一种视频监控系统安全准入方法及装置的制造方法
一种视频监控系统安全准入方法及装置的制造方法
【技术领域】
[0001]本发明涉及视频监控技术领域,尤其涉及视频监控系统中的一种视频监控系统安全准入方法及装置。
【背景技术】
[0002]视频监控是安全防范系统的重要组成部分,视频监控以其直观、准确、及时和信息内容丰富而广泛应用于许多场合。近年来,随着计算机、网络以及图像处理、传输技术的飞速发展,视频监控的普及化趋势越来越明显。目前视频监控系统的前端设备已经部署在城市的各个角落,很多前端设备需要部署在道路两旁、山顶、楼顶等地方,这就要求用户的IP网络同样延伸到城市的各个角落。
[0003]由于用户的IP网络延伸到城市的各个角落,IP网络端口的安全性就很难进行管理,为了防止黑客通过部署在路边的接入端口访问用户网络,威胁用户网络的安全,用户就必须对接入的终端进行各种身份认证、访问认证。
[0004]现有技术很多前端设备采用802.lx进行身份认证,只有认证成功的设备才能接入。然而很多前端设备IPC不支持802.1X,无法要求所有的IPC都通过802.1X来进行认证。另夕卜IPC在通过802.lx认证后,接入设备对IPC的任何数据都不再进行控制,如果IPC中病毒后再接入,将会对整网带来威胁。
[0005]现有技术的另一种方案是采用接入设备根据IPC的控制报文、媒体流报文进行ACL过滤,对于非控制报文、媒体流报文的端口号报文进行丢弃。然而由于前端设备IPC支持多种协议类型,譬如国标、0NVIF、DB33、企业私有协议、SDK调用等等,前端设备协议的多样性意味着接入设备需要做定制开发,对各种协议进行区分认知,对接入设备的要求较高。同时该方案在媒体流端口放开后,攻击设备依然可以通过打入大量的媒体流报文数据对网络形成威胁,无法彻底消除安全威胁。
【发明内容】
[0006]本发明的目的是提供一种视频监控系统安全准入方法及装置,对前端设备的接入进行控制,消除非法入侵带来的安全隐患。
[0007]为了实现上述目的,本发明技术方案如下:
[0008]—种视频监控系统安全准入方法,应用于接入前端设备的接入交换机,所述方法包括:
[0009]接收所接入的设备发送的报文,允许符合事先学习到的前端设备IPC的注册报文通过,阻塞其他报文;
[0010]在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测;
[0011]在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。
[0012]进一步地,所述方法还包括步骤:
[0013]学习前端设备业务状态,保存各业务状态的业务模型。
[0014]具体地,所述学习前端设备业务状态,保存各业务状态的业务模型,包括:
[0015]接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程;
[0016]获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时;
[0017]在临时准入阶段,对符合设定的报文个数和流量的大小的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段;
[0018]进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。
[0019]进一步地,所述无流量业务控制策略包括:
[0020]无流量业务报文的数量有限,设置报文平均数目以及突发数目不得超过规定的阈值;
[0021 ] 无流量业务报文的交互必须是双向的,不允许出现单向连续发送超过规定数量以上的报文;
[0022]交互报文的方向性必须符合业务学习阶段学习到的业务报文方向;
[0023]进一步地,所述有流量业务控制策略包括:
[0024]在流量发送前,必须有相应的控制信令交互,且控制信令必须是视频管理平台主动发起;
[0025]在接收到媒体流请求报文之后,记录当前媒体流通过状态为开启,即允许通过;
[0026]在接收到媒体流停止报文之后,记录当前媒体流通过状态为禁止,即不允许通过;
[0027]媒体数据流的方向必须符合学习阶段得到的方向;
[0028]单条媒体流数据带宽不得超过该通道的最大媒体流带宽;
[0029]同一种媒体流数量不得超过一条;
[0030]在接收到业务停止控制信令后,阻止该媒体流通过。
[0031]本发明还提出了一种视频监控系统安全准入装置,应用于接入前端设备的接入交换机,所述装置包括:
[0032]接入管理模块,用于接收所接入的设备发送的报文,允许符合事先学习到的前端设备IPC的注册报文通过,阻塞其他报文;
[0033]监测模块,用于在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测;
[0034]控制模块,用于在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。
[0035]进一步地,所述装置还包括学习模块,用于学习前端设备业务状态,保存各业务状态的业务模型。
[0036]所述学习模块在学习前端设备业务状态,保存各业务状态的业务模型时,执行如下操作:
[0037]接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程;
[0038]获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时;
[0039]在临时准入阶段,对符合设定的报文个数和流量的大小的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段;
