視頻監(jiān)控網(wǎng)絡(luò)安全檢測技術(shù)研究與應(yīng)用

◆段偉恒 張永元 考其瑞

（北京天防安全科技有限公司 北京 100086）

視頻監(jiān)控在各行業(yè)已經(jīng)得到廣泛應(yīng)用和高速建設(shè)發(fā)展，但視頻監(jiān)控網(wǎng)絡(luò)信息安全問題日益凸現(xiàn)，需要充分認(rèn)識加強(qiáng)視頻監(jiān)控安全管理工作的重要性和緊迫性，應(yīng)對網(wǎng)絡(luò)的安全性進(jìn)行檢測評估[1]，在多個(gè)方面著手采取必要措施，切實(shí)提升對視頻監(jiān)控安全的態(tài)勢掌控能力[3]。本文針對各行業(yè)視頻監(jiān)控網(wǎng)絡(luò)常見安全問題，研究提出針對視頻監(jiān)控網(wǎng)絡(luò)的安全檢測技術(shù)，幫助管理者提升網(wǎng)絡(luò)的整體安全性。

1 我國各行業(yè)視頻監(jiān)控網(wǎng)絡(luò)安全常見問題

目前，各行業(yè)視頻監(jiān)控網(wǎng)絡(luò)建設(shè)過程中，前期重點(diǎn)是放在建設(shè)上，安全的規(guī)劃與管理沒有跟上，導(dǎo)致視頻監(jiān)控網(wǎng)絡(luò)的安全問題比較突出，主要表現(xiàn)在：

（1）網(wǎng)絡(luò)資產(chǎn)管理困難。資產(chǎn)管理是解決視頻監(jiān)控網(wǎng)絡(luò)安全問題的前提，由于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、設(shè)備種類繁雜且數(shù)量龐大，視頻監(jiān)控網(wǎng)絡(luò)內(nèi)部資產(chǎn)底數(shù)不清，管理效率低下。

（2）弱口令問題嚴(yán)重：很多設(shè)備使用出廠默認(rèn)口令或弱口令，導(dǎo)致前端設(shè)備弱口令問題普遍存在。

（3）設(shè)備漏洞突出：設(shè)備普遍存在漏洞，但漏洞修復(fù)整改工作量龐大，整改難度高，且在短時(shí)間內(nèi)難以根除。

2 視頻監(jiān)控網(wǎng)絡(luò)安全檢測技術(shù)

視頻監(jiān)控網(wǎng)絡(luò)的資產(chǎn)組成分布及網(wǎng)絡(luò)架構(gòu)有別于傳統(tǒng)PC 網(wǎng)絡(luò)，針對視頻監(jiān)控網(wǎng)絡(luò)中的安全問題，需要在全面梳理設(shè)備資產(chǎn)的基礎(chǔ)上，進(jìn)行針對性的弱口令及漏洞的檢測。

2.1 視頻監(jiān)控網(wǎng)絡(luò)資產(chǎn)識別與管理技術(shù)

資產(chǎn)管理是所有網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)，首先需要快速、準(zhǔn)確、全面的發(fā)現(xiàn)網(wǎng)絡(luò)中各類資產(chǎn)，進(jìn)而進(jìn)行精確的資產(chǎn)類別識別，為后續(xù)的安全檢測提供基礎(chǔ)。

2.1.1 資產(chǎn)發(fā)現(xiàn)-大規(guī)模網(wǎng)絡(luò)快速掃描技術(shù)

針對視頻監(jiān)控網(wǎng)絡(luò)的組網(wǎng)特點(diǎn)，融合ICMP 掃描、半開端口掃描（half-open scanning）、多線程的并發(fā)掃描、分布式掃描等技術(shù)，實(shí)現(xiàn)在幾分鐘內(nèi)完成一個(gè)B 類網(wǎng)段范圍的資產(chǎn)發(fā)現(xiàn)檢測。

2.1.2 資產(chǎn)信息采集-端口掃描評測

結(jié)合多線程并發(fā)掃描、SYN 半開掃描等方式實(shí)現(xiàn)端口快速掃描。掃描端口需涵蓋大多數(shù)品牌視頻設(shè)備、視頻應(yīng)用及常規(guī)應(yīng)用開放的TCP、UDP 端口，例如80、443、554、8080、8443、21、22、123、161、8000、37777 等約400 個(gè)端口。

2.1.3 資產(chǎn)信息采集-應(yīng)用服務(wù)與協(xié)議識別

視頻監(jiān)控網(wǎng)絡(luò)應(yīng)用服務(wù)識別主要包括常規(guī)應(yīng)用協(xié)議識別（主要包括HTTP、HTTPS、FTP、TELNET、SSH、NTP、SNMP、各類數(shù)據(jù)庫應(yīng)用等）、視頻類應(yīng)用協(xié)議識別（主要包括SIP、RTSP、RTP、ONVIF 等視頻相關(guān)應(yīng)用協(xié)議）、視頻設(shè)備私有協(xié)議識別（主要根據(jù)視頻設(shè)備廠商，按照廠商對外提供的標(biāo)準(zhǔn)接口，進(jìn)行端口的協(xié)議識別與驗(yàn)證）。

2.1.4 設(shè)備資產(chǎn)智能識別與分類

在協(xié)議識別完成之后，進(jìn)行設(shè)備特征采集，然后對所有設(shè)備資產(chǎn)進(jìn)行智能識別與分類。以特征指紋庫為基礎(chǔ)，將采集到的設(shè)備的信息與特征指紋庫進(jìn)行匹配，進(jìn)而判斷設(shè)備資產(chǎn)的種類。在特征指紋庫比對基礎(chǔ)上，結(jié)合機(jī)器學(xué)習(xí)與資產(chǎn)聚類智能分析等技術(shù)，進(jìn)一步提升設(shè)備資產(chǎn)的識別與分類能力。

設(shè)備特征信息采集主要分為掃描和監(jiān)聽兩種方式。掃描方式通過主動式發(fā)送探測數(shù)據(jù)，根據(jù)設(shè)備回復(fù)的報(bào)文數(shù)據(jù)進(jìn)行分析采集。監(jiān)聽方式一般通過抓取交換機(jī)鏡像端口的數(shù)據(jù)流量，獲取分析設(shè)備的通信報(bào)文。兩種方法的示意圖如圖1 所示。

圖1 設(shè)備資產(chǎn)報(bào)文信息采集方法

設(shè)備資產(chǎn)類別的識別主要分為兩部分：一是識別出設(shè)備類型；二是識別區(qū)分設(shè)備的品牌、型號等，以便于管理。

運(yùn)用機(jī)器學(xué)習(xí)的方式處理設(shè)備特征，進(jìn)行設(shè)備分類是近年來的一種常用方法。例如去掉報(bào)文中的報(bào)頭，而僅使用載荷部分作為特征，使用自編碼器進(jìn)行無監(jiān)督學(xué)習(xí)[5]；分別在不同的時(shí)間粒度上，將同一設(shè)備的報(bào)文平均長度和發(fā)送頻率作為特征，使用PCA和K-means結(jié)合的方式，對設(shè)備進(jìn)行粗粒度的分類[6]。

機(jī)器學(xué)習(xí)運(yùn)用有監(jiān)督或者無監(jiān)督學(xué)習(xí)方式，對設(shè)備進(jìn)行識別和分類。

（1）運(yùn)用有監(jiān)督學(xué)習(xí)的方式，對全部設(shè)備分類，找出視頻類設(shè)備。此處綜合監(jiān)聽報(bào)文中的頭部和載荷的信息，對設(shè)備進(jìn)行分類。用于機(jī)器學(xué)習(xí)的特征是長為18 的特征向量，具體信息如表1：

表1 報(bào)文頭部信息列表說明

機(jī)器學(xué)習(xí)采用RandomForest 方法。

（2）運(yùn)用無監(jiān)督學(xué)習(xí)的方式，將視頻類設(shè)備按品牌型號聚類，對數(shù)據(jù)通過歸一化的方式進(jìn)行處理：

①按最大最小值進(jìn)行線性歸一化。設(shè)df 為某特征在各樣本中形成的列表；在各樣本中df.max（）是該特征最大值，df.min（）是該特征最小值。則歸一化后的第k 個(gè)樣本值。

df_normalized[k]=（df [k]-df.min（））/（df.max（）-df.min（））

其值域?yàn)閇0，1]

②one_hot 編碼。由N 個(gè)新特征代替原特征，每個(gè)特征代表原特征的一種取值，且任意情況下有且只有一個(gè)樣本置1，其余置0。

③十六進(jìn)制轉(zhuǎn)換為十進(jìn)制。部分導(dǎo)出的屬性以十六進(jìn)制顯示，需要轉(zhuǎn)化為十進(jìn)制才能配合方法（1）使用。

機(jī)器學(xué)習(xí)部分，包括PCA（主成分分析）和DBSCAN（密度聚類）方法。其中密度聚類的好處是不需要指定待分成的類數(shù)，而只需要調(diào)節(jié)以下兩個(gè)參數(shù)：

①eps：領(lǐng)域距離閾值，當(dāng)兩個(gè)樣本點(diǎn)之間的距離小于該值時(shí)認(rèn)為二者互相在對方的鄰域內(nèi)。

②min_samples：鄰域內(nèi)最小樣本數(shù)。當(dāng)某核心點(diǎn)的鄰域個(gè)數(shù)不小于min_sample 時(shí)，該點(diǎn)被稱為“核心點(diǎn)”。

在分類過程中，需要調(diào)節(jié)eps 的值。因?yàn)檫^小的eps 導(dǎo)致分成的類數(shù)過多，增加人工確認(rèn)的成本；而過大的eps 導(dǎo)致不同型號的視頻類設(shè)備無法被分開。

2.2 視頻監(jiān)控網(wǎng)絡(luò)弱口令檢測技術(shù)

弱口令檢測主要針對視頻監(jiān)控網(wǎng)絡(luò)中的各類應(yīng)用在設(shè)備（系統(tǒng)）登錄、視頻播放（RTSP）、ONVIF 通訊、telnet、ssh、SNMP 等應(yīng)用通訊過程中是否存在未認(rèn)證、內(nèi)置賬戶及口令等方面。為了提升弱口令識別的檢測效率，在協(xié)議識別及資產(chǎn)識別的基礎(chǔ)上進(jìn)行對應(yīng)性的弱口令驗(yàn)證檢測。

常規(guī)的弱口令檢測一般采用撞庫方式實(shí)現(xiàn)，即根據(jù)既定的密碼字典庫，對應(yīng)用服務(wù)按照字典庫的設(shè)置，逐條進(jìn)行登錄訪問驗(yàn)證，對于部分應(yīng)用，還可進(jìn)一步采取暴力破解方式實(shí)現(xiàn)。該類技術(shù)一般可用于常規(guī)業(yè)務(wù)應(yīng)用（例如Telnet、SSH、FTP、RDP、SNMP 等應(yīng)用，甚至可針對部分?jǐn)?shù)據(jù)庫類應(yīng)用的弱口令檢測）。

在視頻監(jiān)控網(wǎng)絡(luò)環(huán)境中，視頻類設(shè)備數(shù)量約占網(wǎng)絡(luò)中總資產(chǎn)的80%，大多數(shù)視頻設(shè)備具備認(rèn)證失敗鎖定策略，因此對于視頻設(shè)備相關(guān)的弱口令（包含RTSP、ONVIF 等協(xié)議）檢測過程，需要采用更為精細(xì)、精確的檢測方式，弱口令字典庫應(yīng)針對不同品牌的弱口令檢測設(shè)置，同時(shí)檢測產(chǎn)品應(yīng)采用一定的技術(shù)措施，針對同一設(shè)備的弱口令檢測應(yīng)保持一定的時(shí)間間隔，以防止造成設(shè)備鎖定而影響業(yè)務(wù)的正常運(yùn)行。

2.3 視頻監(jiān)控網(wǎng)絡(luò)漏洞檢測技術(shù)

2.3.1 傳統(tǒng)漏洞掃描技術(shù)

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測。漏洞庫是漏洞掃描系統(tǒng)的最關(guān)鍵的組成部分，漏洞庫中的漏洞涉及各種操作系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等各個(gè)方面，目前商用的漏洞庫條目基本在幾萬甚至十幾萬條，且在不斷增加。漏洞掃描系統(tǒng)會對被掃描的對象的設(shè)備開放的應(yīng)用服務(wù)類別進(jìn)行初步識別，然后根據(jù)漏洞庫的條目（或者參數(shù)設(shè)置的檢測類別等）對目標(biāo)對象進(jìn)行逐條檢測驗(yàn)證，由于檢測的漏洞數(shù)量過于龐大，大多數(shù)漏洞掃描系統(tǒng)無法完成短時(shí)間內(nèi)對大量設(shè)備和系統(tǒng)的漏洞掃描工作，因此目前常見的漏洞掃描系統(tǒng)在對大規(guī)模網(wǎng)絡(luò)進(jìn)行漏洞掃描時(shí)，一般采取抽樣檢測部分設(shè)備系統(tǒng)、僅掃描部分指定漏洞、采用分布式部署等方式完成。

2.3.2 視頻監(jiān)控網(wǎng)絡(luò)漏洞掃描技術(shù)

視頻監(jiān)控網(wǎng)絡(luò)中設(shè)備數(shù)量龐大，采用傳統(tǒng)漏洞掃描系統(tǒng)無法滿足對大批量設(shè)備的快速掃描的需求。針對視頻監(jiān)控網(wǎng)絡(luò)的設(shè)備和應(yīng)用的特點(diǎn)，設(shè)計(jì)采用“基于設(shè)備資產(chǎn)類別的漏洞掃描技術(shù)”，依托精確的設(shè)備資產(chǎn)識別分類能力，將漏洞庫中的所有漏洞按照漏洞所影響的系統(tǒng)和對象進(jìn)行重新組織分類，形成基于資產(chǎn)類別的漏洞規(guī)則庫，在掃描過程中，首先進(jìn)行設(shè)備資產(chǎn)的快速發(fā)現(xiàn)和智能識別分類，然后根據(jù)設(shè)備的資產(chǎn)類型、業(yè)務(wù)應(yīng)用類型、設(shè)備資產(chǎn)品牌等特征，從漏洞庫中選擇與設(shè)備對應(yīng)的漏洞的列表，進(jìn)行標(biāo)靶式漏洞掃描檢測，檢測完成后生成檢測結(jié)果報(bào)告。

對于漏洞庫的重新組織是本技術(shù)實(shí)現(xiàn)的重要環(huán)節(jié)之一。首先解決漏洞與資產(chǎn)類別的關(guān)聯(lián)，甚至是設(shè)備廠商的關(guān)聯(lián)，視頻監(jiān)控網(wǎng)絡(luò)占比最大是攝像頭，其漏洞跟廠商關(guān)聯(lián)性很大，如果在進(jìn)行漏洞掃描時(shí)，如果不能識別攝像頭廠商，會導(dǎo)致大量的掃描時(shí)間花費(fèi)在其他無關(guān)廠商的攝像頭上。因此，漏洞需要與資產(chǎn)類型甚至廠商進(jìn)行關(guān)聯(lián)，根據(jù)設(shè)備的種類從漏洞庫中進(jìn)行規(guī)則篩選，針對不同的設(shè)備種類只進(jìn)行對應(yīng)的漏洞的檢測，以實(shí)現(xiàn)精準(zhǔn)化掃描。

圖2 基于資產(chǎn)類別對應(yīng)漏洞列表的實(shí)現(xiàn)過程

根據(jù)設(shè)備類別，結(jié)合操作系統(tǒng)、端口與應(yīng)用、設(shè)備品牌、類型、型號、版本等詳細(xì)信息，按照一定的規(guī)則生成設(shè)備標(biāo)識ID。漏洞庫中每個(gè)漏洞均包含該漏洞影響的設(shè)備標(biāo)識ID，從而可按照設(shè)備標(biāo)識ID 檢索出該設(shè)備可能存在的漏洞列表。

視頻監(jiān)控網(wǎng)絡(luò)中設(shè)備資產(chǎn)占比最大是攝像頭設(shè)備，針對視頻監(jiān)控網(wǎng)絡(luò)進(jìn)行漏洞檢測過程中，依托精確的設(shè)備資產(chǎn)識別分類以及基于設(shè)備資產(chǎn)類別的漏洞檢測技術(shù)，相對傳統(tǒng)漏洞掃描技術(shù)可減少近80%的無用探測包，從而可以將漏洞掃描的效率大幅提升，同時(shí)大大減少對系統(tǒng)資源及網(wǎng)絡(luò)資源的消耗。

3 技術(shù)應(yīng)用

通過在實(shí)際的視頻監(jiān)控網(wǎng)絡(luò)中驗(yàn)證本技術(shù)的應(yīng)用效果，將相關(guān)技術(shù)系統(tǒng)部署在一臺服務(wù)器設(shè)備中，接入試驗(yàn)網(wǎng)絡(luò)中，對試驗(yàn)網(wǎng)絡(luò)進(jìn)行掃描檢測。試驗(yàn)網(wǎng)絡(luò)環(huán)境中資產(chǎn)總數(shù)約5000 臺，其中視頻類設(shè)備約4000 臺。試驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖3 所示。

圖3 技術(shù)應(yīng)用測試拓?fù)浣Y(jié)構(gòu)圖

在試驗(yàn)網(wǎng)絡(luò)中測試效果，能夠在1 小時(shí)內(nèi)完成對整個(gè)網(wǎng)絡(luò)的資產(chǎn)發(fā)現(xiàn)與識別分類，同時(shí)完成弱口令檢測及漏洞檢測。資產(chǎn)設(shè)備分類識別準(zhǔn)確率可達(dá)到90%以上，視頻類設(shè)備可以識別包含?？怠⒋笕A、宇視、科達(dá)、天地偉業(yè)、華為、雄邁等約40 個(gè)品牌，從實(shí)際運(yùn)行的效率上，遠(yuǎn)超傳統(tǒng)類漏洞掃描產(chǎn)品的檢測效率。

目前該技術(shù)產(chǎn)品已經(jīng)在全國公安的視頻監(jiān)控網(wǎng)絡(luò)全面推廣應(yīng)用，并且取得了良好的應(yīng)用效果。