CN116527385A - 视频监控网络的深度安全检测方法、装置、设备及介质 - Google Patents
视频监控网络的深度安全检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116527385A CN116527385A CN202310621776.4A CN202310621776A CN116527385A CN 116527385 A CN116527385 A CN 116527385A CN 202310621776 A CN202310621776 A CN 202310621776A CN 116527385 A CN116527385 A CN 116527385A
- Authority
- CN
- China
- Prior art keywords
- network
- security
- security check
- video monitoring
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 120
- 238000001514 detection method Methods 0.000 title claims abstract description 70
- 238000004891 communication Methods 0.000 claims abstract description 67
- 238000000034 method Methods 0.000 claims abstract description 45
- 238000012098 association analyses Methods 0.000 claims abstract description 25
- 238000007689 inspection Methods 0.000 claims description 39
- 238000004590 computer program Methods 0.000 claims description 23
- 230000006399 behavior Effects 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000012795 verification Methods 0.000 claims description 15
- 238000012550 audit Methods 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 238000012360 testing method Methods 0.000 claims description 13
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 8
- 238000007726 management method Methods 0.000 claims description 7
- 230000004083 survival effect Effects 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 19
- 230000006870 function Effects 0.000 description 14
- 238000004458 analytical method Methods 0.000 description 11
- 230000015654 memory Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000005065 mining Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000000523 sample Substances 0.000 description 3
- 238000010219 correlation analysis Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 241000572565 Alpinia oxyphylla Species 0.000 description 1
- 238000012369 In process control Methods 0.000 description 1
- 241000276498 Pollachius virens Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 210000004544 dc2 Anatomy 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004190 ion pair chromatography Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 239000012466 permeate Substances 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 239000008434 yi-zhi Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/14—Systems for two-way working
- H04N7/15—Conference systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
- H04N7/181—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种视频监控网络的深度安全检测方法,涉及云计算技术领域。该方法包括:探测视频监控网络接入的多个目标设备,识别每个目标设备的多维特征信息;基于多维特征信息,分别对视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查;对设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的结果进行关联分析;根据关联分析的结果,确定视频监控网络存在的安全漏洞。本公开还提供了一种视频监控网络的深度安全检测装置、电子设备、存储介质和程序产品。
Description
技术领域
本公开涉及网络安全技术领域,可用于金融领域或其他领域,更具体地涉及一种视频监控网络的深度安全检测方法、装置、电子设备、存储介质和程序产品。
背景技术
随着前端摄像头的数字化,暴露的网络摄像头(IPC)成为了黑客入侵整个视频监控网络的后门。一旦视频监控网络被非法入侵,监控平台被非法破坏,极有可能导致重大的网络安全事件,无法实时监控事态发展,甚至出现无法回溯的局面。
而这些安全事件的背后真正的原因就是因为视频监控/会议网络中存在可利用的漏洞或不应开放的端口。黑客通过工具、社工等方式去挖掘视频监控网络资产的漏洞等可利用的信息,再渗透到目标服务器从而造成安全事故的发生。如果可以保证视频监控网络本身的安全性,那么黑客即使想攻击也无从下手。