[0040]进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。
[0041]本发明提出的一种视频监控系统安全准入方法及装置,通过安全准入装置学习前端设备的业务状态,并根据学习到的业务状态建立模型,在接收到输入的报文后,进行相应的控制,从而实现对接入的终端的控制。本发明不需要前端设备IPC支持安全准入功能,安全准入装置也不需要针对某种特定的协议,仅通过自学习就可以进行拦截,可以有效识别终端设备,保障了用户网络端口的安全性。
【附图说明】
[0042]图1为本发明视频监控系统组网示意图;
[0043]图2为本发明视频监控系统安全准入方法流程图;
[0044]图3为本发明安全准入装置结构示意图。
【具体实施方式】
[0045]下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。
[0046]本发明的总体思路是在视频监控系统的前端设备与用户的网络之间设置安全准入机制,对通过用户前端端口接入的终端进行管控,以阻止非法终端的接入,保障用户的网络安全。
[0047]如图1所示,视频监控系统包括前端设备、安全准入装置、以及视频管理平台。本实施例前端设备为网络摄像机IPC或编码器,视频管理平台为视频监控后台设备,例如包括视频管理服务器、媒体服务器、存储设备和客户端等。安全准入装置可以是接入交换机,也可以是专门的设备,前端设备通过安全准入装置接入到视频管理平台。
[0048]如图2所示,本实施例一种视频监控系统安全准入方法,接入前端设备的接入交换机,该安全准入方法包括如下步骤:
[0049]步骤S1、接收所接入的设备发送的报文,允许符合事先学习到的前端设备的注册报文通过,阻塞其他报文。
[0050]步骤S2、在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测。
[0051]步骤 S3、在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。
[0052]可见,本实施例的安全准入方法需要事先对前端设备IPC接入后的业务状态进行学习,保存各业务状态的业务模型。即事先对正确接入IPC后的业务状态进行学习,以便在后面的控制过程中对非IPC的接入设备进行控制,例如对非法的其他终端进行控制,从而防止其他终端、或被篡改的饿IPC接入到用户网络中。
[0053]本实施例安全准入装置对IPC业务状态的学习过程如下:
[0054]步骤F1、接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程。
[0055]步骤F2、获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时。
[0056]步骤F3、在临时准入阶段,对符合设定的报文个数和流量的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段。
[0057]步骤F4、进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。
[0058]本实施例将对符合设定的报文个数和流量的报文允许通过的阶段称为临时准入阶段。在临时准入阶段,对符合设定的报文个数和流量的大小的情况下允许任何报文通过,例如设定的报文个数为10个/S,设定的流量大小为lOOkbits/s。本实施例设置临时准入阶段,可以使得注册报文得以通过,以完成合法的注册过程,如果没有合法的注册报文,则进行阻塞,可以有效的防止其他非法报文的攻击。
[0059]具体地,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习。判断的方法是:如果没有学习,那么这个接口的控制策略就是空的,如果该接口之前进行了业务状态学习,则该接口下会有控制策略,譬如有流量业务和无流量业务的控制策略。
[0060]从而在视频管理平台收到该MAC地址的前端设备注册报文并上线后,通知安全准入装置结束临时准入阶段,进入业务状态学习阶段。业务状态学习阶段为接入前端设备的接口对前端设备各业务状态进行学习的阶段,学习过程如下:
[0061]A、注册保活状态学习:注册报文为前端设备与视频管理平台的第一次交互报文,保活报文一般为周期性的重复报文。
[0062]视频管理平台停止该前端的所有业务,并通知前端设备进行重启;
[0063]视频管理平台通知接入前端设备的接口进入注册保活业务学习状态;
[0064]接入前端设备的接口开始抓取该前端设备接入接口的收发数据报文,并对该报文进行记录;
[0065]视频管理平台等待一段时间(譬如五分钟)后,通知接入前端设备的接口结束注册保活业务学习状态;
[0066]接入前端设备的接口对抓取的报文进行分析,分析报文的五元组(报文的源IP、目的IP、协议类型、源端口号、目的端口号)、报文的周期性、注册/保活报文的方向,建立注册保活业务模型。
[0067]B、存储状态学习:首先需要有存储的控制信令,然后才有存储的数据报文。
[0068]视频管理平台停止该前端设备的所有业务;
[0069]视频管理平台通知接入前端设备的接口进入第一次存储业务学习状态;
[0070]视频管理平台为该前端设备配置存储计划;
[0071]接入前端设备的接口开始抓取该前端设备接入接口的收发数据报文,并对该报文进行记录;
[0072]视频管理平台等待一段时间(譬如五分钟)后,删除存储业务;
[0073]视频管理平台通知接入前端设备的接口结束第一次存储业务学习状态;
[0074]重复上述操作3次,并结束;
[0075]接入前端设备的接口对抓取的报文进行分析,按照报文的五元组(报文的源IP、目的IP、协议类型、源端口号、目的端口号)进行分类,去掉注册保活业务报文,对剩下的存储报文的报文格式进行分析,建立存储状态模型。
