Onvif應用系統(tǒng)中的安全防護方法及防火墻設備的制造方法
【技術領域】
[0001] 本發(fā)明屬于防火墻技術領域�����,尤其涉及一種ONVIF應用系統(tǒng)中的安全防護方法及 防火墻設備�。
【背景技術】
[0002] 視頻監(jiān)控是安全防范系統(tǒng)的重要組成部分,視頻監(jiān)控以其直觀��、準確���、及時和信息 內(nèi)容豐富而廣泛應用于許多場合����。近年來����,隨著計算機��、網(wǎng)絡以及圖像處理�����、傳輸技術的飛 速發(fā)展����,視頻監(jiān)控的普及化趨勢越來越明顯���,越來越多的監(jiān)控業(yè)務被連接到了互聯(lián)網(wǎng)上。與 此同時��,由于越來越多的設備暴露在互聯(lián)網(wǎng)上���,用戶面臨安全的風險也日益增大�,用戶對設 備本身的安全以及防火墻的安全要求日益增強��。
[0003] 現(xiàn)有技術中一般采用的智能防火墻���,都是通過捕獲接收到的數(shù)據(jù)包或用戶執(zhí)行的 應用程序的進程�����,并根據(jù)防火墻設置的規(guī)則來進行攔截�����,需要對所有業(yè)務進行應用層狀態(tài) 解析����。由于需要解析所有應用層數(shù)據(jù),對運算量要求高���,從而提高了防火墻設備硬件的要 求���。且目前網(wǎng)絡應用更新日新月異,防火墻需要不斷的更新才能滿足安全防護的需求���。最終 防火墻的規(guī)則不斷膨脹����,系統(tǒng)硬件要求也越來越高�����,企業(yè)或個人對于防火墻設備的投入水 漲船高,只能大企業(yè)才能承受較高的費用�。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的是提供一種ONVIF應用系統(tǒng)中的安全防護方法及防火墻設備,由NVT 設備檢測到攻擊后通知防火墻(NVC)動態(tài)更新訪問規(guī)則����,或防火墻遇到可疑的訪問,向NVT 設備發(fā)起查詢以判斷是否合法�����,從而避免現(xiàn)有技術中由防火墻對所有業(yè)務進行應用層狀態(tài) 解析��,降低了防火墻設備對硬件的要求��。
[0005] 為了實現(xiàn)上述目的�,本發(fā)明技術方案如下:
[0006] -種ONVIF應用系統(tǒng)中的安全防護方法��,應用于基于ONVIF應用系統(tǒng)的防火墻設 備���,所述安全防護方法包括:
[0007] 基于ONVIF發(fā)現(xiàn)流程發(fā)現(xiàn)網(wǎng)絡中的NVT設備具備動態(tài)規(guī)則配置能力����;
[0008]向發(fā)現(xiàn)的NVT設備發(fā)送獲取訪問規(guī)則消息����,接收NVT設備的響應消息�,從響應消息 中獲取NVT設備具有的訪問規(guī)則�����;
[0009]配置獲取的訪問規(guī)則����,并根據(jù)配置的訪問規(guī)則進行安全防護。
[0010]進一步地����,所述安全防護方法還包括:
[0011] 接收NVT設備檢測到攻擊時發(fā)出的事件告警,向該NVT設備發(fā)送獲取訪問規(guī)則消 息�,接收該NVT設備的響應消息,從響應消息中獲取該NVT設備針對攻擊所生成的訪問規(guī)則��, 配置獲取的訪問規(guī)則����,并根據(jù)配置的訪問規(guī)則進行安全防護。
[0012] 進一步地����,所述安全防護方法還包括:
[0013] 在檢測到具有設定的可疑特征的訪問時����,攜帶該訪問的訪問報文向該訪問對應的 NVT設備發(fā)起確認請求��,以便對應的NVT解析確認請求中的訪問報文���,根據(jù)自身業(yè)務判斷是 否是異常攻擊�����,如果是則返回訪問規(guī)則��;
[0014] 接收對應的NVT設備返回的訪問規(guī)則進行配置�,并根據(jù)配置的訪問規(guī)則進行安全 防護�����。
[0015] 進一步地�����,所述安全防護方法還包括:
[0016] 在檢測到具有設定的可疑特征的訪問時����,攜帶該訪問的訪問報文向該訪問對應的 NVT設備發(fā)起確認請求,以便NVT返回該訪問的合法特征�����;
[0017] 根據(jù)NVT返回的該訪問的合法特征�,判斷該訪問是否合法,丟棄非法的訪問報文并 屏蔽訪問源�。
[0018] 進一步地,所述基于ONVIF發(fā)現(xiàn)流程發(fā)現(xiàn)網(wǎng)絡中的NVT設備具備動態(tài)規(guī)則配置能 力�����,包括:
[0019] 接收NVT設備通過組播的Hello消息���,根據(jù)Hello消息中攜帶的表示動態(tài)規(guī)則配置 能力的標識符�����,發(fā)現(xiàn)該NVT設備具備動態(tài)規(guī)則配置能力�;
[0020] 或發(fā)送組播的Probe消息/Resolve消息�,并接收NVT設備返回的ProbeMatch響應消 息/ResolveMatch響應消息,根據(jù)ProbeMatch響應消息/Resol veMatch響應消息中攜帶的表 示動態(tài)規(guī)則配置能力的標識符���,發(fā)現(xiàn)該NVT設備具備動態(tài)規(guī)則配置能力�。
[0021]本發(fā)明一種ONVIF應用系統(tǒng)中的防火墻設備,所述防火墻設備包括:
[0022]發(fā)現(xiàn)模塊����,用于基于ONVIF發(fā)現(xiàn)流程發(fā)現(xiàn)網(wǎng)絡中的NVT設備具備動態(tài)規(guī)則配置能 力;
[0023]規(guī)則獲取模塊�,用于向發(fā)現(xiàn)的NVT設備發(fā)送獲取訪問規(guī)則消息,接收NVT設備的響 應消息�����,從響應消息中獲取NVT設備具有的訪問規(guī)則�����;
[0024]規(guī)則應用模塊����,用于配置獲取的訪問規(guī)則,并根據(jù)配置的訪問規(guī)則進行安全防護���。 [0025]進一步地�,所述規(guī)則獲取模塊還用于:
[0026]接收NVT設備檢測到攻擊時發(fā)出的事件告警���,向該NVT設備發(fā)送獲取訪問規(guī)則消 息�����,接收該NVT設備的響應消息���,從響應消息中獲取該NVT設備針對攻擊所生成的訪問規(guī)則。 [0027]進一步地���,所述防火墻設備還包括:
[0028] 可疑檢測模塊�����,用于在檢測到具有設定的可疑特征的訪問時����,攜帶該訪問的訪問 報文向該訪問對應的NVT設備發(fā)起確認請求��,以便對應的NVT解析確認請求中的訪問報文�����, 根據(jù)自身業(yè)務判斷是否是異常攻擊�,如果是則返回訪問規(guī)則,或便于NVT返回該訪問的合法 特征。
[0029] 進一步地��,所述規(guī)則應用模塊還用于:
[0030] 根據(jù)NVT返回的該訪問的合法特征���,判斷該訪問是否合法�����,丟棄非法的訪問報文并 屏蔽訪問源���。
[0031] 進一步地,所述發(fā)現(xiàn)模炔基于ONVIF發(fā)現(xiàn)流程發(fā)現(xiàn)網(wǎng)絡中的NVT設備具備動態(tài)規(guī)則 配置能力���,執(zhí)行如下操作:
[0032]接收NVT設備通過組播的Hello消息�����,根據(jù)Hello消息中攜帶的表示動態(tài)規(guī)則配置 能力的標識符���,發(fā)現(xiàn)該NVT設備具備動態(tài)規(guī)則配置能力;
[0033] 或發(fā)送組播的Probe消息/Resolve消息��,并接收NVT設備返回的ProbeMatch響應消 息/ResolveMatch響應消息����,根據(jù)ProbeMatch響應消息/ResolveMatch響應消息中攜帶的表 示動態(tài)規(guī)則配置能力的標識符����,發(fā)現(xiàn)該NVT設備具備動態(tài)規(guī)則配置能力����。
[0034] 本發(fā)明提出了一種ONVIF應用系統(tǒng)中的安全防護方法及防火墻設備����,防火墻自動 發(fā)現(xiàn)各個支持動態(tài)規(guī)則配置的設備,支持動態(tài)規(guī)則配置的設備檢測到攻擊后通知防火墻添 加訪問規(guī)則�,防火墻遇到可疑的訪問,向設備查詢�����,由設備判斷是否合法�,告訴防火墻添加 訪問規(guī)則,實施相關防護���。同時防火墻遇到可疑的訪問����,向設備索要進一步的信息,由防火 墻主動判斷是否合法���,從而避免設備受到傷害�,主動實施保護���。本發(fā)明的防火墻訪問規(guī)則動 態(tài)更新,應用針對性強�,硬件開銷小�,與支持ONVIF協(xié)議的監(jiān)控設備集成�,無需做其他配置��。
【附圖說明】
[0035] 圖1為本發(fā)明實施例視頻監(jiān)控網(wǎng)絡示意圖;
[0036]圖2為本發(fā)明ONVIF應用系統(tǒng)中的安全防護方法流程圖����;
[0037]圖3為本發(fā)明防火墻設備結構示意圖����。
【具體實施方式】
[0038]下面結合附圖和實施例對本發(fā)明技術方案做進一步詳細說明,以下實施例不構成 對本發(fā)明的限定���。
[0039] 本發(fā)明適用于基于0NVIF(0pen Network Video Interface Forum)的應用系統(tǒng)���, 例如視頻監(jiān)控系統(tǒng)�����。本實施例以視頻監(jiān)控系統(tǒng)為例��,如圖I所示一個典型的小型視頻監(jiān)控網(wǎng) 絡��,所有設備通過局域網(wǎng)互聯(lián)����,防火墻作為局域網(wǎng)對外接口。在邏輯上���,IPC4和IPC5隸屬于 NVRl 管理��,IPC4和 IPC5是 NVT (Network Video Transmit ter)設備,NVRl 是 NVC (Network Video Client);IPC6和IPC7隸屬于NVR2管理�����,IPC6和IPC7是NVT設備,NVR2是NVC���。然而在本 實施例中����,防火墻作為系統(tǒng)中的NVC設備,其他NVR和IPC都是NVT設備����。
[0040] 如圖2所示,本發(fā)明一種ONVIF應用系統(tǒng)中的安全防護方法�,應用于基于ONVIF應用 系統(tǒng)的防火墻設備,包括如下步驟:
[0041 ] 基于ONVIF發(fā)現(xiàn)流程發(fā)現(xiàn)網(wǎng)絡中的NVT設備具備動態(tài)規(guī)則配置能力;
[0042]向發(fā)現(xiàn)的NVT設備發(fā)送獲取訪問規(guī)則消息��,接收NVT設備的響應消息,從響應消息 中獲取NVT設備具有的訪問規(guī)則�����;
[0043] 配置獲取的訪問規(guī)則�,并根據(jù)配置的訪問規(guī)則進行安全防護。
[0044] 在初始情況下��,防火墻設備不包括任何訪問規(guī)則����。在設備啟動后�����,防火墻設備作為 NVC通過既有的ONVIF協(xié)議發(fā)現(xiàn)流程發(fā)現(xiàn)NVT設備(IPC/NVR)�����。
[0045] ONVIF中服務的發(fā)現(xiàn)流程主要采用三種方式���,具體如下:
[0046] NVT(IPC/NVR)可以通過組播的Hello消息主動在網(wǎng)絡中通告自己的服務��;
[0047] NVC (防火墻)通過組播的Probe消息在網(wǎng)絡中發(fā)現(xiàn)ONVIF設備�,NVT (IPC/NVR)在收 至IjProbe報文后���,通過單播的ProbeMatch進行響應;
[0048] NVC (防火墻)通過組播的Reso Ive消息在網(wǎng)絡中發(fā)現(xiàn)ONVIF設備�,NVT (IPC/NVR)在 收到Probe報文后�,通過單播的Resol veMatch進