行響應。
[0049] 例如:NVT(IPC/NVR)設備啟動后���,在ONVIF的Hello報文的Scopes中增加一種應用��, 插入表示動態(tài)規(guī)則配置能力的標識符FireWal l_Config���,用于通告本身具備動態(tài)規(guī)則配置 能力:
[0050] <tns:Types>dn:NetworkVideoTransmitter</tns:Types)
[0051] 〈tns:Scopes〉
[0052] onvif://www.onvif.org/type/F ireffall_Conf ig
[0053] 〈/tns:Scopes〉
[0054] 同樣,NVT (IPC/NVR)的ProbeMatch消息與Re so IveMatch消息也作類似修改�,在 Scopes字段中插入動態(tài)規(guī)則配置能力的標識符FireWal l_Config。
[0055]本實施例通過擴展ONVIF發(fā)現(xiàn)流程的消息報文來向NVC通告NVT是否支持這種擴展 能力。本實施例將支持本發(fā)明安全防護方法的這種擴展能力稱為動態(tài)規(guī)則配置能力���。
[0056]從而在發(fā)現(xiàn)NVT設備的同時����,還獲知NVT是否具有動態(tài)規(guī)則配置能力��。如果NVT (IPC/NVR)支持動態(tài)規(guī)則配置�����,將會在ONVIF發(fā)現(xiàn)流程中上報自己的擴展能力��。NVC發(fā)現(xiàn)NVT 設備具有該能力后�,會主動通過增強的0NVIF消息獲取其具有的訪問規(guī)則�,并作為防火墻的 訪問規(guī)則下發(fā)到自身。
[0057] 具體地��,NVC通過增強的ONVIF消息是通過GetFireConfig獲取NVT設備的訪問規(guī) 則�����。GetFireConf ig及其響應消息參照如下的WSDL及XML機制定義:
[0058] SOAP action
[0059] http://www.onvif.org/verlO/device/wsdl/GetFireWallRules
[0060] Input
[0061] FirewallVersion��;[string]
[0062] Output
[0063] FirewallRules;[string]
[0064] 通過該過程���,NVC防火墻收到NVT回復的訪問規(guī)則之后��,下發(fā)新的訪問規(guī)則至自身�����, 用以攔截非法報文�。即防火墻能夠獲取基本的業(yè)務配置訪問規(guī)則���,視頻監(jiān)控設備能夠進行 基本的通信�。
[0065] 下面以圖1為例��,說明上述過程:
[0066] 防火墻啟動后��,默認拒絕所有來自外部的連接�����;
[0067] 防火墻作為NVC按照ONVIF協(xié)議發(fā)現(xiàn)NVR1�����、NVR2、IPC3~IPC7�����。若這些NVT設備支持 動態(tài)規(guī)則配置�����,則會上報FireWall_Config能力��。防火墻對每個支持該能力的NVT設備發(fā)送 GetFireConfig請����,獲取到的規(guī)則為:
[0068] 目的1卩(1?(^爾1?1):80/11^/(^611
[0069] 目的IP(IP of NVRl):554/TCP/0pen
[0070] 目的1卩(1?(^爾1?2):80/11^/(^611
[0071] 目的1卩(1?(^爾1?2):554/11^/(^611
[0072] 目的IP(IP of IPC3):80/TCP/0pen
[0073] 目的IP(IP of IPC3):554/TCP/0pen
[0074] 在這里假設設備打開80 (Web)端口和554即可進行基本業(yè)務����。
[0075] 上面防火墻向IPC3、NVRI��、NVR2可以獲取到訪問規(guī)則�����,而其余IPC沒有返回訪問規(guī) 貝1J����,原因是其余IPC通過它們的上級NVR接入外網����,沒有直接接入外網���,因此無需配置訪問規(guī) 則�。
[0076]防火墻配置獲取到的訪問規(guī)則���,并在自身應用之后���,外部設備可以通過防火墻訪 問 NVR1、NVR2�����、IPC3 的 Web 和 RTSP 服務����。
[0077]進一步地,本實施例ONVIF應用系統(tǒng)中的安全防護方法����,還包括步驟:
[0078]接收NVT設備檢測到攻擊時發(fā)出的事件告警��,向該NVT設備發(fā)送獲取訪問規(guī)則消 息�,接收該NVT設備的響應消息����,從響應消息中獲取該NVT設備針對攻擊所生成的訪問規(guī)則, 配置獲取的訪問規(guī)則�����,并根據配置的訪問規(guī)則進行安全防護�����。
[0079]具體地�����,當NVT設備(IPC/NVR)檢測到可疑的事件時��,觸發(fā)事件告警�����。假設外部網絡 對NVRl進行了HTTP攻擊(常規(guī)的攻擊����,例如短時間發(fā)起大量連接可以被防火墻捕獲而直接 拒絕),比如說反復進行密碼嘗試��,在傳統(tǒng)的防火墻模型中需要應用層防火墻才能應付��,在 本方案���,NVRl可以直接判斷登錄失敗���,當檢測到反復登陸,即可觸發(fā)事件告警����,并生成對應 的訪問規(guī)則。防火墻收到事件告警后再次請求訪問規(guī)則�,NVRl通過響應返回訪問規(guī)則,防火 墻配置該訪問規(guī)則�����,進行攔截�。后續(xù)攻擊者將無法攻擊NVRl及其他防火墻后的設備。
[0080] 下面是應用到NVRl中的事件告警代碼���,其中����,F(xiàn)ireWal IRulesChanged表示這是一 條對應于防火墻訪問規(guī)則變化的事件告警:
[0083]從而在NVT設備檢測到攻擊時發(fā)出事件告警,生成新的針對攻擊的訪問規(guī)則���,例 如:源IP(攻擊者的IP)/Drop�����。防火墻收到事件告警后再次向該設備獲取訪問規(guī)則�,并更新 應用于自身���。通過這種方式���,NVT設備可以根據發(fā)現(xiàn)的威脅動態(tài)的增加防火墻訪問規(guī)則,并 將生成的訪問規(guī)則返回給防火墻設備����,以便防火墻設備配置該訪問規(guī)則����,并更具該訪問規(guī) 則進行攔截����。
[0084]進一步地����,本實施例ONVIF應用系統(tǒng)中的安全防護方法,還包括步驟:
[0085] 在檢測到具有設定的可疑特征的訪問時���,攜帶該訪問的訪問報文向該訪問對應的 NVT設備發(fā)起確認請求�,以便對應的NVT解析確認請求中的訪問報文��,根據自身業(yè)務判斷是 否是異常攻擊�,如果是則返回訪問規(guī)則;
[0086] 接收對應的NVT設備返回的訪問規(guī)則進行配置���,并根據配置的訪問規(guī)則進行安全 防護���。
[0087] 具體地,當防火墻(NVC)檢測到可疑的訪問時���,可先緩存訪問報文��,同時向IPC/NVR 發(fā)送攜帶該訪問報文的確認請求�����。僅當IPC/NVR確認訪問合法后才放行�,反之NVT可增加訪 問規(guī)則并返回該訪問規(guī)則。NVC接收到訪問規(guī)則后丟棄緩存的該訪問報文�,根據該訪問規(guī)則 進行攔截。通過這樣的方式�,防火墻可以阻塞對設備的可能的攻擊。判斷訪問是否是合法�����, 在NVT設備中進行���,降低了對NVC設備性能和硬件的要求��。
[0088] 可疑訪問包括潛在的SQL注入攻擊���、XSS攻擊,但防火墻又不能做出判斷時���,防火墻 將暫時緩存該訪問報文,并向其對應的NVT設備(例如NVRl)發(fā)起詢問。
[0089] 例如���,來自外部的訪問:
[0090] http://(IP of NVRl)/login.asp?userID = 1231144or userID>0〇
[0091 ] 在正常情況下����,系統(tǒng)內部會對用戶ID進行判斷��。例如select id from usertable where id = 1231144�����。但上述異常輸入后�,判斷語句變成了select id from usertable where userID=1231144or userID>0。判斷語句永遠是成立的語句�,繞開了userID校驗。在 這種情況下��,防火墻本身無法判斷訪問的合法性而需要設備本身進行判斷���。因此防護墻將 暫時阻止該數據包發(fā)送到NVRl��,并將該訪問的內容(http : //(IP of NVRl )/login. asp? UserID = I231144oruserID>0)放入如下報文中����,向NVT設備(NVRl)請求該訪問的合法性。
[0092] SOAP action
[0093] http://www.onvif.org/verlO/device/wsdl/GetFireWallRules
[0094] Input
[0095] FirewallVersion���;[string]
[0096] SuspectPackat��;[string]
[0097] Output
[0098] FirewallRules����;[string]
[0099]常見可疑特征的識別可疑很簡單����,例如"〈、>��、'��、"����、"是XSS的特征,"or"是SQL注入 的特征�����,"?"表明網頁存在參數輸入易受到攻擊�����。在符合上述特性時,防火墻又不能進一步 進行合法性判斷時���,防火墻可緩存該訪問,并向NVT設備發(fā)起進一步查詢���。
[0100] NVRl接受請求后����,解析確認請求中的訪問報文�����,根據自身業(yè)務進行進一步判斷����,發(fā) 現(xiàn)是異常攻擊,則返回防護規(guī)則:
[0101] 源 IP(攻擊者的 IP)/Drop
[0102] 防火墻在收到訪問規(guī)則后直接丟棄緩存的報文���,并應用該訪問規(guī)則�,拒絕后續(xù)的 攻擊�。
[0103] 進一步地�,本實施例ONVIF應用系統(tǒng)中的安全防護方法���,還包括步驟:
[0104] 在檢測到具有設定的可疑特征的訪問時���,攜帶該訪問的訪問報文向該訪問對應的 NVT設備發(fā)起確