[0076]C、实况业务状态学习:首先需要有实况的控制信令,然后才有存储的数据报文。
[0077]视频管理平台停止该前端设备的所有业务;
[0078]视频管理平台通知接入前端设备的接口进入第一次实况业务学习状态;
[0079]接入前端设备的接口开始抓取该前端设备接入接口的收发数据报文,并对该报文进行记录;
[0080]视频管理平台对该前端设备进行实况操作;
[0081]视频管理平台等待一段时间(譬如五分钟)后,停止该实况业务;
[0082]通知接入前端设备的接口结束第一次实况业务学习状态;
[0083]重复上述操作3次,并结束;
[0084]对接入前端设备的接口抓取的报文进行分析,按照报文的五元组(报文的源IP、目的IP、协议类型、源端口号、目的端口号)进行分类,去掉注册保活业务报文,对剩下的实况报文的报文格式进行分析,建立实况业务状态模型。
[0085]D、其他已知业务状态学习,譬如云台控制、告警业务、语音对讲等功能以同样的方式分别进行学习并建立模型。
[0086]F、正常运行模式业务学习。
[0087]视频管理平台通知接入前端设备的接口进入正常运行模式业务学习;
[0088]接入前端设备的接口开始抓取该前端设备接入接口的收发数据报文,并对该报文进行记录;
[0089]视频管理平台自身不做任何业务操作,设备处于正常运行模式;
[0090]接入前端设备的接口学习一段时间后(譬如24小时),停止正常运行模式业务学习,对记录的报文进行分析,去掉已经学习到的业务模型,对剩下的数据报文进行未知业务分析,建立未知业务状态模型。
[0091]安全准入装置正常运行模式业务学习结束后,通知视频管理平台结束业务学习阶段,开始进入业务控制阶段。视频管理平台收到该消息后,通知前端设备重启。
[0092]在安全准入装置完成业务状态的学习后,保存学习到的各业务模型。此时安全准入装置可以放置在现场用来接入前端设备,在使用的过程中,由于前面安全准入装置已经学习到了前端设备的注册保活业务模型,则首先在接收所接入的设备发送的报文后,允许符合事先学习到的前端设备的注册报文通过,阻塞其他报文。如果所接入设备的注册报文都不符合,则保持对所接入设备的阻止。如果所接入设备的注册报文符合,则在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,状态控制阶段是对接入的设备的报文进行监测和控制的阶段。此后可以正常接入前端设备,对接入的前端设备进行安全准入控制。在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。从而如果接入的是正常的前端设备,则保证业务的正常进行,如果接入的是非法的设备,则进行阻塞。具体地:
[0093]对于注册保活业务模型中的保活报文和其他无流量业务的报文,其他无流量业务为例如告警等没有流量的业务,通称为无流量业务模型,按照无流量业务控制策略进行控制,控制的准则是:
[0094]无流量业务报文的数量有限,设置报文平均数目以及突发数目不得超过规定的阈值;例如平均不得超过5个/秒,突发不得超过10个/秒;
[0095]无流量业务报文的交互必须是双向的(前端设备发给视频管理平台、或者视频管理平台发给前端设备),不允许出现单向连续发送超过规定数量以上的报文,例如10个;
[0096]交互报文的方向性必须符合业务学习阶段学习到的业务报文方向。
[0097]对于存储、实况、语音等有流量的业务,称为有流量业务模型,按照有流量业务控制策略进行控制,控制的准则是:
[0098]在流量发送前,必须有相应的控制信令交互,且控制信令必须是视频管理平台主动发起;
[0099]安全准入装置在接收到媒体流请求报文之后,记录当前媒体流通过状态为开启,即允许通过;安全准入装置在接收到媒体流停止报文之后,记录当前媒体流通过状态为禁止,即不允许通过;
[0100]媒体数据流的方向必须符合学习阶段得到的方向;
[0101 ]单条媒体流数据带宽不得超过该通道的最大媒 体流带宽,譬如16MbpS;
[0102]同一种媒体流数量不得超过一条,譬如实况流已经建立的基础上,不允许再请求第二条实况流;
[0103]在接收到业务停止控制信令后,阻止该媒体流通过。
[0104]从而仅允许学习过的合法的前端设备的业务状态报文通过,如果不符合已经学习到的业务模型则进行阻止,有效防止前端设备被篡改或其他非法终端非法接入用户网络。
[0105]如图3所示,本实施例一种视频监控系统安全准入装置,可以集成在接入交换机,也可以是专门的设备,该装置包括:
[0106]接入管理模块,用于接收所接入的设备发送的报文,允许符合事先学习到的前端设备的注册报文通过,阻塞其他报文;
[0107]监测模块,用于在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测;
[0108]控制模块,用于在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。
[0109]进一步地,该装置还包括学习模块,用于学习前端设备业务状态,保存各业务状态的业务模型。
[0110]与上述方法对应地,学习模块在学习前端设备业务状态,保存各业务状态的业务模型时,执行如下操作:
[0111]接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程;
[0112]获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时;
[0113]在临时准入阶段,对符合设定的报文个数和流量的大小的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段;
