认请求,以便NVT返回该访问的合法特征;
[0105] 根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并 屏蔽访问源。
[0106] 在上面的例子中,来自外部的访问:
[0107] http://(IP of NVRl)/login.asp?userID = 1231144oruserID>0〇
[0108] 防火墙将暂时阻止该访问报文发送到NVR,并将该访问的内容(http : //(IP of NVRl)/login .asp?userID= 1231144oruserID>0)放入确认请求报文中,向NVT设备请求该 访问的合法性。
[0109] NVT设备返回这种情况下访问的合法特征,例如:
[0110] http://{目的IP}/login.asp?userID= {Digital},指明在这这种情况下合法的 访问是参数userID为一数字。防火墙通过该特征对原始访问(http://(IP of NVRl)/ login.asp?userID= 1231145oruserID>0)进行合法性校验。校验结果发现输入的参数是 (1231144and userID>0)。防火墙根据NVT返回的该访问的合法特征,在规则中要求的是数 字,而实际获取到的非数字,防火墙即认为收到了恶意访问,防火墙将丢弃该报文,并屏蔽 访问源。
[0111] 如图3所示,本实施例一种ONVIF应用系统中的防火墙设备,该防火墙设备包括:
[0112] 发现模块,用于基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能 力;
[0113]规则获取模块,用于向发现的NVT设备发送获取访问规则消息,接收NVT设备的响 应消息,从响应消息中获取NVT设备具有的访问规则;
[0114] 规则应用模块,用于配置获取的访问规则,并根据配置的访问规则进行安全防护。
[0115] 本实施例规则获取模块还用于:
[0116]接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消 息,接收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则。
[0117]进一步地,本实施例防火墙设备还包括:
[0118]可疑检测模块,用于在检测到具有设定的可疑特征的访问时,携带该访问的访问 报文向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文, 根据自身业务判断是否是异常攻击,如果是则返回访问规则,或便于NVT返回该访问的合法 特征。
[0119] 则本实施例规则应用模块还用于:
[0120] 根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并 屏蔽访问源。
[0121] 与上述方法对应地,发现模炔基于ONVIF发现流程发现网络中的NVT设备具备动态 规则配置能力,执行如下操作:
[0122] 接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置 能力的标识符,发现该NVT设备具备动态规则配置能力;
[0123] 或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消 息/ResolveMatch响应消息,根据ProbeMatch响应消息/ResolveMatch响应消息中携带的表 示动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。
[0124]以上实施例仅用以说明本发明的技术方案而非对其进行限制,在不背离本发明精 神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变 形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
【主权项】
1. 一种ONVIF应用系统中的安全防护方法,应用于基于ONVIF应用系统的防火墙设备, 其特征在于,所述安全防护方法包括: 基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力; 向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获 取NVT设备具有的访问规则; 配置获取的访问规则,并根据配置的访问规则进行安全防护。2. 根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,所述安全防 护方法还包括: 接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接 收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则,配置 获取的访问规则,并根据配置的访问规则进行安全防护。3. 根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,所述安全防 护方法还包括: 在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT 设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据自身业务判断是否是 异常攻击,如果是则返回访问规则; 接收对应的NVT设备返回的访问规则进行配置,并根据配置的访问规则进行安全防护。4. 根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,所述安全防 护方法还包括: 在检测到具有设定的可疑特征的访问时,携带该访问的访问报文向该访问对应的NVT 设备发起确认请求,以便NVT返回该访问的合法特征; 根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽 访问源。5. 根据权利要求1所述的ONVIF应用系统中的安全防护方法,其特征在于,所述基于 ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力,包括: 接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置能力 的标识符,发现该NVT设备具备动态规则配置能力; 或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消息/ 1^8〇1¥6]\&11:〇11响应消息,根据?1'(^6]\&11:〇11响应消息/1^8〇1¥6]\&11:〇11响应消息中携带的表示 动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。6. -种ONVIF应用系统中的防火墙设备,其特征在于,所述防火墙设备包括: 发现模块,用于基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力; 规则获取模块,用于向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消 息,从响应消息中获取NVT设备具有的访问规则; 规则应用模块,用于配置获取的访问规则,并根据配置的访问规则进行安全防护。7. 根据权利要求6所述的ONVIF应用系统中的防火墙设备,其特征在于,所述规则获取 模块还用于: 接收NVT设备检测到攻击时发出的事件告警,向该NVT设备发送获取访问规则消息,接 收该NVT设备的响应消息,从响应消息中获取该NVT设备针对攻击所生成的访问规则。8. 根据权利要求6所述的ONVIF应用系统中的防火墙设备,其特征在于,所述防火墙设 备还包括: 可疑检测模块,用于在检测到具有设定的可疑特征的访问时,携带该访问的访问报文 向该访问对应的NVT设备发起确认请求,以便对应的NVT解析确认请求中的访问报文,根据 自身业务判断是否是异常攻击,如果是则返回访问规则,或便于NVT返回该访问的合法特 征。9. 根据权利要求8所述的0NVIF应用系统中的防火墙设备,其特征在于,所述规则应用 模块还用于: 根据NVT返回的该访问的合法特征,判断该访问是否合法,丢弃非法的访问报文并屏蔽 访问源。10. 根据权利要求6所述的0NVIF应用系统中的防火墙设备,其特征在于,所述发现模块 基于0NVIF发现流程发现网络中的NVT设备具备动态规则配置能力,执行如下操作: 接收NVT设备通过组播的Hello消息,根据Hello消息中携带的表示动态规则配置能力 的标识符,发现该NVT设备具备动态规则配置能力; 或发送组播的Probe消息/Resolve消息,并接收NVT设备返回的ProbeMatch响应消息/ 1^8〇1¥6]\&11:〇11响应消息,根据?1'(^6]\&11:〇11响应消息/1^8〇1¥6]\&11:〇11响应消息中携带的表示 动态规则配置能力的标识符,发现该NVT设备具备动态规则配置能力。
【专利摘要】本发明公开了一种ONVIF应用系统中的安全防护方法及防火墙设备,应用于基于ONVIF应用系统的防火墙设备,所述安全防护方法基于ONVIF发现流程发现网络中的NVT设备具备动态规则配置能力,向发现的NVT设备发送获取访问规则消息,接收NVT设备的响应消息,从响应消息中获取NVT设备具有的访问规则,配置获取的访问规则,并根据配置的访问规则进行安全防护。所述防火墙设备包括发现模块、规则获取模块和规则应用模块。本发明的方法和防火墙设备,降低了防火墙设备对硬件的要求,实现访问规则的动态更新,应用针对性强,硬件开销小。
【IPC分类】H04L29/06
【公开号】CN105610799
【申请号】CN201510968729
【发明人】周迪, 赵子华
【申请人】浙江宇视科技有限公司
【公开日】2016年5月25日
【申请日】2015年12月19日