CN106789935B - 一种终端异常检测方法 - Google Patents

Abstract

本发明提供一种终端异常检测方法，属于专网接入设备监控管理技术领域，视频专网接入至少一个视频监控设备；每个视频监控设备分别具有一唯一的设备指纹，设备指纹为与视频监控设备的操作系统相对应的特征项集合；于检测方法之前建立指纹样本库，预设至少一条决策规则并定义每条决策规则的波动范围根据决策规则通过决策树算法得到检测模型；包括：采集新接入视频专网的视频监控设备的设备指纹；根据检测模型检测新接入视频专网的视频监控设备是否运行正常，并在新接入视频专网的视频监控设备运行异常时输出检测结果以及告警提示。本发明的有益效果：确保可信终端被安全、高效地接入到视频专网中，及时检测出异常设备。

Description

一种终端异常检测方法

技术领域

本发明涉及专网接入设备监控管理技术领域，尤其涉及一种终端异常检测方法。

背景技术

随着视频监控技术的发展，视频专网在各行业的实际业务中起到越来越重要的作用。但视频专网中大量的视频监控设备部署在公共区域，其安全性、可靠性并不能得到很好的保障。一旦发生入侵事件，视频专网资源的安全将得不到保障，并由此可能会导致公民的隐私外泄等严重问题。近年来公共领域的安全事件频繁发生，涉及公民隐私的视频被曝光到互联网上；更为严重的比如2015年2月，某地某部门发布的通知称，其视频专网的部分视频监控设备被境外IP地址控制，要求各地立即进行全面清查，并开展安全加固，消除安全漏洞。因此，研究可靠的视频专网入网检测技术具有重要的意义和价值。

视频监控设备以及视频监控系统组成的视频专网，在打击犯罪、现场取证、社会治安、维护社会稳定和快速准确处理突发事件的实战中起到了重要的作用，提升了效率。鉴于视频专网在联网技术普及的今天，保护好视频专网中的敏感数据安全和视频专网的系统的安全变得极为重要。

如图1所示，是视频专网所处的网络拓扑结构示意图。视频专网1和内网2是属于不同密级的网域，其中内网2属于更高密级的网域，需要使用视频边界接入平台3对接。视频边界接入平台3依据视频边界接入规范研发，是发展相对成熟的技术。视频边界接入平台3是严格按照边界接入规范研制的三部件产品，包含视频前置设备认证服务器(图中未示出)、视频后置用户认证服务器(图中未示出)和视频安全隔离网闸(图中未示出)。该视频边界接入平台3通过视频信令双向、视频码流单向入内网2的机制保障了内网2的数据安全。其中，视频专网1中普清摄像头4和/或高清的摄像头5、多路汇聚设备6、交换机7(设有防火墙)、汇聚路由器8、视频流媒体服务器9、视频应用服务器10、视频存储服务器11、数据库12、视频会议端13、指挥中心端14等专用或通用设备都有自身的特定操作系统，包含了通用操作系统的基本特征。其中，汇聚路由器8通过接入路由器15连接所述视频边界接入平台3。

视频专网与不同等级网域之间存在物理上的边界，通过视频边界接入平台能很好的做到安全接入控制。但是在视频专网内部很难找到一个物理上的边界。视频专网本身在安全方面面临的挑战是多方面的，大致上可以分为管理方面和技术方面。管理方面的安全挑战主要包含人员操作失误、人员违规操作、合法用户越权操作、管理制度不健全执行不到位等。技术方面的安全挑战包含非法入侵的威胁、视频专网内部软硬件的安全风险、视频数据传输、存储安全风险等。视频专网的信息安全体系同样遵循“木桶理论”，整个视频专网的安全取决于最短的那块“板”。分析视频专网的网络拓扑，其中视频采集摄像头(普清摄像头和/或高清的摄像头)等视频监控设备因为部署在公共区域，更容易成为安全短板。

如何确保可信终端被安全、高效地接入到视频专网中是目前亟需解决的问题。

发明内容

针对现有技术中存在的无法检测并避免非法终端接入视频专网的问题，本发明提供了一种终端异常检测方法。

本发明采用如下技术方案：

一种终端异常检测方法，适用于视频专网的入网检测，所述视频专网接入至少一个视频监控设备；每个所述视频监控设备分别具有一唯一的设备指纹，所述设备指纹为与所述视频监控设备的操作系统相对应的特征项集合；

于所述检测方法之前采集至少一个所述视频监控设备的所述设备指纹并建立一指纹样本库，预设至少一条决策规则，根据所述指纹样本库定义每条所述决策规则的波动范围，所述操作系统正常运行时的相关数据位于所述波动范围内，并根据所述决策规则通过决策树算法得到一检测模型；所述方法包括：

步骤S1、采集新接入所述视频专网的所述视频监控设备的所述设备指纹；

步骤S2、根据所述检测模型检测新接入所述视频专网的所述视频监控设备是否运行正常，并在所述视频监控设备运行异常时输出检测结果以及告警提示。

优选的，将所述步骤S1中采集到的新接入所述视频专网的所述视频监控设备的所述设备指纹添加到所述指纹样本库中。

优选的，所述特征项集合中的特征项分别对应所述视频监控设备的不同属性。

优选的，所述特征项集合中包括多个不同属性的特征项，所述特征项包括静态特征和动态特征；

所述指纹样本库包括所述视频监控设备运行正常时的静态特征、和所述视频监控设备运行正常时的动态特征的波动范围，以及

所述视频监控设备运行异常时的所述静态特征，和所述视频监控设备运行异常时的所述动态特征的波动范围。

优选的，所述静态特征包括：

所述视频监控设备的设备类型信息，和/或

所述视频监控设备的操作系统信息，和/或

所述视频监控设备中安装的软件信息。

优选的，所述动态特征的合理范围包括：

所述视频监控设备的IP地址规划范围，和/或

所述视频监控设备运行时使用的端口号列表，和/或

所述视频监控设备运行时的服务进程列表，和/或

所述视频监控设备在正常运行时的内存使用范围，和/或

所述视频监控设备在正常运行时的CPU使用率合理范围。

优选的，采用主动轮训采集和引导轮询采集两种方式采集所述视频监控设备的所述设备指纹。

本发明的有益效果是：通过对设备指纹的决策树算法及时检测出视频专网中的非信任设备，并告警，为防止非法入侵和避免视频专网数据泄露起到重要作用。

附图说明

图1为现有技术中视频专网所处的网络拓扑结构示意图；

图2为本发明的一种优选的实施例中，视频专网所处的网络拓扑结构示意图；

图3为本发明的一种优选实施例中，终端异常检测方法的流程图；

图4为本发明的一种优选实施例中，主动轮训采集的流程图。

具体实施方式

需要说明的是，在不冲突的情况下，下述技术方案，技术特征之间可以相互组合。

下面结合附图对本发明的具体实施方式作进一步的说明：

如图2-3所示，一种终端异常检测方法，适用于视频专网的入网检测，视频专网接入至少一个视频监控设备；每个视频监控设备分别具有一唯一的设备指纹，设备指纹为与视频监控设备的操作系统相对应的特征项集合；

于检测方法之前采集至少一个视频监控设备的设备指纹并建立一指纹样本库，预设至少一条决策规则，根据指纹样本库定义每条决策规则的波动范围，操作系统正常运行时的相关数据位于波动范围内，并根据决策规则通过决策树算法得到一检测模型；方法包括：

步骤S1、采集新接入视频专网的视频监控设备的设备指纹；

步骤S2、根据检测模型检测新接入视频专网的视频监控设备是否运行正常，并在新接入视频专网的视频监控设备运行异常时输出检测结果以及告警提示。

在本实施例中，视频专网1的入网检测服务器16在专网系统中的位置如图2所示，其作用是扫描视频专网中的所有设备，监控专网中的所有设备运行情况，对于存在异常行为的或被替换的设备及时告警。视频专网设备指纹(device fingerprint，DEV_fingerprint)采集分为主动轮询采集和引导轮询采集两种方式。视频专网1中普清摄像头4和/或高清的摄像头5、多路汇聚设备6、交换机7(设有防火墙)、汇聚路由器8、视频流媒体服务器9、视频应用服务器10、视频存储服务器11、数据库12、视频会议端13、指挥中心端14等专用或通用设备都有自身的特定操作系统，包含了通用操作系统的基本特征。

设备指纹设计如下：

不同类型的网络操作系统在处理网络数据时有各自的特征，这种各自的特征称为操作系统指纹。依据不用操作系统版本TCP/UDP协议栈、ICMP协议栈不同的特点，分析设备向网络发送的数据报文中的SYN，ACK，URG，PSH，FIN等标记、TCP分段响应信息、ICMP响应信息、初始化序列号I SN等信息，推断出发送数据报文的设备的操作系统。这种分析网络主机使用的操作系统的行为称为网络扫描。

简单网络管理协议(Simple Network Management Protocol，SNMP)是一种最为广泛使用的简单网络管理协议，主要由两大部分构成：SNMP管理站和SNMP代理。管理站是一个中心节点，负责收集维护各个SNMP元素的信息；代理运行在各个被管理的网络节点之上，负责统计该节点的各项信息，并且负责与管理站交互，接收并执行管理站下发的命令，上传各种本地的设备信息。管理站利用SNMP用户名和密钥登陆到SNMP的代理设备上，并通过SNMP协议定义好的对象标识符(Object Identifier，OID)获取设备上的系统内存信息、系统用户数、磁盘类型和总容量、网络接口信息描述等信息，通过运算得到我们关心的设备单位时间平均CPU使用率、磁盘使用信息、内存使用信息、网络接口信息描述作为视频专网设备指纹的特征项。

现有技术中的的主流IP监控摄像头，大部分是支持SNMP协议的，仅有个别的摄像头不支持。对于不支持SNMP协议的摄像头，设备指纹的特征项就只包含操作系统指纹部分；对于支持的SNMP协议的摄像头，只需在设备上部署SNMP代理，它以工作站方式驻留在设备上，响应入网检测服务器16的请求，并为请求端提供设备数据信息。

根据操作系统指纹和SNMP网络设备管理信息的相关内容设计视频监控设备的设备指纹。如下表1所示，设备指纹包含以下几个维度的特征，特征项集合中的特征项分别对应视频监控设备的不同属性也即下表中的不同维度。特征项集合中预留可以扩充的选项：

表1设备指纹的维度

设备指纹采集方法如下：

视频专网设备指纹DEV_fingerprint采集分为主动轮询采集和引导轮询采集两种方式。

图4是视频专网的设备指纹主动轮询采集流程，描述了监控方主动获取视频专网上的视频监控设备的相关信息过程。视频专网1发现有在线设备接入后对接入的在线设备进行网络扫描获取SNMP信息从而获取设备信息。网络扫描过程为初始化扫描变量，打开libcap，设置filter，进行包的嗅探，判断扫描是否完毕，如果判断结果为是或扫描次数大于阈值则扫描完成，如果判断结果为否则做顺序产生侧石Sequence test以及做TCP/UDP/ICMP测试。SNMP信息获取过程为通过SNMP用户名和秘钥登录设备代理，判断登录是否成功，如果判断结果为是则依据SNMP协议OID获取设备信息后SNMP信息获取完成，如果判断结果为否则SNMP信息获取完成。

被动轮询采集会导致信息数据非实时的问题，这里引入了接入时引导和陷阱Trap引导轮询技术。接入时引导采集即当一个摄像头和专网发生首次通讯时，通过图2中的交换机7或防火墙通知入网检测服务器16，引导入网检测服务器16对该设备进行信息采集。在配置了SNMP代理的设备上开启SNMP陷阱引导轮询技术即每个SNMP代理负责向管理工作站报告异常事件的Trap消息报告，当管理站发现Trap消息报告时针对发出异常报告的设备进行网络扫描，获取设备信息。接入时引导和陷阱引导轮询技术可以提高设备信息数据的实时性。

设备指纹存储方法如下：

一、样本库sample DB

在一个视频专网中使用的IP监控摄像头可能来至不同的厂家，不同厂家的设备在系统硬件配置上差别较大，因此设备指纹也有很大的差别。根据视频专网使用的设备类型建立设备指纹样本库。设备指纹样本库包含了该设备静态特征：设备类型、操作系统信息、安装的软件信息；以及设备指纹动态特征的合理范围：IP地址规划范围、设备运行时使用的端口号列表、服务进程列表、正常状态下内存使用范围、CPU使用率合理范围等。同时样本库中需要增加非法接入设备的设备指纹条目案例。

二、采集设备运行时的动态指纹信息库dynamic info DB

依据视频专网的IP地址规划按上文中的主动轮询采集和引导轮询采集技术对整个专网中的摄像头进行网络扫描。获取设备运行时的信息内容尽可能多得包含表1中所列的各项特征值，并对信息进行整理存入数据库dynamic info DB中。借鉴开源网络扫描软件NMAP思想在其操作系统指纹库的基础上构建设备指纹库DEV_fingerprint_DB和设备网络服务指纹库DEV_SERVICE_PROBES，通过将获取目标设备的网络回馈报文和该已知库中指纹对比，输出目标设备的探测结果即设备指纹，并根据设备的MAC地址建立历史信息记录。动态设备指纹因为设备IP，MAC等可能存在变动，以及网络扫描受到网络状况的制约，可能导致设备指纹数据的小量偏差。

三、可扩充安全检测规则库security rule DB

设置IP摄像头的设备指纹安全检测规则库，该安全检测规则是可以扩充的，本发明的技术方案中包括以下安全检测规则，规则中阐述的合理范围是指样本库sample DB中定义的范围。

1)视频监控设备的操作系统类别是否超出合理范围；

2)视频监控设备的服务进程是否超出合理范围；

3)视频监控设备的端口使用是否超出合理范围；

4)视频监控设备的设备上安装的软件是否超出合理范围；

5)视频监控设备的端口和进程对应关系是否超出合理范围；

6)视频监控设备的网络间距是否超出合理范围；

7)视频监控设备的IP地址是否超出合理范围；

8)视频监控设备的SNMP信息是否能获取；

9)视频监控设备的IP地址和MAC地址是否出现变化；

10)视频监控设备的内存使用是否超出合理范围；

11)视频监控设备的磁盘使用是否超出合理范围；

12)视频监控设备的单位时间内CPU使用是否超出合理范围；

13)视频监控设备的单位时间内网络吞吐数据是否超出合理范围；

14)视频监控设备的操作系统版本信息是否超出合理范围。

上述安全策略库的规则可以根据实际运用情况来扩充或删减条目。

根据决策树算法得到检测模型方法如下：

视频专网入网检测利用设备指纹DEV_fingerprint采集技术发现专网中存在入侵行为或被攻击控制迹象的设备。视频专网入网检测是一种主动防御的系统，要求能及时主动地发现非法入侵，以及相应的告警提示采取应急措施。

设备异常接入入侵检测算法可以快速检测系统是否存在入侵行为，能降低检测的漏报率和误报情况。异常检查算法包含关联规则、聚类、支持向量机、决策树算法。异常检查算法是通过建立一个设备主体正常行为的模型，将攻击行为作为异常活动从大量的正常活动中检测出来，达到识别攻击行为的目的。本研究正是要从大量的设备指纹中能快速准确找到异常设备指纹，告警提示管理员利用防火墙等安全组件限制该设备在整个专网中的行为能力，阻止该设备获取有价值的数据。设计基于设备指纹的数据模型，选用异常检查算法中的决策树算法进行视频专网设备的异常接入检测。

决策树算法对要处理的数据分类精度高，对噪声数据的抗干扰能力强。常用的决策树算法主要有ID3、C4.5、CART算法，对处理的数据空间划分依据是信息熵、信息增益、信息增益比率。

1)信息熵

用于解决对系统信息的度量量化问题，可以理解为信息量。信息量只能反映符号的不确定性，而信息熵可以用来度量整个信源X整体的不确定性。设某事物具有n种相互独立的可能状态：x₁,x₂,…,x_n，每种状态出现的概率分别为P(x₁),P(x₂),…P(x_n)，并且

那么，该事物所具有的信息熵为：

2)信息增益

信息增益是针对每一个特征属性而言的，就是看一个属性A，系统有它和没它的时候信息量各是多少，两者的差值就是这个属性给系统带来的信息量，即信息增益。一个属性A相对样例集合X的信息增益Gain(X,A)被定义为：

其中V(A)是属性A所有可能值的集合，X_v是X中属性A的值为v的子集，|X_v|和|X|分别表示集合中记录的个数。Gain(X,A)是由于给定属性A的值而得到的关于目标值的信息增益。

3)增益比率

使用信息增益的划分方法，存在由划分个数引起的偏置问题。假设某个属性存在大量不同值，在划分时将每个值成为一个结点。增益比率度量是用前面的增益度量Gain(X，A)和分裂信息度量SplitInformation(X，A)来共同定义的，如下所示：

其中，分裂信息度量被定义为：

其中X₁到是X_c个值的属性A分割X而形成的c个样例子集，|X_i|和|X|分别表示集合中记录的个数，分裂信息实际上就是X关于属性A的各值的信息熵。

这里使用决策树算法依据安全规则库security rule DB，将设备运行时指纹的动态信息库dynamic info DB进行分割，每个叶子结点中的设备指纹记录将越来越相似。以dynamic info DB动态采集的指纹库为训练数据集D，security rule DB中的每一条规则rule为一个属性，使用决策树算法创建决策树。

根据检测模型判断新接入的视频监控设备的类型。

上图是动态DEV_fingerprint信息库决策树分类算法模型，具体过程如下：

定义：

1)决策规则rule(rule₁,rule₂,...,rule_m)，决策规则rule的所有可能性值组成设备指纹记录特征集A；

2)训练数据集为动态采集的指纹库dynamic_DB(data₁,data₂,...,data_n)，data_i为一条设备指纹记录，初始化k条相同属性的记录类C_k,k＝1,2,...,k；

3)在叶子结点中的1条或多条记录集合(data_i,...,data_j)具有相同或类似的特征属性；

4)信息增益阈值ε。

决策树分类算法，建立决策树T(DEV_fingerprint Decision Tree)：

1)如果dynamic_DB中所有记录属于同一类C_k，那么T为单结点树，并把类C_k作为该结点的类标记，返回T；

2)如果A＝Φ，那么T为单结点树，并将dynamic_DB中实例数最大的类C_k作为该结点的类标记，返回T；

3)否者按照公式(3)计算A中各特征对dynamic_DB的信息增益，选择信息增益最大的特征A_g；

4)如果A_g的信息增益小于定义的阈值ε，那么T为单结点树，并将dynamic_DB中实例数最大的类C_k作为该结点的类标记，返回T；否者，对A_g的每一可能值a_i，依据A_g＝a_i对dynamic_DB分割为若干非空子集dynamic_DB[i]，将dynamic_DB[i]中记录数最大的类作为标记，构建子结点，由结点和其子结点构成树T，返回T；

5)对于第i个子结点，以dynamic_DB[i]为训练集，以A-A_g为特征集，递归调用1)步-4)步得到子树T_i，返回T_i给上一层递归调用。

综上，本发明以一个小型局域网为模拟实验环境，环境中有不同类型的IP监控摄像头、电脑、虚拟机。第一步：采集该环境中的现有设备的设备指纹、建立样本库；并在样本库中增加模拟的被入侵电脑PC1、被替换电脑PC2、被控制IP camera 1的设备指纹数据。第二步：针对规则库security rule DB中的每条规则计算其在样本库中信息增益，取到几条信息增益较大的规则属性：{操作系统类别是否超出的合理范围，设备上安装的软件是否超出合理范围，服务进程是否超出的合理范围，端口使用是否超出的合理范围，端口和进程对应关系是否超出合理范围}。第三步：接入一批新的设备IP camera2-IP camera10，以第二步选出的信息增益较大的规则属性作为决策依据,判断新接入的设备是否合法。第四步：按视频监控设备的设备指纹采集方案动态监控该局域网中采集的设备指纹。

通过实验，本发明的技术方案能较好对设备做出入网检测判断，并对于非法接入设备及时告警。检测的漏报率取决于样本库的丰富程度，样本库越丰富则检测的准确率越高。针对类型未识别的设备指纹可以通过一定策略自动或手动将其加入样本库，并重新进行决策树算法学习，提高设备指纹的入网检测的准确率。

本发明基于设备指纹决策树分类的进行IP视频专网入网检测，对于发现专网设备的异常达到了预期的目标，能及时告警，为防止非法入侵和避免视频专网数据泄露起到重要作用。决策树算法的准确率依赖样本库的丰富程度。

本发明根据视频监控设备的特征在操作系统指纹基础上设计了设备指纹,同时提出了应用于视频专网的视频监控设备的设备指纹的采集方法和存储方法，通过对设备指纹的决策树算法及时检测出视频专网中的非信任设备，并告警，为防止非法入侵和避免视频专网数据泄露起到重要作用。

对于本领域的技术人员而言，阅读上述说明后，各种变化和修正无疑将显而易见。因此，所附的权利要求书应看作是涵盖本发明的真实意图和范围的全部变化和修正。在权利要求书范围内任何和所有等价的范围与内容，都应认为仍属本发明的意图和范围内。

Claims (6)

1.一种终端异常检测方法，适用于视频专网的入网检测，检测出所述视频专网中的非信任设备，所述视频专网接入至少一个视频监控设备；其特征在于，每个所述视频监控设备分别具有一唯一的设备指纹，所述设备指纹为与所述视频监控设备的操作系统相对应的特征项集合；

于所述检测方法之前采集至少一个所述视频监控设备的所述设备指纹并建立一指纹样本库，预设至少一条决策规则，根据所述指纹样本库定义每条所述决策规则的波动范围，所述操作系统正常运行时的相关数据位于所述波动范围内，并根据所述决策规则通过决策树算法得到一检测模型；所述方法包括：

步骤S1、采集新接入所述视频专网的所述视频监控设备的所述设备指纹；

步骤S2、根据所述检测模型检测新接入所述视频专网的所述视频监控设备是否运行正常，并在新接入所述视频专网的所述视频监控设备运行异常时输出检测结果以及告警提示；

将所述步骤S1中采集到的新接入所述视频专网的所述视频监控设备的所述设备指纹添加到所述指纹样本库中。

2.根据权利要求1所述的检测方法，其特征在于，所述特征项集合中的特征项分别对应所述视频监控设备的不同属性。

3.根据权利要求1所述的检测方法，其特征在于，所述特征项集合中包括多个不同属性的特征项，所述特征项包括静态特征和动态特征；

所述指纹样本库包括所述视频监控设备运行正常时的静态特征、和所述视频监控设备运行正常时的动态特征的波动范围，以及

所述视频监控设备运行异常时的所述静态特征，和所述视频监控设备运行异常时的所述动态特征的波动范围。

4.根据权利要求3所述的检测方法，其特征在于，所述静态特征包括：

所述视频监控设备的设备类型信息，和/或

所述视频监控设备的操作系统信息，和/或

所述视频监控设备中安装的软件信息。

5.根据权利要求3所述的检测方法，其特征在于，所述动态特征的合理范围包括：

所述视频监控设备的IP地址规划范围，和/或

所述视频监控设备运行时使用的端口号列表，和/或

所述视频监控设备运行时的服务进程列表，和/或

所述视频监控设备在正常运行时的内存使用范围，和/或

所述视频监控设备在正常运行时的CPU使用率合理范围。

6.根据权利要求1所述的检测方法，其特征在于，采用主动轮训采集和引导轮询采集两种方式采集所述视频监控设备的所述设备指纹。

Images