[0114]进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。
[0115]以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
【主权项】
1.一种视频监控系统安全准入方法,应用于接入前端设备的接入交换机,其特征在于,所述方法包括: 接收所接入的设备发送的报文,允许符合事先学习到的前端设备的注册报文通过,阻塞其他报文; 在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测; 在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。2.根据权利要求1所述的安全准入方法,其特征在于,所述方法还包括步骤: 学习前端设备业务状态,保存各业务状态的业务模型。3.根据权利要求2所述的安全准入方法,其特征在于,所述学习前端设备业务状态,保存各业务状态的业务模型,包括: 接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程; 获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时; 在临时准入阶段,对符合设定的报文个数和流量的大小的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段; 进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。4.根据权利要求1所述的安全准入方法,其特征在于,所述无流量业务控制策略包括: 无流量业务报文的数量有限,设置报文平均数目以及突发数目不得超过规定的阈值; 无流量业务报文的交互必须是双向的,不允许出现单向连续发送超过规定数量以上的报文; 交互报文的方向性必须符合业务学习阶段学习到的业务报文方向。5.根据权利要求1所述的安全准入方法,其特征在于,所述有流量业务控制策略包括: 在流量发送前,必须有相应的控制信令交互,且控制信令必须是视频管理平台主动发起; 在接收到媒体流请求报文之后,记录当前媒体流通过状态为开启,即允许通过; 在接收到媒体流停止报文之后,记录当前媒体流通过状态为禁止,即不允许通过; 媒体数据流的方向必须符合学习阶段得到的方向; 单条媒体流数据带宽不得超过该通道的最大媒体流带宽; 同一种媒体流数量不得超过一条; 在接收到业务停止控制信令后,阻止该媒体流通过。6.—种视频监控系统安全准入装置,应用于接入前端设备的接入交换机,其特征在于,所述装置包括: 接入管理模块,用于接收所接入的设备发送的报文,允许符合事先学习到的前端设备IPC的注册报文通过,阻塞其他报文; 监测模块,用于在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测; 控制模块,用于在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。7.根据权利要求6所述的安全准入装置,其特征在于,所述装置还包括学习模块,用于学习前端设备业务状态,保存各业务状态的业务模型。8.根据权利要求7所述的安全准入装置,其特征在于,所述学习模块在学习前端设备业务状态,保存各业务状态的业务模型时,执行如下操作: 接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程; 获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时; 在临时准入阶段,对符合设定的报文个数和流量的大小的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段; 进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。9.根据权利要求6所述的安全准入装置,其特征在于,所述无流量业务控制策略包括: 无流量业务报文的数量有限,设置报文平均数目以及突发数目不得超过规定的阈值;无流量业务报文的交互必须是双向的,不允许出现单向连续发送超过规定数量以上的报文; 交互报文的方向性必须符合业务学习阶段学习到的业务报文方向。10.根据权利要求6所述的安全准入装置,其特征在于,所述有流量业务控制策略包括: 在流量发送前,必须有相应的控制信令交互,且控制信令必须是视频管理平台主动发起; 在接收到媒体流请求报文之后,记录当前媒体流通过状态为开启,即允许通过; 在接收到媒体流停止报文之后,记录当前媒体流通过状态为禁止,即不允许通过; 媒体数据流的方向必须符合学习阶段得到的方向; 单条媒体流数据带宽不得超过该通道的最大媒体流带宽; 同一种媒体流数量不得超过一条; 在接收到业务停止控制信令后,阻止该媒体流通过。
【专利摘要】本发明公开了一种视频监控系统安全准入方法及装置,应用于接入前端设备的接入交换机,所述方法接收所接入的设备发送的报文,允许符合事先学习到的前端设备的注册报文通过,阻塞其他报文;在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测;在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。本发明的装置包括接入管理模块、监测模块、控制模块和学习模块。本发明的方法及装置,可以有效识别终端设备,保障了用户网络端口的安全性。
【IPC分类】H04N7/18, H04L29/06
【公开号】CN105491007
【申请号】CN201510786695
【发明人】周迪, 任俊峰
【申请人】浙江宇视科技有限公司
【公开日】2016年4月13日
【申请日】2015年11月13日
【技术领域】