然而,黑客与安全人员的对抗是永无止境的,漏洞在动态增加、攻击技术持续变化,安全人员的精力有限,无法及时跟进所有漏洞,开展攻防。
发明内容
鉴于上述问题,本公开提供一种视频监控网络的深度安全检测方法、装置、电子设备、存储介质和程序产品。
根据本公开的第一个方面,提供了一种视频监控网络的深度安全检测方法,包括:探测视频监控网络接入的多个目标设备,识别每个目标设备的多维特征信息;基于多维特征信息,分别对视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查;对设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的结果进行关联分析;根据关联分析的结果,确定视频监控网络存在的安全漏洞。
根据本公开的实施例,探测视频监控网络接入的多个目标设备,包括:使用流量抓取工具,探测接入视频监控网络的多个目标设备,多个目标设备包括:网络摄像头、编码器、数字硬盘录像机、网络硬盘录像机、解码器、视频会议终端、单片机和计算机。
根据本公开的实施例,基于多维特征信息,分别对视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查,包括:基于预设的多种存储模式,将多个目标设备的多维特征信息存储于分布式集群;采用分布式检索引擎,从分布式集群存储的多维特征信息中,分别检索出针对设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的目标特征信息;根据目标特征信息,分别对视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查。
根据本公开的实施例,针对设备安全检查的目标特征信息包括第一设备配置信息和第二设备配置信息,第二设备配置信息的详细程度高于第一设备配置信息;根据目标特征信息,对视频监控网络进行设备安全检查,包括:根据第一设备配置信息,判断视频监控网络是否存在网络异常行为,网络异常行为包括异常接入、异常占用和异常替换;在确定视频监控网络存在网络异常行为的情况下,使用远程管理工具,获取每个目标设备的第二设备配置信息;根据第二设备配置信息,判断多个目标设备是否存在具有网络恶意行为的至少一个目标设备。
根据本公开的实施例,该方法还包括:在确定多个目标设备是否存在具有网络恶意行为的至少一个目标设备的情况下,根据网络恶意行为,对至少一个目标设备推送对应的告警信息。
根据本公开的实施例,第一设备配置信息包括:设备存活情况、网络服务协议、操作系统类型、厂商品牌、设备类型、设备固件版本和硬件型号,网络服务协议包括通用网络服务协议和视频专用网络协议;第二设备配置信息包括:设备固件版本更新情况、重要软件模块的版本更新情况、管理员用户、弱口令的用户账号、不必要的账号、默认用户、密码长度、密码使用期限、网卡数量和类型、网路的进程和端口号、日志审计开启情况、操作系统核心文件的读、写和执行权限、嵌入式Linux核心文件篡改情况。
根据本公开的实施例,针对通信安全检查的目标特征信息包括通信信息,通信信息包括源IP地址、源端口、目的IP地址、目的端口、传输层协议类型、应用层协议类型和未知协议情况;根据目标特征信息,对视频监控网络进行通信安全检查,包括:将通信信息分别与预设的多个通信指标进行比较,基于比较的结果,判断视频监控网络是否存在恶意攻击行为。
根据本公开的实施例,针对网络安全检查的目标特征信息包括传输报文信息;根据目标特征信息,对视频监控网络进行网络安全检查,包括:基于传输报文信息,分别从漏洞情况、口令安全性、Basic认证方式、通用网络协议无用性判断、专用协议健壮性测试和视频组播数据安全性方面,对视频监控网络进行网络安全检查。
根据本公开的实施例,根据目标特征信息,对视频监控网络进行网络安全检查,还包括:使用深度报文检测引擎,将传输报文信息与预置的特征规则库进行比较;基于比较的结果,判断视频监控网络是否存在网络传输漏洞;在确定视频监控网络存在网络传输漏洞的情况下,对视频监控网络进行告警。
根据本公开的实施例,针对应用软件安全检查的目标特征信息包括应用软件信息;根据目标特征信息,对视频监控网络进行应用软件安全检查,包括:基于应用软件信息,分别从用户身份鉴别检查、数据安全检查、访问控制安全检查和安全审计检查方面,对视频监控网络进行应用软件安全检查。
根据本公开的实施例,该方法还包括:对多个目标设备的多维特征信息进行分类,确定每个目标设备的设备厂商、业务场景和设备类型;分别为不同的设备厂商、不同的业务场景和不同的设备类型,配置不同的漏洞验证方式;针对每个目标设备,使用智能调度引擎来调度该目标设备对应的漏洞验证方式,以挖掘该目标设备潜在的安全漏洞。
根据本公开的实施例,视频监控网络应用于视频会议系统或安防视频监控系统。
本公开的第二方面提供了一种视频监控网络的深度安全检测装置,包括:设备探测识别模块,用于探测视频监控网络接入的多个目标设备,识别每个目标设备的多维特征信息;安全检查模块,用于基于多维特征信息,分别对视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查;关联分析模块,用于对设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的结果进行关联分析;漏洞确定模块,用于根据关联分析的结果,确定视频监控网络存在的安全漏洞。
本公开的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述视频监控网络的深度安全检测方法。
本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述视频监控网络的深度安全检测方法。
本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述视频监控网络的深度安全检测方法。
根据本公开实施例提供的视频监控网络的深度安全检测方法、装置、电子设备、存储介质和程序产品,通过对视频监控网络接入的目标设备的探测和识别,进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查这一系列的安全检查,在对这一系列安全检查的结果进行关联分析,从而确定出视频监控网络存在的安全漏洞。本公开实现了对安防视频监控系统和新一代视频会议系统的深度、高效、精确的安全检查,智能感知视频监控网络中存在的安全漏洞,显著提升了视频监控网络的安全水平。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的适于视频监控网络的深度安全检测方法及装置的系统架构;
图2示意性示出了根据本公开实施例的视频监控网络的深度安全检测方法的流程图;
图3示意性示出了根据本公开实施例的对视频监控网络进行安全检查的流程图;
图4示意性示出了根据本公开实施例的对视频监控网络进行设备安全检查的流程图;
图5示意性示出了根据本公开实施例的对视频监控网络进行通信安全检查的流程图;
图6示意性示出了根据本公开实施例的对视频监控网络进行网络安全检查的一流程图;
图7示意性示出了根据本公开实施例的对视频监控网络进行网络安全检查的另一流程图;
图8示意性示出了根据本公开实施例的对视频监控网络进行应用软件安全检查的流程图;
图9示意性示出了根据本公开实施例的对视频监控网络挖掘安全漏洞的流程图;
图10示意性示出了根据本公开实施例的视频监控网络的深度安全检测装置的框图;
图11示意性示出了根据本公开实施例的适于实现视频监控网络的深度安全检测方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
在本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
本公开的实施例提供一种视频监控网络的深度安全检测方法、装置、电子设备、存储介质和程序产品。该方法包括:探测视频监控网络接入的多个目标设备,识别每个目标设备的多维特征信息;基于多维特征信息,分别对视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查;对设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的结果进行关联分析;根据关联分析的结果,确定视频监控网络存在的安全漏洞。
图1示意性示出了根据本公开实施例的适于视频监控网络的深度安全检测方法及装置的系统架构。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括目标设备101、102、103和视频监控网络104,目标设备101、102、103分别通过有线、无线通信链路或者光纤电缆等连接类型接入视频监控网络104,视频监控网络104可以应用于视频监控系统104A和视频会议系统104B。
例如,目标设备101、102、103可以是支持视频监控的各种电子设备,包括但不限于网络摄像头、编码器、数字硬盘录像机(Digital Video Recorder,DVR)、网络硬盘录像机(Network Video Recorder,NVR)、解码器、视频会议终端、单片机(Microcontroller Unit,MCU)和计算机等。
视频监控系统104A可以是视频安防监控系统(video surveillance&controlsystem,VSCS),是利用视频技术探测、监视设防区域并实时显示、记录现场图像的电子系统或网络。
视频会议系统104B可以是网络视频会议系统,是指两个或两个以上不同地方的个人或群体,通过传输线路及多媒体设备,将声音、影像及文件资料互传,实现即时互动的沟通,以实现会议目的的系统设备。
目标设备101、102、103可以与视频监控网络104交互,以接收或发送消息等。
需要说明的是,本公开实施例所提供的视频监控网络的深度安全检测方法一般可以由视频监控系统104A或视频会议系统104B执行。相应地,本公开实施例所提供的视频监控网络的深度安全检测装置一般可以设置于视频监控系统104A或视频会议系统104B中。
应该理解,图1中的目标设备、视频监控网络、视频监控系统和视频会议系统的数目仅仅是示意性的。根据实现需要,可以具有任意数目的目标设备、视频监控网络、视频监控系统和视频会议系统。
以下将基于图1描述的系统架构,通过图2~图9对本公开实施例的视频监控网络的深度安全检测方法进行详细描述。
图2示意性示出了根据本公开实施例的视频监控网络的深度安全检测方法的流程图。
如图2所示,该实施例的视频监控网络的深度安全检测方法可以包括操作S210~操作S240,该视频监控网络的深度安全检测方法可以由上述服务器105执行。
在操作S210,探测视频监控网络接入的多个目标设备,识别每个目标设备的多维特征信息。
在本公开实施例中,视频监控网络应用于视频会议系统或安防视频监控系统。由此,该方法可适用于安防视频监控系统和新一代视频会议系统。
在操作S220,基于多维特征信息,分别对视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查。
在操作S230,对设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的结果进行关联分析。
例如,利用大数据建立相应的安全分析模型,将设备安全检查、通信安全检查、网络安全检查和应用软件安全检查各自的结果进行关联分析。
在操作S240,根据关联分析的结果,确定视频监控网络存在的安全漏洞。
通过上述的实施例,本公开通过对视频监控网络接入的目标设备的探测和识别,进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查这一系列的安全检查,在对这一系列安全检查的结果进行关联分析,从而确定出视频监控网络存在的安全漏洞。本公开实现了对安防视频监控系统和新一代视频会议系统的深度、高效、精确的安全检查,智能感知视频监控网络中存在的安全漏洞,显著提升了视频监控网络的安全水平。
在本公开实施例中,上述操作S210探测视频监控网络接入的多个目标设备,包括:使用流量抓取工具,探测接入视频监控网络的多个目标设备,多个目标设备包括:网络摄像头、编码器、数字硬盘录像机、网络硬盘录像机、解码器、视频会议终端、单片机和计算机。
例如,该流量抓取工具可以为科来网络流量分析、Wireshark、奇安信网神等工具。由此,本公开使用流量抓取工具,针对视频监控网络中接入的多个目标设备(也即视频监控设备)进行主动地爬虫扫描,识别每个目标设备的多维特征信息。
接着,识别每个目标设备的多维特征信息,该多维特征信息可以包括资产、端口、漏洞、系统基本配置等信息。
图3示意性示出了根据本公开实施例的对视频监控网络进行安全检查的流程图。
如图3所示,在本公开实施例中,上述操作S220基于多维特征信息,分别对视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查,可以进一步包括操作S321~操作S323。
在操作S321,基于预设的多种存储模式,将多个目标设备的多维特征信息存储于分布式集群。
传统的数据存储结构单一,随着存储的不断运行,存储系统的业务数据量的爆炸式增长,从而导致了存储成本的不断上涨,同时加大了存储管理的难度。
在本公开实施例中,该多种存储模式包括结构化数据库、非结构化数据库、NoSQL(非关系型的数据库),HDFS(Hadoop Distributed File System,分布式文件系统)。考虑到多维特征信息数量庞大,存储占用空间较大,可以采用结构化数据库、非结构化数据库、NoSQL、HDFS相结合的多种存储模式,将多个目标设备的多维特征信息存储于分布式集群。
在操作S322,采用分布式检索引擎,从分布式集群存储的多维特征信息中,分别检索出针对设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的目标特征信息。
例如,该分布式检索引擎包括Elasticsearch检索引擎。Elasticsearch检索引擎作为大数据分析的检索引擎,为所有类型的数据提供实时的搜索和分析,发现数据中的趋势和模式。由此,本操作可以采用Elasticsearch检索引擎,从多维特征信息中分别检索出针对这一系列安全检查各自的目标特征信息,且该目标特征信息是多维特征信息中的一部分。
在操作S323,根据目标特征信息,分别对视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查。
通过上述的实施例,本公开采用多种存储模式相结合来存储多维特征信息,且存储结构均采用集群化的方式,可以保证数据的安全、稳定性、易于扩展、高可用性和高效性,降低了数据存储的硬件开销。在数据检索方面,采用Elasticsearch检索引擎作为大数据分析的检索引擎,为所有类型的数据提供实时的搜索和分析,提高了目标特征信息的检索效率,便于管理,为后续进行的不同层面安全检查提供了数据基础。
图4示意性示出了根据本公开实施例的对视频监控网络进行设备安全检查的流程图。
如图4所示,在本公开实施例中,针对设备安全检查的目标特征信息包括第一设备配置信息和第二设备配置信息,第二设备配置信息的详细程度高于第一设备配置信息;上述操作S323根据目标特征信息,对视频监控网络进行设备安全检查,可以进一步包括操作S401~操作S403。
在操作S401,根据第一设备配置信息,判断视频监控网络是否存在网络异常行为,网络异常行为包括异常接入、异常占用和异常替换。
在操作S402,在确定视频监控网络存在网络异常行为的情况下,使用远程管理工具,获取每个目标设备的第二设备配置信息。
在操作S403,根据第二设备配置信息,判断多个目标设备是否存在具有网络恶意行为的至少一个目标设备。
该网络恶意行为可以是针对黑客恶意的非法接入、非法占用、非法替换等恶意行为。
通过上述的实施例,本公开基于获取到的第一设备配置信息,对异常接入、异常占用和异常替换等网络异常行为进行判断。在确定存在这些网络异常行为的情况下,继续获取第二设备配置信息,并基于该第二设备配置信息,针对各目标设备本身的安全性进行检查,判断这些目标设备中存在的网络恶意行为。可以看出,网络异常行为和网络恶意行为的判定由浅入深,针对不同设备制定了不同的设备安全检查策略,不仅节省了安全检查效率,也提高了设备安全检查的准确率。
在本公开实施例中,上述操作S403之后,还可以包括:在确定多个目标设备是否存在具有网络恶意行为的至少一个目标设备的情况下,根据网络恶意行为,对至少一个目标设备推送对应的告警信息。由此,本公开对存在网络恶意行为的目标设备进行告警。
在本公开实施例中,第一设备配置信息包括:设备存活情况、网络服务协议、操作系统类型、厂商品牌、设备类型、设备固件版本和硬件型号,网络服务协议包括通用网络服务协议和视频专用网络协议。其中,该视频专用网络协议包括视频监控系统网络服务协议和视频会议系统网络服务协议。操作系统类型包括通用计算机操作系统类型和目标设备操作系统类型。
例如,第一设备配置信息的具体检查内容可以包括:
(1)设备存活情况:基于TCP/UDP服务探测设备存活数量;
(2)网络服务协议:可识别包括通用网络服务:FTP、SSH、TELNET、HTTP、SNMP、HTTPS等;视频监控系统网络服务:ONVIF、RTSP、GB/T28181等;视频会议系统网络服务:H.232协议族、SIP协议等:
(3)操作系统类型:可识别包括通用计算机操作系统类型:Windows、Linux和MACOS;视频监控设备操作系统类型:嵌入式Linux、WinCE、OpenWrt、VxWorks等;
(4)厂商品牌:可识别当前主流的视频监控设备包括保利通、大华、宇视、科达、中兴、华为、索尼、三星等100多种国内外主流视频监控安防设备和视频会议设备品牌;
(5)设备类型:可识别的设备类型至少包括:网络摄像头、编码器、DVR、NVR、解码器、视频会议终端、MCU等视频监控设备和视频会议设备;
(6)设备固件版本:可识别的设备固件版本的品牌至少包括:保利通、大华、宇视、同为、天地伟业、亚安等主流品牌;
(7)硬件型号:可识别的设备硬件型号的品牌至少包括:保利通、大华、宇视、同为、天地伟业、亚安等主流品牌。
特别地,针对第一设备配置信息中的网络服务协议的识别,基于协议的健壮性测试已成为安全漏洞挖掘的常用手段,本公开可以集成最主流的协议分析工具,对常用视频相关协议如RTSP、ONVIF协议进行主动变异,通过智能化识别引擎对设备进行自主识别,探测目标设备类型,并根据不同厂商的不同协议格式差异化变异及拆分,针对不同厂商在内置的信息库中选择相应格式的报文进行针对性的变异,通过智能化识别引擎可以更加灵活自动化的实现协议的模糊测试,大大降低了模糊测试手工配置的复杂度,提高了测试的效率。
在本公开实施例中,第二设备配置信息的详细程度高于第一设备配置信息。该第二设备配置信息包括:设备固件版本更新情况、重要软件模块的版本更新情况、管理员用户、弱口令的用户账号、不必要的账号、默认用户、密码长度、密码使用期限、网卡数量和类型、网路的进程和端口号、日志审计开启情况、操作系统核心文件的读、写和执行权限、嵌入式Linux核心文件篡改情况。
例如,通过使用Xshell、Putty等工具登入视频监控网络中接入的多个目标设备,查看并记录这些第二设备配置信息,针对各目标设备本身的安全性进行检查,检查维度如下:
(1)检查视频监控设备固件版本更新情况;
(2)检查视频监控设备的重要软件模块的版本更新情况,包括ONVIF和RTSP、Web应用软件等;
(3)检查是否存在多个管理员用户;
(4)检查是否存在空口令或默认口令的用户账号;
(5)检查是否存在不必要的账号;
(6)检查默认用户是否启用;
(7)检查密码长度最小值;
(8)检查系统密码最长使用期限;
(9)检查网络网卡数量和类型;
(10)检查监听网路的进程和监听的端口号;
(11)检查是否开启日志审计;
(12)检查操作系统核心文件的读、写和执行权限设置;
(13)检查嵌入式Linux核心文件是否被篡改,包括/etc/shadow、/etc/rc.d/rc.local、/etc/passwd等文件。
通过本公开的实施例,基于以上多种维度进行设备安全轮询检查,针对黑客恶意的非法接入、非法占用、非法替换等恶意行为进行安全检查并告警。
图5示意性示出了根据本公开实施例的对视频监控网络进行通信安全检查的流程图。
如图5所示,在本公开实施例中,针对通信安全检查的目标特征信息包括通信信息,通信信息包括源IP地址、源端口、目的IP地址、目的端口、传输层协议类型、应用层协议类型和未知协议情况;上述操作S323根据目标特征信息,对视频监控网络进行通信安全检查,可以进一步包括操作S501。
在操作S501,将通信信息分别与预设的多个通信指标进行比较,基于比较的结果,判断视频监控网络是否存在恶意攻击行为。
例如,通过源IP地址、源端口、目的IP地址、目的端口、传输层协议类型、应用层协议类型、未知协议进行过滤,得到所有的通信信息,基于这些通信信息对视频监控网络的通信行为进行安全检查,判断该网络中是否存在恶意攻击。
例如,针对目标设备为交换机,则可以通过使用Wireshark、Tcpdump、Xshell等工具抓取该交换机的所有通信数据进行通信行为的安全检查,具体包括通过端口识别通用网络协议、通过内容精确识别通用网络协议和视频专用网络协议,并记录协议原始通信包。除此之外,还需具备发现未知协议的能力。通过对通信数据的安全检查,帮助用户发现网络中的恶意攻击。
然后,基于通信信息分别与预设的多个通信指标的比较结果,判断视频监控网络是否存在恶意攻击行为。该多个通信指标具体可以包括:
(1)流量监听能力不低于500Mb/s,或包量不低于100Kp/s,丢包率不高于1%;通信数据的总存储空间不少于100G;通过端口的识别的通用网络协议种类不少于200种,包括:HTTP、FTP、SSH、TELNET、DNS、NTP、UPNP等;通过内容精确识别通用网络协议种类不少于20种,包括:HTTP、FTP、TELNET、DNS、NTP、UPNP、SNMP等;通过内容精确识别的视频监控安防专用系统不少于4种,包括ONVIF、RTSP、GB/T28181;通过内容精确识别的视频会议专用协议不少于4种,包括H.323协议族和SIP协议;支持深度解析的通用网络协议种类不少于20种,包括:HTTP、FTP、TELNET、DNS、UPNP、SNMP等;支持深度解析的视频监控安防专用系统不少于3种,包括ONVIF、RTSP、GB/T28181;支持深度解析的视频会议专用协议不少于4种,包括H.323协议族和SIP协议;支持过滤分析的通信记录数量不少于5,000,000条;过滤分析响应延迟不超过30秒;
