一种视频监控网络的异常检测方法及系统与流程

本发明实施例涉及安全技术领域，具体涉及一种视频监控网络的异常检测方法及系统。

背景技术

随着物联网技术的蓬勃发展，视频监控设备也得到广泛应用。

大量的视频监控设备组成的视频监控网络通常防御能力低，自身安全性差，成为黑客的热门攻击对象。由于视频监控网络的大流量、众多未知攻击行为与异常通信行为等特性，使得现有的基于模型的异常检测技术对网络异常状态的检测存在很高的误报率和漏报率。

因此，如何避免上述缺陷，能够准确检测视频监控网络的网络异常状态，成为亟须解决的问题。

技术实现要素：

针对现有技术存在的问题，本发明实施例提供一种视频监控网络的异常检测方法及系统。

第一方面，本发明实施例提供一种视频监控网络的异常检测方法，所述方法包括：

解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；

分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；

根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；

将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。

第二方面，本发明实施例提供一种视频监控网络的异常检测方法，所述方法包括：

接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的；

根据所述检测结果，生成网络异常状态的报警消息。

第三方面，本发明实施例提供一种视频监控网络的异常检测终端，所述终端包括：

获取单元，用于解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；

提取单元，用于分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；

检测单元，用于根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；

发送单元，用于将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。

第四方面，本发明实施例提供一种视频监控网络的异常检测服务器，所述服务器包括：

接收模块，用于接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的；

生成模块，用于根据所述检测结果，生成网络异常状态的报警消息。

本发明实施例提供的视频监控网络的异常检测方法及系统，通过把数据流量划分为视频流数据流量和非视频流数据流量，分别通过不同的预设模型进行检测，能够更准确地检测视频监控网络的网络异常状态。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例视频监控网络的异常检测方法流程示意图；

图2为本发明另一实施例视频监控网络的异常检测方法流程示意图；

图3为本发明实施例视频监控网络的异常检测方法总体流程示意图；

图4为本发明实施例检测视频流特征的方法流程示意图；

图5为本发明实施例检测非视频流特征的方法流程示意图；

图6为本发明实施例视频监控网络的异常检测终端结构示意图；

图7为本发明实施例视频监控网络的异常检测服务器结构示意图；

图8为本发明实施例提供的终端实体结构示意图；

图9为本发明实施例提供的服务器实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例视频监控网络的异常检测方法流程示意图，如图1所示，本发明实施例提供的一种视频监控网络的异常检测方法，包括以下步骤：

s1：解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量。

具体的，终端解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量。在该步骤之前，可以对获取到的数据包进行数据链路层、网络层处理，包括网络层协议检测，ip碎片重组等。然后，继续进行传输层处理，包括：解析传输层协议(如tcp、udp、icmp、igmp等)、视频流数据流量可以包括：视频流数据包在传输层的关键信息(如源端口、目的端口、flags、序列号、win窗口大小等)；再过滤掉视频流数据流量，解析应用层协议，从而，获取到非视频流数据流量。

s2：分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征。

具体的，终端分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征。视频流特征可以包括源ip地址数量，目的ip地址数量，tcp端口数量，udp端口数量，基于ip的流量大小，基于ip的包率大小，基于icmp的流量大小，基于icmp的包率大小，基于tcp的流量大小，基于tcp的包率大小，基于udp的流量大小，基于udp的包率大小，ip协议流量占比，ip协议包量占比，icmp流量占比，icmp包量占比，tcp流占比，tcp包量占比，udp流占比，udp包量占比，tcp各个端口流量占比，tcp各个端口包量占比，udp各个端口流量占比，udp各个端口包量占比共24项视频流特征，这些视频流特征可以通过n维特征向量表示。非视频流特征可以是：数据包发送的时间戳、源ip地址、目的ip地址、源端口、目的端口、协议名称、负载长度、负载内容等8项，负载内容可以包括http请求url、ftp、telnet的交互口令；负载长度是该负载内容所占用的存储空间。

s3：根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征。

具体的，终端根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征。第一预设模型可以通过多元高斯分布方法建立，建立方法可以如下：对视频流特征进行取样，每秒取一次数据，取样五分钟，总计300次数据；计算每个特征值300次取样的均值：

其中，μ为均值、m为采样总数、x⁽ⁱ⁾为第i次的采样数据。

以及每个特征值300次取样的方差：

其中，∑为方差、m为采样总数、x为采样数据。

通过将当前待检测的视频流特征输入建立好的第一预设模型，即可实时对视频流进行异常检测；具体的，当前待检测的视频流异常概率p(x)小于预设定的阈值σ时，则判断为异常，p(x)公式如下：

