Onvif應(yīng)用系統(tǒng)中的安全防護(hù)方法及防火墻設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于防火墻技術(shù)領(lǐng)域���,尤其涉及一種ONVIF應(yīng)用系統(tǒng)中的安全防護(hù)方法及 防火墻設(shè)備��。
【背景技術(shù)】
[0002] 視頻監(jiān)控是安全防范系統(tǒng)的重要組成部分�,視頻監(jiān)控以其直觀、準(zhǔn)確�����、及時(shí)和信息 內(nèi)容豐富而廣泛應(yīng)用于許多場(chǎng)合�����。近年來��,隨著計(jì)算機(jī)��、網(wǎng)絡(luò)以及圖像處理���、傳輸技術(shù)的飛 速發(fā)展�,視頻監(jiān)控的普及化趨勢(shì)越來越明顯��,越來越多的監(jiān)控業(yè)務(wù)被連接到了互聯(lián)網(wǎng)上�。與 此同時(shí),由于越來越多的設(shè)備暴露在互聯(lián)網(wǎng)上����,用戶面臨安全的風(fēng)險(xiǎn)也日益增大����,用戶對(duì)設(shè) 備本身的安全以及防火墻的安全要求日益增強(qiáng)�。
[0003] 現(xiàn)有技術(shù)中一般采用的智能防火墻,都是通過捕獲接收到的數(shù)據(jù)包或用戶執(zhí)行的 應(yīng)用程序的進(jìn)程�����,并根據(jù)防火墻設(shè)置的規(guī)則來進(jìn)行攔截���,需要對(duì)所有業(yè)務(wù)進(jìn)行應(yīng)用層狀態(tài) 解析����。由于需要解析所有應(yīng)用層數(shù)據(jù)���,對(duì)運(yùn)算量要求高,從而提高了防火墻設(shè)備硬件的要 求���。且目前網(wǎng)絡(luò)應(yīng)用更新日新月異�����,防火墻需要不斷的更新才能滿足安全防護(hù)的需求����。最終 防火墻的規(guī)則不斷膨脹,系統(tǒng)硬件要求也越來越高�,企業(yè)或個(gè)人對(duì)于防火墻設(shè)備的投入水 漲船高,只能大企業(yè)才能承受較高的費(fèi)用�����。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的是提供一種ONVIF應(yīng)用系統(tǒng)中的安全防護(hù)方法及防火墻設(shè)備����,由NVT 設(shè)備檢測(cè)到攻擊后通知防火墻(NVC)動(dòng)態(tài)更新訪問規(guī)則,或防火墻遇到可疑的訪問�,向NVT 設(shè)備發(fā)起查詢以判斷是否合法,從而避免現(xiàn)有技術(shù)中由防火墻對(duì)所有業(yè)務(wù)進(jìn)行應(yīng)用層狀態(tài) 解析�,降低了防火墻設(shè)備對(duì)硬件的要求。
[0005] 為了實(shí)現(xiàn)上述目的�����,本發(fā)明技術(shù)方案如下:
[0006] -種ONVIF應(yīng)用系統(tǒng)中的安全防護(hù)方法�����,應(yīng)用于基于ONVIF應(yīng)用系統(tǒng)的防火墻設(shè) 備,所述安全防護(hù)方法包括:
[0007] 基于ONVIF發(fā)現(xiàn)流程發(fā)現(xiàn)網(wǎng)絡(luò)中的NVT設(shè)備具備動(dòng)態(tài)規(guī)則配置能力�;
[0008]向發(fā)現(xiàn)的NVT設(shè)備發(fā)送獲取訪問規(guī)則消息,接收NVT設(shè)備的響應(yīng)消息�����,從響應(yīng)消息 中獲取NVT設(shè)備具有的訪問規(guī)則���;
[0009]配置獲取的訪問規(guī)則�,并根據(jù)配置的訪問規(guī)則進(jìn)行安全防護(hù)�����。
