视频监控网络安全检测技术研究与应用

2022-10-14段伟恒张永元考其瑞

网络安全技术与应用 2022年9期

◆段伟恒张永元考其瑞

（北京天防安全科技有限公司北京 100086）

视频监控在各行业已经得到广泛应用和高速建设发展，但视频监控网络信息安全问题日益凸现，需要充分认识加强视频监控安全管理工作的重要性和紧迫性，应对网络的安全性进行检测评估[1]，在多个方面着手采取必要措施，切实提升对视频监控安全的态势掌控能力[3]。本文针对各行业视频监控网络常见安全问题，研究提出针对视频监控网络的安全检测技术，帮助管理者提升网络的整体安全性。

1 我国各行业视频监控网络安全常见问题

目前，各行业视频监控网络建设过程中，前期重点是放在建设上，安全的规划与管理没有跟上，导致视频监控网络的安全问题比较突出，主要表现在：

（1）网络资产管理困难。资产管理是解决视频监控网络安全问题的前提，由于网络结构复杂、设备种类繁杂且数量庞大，视频监控网络内部资产底数不清，管理效率低下。

（2）弱口令问题严重：很多设备使用出厂默认口令或弱口令，导致前端设备弱口令问题普遍存在。

（3）设备漏洞突出：设备普遍存在漏洞，但漏洞修复整改工作量庞大，整改难度高，且在短时间内难以根除。

2 视频监控网络安全检测技术

视频监控网络的资产组成分布及网络架构有别于传统PC 网络，针对视频监控网络中的安全问题，需要在全面梳理设备资产的基础上，进行针对性的弱口令及漏洞的检测。

2.1 视频监控网络资产识别与管理技术

资产管理是所有网络安全建设的基础，首先需要快速、准确、全面的发现网络中各类资产，进而进行精确的资产类别识别，为后续的安全检测提供基础。

2.1.1 资产发现-大规模网络快速扫描技术

针对视频监控网络的组网特点，融合ICMP 扫描、半开端口扫描（half-open scanning）、多线程的并发扫描、分布式扫描等技术，实现在几分钟内完成一个B 类网段范围的资产发现检测。

2.1.2 资产信息采集-端口扫描评测

结合多线程并发扫描、SYN 半开扫描等方式实现端口快速扫描。扫描端口需涵盖大多数品牌视频设备、视频应用及常规应用开放的TCP、UDP 端口，例如80、443、554、8080、8443、21、22、123、161、8000、37777 等约400 个端口。

2.1.3 资产信息采集-应用服务与协议识别

视频监控网络应用服务识别主要包括常规应用协议识别（主要包括HTTP、HTTPS、FTP、TELNET、SSH、NTP、SNMP、各类数据库应用等）、视频类应用协议识别（主要包括SIP、RTSP、RTP、ONVIF 等视频相关应用协议）、视频设备私有协议识别（主要根据视频设备厂商，按照厂商对外提供的标准接口，进行端口的协议识别与验证）。

2.1.4 设备资产智能识别与分类

在协议识别完成之后，进行设备特征采集，然后对所有设备资产进行智能识别与分类。以特征指纹库为基础，将采集到的设备的信息与特征指纹库进行匹配，进而判断设备资产的种类。在特征指纹库比对基础上，结合机器学习与资产聚类智能分析等技术，进一步提升设备资产的识别与分类能力。

设备特征信息采集主要分为扫描和监听两种方式。扫描方式通过主动式发送探测数据，根据设备回复的报文数据进行分析采集。监听方式一般通过抓取交换机镜像端口的数据流量，获取分析设备的通信报文。两种方法的示意图如图1 所示。

图1 设备资产报文信息采集方法

设备资产类别的识别主要分为两部分：一是识别出设备类型；二是识别区分设备的品牌、型号等，以便于管理。

运用机器学习的方式处理设备特征，进行设备分类是近年来的一种常用方法。例如去掉报文中的报头，而仅使用载荷部分作为特征，使用自编码器进行无监督学习[5]；分别在不同的时间粒度上，将同一设备的报文平均长度和发送频率作为特征，使用PCA和K-means结合的方式，对设备进行粗粒度的分类[6]。

机器学习运用有监督或者无监督学习方式，对设备进行识别和分类。

（1）运用有监督学习的方式，对全部设备分类，找出视频类设备。此处综合监听报文中的头部和载荷的信息，对设备进行分类。用于机器学习的特征是长为18 的特征向量，具体信息如表1：

表1 报文头部信息列表说明

机器学习采用RandomForest 方法。

（2）运用无监督学习的方式，将视频类设备按品牌型号聚类，对数据通过归一化的方式进行处理：

①按最大最小值进行线性归一化。设df 为某特征在各样本中形成的列表；在各样本中df.max（）是该特征最大值，df.min（）是该特征最小值。则归一化后的第k 个样本值。

df_normalized[k]=（df [k]-df.min（））/（df.max（）-df.min（））

其值域为[0，1]

②one_hot 编码。由N 个新特征代替原特征，每个特征代表原特征的一种取值，且任意情况下有且只有一个样本置1，其余置0。

③十六进制转换为十进制。部分导出的属性以十六进制显示，需要转化为十进制才能配合方法（1）使用。

机器学习部分，包括PCA（主成分分析）和DBSCAN（密度聚类）方法。其中密度聚类的好处是不需要指定待分成的类数，而只需要调节以下两个参数：

①eps：领域距离阈值，当两个样本点之间的距离小于该值时认为二者互相在对方的邻域内。

②min_samples：邻域内最小样本数。当某核心点的邻域个数不小于min_sample 时，该点被称为“核心点”。

在分类过程中，需要调节eps 的值。因为过小的eps 导致分成的类数过多，增加人工确认的成本；而过大的eps 导致不同型号的视频类设备无法被分开。

2.2 视频监控网络弱口令检测技术

弱口令检测主要针对视频监控网络中的各类应用在设备（系统）登录、视频播放（RTSP）、ONVIF 通讯、telnet、ssh、SNMP 等应用通讯过程中是否存在未认证、内置账户及口令等方面。为了提升弱口令识别的检测效率，在协议识别及资产识别的基础上进行对应性的弱口令验证检测。

常规的弱口令检测一般采用撞库方式实现，即根据既定的密码字典库，对应用服务按照字典库的设置，逐条进行登录访问验证，对于部分应用，还可进一步采取暴力破解方式实现。该类技术一般可用于常规业务应用（例如Telnet、SSH、FTP、RDP、SNMP 等应用，甚至可针对部分数据库类应用的弱口令检测）。

在视频监控网络环境中，视频类设备数量约占网络中总资产的80%，大多数视频设备具备认证失败锁定策略，因此对于视频设备相关的弱口令（包含RTSP、ONVIF 等协议）检测过程，需要采用更为精细、精确的检测方式，弱口令字典库应针对不同品牌的弱口令检测设置，同时检测产品应采用一定的技术措施，针对同一设备的弱口令检测应保持一定的时间间隔，以防止造成设备锁定而影响业务的正常运行。

2.3 视频监控网络漏洞检测技术

2.3.1 传统漏洞扫描技术

漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测。漏洞库是漏洞扫描系统的最关键的组成部分，漏洞库中的漏洞涉及各种操作系统、业务应用系统等各个方面，目前商用的漏洞库条目基本在几万甚至十几万条，且在不断增加。漏洞扫描系统会对被扫描的对象的设备开放的应用服务类别进行初步识别，然后根据漏洞库的条目（或者参数设置的检测类别等）对目标对象进行逐条检测验证，由于检测的漏洞数量过于庞大，大多数漏洞扫描系统无法完成短时间内对大量设备和系统的漏洞扫描工作，因此目前常见的漏洞扫描系统在对大规模网络进行漏洞扫描时，一般采取抽样检测部分设备系统、仅扫描部分指定漏洞、采用分布式部署等方式完成。

2.3.2 视频监控网络漏洞扫描技术

视频监控网络中设备数量庞大，采用传统漏洞扫描系统无法满足对大批量设备的快速扫描的需求。针对视频监控网络的设备和应用的特点，设计采用“基于设备资产类别的漏洞扫描技术”，依托精确的设备资产识别分类能力，将漏洞库中的所有漏洞按照漏洞所影响的系统和对象进行重新组织分类，形成基于资产类别的漏洞规则库，在扫描过程中，首先进行设备资产的快速发现和智能识别分类，然后根据设备的资产类型、业务应用类型、设备资产品牌等特征，从漏洞库中选择与设备对应的漏洞的列表，进行标靶式漏洞扫描检测，检测完成后生成检测结果报告。

对于漏洞库的重新组织是本技术实现的重要环节之一。首先解决漏洞与资产类别的关联，甚至是设备厂商的关联，视频监控网络占比最大是摄像头，其漏洞跟厂商关联性很大，如果在进行漏洞扫描时，如果不能识别摄像头厂商，会导致大量的扫描时间花费在其他无关厂商的摄像头上。因此，漏洞需要与资产类型甚至厂商进行关联，根据设备的种类从漏洞库中进行规则筛选，针对不同的设备种类只进行对应的漏洞的检测，以实现精准化扫描。