[发明专利]视频前端设备聚类分析入侵检测方法

说明书

本发明公开了视频前端设备聚类分析入侵检测方法，包括检测方法以旁路的形式接入视频专网，通过聚类分析器、事件产生器、事件分析器、响应单元的组合，实现应用于视频前端设备入侵检测的框架，结合误用检测与聚类分析，提出改进K‑means算法中对视频流数据的清洗，定义威胁度计算衡量数据对象相似度，并对所述改进K‑means的算法流程在初始k值优化角度进行调整，并提出检出率、误报率的质量评估办法。本发明提出一种改进的K‑means算法，将聚类分析与视频前端设备入侵检测充分结合，解决了视频前端设备分析的复杂性，有效提升对视频前端设备的防护能力，更加全面、高效的记录与分析威胁行为，对建立更安全的视频专网，降低针对视频前端设备攻击影响具有重要意义。

技术领域

本发明涉及数字信息技术领域，具体为视频前端设备聚类分析入侵检测方法。

背景技术

近年来，摄像头、DVR/NVR、数据平台等视频前端设备在我国的应用越来越广泛，据统计，2021年全球视频前端设备数量已超过10亿支。高速的增长和巨大的规模促进了社会的安稳与便利，但与此同时视频前端设备本身的信息安全也愈加受到关注。越来越的攻击行为瞄准了视频前端设备与其专用网络，但目前缺少专门的入侵检测方法对这些威胁进行高效分析。

对视频前端设备入侵检测的研究，立足于其具备专网的特殊性。专网是一种由大量设备组成，经过交换机、路由器以及网络规则的编排所形成的专用网络。一定数量的视频前端设备(如摄像头、DVR/NVR等)构成了视频前端设备专用网络，也称为视频专网、视频感知网等。物联网设备多种多样，但智能电视、智慧手表等更偏向于民用、独立使用，通常不构成专用网络，对其的安全分析主要是对单体设备的漏洞挖掘。因此，视频前端设备的专网特点，使传统的安全整体解决方案、安全维护架构建设思路能够应用于该领域，并根据新的场景进行融合。

国外的安全研究者当前重点研究摄像头等视频前端设备的漏洞挖掘，漏洞与规则是入侵检测的重要支撑素材，国外研究者们对该领域具备很高的兴趣，视频前端的安全分析已经受到广泛关注。比如编号为CVE-2021-36260的漏洞，其涉及多个版本的海康威视摄像头，是一个无需身份认证的远程命令执行漏洞，即攻击者在能访问到该设备的情况下，发送攻击代码即可在该设备上执行危险命令，并部署持久化控制。

国内的安全研究者将视频前端设备入侵检测产品化，其思路主要分为两种，一种是基于传统安全产品构建新的视频前端设备规则库，传统安全产品在网络承载能力，硬件接口化等方面已经很成熟，通过标准化的规则库，将新的视频前端设备安全研究发现导入规则库中，可实现对传统安全产品的增强。一种是基于视频前端设备的特性，构建新的检测思路，比如定义了准入控制概念，该概念具备异常检测的理念，将视频专网视为一个受管控的网络，对于准入的Mac地址或其他标识符给予流量的输入与输出放行，对于未在合规范畴内的网络请求进行监测或报警。

视频前端设备种类多，协议专有性强、指令复杂：除主流厂商海康威视、天地伟业、大华、镭威视、霍尼韦尔外，视频前端设备产业还包含各类中小企业产品、定制产品、OEM产品，设备细分类别广、种类多，同时具备诸多专有协议，如ONVIF、RTSP等，部分厂商还设计了私有协议，因此视频前端设备的入侵检测分析面临待处理指令复杂的问题。

视频前端设备流量大、处理情况复杂：视频前端设备在许多场景中构成了专网，雪亮工程、平安城市等大型体系更是需要包含大量设备入网，而视频前端设备专网建设通常分多期，如上情况导致视频前端设备的入侵检测方法会面临流量大、基础策略丢包率高、处理情况复杂的问题。

发明内容

本发明的目的在于提供视频前端设备聚类分析入侵检测方法，以解决上述背景技术提出的传统视频前端设备的入侵检测存在设备种类多，协议专有性强、指令复杂，设备流量大、处理情况复杂的问题。