[0010]進(jìn)一步地����,所述安全防護(hù)方法還包括:
[0011] 接收NVT設(shè)備檢測(cè)到攻擊時(shí)發(fā)出的事件告警,向該NVT設(shè)備發(fā)送獲取訪問規(guī)則消 息�����,接收該NVT設(shè)備的響應(yīng)消息��,從響應(yīng)消息中獲取該NVT設(shè)備針對(duì)攻擊所生成的訪問規(guī)則�����, 配置獲取的訪問規(guī)則�,并根據(jù)配置的訪問規(guī)則進(jìn)行安全防護(hù)。
[0012] 進(jìn)一步地�����,所述安全防護(hù)方法還包括:
[0013] 在檢測(cè)到具有設(shè)定的可疑特征的訪問時(shí)��,攜帶該訪問的訪問報(bào)文向該訪問對(duì)應(yīng)的 NVT設(shè)備發(fā)起確認(rèn)請(qǐng)求�,以便對(duì)應(yīng)的NVT解析確認(rèn)請(qǐng)求中的訪問報(bào)文,根據(jù)自身業(yè)務(wù)判斷是 否是異常攻擊�����,如果是則返回訪問規(guī)則����;
[0014] 接收對(duì)應(yīng)的NVT設(shè)備返回的訪問規(guī)則進(jìn)行配置,并根據(jù)配置的訪問規(guī)則進(jìn)行安全 防護(hù)�。
[0015] 進(jìn)一步地,所述安全防護(hù)方法還包括:
[0016] 在檢測(cè)到具有設(shè)定的可疑特征的訪問時(shí)�,攜帶該訪問的訪問報(bào)文向該訪問對(duì)應(yīng)的 NVT設(shè)備發(fā)起確認(rèn)請(qǐng)求,以便NVT返回該訪問的合法特征;
[0017] 根據(jù)NVT返回的該訪問的合法特征����,判斷該訪問是否合法,丟棄非法的訪問報(bào)文并 屏蔽訪問源�。
[0018] 進(jìn)一步地,所述基于ONVIF發(fā)現(xiàn)流程發(fā)現(xiàn)網(wǎng)絡(luò)中的NVT設(shè)備具備動(dòng)態(tài)規(guī)則配置能 力��,包括:
[0019] 接收NVT設(shè)備通過組播的Hello消息�����,根據(jù)Hello消息中攜帶的表示動(dòng)態(tài)規(guī)則配置 能力的標(biāo)識(shí)符��,發(fā)現(xiàn)該NVT設(shè)備具備動(dòng)態(tài)規(guī)則配置能力�;
[0020] 或發(fā)送組播的Probe消息/Resolve消息,并接收NVT設(shè)備返回的ProbeMatch響應(yīng)消 息/ResolveMatch響應(yīng)消息�,根據(jù)ProbeMatch響應(yīng)消息/Resol veMatch響應(yīng)消息中攜帶的表 示動(dòng)態(tài)規(guī)則配置能力的標(biāo)識(shí)符,發(fā)現(xiàn)該NVT設(shè)備具備動(dòng)態(tài)規(guī)則配置能力��。
[0021]本發(fā)明一種ONVIF應(yīng)用系統(tǒng)中的防火墻設(shè)備���,所述防火墻設(shè)備包括:
[0022]發(fā)現(xiàn)模塊�,用于基于ONVIF發(fā)現(xiàn)流程發(fā)現(xiàn)網(wǎng)絡(luò)中的NVT設(shè)備具備動(dòng)態(tài)規(guī)則配置能 力����;
[0023]規(guī)則獲取模塊,用于向發(fā)現(xiàn)的NVT設(shè)備發(fā)送獲取訪問規(guī)則消息�����,接收NVT設(shè)備的響 應(yīng)消息��,從響應(yīng)消息中獲取NVT設(shè)備具有的訪問規(guī)則�����;
[0024]規(guī)則應(yīng)用模塊����,用于配置獲取的訪問規(guī)則,并根據(jù)配置的訪問規(guī)則進(jìn)行安全防護(hù)��。 [0025]進(jìn)一步地��,所述規(guī)則獲取模塊還用于:
[0026]接收NVT設(shè)備檢測(cè)到攻擊時(shí)發(fā)出的事件告警�,向該NVT設(shè)備發(fā)送獲取訪問規(guī)則消 息,接收該NVT設(shè)備的響應(yīng)消息����,從響應(yīng)消息中獲取該NVT設(shè)備針對(duì)攻擊所生成的訪問規(guī)則�����。 [0027]進(jìn)一步地���,所述防火墻設(shè)備還包括:
[0028] 可疑檢測(cè)模塊,用于在檢測(cè)到具有設(shè)定的可疑特征的訪問時(shí)��,攜帶該訪問的訪問 報(bào)文向該訪問對(duì)應(yīng)的NVT設(shè)備發(fā)起確認(rèn)請(qǐng)求�,以便對(duì)應(yīng)的NVT解析確認(rèn)請(qǐng)求中的訪問報(bào)文, 根據(jù)自身業(yè)務(wù)判斷是否是異常攻擊���,如果是則返回訪問規(guī)則���,或便于NVT返回該訪問的合法 特征。
[0029] 進(jìn)一步地����,所述規(guī)則應(yīng)用模塊還用于:
[0030] 根據(jù)NVT返回的該訪問的合法特征,判斷該訪問是否合法�����,丟棄非法的訪問報(bào)文并 屏蔽訪問源��。
[0031] 進(jìn)一步地,所述發(fā)現(xiàn)模炔基于ONVIF發(fā)現(xiàn)流程發(fā)現(xiàn)網(wǎng)絡(luò)中的NVT設(shè)備具備動(dòng)態(tài)規(guī)則 配置能力����,執(zhí)行如下操作:
[0032]接收NVT設(shè)備通過組播的Hello消息���,根據(jù)Hello消息中攜帶的表示動(dòng)態(tài)規(guī)則配置 能力的標(biāo)識(shí)符�����,發(fā)現(xiàn)該NVT設(shè)備具備動(dòng)態(tài)規(guī)則配置能力���;
[0033] 或發(fā)送組播的Probe消息/Resolve消息,并接收NVT設(shè)備返回的ProbeMatch響應(yīng)消 息/ResolveMatch響應(yīng)消息��,根據(jù)ProbeMatch響應(yīng)消息/ResolveMatch響應(yīng)消息中攜帶的表 示動(dòng)態(tài)規(guī)則配置能力的標(biāo)識(shí)符�����,發(fā)現(xiàn)該NVT設(shè)備具備動(dòng)態(tài)規(guī)則配置能力���。
[0034] 本發(fā)明提出了一種ONVIF應(yīng)用系統(tǒng)中的安全防護(hù)方法及防火墻設(shè)備��,防火墻自動(dòng) 發(fā)現(xiàn)各個(gè)支持動(dòng)態(tài)規(guī)則配置的設(shè)備�,支持動(dòng)態(tài)規(guī)則配置的設(shè)備檢測(cè)到攻擊后通知防火墻添 加訪問規(guī)則,防火墻遇到可疑的訪問����,向設(shè)備查詢,由設(shè)備判斷是否合法����,告訴防火墻添加 訪問規(guī)則,實(shí)施相關(guān)防護(hù)����。同時(shí)防火墻遇到可疑的訪問,向設(shè)備索要進(jìn)一步的信息���,由防火 墻主動(dòng)判斷是否合法�����,從而避免設(shè)備受到傷害��,主動(dòng)實(shí)施保護(hù)�����。本發(fā)明的防火墻訪問規(guī)則動(dòng) 態(tài)更新�����,應(yīng)用針對(duì)性強(qiáng)����,硬件開銷小,與支持ONVIF協(xié)議的監(jiān)控設(shè)備集成���,無需做其他配置。
【附圖說明】
[0035] 圖1為本發(fā)明實(shí)施例視頻監(jiān)控網(wǎng)絡(luò)示意圖����;
[0036]圖2為本發(fā)明ONVIF應(yīng)用系統(tǒng)中的安全防護(hù)方法流程圖;
[0037]圖3為本發(fā)明防火墻設(shè)備結(jié)構(gòu)示意圖����。
【具體實(shí)施方式】
[0038]下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明技術(shù)方案做進(jìn)一步詳細(xì)說明,以下實(shí)施例不構(gòu)成 對(duì)本發(fā)明的限定���。
[0039] 本發(fā)明適用于基于0NVIF(0pen Network Video Interface Forum)的應(yīng)用系統(tǒng)��, 例如視頻監(jiān)控系統(tǒng)��。本實(shí)施例以視頻監(jiān)控系統(tǒng)為例�����,如圖I所示一個(gè)典型的小型視頻監(jiān)控網(wǎng) 絡(luò)�,所有設(shè)備通過局域網(wǎng)互聯(lián),防火墻作為局域網(wǎng)對(duì)外接口�����。在邏輯上���,IPC4和IPC5隸屬于 NVRl 管理��,IPC4和 IPC5是 NVT (Network Video Transmit ter)設(shè)備��,NVRl 是 NVC (Network Video Client);IPC6和IPC7隸屬于NVR2管理�,IPC6和IPC7是NVT設(shè)備�,NVR2是NVC。然而在本 實(shí)施例中����,防火墻作為系統(tǒng)中的NVC設(shè)備,其他NVR和IPC都是NVT設(shè)備����。
[0040] 如圖2所示��,本發(fā)明一種ONVIF應(yīng)用系統(tǒng)中的安全防護(hù)方法���,應(yīng)用于基于ONVIF應(yīng)用 系統(tǒng)的防火墻設(shè)備,包括如下步驟:
[0041 ] 基于ONVIF發(fā)現(xiàn)流程發(fā)現(xiàn)網(wǎng)絡(luò)中的NVT設(shè)備具備動(dòng)態(tài)規(guī)則配置能力���;
[0042]向發(fā)現(xiàn)的NVT設(shè)備發(fā)送獲取訪問規(guī)則消息�,接收NVT設(shè)備的響應(yīng)消息�����,從響應(yīng)消息 中獲取NVT設(shè)備具有的訪問規(guī)則�����;
[0043] 配置獲取的訪問規(guī)則���,并根據(jù)配置的訪問規(guī)則進(jìn)行安全防護(hù)。
[0044] 在初始情況下�,防火墻設(shè)備不包括任何訪問規(guī)則。在設(shè)備啟動(dòng)后�����,防火墻設(shè)備作為 NVC通過既有的ONVIF協(xié)議發(fā)現(xiàn)流程發(fā)現(xiàn)NVT設(shè)備(IPC/NVR)。
[0045] ONVIF中服務(wù)的發(fā)現(xiàn)流程主要采用三種方式���,具體如下:
[0046] NVT(IPC/NVR)可以通過組播的Hello消息主動(dòng)在網(wǎng)絡(luò)中通告自己的服務(wù)��;
[0047] NVC (防火墻)通過組播的Probe消息在網(wǎng)絡(luò)中發(fā)現(xiàn)ONVIF設(shè)備���,NVT (IPC/NVR)在收 至IjProbe報(bào)文后,通過單播的ProbeMatch進(jìn)行響應(yīng)�����;
[0048] NVC (防火墻)通過組播的Reso Ive消息在網(wǎng)絡(luò)中發(fā)現(xiàn)ONVIF設(shè)備����,NVT (IPC/NVR)在 收到Probe報(bào)文后,通過單播的Resol veMatch進(jìn)