CN113055409A - 视频物联网设备画像与异常检测方法、装置和系统 - Google Patents

视频物联网设备画像与异常检测方法、装置和系统 Download PDF

Info

Publication number
CN113055409A
CN113055409A CN202110603503.8A CN202110603503A CN113055409A CN 113055409 A CN113055409 A CN 113055409A CN 202110603503 A CN202110603503 A CN 202110603503A CN 113055409 A CN113055409 A CN 113055409A
Authority
CN
China
Prior art keywords
video
equipment
internet
things
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110603503.8A
Other languages
English (en)
Other versions
CN113055409B (zh
Inventor
王滨
张峰
万里
何承润
刘松
徐文渊
冀晓宇
殷丽华
李超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202110603503.8A priority Critical patent/CN113055409B/zh
Publication of CN113055409A publication Critical patent/CN113055409A/zh
Application granted granted Critical
Publication of CN113055409B publication Critical patent/CN113055409B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请提供一种视频物联网设备画像与异常检测方法、装置和系统,该方法包括:依据监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据;依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,得到所述视频物联网设备的设备画像;依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征;依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,以确定所述视频物联网设备是否存在视频行为异常。该方法可以实现自动化的视频物联网设备视频行为异常检测,提高了视频物联网的安全性。

Description

视频物联网设备画像与异常检测方法、装置和系统
技术领域
本申请涉及网络安全领域,尤其涉及一种视频物联网设备画像与异常检测方法、装置和系统。
背景技术
设备画像指的是通过收集设备的一系列特征,将设备抽象成一个信息表达。
传统的设备画像技术主要是基于设备的全流量或相关进程信息实现设备画像,一方面,其需要依赖设备本身,以获取需要的数据,例如,由设备上报进程信息、网络连接信息等;另一方面,其关注的数据是设备的全流量数据或进程数据的统计特征,其关注的是设备本身是否异常。
发明内容
有鉴于此,本申请提供一种视频物联网设备画像与异常检测方法、装置和系统。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种视频物联网设备画像与异常检测方法,包括:
依据监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据;其中,所述视频物联网设备的流量数据通过旁路监测流量的方式得到,所述设备信息包括设备标识信息,所述视频物联网设备包括管理设备和视频设备;
依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,得到所述视频物联网设备的设备画像;其中,所述设备画像为点线关系图形式;
依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征;
依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,以确定所述视频物联网设备是否存在视频行为异常。
根据本申请实施例的第二方面,提供一种视频物联网设备画像与异常检测装置,包括:
数据获取单元,用于依据监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据;其中,所述视频物联网设备的流量数据通过旁路监测流量的方式得到,所述设备信息包括设备标识信息,所述视频物联网设备包括管理设备和视频设备;
设备画像单元,用于依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,得到所述视频物联网设备的设备画像;其中,所述设备画像为点线关系图形式;
异常检测单元,用于依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征;依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,以确定所述视频物联网设备是否存在视频行为异常。
根据本申请实施例的第三方面,提供一种视频物联网设备画像与异常检测系统,包括:流量监测设备和异常检测设备;其中:
所述流量监测设备,用于以旁路监测流量的方式,对视频物联网设备的流量数据进行监测;
所述异常检测设备,用于依据所述流量监测设备监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据;
所述异常检测设备,还用于依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,得到所述视频物联网设备的设备画像;其中,所述设备画像为点线关系图形式;
所述异常检测设备,还用于依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征;依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,以确定所述视频物联网设备是否存在视频行为异常。
本申请实施例的视频物联网设备画像与异常检测方法,通过旁路监测流量的方式对视频物联网设备的流量数据进行监测,以获取视频物联网设备的流量数据,不产生干扰流量、不需要预知设备信息、不需要设备提供信息,避免了数据获取对视频物联网设备的依赖;通过依据监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据,并依据视频物联网设备的设备信息以及视频行为数据,对视频物联网设备进行画像,得到视频物联网设备的设备画像,进而,依据视频物联网设备的设备画像,确定视频物联网设备的视频行为特征,并依据视频物联网设备的视频行为特征,对视频物联网设备进行异常检测,以确定视频物联网设备是否存在视频行为异常,针对视频物联网中的视频行为,关注的是视频设备和管理设备之间的交互行为,而不是视频设备和管理设备自身的设备异常,通过依据视频物联网设备的视频行为特征构建设备画像,分析视频物联网设备是否存在视频行为的异常,实现了自动化的视频物联网设备视频行为异常检测,提高了视频物联网的安全性。
附图说明
图1为本申请一示例性实施例示出的一种视频物联网设备画像与异常检测方法的流程示意图;
图2为本申请一示例性实施例示出的一种视频物联网设备画像与异常检测的主要步骤示意图;
图3A为本申请一示例性实施例示出的一种以视频设备为主体的设备画像;
图3B为本申请一示例性实施例示出的一种以管理设备为主体的设备画像;
图4为本申请一示例性实施例示出的一种视频物联网设备画像与异常检测装置的结构示意图;
图5为本申请一示例性实施例示出的一种电子设备的硬件结构示意图;
图6为本申请一示例性实施例示出的一种视频物联网设备画像与异常检测系统的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
请参见图1,为本申请实施例提供的一种视频物联网设备画像与异常检测方法的流程示意图,如图1所示,该视频物联网设备画像与异常检测方法可以包括以下步骤:
步骤S100、依据监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据;其中,该视频物联网设备的流量数据通过旁路监测流量的方式得到,该设备信息包括设备标识信息,视频物联网设备包括管理设备和视频设备。
本申请实施例中,为了避免数据获取对视频物联网设备的依赖,在对视频物联网设备进行异常检测时,不需要视频物联网设备提供进程信息、网络信息和/或内存信息等信息,而是可以通过旁路监测流量的方式对视频物联网设备的流量数据进行监测。
此外,考虑到视频物联网设备主要用于视频数据的获取和传输,相应地,视频物联网设备之间的行为主要包括视频取流、取流设置等,而视频物联网中取流通常具有较为显著的特征,例如,通常均由管理设备周期性地从视频设备中取流,且取流一般是由固定的管理设备、在特定时间段来执行,因此,非特定时间段、非特定设备的取流行为很有可能存在异常。
需要说明的是,本申请实施例中提及的视频物联网设备异常并不是指设备故障、设备宕机等异常,而是指设备视频行为的异常,如被异常使用、异常调用。例如,某个视频设备被连续取流超过1个月,则大概率属于异常;某个管理设备频繁向多个视频设备取流,则大概率也属于异常。
相应地,为了实现视频物联网设备异常检测,可以依据监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据。
示例性的,设备信息可以包括设备标识信息,如IP(Internet Protocol,互联网协议)地址、MAC(Media Access Control,媒体访问控制)地址等。
需要说明的是,设备信息除了可以包括上述设备标识信息之外,还可以包括其它设备信息,如设备资产信息,其可以包括但不限于设备厂商、设备型号、设备序列号等。
视频行为数据可以包括视频行为的源设备标识、目的设备标识、时间戳等。
例如,管理设备A(假设IP地址为IP1)从视频设备B(假设IP地址为IP2)中取流,取流时间对应的时间戳为T0,则其对应的视频行为数据可以为[IP1,IP2,T0]。
需要说明的是,为了细化视频行为数据,视频行为数据除了可以包括上述信息之外,还可以包括其它信息,如视频行为类型、视频行为结果等。
示例性的,视频行为类型可以包括但不限于取流开始、取流结束或取流设置(如取流方式设置)。
视频行为结果可以包括但不限于成功或失败。
步骤S110、依据视频物联网设备的设备信息以及视频行为数据,对视频物联网设备进行画像,得到视频物联网设备的设备画像;其中,设备画像为点线关系图形式。
本申请实施例中,可以依据获取到的视频物联网设备的设备信息以及视频行为数据,对视频物联网设备进行画像,得到视频物联网设备的设备画像。
示例性的,视频物联网设备的设备画像可以为点线关系图形式。
在一个示例中,对于任一视频物联网设备的设备画像,该设备画像的中心节点为该视频物联网设备,与中心节点之间存在连线的其余节点为与该视频物联网设备存在视频行为的其它视频物联网设备。
示例性的,对于任一视频物联网设备,可以以该视频物联网设备为中心节点构建设备画像,并依据获取到的视频行为数据,确定与该视频物联网设备之间存在视频行为的其它视频物联网设备。
对于与该视频物联网设备之间存在视频行为的任一其它视频物联网设备,可以在设备画像中增加一个对应的节点,并通过连线连接该新增节点与中心节点。
通过上述方式,可以分别得到各视频物联网设备的设备画像,且对于任一视频物联网设备,依据该视频物联网设备的设备画像,可以确定与该视频物联网设备之间存在视频行为的其它物联网设备。
在一个示例中,设备画像中节点之间的连线的粗细可以表征节点之间的视频行为的数量。
示例性的,两个节点之间的连线越粗,表征该两个节点之间的视频行为的数量越多。
需要说明的是,按照上述方式得到的设备画像还可以用于可视化展示,从而,相关人员可以依据视频物联网设备的设备画像,通过人工的方式,确定视频物联网设备是否存在视频行为异常。
例如,以节点之间的连线越粗,表征节点之间的视频行为的数量越多为例,当某个管理设备的设备画像中,该管理设备与某一视频设备之间的连线过粗,则该管理设备从该视频设备中取流过于频繁,则可以确定该管理设备存在视频行为异常。
步骤S120、依据视频物联网设备的设备画像,确定视频物联网设备的视频行为特征。
步骤S130、依据视频物联网设备的视频行为特征,对视频物联网设备进行异常检测,以确定视频物联网设备是否存在视频行为异常。
本申请实施例中,对于任一视频物联网设备,可以依据该视频物联网设备的设备画像,确定该视频物联网设备的视频行为特征,并依据该视频物联网设备的视频行为特征,对该视频物联网设备进行异常检测,以确定该视频物联网设备是否存在视频行为异常。
例如,可以依据相同类型的视频物联网设备的相同时间段内的视频行为通常会比较相近的特性,依据多个相同类型的视频物联网设备的视频行为特征之间的差异性,确定存在视频行为异常的视频物联网设备。
又例如,可以依据同一视频物联网设备在不同时间段的视频行为通常不会具有特别大的差异的特性,通过确定同一视频物联网设备在不同时间段的视频行为特征,依据同一视频物联网设备在不同时间段的视频行为特征之间的差异性,确定视频物联网设备是否存在视频行为异常。
可见,在图1所示方法流程中,通过旁路监测流量的方式对视频物联网设备的流量数据进行监测,以获取视频物联网设备的流量数据,不产生干扰流量、不需要预知设备信息、不需要设备提供信息,避免了数据获取对视频物联网设备的依赖;通过依据监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据,并依据视频物联网设备的设备信息以及视频行为数据,对视频物联网设备进行画像,得到视频物联网设备的设备画像,进而,依据视频物联网设备的设备画像,确定视频物联网设备的视频行为特征,并依据视频物联网设备的视频行为特征,对视频物联网设备进行异常检测,以确定视频物联网设备是否存在视频行为异常,针对视频物联网中的视频行为,关注的是视频设备和管理设备之间的交互行为,而不是视频设备和管理设备自身的设备异常,通过依据视频物联网设备的视频行为特征构建设备画像,分析视频物联网设备是否存在视频行为的异常,实现了自动化的视频物联网设备视频行为异常检测,提高了视频物联网的安全性。
在一些实施例中,步骤S100中,获取视频物联网设备的设备信息以及视频行为数据之后,还包括:
依据视频物联网设备的设备信息以及视频行为数据,维护设备信息矩阵;该设备信息矩阵用于记录各管理设备与各视频设备之间是否存在视频行为;
步骤S110,依据视频物联网设备的设备信息以及视频行为数据,对视频物联网设备进行画像,可以包括:
依据设备信息矩阵,对视频物联网设备进行画像。
示例性的,为了提高视频行为数据的维护效率,并提高依据视频行为数据为视频物联网设备进行画像的效率,当获取到视频物联网设备的设备信息以及视频行为数据之后,可以依据获取到的视频物联网设备的设备信息以及视频行为数据,维护设备信息矩阵。
示例性的,该设备信息矩阵的东西方向和南北方向分别对应不同类型的物联网设备。例如,东西方向对应管理设备,南北方向对应视频设备;或者,东西方向对应视频设备,南北方向对应管理设备。
在一个示例中,上述依据视频物联网设备的设备信息以及视频行为数据,维护设备信息矩阵,可以包括:
对于新发现的物联网设备,依据该物联网设备的类型在设备信息矩阵中与该类型对应的方向增加一行或一列,并依据该物联网设备与设备信息矩阵中物联网设备之间是否存在视频行为,设置该新增行或列中各项的值;
对于获取到的任一视频行为数据,确定该视频行为数据对应的目标管理设备和目标视频设备,并将设备信息矩阵中与目标管理设备和目标视频设备对应的值设置为第二值;其中,第二值用于表征管理设备和视频设备之间存在视频行为。
示例性的,以设备信息矩阵的东西方向对应管理设备,南北方向对应视频设备为例。
当新发现一物联网设备(以管理设备为例),可以在设备信息矩阵中增加一列,并依据该管理设备与设备信息矩阵中各视频设备之间是否存在视频行为,设置该新增列中各项的值。
例如,对于新增管理设备,若设备信息矩阵中某视频设备与该管理设备之间不存在视频行为,则将设备信息矩阵中该新增管理设备所在列,该视频设备所在行的值设置为第一值(如0);若设备信息矩阵中某视频设备与该管理设备之间存在视频行为,则将设备信息矩阵中该新增管理设备所在列,该视频设备所在行的值设置为第二值(如1)。
示例性的,当获取到视频行为数据时,可以依据该视频行为数据,确定该视频行为数据对应的管理设备(本文中称为目标管理设备)和视频设备(本文中称为目标视频设备),并查询设备信息矩阵中与目标管理设备和目标视频设备对应的值(即目标管理设备所在列,目标视频设备所在行的值),若该值为第一值,则将其更新为第二值;若该值为第二值,则保持为第二值。
示例性的,当按照上述方式生成了设备信息矩阵时,对于存在视频行为的管理设备和视频设备,例如,上述目标管理设备和上述目标视频设备,可以以一维数组的形式存储其视频行为数据。
其中,一维数组可以包括目标管理设备的标识、目标视频设备的标识、视频行为发生的时间戳、视频行为类型以及视频行为结果;当目标管理设备和目标视频设备之间存在多次视频行为时,各视频行为数据按照时间戳顺序进行排序。
示例性的,当按照上述方式生成了设备信息矩阵时,可以依据该设备信息矩阵,对视频物联网设备进行画像。
在一个示例中,上述依据所述设备信息矩阵,对所述视频物联网设备进行画像,包括:
对于任一视频物联网设备,生成以该视频物联网设备为中心节点的设备画面;
查询所述设备信息矩阵,确定第一目标视频物联网设备,第一目标视频物联网设备为与该视频物联网设备存在视频行为的视频物联网设备;
对于任一第一目标视频物联网设备,在该设备画像中增加该第一目标视频物联网设备对应的节点,并增加该节点与中心节点之间的连线。
示例性的,对于任一视频物联网设备,在对该视频物联网设备进行画像时,可以生成以该视频物联网设备为中心节点的设备画像。
示例性的,可以通过查询设备信息矩阵,确定该视频物联网设备所在行或列(以列为例),并分别确定该列中各行的值,确定是否存在第二值。
示例性的,设备信息矩阵的行和列分别对应不同类型的视频物联网设备。
当存在第二值时,针对该行对应的另一类型视频物联网设备,即与该视频物联网设备存在视频行为的另一类型视频物联网设备(本文中称为第一目标视频物联网设备),在设备画像中增加一个节点(非中心节点),并增加该节点与中心节点之间的连线。
示例性的,设备画像中,节点与中心节点之间的连线越粗,可以表征该节点对应的视频物联网设备与该中心节点对应的另一类型视频物联网设备之间存在的视频行为的次数越多,从而,在为视频物联网设备画像时,对于存在视频行为的两个视频物联网设备,可以依据该两个视频物联网设备之间的视频行为的次数,确定设备画像中该两个视频物联网设备对应的节点之间的连线的粗细。
示例性的,为了使设备画像中非中心节点与中心节点之间的视频行为数据更加直观,对于存在视频行为的两个视频物联网设备,可以在设备画像中标注该两个视频物联网设备之间的视频行为的次数。
在一些实施例中,步骤S120中,依据视频物联网设备的设备画像,确定视频物联网设备的视频行为特征,可以包括:
对于任一视频物联网设备,依据该视频物联网设备的设备画像确定第二目标视频物联网设备,第二目标视频物联网设备为与该视频物联网设备存在视频行为的视频物联网设备;
从第二目标视频物联网设备与该视频物联网设备之间的视频行为数据中,确定预设时间段内的目标视频行为数据;
依据目标视频行为数据,确定视频物联网设备的视频行为特征。
示例性的,当按照上述方式得到了各视频物联网设备的设备画像时,对于任一视频物联网设备,以管理设备为例,可以依据该管理设备的设备画像(即以该管理设备为中心节点的设备画像),确定与该管理设备存在视频行为的视频设备(以第二目标视频物联网设备为视频设备为例)。
示例性的,考虑到实际场景中,视频物联网设备之间的正常的视频行为通常是计划性的、且规律性的,通常会发生在特定时间段内,因此,为了提高异常检测的合理性和准确性,可以依据视频物联网设备之间的特定时间段内的视频行为数据来对视频物联网设备进行视频行为异常检测。
相应地,对于任一管理设备,当确定了与该管理设备之间存在视频行为的视频设备时,可以获取该视频设备与该管理设备之间的视频行为数据,并从中选择出预设时间段内的视频行为数据(本文中称为目标视频行为数据)。
当确定了目标视频行为数据时,可以依据目标视频行为数据,确定视频物联网设备的视频行为特征。
在一个示例中,上述依据目标视频行为数据,确定视频物联网设备的视频行为特征,可以包括:
对于任一目标视频行为数据,依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将该目标视频行为数据转换为一维数组,并将对应同一第二目标视频物联网设备的多个一维数组拼接为多维数组;
对该多维数组进行降维处理,得到视频行为特征向量。
示例性的,对于任一目标视频行为数据,可以依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将该目标视频行为数据转换为一维数组,并将对应同一第二目标视频物联网设备的多个一维数组拼接为多维数组。
示例性的,在得到各视频物联网设备对应的多维数组时,为了提取数据的核心特征,精炼数据的意义,并降低异常检测的计算量,可以对得到的多维数组进行降维处理,得到视频行为特征向量,以便后续流程中可以依据降维后的视频行为特征向量对视频物联网设备进行视频行为异常检测。
在一个示例中,上述依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将该目标视频行为数据转换为一维数组,可以包括:
依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将预设数组模板中对应的元素的值由第一值更新为第二值,得到该目标视频行为数据对应的一维数组。
示例性的,为了增加数据复杂度,并规避掉在梯度计算时,不同维度取值范围对梯度下降的影响,在将目标视频行为数据转换为一维数组时,可以将目标视频行为数据转为元素值为0/1的一维数组。
示例性的,可以预先构建数组模板,该数组模板中包括视频行为数据各可选值对应的元素。
举例来说,以时间戳为例,假设时间戳对应的时间为周几-几时,则时间戳的可选值可以包括周一~周日,以及0时~24时,因此,预设数组模板中可以包括周一~周日对应的元素,以及0时~24时对应的元素,各元素的初始值为0(即以第一值为0为例),对于任一目标视频行为数据,可以依据该目标视频行为数据的时间戳,假设为周一10时,则可以将预设数组模板中对应周一的元素和对应10时的元素的值设置为1(以第二值为1为例),其余元素仍保持为0。
对于任一目标视频行为数据,可以依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将预设数组模板中对应的元素的值由第一值更新为第二值,得到该目标视频行为数据对应的一维数组。
在一些实施例中,步骤S130中,依据视频物联网设备的视频行为特征,对视频物联网设备进行异常检测,可以包括:
依据视频物联网设备的类型,对相同类型的视频物联网设备的视频行为特征进行聚类,以确定是否存在异常点。
示例性的,当按照上述方式得到了各视频物联网设备的视频行为特征时,可以横向比较相同类型的视频物联网设备的视频行为特征,以确定存在视频行为异常的视频物联网设备。
相应地,可以依据视频物联网设备的类型,对相同类型的视频物联网设备的视频行为特征进行聚类,例如,采用K-Means无监督聚类的方法对各视频物联网设备的视频行为特征进行聚类,以确定是否存在异常点。
例如,当存在某一个或少数几个视频物联网设备聚成一类时,则可以确定该一个或少数几个视频物联网设备为异常点,即该一个或少数几个视频物联网设备存在视频行为异常。
在一些实施例中,步骤S130中,依据视频物联网设备的视频行为特征,对视频物联网设备进行异常检测,可以包括:
确定同一视频物联网设备在不同时间段内的视频行为特征之间的距离,并依据该视频物联网设备在不同时间段内的视频行为特征之间的距离确定该视频物联网设备是否存在视频行为异常。
示例性的,当按照上述方式得到了各视频物联网设备的视频行为特征时,可以纵向比较同一视频物联网设备在不同时间段的视频行为特征,以确定视频物联网设备是否存在视频行为异常。
相应地,可以确定同一视频物联网设备在不同时间段内的视频行为特征之间的距离。
例如,以通过视频行为特征向量表征视频行为特征为例,可以依据视频行为特征向量之间的距离,如欧式距离或曼哈顿距离,确定视频行为特征之间的距离。
示例性的,可以依据该视频物联网设备在不同时间段内的视频行为特征之间的距离确定该视频物联网设备是否存在视频行为异常。
例如,当同一视频物联网设备在不同时间段的两个视频行为特征之间的距离超过预设距离阈值时,确定该视频物联网设备存在视频行为异常。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,下面结合具体实例对本申请实施例提供的技术方案进行说明。
在该实施例中,通过旁路部署的方式,实时监听视频物联网中的网络流量数据,从监听得到的流量数据中构建每台视频物联网设备的视频行为模型,得到各视频物联网设备的设备画像,再通过横向和纵向两个维度检测具有异常视频行为的视频物联网设备,并向相关人员进行告警,如向安全人员和运维人员进行告警。一方面,通过可视化的方式展示了每台视频物联网设备的视频行为模式;另一方面,通过自动化的视频行为异常检测告警,提高视频物联网的安全性,并提高视频物联网安全运维的效率。
下面对视频物联网设备画像与异常检测方案的具体实现流程进行说明。
一、主要方法步骤
1.1、部署方式:在视频物联网关键节点通过旁路方式部署,监测视频物联网中的流量数据;
1.2、主要步骤:
如图2所示,视频物联网设备画像与异常检测的主要步骤包括:
1.2.1、监测视频物联网中的流量数据包。一方面,获取视频物联网中的设备信息,包括:IP地址、MAC地址、相关资产信息;另一方面,捕捉视频行为流量数据,实时更新设备信息矩阵;
1.2.2、基于设备信息矩阵构建和更新设备画像。
示例性的,设备画像的主体可以包括两个:管理设备和视频设备,设备画像的表现方式可以为EGO-net(自我中心网络);
示例性的,对于按照上述方式构建得到的设备画像,可以进行图像化展示。
1.2.3、根据设备画像构建视频物联网设备的视频行为特征向量并进行降维处理。根据步骤1.2.1和步骤1.2.2中的设备信息矩阵及EGO-net生成每个视频物联网设备的多维数组数据,再利用机器学习方法处理进行降维,得到各视频物联网设备的视频行为特征向量;
1.2.4、分别从横向和纵向角度对视频物联网中的视频物联网设备进行视频行为异常检测并告警。
示例性的,横向角度通过聚类方式检测可能存在视频行为异常的设备,纵向角度通过计算视频行为特征向量之间的距离,检测可能存在视频行为异常的设备。
二、系统模块划分
为了实现上述流程,本申请实施例提供的视频物联网设备画像与异常检测系统可以包括以下模块:
2.1、流量监测模块:一方面,用于识别视频物联网中的视频物联网设备的基础信息,如:IP地址、MAC地址、资产信息等;另一方面,用于监测视频行为数据,如:取流、取流停止、设备验证设置等行为数据等;
2.2、设备信息矩阵模块:根据监测到的设备基础信息和视频行为数据更新设备信息矩阵;
示例性的,设备信息矩阵为二维数组,东西方向为管理设备,南北方向为视频设备,设备信息矩阵中具体数据为该管理设备与视频设备之间是否存在视频行为。
2.3、设备画像与可视化模块:基于设备信息矩阵构建每个视频物联网设备的设备画像,以EGO-net方式进行可视化;
2.4、设备行为特征构建与处理模块:基于EGO-net构建每个设备的视频行为特征向量,并通过机器学习方法进行降维,处理为一维数组数据;
2.5、设备异常检测与告警模块:分别从横向和纵向两个角度检测设备视频行为异常并进行告警。
三、方法步骤具体实现
考虑到视频物联网中,视频设备通常需要依据接收到指令执行相关的视频行为,如:视频取流、视频取流结束、流传输机制变更等。
此外,视频行为可以反映视频设备执行的物理动作,视频设备的视频行为具有规律性,可以抽象成一种画像信息。
因而,可以依据视频物联网设备的视频行为数据为视频物联网设备构建设备画像,而不需要关注设备的全流量数据或进程数据的统计特征。
3.1、监测视频物联网中的流量数据包
3.1.1、获取视频物联网中的设备信息
视频物联网中设备可以包括:管理设备和视频设备。
示例性的,考虑到实际场景中,通常不会有同一个设备具备两种管理设备和视频设备两种身份,因此,该实施例中设备类型可以分为管理设备和视频设备。
3.1.1.1、管理设备指的是向视频设备发送指令的设备,可以是物联网平台、PC终端(通过视频设备的web界面发送指令)等;
3.1.1.2、视频设备则指的接收管理设备指令的设备,可以是IPC(InternetCamera,网络摄像头)、NVR(Network Video Recorder,网络视频录像机)等设备。
示例性的,设备信息可以包括但不限于IP地址、MAC地址、资产信息等,其中IP地址+MAC地址用作标记一个设备的身份(即上述设备标识信息),资产信息包括设备厂商、设备型号、设备序列号等,以便后续更好地展示设备行为模式。
3.1.2、获取视频物联网中的视频行为流量信息(即视频行为数据)
示例性的,视频行为流量信息指的是由管理设备向视频设备发送的执行数据包,通常是由RTSP(REAL TIME Streaming Protocol,实时流协议)协议进行传输。
示例性的,可以通过监听数据报文监测视频行为,例如,RTSP协议流量报文提取视频行为,常见的视频行为包括:取流开始、取流结束、取流方式设置等。
示例性的,提取视频行为数据为[管理设备IP、视频设备IP、时间戳、视频行为类型、是否成功]。
需要说明的是,视频行为类型的定义不做限定,可以是按照目前常规的RTSP方式进行定义,也可以按照更细化的方式进行定义,如:“取流开始”这一视频行为可以细化为“SDK(Software Development Kit,软件开发工具包)取流”、“RTSP取流”、“IPCweb取流”等。
3.1.3、设备信息矩阵构建和更新
设备信息矩阵用于记录监测到的视频行为数据,设备信息矩阵的东西方向为管理设备,南北方向为视频设备,设备信息矩阵中的值为表示该管理设备和视频设备是否存在视频行为,有则为1(即上述第二值为1),无则为0(即上述第一值为0)。
示例性的,设备信息矩阵的格式可以如下表所示:
Figure DEST_PATH_IMAGE001
示例性的,初始时该表格为空,每发现一个管理设备则新增一列;每发现一个视频设备则新增一行;每捕捉到一个视频行为,则更新表格中内容(若为0,则更新为1;若为1,则不变化 )。
示例性的,当管理设备和视频设备均加入后,管理设备和视频设备通常就不再变化。
需要说明的是,构建上述设备信息矩阵时,可以持续性地构建同一个设备信息矩阵,或者,也可以预先设定视频行为数据的时间范围,依据预设时间范围内的视频行为数据构建对应的设备信息矩阵,不同时间范围可以对应不同的设备信息矩阵。
示例性的,视频行为数据具体可以以列表(数组)的方式进行存储,如:
Figure 173641DEST_PATH_IMAGE002
其中,PLAY为取流开始,TEARDOWN为取流结束;True为视频行为结果为成功,Flase为视频行为结果为失败。
示例性的,每监测到一次视频行为,则增加数据到管理设备标签和视频设备标签对应的矩阵值中,同一矩阵值中的不同视频行为按照时间戳向后进行排序。
需要说明的是,设备信息矩阵仅是本申请实施例中视频行为数据的一种存储结构,具体的数据存储可以变化,本申请实施例对此不做限定。
3.2、基于设备信息矩阵构建和更新设备画像
设备画像的主体可以包括两个:管理设备和视频设备。
示例性的,设备画像的表现方式可以为EGO-net,其示意图可以分别参见图3A(以视频设备为主体(即中心节点)的设备画像)和图3B(以管理设备为主体(即中心节点)的设备画像);其中:
图3A为视频设备的设备画像,呈星状。以视频设备为核心,不同管理设备(与该视频设备之间存在视频行为的管理设备)连接到该视频设备上;
图3B为管理设备的设备画像,与视频设备的设备画像相似,是以管理设备为核心,不同的视频设备(与该管理设备之间存在视频行为的视频设备)连接到该管理设备上。
示例性的,每个视频设备和管理设备都有一个对应的设备画像,设备画像中连线的粗细表示视频行为数量的多少,线条越粗则视频行为数量越多。
示例性的,连线上还可以标记视频行为的数量。
示例性的,设备画像中可以主动或被动(如检测到查看指令时)展示每个视频设备或管理设备的基础信息,如:IP地址、MAC地址、资产信息等。
示例性的,不同时间段(即不同时间范围)同一视频物联网设备的设备画像可以不同。
其中,某一时间段内,某一视频物联网设备的设备画像可以为空,即只有一个视频设备或管理设备,没有连线(即该时间段内该视频设备或管理设备,与管理设备或视频设备之间不存在视频行为)。
3.3、根据设备画像构建视频物联网设备的视频行为特征向量
根据步骤3.1和步骤3.2的设备信息矩阵及EGO-net生成每个视频物联网设备的多维数组数据,再利用机器学习方法处理为一维数组数据(即视频行为特征向量)。
3.3.1、根据设备信息矩阵和EGO-net构建设备多维数组数据,具体构建步骤如下:
3.3.1.1、确定设备标签及时间段,如选择管理设备M1在[1581891672,1581892672]时间段的数据;
3.3.1.2、根据设备信息矩阵中设备M1的值,从数据库中提取与管理设备M1存在视频行为的视频设备列表[V1、V2、…、Vn];
3.3.1.3、根据预设时间段,提取有效的视频行为列表(即时间戳在[1581891672,1581892672]时间段内的视频行为);
3.3.1.4、视频行为抽象化。对于每个视频行为,依据预设数组模板,抽象为一个一维数组;
示例性的,预设数组模板可以为[周1W1、周2W2、…、周日W7、0时T0、1时T1、2时T2、…、24时T24、视频行为类型A1、视频行为类型A2、…、视频行为类型Ak、成功、失败]。
其中,时间戳代表时间为当周为周几。如周1,则周1位置为1,其他为0;
时间戳代表时间为当日几时。如8:20,则8时位置为1,其他为0;
视频行为类型(所有类型提前设定好)。如“取流”,则取流位置为1,其他为0;
视频行为是否成功,若“成功”,则成功位置为1,失败位置为0。
3.3.1.5、将每个视频设备的每个视频行为拼接成一个多维数组,不同管理设备的数组数据对应的维度物理含义是相同的。
示例性的,若某个维度为空时,用0填充,结构如下表所示:
Figure DEST_PATH_IMAGE003
3.3.2、机器学习处理为一维数组数据
示例性的,用于对上述多维数组数据进行降维处理的机器学习方法可以包括但不限于:如PCA(Principal Component Analysis,主成分分析)、自编码器等,本申请实施例对此不做限定。
以采用自编码器进行降维处理为了,可以训练自编码器,并利用自编码器压缩多维数组数据。
经过机器学习方法处理后,多维数组数据可以被压缩成定长的一维数组数据(即视频行为特征向量),如:[F1、F2、…Fl] ,其中向量长度需要提前确定好,例如,可以设为96。
其中,降维后视频行为特征向量中的每个数据已经不再具有直观的物理含义。
3.4、对视频物联网中的视频物联网设备进行视频行为异常检测并告警
考虑到相同功能(即相同类型)的不同视频物联网设备的视频行为模型通常较为相似;此外,同一视频物联网设备的不同时间的视频行为模式通常也较为相似。
因而,可以分别从横向角度(不同视频物联网设备之间的视频行为比较)和纵向角度(同一视频物联网设备不同时间段的视频行为比较)对视频物联网设备进行视频行为异常检测分析,而不需要依赖设备行为“白模型”(即正常行为集合,可以包括访问时间、访问频率、访问对象、连接方式、访问结果等)。
示例性的,横向角度通过聚类方式检测可能存在异常的视频物联网设备,纵向角度通过计算视频行为特征向量之间的距离检测可能存在异常的视频物联网设备。
3.4.1、异常检测
设备的异常检测分为两个角度:
3.4.1.1、横向角度:比较相同类型的视频物联网设备(如视频设备或管理设备)在相同时间段内的差异。
示例性的,可以获取特定时间段内所有视频设备的视频行为特征向量,采用K-Means无监督聚类的方法检测异常点,如:聚类结果中如果有某一个视频设备单独成一类,则该视频设备的视频行为可能是异常的。
3.4.1.2、纵向角度:比较同一个视频物联网设备在不同时间段内的差异。
示例性的,获取某一视频物联网设备在不同时间段的视频行为特征向量,并计算各视频行为特征向量之间的距离,如采用欧氏距离或曼哈顿距离,当存在两个视频行为特征向量之间的距离超过阈值时,则该视频物联网设备的视频行为可能存在异常。
示例性的,上述异常检测可以是实时或定时的,也可以手动触发。
3.4.2、告警
异常告警的方式可以是邮件、电话、页面弹窗等,告警信息包括[设备信息、时间段、异常描述],告警对象包括安全人员、运维人员等。
以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述:
请参见图4,为本申请实施例提供的一种视频物联网设备画像与异常检测装置的结构示意图,如图4所示,该视频物联网设备画像与异常检测装置可以包括:
数据获取单元410,用于依据监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据;其中,所述视频物联网设备的流量数据通过旁路监测流量的方式得到,所述设备信息包括设备标识信息,所述视频物联网设备包括管理设备和视频设备;
设备画像单元420,用于依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,得到所述视频物联网设备的设备画像;其中,所述设备画像为点线关系图形式;
异常检测单元430,用于依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征;依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,以确定所述视频物联网设备是否存在视频行为异常。
在一些实施例中,所述数据获取单元410获取视频物联网设备的设备信息以及视频行为数据之后,还包括:
依据所述视频物联网设备的设备信息以及视频行为数据,维护设备信息矩阵;所述设备信息矩阵用于记录各管理设备与各视频设备之间是否存在视频行为;
所述设备画像单元420依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,包括:
依据所述设备信息矩阵,对所述视频物联网设备进行画像。
在一些实施例中,所述设备信息矩阵的东西方向和南北方向分别对应不同类型的物联网设备,所述不同类型的物联网设备包括管理设备和视频设备;
所述数据获取单元410依据所述视频物联网设备的设备信息以及视频行为数据,维护设备信息矩阵,包括:
对于新发现的物联网设备,依据该物联网设备的类型在设备信息矩阵中与该类型对应的方向增加一行或一列,并依据该物联网设备与设备信息矩阵中物联网设备之间是否存在视频行为,设置该新增行或列中各项的值;
对于获取到的任一视频行为数据,确定该视频行为数据对应的目标管理设备和目标视频设备,并将所述设备信息矩阵中与所述目标管理设备和所述目标视频设备对应的值设置为第二值;其中,所述第二值用于表征管理设备和视频设备之间存在视频行为。
在一些实施例中,所述数据获取单元410,还用于以一维数组的形式存储所述目标管理设备和所述目标视频设备之间的视频行为数据;
其中,所述一维数组包括所述目标管理设备的标识、所述目标视频设备的标识、视频行为发生的时间戳、视频行为类型以及视频行为结果;当所述目标管理设备和所述目标视频设备之间存在多次视频行为时,各视频行为数据按照时间戳顺序进行排序。
在一些实施例中,所述设备画像单元420依据所述设备信息矩阵,对所述视频物联网设备进行画像,包括:
对于任一视频物联网设备,生成以该视频物联网设备为中心节点的设备画像;
