CN112953928A - 一种视频监控前端设备的网络安全防护系统和方法 - Google Patents
一种视频监控前端设备的网络安全防护系统和方法 Download PDFInfo
- Publication number
- CN112953928A CN112953928A CN202110169855.7A CN202110169855A CN112953928A CN 112953928 A CN112953928 A CN 112953928A CN 202110169855 A CN202110169855 A CN 202110169855A CN 112953928 A CN112953928 A CN 112953928A
- Authority
- CN
- China
- Prior art keywords
- equipment
- video monitoring
- monitoring front
- network
- end equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
Abstract
本发明涉及一种视频监控前端设备的网络安全防护系统和方法,所述的系统包括:视频监控前端设备感知发现模块,该模块中,基于网络协议,按照划分的子网网段,对视频监控前端设备所在的子网进行定时定期、分区分域扫描,通过解析网络应答信息,感知发现存在的设备I P、MAC、特征码等基本信息;视频监控前端设备台账梳理模块,视频监控前端设备入网认证模块,视频监控前端设备安全防护模块,该模块中,在对视频监控前端设备进行感知发现时,同时采集设备特征码作为设备指纹,将设备指纹加入指纹基准库;当设备接入网络时,除了进行MAC认证,同时也验证当前设备指纹是否与指纹基准库匹配。
Description
技术领域
本发明属于网络安全技术领域,涉及一种视频监控前端设备的网络安全防护系统和方法。
背景技术
随着互联网技术的快速发展,联网设备数量、品类海量增加,接入模式也发生巨大转变,网络中频繁出现的无人值守设备、视频监控等各类IP物联网终端,依靠传统的网管产品无法有效监控和管理,对网络稳定运行形成了很大挑战。视频监控设备分布广、数量大、种类多,多部署于道路、公共场所等重点部位,物理和网络安全防护能力差,易被网络入侵,因此对视频监控设备的管理和安全防护至关重要。
有鉴于此,本发明提供一种视频监控前端设备的网络安全防护系统和方法;以解决现有技术中存在的物理和网络安全防护能力差,易被网络入侵的技术缺陷,是非常有必要的。
发明内容
本发明的目的在于,针对上述现有技术存在的缺陷,提供设计一种视频监控前端设备的网络安全防护系统和方法,以解决上述技术问题。
为实现上述目的,本发明给出以下技术方案:
一种视频监控前端设备的网络安全防护系统,包括:
视频监控前端设备感知发现模块,该模块中,
基于网络协议(SNMP、ICMP),按照划分的子网网段,对视频监控前端设备所在的子网进行定时定期、分区分域扫描,通过解析网络应答信息,感知发现存在的设备IP、MAC、特征码等基本信息。必要时借助本发明提供的远程探针扫描器,在每个C类地址网段下安装,提高设备信息采集的准度和精度。
视频监控前端设备台账梳理模块,该模块中,
在上一步获取视频监控前端设备信息的基础上,将设备信息纳入台账管理,对基于网络协议自动感知发现的设备,通过人工确认进行设备信息补录,除自动感知采集的信息外,将设备的位置、所有人、使用人、厂商、品牌、型号等信息补充完整,并形成基线。只有纳入基线(代表经人工确认过)的设备,才能进行后续的入网操作。
视频监控前端设备入网认证模块,该模块中,
在视频监控前端设备接入的网络交换机上,开启MAC认证。MAC认证是一种通过验证端口下设备的MAC地址信息来到达保证端口安全的技术,因为视频监控前端设备无法按照认证客户端软件,而MAC地址作为唯一的标准,在与之相连的交换机上开启MAC认证之后,配合本发明中提供的认证服务器,可通过针对MAC地址的校验,来控制视频监控前端设备的入网和认证。
视频监控前端设备安全防护模块,该模块中,
虽然视频监控前端设备在接入网络时进行了基于MAC地址的认证,但由于设备的特殊性,很容易被攻击者通过仿冒IP和MAC将伪造设备接入网络,进而实施一系列的网络攻击和破坏。本发明提供基于设备指纹的防伪冒机制,在对视频监控前端设备进行感知发现时,同时采集设备特征码作为设备指纹,经人工确认加入基准时,同时将设备指纹加入指纹基准库。当设备接入网络时,除了进行MAC认证,同时也验证当前设备指纹是否与指纹基准库匹配。如果不匹配,则认为该设备受到仿冒攻击,自动向网络交换机发送端口关闭指令,将其远程断开连接。
一种视频监控前端设备的网络安全防护方法,包括以下步骤:
S1:视频监控前端设备感知发现的步骤:
基于网络协议(SNMP、ICMP),按照划分的子网网段,对视频监控前端设备所在的子网进行定时定期、分区分域扫描,通过解析网络应答信息,感知发现存在的设备IP、MAC、特征码等基本信息。必要时借助本发明提供的远程探针扫描器,在每个C类地址网段下安装,提高设备信息采集的准度和精度。
S2:视频监控前端设备台账梳理的步骤:
在上一步获取视频监控前端设备信息的基础上,将设备信息纳入台账管理,对基于网络协议自动感知发现的设备,通过人工确认进行设备信息补录,除自动感知采集的信息外,将设备的位置、所有人、使用人、厂商、品牌、型号等信息补充完整,并形成基线。只有纳入基线(代表经人工确认过)的设备,才能进行后续的入网操作。
S3:视频监控前端设备入网认证的步骤:
在视频监控前端设备接入的网络交换机上,开启MAC认证。MAC认证是一种通过验证端口下设备的MAC地址信息来到达保证端口安全的技术,因为视频监控前端设备无法按照认证客户端软件,而MAC地址作为唯一的标准,在与之相连的交换机上开启MAC认证之后,配合本发明中提供的认证服务器,可通过针对MAC地址的校验,来控制视频监控前端设备的入网和认证。
S4:视频监控前端设备安全防护的步骤:
虽然视频监控前端设备在接入网络时进行了基于MAC地址的认证,但由于设备的特殊性,很容易被攻击者通过仿冒IP和MAC将伪造设备接入网络,进而实施一系列的网络攻击和破坏。本发明提供基于设备指纹的防伪冒机制,在对视频监控前端设备进行感知发现时,同时采集设备特征码作为设备指纹,经人工确认加入基准时,同时将设备指纹加入指纹基准库。当设备接入网络时,除了进行MAC认证,同时也验证当前设备指纹是否与指纹基准库匹配。如果不匹配,则认为该设备受到仿冒攻击,自动向网络交换机发送端口关闭指令,将其远程断开连接。
本发明的有益效果在于,基于通用的网络协议采集设备信息,通过自研算法发送协议请求并对协议应答报文进行解析,网络资源消耗低,采集性能高效。支持多种品牌和型号的视频前端设备的类型识别,并采集特征码形成设备的基准指纹库,识别精准度高。通过准入+认证机制实现可信设备的入网和管控,配合设备基准指纹库,对设备入网行为进行实时监控、告警和处置,有效防御非法接入和仿冒攻击,保障设备和网络安全。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著地进步,其实施的有益效果也是显而易见的。
附图说明
图1是本发明部署示意图。
图2是本发明的架构示意图。
具体实施方式
下面结合附图并通过具体实施例对本发明进行详细阐述,以下实施例是对本发明的解释,而本发明并不局限于以下实施方式。
实施例1:
如图1和2所示,本实施例提供的一种视频监控前端设备的网络安全防护系统,包括:
视频监控前端设备感知发现模块,该模块中,
基于网络协议(SNMP、ICMP),按照划分的子网网段,对视频监控前端设备所在的子网进行定时定期、分区分域扫描,通过解析网络应答信息,感知发现存在的设备IP、MAC、特征码等基本信息。必要时借助本发明提供的远程探针扫描器,在每个C类地址网段下安装,提高设备信息采集的准度和精度。
视频监控前端设备台账梳理模块,该模块中,
在上一步获取视频监控前端设备信息的基础上,将设备信息纳入台账管理,对基于网络协议自动感知发现的设备,通过人工确认进行设备信息补录,除自动感知采集的信息外,将设备的位置、所有人、使用人、厂商、品牌、型号等信息补充完整,并形成基线。只有纳入基线(代表经人工确认过)的设备,才能进行后续的入网操作。
视频监控前端设备入网认证模块,该模块中,
在视频监控前端设备接入的网络交换机上,开启MAC认证。MAC认证是一种通过验证端口下设备的MAC地址信息来到达保证端口安全的技术,因为视频监控前端设备无法按照认证客户端软件,而MAC地址作为唯一的标准,在与之相连的交换机上开启MAC认证之后,配合本发明中提供的认证服务器,可通过针对MAC地址的校验,来控制视频监控前端设备的入网和认证。
视频监控前端设备安全防护模块,该模块中,
虽然视频监控前端设备在接入网络时进行了基于MAC地址的认证,但由于设备的特殊性,很容易被攻击者通过仿冒IP和MAC将伪造设备接入网络,进而实施一系列的网络攻击和破坏。本发明提供基于设备指纹的防伪冒机制,在对视频监控前端设备进行感知发现时,同时采集设备特征码作为设备指纹,经人工确认加入基准时,同时将设备指纹加入指纹基准库。当设备接入网络时,除了进行MAC认证,同时也验证当前设备指纹是否与指纹基准库匹配。如果不匹配,则认为该设备受到仿冒攻击,自动向网络交换机发送端口关闭指令,将其远程断开连接。
实施例2:
本实施例提供一种视频监控前端设备的网络安全防护方法,包括以下步骤:
S1:视频监控前端设备感知发现的步骤:
基于网络协议(SNMP、ICMP),按照划分的子网网段,对视频监控前端设备所在的子网进行定时定期、分区分域扫描,通过解析网络应答信息,感知发现存在的设备IP、MAC、特征码等基本信息。必要时借助本发明提供的远程探针扫描器,在每个C类地址网段下安装,提高设备信息采集的准度和精度。
