CN115085978A - 一种基于流量捕捉的网络摄像头非法拍摄检测方法 - Google Patents

一种基于流量捕捉的网络摄像头非法拍摄检测方法 Download PDF

Info

Publication number
CN115085978A
CN115085978A CN202210578983.1A CN202210578983A CN115085978A CN 115085978 A CN115085978 A CN 115085978A CN 202210578983 A CN202210578983 A CN 202210578983A CN 115085978 A CN115085978 A CN 115085978A
Authority
CN
China
Prior art keywords
camera
data
data stream
target
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210578983.1A
Other languages
English (en)
Other versions
CN115085978B (zh
Inventor
郑开开
徐文渊
冀晓宇
程雨诗
宋振宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN202210578983.1A priority Critical patent/CN115085978B/zh
Publication of CN115085978A publication Critical patent/CN115085978A/zh
Application granted granted Critical
Publication of CN115085978B publication Critical patent/CN115085978B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N17/00Diagnosis, testing or measuring for television systems or their details
    • H04N17/002Diagnosis, testing or measuring for television systems or their details for television cameras
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02BCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO BUILDINGS, e.g. HOUSING, HOUSE APPLIANCES OR RELATED END-USER APPLICATIONS
    • Y02B20/00Energy efficient lighting technologies, e.g. halogen lamps or gas discharge lamps
    • Y02B20/40Control techniques providing energy savings, e.g. smart controller or presence detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于流量捕捉的网络摄像头非法拍摄检测方法,涉及信息安全技术领域。所述方法包括:向空间内发射周期性光信号,获取检测空间内的数据流量,对捕获数据包进行筛选,确定空间内的包含光源的摄像头流量。本发明能够有效检测网络摄像头对目标的拍摄行为,检测结果具有极高的准确性,保护关键设备信息隐私安全。

Description

一种基于流量捕捉的网络摄像头非法拍摄检测方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于流量捕捉的网络摄像头非法拍摄检测方法。
背景技术
近年来,随着互联网技术与通信技术的快速发展,网络摄像头在各行业中的应用越来越广泛,在家庭、公司、商场等一些私人或者公共场所被大量安装。但是网络摄像头也存在巨大的安全隐患。
恶意攻击者通过控制智能设备(如汽车、手机等)中的网络摄像头,对目标进行拍摄,并通过网络进行数据传输,由于这种攻击往往在受害者不知情的情况下进行,由一些事前不知晓内容的人或者设备携带,因此攻击往往因发生时间的随机性和数据传输的隐蔽性难以被察觉。因此,如何有效检测网络摄像头是否被非法控制并传输数据,是业界亟待解决的技术问题。
发明内容
本发明提供了一种基于流量捕捉的网络摄像头非法拍摄检测方法,检测是否有对目标进行非法拍摄且传输流量的摄像头。
本发明采用的技术方案如下:
一种基于流量捕捉的网络摄像头非法拍摄检测方法,包括以下步骤:
1)在待检测空间设置可控光源作为目标,所述的可控光源按照一定的周期变化规律发出光信号;
2)获取检测空间内的网络数据包流量信息,过滤非数据包;
3)将过滤后的网络数据包流量根据MAC帧头信息中源MAC地址进行分组,区分不同设备上载的网络数据流,包括包含目标的摄像头数据流、不包含目标的摄像头数据流以及非摄像头数据流;
4)分别对每一条数据流提取多维特征,所述多维特征包括上行数据包占比、上行数据包长度均值和标准差、持续时间标准差,形成每一条数据流的特征向量;
5)利用步骤4)所述的特征向量对XGBoost模型进行训练,训练时,将包含目标的摄像头数据流和不包含目标的摄像头数据流标记为正样本,非摄像头数据流标记为负样本;
6)利用训练好的XGBoost模型对待检测的数据流进行分类,得到检测空间内的摄像头数据流,判别该数据流中是否存在和目标发出光源一致的信号,若是,则检测空间内存在网络摄像头,根据数据流的MAC帧头信息判断是否为非法摄像头。
进一步的,步骤4)中对每一条数据流提取多维特征,具体为:
(1)统计数据流中的数据包数量,记为N;
(2)统计数据流中上行数据包的数量,记为Nu
(3)对数据流中的每一个数据包Pi,其中i∈[1,N],从物理层包头的Length 字段提取数据包长度信息,记为li;从MAC帧头信息的Duration字段提取持续时间信息,记为di;从物理层包头的Epoch Time字段提取数据包到达时间,记为ti
(4)计算当前数据流中上行数据包占总数据包的比例
Figure BDA0003661580800000021
(5)计算当前数据流的上行数据包长度均值和标准差
Figure BDA0003661580800000022
其中μl是该数据流上行数据包长度均值:
Figure BDA0003661580800000023
(6)计算当前数据流的持续时间标准差
Figure BDA0003661580800000024
其中μd是该数据流持续时间的均值:
Figure BDA0003661580800000025
进一步的,步骤6)中,当检测到空间局域网内存在非法摄像头后,把目标发出的信号作为发送方数据信号,从非法摄像头对应数据流中获取信号流量数据,作为接收方的数据信号,对两个信号的特征进行比对,根据预设的置信度判断目标信号是否存在非法摄像头流量中,若是,则目标被非法摄像头拍摄,否则,目标未被非法摄像头拍摄。
本发明公开的技术方案具有以下有益效果:传统方法对网络摄像头的监测方式比较被动,一般采用限制可疑设备进入目标区域来避免恶意拍摄,这样被动的方式难以应对持续不断的恶意攻击和层出不穷的攻击手段,缺乏应对的主动性。本发明通过获取空间内的网络数据包,对所述无线网络数据包进行过滤、分组,并提取每一组数据流的四维特征向量,并用加和校验算法对信号进行判别,检测空间中对目标进行拍摄的网络摄像头,准确率高,运行稳定。
附图说明
图1为本发明实施例示出的系统架构示意图;
图2为本发明实施例示出的一种基于流量捕捉的网络摄像头非法拍摄检测方法的流程图。
具体实施方式
下面将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
附图中所示的流程图仅是示例性说明,不是必须包括所有的步骤。例如,有的步骤还可以分解,而有的步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
鉴于上述问题,本发明的示例性实施方式公开了一种基于流量捕捉的网络摄像头非法拍摄检测方法。图1示出了本示例性实施方式运行环境的系统架构图。
参考图1所示,该系统架构100可以包括可控光源110与数据抓取及分析设备120,以及数据发送设备130。其中,可控光源110可以是频率可设置的光源,位于关键设施附近,在系统中是需要确认是否被拍摄的对象。待检测场景包括但不限于政府机关、重要军事、工业设施。数据抓取及分析设备120是具备数据捕获功能以及数据处理功能的设备,实现数据抓取和数据分析的功能。数据发送设备130为具备数据传输功能的拍摄设备,如网络摄像头。数据抓取及分析设备 120用于对网络数据包进行分析,以检测局域网内是否存在网络摄像头,并判别该摄像头的数据流是否包含光源110的信号特征,如果数据发送设备130发送的信号为摄像头数据流且包含可控光源110的信号特征,则数据抓取及分析设备 120确认并记录数据发送设备130的地址。
下面对本示例性实施方式的一种基于流量捕捉的网络摄像头非法拍摄检测方法进行说明。该方法的应用场景包括但不限于:
某重要工业设施内,安装了一个以特定周期发送光信号的光源,与一个有网卡以及处理器的通讯设备协同,当恶意摄像头对光源代表的工业设施进行拍摄并传输数据时,通讯设备捕获空间内的数据包,然后执行本示例性实施方式的摄像头非法拍摄检测方法,发送给工业设施的控制室后台。
图2示出了摄像头非法拍摄检测方法的示例性流程,可以包括:
步骤S210,使光源以一定预设信号周期产生光信号,将数据抓取设备接入局域网,获取空间局域网内的无线网络数据包流量信息。
步骤S220,根据MAC帧头信息中frame control字段type位信息过滤非数据包。
步骤S230,将过滤后的网络数据包流量根据MAC帧头信息中源MAC地址地址进行分组,区分不同设备上载的网络数据流,包括包含“目标”的摄像头数据流、不包含“目标”的摄像头数据流以及非摄像头数据流。
步骤S240,分别对每一条数据流提取多维特征,分别为上行数据包占比、上行数据包长度均值、上行数据包长度标准差、持续时间标准差四维特征,形成每一条数据流的特征向量。
步骤S250,利用步骤S240所述的特征向量对XGBoost模型进行训练,训练时,将包含“目标”的摄像头数据流和不包含“目标”的摄像头数据流标记为正样本,非摄像头数据流标记为负样本;训练好的模型能够实现样本的二分类。
步骤S260,利用训练好的XGBoost模型对待检测的数据流进行分类,得到检测空间内的摄像头数据流,判别该数据流中是否存在和“目标”发出光源一致的信号,确定空间中是否存在对“目标”进行拍摄的摄像头。
下面对图2中的每个步骤进行具体说明。
参考图2,在步骤S210中,获取空间局域网内的无线网络数据包流量信息。
位于局域网内的数据抓取设备可以抓取无线局域网的数据包。数据抓取设备上可以通过相关的软件或设置来实现网络数据包的抓取。以利用Wireshark抓取无线局域网的网络数据包为例,获取该局域网内所有的数据包。假设本发明的使用场景为:在网卡接收到的所有数据包中,已能确定其中包含了来自网络摄像头的数据包,并能根据MAC地址等数据包中公开的信息确认出新的来源于该目标网络摄像头的数据包。
所抓取的网络数据包包括一定范围内所有网络设备发送的数据包。如果待检测空间内存在摄像头,则抓取的网络数据包也包括摄像头发送的视频数据包。在后续处理中,可以从网络数据包中识别出摄像头的视频数据包并加以检测。因此,本示例性实施方式可以在所连接局域网内存在摄像头与其他网络设备的情况下,实现摄像头的检测。
数据抓取设备抓取到网络数据包后,数据分析设备可以从数据抓取设备获取网络数据包,以用于后续处理。如果数据抓取设备与数据分析设备为两台设备,则数据抓取设备可以通过网络将网络数据包发送至数据分析设备,如果数据抓取设备与数据分析设备为一台设备,则可以通过内部的进程间通信实现网络数据包的发送。
继续参考图2,在步骤S240中,分别提取每一条数据流的多维特征向量,包括上行数据包占比、上行数据包长度均值和标准差、持续时间标准差四维特征,用于判断数据流是否为摄像头数据流,其具体提取步骤为:
(1)统计数据流中的数据包数量,记为N;
(2)统计数据流中上行数据包的数量,记为Nu
(3)对数据流中的每一个数据包Pi,其中i∈[1,N],从物理层包头的Length 字段提取数据包长度信息,记为li;从MAC帧头的Duration字段提取持续时间信息,记为di;从物理层包头的Epoch Time字段提取数据包到达时间,记为ti
(4)计算当前数据流中上行数据包占总数据包的比例
Figure BDA0003661580800000051
(5)计算当前数据流的上行数据包长度均值和标准差
Figure BDA0003661580800000052
其中μl是该数据流上行数据包长度均值:
Figure BDA0003661580800000053
(6)计算当前数据流的持续时间标准差
Figure BDA0003661580800000054
其中μd是该数据流持续时间的均值:
Figure BDA0003661580800000055
在步骤S250中,利用步骤S240得到的四维特征向量,对XgBoost模型进行训练,训练时,使用包含“目标”的摄像头数据流和不包含“目标”的摄像头数据流标记为正样本,非摄像头数据流标记为负样本,建立二分类器;利用训练好的XgBoost模型进行检测时,使用XgBoost模型分析待检测空间是否存在无线摄像头数据流,从而判断待检测空间是否存在网络摄像头。
具体的,在进行检测时,首先根据步骤S210至步骤S220中的方法获取并处理待检测空间内的网络数据包流量,再利用步骤S240中的方法提取数据流的特征向量,将特征向量作为训练好的二分类器的输入,得到待检测空间是否存在无线摄像头的检测结果。
当检测到空间局域网内存在摄像头流量,把“目标”发出的信号作为“发送方”数据信号,从无线摄像头对应数据流中获取其信号流量数据,作为“接收方”的数据信号,利用Checksum累加和校验算法,对两个信号的特征进行比对,与预设的置信度进行比对,判断“目标”信号是否存在摄像头流量中,即“目标”有没有被摄像头拍摄。
所属技术领域的技术人员能够理解,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“模块”或“系统”。本申请旨在涵盖任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施方式仅被视为示例性的,本发明的真正范围和精神由权利要求指出。