(2)口令明文检查的通信协议包括:FTP、TELNET、RTSP、HTTP;视频数据明文传输检查的协议包括:RTP over TCP和RTP over UDP两种;
(3)网络扫描类型包括UDP扫描、SYN扫描、ACK扫描、ICMP扫描;DDoS攻击检查种类包括SYN Flood、UDP Flood、ICMP Flood、HTTP Flood;缓冲区溢出检查探测攻击的协议包括:HTTP、RTSP、ONVIF;口令探测检查的协议包括:FTP、TELNET、HTTP、RTSP、ONVIF;病毒与蠕虫检查包括:Mirai和BrickerBot等;
(4)可检查的设备类型包括网络摄像头、编码器、DVR、NVR、解码器、会议终端、MCU、台式计算机;可检查的通用计算机协议至少包括:HTTP、FTP、SSH、TELNET、DNS、NTP、UPNP等;可检查的视频专用协议至少包括:ONVIF、RTSP、GB/T28181、SIP、H.323、RTP/RTCP等。
此外,本公开实施例还可以基于有状态和无状态两种检测模式对目标网络设备进行主动探测。其中,有状态的协议探测手段主要用于小型网络目标探测,准确性高,但扫描检测效率较低,其中使用的技术包括TCP SYN扫描、PING扫描、TCP connect扫描,UDP扫描,ACK确认扫描等等。无状态扫描主要用于大型网络结构大批量检测,系统将不维护探测报文状态,通过无状态检测技术可以充分利用系统资源同时对大批量目标进行探测,但是准确性相对会受到影响。由此可见,本公开通过多种检测模式相结合,灵活覆盖各类网络探测需求,提高系统探测的效率。
图6示意性示出了根据本公开实施例的对视频监控网络进行网络安全检查的一流程图。
如图6所示,在本公开实施例中,针对网络安全检查的目标特征信息包括传输报文信息;上述操作S323根据目标特征信息,对视频监控网络进行网络安全检查,可以进一步包括操作S601。
在操作S601,基于传输报文信息,分别从漏洞情况、口令安全性、Basic认证方式、通用网络协议无用性判断、专用协议健壮性测试和视频组播数据安全性方面,对视频监控网络进行网络安全检查。
例如,通过使用Python等工具,分别从漏洞情况、口令安全性、Basic认证方式、通用网络协议无用性判断、专用协议健壮性测试和视频组播数据安全性方面,对视频监控网络进行网络安全检查。
图7示意性示出了根据本公开实施例的对视频监控网络进行网络安全检查的另一流程图。
如图7所示,在本公开实施例中,上述操作S323根据目标特征信息,对视频监控网络进行网络安全检查,还可以包括操作S701~操作S703。
在操作S701,使用深度报文检测引擎,将传输报文信息与预置的特征规则库进行比较。
在操作S702,基于比较的结果,判断视频监控网络是否存在网络传输漏洞。
在操作S703,在确定视频监控网络存在网络传输漏洞的情况下,对视频监控网络进行告警。
通过上述的实施例,为完成视频专用协议的深度检测,本公开可以采用DPI(DeepPayload Inspection深度报文检测)技术,借助字符串特征的逐包匹配来完成入侵检测和流量控制。在这个过程中,通过自有强大的深度报文检测引擎对报文进行标准化处理、协议的正确解析、对报文关键特征提取和高效算法查询等内容,来达到报文的深度检测能力。并且,通过传输报文信息与预置的特征规则库的比较结果,实现有针对性的告警。
例如,该预置的特征规则库具体可以包括:
(1)漏洞库、可验证的漏洞类型至少覆盖30个品牌,必须覆盖:保利通、大华、宇视、同为、亚安、三星、索尼、Vivotek、D-link、Foscam、Belkin、LinkSys、Samsung、AXIS、中兴、科达、飞讯、兴图;
(2)漏洞类型、可验证的漏洞类型至少覆盖:缓冲区溢出、SQL注入、XSS、命令注入、目录遍历、CGI认证缺失、ONVIF认证缺失、硬编码、验证绕行;
(3)漏洞覆盖的设备类型和可验证的漏洞覆盖的设备类型至少包括:网络摄像头、编码器、DVR、NVR、视频会议硬终端、MCU;
(4)视频监控设备的公开漏洞不少于200个;视频监控设备的非公开漏洞不少于30个;漏洞验证脚本不少于150个;无损验证的漏洞脚本不少于50个;
(5)支持检查RTSP服务和Web应用的Basic认证;
(6)支持对通用网络协议的进行无用性判断,包括:FTP、SSH、TELNET、HTTP、SNMP等;支持对视频监控系统的专用协议进行无用性判断,包括:ONVIF、PSIA、HDCCTV、RTSP、H.323、H.245、SIP等;
(7)支持检查的设备类型至少包括:网络摄像头、编码器、DVR、NVR、视频会议硬终端、MCU、视频监控安防综合管理服务器、视频会议综合管理服务器、台式计算机等;
(8)支持RTSP协议的缓冲区溢出测试、RSTP协议的认证缺失和认证绕过测试、ONVIF协议的认证缺失测试,并支持对测试用例的数量进行选择,测试用例不少于5000个;
(9)RTSP中的地址库至少覆盖以下品牌:保利通、大华、宇视、天地伟业、同为、亚安、三星、索尼、佳能、松下、Vivotek、Avtech、D-link、HBGK、ACTi、Foscam、LinkSys、GreadStream、AXIS。
图8示意性示出了根据本公开实施例的对视频监控网络进行应用软件安全检查的流程图。
如图8所示,在本公开实施例中,针对应用软件安全检查的目标特征信息包括应用软件信息;上述操作S323根据目标特征信息,对视频监控网络进行应用软件安全检查,可以进一步包括操作S801。
在操作S801,基于应用软件信息,分别从用户身份鉴别检查、数据安全检查、访问控制安全检查和安全审计检查方面,对视频监控网络进行应用软件安全检查。
例如,通过使用Python等工具,对应用软件信息进行安全检查,包括用户身份鉴别检查、数据安全检查、访问控制安全检查和安全审计检查。具体而言:
(1)通过用户身份鉴别检查鉴别用户的合法性,主要技术指标如下:
1)检查是否实现对登录用户进行身份鉴别;
2)检查登录模块是否提供登录失败处理功能,如采取结束会话、限制非法登陆次数和自动退出等措施;
3)检查用户身份标识是否唯一;
4)检查用户身份表示信息能否被冒用;
5)检查用户身份表示信息能否被伪造;检查是否对密码复杂度进行检查,如密码长度至少为8位,密码至少包含数字、字母和下划线中的两种及以上;
6)检查是否要求密码定期更新,如密码更新周期最多不超过30天;
7)对于视频会议客户端,检查使用会议功能时是否需要认证。
(2)通过数据安全检查验证数据的完整性、实时性以及是否采取相应的安全加固机制,主要技术指标如下:
1)检查视频流数据的完整性;
2)检查视频流数据的实时性;
3)检查敏感信息的存储是否采取了必要的保护措施,如密码信息采用加密方式进行存储;
4)检查敏感信息的传输是否采取了必要的保护措施,如密码信息采用加密方式进行传输;
5)检查是否提供数据本地备份与恢复功能,如完全备份数据至少每周一次;
6)检查是否提供异地实时备份功能。
(3)通过访问控制安全检查对视频监控系统的安全访问控制机制进行安全评估,确保视频监控设备本身具备访问控制能力。主要技术指标如下:
1)检查是否存在账户权限分级,如至少应包含管理员、操作员和普通用户三种角色;
2)检查不同帐户在完成各自任务时所授予的权限是否最小;
3)检查不同帐户之间是否存在制约关系;
4)对于Web应用,检查是否对登陆的网络地址范围进行限制;
5)检查是否允许默认账户的访问;
6)检查是否提供资助访问控制功能,如根据安全策略控制用户对文件、数据库等资源的访问;
7)检查是否对Web服务的最大并发会话连接数进行限制;
8)检查是否对单个账户的多重并发会话进行限制;
9)检查是否能够对一个时间段内可能的并发会话连接数进行限制;
10)检查是否能够一个访问账户或一个请求进程占用的资源分配
最大限额和最小限额;
11)当应用系统中的通信双方中的一方在一段时间内未作任何响应时,另一方能否自动结束会话。
(4)通过安全审计检查对视频监控设备的安全审计能力是否满足要求,提高视频监控网络的安全问题回溯能力,主要技术指标如下:
1)检查审计记录的内容是否完善,如应至少包含时间的日期、时间、发起者信息、类型、描述和结果等;
2)检查是否能够被随意修改、覆盖或删除审计记录;
3)检查是否提供对审计记录数据进行统计、查询、分析等功能;
4)检查安全审计功能是否覆盖到每个用户。
图9示意性示出了根据本公开实施例的对视频监控网络挖掘安全漏洞的流程图。
如图9所示,在本公开实施例中,该视频监控网络的深度安全检测方法还可以包括操作S901~操作S903。
在操作S901,对多个目标设备的多维特征信息进行分类,确定每个目标设备的设备厂商、业务场景和设备类型。
例如,为满足不同设备厂商、不同业务场景和不同设备类型的目标设备的自动化识别功能,本公开可以内置强大的信息指纹规则库,通过智能化匹配分析引擎,自动对探测目标进行二次识别,通过对文件hash检测、特定内容检测、特定路径判断、交互行为判断等多种探测手段相结合,可以轻易识别出各种不同设备厂商、业务场景和设备类型的目标设备。
在操作S902,分别为不同的设备厂商、不同的业务场景和不同的设备类型,配置不同的漏洞验证方式。
在操作S903,针对每个目标设备,使用智能调度引擎来调度该目标设备对应的漏洞验证方式,以挖掘该目标设备潜在的安全漏洞。
通过上述的实施例,本公开通过主动识别技术可以对多维特性信息进行分类。智能调度引擎根据不同的设备厂商、不同的业务场景和不同的设备类型,对每个目标设备调度对应的POC(漏洞验证方式),通过对目标设备的脆弱性识别捕获后,将获取的设备详细信息分发给智能调度引擎,然后智能调度引擎对目标设备进行更加详细的漏洞探测,大大提升了对目标设备的漏洞检测挖掘能力,相对于传统安全检测技术更加准确和高效。
需要说明的是,本公开实施例可供用户自行开发漏洞验证方式或者漏洞检测程序,这是一种“用户定义漏洞检测内容”的创新型检测理念。这是因为,传统的检测方法是基于官方公开的漏洞验证方式(POC),只具备检测发现已披露的漏洞,不能自主自发地挖掘漏洞。但事实上,未公开的漏洞信息并不意味漏洞不存在,对于一些未公开但存在的漏洞,用户可通过接口调用自行开发验证。
例如,针对该接口设计,用户可以首先限定该漏洞验证方式(POC)的最低开发和运行环境,然后进行接口设计,依次包括添加任务、删除任务、添加特征、添加漏洞插件、获取任务信息、添加漏洞扫描策略和获取资产信息等环节。
由此可见,本公开实施例提供的方法,可以支持用户使用Python等工具,自行开发漏洞检测POC,自发验证用户认为的,未公开却已存在的漏洞。在扫描检测的同时,运行验证漏洞程序,用户可以发现潜在的、未公开的设备漏洞。
基于上述视频监控网络的深度安全检测方法,本公开还提供了一种视频监控网络的深度安全检测装置,以下将结合图10对该装置进行详细描述。
图10示意性示出了根据本公开实施例的视频监控网络的深度安全检测装置的框图。
如图10所示,该实施例的视频监控网络的深度安全检测装置1000包括设备探测识别模块1010、安全检查模块1020、关联分析模块1030和漏洞确定模块1040。
设备探测识别模块1010,用于探测视频监控网络接入的多个目标设备,识别每个所述目标设备的多维特征信息。在一实施例中,设备探测识别模块1010可以用于执行前文描述的操作S210,在此不再赘述。
安全检查模块1020,用于基于所述多维特征信息,分别对所述视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查。在一实施例中,安全检查模块1020可以用于执行前文描述的操作S220,在此不再赘述。
关联分析模块1030,用于对所述设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的结果进行关联分析。在一实施例中,关联分析模块1030可以用于执行前文描述的操作S230,在此不再赘述。
漏洞确定模块1040,用于根据所述关联分析的结果,确定所述视频监控网络存在的安全漏洞。在一实施例中,漏洞确定模块1040可以用于执行前文描述的操作S240,在此不再赘述。
根据本公开的实施例,设备探测识别模块1010、安全检查模块1020、关联分析模块1030和漏洞确定模块1040中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,设备探测识别模块1010、安全检查模块1020、关联分析模块1030和漏洞确定模块1040中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,设备探测识别模块1010、安全检查模块1020、关联分析模块1030和漏洞确定模块1040中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图11示意性示出了根据本公开实施例的适于实现视频监控网络的深度安全检测方法的电子设备的方框图。
如图11所示,根据本公开实施例的电子设备1100包括处理器1101,其可以根据存储在只读存储器(ROM)1102中的程序或者从存储部分1108加载到随机访问存储器(RAM)1103中的程序而执行各种适当的动作和处理。处理器1101例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器1101还可以包括用于缓存用途的板载存储器。处理器1101可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1103中,存储有电子设备1100操作所需的各种程序和数据。处理器1101、ROM 1102以及RAM 1103通过总线1104彼此相连。处理器1101通过执行ROM 1102和/或RAM1103中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 1102和RAM 1103以外的一个或多个存储器中。处理器1101也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1100还可以包括输入/输出(I/O)接口1105,输入/输出(I/O)接口1105也连接至总线1104。电子设备1100还可以包括连接至I/O接口1105的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1106;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1107;包括硬盘等的存储部分1108;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1109。通信部分1109经由诸如因特网的网络执行通信处理。驱动器1110也根据需要连接至I/O接口1105。可拆卸介质1111,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1110上,以便于从其上读出的计算机程序根据需要被安装入存储部分1108。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的视频监控网络的深度安全检测方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 1102和/或RAM 1103和/或ROM 1102和RAM 1103以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的视频监控网络的深度安全检测方法。
在该计算机程序被处理器1101执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分1109被下载和安装,和/或从可拆卸介质1111被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分1109从网络上被下载和安装,和/或从可拆卸介质1111被安装。在该计算机程序被处理器1101执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (16)
1.一种视频监控网络的深度安全检测方法,包括:
探测视频监控网络接入的多个目标设备,识别每个所述目标设备的多维特征信息;
基于所述多维特征信息,分别对所述视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查;
对所述设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的结果进行关联分析;
根据所述关联分析的结果,确定所述视频监控网络存在的安全漏洞。
2.根据权利要求1所述的方法,其中,所述探测视频监控网络接入的多个目标设备,包括:
使用流量抓取工具,探测接入所述视频监控网络的多个目标设备,所述多个目标设备包括:网络摄像头、编码器、数字硬盘录像机、网络硬盘录像机、解码器、视频会议终端、单片机和计算机。
3.根据权利要求1所述的方法,其中,所述基于所述多维特征信息,分别对所述视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查,包括:
基于预设的多种存储模式,将所述多个目标设备的所述多维特征信息存储于分布式集群;
采用分布式检索引擎,从所述分布式集群存储的所述多维特征信息中,分别检索出针对所述设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的目标特征信息;
根据所述目标特征信息,分别对所述视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查。
4.根据权利要求3所述的方法,其中,针对所述设备安全检查的目标特征信息包括第一设备配置信息和第二设备配置信息,所述第二设备配置信息的详细程度高于所述第一设备配置信息;
根据所述目标特征信息,对所述视频监控网络进行设备安全检查,包括:
根据所述第一设备配置信息,判断所述视频监控网络是否存在网络异常行为,所述网络异常行为包括异常接入、异常占用和异常替换;
在确定所述视频监控网络存在网络异常行为的情况下,使用远程管理工具,获取每个所述目标设备的第二设备配置信息;
根据所述第二设备配置信息,判断所述多个目标设备是否存在具有网络恶意行为的至少一个目标设备。
5.根据权利要求4所述的方法,其中,所述方法还包括:
在确定所述多个目标设备是否存在具有网络恶意行为的至少一个目标设备的情况下,根据所述网络恶意行为,对所述至少一个目标设备推送对应的告警信息。
6.根据权利要求4所述的方法,其中,所述第一设备配置信息包括:设备存活情况、网络服务协议、操作系统类型、厂商品牌、设备类型、设备固件版本和硬件型号,所述网络服务协议包括通用网络服务协议和视频专用网络协议;
所述第二设备配置信息包括:设备固件版本更新情况、重要软件模块的版本更新情况、管理员用户、弱口令的用户账号、不必要的账号、默认用户、密码长度、密码使用期限、网卡数量和类型、网路的进程和端口号、日志审计开启情况、操作系统核心文件的读、写和执行权限、嵌入式Linux核心文件篡改情况。
7.根据权利要求3所述的方法,其中,针对所述通信安全检查的目标特征信息包括通信信息,所述通信信息包括源IP地址、源端口、目的IP地址、目的端口、传输层协议类型、应用层协议类型和未知协议情况;
根据所述目标特征信息,对所述视频监控网络进行通信安全检查,包括:
将所述通信信息分别与预设的多个通信指标进行比较,基于所述比较的结果,判断所述视频监控网络是否存在恶意攻击行为。
8.根据权利要求3所述的方法,其中,针对所述网络安全检查的目标特征信息包括传输报文信息;
根据所述目标特征信息,对所述视频监控网络进行网络安全检查,包括:
基于所述传输报文信息,分别从漏洞情况、口令安全性、Basic认证方式、通用网络协议无用性判断、专用协议健壮性测试和视频组播数据安全性方面,对所述视频监控网络进行网络安全检查。
9.根据权利要求8所述的方法,其中,所述根据所述目标特征信息,对所述视频监控网络进行网络安全检查,还包括:
使用深度报文检测引擎,将所述传输报文信息与预置的特征规则库进行比较;
基于所述比较的结果,判断所述视频监控网络是否存在网络传输漏洞;
在确定所述视频监控网络存在网络传输漏洞的情况下,对所述视频监控网络进行告警。
10.根据权利要求3所述的方法,其中,针对所述应用软件安全检查的目标特征信息包括应用软件信息;
根据所述目标特征信息,对所述视频监控网络进行应用软件安全检查,包括:
基于所述应用软件信息,分别从用户身份鉴别检查、数据安全检查、访问控制安全检查和安全审计检查方面,对所述视频监控网络进行应用软件安全检查。
11.根据权利要求1-10中任一项所述的方法,其中,所述方法还包括:
对所述多个目标设备的所述多维特征信息进行分类,确定每个所述目标设备的设备厂商、业务场景和设备类型;
分别为不同的设备厂商、不同的业务场景和不同的设备类型,配置不同的漏洞验证方式;
针对每个所述目标设备,使用智能调度引擎来调度该目标设备对应的所述漏洞验证方式,以挖掘该目标设备潜在的安全漏洞。
12.根据权利要求1所述的方法,其中,所述视频监控网络应用于视频会议系统或安防视频监控系统。
13.一种视频监控网络的深度安全检测装置,包括:
设备探测识别模块,用于探测视频监控网络接入的多个目标设备,识别每个所述目标设备的多维特征信息;
安全检查模块,用于基于所述多维特征信息,分别对所述视频监控网络进行设备安全检查、通信安全检查、网络安全检查和应用软件安全检查;
关联分析模块,用于对所述设备安全检查、通信安全检查、网络安全检查和应用软件安全检查的结果进行关联分析;
漏洞确定模块,用于根据所述关联分析的结果,确定所述视频监控网络存在的安全漏洞。
14.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~12中任一项所述的方法。
15.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~12中任一项所述的方法。
16.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~12中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310621776.4A CN116527385A (zh) | 2023-05-30 | 2023-05-30 | 视频监控网络的深度安全检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310621776.4A CN116527385A (zh) | 2023-05-30 | 2023-05-30 | 视频监控网络的深度安全检测方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116527385A true CN116527385A (zh) | 2023-08-01 |
Family
ID=87397701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310621776.4A Pending CN116527385A (zh) | 2023-05-30 | 2023-05-30 | 视频监控网络的深度安全检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116527385A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117614877A (zh) * | 2023-11-27 | 2024-02-27 | 中国电子科技集团公司第十五研究所 | 一种网络安全检测系统 |
-
2023
- 2023-05-30 CN CN202310621776.4A patent/CN116527385A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117614877A (zh) * | 2023-11-27 | 2024-02-27 | 中国电子科技集团公司第十五研究所 | 一种网络安全检测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chadwick et al. | A cloud-edge based data security architecture for sharing and analysing cyber threat information | |
| Ab Rahman et al. | Cloud incident handling and forensic‐by‐design: cloud storage as a case study | |
| US7735140B2 (en) | Method and apparatus providing unified compliant network audit | |
| US9930055B2 (en) | Unwanted tunneling alert system | |
| US10771489B1 (en) | Artificial intelligence method and system for detecting anomalies in a computer network | |
| US20170230336A1 (en) | Automated honeypot provisioning system | |
| WO2018084808A1 (en) | Computer-implemented method and data processing system for testing device security | |
| KR20180120157A (ko) | 데이터세트 추출 기반 패턴 매칭 | |
| US11080392B2 (en) | Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment | |
| Deshpande et al. | Security and Data Storage Aspect in Cloud Computing | |
| US11916945B2 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
| CN111327601A (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| CN113614718A (zh) | 异常用户会话检测器 | |
| Valente et al. | Privacy and security in Internet-connected cameras | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN116527385A (zh) | 视频监控网络的深度安全检测方法、装置、设备及介质 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN113608907B (zh) | 数据库审计方法、装置、设备、系统及存储介质 | |
| KR101658450B1 (ko) | 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치. | |
| Xosanavongsa et al. | Discovering correlations: A formal definition of causal dependency among heterogeneous events | |
| Aljurayban et al. | Framework for cloud intrusion detection system service | |
| Mishra et al. | Intrusion detection system with snort in cloud computing: advanced IDS | |
| US20240106846A1 (en) | Approval Workflows For Anomalous User Behavior | |
| US10419480B1 (en) | System, method, and computer program for real-time cyber intrusion detection and intruder identity analysis | |
| Zeinali | Analysis of security information and event management (SIEM) evasion and detection methods |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |