后将其放入共享文件夹中存储;
所述水印解析模块读取共享文件夹中的有效音频片段,通过水印解析,并基于音频水印中的比特位与音频的关键内容信息的对应关系,对音频水印的各比特位进行分析和映射,得到音频的关键内容信息;
所述身份对接模块与相关的身份认证系统对接,获取音频访问者的身份信息;并将网络传输信息、音频关键内容信息、音频访问者的身份信息合为一条完整的审计信息,写入数据库中;所述获取音频访问者的身份信息的方法是:(1)确定相关的身份认证系统,根据系统的日志信息构建在线用户表,该表中存储的是当前在线的用户的相关登录信息;(2)音频上传时,终端IP对应网络传输信息中的源IP;音频下载时,终端IP对应目的IP;因此,通过数据库检索,找出在线用户表中的IP与网络传输信息中的源IP或目的IP对应相等的元组,即为IP等值匹配元组,IP等值匹配元组中的用户信息即是音频访问者的身份信息;
所述系统管理与审计信息展示模块提供系统管理功能,便于管理员对系统用户信息和配置信息进行管理;并提供审计信息展示与查询功能,对审计信息进行全方位展示。
9.如权利要求8所述的基于水印的音频审计系统,其特征在于,所述系统管理与审计信息展示模块以表、柱状图、饼状图的形式对审计信息进行全方位展示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610035147.3A CN105704126B (zh) | 2016-01-19 | 2016-01-19 | 一种基于水印的音频审计方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610035147.3A CN105704126B (zh) | 2016-01-19 | 2016-01-19 | 一种基于水印的音频审计方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105704126A CN105704126A (zh) | 2016-06-22 |
CN105704126B true CN105704126B (zh) | 2018-11-20 |
Family
ID=56226650
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610035147.3A Expired - Fee Related CN105704126B (zh) | 2016-01-19 | 2016-01-19 | 一种基于水印的音频审计方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105704126B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108809899A (zh) * | 2017-05-02 | 2018-11-13 | 四川秘无痕信息安全技术有限责任公司 | 一种针对ftp数据包进行核查的方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101426008A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种基于回显的审计方法及系统 |
CN101950296A (zh) * | 2010-08-24 | 2011-01-19 | 中国科学院深圳先进技术研究院 | 云数据审计的方法及系统 |
CN104079448A (zh) * | 2014-05-05 | 2014-10-01 | 北京华博科讯信息技术有限公司 | 一种基于网络监控的VoIP音视频审计方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070230486A1 (en) * | 2006-03-29 | 2007-10-04 | Emile Zafirov | Communication and compliance monitoring system |
-
2016
- 2016-01-19 CN CN201610035147.3A patent/CN105704126B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101426008A (zh) * | 2007-10-30 | 2009-05-06 | 北京启明星辰信息技术有限公司 | 一种基于回显的审计方法及系统 |
CN101950296A (zh) * | 2010-08-24 | 2011-01-19 | 中国科学院深圳先进技术研究院 | 云数据审计的方法及系统 |
CN104079448A (zh) * | 2014-05-05 | 2014-10-01 | 北京华博科讯信息技术有限公司 | 一种基于网络监控的VoIP音视频审计方法 |
Non-Patent Citations (1)
Title |
---|
《音频数字水印在版权保护中的应用》;于晓敏;《微计算机信息》;20071231;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN105704126A (zh) | 2016-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105933268B (zh) | 一种基于全量访问日志分析的网站后门检测方法及装置 | |
CN101635730B (zh) | 中小企业内网信息安全托管方法与系统 | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
CN101610264B (zh) | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 | |
CN104378283B (zh) | 一种基于客户端/服务器模式的敏感邮件过滤系统及方法 | |
CN110650128B (zh) | 一种检测以太坊数字货币盗取攻击的系统及方法 | |
CN103825887B (zh) | 基于https加密的网站过滤方法和系统 | |
CN110677381B (zh) | 渗透测试的方法及装置、存储介质、电子装置 | |
CN110505235A (zh) | 一种绕过云waf的恶意请求的检测系统及方法 | |
CN102394885B (zh) | 基于数据流的信息分类防护自动化核查方法 | |
CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
CN106789980A (zh) | 一种网站合法性的安全监管方法和装置 | |
CN105103496A (zh) | 用于提取和保存用于分析网络通信的元数据的系统和方法 | |
CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的系统与方法 | |
Singh et al. | An approach to understand the end user behavior through log analysis | |
CN108712426A (zh) | 基于用户行为埋点的爬虫识别方法及系统 | |
CN103914655A (zh) | 一种检测下载文件安全性的方法及装置 | |
CN103067387B (zh) | 一种反钓鱼监测系统和方法 | |
Actoriano et al. | Forensic Investigation on WhatsApp Web Using Framework Integrated Digital Forensic Investigation Framework Version 2 | |
CN107818132A (zh) | 一种基于机器学习的网页代理发现方法 | |
CN106941476A (zh) | 一种sftp数据采集及审计的方法及系统 | |
CN102271331B (zh) | 一种检测业务提供商sp站点可靠性的方法及系统 | |
CN105704126B (zh) | 一种基于水印的音频审计方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181120 Termination date: 20190119 |
|
CF01 | Termination of patent right due to non-payment of annual fee |