查询所述设备信息矩阵,确定第一目标视频物联网设备,所述第一目标视频物联网设备为与该视频物联网设备存在视频行为的另一类型视频物联网设备;
对于任一第一目标视频物联网设备,在该设备画像中增加该第一目标视频物联网设备对应的节点,并增加该节点与中心节点之间的连线。
在一些实施例中,所述设备画像单元420,还用于依据该视频物联网设备与该另一类型视频物联网设备之间存在的视频行为的次数,确定该节点与该中心节点之间的连线的粗细;其中,该节点与该中心节点之间的连线越粗,表征该视频物联网设备与该另一类型视频物联网设备之间存在的视频行为的次数越多。
在一些实施例中,所述异常检测单元430依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征,包括:
对于任一视频物联网设备,依据该视频物联网设备的设备画像确定第二目标视频物联网设备,所述第二目标视频物联网设备为与该视频物联网设备存在视频行为的视频物联网设备;
从第二目标视频物联网设备与该视频物联网设备之间的视频行为数据中,确定预设时间段内的目标视频行为数据;
依据所述目标视频行为数据,确定所述视频物联网设备的视频行为特征;
其中,所述异常检测单元依据所述目标视频行为数据,确定所述视频物联网设备的视频行为特征,包括:
对于任一目标视频行为数据,依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将该目标视频行为数据转换为一维数组,并将对应同一第二目标视频物联网设备的多个一维数组拼接为多维数组;
对所述多维数组进行降维处理,得到视频行为特征向量。
在一些实施例中,所述异常检测单元430依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将该目标视频行为数据转换为一维数组,包括:
依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将预设数组模板中对应的元素的值由第一值更新为第二值,得到该目标视频行为数据对应的一维数组。
在一些实施例中,所述异常检测单元430依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,包括:
依据视频物联网设备的类型,对相同类型的视频物联网设备的视频行为特征进行聚类,以确定是否存在异常点;
和/或,
确定同一视频物联网设备在不同时间段内的视频行为特征之间的距离,并依据该视频物联网设备在不同时间段内的视频行为特征之间的距离确定该视频物联网设备是否存在视频行为异常。
请参见图5,为本申请实施例提供的一种电子设备的硬件结构示意图。该电子设备可包括处理器501、存储有机器可执行指令的机器可读存储介质502。处理器501与机器可读存储介质502可经由系统总线503通信。并且,通过读取并执行机器可读存储介质502中与视频物联网设备画像与异常检测系统控制逻辑对应的机器可执行指令,处理器501可执行上文描述的视频物联网设备画像与异常检测系统方法。
本文中提到的机器可读存储介质502可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
在一些实施例中,还提供了一种机器可读存储介质,该机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时实现上文描述的视频物联网设备画像与异常检测系统方法。例如,所述机器可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。
请参见图6,图6是本申请实施例提供的一种视频物联网设备画像与异常检测系统的结构示意图,如图6所示,该视频物联网设备画像与异常检测系统包括:流量监测设备610和异常检测设备620;其中:
所述流量监测设备610,用于以旁路监测流量的方式,对视频物联网设备的流量数据进行监测;
所述异常检测设备620,用于依据所述流量监测设备监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据;
所述异常检测设备620,还用于依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,得到所述视频物联网设备的设备画像;其中,所述设备画像为点线关系图形式;
所述异常检测设备620,还用于依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征;依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,以确定所述视频物联网设备是否存在视频行为异常。
在一些实施例中,所述异常检测设备620,还用于依据所述视频物联网设备的设备信息以及视频行为数据,维护设备信息矩阵;所述设备信息矩阵用于记录各管理设备与各视频设备之间是否存在视频行为;
所述异常检测设备620,具体用于依据所述设备信息矩阵,对所述视频物联网设备进行画像。
在一些实施例中,所述设备信息矩阵的东西方向和南北方向分别对应不同类型的物联网设备,所述不同类型的物联网设备包括管理设备和视频设备;
所述异常检测设备620,具体用于对于新发现的物联网设备,依据该物联网设备的类型在设备信息矩阵中与该类型对应的方向增加一行或一列,并依据该物联网设备与设备信息矩阵中物联网设备之间是否存在视频行为,设置该新增行或列中各项的值;
对于获取到的任一视频行为数据,确定该视频行为数据对应的目标管理设备和目标视频设备,并将所述设备信息矩阵中与所述目标管理设备和所述目标视频设备对应的值设置为第二值;其中,所述第二值用于表征管理设备和视频设备之间存在视频行为。
在一些实施例中,所述异常检测设备620,还用于以一维数组的形式存储所述目标管理设备和所述目标视频设备之间的视频行为数据;
其中,所述一维数组包括所述目标管理设备的标识、所述目标视频设备的标识、视频行为发生的时间戳、视频行为类型以及视频行为结果;当所述目标管理设备和所述目标视频设备之间存在多次视频行为时,各视频行为数据按照时间戳顺序进行排序。
在一些实施例中,所述异常检测设备620,具体用于对于任一视频物联网设备,生成以该视频物联网设备为中心节点的设备画像;
查询所述设备信息矩阵,确定第一目标视频物联网设备,所述第一目标视频物联网设备为与该视频物联网设备存在视频行为的另一类型视频物联网设备;
对于任一第一目标视频物联网设备,在该设备画像中增加该第一目标视频物联网设备对应的节点,并增加该节点与中心节点之间的连线。
在一些实施例中,所述异常检测设备620,还用于依据该视频物联网设备与该另一类型视频物联网设备之间存在的视频行为的次数,确定该节点与该中心节点之间的连线的粗细;其中,该节点与该中心节点之间的连线越粗,表征该视频物联网设备与该另一类型视频物联网设备之间存在的视频行为的次数越多。
在一些实施例中,所述异常检测设备620,具体用于对于任一视频物联网设备,依据该视频物联网设备的设备画像确定第二目标视频物联网设备,所述第二目标视频物联网设备为与该视频物联网设备存在视频行为的视频物联网设备;
从第二目标视频物联网设备与该视频物联网设备之间的视频行为数据中,确定预设时间段内的目标视频行为数据;
依据所述目标视频行为数据,确定所述视频物联网设备的视频行为特征。
在一些实施例中,所述异常检测设备620,具体用于对于任一目标视频行为数据,依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将该目标视频行为数据转换为一维数组,并将对应同一第二目标视频物联网设备的多个一维数组拼接为多维数组;
对所述多维数组进行降维处理,得到视频行为特征向量。
在一些实施例中,所述异常检测设备620,具体用于依据视频物联网设备的类型,对相同类型的视频物联网设备的视频行为特征进行聚类,以确定是否存在异常点;
和/或,
确定同一视频物联网设备在不同时间段内的视频行为特征之间的距离,并依据该视频物联网设备在不同时间段内的视频行为特征之间的距离确定该视频物联网设备是否存在视频行为异常。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (13)

1.一种视频物联网设备画像与异常检测方法,其特征在于,包括:
依据监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据;其中,所述视频物联网设备的流量数据通过旁路监测流量的方式得到,所述设备信息包括设备标识信息,所述视频物联网设备包括管理设备和视频设备;
依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,得到所述视频物联网设备的设备画像;其中,所述设备画像为点线关系图形式;
依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征;
依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,以确定所述视频物联网设备是否存在视频行为异常。
2.根据权利要求1所述的方法,其特征在于,所述获取视频物联网设备的设备信息以及视频行为数据之后,还包括:
依据所述视频物联网设备的设备信息以及视频行为数据,维护设备信息矩阵;所述设备信息矩阵用于记录各管理设备与各视频设备之间是否存在视频行为;
所述依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,包括:
依据所述设备信息矩阵,对所述视频物联网设备进行画像。
3.根据权利要求2所述的方法,其特征在于,所述设备信息矩阵的东西方向和南北方向分别对应不同类型的物联网设备,所述不同类型的物联网设备包括管理设备和视频设备;
所述依据所述视频物联网设备的设备信息以及视频行为数据,维护设备信息矩阵,包括:
对于新发现的物联网设备,依据该物联网设备的类型在设备信息矩阵中与该类型对应的方向增加一行或一列,并依据该物联网设备与设备信息矩阵中物联网设备之间是否存在视频行为,设置该新增行或列中各项的值;
对于获取到的任一视频行为数据,确定该视频行为数据对应的目标管理设备和目标视频设备,并将所述设备信息矩阵中与所述目标管理设备和所述目标视频设备对应的值设置为第二值;其中,所述第二值用于表征管理设备和视频设备之间存在视频行为。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
以一维数组的形式存储所述目标管理设备和所述目标视频设备之间的视频行为数据;
其中,所述一维数组包括所述目标管理设备的标识、所述目标视频设备的标识、视频行为发生的时间戳、视频行为类型以及视频行为结果;当所述目标管理设备和所述目标视频设备之间存在多次视频行为时,各视频行为数据按照时间戳顺序进行排序。
5.根据权利要求3所述的方法,其特征在于,所述依据所述设备信息矩阵,对所述视频物联网设备进行画像,包括:
对于任一视频物联网设备,生成以该视频物联网设备为中心节点的设备画像;
查询所述设备信息矩阵,确定第一目标视频物联网设备,所述第一目标视频物联网设备为与该视频物联网设备存在视频行为的另一类型视频物联网设备;
对于任一第一目标视频物联网设备,在该设备画像中增加该第一目标视频物联网设备对应的节点,并增加该节点与中心节点之间的连线。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
依据该视频物联网设备与该另一类型视频物联网设备之间存在的视频行为的次数,确定该节点与该中心节点之间的连线的粗细;其中,该节点与该中心节点之间的连线越粗,表征该视频物联网设备与该另一类型视频物联网设备之间存在的视频行为的次数越多。
7.根据权利要求1所述的方法,其特征在于,所述依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征,包括:
对于任一视频物联网设备,依据该视频物联网设备的设备画像确定第二目标视频物联网设备,所述第二目标视频物联网设备为与该视频物联网设备存在视频行为的视频物联网设备;
从第二目标视频物联网设备与该视频物联网设备之间的视频行为数据中,确定预设时间段内的目标视频行为数据;
依据所述目标视频行为数据,确定所述视频物联网设备的视频行为特征。
8.根据权利要求7所述的方法,其特征在于,所述依据所述目标视频行为数据,确定所述视频物联网设备的视频行为特征,包括:
对于任一目标视频行为数据,依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将该目标视频行为数据转换为一维数组,并将对应同一第二目标视频物联网设备的多个一维数组拼接为多维数组;
对所述多维数组进行降维处理,得到视频行为特征向量。
9.根据权利要求8所述的方法,其特征在于,所述依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将该目标视频行为数据转换为一维数组,包括:
依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将预设数组模板中对应的元素的值由第一值更新为第二值,得到该目标视频行为数据对应的一维数组。
10.根据权利要求1所述的方法,其特征在于,所述依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,包括:
依据视频物联网设备的类型,对相同类型的视频物联网设备的视频行为特征进行聚类,以确定是否存在异常点;
和/或,
确定同一视频物联网设备在不同时间段内的视频行为特征之间的距离,并依据该视频物联网设备在不同时间段内的视频行为特征之间的距离确定该视频物联网设备是否存在视频行为异常。
11.一种视频物联网设备画像与异常检测装置,其特征在于,包括:
数据获取单元,用于依据监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据;其中,所述视频物联网设备的流量数据通过旁路监测流量的方式得到,所述设备信息包括设备标识信息,所述视频物联网设备包括管理设备和视频设备;
设备画像单元,用于依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,得到所述视频物联网设备的设备画像;其中,所述设备画像为点线关系图形式;
异常检测单元,用于依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征;依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,以确定所述视频物联网设备是否存在视频行为异常。
12.根据权利要求11所述的装置,其特征在于,所述数据获取单元获取视频物联网设备的设备信息以及视频行为数据之后,还包括:
依据所述视频物联网设备的设备信息以及视频行为数据,维护设备信息矩阵;所述设备信息矩阵用于记录各管理设备与各视频设备之间是否存在视频行为;
所述设备画像单元依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,包括:
依据所述设备信息矩阵,对所述视频物联网设备进行画像;
其中,所述设备信息矩阵的东西方向和南北方向分别对应不同类型的物联网设备,所述不同类型的物联网设备包括管理设备和视频设备;
所述数据获取单元依据所述视频物联网设备的设备信息以及视频行为数据,维护设备信息矩阵,包括:
对于新发现的物联网设备,依据该物联网设备的类型在设备信息矩阵中与该类型对应的方向增加一行或一列,并依据该物联网设备与设备信息矩阵中物联网设备之间是否存在视频行为,设置该新增行或列中各项的值;
对于获取到的任一视频行为数据,确定该视频行为数据对应的目标管理设备和目标视频设备,并将所述设备信息矩阵中与所述目标管理设备和所述目标视频设备对应的值设置为第二值;其中,所述第二值用于表征管理设备和视频设备之间存在视频行为;
其中,所述数据获取单元,还用于以一维数组的形式存储所述目标管理设备和所述目标视频设备之间的视频行为数据;
其中,所述一维数组包括所述目标管理设备的标识、所述目标视频设备的标识、视频行为发生的时间戳、视频行为类型以及视频行为结果;当所述目标管理设备和所述目标视频设备之间存在多次视频行为时,各视频行为数据按照时间戳顺序进行排序;
其中,所述设备画像单元依据所述设备信息矩阵,对所述视频物联网设备进行画像,包括:
对于任一视频物联网设备,生成以该视频物联网设备为中心节点的设备画像;
查询所述设备信息矩阵,确定第一目标视频物联网设备,所述第一目标视频物联网设备为与该视频物联网设备存在视频行为的另一类型视频物联网设备;
对于任一第一目标视频物联网设备,在该设备画像中增加该第一目标视频物联网设备对应的节点,并增加该节点与中心节点之间的连线;
其中,所述设备画像单元,还用于依据该视频物联网设备与该另一类型视频物联网设备之间存在的视频行为的次数,确定该节点与该中心节点之间的连线的粗细;其中,该节点与该中心节点之间的连线越粗,表征该视频物联网设备与该另一类型视频物联网设备之间存在的视频行为的次数越多;
和/或,所述异常检测单元依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征,包括:
对于任一视频物联网设备,依据该视频物联网设备的设备画像确定第二目标视频物联网设备,所述第二目标视频物联网设备为与该视频物联网设备存在视频行为的视频物联网设备;
从第二目标视频物联网设备与该视频物联网设备之间的视频行为数据中,确定预设时间段内的目标视频行为数据;
依据所述目标视频行为数据,确定所述视频物联网设备的视频行为特征;
其中,所述异常检测单元依据所述目标视频行为数据,确定所述视频物联网设备的视频行为特征,包括:
对于任一目标视频行为数据,依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将该目标视频行为数据转换为一维数组,并将对应同一第二目标视频物联网设备的多个一维数组拼接为多维数组;
对所述多维数组进行降维处理,得到视频行为特征向量;
其中,所述异常检测单元依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将该目标视频行为数据转换为一维数组,包括:
依据该目标视频行为数据包括的时间戳、视频行为类型以及视频行为结果,将预设数组模板中对应的元素的值由第一值更新为第二值,得到该目标视频行为数据对应的一维数组;
和/或,所述异常检测单元依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,包括:
依据视频物联网设备的类型,对相同类型的视频物联网设备的视频行为特征进行聚类,以确定是否存在异常点;
和/或,
确定同一视频物联网设备在不同时间段内的视频行为特征之间的距离,并依据该视频物联网设备在不同时间段内的视频行为特征之间的距离确定该视频物联网设备是否存在视频行为异常。
13.一种视频物联网设备画像与异常检测系统,其特征在于,包括:流量监测设备和异常检测设备;其中:
所述流量监测设备,用于以旁路监测流量的方式,对视频物联网设备的流量数据进行监测;
所述异常检测设备,用于依据所述流量监测设备监测得到的视频物联网设备的流量数据,获取视频物联网设备的设备信息以及视频行为数据;
所述异常检测设备,还用于依据所述视频物联网设备的设备信息以及视频行为数据,对所述视频物联网设备进行画像,得到所述视频物联网设备的设备画像;其中,所述设备画像为点线关系图形式;
所述异常检测设备,还用于依据所述视频物联网设备的设备画像,确定所述视频物联网设备的视频行为特征;依据所述视频物联网设备的视频行为特征,对所述视频物联网设备进行异常检测,以确定所述视频物联网设备是否存在视频行为异常。
CN202110603503.8A 2021-05-31 2021-05-31 视频物联网设备画像与异常检测方法、装置和系统 Active CN113055409B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110603503.8A CN113055409B (zh) 2021-05-31 2021-05-31 视频物联网设备画像与异常检测方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110603503.8A CN113055409B (zh) 2021-05-31 2021-05-31 视频物联网设备画像与异常检测方法、装置和系统

Publications (2)

Publication Number Publication Date
CN113055409A true CN113055409A (zh) 2021-06-29
CN113055409B CN113055409B (zh) 2021-09-21

Family

ID=76518576

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110603503.8A Active CN113055409B (zh) 2021-05-31 2021-05-31 视频物联网设备画像与异常检测方法、装置和系统

Country Status (1)

Country Link
CN (1) CN113055409B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113660291A (zh) * 2021-10-18 2021-11-16 杭州海康威视数字技术股份有限公司 智慧大屏显示信息恶意篡改防护方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107315810A (zh) * 2017-06-27 2017-11-03 济南浪潮高新科技投资发展有限公司 一种物联网设备行为画像方法
CN109429103A (zh) * 2017-08-25 2019-03-05 Tcl集团股份有限公司 推荐信息的方法、装置及计算机可读存储介质、终端设备
CN111461118A (zh) * 2020-03-31 2020-07-28 中国移动通信集团黑龙江有限公司 兴趣特征确定方法、装置、设备及存储介质
CN111767474A (zh) * 2020-09-01 2020-10-13 上海蜜度信息技术有限公司 一种基于用户操作行为构建用户画像的方法及设备
CN112149120A (zh) * 2020-09-30 2020-12-29 南京工程学院 一种透传式双通道电力物联网安全检测系统
CN112491872A (zh) * 2020-11-25 2021-03-12 国网辽宁省电力有限公司信息通信分公司 一种基于设备画像的异常网络访问行为检测方法和系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107315810A (zh) * 2017-06-27 2017-11-03 济南浪潮高新科技投资发展有限公司 一种物联网设备行为画像方法
CN109429103A (zh) * 2017-08-25 2019-03-05 Tcl集团股份有限公司 推荐信息的方法、装置及计算机可读存储介质、终端设备
CN111461118A (zh) * 2020-03-31 2020-07-28 中国移动通信集团黑龙江有限公司 兴趣特征确定方法、装置、设备及存储介质
CN111767474A (zh) * 2020-09-01 2020-10-13 上海蜜度信息技术有限公司 一种基于用户操作行为构建用户画像的方法及设备
CN112149120A (zh) * 2020-09-30 2020-12-29 南京工程学院 一种透传式双通道电力物联网安全检测系统
CN112491872A (zh) * 2020-11-25 2021-03-12 国网辽宁省电力有限公司信息通信分公司 一种基于设备画像的异常网络访问行为检测方法和系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113660291A (zh) * 2021-10-18 2021-11-16 杭州海康威视数字技术股份有限公司 智慧大屏显示信息恶意篡改防护方法及装置

Also Published As

Publication number Publication date
CN113055409B (zh) 2021-09-21

Similar Documents

Publication Publication Date Title
CA2992301C (en) Optimizing media fingerprint retention to improve system resource utilization
CN116188821B (zh) 版权检测方法、系统、电子设备和存储介质
CN113055409B (zh) 视频物联网设备画像与异常检测方法、装置和系统
CN111078513A (zh) 日志处理方法、装置、设备、存储介质及日志告警系统
CN112446395A (zh) 网络摄像机、视频监控系统及方法
CN116108491B (zh) 基于半监督联邦学习的数据泄露预警方法、装置及系统
CN116975938B (zh) 一种产品制造过程中的传感器数据处理方法
CN111435435B (zh) 一种同伴识别方法、装置、服务器及系统
CN117749836B (zh) 一种基于人工智能的物联网终端监控方法及系统
CN114724378B (zh) 一种基于深度学习的车辆追踪统计系统及方法
CN110909380A (zh) 一种异常文件访问行为监控方法和装置
CN116723157A (zh) 终端行为检测模型构建方法、装置、设备和存储介质
US11398091B1 (en) Repairing missing frames in recorded video with machine learning
CN114996080A (zh) 数据处理方法、装置、设备及存储介质
CN111553408B (zh) 视频识别软件自动测试的方法
CN114978976A (zh) SRv6融合网络的数据异常检测方法及装置
CN109143878B (zh) 多路采集通道的遥信消息和soe消息处理方法
KR101498608B1 (ko) 영상데이터 검색장치
CN116915512B (zh) 电网中通信流量的检测方法、检测装置
TWI784718B (zh) 廠區告警事件處理方法與系統
CN114418036B (zh) 神经网络的性能测试和训练方法、设备和存储介质
WO2023281897A1 (ja) 映像監視システム及び映像監視方法
CN116758494B (zh) 一种网联车车载视频智能监控方法及系统
CN114821936A (zh) 基于边缘计算的违法犯罪行为检测方法和装置
CN115797819A (zh) 模型训练方法、识别方法和系统、云服务器、本地服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant