本发明属于网络安全,涉及一种局域网内视频类设备自动扫描、漏洞评估方法与系统。
背景技术:
1、视频物联网是由视频设备(如摄像机等)和管理设备(如个人计算机、录像机、管理平台等)组成的视频网络,视频设备可以采集视频画面,并将视频画面发送给管理设备,由管理设备存储视频画面或者实时显示视频画面。
2、随着物联网技术的快速发展及公共安全、商业应用、智能家居和社交娱乐等各行各业需求业务快速拓展,局域网内的视频设备数量日益增长,其固件的安全性变得至关重要。现有视频类设备种类众多,管理体系不完整,设备固件可能存在未知或未修补的安全漏洞,成为网络安全的薄弱环节。如何快速、准确地识别这些设备,并对其性能和固件安全漏洞风险进行有效分析,成为了一个亟待解决的问题。
3、中国专利cn201310733694.5公开了一种视频文件扫描方法,包括:接收扫描指令,根据所述扫描指令,获取目标扫描路径,并结合预设筛选条件获取待扫描的目标目录集合;对所述目标目录集合中的各目标目录项进行扫描,获取所述各目标目录项中各视频文件的视频文件信息,所述视频文件信息包括所述各视频文件的文件名称、文件格式与文件路径;将扫描获取的各所述视频文件信息添加至数据库。该方法是针对现有技术中扫描视频文件需对设备存储中所有目录下的所有文件进行扫描,存在扫描时间长、占用系统资源高及造成设备性能降低的问题,在扫描开始前筛选确定待扫描的目标目录集合,限定在目标目录集合中进行视频文件的扫描获取视频文件信息,从而实现缩短扫描时间、降低系统资源的消耗、提高设备的运行的性能。
4、中国专利cn202311311083.1公开了一种基于主动扫描的视频网资产管理方法,包括:向所述待检测设备发送k个协议类型的探测报文,k为正整数,接收所述待检测设备针对所述k个协议类型的探测报文返回的至少一个响应报文;基于所有响应报文中的特征信息生成所述待检测设备的复核序列号;从所有响应报文中选取目标响应报文,并基于所述目标响应报文中的特征信息生成所述待检测设备的复核检测编码;其中,所述复核检测编码和/或所述复核序列号用于检测所述待检测设备的资产是否发生变更。该方法通过使用复核检测编码和复核序列号进行资产的复核,能够快速实现资产复核,获知资产变动情况,达到实现仿冒资产识别的目的;同时通过主动检测的方式,能够降低信息收集难度,减少工作量,保证信息的真实性和完整性,大大降低资产识别时所使用的人力物力,节约资源和时间。
5、在复杂的局域网环境中,视频类设备可能分布在不同的子网、vlan或物理位置,然而现有的漏洞扫描方法由于计算资源有限、扫描策略单一等原因,难以满足大规模、全面、高效的漏洞扫描需求,容易遗漏重要的漏洞信息,而且无法对这些漏洞风险进行客观评估。
技术实现思路
1、本发明的目的在于提供一种局域网内视频类设备自动扫描、漏洞评估方法与系统,能够快速准确地识别并定位各类视频设备,实现快速高效、准确、全范围、自动化地扫描识别局域网内视频类设备的固件漏洞风险,为管理员提供客观、全面的安全风险预警。
2、一方面,本发明提供了一种局域网内视频类设备自动扫描、漏洞评估方法,包括以下步骤:
3、(1)以arm架构云盒作为硬件平台,部署armbian操作系统,默认设置成自动获取局域网ip,然后接入待检测局域网;
4、(2)云盒向待检测局域网内的待检测设备发送探测报文,自动扫描出当前局域网内存在的视频类设备;
5、(3)提取扫描发现的局域网内视频类设备的固件信息,并进行安全漏洞扫描;
6、(4)对扫描发现的安全漏洞进行风险评估,计算公式如下:漏洞风险评分(vrs) =漏洞严重性评分(svs) × 漏洞可利用性评分(evs) × 漏洞影响范围评分(ivs);
7、(5)生成扫描报告并上传云端平台。
8、arm架构云盒具备强大计算能力。armbian的轻量级和稳定性确保系统能够在云盒上高效运行,同时其丰富的软件包和工具链为后续的漏洞扫描提供了强大的支持。云盒设置成自动获取局域网ip,当接入待检测局域网后,就能够自动分配到当前局域网的一个动态ip地址。
9、为能对发现的漏洞进行风险评估,创新引入一个计算公式,用于量化每个漏洞的等级和影响范围,为管理员提供客观、全面的安全风险预警。
10、作为上述局域网内视频类设备自动扫描、漏洞评估方法的进一步说明,所述安全漏洞风险评估的计算公式如下:漏洞风险评分(vrs) = 漏洞严重性评分(svs) × 漏洞可利用性评分(evs) × 漏洞影响范围评分(ivs) × 漏洞修复难度评分(rds) × 漏洞修复成本评分(rcs)。
11、通过增加引入漏洞修复难度和成本这2个因素,能够更全面地评估漏洞风险。
12、上述漏洞严重性评分(svs)表示漏洞的严重程度,根据漏洞可能导致的安全影响进行评分;漏洞可利用性评分(evs)表示漏洞被利用的可能性,根据包括漏洞公开程度、利用所需技术难度进行评分;漏洞影响范围评分(ivs)表示漏洞可能影响的设备或系统的范围,根据包括受影响的设备数量、系统重要性进行评分;漏洞修复难度评分(rds)表示修复该漏洞所需的技术难度和资源投入;漏洞修复成本评分(rcs)表示修复该漏洞所需的经济成本。其范围值均设定为1至10分,取整值。
13、具体的,关于漏洞严重性评分(svs),当漏洞几乎无法被利用,或者即使被利用,也不会对软件功能或数据安全造成任何实际损害,取1分;当漏洞可以被利用,但需要复杂的条件或特定环境,且造成的损害非常有限,通常不涉及敏感数据,取2分;当漏洞容易被利用,但在大多数情况下,其影响仍然较小,可能涉及非关键功能或少量非敏感数据,取3分;当漏洞可能导致轻微的数据泄露或功能受限,但不会立即危及系统稳定或用户隐私,取4分;当漏洞可能导致中等程度的数据泄露或功能受限,对用户隐私或系统稳定构成一定威胁,取5分;当漏洞可能导致重要数据泄露或关键功能受限,对用户隐私或系统稳定构成较大威胁,取6分;当漏洞可能导致大量数据泄露或系统功能严重受限,对用户隐私或系统稳定构成重大威胁,取7分;当漏洞可能导致系统崩溃或大规模数据泄露,严重影响用户隐私和系统稳定性,取8分;当漏洞可能导致灾难性的数据泄露或系统完全失效,对用户隐私和系统稳定性构成极端威胁,取9分;当漏洞极易被利用,且一旦被利用,将导致灾难性的后果,如数据永久丢失、系统永久损坏或大规模安全威胁,取10分。
14、关于漏洞可利用性评分(evs),当漏洞几乎不可能被利用,可能需要极其特殊的环境或未知的触发条件,且攻击者需要极高的技术能力,取1分;当漏洞利用需要复杂的环境设置或特定的配置,且攻击者需要高级的技术知识,取2分;当漏洞利用需要特定的条件,例如特定的用户行为或内部网络访问,取3分;当漏洞在特定条件下可以被利用,但需要一定的技术知识或用户交互,取4分;当漏洞利用需要基本的网络访问,但可能需要用户交互或特定的触发条件,取5分;当漏洞相对容易被利用,可能只需要基本的网络访问,但可能需要低级别的权限,取6分;当漏洞可以被利用,无需特定的用户交互,但可能需要低级别的权限或内部网络访问,取7分;当漏洞可以被远程利用,无需任何权限,但可能需要特定的触发条件,取8分;当漏洞极易被利用,无需任何权限或用户交互,可能通过互联网直接访问,取9分;当漏洞可以被任意远程攻击者利用,无需任何权限或用户交互,且攻击者可以立即获得完全控制,取10分。
15、关于漏洞影响范围评分(ivs),当漏洞可能影响到非核心的、边缘的功能模块,如日志记录或统计,取1分;当漏洞仅影响软件的一个小功能,如用户界面或帮助文档,取2分;当漏洞可能影响到某个具体的功能模块,如文件上传或邮件发送,取3分;当漏洞影响软件的关键业务功能,如支付处理或数据加密,取4分;当漏洞影响软件的多个功能,但在同一设备上,修复可能需要调整多个模块,取5分;当漏洞可能影响到系统软件的多个核心功能,如数据库管理或身份验证,取6分;当漏洞影响整个系统软件的功能,但不影响网络中的其他设备或服务,取7分;当漏洞的影响范围扩展到同一网络内的其他设备或服务,但可以通过隔离措施控制,取8分;当漏洞可能通过网络或集成接口影响到其他系统或服务,取9分;当漏洞可能影响到支持软件运行的底层基础设施,如服务器或网络设备,导致服务完全不可用,取10分。
16、关于漏洞修复难度评分(rds),当修复非常简单,可能只需要修改一个配置文件或更新一个包,且不需要广泛的测试,取1分;当修复需要一些技术知识,可能涉及代码更改,但不影响主要功能,且测试需求较低,取2分;当修复需要一定的技术知识,可能涉及代码更改,但影响较小的功能,且需要适度的测试,取3分;当修复需要深入理解系统架构,可能影响多个模块或功能,且需要广泛的测试,取4分;当修复需要深入理解系统架构,可能影响关键功能,且需要广泛的测试和验证,取5分;当修复复杂,可能需要重构部分系统,同时需要广泛的测试以避免回归错误,且可能影响多个功能,取6分;当修复极其复杂,可能需要重写关键组件,且存在高风险引入新的安全问题,需要全面的测试和验证,取7分;当修复非常困难,可能需要重写关键组件,且存在极高风险引入新的安全问题,需要全面的测试和验证,且可能需要长时间的研发周期,取8分;当修复极其困难,可能需要重写关键组件,且存在极高风险引入新的安全问题,需要全面的测试和验证,且可能需要长时间的研发周期,同时可能缺乏必要的技术支持或文档,取9分;当修复几乎不可能,可能因为缺乏源代码、文档或必要的技术支持,或者修复将导致系统功能的重大损失,取10分。
17、关于漏洞修复成本评分(rcs),当修复漏洞的成本极低,可能只需要简单的软件更新或配置修改,取1分;当修复需要一些时间和资源,但总体成本较低,可能涉及几个工程师的工作日,取2分;当修复需要定制的解决方案,成本适中,可能涉及项目团队的几周工作时间,取3分;当修复需要较长时间和较多资源,可能涉及项目团队的几个月工作时间,以及额外的测试和验证,取4分;当修复可能涉及到复杂的系统交互,需要跨团队协作和长时间的测试周期,取5分;当修复成本非常高,可能需要重新设计软件架构和开发新功能,涉及跨组织合作和长期项目管理,取6分;当修复可能要求重大的架构调整,需要大量的开发、测试和部署资源,可能影响项目进度;取7分;当修复成本极高,可能需要重新设计硬件或软件架构,甚至召回产品,涉及法律咨询和客户赔偿,取8分;当修复可能要求整个系统的重建,涉及巨大的财务和时间成本,以及潜在的业务损失,取9分;当修复可能因漏洞的复杂性和影响范围,导致无法在当前架构下进行有效修复,可能需要完全废弃现有系统,重新开发;取10分。
18、作为上述局域网内视频类设备自动扫描、漏洞评估方法的进一步说明,所述探测报文的协议类型包括onvif、dhcp、lldp。通过这些协议,能够自动发现局域网内的视频类设备。
19、onvif(open network video interface forum,开放式网络视频接口论坛)是一种全球性的开放式行业标准,专注于定义网络视频设备(如ip摄像头、网络录像机、视频管理平台等)之间的互操作性规范,通过onvif协议,云盒可以自动发现网络上的onvif兼容设备,然后再把发现的设备信息通过互联网上报到云端平台,还能拉流实时播放视频,这样就完成了云盒在局域网内自动扫描视频类设备的部署。基于onvif标准的设计确保了设备间的互操作性,使得系统能够接纳各种符合标准的视频设备,无需为每种设备定制接口或驱动,大大增强了系统的兼容性和可扩展性,为所述探测报文的最优协议类型。
