Page 38 - 网络电信2017年4月刊下
P. 38
解决方案
其含义为对目录1,进程1和进程2可做写操作(如EPG模板 图4 业务安全云架构示意
更新、CDN内容注入等);对目录2,进程3可做写操作。其他进
程对目录1、2的写操作将被直接阻止,同时做告警操作。 5.内容安全
以上章节探讨了视频业务设备节点针对黑客攻击的防御
对应于传统比对方案,该方案的优势在于: 方案,可以归结为系统安全问题。另一方面节点存储的内容来
(1)基于内核驱动模块,执行过程对性能消耗几乎可忽略 源也会随着业务发展而日趋多样化,如多家内容提供商甚至个
不计; 人用户上传的自制视频内容等。尽管视频服务运营商未必直接
(2)不需要设置可信源以及基于可信源的数据同步; 生产内容,但仍要对其存储内容的合法性负有相应的责任。因
(3)发生的篡改被直接阻断,不留下任何传播恶意信息的 此,需要一套高效可行的解决方案来鉴别视频业务存储内容的
时间窗口。 合法性,也就是内容安全问题。
3.端到端的码流防篡改 不良内容的识别可针对图像和视频,如图5所示,处理流程
互联网环境下,提供视频业务的节点直接面向公众传送视 可分为如下步骤:
频流。为防止码流在传输到终端的过程中被非法篡改,造成用 (1)服务节点下发文件采集策略,告知新增了哪些待判别
户无法收看正常的节目甚至接收恶意码流,造成不良影响,引 的文件;
入端到端的码流防篡改方案。 (2)根据策略向服务节点采集待判别文件并存储在本地;
(1)在视频源的后向增加签名服务器,接收视频流,根据 (3)对采集的视频、图像等资源实施判别;
加密算法生成签名信息流; (4)将判别出的不良文件信息上报到服务节点,待后者
(2)如果终端具有鉴别签名信息流能力,则同时接受来自 进一步处置,处置方式则包括文件删除、通知管理员、记录日
CDN节点的视频流和来自签名服务器的签名流,并对视频流计算 志、降低源站信用等级等。
签名值和签名流比对,如一致则接收到的视频流合法,否则该 不良信息的判别采用基于大数据的机器学习方式。对图像
视频流非法,进行阻断和告警处理; 的判别分为离线、在线两个阶段[3]。
(3)如果终端不具备鉴别签名信息流的能力,则在CDN节 (1)离线:采集数十万张以上的正负样本,提取图像特征
点之后,视频流接收终端之前的位置部署签名检测服务器,进 值并入库;
行上述的类似检测和告警。 (2)在线:获得待判别的目标图像,提取特征数据,并依
采用如上的带外方式和节点并行部署签名服务器,在不改 据上述特征值,利用机器学习算法判断目标图像非法的概率,
变现有组网的情况下,有效保证了端到端的码流传输安全。 概率大于一定阈值则判定为非法[4-5]。
4.业务安全云 不良图片的判别准确率一方面依靠机器学习算法的选型和
提供互联网视频服务的节点可能面临的攻击包括Web应用层 实现,另一方面则有赖于离线阶段样本的收集。此外,图形处
攻击、系统级0day攻击、DDoS攻击等。上文已提及基础的安全 理器(GPU)运算技术的运用将大幅提升离线和在线运算的效
加固、安全开发流程可一定程度缓解这些攻击,但仍取决于系 率。视频文件的鉴别可通过抽帧方式转化为图片,再利用上述
统研发人员和工程人员的安全意识和能力。 图片判别方式进行判别。
新一代视频业务安全解决方案包括了业务安全云方案,在
业务服务节点前置安全云,根据服务节点的特点搭载可选的Web 图5 视频服务节点内容安全示意
应用防火墙、抗DDoS、定制抗特定0day漏洞、文件病毒扫描等
功能,其架构如图4所示。
(1)抗DDoS模块可选用轻量级的基于规则的异常流量探测
和实时阻断方案,或者重量级的流量清洗和回注方案;
(2)针对服务节点中的EPG等Web应用防护,架设Web应用
防火墙,抵御常见的Web攻击;同时针对突发的0day漏洞,且后
向服务节点无法及时升级补丁的场景,提供虚拟补丁引擎,针
对漏洞特点编写规则,以防火墙方式抵御入侵;
(3)如果服务节点和客户端发生文件传输,则在传输过程
中可以通过安全云实施病毒扫描,以阻止病毒文件的扩散。
业务安全云服务的具体部署特性如下:
(1)根据后向服务节点情况配置上述何种防护措施,如针
对互联网缓存系统可配置上述3 种安全功能,针对EPG配置Web
应用防火墙(WAF)&虚拟补丁以及轻量级的抗DDoS功能等;
(2)根据服务节点传输流量线性调整安全云服务的部署,
配置足够且可靠的安全服务能力,且不会因为其单点故障导致
整个服务失败。
60 网络电信 二零一七年四月
