CN115085979A

CN115085979A - 一种基于流量分析的网络摄像头非法安装及占用检测方法

Info

Publication number: CN115085979A
Application number: CN202210598824.8A
Authority: CN
Inventors: 郑开开; 徐文渊; 冀晓宇; 程雨诗; 宋振宇
Original assignee: Zhejiang University ZJU
Current assignee: Zhejiang University ZJU
Priority date: 2022-05-30
Filing date: 2022-05-30
Publication date: 2022-09-20

Abstract

本发明公开了一种基于流量分析的网络摄像头非法安装及占用检测方法，涉及信息安全技术领域。所述方法包括：路由器实时检测数据流量，对捕获数据包进行筛选，确定是否含有用户摄像头流量。与此同时，通过手机APP询问用户是否正在调用摄像头。若确定非用户本人调用，则认为网络摄像头被非法控制，并立即切断其数据上传。同时路由器也可以根据检测到的数据流量判断是否存在用户未知的摄像头。本发明能够有效检测网络摄像头被非法控制的情况，检测结果具有极高的准确性，保护关键设备信息隐私安全。

Description

一种基于流量分析的网络摄像头非法安装及占用检测方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于流量分析的网络摄像头非法安装及占用检测方法。

背景技术

近年来，随着互联网技术与通信技术的快速发展，网络摄像头在各行业中的应用越来越广泛，在家庭、公司、商场等一些私人或者公共场所被大量安装。但是网络摄像头也存在巨大的安全隐患，如政府机关、重要军事或工业设施被非法拍摄视频，并向境外传输。

恶意攻击者通过控制智能设备(如汽车、手机等)中的网络摄像头，对目标进行拍摄，并通过网络进行数据传输，由于这种攻击往往在受害者不知情的情况下进行，由一些事前不知晓内容的人或者设备携带，因此攻击往往因发生时间的随机性和数据传输的隐蔽性难以被察觉。因此，如何有效检测网络摄像头是否被非法控制并传输数据，以及是否存在非法安装的网络摄像头，是业界亟待解决的技术问题。

发明内容

本发明提供了一种基于流量分析的网络摄像头非法安装及占用检测方法，检测用户摄像头是否被非法控制以及是否存在用户未知的摄像头。

本发明采用的技术方案如下：

一种基于流量分析的网络摄像头非法安装及占用检测方法，包括以下步骤：

1)获取路由器局域网内数据包流量信息，过滤非数据包；

2)将过滤后的网络数据包流量根据MAC帧头信息中源MAC地址进行分组，区分不同设备上载的网络数据流，包括用户授权的摄像头数据流、用户未授权的摄像头数据流、非摄像头数据流；

3)分别对每一条数据流提取多维特征，形成每一条数据流的特征向量；

4)利用步骤3)所述的特征向量对XGBoost模型进行训练，训练时，将用户授权的摄像头数据流、用户未授权的摄像头数据流标记为正样本，非摄像头数据流标记为负样本；

5)利用训练好的XGBoost模型对待检测的数据流进行分类，得到摄像头数据流，并根据MAC地址判别摄像头数据流是否来自用户授权的摄像头；

6)若摄像头数据流来自用户授权的摄像头，则向用户发送询问指令，所述的询问指令为是否正在调用摄像头，若确认用户并未调用摄像头，则该摄像头被非法占用，路由器随即切断该摄像头数据流的上传，防止隐私泄密；

若摄像头数据流并非来自用户授权的摄像头，则告知用户存未知摄像头。

进一步地，步骤3)所述的多维特征包括上行数据包占比、更换目标ip的平均时间、数据包持续时间的均值及标准差、数据包发送时间间隔的均值及标准差、数据包长度的均值及标准差、服务类型的信息熵、数据包生存时间的均值及标准差；计算公式具体为：

进一步地，所述的路由器设有配套工具，用于接收路由器发出的指令信息并提示用户，以及将用户回复的信息传回路由器。

本发明公开的技术方案具有以下有益效果：目前市场上的绝大多数网络摄像头都存在被非法控制的风险，但当下缺乏检测防范摄像头被非法控制的方法。本发明通过获取空间内的网络数据包，对所述无线网络数据包进行过滤、分组，并提取每一组数据流的四维特征向量，并用加和校验算法对信号进行判别，通过与用户交互的方法确认网络摄像头是否被非法控制，准确率高，使用方便，运行稳定。

附图说明

图1为本发明实施例示出的系统架构示意图；

图2为本发明实施例示出的一种基于流量分析的网络摄像头非法安装及占用检测方法的流程图。

具体实施方式

下面将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

附图中所示的流程图仅是示例性说明，不是必须包括所有的步骤。例如，有的步骤还可以分解，而有的步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

鉴于上述问题，本发明的示例性实施方式公开了一种基于流量分析的网络摄像头非法安装及占用检测方法。图1示出了本示例性实施方式运行环境的系统架构图。

参考图1所示，该系统架构100可以包括路由器110、配套软件120与摄像头130。其中，路由器110是流量分析的主体，位于用户摄像头网络中。待检测场景包括但不限于家居场景和政府机关。路由器110用于对网络数据包进行分析，以检测局域网内是否存在网络摄像头130，并判别该摄像头数据流对应的MAC地址是否为用户摄像头的MAC地址，如果该数据流对应摄像头130的MAC地址是用户摄像头的MAC地址，则路由器110向配套软件120发送信息，配套软件120询问用户此时是否正在调用摄像头130。若用户并未调用摄像头130，则认为用户摄像头130被非法占用，配套软件120向路由器110发送信息，路由器110随即切断摄像头130数据上传，进而阻断对用户摄像头130的非法占用。此外，当路由器110发现具有陌生MAC地址的摄像头数据流时，路由器110会向配套软件120发送信息，配套软件120会向用户发出提醒，告知用户网络中存在未知摄像头。

下面对本示例性实施方式的一种基于流量分析的网络摄像头非法安装及占用检测方法进行说明。该方法的应用场景包括但不限于：

某重要工业设施内，用户安装了若干网络摄像头用于监管，并接入路由器。当路由器检测并分析出用户摄像头视频流时，路由器向配套软件发送信息，询问用户是否正在使用摄像头。若用户此时并未调用摄像头，则配套软件向路由器发送信息，路由器随即切断该数据流上传。另外，当路由器发现具有陌生MAC地址的摄像头数据流时，路由器会向配套软件发送信息，配套软件会向用户发出提醒，告知用户网络中存在未知摄像头。

图2示出了摄像头非法安装及占用检测方法的示例性流程，可以包括：

步骤S210，路由器获取当前局域网内的无线网络数据包流量信息。

步骤S220，根据MAC帧头信息中frame control字段type位信息过滤非数据包。

步骤S230，将过滤后的网络数据包流量根据MAC帧头信息中源MAC地址地址进行分组，区分不同设备上载的网络数据流，包括摄像头数据流以及非摄像头数据流。

步骤S240，分别对每一条数据流提取多维特征，分别为上行数据包占比、上行数据包长度均值、上行数据包长度标准差、持续时间标准差等特征，形成每一条数据流的特征向量。

步骤S250，利用步骤S240所述的特征向量对XGBoost模型进行训练，训练时，将摄像头数据流标记为正样本，非摄像头数据流标记为负样本；训练好的模型能够实现样本的二分类。

步骤S260，利用训练好的XGBoost模型对待检测的数据流进行分类，得到摄像头数据流，根据该数据流MAC地址判断该数据流是否来自用户摄像头。

步骤S270，若判断摄像头数据流MAC地址属于用户摄像头，路由器向配套软件发送信息，配套软件询问用户是否正在调用摄像头；若判断摄像头数据流MAC地址不属于用户摄像头，则路由器通过配套软件告知用户存在未知摄像头。

步骤S280，配套软件确认用户并未调用摄像头，则配套软件向路由器发送信息告知，路由器随即切断该数据流的上传，防止隐私泄密。

下面对图2中的每个步骤进行具体说明。

参考图2，在步骤S210中，获取空间局域网内的网络数据包流量信息。

位于局域网内的数据抓取设备可以抓取局域网的数据包。数据抓取设备上可以通过相关的软件或设置来实现网络数据包的抓取。以利用Wireshark抓取局域网的网络数据包为例，获取该局域网内所有的数据包。假设本发明的使用场景为：在网卡接收到的所有数据包中，已能确定其中包含了来自网络摄像头的数据包，并能根据MAC地址等数据包中公开的信息确认出新的来源于该目标网络摄像头的数据包。

所抓取的网络数据包包括一定范围内所有网络设备发送的数据包。如果待检测空间内存在摄像头，则抓取的网络数据包也包括摄像头发送的视频数据包。在后续处理中，可以从网络数据包中识别出摄像头的视频数据包并加以检测。因此，本示例性实施方式可以在所连接局域网内存在摄像头与其他网络设备的情况下，实现摄像头的检测。

数据抓取设备抓取到网络数据包后，数据分析设备可以从数据抓取设备获取网络数据包，以用于后续处理。如果数据抓取设备与数据分析设备为两台设备，则数据抓取设备可以通过网络将网络数据包发送至数据分析设备，如果数据抓取设备与数据分析设备为一台设备，则可以通过内部的进程间通信实现网络数据包的发送。

继续参考图2，在步骤S240中，分别提取每一条数据流的多维特征向量，包括上行数据包占比、上行数据包长度均值和标准差、持续时间标准差等特征，用于判断数据流是否为摄像头数据流，其具体为：

a.上行数据包占比L：

其中，N_u表示数据流中包含的源ip数据包的数量，N表示数据流中包含的总数据包的数量；

b.获取数据流中的数据包更换目标ip的时间戳t_i，形成数据流的目标ip更换时间序列C＝{t₁,t₂,…,t_i,…t_m}，t_m表示数据流中第m种目标ip对应的数据包时间戳；利用时间序列C计算数据流中数据包更换目标ip的平均时间μ_tc：

tc_i＝t_i+1-t_i

其中，tc_i是第i+1种目标ip与第i种目标ip对应的数据包更换目标ip时间差，μ_tc是数据包更换目标ip的平均时间；

c.数据包持续时间的均值μ_d及标准差D_d：

其中，d_i为数据流中第i个数据包的持续时间；

d.数据包发送时间间隔的均值μ_tk及标准差D_tk：

tk_i＝k_i-k_i-1

其中，k_i为数据流中第i个数据包的发送时间，tk_i数据流中第i个数据包与第i-1个数据包的发送时间差；

e.数据包长度的均值μ_l及标准差D_l：

其中，l_i为数据流中第i个数据包的长度；

f.数据流中的每一个数据包对应一种服务类型，计算每一种服务类型出现的频率f_i，根据频率f_i计算数据包所属服务类型的信息熵E(f)：

其中，w为服务类型的数量，f_i为第i种服务类型出现的频率；

g.数据包生存时间的均值μ_tt及标准差D_tt：

其中，tt_i为数据流中第i个数据包的生存时间。

在步骤S250中，利用步骤S240得到的特征向量，对XgBoost模型进行训练，训练时，使用包含摄像头数据流标记为正样本，非摄像头数据流标记为负样本，建立二分类器；利用训练好的XgBoost模型进行检测时，使用XgBoost模型分析待检测空间是否存在无线摄像头数据流，从而判断待检测空间是否存在网络摄像头。

具体的，在进行检测时，首先根据步骤S210至步骤S220中的方法获取并处理待检测空间内的网络数据包流量，再利用步骤S240中的方法提取数据流的特征向量，将特征向量作为训练好的二分类器的输入，判断数据流量包是否为无线摄像头发出，并根据流量包的MAC地址判断该流量包是否为用户摄像头发出。

当检测到局域网内存在用户摄像头流量时，路由器向配套软件发送信息，询问用户是否正在使用摄像头，所述的配套软件可以是连接路由器或摄像头的用户手机APP。若用户此时并未调用摄像头，则路由器随即切断该数据流上传。另外，当路由器发现具有陌生MAC地址的摄像头数据流时，路由器会向配套软件发送信息，配套软件会向用户发出提醒，告知用户网络中存在未知摄像头。

所属技术领域的技术人员能够理解，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“模块”或“系统”。本申请旨在涵盖任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施方式仅被视为示例性的，本发明的真正范围和精神由权利要求指出。

Claims

1.一种基于流量分析的网络摄像头非法安装及占用检测方法，其特征在于，包括以下步骤：

1)获取路由器局域网内数据包流量信息，过滤非数据包；

2.根据权利要求1所述的一种基于流量分析的网络摄像头非法安装及占用检测方法，其特征在于，步骤3)所述的多维特征包括上行数据包占比、更换目标ip的平均时间、数据包持续时间的均值及标准差、数据包发送时间间隔的均值及标准差、数据包长度的均值及标准差、服务类型的信息熵、数据包生存时间的均值及标准差；计算公式具体为：

a.上行数据包占比L：