CN106850285A - 视频安全监控设备、审计系统及其部署结构以及方法 - Google Patents

Abstract

本发明公开了一种视频安全监控设备，包括采集卡、协议解析器、分析中心、数据处理中心、协议库、策略库、采集库、运行控制监控中心，所述的采集卡和协议解析器连接，所述的协议解析器和分析中心连接，所述的分析中心和数据处理中心连接，所述的数据处理中心和采集库连接，所述的协议库和协议解析器连接，所述的策略库和分析中心连接。本发明还公开了视频安全审计系统及其部署结构和视频安全审计方法。本发明具有以下技术效果：支持视频规范GB/T28181协议，可以支持国内主流厂商的视频联网平台，即便网络部署了多个厂商的视频联网平台，也可以分别进行识别和记录。

Description

视频安全监控设备、审计系统及其部署结构以及方法

技术领域

本发明涉及安全审计产品领域，具体涉及视频安全监控设备、审计系统及其部署结构以及方法。

背景技术

今年来我国的经济实力显著增强，经济文化交流日趋频繁，城市流动人口正在不断地增多，社会治安状况也日趋复杂，公共安全问题仍不断凸显。这些都迫切需要加快发展以主动预防为主的视频监控系统。由于视频监控系统应用的不断深入，系统规模的不断扩大，各级公安机关的跨区域图像共享的需求也在日益增多。因此，利用先进的监控联网技术，建立大规模的城市报警与监控系统，已经成为预防和制止犯罪、保护国家和人民群众的生命财产安全、保证各行各业正常运转的迫切需求和有效手段。通过联网管理，各级公安机关和相关部门均可以监控、浏览、查询设立在治安复杂场所、重点部位、主要街道、案件多发地段、重要路口、卡口等地点的现场实时视频，直观地了解和掌握监控区域的治安动态，可以做到对紧急事件的快速反应，有效提高社会治安综合管理水平。

安全审计产品是对网络或指定系统的使用状态进行跟踪记录和综合梳理的工具，主要分为用户自主保护、系统审计保护两种，网络安全审计能够对网络进行动态实时监控，可通过寻找入侵和违规行为，记录网络上发生的一切，为用户提供取证手段，网络安全审计能够监视来自内部人员的违规和破坏行动。

目前现有通过网络监控的方式，对网络数据进行采集和记录，从而还原视频流。存在的问题是视频监控网的数据流量非常大，有些视频专网的核心采用10G交换机，甚至40G交换机，如果需要将数据全部保存下来，市面现有存储技术很难达到要求，因此该项技术很难在监控平台进行实际应用。

公开号CN 105721198 A申请名称为“一种视频监控系统日志安全审计方法”公开了在各个设备上部署一日志收集模块agent来收集设备上产生的日志，并通过SSL进行日志的实时加密传输给日志服务器。然后当日志服务器收到日志，进行分析并按照先前设定的某种规则对收到的日志进行快速的分类存储。最后日志分析模块对收到的日志进行分析，如果检测到可疑行为符合先前的预警规则就立即给管理员报警。可以防止日志被他人查看以及篡改，可以有效的判断设备是否正常在线和正常运行以及是否有人攻击等行为。由于该申请需要在每个视频设备上部署一个日志收集模块，而每个视频设备的传输协议有可能是不同的，从而需要部署不同的日志收集模块，增加了部署日志收集模块的成本，另外由于需要对纳入监控的所有视频设备(大多部署在户外)都需要一一部署日志收集模块，也增加了安装的难度和时间成本。

发明内容

本发明为解决上述技术问题，提供一种视频安全监控设备，包括采集卡、协议解析器、分析中心、数据处理中心、协议库、策略库、采集库、运行控制监控中心，所述的采集卡和协议解析器连接，所述的协议解析器和分析中心连接，所述的分析中心和数据处理中心连接，所述的数据处理中心和采集库连接，所述的协议库和协议解析器连接，所述的策略库和分析中心连接。

其进一步技术方案为：还包括运行控制监控中心，所述的运行控制监控中心和协议解析器、分析中心和数据处理中心均相连接，所述的运行控制监控中心控制协议解析器、分析中心、数据处理中心的运行。

其进一步技术方案为：协议解析器根据审计要求把采集卡采集的需要的网络协议的旁路数据通过调用协议库的相应网络协议解析插件进行解析和把不需要的网络协议的旁路数据过滤掉，所述的协议库储存地址解析协议(ARP)、简单网络管理协议(SNMP)、AppleShare协议(AppleShare protocol)、苹果交流协议(AppleTalk)、边界网关协议4.0版本(BGP4)、引导程序协议(BOOTP)、通用管理信息协议(CMIP)、动态主机配置协议(DHCP)、文件传输协议(FTP)、超文本传输协议(HTTP)、安全超文本传输协议(HTTPS)、控制报文协议(ICMP)、第四版因特网信息存取协议(IMAP4)、网络新闻传输协议(NNTP)、网络开放贸易协议(IOTP)、互联网协议第6版(IPv6)、分组交换/顺序分组交换(IPX/SPX)、NetBios增强用户接口(NetBEUI)、邮局协议版本3(POP3)、服务器信息块协议(SMB protocol)、简单邮件传输协议(SMTP)、会话初始化协议(SIP)、传输控制协议/因特网互联协议(TCP/IP)、简单文件传送协议(TFTP)和用户数据报协议(UDP)协议解析插件。其中，ARP是Address ResolutionProtocol(地址解析协议)的缩写、SNMP是Simple Network Management Protocol(简单网络管理协议)的缩写、BGP4是Border Gateway Protocol Vertion 4(边界网关协议4.0版本)的缩写、CMIP是Common Management Information Protocol(通用管理信息协议)的缩写、DHCP是Dynamic Host Configuration Protocol(动态主机配置协议)的缩写、FTP是File Transfer Protocol(文件传输协议)的缩写、HTTP是Hypertext Transfer Protocol(超文本传输协议)的缩写、HTTPS是Secure Hypertext Transfer Protocol(网络协议)的缩写、ICMP是Internet Control Message Protocol(控制报文协议)的缩写、IMAP4是Internet Mail Access Protocol Version 4(第四版因特网信息存取协议)的缩写、NNTP是Network News Transfer Protocol(网络新闻传输协议)的缩写、IOTP是Internet OpenTrading Protocol(网络开放贸易协议)的缩写、IPv6是Internet Protocol Version 6(互联网协议第6版)的缩写、IPX/SPX是Internetwork Packet Exchange/SequentialPacketExchange(分组交换/顺序分组交换)的缩写、NetBEUI是NetBIOS EnhancedUserInterface(NetBios增强用户接口)的缩写、POP3是Post Office Protocol Vers ion3(邮局协议版本3)的缩写、SMB protocol是Server Message Block protocol(服务器信息块协议)的缩写、SMTP是Simple Mail Transfer Protocol(简单邮件传输协议)的缩写、SIP是Session Initiation Protocol(会话初始化协议)的缩写、TCP/IP是TransmissionControl Protocol/Internet Protocol(传输控制协议/因特网互联协议)的缩写、TFTP是Trivial File Transfer Protocol(简单文件传送协议)的缩写、UDP是User DatagramProtocol(用户数据报协议)的缩写，旁路数据是包含协议类型、IP地址、端口号等内容的数据包，协议解析器对旁路采集到的数据包进行传输层、会话层和应用层各层解析和过滤，协议库为协议解析器提供了各类传输层、会话层和应用层的协议解析支持，可持续集成。视频安全监控设备可以通过在协议库中增加新插件实现新的协议扩展，实现对多种网络协议的解析还原。审计要求指的是用户选择对通过视频网关和/或客户端和/或Web网页等方式对网络摄像机进行访问动作进行审计，视频网关的主要网络协议是SIP、TCP、UDP，客户端的主要网络协议是TCP/IP，Web网页的主要网络协议是HTTP，举例来说，用户的审计要求可以是只审计通过视频网关的TCP和UDP网络协议的对网络摄像机进行访问动作产生的数据流，也可以是只审计通过Web网页的HTTP网络协议的对网络摄像机进行访问动作产生的数据流，或者通过其它方式审计对网络摄像机进行访问动作产生的数据流，这取决于用户。

其进一步技术方案为：策略库储存16个策略模型，代表16项视频操作动作，所述的16项视频操作动作分别是服务设备注册、注销指令、设备校时指令、设备心跳指令、设备目录查询指令、设备遥控操作指令、音视频实时点播指令、录像播放控制指令、录像文件检索指令、视音频文件回放指令、视音频文件控制指令、云台控制指令、设备信息查询指令、设备状态查询指令、设备远程启动指令、视音频文件下载指令，一个策略模型定义为包含一项视频操作动作的特征信息码、操作编号、操作名称、操作类型、操作参数、主要操作内容、操作是否成功。

其进一步技术方案为：分析中心调用所述的策略库提供的策略模型进行操作识别和内容提取，当收到从采集卡传输的数据包与某个策略模型包含的视频操作动作的特征信息码一致时，就可以操作识别为该策略模型，将该策略模型包含的视频操作动作的特征信息码、操作编号、操作名称、操作类型、操作参数、主要操作内容、操作是否成功全部进行内容提取。

其进一步技术方案为：数据处理中心将分析中心提取的内容整理成操作日志，并记录到采集库，操作日志包括：源IP、目标IP、源端口、目标端口、操作时间、数据包长度、操作编号、操作名称、操作类型、操作参数、主要操作内容、操作是否成功。

视频安全监控设备的上述模块之间通过IPC的方式进行通讯。

本发明还公开视频安全审计系统，包括上述的视频安全监控设备，还包括安全审计子系统，所述的安全审计子系统包括信息处理中心、预警响应中心、数据管理中心、交互中心；所述的信息处理中心和运行控制监控中心连接，所述的信息处理中心和预警响应中心连接，所述的预警响应中心和数据管理中心连接，所述的数据管理中心和采集库连接，所述的信息处理中心、预警响应中心和数据管理中心均和交互中心相连接。

其进一步技术方案为：信息处理中心负责处理与运行控制监控中心之间的交互信息以及和交互中心之间各类命令以及传输告警信息给预警响应中心；所述的数据管理中心负责从采集库中获取操作日志按照视频操作动作进行分类管理，管理方式包括记录、检索、统计，对检索出异常的操作日志产生告警信息并传输告警信息给预警响应中心；所述的预警响应中心接收信息处理中心和数据管理中心传输的告警信息，对告警信息按照发送方式、发送对象进行分类管理，并将告警信息、发送方式和发送对象推送给交互中心；所述的交互中心收到预警响应中心推送的告警信息、发送方式和发送对象后，按照发送方式将告警信息发送给发送对象，发送方式包括OA系统、邮件系统、短信、微信、QQ、手机APP的一种或一种以上的方式。

本发明还公开视频安全审计系统的部署结构，包括上述视频安全审计系统，还包括第一交换机、安审服务器、视频客户端、视频服务器、第二交换机、网络摄像机，所述的第一交换机上配置镜像端口，将通过第一交换机的网络数据镜像到镜像端口，所述的视频安全监控设备的采集卡连接第一交换机的镜像端口，所述的安全审计子系统集成在安审服务器中，所述的安审服务器、所述的视频客户端、所述的视频服务器均和第一交换机通过网络通信连接，所述的网络摄像机通过第二交换机和第一交换机通过网络通信连接。

本发明还公开视频安全审计方法，采用上述视频安全审计系统，包括视频安全审计系统的通信方法和用户使用视频安全审计系统的方法，所述的视频安全审计系统的通信方法包括以下步骤：

(1)采集卡将采集的旁路数据传输给协议解析器；

(2)协议解析器根据审计要求将采集卡采集的不需要的协议的旁路数据过滤掉，将采集卡采集的需要的协议的旁路数据通过调用协议库的需要的协议解析插件解析、还原成可以识别的数据包，并将可识别的数据包传输给分析中心；

(3)分析中心通过调用策略库的策略模型，对可识别的数据包进行操作识别，当接收的可识别的数据包包含的特征信息码与某策略模型储存的某项视频操作动作的特征信息码一致时，就可以识别为该项视频操作动作，并将该策略模型的内容进行提取并传输给数据处理中心；

(4)数据处理中心将分析中心传输的内容整理成操作日志，并记录到采集库；

(5)数据处理中心把操作日志通知运行控制监控中心，

(6)运行控制监控中心把操作日志推送到信息处理中心，信息处理中心分析操作日志是否存在异常，

①若无异常，信息处理中心分析结束；

②若有异常，信息处理中心产生告警信息，将告警信息传输到预警响应中心，预警响应中心收到告警信息后，对告警信息按照发送方式、发送对象进行分类管理，并将告警信息推送给交互中心；交互中心收到预警响应中心推送的告警信息后，调用预警响应中心该告警信息的发送方式、发送对象后按照发送方式将告警信息发送给发送对象，发送方式包括OA系统、邮件系统、短信、微信、QQ、手机APP的一种或一种以上的方式；发送对象接收到告警信息后登录交互中心进行相应的处理；

所述的用户使用视频安全审计系统方法包括如下步骤：

㈠用户登陆交互中心后，进入步骤㈡或者进人步骤㈣或者进人步骤㈦；

㈡用户通过交互中心发送内部命令给数据管理中心，

㈢数据管理中心根据内部命令推送操作日志的管理信息，所述的操作日志的管理信息包括操作日志的记录信息、检索信息、统计信息的一种或一种以上；

㈣用户通过交互中心发送外部命令给信息处理中心；

㈤信息处理中心响应外部命令向运行控制监控中心发送外部控制命令，

㈥运行控制监控中心响应外部控制命令控制协议解析器、分析中心和数据处理中心的运行；

㈦用户通过交互中心调用预警响应中心的告警信息选择对某条告警信息进行处理，处理方式包括对产生告警信息的设备源IP地址进行操作访问阻断或者对产生告警信息的视频设备进行注册或者对产生告警信息的访问客户端注册。

本发明的有益效果如下：

<1>旁路数据采集通过零拷贝的技术，不需要对每个视频设备安装前端控制设备比如日志收集模块，就可以同时对网络部署的所有视频设备进行监控。

<2>视频安全监控设备支持视频规范GB/T28181协议，可以支持国内主流厂商的视频联网平台；即便网络部署了多个厂商的视频联网平台，也可以分别进行识别和记录；

<3>视频安全监控设备通过旁路方式部署，部署简单，对现有网络不产生影响；

<4>因为视频安全监控设备并不保存视频图像，只是保存了视频操作日志，因此存储要求小，一般的存储服务器就可以保留1年的操作日志，既满足了操作审计的要求，又解决了存储量过大的问题；

<5>视频安全审计系统有别于传统的网络安全管理产品，主要根据视频设备的特性，对视频系统和网络摄像机等视频设备进行集中化管控，解决视频专网的以下安全风险：解决前端设备入侵风险、来自内部的网络攻击、外部接入的安全风险、系统平台安全风险和视频传输的安全风险；

<6>视频安全审计系统实现对视频专网的所有视频设备的连接、播放等操作进行记录和审计，可以对视频操作进行跟踪和查询，为事后对问题追溯提供方法和手段；

<7>视频安全审计系统可以实现同时对上千路网络摄像机的运行状态和访问操作进行监控，记录操作日志，进行操作审计；

<8>视频安全审计系统可以采集视频专网所有视频设备的网络流量，对流量进行检测、统计分析，对安全管理制度的执行情况进行审计支持，提供检测告警功能，对流量异常的访问操作进行告警并进行阻断，对未注册客户端、未注册设备的访问操作进行阻断或者予以注册，防止设备被非法入侵或非法改造，保障内网的安全；可以维护和部署视频安全审计系统，通过流量分析，对安全管理制度的执行情况进行审计支持；

<9>对视频安全审计系统的部署结构的所有视频设备、接入平台、服务器、客户端、交换机等网络设备进行注册管理或者异常操作访问阻断，保证了视频安全审计系统的部署结构的安全性，支持公安系统省、市、县分布式管理。

附图说明

图1是视频安全审计系统的结构框图；

图2是视频安全审计系统的部署结构示意图；

图3是视频安全审计系统应用在公安机关的多级网络结构的部署示意图；

图4是视频安全审计系统的通信方法流程框图；

图5是用户使用视频安全审计系统的流程框图；

图6是操作日志结构表；

图7是联网平台操作查询图；

图8是设备注册管理图；

图9是设备访问流量监控图；

图10是设备访问告警图；

图11是设备访问阻断图；

其中箭头是数据流向。

具体实施方式

为更好的说明本发明，下面结合实施例详细说明。

如图1所示，一种视频安全监控设备，包括采集卡、协议解析器、分析中心、数据处理中心、协议库、策略库、采集库、运行控制监控中心，所述的采集卡和协议解析器连接，所述的协议解析器和分析中心连接，所述的分析中心和数据处理中心连接，所述的数据处理中心和采集库连接，所述的协议库和协议解析器连接，所述的策略库和分析中心连接。还包括运行控制监控中心，所述的运行控制监控中心和协议解析器、分析中心和数据处理中心均相连接，所述的运行控制监控中心控制协议解析器、分析中心、数据处理中心的运行。

通过零拷贝的技术，将采集卡的网络数据映射到内存；在记录6元组(源IP、目标IP、源端口、目标端口、操作时间、数据包长度)后，将数据包交给协议解析器进行处理。

协议解析器根据审计要求把采集卡采集的需要的网络协议的旁路数据通过调用协议库的相应网络协议解析插件进行解析和把不需要的网络协议的旁路数据过滤掉，所述的协议库储存地址解析协议(ARP)、简单网络管理协议(SNMP)、AppleShare协议(AppleShare protocol)、苹果交流协议(AppleTalk)、边界网关协议4.0版本(BGP4)、引导程序协议(BOOTP)、通用管理信息协议(CMIP)、动态主机配置协议(DHCP)、文件传输协议(FTP)、超文本传输协议(HTTP)、安全超文本传输协议(HTTPS)、控制报文协议(ICMP)、第四版因特网信息存取协议(IMAP4)、网络新闻传输协议(NNTP)、网络开放贸易协议(IOTP)、互联网协议第6版(IPv6)、分组交换/顺序分组交换(IPX/SPX)、NetBios增强用户接口(NetBEUI)、邮局协议版本3(POP3)、服务器信息块协议(SMB protocol)、简单邮件传输协议(SMTP)、会话初始化协议(SIP)、传输控制协议/因特网互联协议(TCP/IP)、简单文件传送协议(TFTP)和用户数据报协议(UDP)协议解析插件。

审计要求可以是需要解析TCP/IP和UDP协议或者需要解析ARP协议或者解析其它协议的数据包，为表述简便，审计要求以需要解析TCP/IP和UDP协议的数据包为例。

协议解析器根据审计要求把采集卡采集的TCP/IP和UDP协议旁路数据通过调用协议库的SIP协议解析插件进行解析、还原和把如ARP、SMTP等其他不需要进行审计包含协议类型、IP地址、端口号等内容的数据包过滤掉。

策略库储存16个策略模型，代表16项视频操作动作，所述的16项视频操作动作分别是服务设备注册、注销指令、设备校时指令、设备心跳指令、设备目录查询指令、设备遥控操作指令、音视频实时点播指令、录像播放控制指令、录像文件检索指令、视音频文件回放指令、视音频文件控制指令、云台控制指令、设备信息查询指令、设备状态查询指令、设备远程启动指令、视音频文件下载指令，一个策略模型定义为包含一项视频操作动作的特征信息码、操作编号、操作名称、操作类型、操作参数、主要操作内容、操作是否成功。

分析中心调用所述的策略库提供的策略模型进行操作识别和内容提取，当收到从采集卡传输的数据包与某个策略模型包含的视频操作动作的特征信息码一致时，就可以操作识别为该策略模型，将该策略模型包含的视频操作动作的特征信息码、操作编号、操作名称、操作类型、操作参数、主要操作内容、操作是否成功全部进行内容提取。

数据处理中心将分析中心提取的内容整理成操作日志，并记录到采集库，操作日志包括：源IP、目标IP、源端口、目标端口、操作时间、数据包长度、操作编号、操作名称、操作类型、操作参数、主要操作内容、操作是否成功，操作日志的结构表如图6所示。

运行控制监控中心是视频安全监控设备的控制部分，负责检测视频安全监控设备中各个模块的运行状态并向用户通报各种运行信息，同时响应信息处理中心的外部控制指令对视频安全监控设备的实时控制，同时对监控的视频设备的视频操作日志进行管理和推送。

视频安全监控设备的上述模块之间通过IPC的方式进行通讯。

如图1所示，一种视频安全审计系统，包括上述的视频安全监控设备，还包括还包括安全审计子系统，所述的安全审计子系统包括信息处理中心、预警响应中心、数据管理中心、交互中心；所述的信息处理中心和运行控制监控中心连接，所述的信息处理中心和预警响应中心连接，所述的预警响应中心和数据管理中心连接，所述的数据管理中心和采集库连接，所述的信息处理中心、预警响应中心和数据管理中心均和交互中心相连接。

信息处理中心负责处理与运行控制监控中心之间的交互信息以及和交互中心之间各类命令以及传输告警信息给预警响应中心；所述的数据管理中心负责从采集库中获取操作日志按照视频操作动作进行分类管理，管理方式包括记录、检索、统计，对检索出异常的操作日志产生告警信息并传输告警信息给预警响应中心；所述的预警响应中心接收信息处理中心和数据管理中心传输的告警信息，对告警信息按照发送方式、发送对象进行分类管理，并将告警信息、发送方式和发送对象推送给交互中心；所述的交互中心收到预警响应中心推送的告警信息、发送方式和发送对象后，按照发送方式将告警信息发送给发送对象，发送方式包括OA系统、邮件系统、短信、微信、QQ、手机APP的一种或一种以上的方式。

信息处理中心可同时管理多个视频安全监控设备。

视频安全审计系统的部署结构如图2所示，包括上述视频安全审计系统，还包括第一交换机、安审服务器、视频客户端、视频服务器、第二交换机、网络摄像机，所述的第一交换机上配置镜像端口，将通过第一交换机的网络数据镜像到镜像端口，所述的视频安全监控设备的采集卡连接第一交换机的镜像端口，所述的安全审计子系统集成在安审服务器中，所述的安审服务器、所述的视频客户端、所述的视频服务器均和第一交换机通过网络通信连接，所述的网络摄像机通过第二交换机和第一交换机通过网络通信连接。

视频安全审计系统应用在公安机关的多级网络结构的部署如图3所示，支持多级级联部署模式，可以满足分级管理的要求，公安系统市级视频专网、省级视频专网包括视频安全审计系统、安审服务器、客户端、视频服务器，安全审计子系统集成在安审服务器中，安审服务器、视频安全监控设备、客户端、视频服务器均和交换机通过网络通信连接，交换机连接视频专网中的网络摄像机(图中未画出)，交换机上配置镜像端口，将通过交换机的网络数据镜像到镜像端口，视频安全监控设备的采集卡连接到交换机的镜像端口，公安系统县/分局视频专网包括视频安全审计系统、视频服务器、客户端，安全审计子系统集成在视频服务器中，视频安全监控设备、客户端、视频服务器均和交换机通过网络通信连接，交换机连接视频专网中的网络摄像机(图中未画出)，各级公安系统视频专网之间通过安全接入平台如防火墙连接。可以对公安系统建设的电子警察、卡口设备等视频设备的视频调取、查看、删除等操作进行统一监控，并且对终端摄像头的异常访问进行实时告警，为事后对问题追溯提供方法和手段，同时在事态紧急时，也可以作为应急预案，对部分区域的摄像头的访问进行阻断，从而避免信息泄露的影响。

一种视频安全审计方法，采用上述的视频安全审计系统，包括视频安全审计系统的通信方法和用户使用视频安全审计系统的方法，所述的视频安全审计系统的通信方法如图4所示包括以下步骤：

(1)采集卡将采集的旁路数据传输给协议解析器；

(2)协议解析器根据审计要求将采集卡采集的不需要的协议的旁路数据过滤掉，将采集卡采集的需要的协议的旁路数据通过调用协议库的需要的协议解析插件解析、还原成可以识别的数据包，并将可识别的数据包传输给分析中心；

(3)分析中心通过调用策略库的策略模型，对可识别的数据包进行操作识别，当接收的可识别的数据包包含的特征信息码与某策略模型储存的某项视频操作动作的特征信息码一致时，就可以识别为该项视频操作动作，并将该策略模型的内容进行提取并传输给数据处理中心；

(4)数据处理中心将分析中心传输的内容整理成操作日志，并记录到采集库；

(5)数据处理中心把操作日志通知运行控制监控中心，

(6)运行控制监控中心把操作日志推送到信息处理中心，信息处理中心分析操作日志是否存在异常，

①若无异常，信息处理中心分析结束；

②若有异常，信息处理中心产生告警信息，将告警信息传输到预警响应中心，预警响应中心收到告警信息后，对告警信息按照发送方式、发送对象进行分类管理，并将告警信息推送给交互中心；交互中心收到预警响应中心推送的告警信息后，调用预警响应中心该告警信息的发送方式、发送对象后按照发送方式将告警信息发送给发送对象，发送方式包括OA系统、邮件系统、短信、微信、QQ、手机APP的一种或一种以上的方式；发送对象接收到告警信息后登录交互中心进行相应的处理；

所述的用户使用视频安全审计系统方法如图5所示包括如下步骤：

㈠用户登陆交互中心后，进入步骤㈡或者进人步骤㈣或者进人步骤㈦；

㈡用户通过交互中心发送内部命令给数据管理中心，

㈢数据管理中心根据内部命令推送操作日志的管理信息，所述的操作日志的管理信息包括操作日志的记录信息、检索信息、统计信息的一种或一种以上；

㈣用户通过交互中心发送外部命令给信息处理中心；

㈤信息处理中心响应外部命令向运行控制监控中心发送外部控制命令，

㈥运行控制监控中心响应外部控制命令控制协议解析器、分析中心和数据处理中心的运行；

㈦用户通过交互中心调用预警响应中心的告警信息选择对某条告警信息进行处理，处理方式包括对产生告警信息的设备源IP地址进行操作访问阻断或者对产生告警信息的视频设备进行注册或者对产生告警信息的访问客户端注册。

这里的手机APP是指单独为视频安全审计系统开发的，用户登录手机APP查看告警信息，方便快捷。

该视频安全审计系统实现的功能很多，并不限于以下功能，以下功能只是作为示例性说明：

(A)联网平台操作查询：

如图7所示，可以对通过交换机的联网平台的所有视频操作进行查询，支持按照关键字或指定时间范围进行查询。

查询内容包括源IP、目标IP、操作类型、操作名称、操作时间、操作是否成功(返回值)。通过双击操作记录，可以查询当前操作的查询条件、参数、主要内容等。

(B)设备注册管理：

如图8所示，可以自动扫描出部署的视频设备，包括信令网关、网络录像机、网络摄像头等视频设备，通过设备注册，用户可以对内网的视频设备进行注册登记管理。

(C)设备访问流量监控：

如图9所示，可以监控网络内的设备的流量，可以对网络内指定IP地址的设备的操作和流量情况进行分析。

(D)设备访问告警：

如图10所示，可以根据设定的告警规则进行实时告警，可以对未注册设备的访问进行告警，也可以对未授权的客户端发起的访问进行告警。

(E)设备访问阻断：

如图11所示，可以对阻断记录进行查询分析，可以按照阻断规则的分类进行分组查询，也可以按照关键字或阻断时间范围进行查询。

以上实施例仅为本发明的示例性实施例，不用于限制本发明，本领域技术人员可以在本发明的保护范围内对各技术特征进行各种组合形成新的技术方案，并对这些技术方案做出各种修改或等同替换，这些新的技术方案以及修改或等同替换也应视为落在本发明的保护范围内。

Claims (10)

1.一种视频安全监控设备，其特征在于：包括采集卡、协议解析器、分析中心、数据处理中心、协议库、策略库、采集库，所述的采集卡和协议解析器连接，所述的协议解析器和分析中心连接，所述的分析中心和数据处理中心连接，所述的数据处理中心和采集库连接，所述的协议库和协议解析器连接，所述的策略库和分析中心连接。

2.如权利要求1所述的视频安全监控设备，其特征在于：还包括运行控制监控中心，所述的运行控制监控中心和协议解析器、分析中心和数据处理中心均相连接，所述的运行控制监控中心控制协议解析器、分析中心、数据处理中心的运行。

3.如权利要求1所述的视频安全监控设备，其特征在于：所述的协议解析器根据审计要求把采集卡采集的需要的网络协议的旁路数据通过调用协议库的相应网络协议解析插件进行解析和把不需要的网络协议的旁路数据过滤掉，所述的协议库储存地址解析协议(ARP)、简单网络管理协议(SNMP)、AppleShare协议(AppleShare protocol)、苹果交流协议(AppleTalk)、边界网关协议4.0版本(BGP4)、引导程序协议(BOOTP)、通用管理信息协议(CMIP)、动态主机配置协议(DHCP)、文件传输协议(FTP)、超文本传输协议(HTTP)、安全超文本传输协议(HTTPS)、控制报文协议(ICMP)、第四版因特网信息存取协议(IMAP4)、网络新闻传输协议(NNTP)、网络开放贸易协议(IOTP)、互联网协议第6版(IPv6)、分组交换/顺序分组交换(IPX/SPX)、NetBios增强用户接口(NetBEUI)、邮局协议版本3(POP3)、服务器信息块协议(SMB protocol)、简单邮件传输协议(SMTP)、会话初始化协议(SIP)、传输控制协议/因特网互联协议(TCP/IP)、简单文件传送协议(TFTP)和用户数据报协议(UDP)协议解析插件。

4.如权利要求1所述的视频安全监控设备，其特征在于：所述的策略库储存16个策略模型，代表16项视频操作动作，所述的16项视频操作动作分别是服务设备注册、注销指令、设备校时指令、设备心跳指令、设备目录查询指令、设备遥控操作指令、音视频实时点播指令、录像播放控制指令、录像文件检索指令、视音频文件回放指令、视音频文件控制指令、云台控制指令、设备信息查询指令、设备状态查询指令、设备远程启动指令、视音频文件下载指令，一个策略模型定义为包含一项视频操作动作的特征信息码、操作编号、操作名称、操作类型、操作参数、主要操作内容、操作是否成功。

5.如权利要求4所述的视频安全监控设备，其特征在于：所述的分析中心调用所述的策略库提供的策略模型进行操作识别和内容提取，当收到从采集卡传输的数据包与某个策略模型包含的视频操作动作的特征信息码一致时，就可以操作识别为该策略模型，将该策略模型包含的视频操作动作的特征信息码、操作编号、操作名称、操作类型、操作参数、主要操作内容、操作是否成功全部进行内容提取。

6.如权利要求5所述的视频安全监控设备，其特征在于：所述的数据处理中心将分析中心提取的内容整理成操作日志，并记录到采集库，操作日志包括：源IP、目标IP、源端口、目标端口、操作时间、数据包长度、操作编号、操作名称、操作类型、操作参数、主要操作内容、操作是否成功。

7.一种视频安全审计系统，包括权利要求2-6任一所述的视频安全监控设备，其特征在于：还包括安全审计子系统，所述的安全审计子系统包括信息处理中心、预警响应中心、数据管理中心、交互中心；所述的信息处理中心和运行控制监控中心连接，所述的信息处理中心和预警响应中心连接，所述的预警响应中心和数据管理中心连接，所述的数据管理中心和采集库连接，所述的信息处理中心、预警响应中心和数据管理中心均和交互中心相连接。

8.如权利要求7所述的视频安全审计系统，其特征在于：所述的信息处理中心负责处理与运行控制监控中心之间的交互信息以及和交互中心之间各类命令以及传输告警信息给预警响应中心；所述的数据管理中心负责从采集库中获取操作日志按照视频操作动作进行分类管理，管理方式包括记录、检索、统计，对检索出异常的操作日志产生告警信息并传输告警信息给预警响应中心；所述的预警响应中心接收信息处理中心和数据管理中心传输的告警信息，对告警信息按照发送方式、发送对象进行分类管理，并将告警信息、发送方式和发送对象推送给交互中心；所述的交互中心收到预警响应中心推送的告警信息、发送方式和发送对象后，按照发送方式将告警信息发送给发送对象，发送方式包括OA系统、邮件系统、短信、微信、QQ、手机APP的一种或一种以上的方式。

9.一种视频安全审计系统的部署结构，包括权利要求8所述的视频安全审计系统，其特征在于：还包括第一交换机、安审服务器、视频客户端、视频服务器、第二交换机、网络摄像机，所述的第一交换机上配置镜像端口，将通过第一交换机的网络数据镜像到镜像端口，所述的视频安全监控设备的采集卡连接第一交换机的镜像端口，所述的安全审计子系统集成在安审服务器中，所述的安审服务器、所述的视频客户端、所述的视频服务器均和第一交换机通过网络通信连接，所述的网络摄像机通过第二交换机和第一交换机通过网络通信连接。

10.一种视频安全审计方法，采用如权利要求8所述的视频安全审计系统，其特征在于包括视频安全审计系统的通信方法和用户使用视频安全审计系统的方法，所述的视频安全审计系统的通信方法包括以下步骤：

(1)采集卡将采集的旁路数据传输给协议解析器；

(2)协议解析器根据审计要求将采集卡采集的不需要的协议的旁路数据过滤掉，将采集卡采集的需要的协议的旁路数据通过调用协议库的需要的协议解析插件解析、还原成可以识别的数据包，并将可识别的数据包传输给分析中心；

(3)分析中心通过调用策略库的策略模型，对可识别的数据包进行操作识别，当接收的可识别的数据包包含的特征信息码与某策略模型储存的某项视频操作动作的特征信息码一致时，就可以识别为该项视频操作动作，并将该策略模型的内容进行提取并传输给数据处理中心；

(4)数据处理中心将分析中心传输的内容整理成操作日志，并记录到采集库；

(5)数据处理中心把操作日志通知运行控制监控中心，

(6)运行控制监控中心把操作日志推送到信息处理中心，信息处理中心分析操作日志是否存在异常，

①若无异常，信息处理中心分析结束；

②若有异常，信息处理中心产生告警信息，将告警信息传输到预警响应中心，预警响应中心收到告警信息后，对告警信息按照发送方式、发送对象进行分类管理，并将告警信息推送给交互中心；交互中心收到预警响应中心推送的告警信息后，调用预警响应中心该告警信息的发送方式、发送对象后按照发送方式将告警信息发送给发送对象，发送方式包括OA系统、邮件系统、短信、微信、QQ、手机APP的一种或一种以上的方式；发送对象接收到告警信息后登录交互中心进行相应的处理；

所述的用户使用视频安全审计系统方法包括如下步骤：

㈠用户登陆交互中心后，进入步骤㈡或者进人步骤㈣或者进人步骤㈦；

㈡用户通过交互中心发送内部命令给数据管理中心，

㈢数据管理中心根据内部命令推送操作日志的管理信息，所述的操作日志的管理信息包括操作日志的记录信息、检索信息、统计信息的一种或一种以上；

㈣用户通过交互中心发送外部命令给信息处理中心；

㈤信息处理中心响应外部命令向运行控制监控中心发送外部控制命令；

㈥运行控制监控中心响应外部控制命令控制协议解析器、分析中心和数据处理中心的运行；

㈦用户通过交互中心调用预警响应中心的告警信息选择对某条告警信息进行处理，处理方式包括对产生告警信息的设备源IP地址进行操作访问阻断或者对产生告警信息的视频设备进行注册或者对产生告警信息的访问客户端注册。