CN112565202A - 一种用于视频网系统的物联网准入网关 - Google Patents
一种用于视频网系统的物联网准入网关 Download PDFInfo
- Publication number
- CN112565202A CN112565202A CN202011291380.0A CN202011291380A CN112565202A CN 112565202 A CN112565202 A CN 112565202A CN 202011291380 A CN202011291380 A CN 202011291380A CN 112565202 A CN112565202 A CN 112565202A
- Authority
- CN
- China
- Prior art keywords
- equipment
- module
- video
- monitoring
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 claims abstract description 89
- 230000006870 function Effects 0.000 claims abstract description 33
- 238000001514 detection method Methods 0.000 claims abstract description 30
- 230000000903 blocking effect Effects 0.000 claims abstract description 29
- 238000004458 analytical method Methods 0.000 claims abstract description 20
- 230000002265 prevention Effects 0.000 claims abstract description 15
- 230000006399 behavior Effects 0.000 claims description 40
- 230000002159 abnormal effect Effects 0.000 claims description 32
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 16
- 238000001914 filtration Methods 0.000 claims description 12
- 230000008859 change Effects 0.000 claims description 9
- 238000000034 method Methods 0.000 claims description 9
- 238000010801 machine learning Methods 0.000 claims description 4
- 238000012216 screening Methods 0.000 claims description 3
- 230000007123 defense Effects 0.000 abstract description 2
- 230000009545 invasion Effects 0.000 abstract description 2
- 238000012954 risk control Methods 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 44
- 238000002955 isolation Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000010276 construction Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000002787 reinforcement Effects 0.000 description 3
- 238000007792 addition Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000007789 sealing Methods 0.000 description 1
- 230000000192 social effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V20/00—Scenes; Scene-specific elements
- G06V20/40—Scenes; Scene-specific elements in video content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明公开了一种用于视频网系统的物联网准入网关,包括硬件设备和云盾网关系统;所述硬件设备包括采集分析引擎和探测引擎;所述云盾网关系统包括设备与资产管理模块、设备安全准入控制模块、设备可用性监测模块、安全攻击防范模块、视频设备风险漏洞探知模块和基础设施管理模块。本发明集设备管理、安全准入、可用性监测、攻击防范、漏洞探知一体,设备自动发现、设备状态检测、漏洞自动探知、接入自动甄别、行为自动分析、违规自动阻断等功能,从边界到核心数据,形成立体监控,建立纵深防御,加强安全运行管理,实现视频专网内资产一目了然、设备故障实时报警、安全风险实时掌控、非法入侵及时阻断等功能,解决视频专网安全运行问题。
Description
技术领域
本发明涉及物联网准入网关,特别是一种用于视频网系统的物联网准入网关。
背景技术
近年来,由于各类视频系统安全事件的频发,网络入侵、数据外泄导致不良社会影响,加强视频专网安全已经刻不容缓。同时,近年以来国家对信息安全重视度达到了一个新高度,先后发布国家网络空间安全战略、网络安全法等多部法规以及十三五平安中国建设规划,特别对于国家关键部门(公安部等)的网络安全提出相应的要求,加强关键信息安全防护是各个部门安全防护的重点部分。
随着视频网监控系统的发展,与之配套的网络大规模建设,逐步形成视频监控等设施组成的视频系统。相对于传统办公网IT系统,视频网系统具有网络安全级别高、网络规模庞大、网络分支较多、外部接入可控性差、前端设备接入地理位置十分分散、人为监管困难等特点,导致前端设备存在较大的安全风险。
目前视频专网存在如下安全隐患:
1.视频摄像头作为视频专网重要组成部分,基数大且分布广泛,品牌多样,管理部门目前无技术工具自动统计视频摄像头信息;
2.视频摄像头分布范围广泛,无法贯彻落实视频网络安全建设要求;
3.视频摄像头、交换机、路由器、防火墙、视频服务器、运维终端、工控机等是视频专网全部组成部分,目前无技术手段鉴别是否存在非专网终端的接入,从而无法规避由此引发的安全事件;
4.目前缺乏对模拟摄像头、社区街道办接入摄像头、4G接入视频设备的管理手段;
5.802.1x、IP-MAC等准入技术实施难度大,黑客通过特殊技术在网络摄像头区域较容易“凿穿”准入措施接入视频专网,没有应对措施;
6.视频监控设备部署地点大都暴露在道路、街区等公共场所,极易被恶意侵入;
7.视频专网采用静态IP地址接入方式,基数庞大,目前管理部门只能采用手动excel表格的管理方式,且部分仅管理网段属于哪个地区,缺乏精准的IP地址数据,对IP地址整体规划及扩建产生严重的负面影响
8.视频监控设备存在严重安全隐患,如弱口令、配置不当、系统安全漏洞、系统后门等,以致专网设备易被黑客入侵。
综上所述,如何保证视频网监控系统的全程可控和全时可用,防止出现专网网络设备的私接和仿冒、专网连接互联网、内部数据泄露等问题,是目前视频网安全体系建设急需解决的重要内容。
发明内容
本发明的目的在于,提供一种用于视频网系统的物联网准入网关。本发明具有保证视频网监控系统的全程可控和全时可用,并能有效防止出现专网网络设备的私接和仿冒、专网连接互联网、内部数据泄露等问题的优点。
本发明的技术方案:一种用于视频网系统的物联网准入网关,包括硬件设备和云盾网关系统;所述硬件设备包括一台采集分析引擎和若干台探测引擎;
所述云盾网关系统包括设备与资产管理模块、设备安全准入控制模块、设备可用性监测模块、安全攻击防范模块、视频设备风险漏洞探知模块和基础设施管理模块。
前述的用于视频网系统的物联网准入网关中,所述采集分析引擎和若干台探测引擎包括三种部署方式,分别为旁路部署、串行部署和分流部署。
前述的用于视频网系统的物联网准入网关中,所述设备与资产管理模块通过自动化采集自动识别设备详细信息并进行监控管理,所述设备详细信息包括IP、MAC、品牌、类型、交换机端口、唯一标识符等;
所述设备安全准入控制模块通过灵活的准入策略来实现准入控制和准入监控;
所述设备可用性监测模块通过自动化监测来实现设备可用性监测;
所述安全攻击防范模块基于机器学习,自动化分析识别判断是否有异常行为;
所述视频设备安全风险漏洞探知模块通过主动探测视频设备安全漏洞并产生风险报警。
前述的用于视频网系统的物联网准入网关中,所述设备与资产管理模块包括设备识别功能和一机一档管理功能;所述设备识别功能支持onvif、psia、视频厂商私标、系统指纹、服务指纹、web指纹等多种视频设备和物联网设备发现方法。
前述的用于视频网系统的物联网准入网关中,所述设备识别功能还包括内置识别规则,能根据预定义规则的组合发现设备信息。
前述的用于视频网系统的物联网准入网关中,所述设备识别功能还能使用探测引擎来检测网络中的视频设备,通过设备指纹特征精确识别设备类型,其识别类型覆盖主体的摄像头、NVR、CVR、DVR、视频网关、流媒体服务器等视频设备。
前述的用于视频网系统的物联网准入网关中,所述设备识别功能无需在专网原有设备中安装任何程序,能获取专网中在网设备的IP地址、MAC地址、品牌、型号、所属地址组、部门、发现时间等信息。
前述的用于视频网系统的物联网准入网关中,所述一机一档管理功能支持添加、删除、修改“一机一档”地段类型,还支持导入、导出设备“一机一档”信息,符合公安部“一机一档”管理要求。
前述的用于视频网系统的物联网准入网关中,设备与资产管理模块识别到的终端信息可编辑,从而能对专网的摄像头、智能终端设备、电脑设备、网络设备进行注册、登记(包括MAC地址、物理位置、IP地址、型号、厂商等),统一注册、统一审批、落实责任人,可以对所有IP设备进行规范化管理。
前述的用于视频网系统的物联网准入网关中,所述设备安全准入控制模块包括设备准入模块和客户机准入模块;所述设备准入模块包括在网运行设备入网、新视频设备入网和其他设备入网三种设备入网控制流程。
前述的用于视频网系统的物联网准入网关中,所述客户机准入模块其具体操作流程如下:客户机访问网内设备端口时,使其自动跳转至注册页面,客户机注册并激活后经审批合格才能准入入网。
前述的用于视频网系统的物联网准入网关中,所述客户机准入模块能设置客户机准入ip地址范围、客户机拦截白名单、准入策略、设置拦截设备。
前述的用于视频网系统的物联网准入网关中,所述客户机准入模块能显示客户机设备的姓名、账户、ip地址、邮箱、发现时间、注册时间、登录时间等信息。
前述的用于视频网系统的物联网准入网关中,所述设备准入模块的三种设备入网控制流程具体如下:
在网运行设备入网流程:1、物联网准入网关自动监控在网设备;2、自动识别在网设备类型;3、非视频设备和网络设备进行隔离、告警和定位操作;4、视频设备、网络设备和合法终端进行准入后监控。
新视频设备入网流程:1、新视频设备接入;2、物联网准入网关自动监控并识别设备类型;3、管理员进行登记注册;4、未登记注册的进行隔离、告警操作;5、已登记注册的进行准入后监控。
其他设备入网流程:1、其他设备接入;2、物联网准入网关自动监控并识别设备类型;3、管理员进行登记注册;4、未登记注册的进行隔离、告警操作;5、已登记注册的进行准入后监控。
前述的用于视频网系统的物联网准入网关中,所述安全攻击防范模块异常网络行为分析模块和阻断模块;所述异常网络行为分析模块通过白名单过滤和行为分析识别来发现异常网络行为;所述阻断模块根据异常网络行为来对产生异常网络行为的设备进行阻断。
前述的用于视频网系统的物联网准入网关中,所述安全攻击防范模块支持异常网络行为报警列表;支持查看异常网络行为报警的payload信息;支持通过协议、源IP、源端口、目的IP、目的端口、时间查询异常网络行为报警。
前述的用于视频网系统的物联网准入网关中,所述异常网络行为报警列表至少包括策略名称、级别、协议类型、源地址、源端口、目的地址、目的端口、字节数、包数、报警时间、payload等信息。
前述的用于视频网系统的物联网准入网关中,所述异常网络行为为不符合视频业务访问逻辑及不符合视频流传输逻辑的访问关系;所述异常网络行为包括视频设备异常行为、主机设备异常行为、其他设备异常行为和边界异常行为四大类。
前述的用于视频网系统的物联网准入网关中,所述白名单过滤其具体流程如下:
a、设定白名单:自动将正常访问行为识别并设定为白名单;
b、网络流量过滤:通过白名单将网络流量过滤,筛选出非正常访问行为。
前述的用于视频网系统的物联网准入网关中,所述阻断模块包括如下多种阻断方式:
A、通过串行部署实现IP和会话阻断;
B、通过arp协议欺诈进行阻断;
C、通过交换机snmp协议关闭被阻断设备所连接交换机端口进行阻断;
D、通过交换机telnet或ssh模式联动交换机阻断。
前述的用于视频网系统的物联网准入网关中,所述设备可用性监测模块包括设备离线监测、地址冲突监测、设备流量监测、类型型号变化监测和摄像头图像质量监测;
所述设备流量监测通过旁路抓包方式对在网设备进行流量实时监测;
所述地址冲突监测能自动检查设备IP冲突和MAC冲突并报警;
所述类型型号变化监测根据同一IP、MAC持续监控设备类型变化,当发生设备类型异常变更时进行报警;
设备离线监测以设备识别为基础,实时监测在网设备的在线状态并对离线设备进行整理并报警。
前述的用于视频网系统的物联网准入网关中,所述设备流量监测具体为对所有在网设备进行上下行流量、上下行流量包和发现时间的实时监控。
前述的用于视频网系统的物联网准入网关中,所述地址冲突监测还支持地址冲突设备列表展示,所述地址冲突设备列表至少包括IP地址、MAC地址、设备类型、地址组、部门、管理员、冲突MAC、冲突设备类型、状态等信息。
前述的用于视频网系统的物联网准入网关中,所述设备离线监测还支持离线设备列表,所述离线设备列表至少包括IP地址、MAC地址、设备类型、地址组、部门、管理员、最近离线时间、恢复时间、离线时间、状态等信息。
前述的用于视频网系统的物联网准入网关中,所述摄像头图像质量监测能进行摄像机设备的黑屏、白屏、模糊状态监控报警;
所述摄像头图像质量监测支持配置视频设备的onvif口令,能获取视频设备码流,从而通过点击码流查看视频流;
所述摄像头图像质量监测能记录并查看故障记录;
所述摄像头图像质量监测设有码流列表页面,能通过点击异常的码流编号视频流图标播放有问题的视频。
前述的用于视频网系统的物联网准入网关中,所述视频设备安全风险漏洞探知模块包括弱口令模块和安全漏洞模块;
所述弱口令模块对在网设备进行探测扫描并记录为设备弱口令列表;所述设备弱口令列表至少包括IP地址、MAC地址、设备类型、品牌、型号、发现时间、风险协议、风险账号、风险密码、风险端口等信息。
前述的用于视频网系统的物联网准入网关中,所述弱口令模块内置多家视频设备厂商默认口令、常用弱口令集,并支持自定义弱口令。
前述的用于视频网系统的物联网准入网关中,所述安全漏洞模块设有视频漏洞检测功能,能基于型号、软件版本和脚本进行漏洞检测,并提供加固方案。
前述的用于视频网系统的物联网准入网关中,所述云盾网关系统还包括IP地址管理功能,支持IP地址自动管理,进行已用IP、可用IP的详细化管理。
前述的用于视频网系统的物联网准入网关中,所述云盾网关系统还包括设备地理分布管理功能,通过设备地理分布地图对设备状态进行监控,支持显示全部设备、待准入设备、冲突设备、故障设备、行为异常设备;
所述设备地理分布管理功能还支持选择显示范围,显示设备详情;支持设备经纬度,支持调整和保存设备位置。
前述的用于视频网系统的物联网准入网关中,所述云盾网关系统还具有接入视频码流地址探测功能,通过采用私有协议接口,onvif、PSIA视频协议接口,Arp、Ping等进行多种探测,实现对模拟摄像头、社区街道办接入、4G接入视频设备管理。
前述的用于视频网系统的物联网准入网关中,所述云盾网关系统还设有非法外联监测功能,无需在终端和坐席电脑上安装检测终端即可对终端和坐席的非法外联操作进行检测和报警。
前述的用于视频网系统的物联网准入网关中,所述云盾网关系统为集中管理多级部署安全体系,能进行总体安全状态监控和多级分布式部署。
与现有技术相比,本发明根据目前视频专网存在的安全隐患提供了一种物联网准入网关,通过在原有的视频专网的网络架构基础上增设一台采集分析引擎和若干台探测引擎,由硬件设备和云盾网关系统相结合,无需改变原有的视频专网网络架构也不用安装任何代理,采用双引擎(采集分析引擎和探测引擎)的工作方式,实现了视频专网有效管理的同时有保证了其相对封闭和隔离;
通过设备与资产管理模块,以设备识别为基础,从而实现设备、资产的自动识别与管理,提供全面的设备、资产信息列表,便于用户直观的了解和管理;
通过设备安全准入控制模块,对设备接入视频专网进行全面的管控和监测,从接入源头就开始防范非法或异常行为,加强视频专网的安全;
通过设备可用性监测模块,全面且24小时的对基础设施进行可用性监测,便于用户全面了解设备运行状况;
通过安全攻击防范模块,基于机器学习,自动化识别并判断是否有网络异常行为或非法行为,并自动阻断,加强视频专网的安全;
通过视频设备安全风险漏洞探知模块,提前发现视频设备可能存在的安全隐患和安全漏洞,自动加固,加强视频专网的安全;
本发明集设备管理、安全准入、可用性监测、攻击防范、漏洞探知为一体,集设备自动发现、设备状态检测、漏洞自动探知、接入自动甄别、行为自动分析、违规自动阻断等多种功能于一身,从边界到行为再到核心数据,逐步深入,形成立体监控,建立纵深防御,在加强安全运行管理同时,还将用户从繁重的日常事务中解放出来,轻松实现视频专网内资产一目了然、设备故障实时报警、安全风险实时掌控、非法入侵及时阻断等功能,全方位解决视频专网安全运行问题。
附图说明
图1是本发明的结构图;
图2是本发明的旁路部署图;
图3是本发明的串行部署图;
图4是本发明的分流部署图;
图5是在网运行设备入网流程图;
图6是新视频设备入网流程图;
图7是其他设备入网流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步的说明,但并不作为对本发明限制的依据。
实施例。一种用于视频网系统的物联网准入网关,如图1-7所示,包括硬件设备和云盾网关系统;所述硬件设备包括一台采集分析引擎和若干台探测引擎;
所述云盾网关系统包括设备与资产管理模块、设备安全准入控制模块、设备可用性监测模块、安全攻击防范模块、视频设备风险漏洞探知模块和基础设施管理模块。
所述采集分析引擎和若干台探测引擎包括三种部署方式,分别为旁路部署、串行部署和分流部署。
所述设备与资产管理模块通过自动化采集自动识别设备详细信息并进行监控管理,所述设备详细信息包括IP、MAC、品牌、类型、交换机端口、唯一标识符等;
所述设备安全准入控制模块通过灵活的准入策略来实现准入控制和准入监控;
所述设备可用性监测模块通过自动化监测来实现设备可用性监测;
所述安全攻击防范模块基于机器学习,自动化分析识别判断是否有异常行为;
所述视频设备安全风险漏洞探知模块通过主动探测视频设备安全漏洞并产生风险报警。
所述设备与资产管理模块包括设备识别功能和一机一档管理功能;所述设备识别功能支持onvif、psia、视频厂商私标、系统指纹、服务指纹、web指纹等多种视频设备和物联网设备发现方法。
所述设备识别功能还包括内置识别规则,能根据预定义规则的组合发现设备信息。
所述设备识别功能还能使用探测引擎来检测网络中的视频设备,通过设备指纹特征精确识别设备类型,其识别类型覆盖主体的摄像头、NVR、CVR、DVR、视频网关、流媒体服务器等视频设备。
所述设备识别功能无需在专网原有设备中安装任何程序,能获取专网中在网设备的IP地址、MAC地址、品牌、型号、所属地址组、部门、发现时间等信息。
所述一机一档管理功能支持添加、删除、修改“一机一档”地段类型,还支持导入、导出设备“一机一档”信息,符合公安部“一机一档”管理要求。
设备与资产管理模块识别到的终端信息可编辑,从而能对专网的摄像头、智能终端设备、电脑设备、网络设备进行注册、登记(包括MAC地址、物理位置、IP地址、型号、厂商等),统一注册、统一审批、落实责任人,可以对所有IP设备进行规范化管理。
所述设备安全准入控制模块包括设备准入模块和客户机准入模块;所述设备准入模块包括在网运行设备入网、新视频设备入网和其他设备入网三种设备入网控制流程。
所述客户机准入模块其具体操作流程如下:客户机访问网内设备端口时,使其自动跳转至注册页面,客户机注册并激活后经审批合格才能准入入网。
所述客户机准入模块能设置客户机准入ip地址范围、客户机拦截白名单、准入策略、设置拦截设备。
所述客户机准入模块能显示客户机设备的姓名、账户、ip地址、邮箱、发现时间、注册时间、登录时间等信息。
所述设备准入模块的三种设备入网控制流程具体如下:
在网运行设备入网流程:1、物联网准入网关自动监控在网设备;2、自动识别在网设备类型;3、非视频设备和网络设备进行隔离、告警和定位操作;4、视频设备、网络设备和合法终端进行准入后监控。
新视频设备入网流程:1、新视频设备接入;2、物联网准入网关自动监控并识别设备类型;3、管理员进行登记注册;4、未登记注册的进行隔离、告警操作;5、已登记注册的进行准入后监控。
其他设备入网流程:1、其他设备接入;2、物联网准入网关自动监控并识别设备类型;3、管理员进行登记注册;4、未登记注册的进行隔离、告警操作;5、已登记注册的进行准入后监控。
所述安全攻击防范模块异常网络行为分析模块和阻断模块;所述异常网络行为分析模块通过白名单过滤和行为分析识别来发现异常网络行为;所述阻断模块根据异常网络行为来对产生异常网络行为的设备进行阻断。
所述安全攻击防范模块支持异常网络行为报警列表;支持查看异常网络行为报警的payload信息;支持通过协议、源IP、源端口、目的IP、目的端口、时间查询异常网络行为报警。
所述异常网络行为报警列表至少包括策略名称、级别、协议类型、源地址、源端口、目的地址、目的端口、字节数、包数、报警时间、payload等信息。
所述异常网络行为为不符合视频业务访问逻辑及不符合视频流传输逻辑的访问关系;所述异常网络行为包括视频设备异常行为、主机设备异常行为、其他设备异常行为和边界异常行为四大类。
所述白名单过滤其具体流程如下:
a、设定白名单:自动将正常访问行为识别并设定为白名单;
b、网络流量过滤:通过白名单将网络流量过滤,筛选出非正常访问行为。
所述阻断模块包括如下多种阻断方式:
A、通过串行部署实现IP和会话阻断;
B、通过arp协议欺诈进行阻断;
C、通过交换机snmp协议关闭被阻断设备所连接交换机端口进行阻断;
D、通过交换机telnet或ssh模式联动交换机阻断。
所述设备可用性监测模块包括设备离线监测、地址冲突监测、设备流量监测、类型型号变化监测和摄像头图像质量监测;
所述设备流量监测通过旁路抓包方式对在网设备进行流量实时监测;
所述地址冲突监测能自动检查设备IP冲突和MAC冲突并报警;
所述类型型号变化监测根据同一IP、MAC持续监控设备类型变化,当发生设备类型异常变更时进行报警;
设备离线监测以设备识别为基础,实时监测在网设备的在线状态并对离线设备进行整理并报警。
所述设备流量监测具体为对所有在网设备进行上下行流量、上下行流量包和发现时间的实时监控。
所述地址冲突监测还支持地址冲突设备列表展示,所述地址冲突设备列表至少包括IP地址、MAC地址、设备类型、地址组、部门、管理员、冲突MAC、冲突设备类型、状态等信息。
所述设备离线监测还支持离线设备列表,所述离线设备列表至少包括IP地址、MAC地址、设备类型、地址组、部门、管理员、最近离线时间、恢复时间、离线时间、状态等信息。
所述摄像头图像质量监测能进行摄像机设备的黑屏、白屏、模糊状态监控报警;
所述摄像头图像质量监测支持配置视频设备的onvif口令,能获取视频设备码流,从而通过点击码流查看视频流;
所述摄像头图像质量监测能记录并查看故障记录;
所述摄像头图像质量监测设有码流列表页面,能通过点击异常的码流编号视频流图标播放有问题的视频。
所述视频设备安全风险漏洞探知模块包括弱口令模块和安全漏洞模块;
所述弱口令模块对在网设备进行探测扫描并记录为设备弱口令列表;所述设备弱口令列表至少包括IP地址、MAC地址、设备类型、品牌、型号、发现时间、风险协议、风险账号、风险密码、风险端口等信息。
所述弱口令模块内置多家视频设备厂商默认口令、常用弱口令集,并支持自定义弱口令。
所述安全漏洞模块设有视频漏洞检测功能,能基于型号、软件版本和脚本进行漏洞检测,并提供加固方案。
所述云盾网关系统还包括IP地址管理功能,支持IP地址自动管理,进行已用IP、可用IP的详细化管理。
所述云盾网关系统还包括设备地理分布管理功能,通过设备地理分布地图对设备状态进行监控,支持显示全部设备、待准入设备、冲突设备、故障设备、行为异常设备;
所述设备地理分布管理功能还支持选择显示范围,显示设备详情;支持设备经纬度,支持调整和保存设备位置。
所述云盾网关系统还具有接入视频码流地址探测功能,通过采用私有协议接口,onvif、PSIA视频协议接口,Arp、Ping等进行多种探测,实现对模拟摄像头、社区街道办接入、4G接入视频设备管理。
所述云盾网关系统还设有非法外联监测功能,无需在终端和坐席电脑上安装检测终端即可对终端和坐席的非法外联操作进行检测和报警。
所述云盾网关系统为集中管理多级部署安全体系,能进行总体安全状态监控和多级分布式部署。
所述物联网准入网关,所述采集分析引擎部署在核心交换机,分析上联链路镜像口流量,其网络流量镜像配置需要镜像分局上连链路所接入交换机端口的双向通讯流量;所述探测引擎部署在核心交换机。
Claims (9)
1.一种用于视频网系统的物联网准入网关,其特征在于:包括硬件设备和云盾网关系统;所述硬件设备包括一台采集分析引擎和若干台探测引擎;
所述云盾网关系统包括设备与资产管理模块、设备安全准入控制模块、设备可用性监测模块、安全攻击防范模块、视频设备风险漏洞探知模块和基础设施管理模块。
2.根据权利要求1所述的一种用于视频网系统的物联网准入网关,其特征在于:所述设备与资产管理模块通过自动化采集自动识别设备详细信息并进行监控管理,所述设备详细信息至少包括IP和MAC;
所述设备安全准入控制模块通过灵活的准入策略来实现准入控制和准入监控;
所述设备可用性监测模块通过自动化监测来实现设备可用性监测;
所述安全攻击防范模块基于机器学习,自动化分析识别判断是否有异常行为;
所述视频设备安全风险漏洞探知模块通过主动探测视频设备安全漏洞并产生风险报警。
3.根据权利要求2所述的一种用于视频网系统的物联网准入网关,其特征在于:所述设备与资产管理模块包括设备识别功能和一机一档管理功能;所述设备识别功能通过至少包括onvif、psia或视频厂商私标的方式发现并识别设备。
4.根据权利要求2所述的一种用于视频网系统的物联网准入网关,其特征在于:所述设备安全准入控制模块包括设备准入模块和客户机准入模块;所述设备准入模块包括在网运行设备入网、新视频设备入网和其他设备入网三种设备入网控制流程。
5.根据权利要求2所述的一种用于视频网系统的物联网准入网关,其特征在于:所述安全攻击防范模块包括异常网络行为分析模块和阻断模块;所述异常网络行为分析模块通过白名单过滤和行为分析识别来发现异常网络行为;所述阻断模块根据异常网络行为来对产生异常网络行为的设备进行阻断。
6.根据权利要求5所述的一种用于视频网系统的物联网准入网关,其特征在于,所述白名单过滤其具体流程如下:
a、设定白名单:自动将正常访问行为识别并设定为白名单;
b、网络流量过滤:通过白名单将网络流量过滤,筛选出非正常访问行为。
7.根据权利要求5所述的一种用于视频网系统的物联网准入网关,其特征在于,所述阻断模块包括如下多种阻断方式:
A、通过串行部署实现IP和会话阻断;
B、通过arp协议欺诈进行阻断;
C、通过交换机snmp协议关闭被阻断设备所连接交换机端口进行阻断;
D、通过交换机telnet或ssh模式联动交换机阻断。
8.根据权利要求2所述的一种用于视频网系统的物联网准入网关,其特征在于:所述设备可用性监测模块包括设备离线监测、地址冲突监测、设备流量监测、类型型号变化监测和摄像头图像质量监测;
所述设备流量监测通过旁路抓包方式对在网设备进行流量实时监测;
所述地址冲突监测能自动检查设备IP冲突和MAC冲突并报警;
所述类型型号变化监测根据同一IP、MAC持续监控设备类型变化,当发生设备类型异常变更时进行报警;
设备离线监测以设备识别为基础,实时监测在网设备的在线状态并对离线设备进行整理并报警。
9.根据权利要求2所述的一种用于视频网系统的物联网准入网关,其特征在于:所述视频设备安全风险漏洞探知模块包括弱口令模块和安全漏洞模块;
所述弱口令模块对在网设备进行探测扫描并记录为设备弱口令列表;所述设备弱口令列表至少包括IP地址、MAC地址和风险密码这些信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011291380.0A CN112565202A (zh) | 2020-11-18 | 2020-11-18 | 一种用于视频网系统的物联网准入网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011291380.0A CN112565202A (zh) | 2020-11-18 | 2020-11-18 | 一种用于视频网系统的物联网准入网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112565202A true CN112565202A (zh) | 2021-03-26 |
Family
ID=75044670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011291380.0A Pending CN112565202A (zh) | 2020-11-18 | 2020-11-18 | 一种用于视频网系统的物联网准入网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565202A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114979195A (zh) * | 2022-03-28 | 2022-08-30 | 国网浙江省电力有限公司金华供电公司 | 物联网准入网关控制方法 |
| CN115086035A (zh) * | 2022-06-15 | 2022-09-20 | 北京融讯智晖技术有限公司 | 一种视频云指挥系统用信息识别系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791047A (zh) * | 2016-02-29 | 2016-07-20 | 农忠海 | 一种安全视频专网网络管理系统的控制方法 |
| US20160337384A1 (en) * | 2015-05-15 | 2016-11-17 | Oracle International Corporation | Threat protection for real-time communications gateways |
| CN108600236A (zh) * | 2018-04-28 | 2018-09-28 | 张红彬 | 视频监控网络智能信息安全综合管理系统 |
| CN109447048A (zh) * | 2018-12-25 | 2019-03-08 | 苏州闪驰数控系统集成有限公司 | 一种人工智能预警系统 |
| US20190273669A1 (en) * | 2016-10-26 | 2019-09-05 | Orange | Dynamic and interactive control of a residential gateway connected to a communication network |
| CN110958262A (zh) * | 2019-12-15 | 2020-04-03 | 国网山东省电力公司电力科学研究院 | 电力行业泛在物联网安全防护网关系统、方法及部署架构 |
| CN111163115A (zh) * | 2020-04-03 | 2020-05-15 | 深圳市云盾科技有限公司 | 一种基于双引擎的物联网安全监测方法及系统 |
-
2020
- 2020-11-18 CN CN202011291380.0A patent/CN112565202A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160337384A1 (en) * | 2015-05-15 | 2016-11-17 | Oracle International Corporation | Threat protection for real-time communications gateways |
| CN105791047A (zh) * | 2016-02-29 | 2016-07-20 | 农忠海 | 一种安全视频专网网络管理系统的控制方法 |
| US20190273669A1 (en) * | 2016-10-26 | 2019-09-05 | Orange | Dynamic and interactive control of a residential gateway connected to a communication network |
| CN108600236A (zh) * | 2018-04-28 | 2018-09-28 | 张红彬 | 视频监控网络智能信息安全综合管理系统 |
| CN109447048A (zh) * | 2018-12-25 | 2019-03-08 | 苏州闪驰数控系统集成有限公司 | 一种人工智能预警系统 |
| CN110958262A (zh) * | 2019-12-15 | 2020-04-03 | 国网山东省电力公司电力科学研究院 | 电力行业泛在物联网安全防护网关系统、方法及部署架构 |
| CN111163115A (zh) * | 2020-04-03 | 2020-05-15 | 深圳市云盾科技有限公司 | 一种基于双引擎的物联网安全监测方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114979195A (zh) * | 2022-03-28 | 2022-08-30 | 国网浙江省电力有限公司金华供电公司 | 物联网准入网关控制方法 |
| CN115086035A (zh) * | 2022-06-15 | 2022-09-20 | 北京融讯智晖技术有限公司 | 一种视频云指挥系统用信息识别系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lakkaraju et al. | NVisionIP: netflow visualizations of system state for security situational awareness | |
| CN111711616B (zh) | 网络区域边界安全防护系统、方法和设备 | |
| US8272054B2 (en) | Computer network intrusion detection system and method | |
| CN110958262A (zh) | 电力行业泛在物联网安全防护网关系统、方法及部署架构 | |
| US8146160B2 (en) | Method and system for authentication event security policy generation | |
| CN107995192B (zh) | 一种网络边界违规内联的检测与阻断系统 | |
| CN109729180A (zh) | 全体系智慧社区平台 | |
| CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
| US20040193943A1 (en) | Multiparameter network fault detection system using probabilistic and aggregation analysis | |
| US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
| CN110493195B (zh) | 一种网络准入控制方法及系统 | |
| US20050021683A1 (en) | Method and apparatus for correlating network activity through visualizing network data | |
| CN111277421B (zh) | 一种网络摄像机接入安全防护的系统和方法 | |
| CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
| CN112565202A (zh) | 一种用于视频网系统的物联网准入网关 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| CN114553471A (zh) | 一种租户安全管理系统 | |
| CN108712369A (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
| CN109150853A (zh) | 基于角色访问控制的入侵检测系统及方法 | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
| CN116055185A (zh) | 分布式网络信息发布系统的主动网络安全防御方法和系统 | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| Koch et al. | Architecture for evaluating and correlating NIDS in real-World networks | |
| Cisco | Glossary |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210326 |