其中，n是24项视频流特征，其他参数可参照上述说明。

第二预设模型可以通过mini-kmeans的机器学习方法建立，具体的，对上述提取到的非视频流特征进行数据归一化处理，之后采用基于mini-kmeans的机器学习方法对非视频流通信数据包进行聚类建模；选取聚类簇大小n与簇中心，然后随机选取部分通信数据包计算与该n个簇中心的聚类，决定用户归属簇；然后进行上述步骤的重复迭代，直到收敛，从而完成第二预设模型的建立。

s4：将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。

具体的，终端将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。

本发明实施例提供的视频监控网络的异常检测方法，通过把数据流量划分为视频流数据流量和非视频流数据流量，分别通过不同的预设模型进行检测，能够更准确地检测视频监控网络的网络异常状态。

在上述实施例的基础上，所述视频流特征包括多种协议的端口数量、流量、包率、流量占比和包量占比。

具体的，终端中的所述视频流特征包括多种协议的端口数量、流量、包率、流量占比和包量占比。可参照上述实施例，不再赘述。

本发明实施例提供的视频监控网络的异常检测方法，通过将多种协议的端口数量、流量、包率、流量占比和包量占比作为视频流特征，保证了检测视频监控网络的网络异常状态的顺利进行。

在上述实施例的基础上，所述非视频流特征包括数据包发送的时间戳、源ip地址、目的ip地址、源端口、目的端口、协议名称、负载长度、负载内容，其中，所述负载内容包括http请求url、ftp、telnet的交互口令；所述负载长度是所述负载内容所占用的存储空间。

具体的，终端中的所述非视频流特征包括数据包发送的时间戳、源ip地址、目的ip地址、源端口、目的端口、协议名称、负载长度、负载内容，其中，所述负载内容包括http请求url、ftp、telnet的交互口令；所述负载长度是所述负载内容所占用的存储空间。可参照上述实施例，不再赘述。

本发明实施例提供的视频监控网络的异常检测方法，通过将数据包发送的时间戳、源ip地址、目的ip地址、源端口、目的端口、协议名称、负载长度、负载内容作为非视频流特征，进一步保证了检测视频监控网络的网络异常状态的顺利进行。

在上述实施例的基础上，所述第一预设模型是通过多元高斯分布方法所建立的。

具体的，终端中的所述第一预设模型是通过多元高斯分布方法所建立的。可参照上述实施例，不再赘述。

本发明实施例提供的视频监控网络的异常检测方法，通过多元高斯分布方法建立第一预设模型，进一步能够准确检测视频监控网络的网络异常状态。

在上述实施例的基础上，所述第二预设模型是通过mini-kmeans的机器学习方法所建立的。

具体的，终端中的所述第二预设模型是通过mini-kmeans的机器学习方法所建立的。可参照上述实施例，不再赘述。

本发明实施例提供的视频监控网络的异常检测方法，通过mini-kmeans的机器学习方法建立第二预设模型，进一步能够准确检测视频监控网络的网络异常状态。

图2为本发明另一实施例视频监控网络的异常检测方法流程示意图，如图2所示，本发明实施例提供的一种视频监控网络的异常检测方法，包括以下步骤：

s10：接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的。

具体的，服务器接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的。该检测结果可以包括第一预设模型输出的检测结果，以及第二预设模型输出的检测结果。

s20：根据所述检测结果，生成网络异常状态的报警消息。

具体的，服务器根据所述检测结果，生成网络异常状态的报警消息。具体说明如下：若所述第二预设模型输出的检测结果异常，且所述第一预设模型输出的检测结果正常，生成网络异常状态的一级报警消息；若所述第一预设模型输出的检测结果异常，且所述第二预设模型输出的检测结果正常，生成网络异常状态的二级报警消息；若所述第一预设模型输出的检测结果异常，且所述第二预设模型输出的检测结果也异常，生成网络异常状态的三级报警消息。在生成一级报警消息和二级报警消息的基础上，也可以在第一预设模型产生的检测结果或第二预设模型产生的检测结果异常时单独报警，需要说明的是：在第一预设模型产生的检测结果和第二预设模型产生的检测结果都异常时，无需单独报警，只需要生成三级报警消息，从而实现报警的去重处理。通过生成分级的报警消息，便于相关人员分级处理报警消息。

本发明实施例提供的视频监控网络的异常检测方法，通过接收、并检测该检测结果，生成网络异常状态的报警消息，能够准确检测视频监控网络的网络异常状态。

在上述实施例的基础上，所述根据所述检测结果，生成网络异常状态的报警消息，包括：

若所述第二预设模型输出的检测结果异常，且所述第一预设模型输出的检测结果正常，生成网络异常状态的一级报警消息。

具体的，服务器若判断获知所述第二预设模型输出的检测结果异常，且所述第一预设模型输出的检测结果正常，生成网络异常状态的一级报警消息。可参照上述实施例，不再赘述。

若所述第一预设模型输出的检测结果异常，且所述第二预设模型输出的检测结果正常，生成网络异常状态的二级报警消息。

具体的，服务器若判断获知所述第一预设模型输出的检测结果异常，且所述第二预设模型输出的检测结果正常，生成网络异常状态的二级报警消息。可参照上述实施例，不再赘述。

若所述第一预设模型输出的检测结果异常，且所述第二预设模型输出的检测结果也异常，生成网络异常状态的三级报警消息。

具体的，服务器若判断获知所述第一预设模型输出的检测结果异常，且所述第二预设模型输出的检测结果也异常，生成网络异常状态的三级报警消息。可参照上述实施例，不再赘述。

本发明实施例提供的视频监控网络的异常检测方法，能够合理地生成网络异常状态的分级报警消息。

图3为本发明实施例视频监控网络的异常检测方法总体流程示意图；具体说明可参照上述说明，不再赘述。

图4为本发明实施例检测视频流特征的方法流程示意图；具体说明可参照上述说明，不再赘述。

图5为本发明实施例检测非视频流特征的方法流程示意图；具体说明可参照上述说明，不再赘述。

图6为本发明实施例视频监控网络的异常检测终端结构示意图，如图6所示，本发明实施例提供了一种视频监控网络的异常检测终端，包括获取单元1、提取单元2、检测单元3和发送单元4，其中：

获取单元1用于解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；提取单元2用于分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；检测单元3用于根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；发送单元4用于将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。

具体的，获取单元1用于解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；提取单元2用于分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；检测单元3用于根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；发送单元4用于将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。

本发明实施例提供的视频监控网络的异常检测终端，通过把数据流量划分为视频流数据流量和非视频流数据流量，分别通过不同的预设模型进行检测，能够更准确地检测视频监控网络的网络异常状态。

本发明实施例提供的视频监控网络的异常检测终端具体可以用于执行上述各方法实施例的处理流程，其功能在此不再赘述，可以参照上述方法实施例的详细描述。

图7为本发明实施例视频监控网络的异常检测服务器结构示意图，如图7所示，本发明实施例提供了一种视频监控网络的异常检测服务器，包括接收模块1和生成模块2，其中：

接收模块1用于接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的；生成模块2用于根据所述检测结果，生成网络异常状态的报警消息。

具体的，接收模块1用于接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的；生成模块2用于根据所述检测结果，生成网络异常状态的报警消息。

本发明实施例提供的视频监控网络的异常检测服务器，通过接收、并检测该检测结果，生成网络异常状态的报警消息，能够准确检测视频监控网络的网络异常状态。

本发明实施例提供的视频监控网络的异常检测服务器具体可以用于执行上述各方法实施例的处理流程，其功能在此不再赘述，可以参照上述方法实施例的详细描述。

图8为本发明实施例提供的终端实体结构示意图，如图8所示，所述终端包括：处理器(processor)801、存储器(memory)802和总线803；

其中，所述处理器801、存储器802通过总线803完成相互间的通信；

所述处理器801用于调用所述存储器802中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：解析传输层协议，以获取视频监控网络的视频流数据流量；以及解析应用层协议，以获取视频监控网络的非视频流数据流量；分别提取所述视频流数据流量的视频流特征，以及所述非视频流数据流量的非视频流特征；根据预先建立的第一预设模型和第二预设模型，分别检测所述视频流特征和所述非视频流特征；将检测结果发送至服务器，以使所述服务器根据所述检测结果，生成网络异常状态的报警消息。

图9为本发明实施例提供的服务器实体结构示意图，如图9所示，所述服务器包括：处理器(processor)901、存储器(memory)902和总线903；

其中，所述处理器901、存储器902通过总线903完成相互间的通信；

所述处理器901用于调用所述存储器902中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的；根据所述检测结果，生成网络异常状态的报警消息。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的；根据所述检测结果，生成网络异常状态的报警消息。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：接收终端发送的检测结果；所述检测结果是终端根据预先建立的第一预设模型和第二预设模型，分别检测视频流特征和非视频流特征获取到的；根据所述检测结果，生成网络异常状态的报警消息。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的终端和服务器等实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上各实施例仅用以说明本发明的实施例的技术方案，而非对其限制；尽管参照前述各实施例对本发明的实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。