S2:视频监控前端设备台账梳理的步骤:
在上一步获取视频监控前端设备信息的基础上,将设备信息纳入台账管理,对基于网络协议自动感知发现的设备,通过人工确认进行设备信息补录,除自动感知采集的信息外,将设备的位置、所有人、使用人、厂商、品牌、型号等信息补充完整,并形成基线。只有纳入基线(代表经人工确认过)的设备,才能进行后续的入网操作。
S3:视频监控前端设备入网认证的步骤:
在视频监控前端设备接入的网络交换机上,开启MAC认证。MAC认证是一种通过验证端口下设备的MAC地址信息来到达保证端口安全的技术,因为视频监控前端设备无法按照认证客户端软件,而MAC地址作为唯一的标准,在与之相连的交换机上开启MAC认证之后,配合本发明中提供的认证服务器,可通过针对MAC地址的校验,来控制视频监控前端设备的入网和认证。
S4:视频监控前端设备安全防护的步骤:
虽然视频监控前端设备在接入网络时进行了基于MAC地址的认证,但由于设备的特殊性,很容易被攻击者通过仿冒IP和MAC将伪造设备接入网络,进而实施一系列的网络攻击和破坏。本发明提供基于设备指纹的防伪冒机制,在对视频监控前端设备进行感知发现时,同时采集设备特征码作为设备指纹,经人工确认加入基准时,同时将设备指纹加入指纹基准库。当设备接入网络时,除了进行MAC认证,同时也验证当前设备指纹是否与指纹基准库匹配。如果不匹配,则认为该设备受到仿冒攻击,自动向网络交换机发送端口关闭指令,将其远程断开连接。
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都应落在本发明的保护范围内。
Claims (6)
1.一种视频监控前端设备的网络安全防护系统,其特征在于,包括:视频监控前端设备感知发现模块、视频监控前端设备台账梳理模块、视频监控前端设备入网认证模块以及视频监控前端设备安全防护模块;
所述的视频监控前端设备感知发现模块连接到视频监控前端设备台账梳理模块,所述的视频监控前端设备台账梳理模块连接到视频监控前端设备入网认证模块,所述的视频监控前端设备入网认证模块连接到视频监控前端设备安全防护模块;
所述的视频监控前端设备感知发现模块中,对视频监控前端设备所在的子网进行定时定期、分区分域扫描,通过解析网络应答信息,感知发现存在的设备IP、MAC、特征码基本信息;
所述的视频监控前端设备台账梳理模块中,将视频监控前端设备感知发现模块感知到的设备信息纳入台账管理;
所述的视频监控前端设备入网认证模块中,在视频监控前端设备接入的网络交换机上,开启MAC认证,通过针对MAC地址的校验,来控制视频监控前端设备的入网和认证;
所述的视频监控前端设备安全防护模块中,
在对视频监控前端设备进行感知发现时,同时采集设备特征码作为设备指纹,将设备指纹加入指纹基准库;当设备接入网络时,除了进行MAC认证,同时也验证当前设备指纹是否与指纹基准库匹配;如果不匹配,则认为该设备受到仿冒攻击,自动向网络交换机发送端口关闭指令,将其远程断开连接。
2.根据权利要求1所述的一种视频监控前端设备的网络安全防护系统,其特征在于,所述的视频监控前端设备感知发现模块中,基于网络协议,按照划分的子网网段对视频监控前端设备所在的子网进行定时定期、分区分域扫描。
3.根据权利要求2所述的一种视频监控前端设备的网络安全防护系统,其特征在于,所述的视频监控前端设备台账梳理模块中,对基于网络协议自动感知发现的设备,通过人工确认进行设备信息补录,除自动感知采集的信息外,将设备的位置、所有人、使用人、厂商、品牌、型号等信息补充完整,并形成基线;只有纳入基线的设备,才能进行后续的入网操作。
4.一种视频监控前端设备的网络安全防护方法,其特征在于,包括以下步骤:
S1:视频监控前端设备感知发现的步骤:
对视频监控前端设备所在的子网进行定时定期、分区分域扫描,通过解析网络应答信息,感知发现存在的设备IP、MAC、特征码基本信息;
S2:视频监控前端设备台账梳理的步骤:
将步骤S1中感知到的设备信息纳入台账管理;
S3:视频监控前端设备入网认证的步骤:
在视频监控前端设备接入的网络交换机上,开启MAC认证,通过针对MAC地址的校验,来控制视频监控前端设备的入网和认证;
S4:视频监控前端设备安全防护的步骤:
在对视频监控前端设备进行感知发现时,同时采集设备特征码作为设备指纹,将设备指纹加入指纹基准库;当设备接入网络时,除了进行MAC认证,同时也验证当前设备指纹是否与指纹基准库匹配;如果不匹配,则认为该设备受到仿冒攻击,自动向网络交换机发送端口关闭指令,将其远程断开连接。
5.根据权利要求4所述的一种视频监控前端设备的网络安全防护方法,其特征在于,所述步骤S1中,基于网络协议,按照划分的子网网段对视频监控前端设备所在的子网进行定时定期、分区分域扫描。
6.根据权利要求5所述的一种视频监控前端设备的网络安全防护方法,其特征在于,所述步骤S2中,对基于网络协议自动感知发现的设备,通过人工确认进行设备信息补录,除自动感知采集的信息外,将设备的位置、所有人、使用人、厂商、品牌、型号等信息补充完整,并形成基线;只有纳入基线的设备,才能进行后续的入网操作。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011611271 | 2020-12-30 | ||
CN2020116112712 | 2020-12-30 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112953928A true CN112953928A (zh) | 2021-06-11 |
Family
ID=76243302
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110169855.7A Pending CN112953928A (zh) | 2020-12-30 | 2021-02-08 | 一种视频监控前端设备的网络安全防护系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112953928A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114143828A (zh) * | 2021-11-09 | 2022-03-04 | 中国联合网络通信集团有限公司 | 一种终端接入管理方法及装置 |
CN114726585A (zh) * | 2022-03-16 | 2022-07-08 | 山东鲁软数字科技有限公司 | 一种视频监控前端设备的网络安全防护系统和方法 |
CN115913614A (zh) * | 2022-09-19 | 2023-04-04 | 上海辰锐信息科技有限公司 | 一种网络准入装置及方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100088747A1 (en) * | 2008-10-07 | 2010-04-08 | Fink Russell A | Identification and Verification of Peripheral Devices Accessing a Secure Network |
WO2016148641A1 (en) * | 2015-03-18 | 2016-09-22 | Certis Cisco Security Pte Ltd | System and method for information security threat disruption via a border gateway |
CN107302527A (zh) * | 2017-06-09 | 2017-10-27 | 北京奇安信科技有限公司 | 一种设备异常检测方法及装置 |
CN108449339A (zh) * | 2018-03-16 | 2018-08-24 | 南京东科优信网络安全技术研究院有限公司 | 一种基于设备物理指纹特征的有线网络接入安全防护系统及方法 |
CN111277421A (zh) * | 2018-11-16 | 2020-06-12 | 慧盾信息安全科技(苏州)股份有限公司 | 一种网络摄像机接入安全防护的系统和方法 |
CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
CN111711616A (zh) * | 2020-05-29 | 2020-09-25 | 武汉蜘易科技有限公司 | 网络区域边界安全防护系统、方法和设备 |
-
2021
- 2021-02-08 CN CN202110169855.7A patent/CN112953928A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100088747A1 (en) * | 2008-10-07 | 2010-04-08 | Fink Russell A | Identification and Verification of Peripheral Devices Accessing a Secure Network |
WO2016148641A1 (en) * | 2015-03-18 | 2016-09-22 | Certis Cisco Security Pte Ltd | System and method for information security threat disruption via a border gateway |
CN107302527A (zh) * | 2017-06-09 | 2017-10-27 | 北京奇安信科技有限公司 | 一种设备异常检测方法及装置 |
CN108449339A (zh) * | 2018-03-16 | 2018-08-24 | 南京东科优信网络安全技术研究院有限公司 | 一种基于设备物理指纹特征的有线网络接入安全防护系统及方法 |
CN111277421A (zh) * | 2018-11-16 | 2020-06-12 | 慧盾信息安全科技(苏州)股份有限公司 | 一种网络摄像机接入安全防护的系统和方法 |
CN111711616A (zh) * | 2020-05-29 | 2020-09-25 | 武汉蜘易科技有限公司 | 网络区域边界安全防护系统、方法和设备 |
CN111565390A (zh) * | 2020-07-16 | 2020-08-21 | 深圳市云盾科技有限公司 | 一种基于设备画像的物联网设备风险控制方法及系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114143828A (zh) * | 2021-11-09 | 2022-03-04 | 中国联合网络通信集团有限公司 | 一种终端接入管理方法及装置 |
CN114726585A (zh) * | 2022-03-16 | 2022-07-08 | 山东鲁软数字科技有限公司 | 一种视频监控前端设备的网络安全防护系统和方法 |
CN115913614A (zh) * | 2022-09-19 | 2023-04-04 | 上海辰锐信息科技有限公司 | 一种网络准入装置及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112953928A (zh) | 一种视频监控前端设备的网络安全防护系统和方法 | |
CN102204170B (zh) | 用于网络入侵检测的方法和设备 | |
JP4866675B2 (ja) | 接続情報の転送をサポートするためのポート・ベース認証プロトコルおよびプロセスの制御の方法、コンピュータ・システムおよびプログラム | |
CN111683097B (zh) | 一种基于两级架构的云网络流量监控系统 | |
CN101854275A (zh) | 一种通过分析网络行为检测木马程序的方法及装置 | |
CN109922061B (zh) | 一种局域网联网摄像头检测系统及其工作方法 | |
CN104579818A (zh) | 智能变电站网络异常报文检测方法 | |
CN109104438B (zh) | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 | |
CN105554009B (zh) | 一种通过网络数据获取设备操作系统信息的方法 | |
KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
CN102438238A (zh) | 一种在集中式wlan环境中检测非法ap的方法 | |
CN103313429A (zh) | 一种识别伪造wifi热点的处理方法 | |
CN108471413B (zh) | 边缘网络安全准入防御系统及其方法 | |
CN111541670A (zh) | 一种新型动态蜜罐系统 | |
CN111885106A (zh) | 一种基于终端设备特征信息的物联网安全管控方法及系统 | |
CN112054911B (zh) | 一种基于物联网的智能设备多途径调查取证装置 | |
CN109995696A (zh) | 一种识别设备指纹的系统 | |
CN110611682A (zh) | 一种网络访问系统及网络接入方法和相关设备 | |
CN101577645A (zh) | 检测仿冒网络设备的方法和装置 | |
Fei et al. | The abnormal detection for network traffic of power iot based on device portrait | |
CN111478925B (zh) | 应用于工业控制环境的端口扫描检测方法、系统 | |
WO2017032346A1 (zh) | 基于无线安全的客户机自连接保护方法和系统 | |
CN109617918B (zh) | 一种安全运维网关及其运维方法 | |
CN108809950A (zh) | 一种基于云端影子系统的无线路由器保护方法和系统 | |
CN114726585A (zh) | 一种视频监控前端设备的网络安全防护系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210611 |
|
RJ01 | Rejection of invention patent application after publication |