[0001]本发明涉及视频监控技术领域,尤其涉及视频监控系统中的一种视频监控系统安全准入方法及装置。
【背景技术】
[0002]视频监控是安全防范系统的重要组成部分,视频监控以其直观、准确、及时和信息内容丰富而广泛应用于许多场合。近年来,随着计算机、网络以及图像处理、传输技术的飞速发展,视频监控的普及化趋势越来越明显。目前视频监控系统的前端设备已经部署在城市的各个角落,很多前端设备需要部署在道路两旁、山顶、楼顶等地方,这就要求用户的IP网络同样延伸到城市的各个角落。
[0003]由于用户的IP网络延伸到城市的各个角落,IP网络端口的安全性就很难进行管理,为了防止黑客通过部署在路边的接入端口访问用户网络,威胁用户网络的安全,用户就必须对接入的终端进行各种身份认证、访问认证。
[0004]现有技术很多前端设备采用802.lx进行身份认证,只有认证成功的设备才能接入。然而很多前端设备IPC不支持802.1X,无法要求所有的IPC都通过802.1X来进行认证。另夕卜IPC在通过802.lx认证后,接入设备对IPC的任何数据都不再进行控制,如果IPC中病毒后再接入,将会对整网带来威胁。
[0005]现有技术的另一种方案是采用接入设备根据IPC的控制报文、媒体流报文进行ACL过滤,对于非控制报文、媒体流报文的端口号报文进行丢弃。然而由于前端设备IPC支持多种协议类型,譬如国标、0NVIF、DB33、企业私有协议、SDK调用等等,前端设备协议的多样性意味着接入设备需要做定制开发,对各种协议进行区分认知,对接入设备的要求较高。同时该方案在媒体流端口放开后,攻击设备依然可以通过打入大量的媒体流报文数据对网络形成威胁,无法彻底消除安全威胁。
【发明内容】
[0006]本发明的目的是提供一种视频监控系统安全准入方法及装置,对前端设备的接入进行控制,消除非法入侵带来的安全隐患。
[0007]为了实现上述目的,本发明技术方案如下:
[0008]—种视频监控系统安全准入方法,应用于接入前端设备的接入交换机,所述方法包括:
[0009]接收所接入的设备发送的报文,允许符合事先学习到的前端设备IPC的注册报文通过,阻塞其他报文;
[0010]在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测;
[0011]在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。
[0012]进一步地,所述方法还包括步骤:
[0013]学习前端设备业务状态,保存各业务状态的业务模型。
[0014]具体地,所述学习前端设备业务状态,保存各业务状态的业务模型,包括:
[0015]接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程;
[0016]获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时;
[0017]在临时准入阶段,对符合设定的报文个数和流量的大小的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段;
[0018]进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。
[0019]进一步地,所述无流量业务控制策略包括:
[0020]无流量业务报文的数量有限,设置报文平均数目以及突发数目不得超过规定的阈值;
[0021 ] 无流量业务报文的交互必须是双向的,不允许出现单向连续发送超过规定数量以上的报文;
[0022]交互报文的方向性必须符合业务学习阶段学习到的业务报文方向;
[0023]进一步地,所述有流量业务控制策略包括:
[0024]在流量发送前,必须有相应的控制信令交互,且控制信令必须是视频管理平台主动发起;
[0025]在接收到媒体流请求报文之后,记录当前媒体流通过状态为开启,即允许通过;
[0026]在接收到媒体流停止报文之后,记录当前媒体流通过状态为禁止,即不允许通过;
[0027]媒体数据流的方向必须符合学习阶段得到的方向;
[0028]单条媒体流数据带宽不得超过该通道的最大媒体流带宽;
[0029]同一种媒体流数量不得超过一条;
[0030]在接收到业务停止控制信令后,阻止该媒体流通过。
[0031]本发明还提出了一种视频监控系统安全准入装置,应用于接入前端设备的接入交换机,所述装置包括:
[0032]接入管理模块,用于接收所接入的设备发送的报文,允许符合事先学习到的前端设备IPC的注册报文通过,阻塞其他报文;
[0033]监测模块,用于在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测;
[0034]控制模块,用于在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。
[0035]进一步地,所述装置还包括学习模块,用于学习前端设备业务状态,保存各业务状态的业务模型。
[0036]所述学习模块在学习前端设备业务状态,保存各业务状态的业务模型时,执行如下操作:
[0037]接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程;
[0038]获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时;
[0039]在临时准入阶段,对符合设定的报文个数和流量的大小的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段;
[0040]进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。
[0041]本发明提出的一种视频监控系统安全准入方法及装置,通过安全准入装置学习前端设备的业务状态,并根据学习到的业务状态建立模型,在接收到输入的报文后,进行相应的控制,从而实现对接入的终端的控制。本发明不需要前端设备IPC支持安全准入功能,安全准入装置也不需要针对某种特定的协议,仅通过自学习就可以进行拦截,可以有效识别终端设备,保障了用户网络端口的安全性。
【附图说明】
[0042]图1为本发明视频监控系统组网示意图;
[0043]图2为本发明视频监控系统安全准入方法流程图;
[0044]图3为本发明安全准入装置结构示意图。
【具体实施方式】
[0045]下面结合附图和实施例对本发明技术方案做进一步详细说明,以下实施例不构成对本发明的限定。
[0046]本发明的总体思路是在视频监控系统的前端设备与用户的网络之间设置安全准入机制,对通过用户前端端口接入的终端进行管控,以阻止非法终端的接入,保障用户的网络安全。
[0047]如图1所示,视频监控系统包括前端设备、安全准入装置、以及视频管理平台。本实施例前端设备为网络摄像机IPC或编码器,视频管理平台为视频监控后台设备,例如包括视频管理服务器、媒体服务器、存储设备和客户端等。安全准入装置可以是接入交换机,也可以是专门的设备,前端设备通过安全准入装置接入到视频管理平台。
[0048]如图2所示,本实施例一种视频监控系统安全准入方法,接入前端设备的接入交换机,该安全准入方法包括如下步骤:
[0049]步骤S1、接收所接入的设备发送的报文,允许符合事先学习到的前端设备的注册报文通过,阻塞其他报文。
[0050]步骤S2、在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测。
[0051]步骤 S3、在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。
[0052]可见,本实施例的安全准入方法需要事先对前端设备IPC接入后的业务状态进行学习,保存各业务状态的业务模型。即事先对正确接入IPC后的业务状态进行学习,以便在后面的控制过程中对非IPC的接入设备进行控制,例如对非法的其他终端进行控制,从而防止其他终端、或被篡改的饿IPC接入到用户网络中。
[0053]本实施例安全准入装置对IPC业务状态的学习过程如下:
[0054]步骤F1、接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程。
[0055]步骤F2、获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时。
[0056]步骤F3、在临时准入阶段,对符合设定的报文个数和流量的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段。
[0057]步骤F4、进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。
[0058]本实施例将对符合设定的报文个数和流量的报文允许通过的阶段称为临时准入阶段。在临时准入阶段,对符合设定的报文个数和流量的大小的情况下允许任何报文通过,例如设定的报文个数为10个/S,设定的流量大小为lOOkbits/s。本实施例设置临时准入阶段,可以使得注册报文得以通过,以完成合法的注册过程,如果没有合法的注册报文,则进行阻塞,可以有效的防止其他非法报文的攻击。
[0059]具体地,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习。判断的方法是:如果没有学习,那么这个接口的控制策略就是空的,如果该接口之前进行了业务状态学习,则该接口下会有控制策略,譬如有流量业务和无流量业务的控制策略。
[0060]从而在视频管理平台收到该MAC地址的前端设备注册报文并上线后,通知安全准入装置结束临时准入阶段,进入业务状态学习阶段。业务状态学习阶段为接入前端设备的接口对前端设备各业务状态进行学习的阶段,学习过程如下:
[0061]A、注册保活状态学习:注册报文为前端设备与视频管理平台的第一次交互报文,保活报文一般为周期性的重复报文。
[0062]视频管理平台停止该前端的所有业务,并通知前端设备进行重启;
[0063]视频管理平台通知接入前端设备的接口进入注册保活业务学习状态;
[0064]接入前端设备的接口开始抓取该前端设备接入接口的收发数据报文,并对该报文进行记录;
[0065]视频管理平台等待一段时间(譬如五分钟)后,通知接入前端设备的接口结束注册保活业务学习状态;
[0066]接入前端设备的接口对抓取的报文进行分析,分析报文的五元组(报文的源IP、目的IP、协议类型、源端口号、目的端口号)、报文的周期性、注册/保活报文的方向,建立注册保活业务模型。
[0067]B、存储状态学习:首先需要有存储的控制信令,然后才有存储的数据报文。
[0068]视频管理平台停止该前端设备的所有业务;
[0069]视频管理平台通知接入前端设备的接口进入第一次存储业务学习状态;
[0070]视频管理平台为该前端设备配置存储计划;
[0071]接入前端设备的接口开始抓取该前端设备接入接口的收发数据报文,并对该报文进行记录;
[0072]视频管理平台等待一段时间(譬如五分钟)后,删除存储业务;
[0073]视频管理平台通知接入前端设备的接口结束第一次存储业务学习状态;
[0074]重复上述操作3次,并结束;
[0075]接入前端设备的接口对抓取的报文进行分析,按照报文的五元组(报文的源IP、目的IP、协议类型、源端口号、目的端口号)进行分类,去掉注册保活业务报文,对剩下的存储报文的报文格式进行分析,建立存储状态模型。
[0076]C、实况业务状态学习:首先需要有实况的控制信令,然后才有存储的数据报文。
[0077]视频管理平台停止该前端设备的所有业务;
[0078]视频管理平台通知接入前端设备的接口进入第一次实况业务学习状态;
[0079]接入前端设备的接口开始抓取该前端设备接入接口的收发数据报文,并对该报文进行记录;
[0080]视频管理平台对该前端设备进行实况操作;
[0081]视频管理平台等待一段时间(譬如五分钟)后,停止该实况业务;
[0082]通知接入前端设备的接口结束第一次实况业务学习状态;
[0083]重复上述操作3次,并结束;
[0084]对接入前端设备的接口抓取的报文进行分析,按照报文的五元组(报文的源IP、目的IP、协议类型、源端口号、目的端口号)进行分类,去掉注册保活业务报文,对剩下的实况报文的报文格式进行分析,建立实况业务状态模型。
[0085]D、其他已知业务状态学习,譬如云台控制、告警业务、语音对讲等功能以同样的方式分别进行学习并建立模型。
[0086]F、正常运行模式业务学习。
[0087]视频管理平台通知接入前端设备的接口进入正常运行模式业务学习;
[0088]接入前端设备的接口开始抓取该前端设备接入接口的收发数据报文,并对该报文进行记录;
[0089]视频管理平台自身不做任何业务操作,设备处于正常运行模式;
[0090]接入前端设备的接口学习一段时间后(譬如24小时),停止正常运行模式业务学习,对记录的报文进行分析,去掉已经学习到的业务模型,对剩下的数据报文进行未知业务分析,建立未知业务状态模型。
[0091]安全准入装置正常运行模式业务学习结束后,通知视频管理平台结束业务学习阶段,开始进入业务控制阶段。视频管理平台收到该消息后,通知前端设备重启。
[0092]在安全准入装置完成业务状态的学习后,保存学习到的各业务模型。此时安全准入装置可以放置在现场用来接入前端设备,在使用的过程中,由于前面安全准入装置已经学习到了前端设备的注册保活业务模型,则首先在接收所接入的设备发送的报文后,允许符合事先学习到的前端设备的注册报文通过,阻塞其他报文。如果所接入设备的注册报文都不符合,则保持对所接入设备的阻止。如果所接入设备的注册报文符合,则在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,状态控制阶段是对接入的设备的报文进行监测和控制的阶段。此后可以正常接入前端设备,对接入的前端设备进行安全准入控制。在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。从而如果接入的是正常的前端设备,则保证业务的正常进行,如果接入的是非法的设备,则进行阻塞。具体地:
[0093]对于注册保活业务模型中的保活报文和其他无流量业务的报文,其他无流量业务为例如告警等没有流量的业务,通称为无流量业务模型,按照无流量业务控制策略进行控制,控制的准则是:
[0094]无流量业务报文的数量有限,设置报文平均数目以及突发数目不得超过规定的阈值;例如平均不得超过5个/秒,突发不得超过10个/秒;
[0095]无流量业务报文的交互必须是双向的(前端设备发给视频管理平台、或者视频管理平台发给前端设备),不允许出现单向连续发送超过规定数量以上的报文,例如10个;
[0096]交互报文的方向性必须符合业务学习阶段学习到的业务报文方向。
[0097]对于存储、实况、语音等有流量的业务,称为有流量业务模型,按照有流量业务控制策略进行控制,控制的准则是:
[0098]在流量发送前,必须有相应的控制信令交互,且控制信令必须是视频管理平台主动发起;
[0099]安全准入装置在接收到媒体流请求报文之后,记录当前媒体流通过状态为开启,即允许通过;安全准入装置在接收到媒体流停止报文之后,记录当前媒体流通过状态为禁止,即不允许通过;
[0100]媒体数据流的方向必须符合学习阶段得到的方向;
[0101 ]单条媒体流数据带宽不得超过该通道的最大媒 体流带宽,譬如16MbpS;
[0102]同一种媒体流数量不得超过一条,譬如实况流已经建立的基础上,不允许再请求第二条实况流;
[0103]在接收到业务停止控制信令后,阻止该媒体流通过。
[0104]从而仅允许学习过的合法的前端设备的业务状态报文通过,如果不符合已经学习到的业务模型则进行阻止,有效防止前端设备被篡改或其他非法终端非法接入用户网络。
[0105]如图3所示,本实施例一种视频监控系统安全准入装置,可以集成在接入交换机,也可以是专门的设备,该装置包括:
[0106]接入管理模块,用于接收所接入的设备发送的报文,允许符合事先学习到的前端设备的注册报文通过,阻塞其他报文;
[0107]监测模块,用于在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测;
[0108]控制模块,用于在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。
[0109]进一步地,该装置还包括学习模块,用于学习前端设备业务状态,保存各业务状态的业务模型。
[0110]与上述方法对应地,学习模块在学习前端设备业务状态,保存各业务状态的业务模型时,执行如下操作:
[0111]接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程;
[0112]获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时;
[0113]在临时准入阶段,对符合设定的报文个数和流量的大小的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段;
[0114]进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。
[0115]以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
【主权项】
1.一种视频监控系统安全准入方法,应用于接入前端设备的接入交换机,其特征在于,所述方法包括: 接收所接入的设备发送的报文,允许符合事先学习到的前端设备的注册报文通过,阻塞其他报文; 在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测; 在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。2.根据权利要求1所述的安全准入方法,其特征在于,所述方法还包括步骤: 学习前端设备业务状态,保存各业务状态的业务模型。3.根据权利要求2所述的安全准入方法,其特征在于,所述学习前端设备业务状态,保存各业务状态的业务模型,包括: 接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程; 获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时; 在临时准入阶段,对符合设定的报文个数和流量的大小的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段; 进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。4.根据权利要求1所述的安全准入方法,其特征在于,所述无流量业务控制策略包括: 无流量业务报文的数量有限,设置报文平均数目以及突发数目不得超过规定的阈值; 无流量业务报文的交互必须是双向的,不允许出现单向连续发送超过规定数量以上的报文; 交互报文的方向性必须符合业务学习阶段学习到的业务报文方向。5.根据权利要求1所述的安全准入方法,其特征在于,所述有流量业务控制策略包括: 在流量发送前,必须有相应的控制信令交互,且控制信令必须是视频管理平台主动发起; 在接收到媒体流请求报文之后,记录当前媒体流通过状态为开启,即允许通过; 在接收到媒体流停止报文之后,记录当前媒体流通过状态为禁止,即不允许通过; 媒体数据流的方向必须符合学习阶段得到的方向; 单条媒体流数据带宽不得超过该通道的最大媒体流带宽; 同一种媒体流数量不得超过一条; 在接收到业务停止控制信令后,阻止该媒体流通过。6.—种视频监控系统安全准入装置,应用于接入前端设备的接入交换机,其特征在于,所述装置包括: 接入管理模块,用于接收所接入的设备发送的报文,允许符合事先学习到的前端设备IPC的注册报文通过,阻塞其他报文; 监测模块,用于在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测; 控制模块,用于在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。7.根据权利要求6所述的安全准入装置,其特征在于,所述装置还包括学习模块,用于学习前端设备业务状态,保存各业务状态的业务模型。8.根据权利要求7所述的安全准入装置,其特征在于,所述学习模块在学习前端设备业务状态,保存各业务状态的业务模型时,执行如下操作: 接入前端设备,在感知到接入前端设备的接口有设备接入后,判断该接口是否有进行业务状态学习,如果没有则进入下一步骤,否则结束学习过程; 获取该接口所接入的前端设备的MAC地址,并将该MAC地址上报给视频管理平台,开始进入临时准入阶段并倒计时; 在临时准入阶段,对符合设定的报文个数和流量的大小的报文允许通过,如果在准入阶段倒计时结束前,视频管理平台没有收到该MAC地址的前端设备的注册报文,则通知结束临时准入阶段,进入端口阻塞状态,阻塞一段时间后再进入临时准入阶段,如果在准入阶段倒计时结束前,视频管理平台收到该MAC地址的前端设备注册报文并上线,则通知结束临时准入阶段,进入业务状态学习阶段; 进入业务状态学习,学习前端设备的各业务状态,并建立对应的业务模型。9.根据权利要求6所述的安全准入装置,其特征在于,所述无流量业务控制策略包括: 无流量业务报文的数量有限,设置报文平均数目以及突发数目不得超过规定的阈值;无流量业务报文的交互必须是双向的,不允许出现单向连续发送超过规定数量以上的报文; 交互报文的方向性必须符合业务学习阶段学习到的业务报文方向。10.根据权利要求6所述的安全准入装置,其特征在于,所述有流量业务控制策略包括: 在流量发送前,必须有相应的控制信令交互,且控制信令必须是视频管理平台主动发起; 在接收到媒体流请求报文之后,记录当前媒体流通过状态为开启,即允许通过; 在接收到媒体流停止报文之后,记录当前媒体流通过状态为禁止,即不允许通过; 媒体数据流的方向必须符合学习阶段得到的方向; 单条媒体流数据带宽不得超过该通道的最大媒体流带宽; 同一种媒体流数量不得超过一条; 在接收到业务停止控制信令后,阻止该媒体流通过。
【专利摘要】本发明公开了一种视频监控系统安全准入方法及装置,应用于接入前端设备的接入交换机,所述方法接收所接入的设备发送的报文,允许符合事先学习到的前端设备的注册报文通过,阻塞其他报文;在监测到所接入的设备完成整个注册过程后,进入状态控制阶段,对所接入的设备的报文进行监测;在接收到符合事先学习到的无流量业务模型的报文时,按照无流量业务控制策略进行控制,在接收到符合事先学习到的有流量业务模型的报文时,按照有流量业务控制策略进行控制。本发明的装置包括接入管理模块、监测模块、控制模块和学习模块。本发明的方法及装置,可以有效识别终端设备,保障了用户网络端口的安全性。
【IPC分类】H04N7/18, H04L29/06
【公开号】CN105491007
【申请号】CN201510786695
【发明人】周迪, 任俊峰
【申请人】浙江宇视科技有限公司
【公开日】2016年4月13日
【申请日】2015年11月13日
最新回复(0)