Claims (3)

1.一种基于流量捕捉的网络摄像头非法拍摄检测方法,其特征在于,包括以下步骤:
1)在待检测空间设置可控光源作为目标,所述的可控光源按照一定的周期变化规律发出光信号;
2)获取检测空间内的网络数据包流量信息,过滤非数据包;
3)将过滤后的网络数据包流量根据MAC帧头信息中源MAC地址进行分组,区分不同设备上载的网络数据流,包括包含目标的摄像头数据流、不包含目标的摄像头数据流以及非摄像头数据流;
4)分别对每一条数据流提取多维特征,所述多维特征包括上行数据包占比、上行数据包长度均值和标准差、持续时间标准差,形成每一条数据流的特征向量;
5)利用步骤4)所述的特征向量对XGBoost模型进行训练,训练时,将包含目标的摄像头数据流和不包含目标的摄像头数据流标记为正样本,非摄像头数据流标记为负样本;
6)利用训练好的XGBoost模型对待检测的数据流进行分类,得到检测空间内的摄像头数据流,判别该数据流中是否存在和目标发出光源一致的信号,若是,则检测空间内存在网络摄像头,根据数据流的MAC帧头信息判断是否为非法摄像头。
2.根据权利要求1所述的一种基于流量捕捉的网络摄像头非法拍摄检测方法,其特征在于,步骤4)中对每一条数据流提取多维特征,具体为:
(1)统计数据流中的数据包数量,记为N;
(2)统计数据流中上行数据包的数量,记为Nu
(3)对数据流中的每一个数据包Pi,其中i∈[1,N],从物理层包头的Length字段提取数据包长度信息,记为li;从MAC帧头信息的Duration字段提取持续时间信息,记为di;从物理层包头的Epoch Time字段提取数据包到达时间,记为ti
(4)计算当前数据流中上行数据包占总数据包的比例
Figure FDA0003661580790000011
(5)计算当前数据流的上行数据包长度均值和标准差
Figure FDA0003661580790000012
其中μl是该数据流上行数据包长度均值:
Figure FDA0003661580790000013
(6)计算当前数据流的持续时间标准差
Figure FDA0003661580790000021
其中μd是该数据流持续时间的均值:
Figure FDA0003661580790000022
3.根据权利要求1所述的一种基于流量捕捉的网络摄像头非法拍摄检测方法,其特征在于,步骤6)中,当检测到空间局域网内存在非法摄像头后,把目标发出的信号作为发送方数据信号,从非法摄像头对应数据流中获取信号流量数据,作为接收方的数据信号,对两个信号的特征进行比对,根据预设的置信度判断目标信号是否存在非法摄像头流量中,若是,则目标被非法摄像头拍摄,否则,目标未被非法摄像头拍摄。
CN202210578983.1A 2022-05-25 2022-05-25 一种基于流量捕捉的网络摄像头非法拍摄检测方法 Active CN115085978B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210578983.1A CN115085978B (zh) 2022-05-25 2022-05-25 一种基于流量捕捉的网络摄像头非法拍摄检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210578983.1A CN115085978B (zh) 2022-05-25 2022-05-25 一种基于流量捕捉的网络摄像头非法拍摄检测方法

Publications (2)

Publication Number Publication Date
CN115085978A true CN115085978A (zh) 2022-09-20
CN115085978B CN115085978B (zh) 2023-03-14

Family

ID=83248532

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210578983.1A Active CN115085978B (zh) 2022-05-25 2022-05-25 一种基于流量捕捉的网络摄像头非法拍摄检测方法

Country Status (1)

Country Link
CN (1) CN115085978B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108718257A (zh) * 2018-05-23 2018-10-30 浙江大学 一种基于网络流量的无线摄像头检测及定位方法
WO2019222947A1 (zh) * 2018-05-23 2019-11-28 浙江大学 一种基于网络流量的无线摄像头检测及定位方法
WO2021215787A1 (ko) * 2020-04-21 2021-10-28 (주)넷비젼텔레콤 무선 ip 카메라 탐지 시스템 및 방법
CN114125806A (zh) * 2021-09-24 2022-03-01 浙江大学 基于无线网络流量的云存储模式的无线摄像头检测方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108718257A (zh) * 2018-05-23 2018-10-30 浙江大学 一种基于网络流量的无线摄像头检测及定位方法
WO2019222947A1 (zh) * 2018-05-23 2019-11-28 浙江大学 一种基于网络流量的无线摄像头检测及定位方法
WO2021215787A1 (ko) * 2020-04-21 2021-10-28 (주)넷비젼텔레콤 무선 ip 카메라 탐지 시스템 및 방법
CN114125806A (zh) * 2021-09-24 2022-03-01 浙江大学 基于无线网络流量的云存储模式的无线摄像头检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张文豪等: "基于摄像头检测的防盗拍系统开发和算法研究", 《电子设计工程》 *

Also Published As

Publication number Publication date
CN115085978B (zh) 2023-03-14

Similar Documents

Publication Publication Date Title
Cheng et al. Dewicam: Detecting hidden wireless cameras via smartphones
CN111181901B (zh) 异常流量检测装置及其异常流量检测方法
KR102067046B1 (ko) 머신러닝 기반 네트워크 영상 데이터 송출패턴 분석을 이용한 변형 카메라 인지 시스템과 그 방법
CN109618286B (zh) 一种实时监控系统和方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN110247819B (zh) 一种基于加密流识别的Wi-Fi视频采集设备检测方法及系统
KR102297217B1 (ko) 영상들 간에 객체와 객체 위치의 동일성을 식별하기 위한 방법 및 장치
KR102204338B1 (ko) 무선 ip 카메라 탐지 시스템
CN114125806B (zh) 基于无线网络流量的云存储模式的无线摄像头检测方法
CN103532957A (zh) 一种木马远程shell行为检测装置及方法
Cheng et al. On detecting hidden wireless cameras: A traffic pattern-based approach
CN104796405A (zh) 反弹连接检测方法和装置
CN111553332B (zh) 入侵检测规则生成方法、装置及电子设备
CN114554185A (zh) 一种基于无线网络流量的偷拍摄像头检测及防护方法
CN111917975B (zh) 基于网络通讯数据的隐蔽网络摄像头识别方法
CN115085979A (zh) 一种基于流量分析的网络摄像头非法安装及占用检测方法
CN115085978B (zh) 一种基于流量捕捉的网络摄像头非法拍摄检测方法
CN109600394A (zh) 一种基于深度学习的http隧道木马检测方法
Ji et al. User presence inference via encrypted traffic of wireless camera in smart homes
CN113037748A (zh) 一种c&c信道混合检测方法及系统
Hao et al. IoTTFID: An Incremental IoT device identification model based on traffic fingerprint
KR102411209B1 (ko) 엣지 디바이스에서 생성한 객체 탐지 이벤트 기반의 영상 분류 시스템
CN114978663A (zh) 基于行为伪装的互联网安全服务系统
CN114117430A (zh) WebShell检测方法、电子装置和计算机可读存储介质
CN114863337A (zh) 一种新型屏幕防拍照识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant