一种视频监控系统日志安全审计方法与流程

本发明提供了一种针对视频监控系统中各个前端设备以及服务器的日志进行实时收集以及分析的方法。

背景技术：

今年来我国的经济实力显著增强，经济文化交流日趋频繁，城市流动人口正在不断地增多，社会治安状况也日趋复杂，公共安全问题仍不断凸显。这些都迫切需要加快发展以主动预防为主的视频监控系统。由于视频监控系统应用的不断深入，系统规模的不断扩大，各级公安机关的跨区域图像共享的需求也在日益增多。因此，利用先进的监控联网技术，建立大规模的城市报警与监控系统，已经成为预防和制止犯罪、保护国家和人民群众的生命财产安全、保证各行各业正常运转的迫切需求和有效手段。通过联网管理，各级公安机关和相关部门均可以监控、浏览、查询设立在治安复杂场所、重点部位、主要街道、案件多发地段、重要路口、卡口等地点的现场实时视频，直观地了解和掌握监控区域的治安动态，可以做到对紧急事件的快速反应，有效提高社会治安综合管理水平。

安全视频监控系统，采用了认证技术以及对视频进行了加密处理。这样可以有效的防止其他一些人员随意的观看视频，这样看上去已经比较安全，但仍然存在安全隐患。比如某个区域的网络出现问题，摄像机被打掉等等一些物理上的破坏，导致视频无法传输到监控室。一旦发生这样的事情，该区域就不能被监控，给犯罪分子留下可乘之机。因此，基于视频监控系统的日志实时传输就可以较好的解决这类问题。一旦发生上述问题，则服务器收不到前端设备上部署的agent发送的在线包，则立刻给管理员报警哪个摄像机可能掉线。

虽然日志的agent在实时的发送数据，并报告给日志服务器该设备在正常的运作。但是，如果有人在物理上将摄像机拿掉，然后快速的换上自己的一个设备，并模仿该日志的agent时时给服务器发送在线包以及正常的日志，那么如果服务器信任了该数据包，虽然该设备已经不能正常工作了，但是并没有给管理员报警，这显然留下隐患。因此数据包需要在传输的时候进行加密，这里采用了基于证书加密的一种SSL传输方式，保证传输的安全性与可靠性。

日志收集到日志服务器上后，定期对日志进行备份到日志备份服务器。由于众多设备的日志的量大，由人来对众多日志进行分析特别困难，并且一旦发生不安全因素再去查看日志这种事后补救远没有时时检测到问题立刻报警来的有效。并且当前开源的日志分析多数是针对web的，因此需要设计一个专门针对安全视频监控系统的日志分析模块。

通过SSL协议提供的安全通道，保证了日志信息的机密性，可靠性以及完整性。通过分析模块对日志分析出来的可疑行为进行报警并进行相应的操作。这样可以使得日志安全审计系统和安全视频监控系统正常运行以及安全监测。

技术实现要素：

针对现有技术中存在的技术问题，本发明的目的在于提供一种视频监控系统日志安全审计方法。本方案基于SSL进行实时传输日志信息以及日志服务器收到日志后进行日志分析。

本方法主要包括：首先，在各个设备上部署agent来收集设备上产生的日志，并通过SSL进行日志的实时加密传输给日志服务器。然后当日志服务器收到日志，进行分析并按照先前设定的某种规则对收到的日志进行快速的分类存储。最后日志分析模块对收到的日志进行分析，如果检测到可疑行为符合先前的预警规则就立即给管理员报警。

本发明的技术方案为：

一种视频监控系统日志安全审计方法，其步骤为：

1)在视频监控系统的各个设备上分别部署一日志收集模块agent；

2)各日志收集模块agent实时收集设备上产生的日志信息，并将收集到的日志发送给日志服务器；同时各设备每隔设定时间向该日志服务器发送一设备在线包；

3)日志服务器根据数据包的类型对收到的数据包进行处理；其中，

a)如果数据包为设备在线包，则将其发送给在线解析模块，并将日志服务器中记录的对应设备的在线时间更新为当前时间；如果在设定时间内未收到设备的设备在线包，则发送报警信息A给传送给报警模块；

b)如果数据包是设备的认证日志包，则首先查看认证日志包的认证结果字段，如果认证的结果为成功，则将该认证日志信息写入该设备对应的认证成功数据库表中；如果认证的结果为失败，则将该认证日志信息写入该设备对应的认证失败数据库表中；

c)如果数据包是设备的登录日志包，则首先查看登录日志包的登录结果，如果登录状态为成功，则将该登录日志信息写入该设备对应的登录成功数据库表中；如果登录失败，则将该登录日志信息写入该设备对应的登录失败数据库表中；

4)当认证失败数据库表或登录失败数据库表中有新增记录时，该日志服务器统计同一IP同一操作在设定时间长度内操作失败的频率，当频率值达到设定阈值时，根据该条记录生成一报警信息B发送给报警模块。

进一步的，所述设备与该日志服务器之间采用基于SSL协议建立的安全通道传输日志信息。

进一步的，所述设备每隔设定是将向该日志服务器发送一个变化的设备在线包。

进一步的，该设备在线数据包中的内容包括：当前时间、设备的ID和特定值；其中，该特定值为线下协商设定的若干值，而且每一特定值设置一递增次数和设定递增值，每次轮询时将当前所用的特定值递增一对应设定递增值，当一特定值的轮询次数达到对应的递增次数时改为另一特征值；日志服务器根据线下协商的特征值和轮询规则对收到的设备在线包进行验证。

进一步的，日志收集模块agent对收集的日志信息封装成设定格式，该设定格式包括：时间、操作过程和执行结果。

进一步的，所述报警信息A中的信息包括设备的最近在线时间、事件、结果、地点。

进一步的，所述报警信息B中的信息包括记录的时间、操作过程、设备对应的地点。

进一步的，该登录日志信息包括登录时间、登录用户及登录的IP地址、登录结果。

进一步的，所述当报警模块收到报警信息A或报警信息B后，生成一包括报警时间、事件、结果和事件IP所在区域的信息发送给设定地址。

与现有技术相比，本发明的积极效果为：

本发明通过ssl对日志加密传输，可以防止日志被他人查看以及篡改，可以有效的判断设备是否正常在线和正常运行以及是否有人攻击等行为。

附图说明

图1为密文视频监控系统框架图；

图2为本发明日志安全审计系统框架图；

图3为agent处理流程图；

图4为本发明日志服务器系统流程图。

具体实施方式

下面结合附图对本发明进行进一步详细描述。

本方案涉及到在安全视频监控系统的各个设备上部署的agent以及日志服务器和备份服务器。其系统结构图如图1所示。

本发明包含了以下五个模块：各个设备上的日志收集模块、日志服务器的分类存储模块、日志服务器的分析模块、日志服务器的报警模块、日志服务器的备份模块。

本方案中日志的传输是基于SSL协议建立的安全通道，其证书是由后端Radius认证服务器作为CA统一颁发。TCP/IP协议栈中的安全机制如表1所示。

表1为TCP/IP协议栈中的安全机制

安全视频监控系统的日志安全审计系统组成如图2所示。

前端日志收集模块

在图1中的各个设备(比如SIP服务器，Radius服务器，摄像机等等)上运行agent，它将实时收集各个设备上产生的日志以及系统的登录操作日志，并将收集到的日志封装成指定的格式：[时间操作过程执行结果]缓冲1k后统一用SSL协议发送给后端日志服务器。操作过程就是日志记录的内容是什么，比如，认证过程，则记录哪两个设备之间进行的认证，如果是登陆，则记录哪个IP进行登陆等等。同时它每隔10s就会向日志服务器发送一个变化的在线包，告诉日志服务器目前该设备正在正常运行。该在线数据包中发送的内容为【当前时间+设备的ID+特定值】，这里的特定值为四个字节线下协商出来几个特定值的轮询，然后每一特定值设置一递增次数，每次递增加一设定值。例如在IPC1中的agent1这里的特定值有0x48179254(第0个)、0x17924854(第1个)、0x92542222(第2个)共m＝3个，递增次数依次为8(第0个),4(第1个),7(第2个)。那么它首次发送的特定值为0x48179254，然后依次递增+1，即，第二次发送的特定值为0x48179255，第三次发送的为0x48179256等等，当递增7次(因为第一个的递增次数为8，增加到这里后，不再每次递增1，而是换成另外一个特定值开始递增)后换成第(0x48179254+7)％3＝1个，即为0x17924854开始传送，如此继续。本发明通过线下协商一串特定值，从而只有自己知道，这样就算是证书被别人窃取，数据被拿到解密了，也不知道下一个在线包发送的是什么数据，无法伪造。

日志服务器分类存储模块

日志服务器收到前端agent发送的数据包，首先判断是什么类型的数据包，判断完成后，将该数据包按照分类规则送至不同的小模块进行处理。

(1)设备在线包

送给在线解析模块进行处理，该设备的在线时间更新为当前时间，剩余时间变为开始设定的时间，然后继续从当前开始计时；如果某个设备长时间不能发送在线包给日志服务器，即超过了指定时间还是没有收到在线包，则搜索该IP的设备所在的具体位置，将【时间事件结果地点】，传送给报警模块，将该事件立即报警给管理员。

(2)设备认证日志包

由于分析认证的日志时，如果有外人攻击，则认证一般是失败，并且仍然继续发送认证请求。并且由于认证的日志量很大，如果全部分析会使效率低下，因此可以只对我们感兴趣的进行分析，所以将认证的日志按照认证的结果分类存储，有利于后期的分析。因此在收到设备认证的日志包后，首先查看认证结果字段，如果认证的结果为成功，则将该日志直接写入具体设备所对应的成功的数据库的表中；如果认证的结果为失败，则将该日志直接写入具体设备所对应的失败的数据库的表中。供分析模块分析。

(3)设备登录日志包

这里同样关心的是登录不成功的情况，因此收到登录日志的数据包后，首先也要先查看登录结果，如果登录状态为成功，则将【用户登录系统时间哪个用户登录哪个IP地址登录结果】这样的日志直接写入具体设备所对应的登录成功的数据库的表中；如果登录失败，则将该日志直接写入具体设备所对应的失败的数据库的表中。供分析模块分析。

(4)设备扫描日志包

设备扫描包，则直接计入数据库供分析模块分析。

日志服务器的分析模块

每当有失败日志(无论是认证还是登录还是进行操作)记录新增加时，统计同一表中同一个IP同一个操作，不同时间的记录在一段时间内有多少，即实时的统计系统中操作失败的频率。当这个频率值达到管理员预先设定的阈值时将该条记录以【时间操作过程(包括操作用户和对应的IP地址)哪个设备对应的地点】送至报警模块。

日志服务器的报警模块

当报警模块收到数据后，将【时间事件结果事件IP所在的区域】通过邮件的方式发送给指定的邮箱进行报警。

日志服务器的备份模块

日志服务器每一天对日志进行一次备份，管理员可以通过数据库管理工具对数据库的备份进行删除、回滚等操作。

日志安全审计的前端agent系统流程图如图3所示。

日志安全审计的日志服务器系统流程图如图4所示。