20、dhcp(dynamic host configuration protocol,动态主机配置协议)是rfc 1541(已被rfc 2131 取代)定义的标准协议,该协议允许服务器向客户端动态分配 ip 地址和配置信息。
21、lldp(link layer discovery protocol,链路层发现协议)是一种数据链路层协议,是一种能够使网络中的设备互相发现并通告状态、交互信息的协议。网络设备可以通过在本地网络中发送lldpdu(link layer discovery protocol data unit)来通告其他设备自身的状态。
22、云盒接入待检测局域网后,会开始通过发送探测报文,自动扫描出当前局域网内存在的视频类设备。这些视频类设备包括摄像头、nvr(即网络视频录像机,是网络视频监控系统的存储转发部分,与视频编码器或网络摄像机协同工作,完成视频的录像、存储及转发功能),而摄像头包括国标和非国标的球型摄像头、半球型摄像头、枪机型摄像头,几乎涵盖了所有类型的视频类设备,扫描发现更全面。
23、作为上述局域网内视频类设备自动扫描、漏洞评估方法的进一步说明,所述固件信息包括固件版本、制造商、设备型号。
24、扫描发现局域网内视频类设备后,通过snmp、ssh等协议获取设备的固件信息。snmp(simple network management protocol,简单网络管理协议)原名叫做sgmp(simplegateway monitoring protocol,简单网关监控协议),是专门设计用于在 ip 网络管理网络节点(服务器、工作站、路由器、交换机及hubs等)的一种标准协议,它使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。ssh(secure shell,安全外壳协议)是一种在不安全网络上用于安全远程登录和其他安全网络服务的协议,利用 ssh 协议可以有效防止远程管理过程中的信息泄露问题。
25、另一方面,本发明还提供了一种局域网内视频类设备自动扫描、漏洞评估系统,包括:
26、硬件平台,以arm架构云盒为基础,部署armbian操作系统;
27、信息收集模块,负责扫描发现局域网内视频类设备,并收集局域网内视频类设备的性能参数和固件信息;
28、漏洞扫描模块,负责对局域网内视频类设备固件进行漏洞扫描;
29、数据存储模块,用于记录已知的视频类设备固件信息;
30、计算分析模块,负责将扫描发现与数据存储模块记录的视频类设备固件信息进行对比,确定漏洞的等级和影响范围,根据安全漏洞风险评估生成漏洞扫描报告。
31、结合网络嗅探、设备标识符解析等技术,系统能够快速准确地识别并定位各类视频设备。通过信息收集模块的智能化识别,系统能自动获取设备性能参数和固件信息等,还能获取包括ip地址、mac地址等的其他设备信息,为后续的自动配置奠定基础。
32、作为上述局域网内视频类设备自动扫描、漏洞评估系统的进一步说明,所述性能参数包括视频流帧率、分辨率、编码效率。根据需要,可通过实时监控和历史数据分析,全面、深入地分析视频设备的性能,为管理员提供有价值的性能优化建议。
33、作为上述局域网内视频类设备自动扫描、漏洞评估系统的进一步说明,所述漏洞扫描模块采用基于图论的漏洞扫描模型和/或动态模糊测试方式对局域网内视频类设备固件进行漏洞扫描。
34、在armbian系统的云盒上,利用强大的计算资源构建基于图论的漏洞扫描模型。该模型将固件的功能模块看作图中的节点,模块间的调用关系看作边。通过深度优先搜索(dfs)或广度优先搜索(bfs)算法遍历固件的所有功能模块和调用路径,发现潜在的漏洞。
35、采用动态模糊测试方法对固件进行漏洞扫描,通过生成大量异常输入数据,模拟用户对固件的非法操作,观察固件的异常响应和崩溃情况,从而发现固件中的安全漏洞。armbian系统的灵活性和稳定性为动态模糊测试提供了有力的支持。
36、作为上述局域网内视频类设备自动扫描、漏洞评估系统的进一步说明,所述漏洞扫描报告包括漏洞类型、等级、描述、影响范围以及修复建议。
37、系统维护一个全面的漏洞数据库,记录已知的固件漏洞信息。在扫描过程中,将发现的漏洞与数据库中的信息进行比对,确定漏洞的等级和影响范围。根据漏洞风险评分,系统生成详细的漏洞扫描报告,管理员可以根据报告中的信息及时修复设备漏洞,提高网络安全性。随着视频类设备固件的更新和漏洞的不断发现,系统将提供实时更新功能,确保漏洞扫描数据库始终保持最新状态。同时,可引入自动化响应机制,根据漏洞的严重程度自动采取相应的措施,如发送告警、自动修复等。
38、本发明的有益效果:
39、1、本发明利用armbian系统作为云盒的基础操作系统,为漏洞扫描系统提供稳定、高效的运行环境;云盒arm架构实现了集中化的管理和分布式扫描,提高了扫描系统的可扩展性和灵活性。
40、2、本发明通过自动扫描与智能识别技术,大幅度减少了人工参与设备发现、识别和配置的过程,使视频类设备能够快速、准确地接入网络,显著提升了部署速度和准确性。
41、3、本发明通过引入漏洞风险评估计算公式,能够为管理员提供客观、全面的安全风险预警,指导其进行及时、有效的漏洞修复。
1.一种局域网内视频类设备自动扫描、漏洞评估方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的局域网内视频类设备自动扫描、漏洞评估方法,其特征在于,所述安全漏洞风险评估的计算公式如下:漏洞风险评分(vrs) = 漏洞严重性评分(svs) ×漏洞可利用性评分(evs) × 漏洞影响范围评分(ivs) × 漏洞修复难度评分(rds) × 漏洞修复成本评分(rcs)。
3.根据权利要求2所述的局域网内视频类设备自动扫描、漏洞评估方法,其特征在于,所述漏洞严重性评分(svs)表示漏洞的严重程度,根据漏洞可能导致的安全影响进行评分;所述漏洞可利用性评分(evs)表示漏洞被利用的可能性,根据包括漏洞公开程度、利用所需技术难度进行评分;所述漏洞影响范围评分(ivs)表示漏洞可能影响的设备或系统的范围,根据包括受影响的设备数量、系统重要性进行评分;所述漏洞修复难度评分(rds)表示修复该漏洞所需的技术难度和资源投入;所述漏洞修复成本评分(rcs)表示修复该漏洞所需的经济成本。
4.根据权利要求1所述的局域网内视频类设备自动扫描、漏洞评估方法,其特征在于,所述探测报文的协议类型包括onvif、dhcp、lldp。
5.根据权利要求1所述的局域网内视频类设备自动扫描、漏洞评估方法,其特征在于,所述视频类设备包括摄像头、nvr;所述摄像头包括国标和非国标的球型摄像头、半球型摄像头、枪机型摄像头。
6.根据权利要求1所述的局域网内视频类设备自动扫描、漏洞评估方法,其特征在于,所述固件信息包括固件版本、制造商、设备型号。
7.根据权利要求1-6任一所述的局域网内视频类设备自动扫描、漏洞评估系统,其特征在于,包括:
8.根据权利要求7所述的局域网内视频类设备自动扫描、漏洞评估系统,其特征在于,所述性能参数包括视频流帧率、分辨率、编码效率。
9.根据权利要求7所述的局域网内视频类设备自动扫描、漏洞评估系统,其特征在于,所述漏洞扫描模块采用基于图论的漏洞扫描模型和/或动态模糊测试方式对局域网内视频类设备固件进行漏洞扫描。
10.根据权利要求7所述的局域网内视频类设备自动扫描、漏洞评估系统,所述漏洞扫描报告包括漏洞类型、等级、描述、影响范围以及修复建议。
