新一代視頻業務安全解決方案

華新海+賀鎮海+劉志軍

摘要：視頻業務互聯網化給視頻系統的存儲、傳輸、內容屬性、應用等各環節帶來了相應的信息安全風險。分析了傳統視頻業務安全方案的不足，并提出了新一代視頻業務安全解決方案，從根本上提升了視頻業務的系統安全性和內容安全性，有效解決了視頻業務運營所面臨的安全問題。此外，還展望了視頻業務安全的未來研究方向。

關鍵詞：視頻業務；安全運維；防篡改；安全云；圖像識別

1 視頻業務安全解決方案概述

隨著寬帶網絡和移動互聯網的發展以及信息技術（IT）的進步，視頻業務發展迅猛，其流量占據了網絡流量的70%以上，已經成為繼語音、短信、數據之后主要的電信基礎業務[1]。據預測，移動視頻流量在未來6年將增長24倍，2020年視頻流量在網絡數據消費的占比將會超過95%[2]。人們可以隨時隨地播放、下載視頻，視頻業務成為人們生活的重要組成部分。

視頻業務的高速發展也給視頻業務運營帶來了嚴重的安全風險：

（1）互聯網化的視頻業務必然帶來互聯網化的主機分布式部署，其中的能力設備服務于公眾，往往數量巨大，其安全管理和運維存在較大風險，每一個設計或運維缺陷產生的安全風險都會導致嚴重后果。

（2）如果播放內容的存儲設備遭到黑客入侵并篡改，將迅速傳播并在公眾輿論中造成惡劣影響，給業務的運營商帶來不可挽回的重大損失。

（3）視頻業務往往具有強大的主機服務性能和網絡帶寬。如果這些主機或網絡設備被黑客攻陷并植入后門，作為僵尸網絡的一部分通過發起分布式拒絕服務（DDoS）去攻擊其他服務，形成對互聯網環境的“反噬”，其危害無疑是巨大的。

（4）此外，緩存視頻和其他類型資源的內容分發網絡（CDN）作為資源加速設施，極大地節省了帶寬，提升了用戶體驗。但由于源站可能存在不良資源（病毒文件，違反法律或公序良俗的圖片、視頻等），使得CDN系統存儲并傳播了這些內容，同樣會導致不良影響并造成運營風險。

因此視頻業務安全解決方案對于保障視頻業務的運營極為重要。

2 傳統視頻業務安全方案及其不足

傳統視頻業務安全解決方案是參照傳統基礎電信業務安全解決方案來構建的。傳統的基礎電信業務從網絡層、系統層、應用層等方面實施安全策略：

（1）通過對組網實施安全域劃分，將各類網元劃分為Trust、DMZ、Un-Trust等區域，對不同等級區域實施不同的安全策略，盡可能在安全性、服務性能等要素間取得平衡。

（2）對系統和數據設備實施安全加固，包括安全補丁的安裝、合規配置、最小化服務、訪問控制設置等。

（3）通過定期安全掃描、滲透測試等強化系統的安全評估，通過安全開發流程避免應用層漏洞。

上述基礎手段有效地提升了系統安全性，降低系統被入侵的風險，但對視頻業務而言仍然存在如下不足和風險：

（1）對視頻業務中大量分布式主機安全管理能力不足。由于視頻業務往往主機數量巨大且分布多個地市，某一個點出現某種安全弱點都有可能造成不良后果。

（2）對入侵行為響應緩慢，無法有效監測控制、阻止、告警。

（3）無法對視頻業務中直播、點播的碼流實施有效監測控制，防止碼流在傳輸時被篡改造成惡劣影響。

（4）無法對設備中緩存的視頻、海報模板等內容實施安全監管，尤其互聯網應用服務（OTT）視頻業務中的播放素材可能來源于不同的內容提供商甚至個人用戶，其合法性需要得到快速有效地鑒別。

針對上述問題，我們提出了新一代視頻業務的安全解決方案。

3 新一代視頻業務安全解決方案

視頻業務一般性的組網分層架構如圖1所示，其中機頂盒、智能手機等終端通過寬帶、移動網絡等承載網接入到邊緣服務節點，完成認證并向用戶提供視頻業務；邊緣節點和中心區域的網元進行交互，實現如內容注入等業務流程。

相應的業務安全解決方案體系結構如圖2所示。其中，各主要組成部分為：

·主機安全運維——對視頻業務大量的服務節點和中心節點，從日志管理、入侵檢測、合規管理等方面提升系統基礎安全性。

·主機內容防篡改——在主機內核部署模塊只允許指定進程對指定目錄進行寫操作，其他非法進程的寫操作則直接被阻斷并告警。

·碼流防篡改——通過數字簽名方式檢測視頻流端到端的傳輸是否發生非法篡改。

·業務安全云——對服務節點可能面臨的Web攻擊、DDoS攻擊等安全威脅實施保護。

·內容安全（不良內容識別）——對緩存在服務節點的視頻、圖片、文本等內容實施掃描，識別其中的不良內容（如黃色、暴力等）以及可能攜帶的系統病毒，通知業務系統采取進一步處置措施。

3.1 主機安全運維

視頻業務往往需要在業務開展的地、市區域部署大量服務節點和若干中心節點。如前所述，大量的設備需要統一進行安全管理，避免因某個節點安全缺陷造成的風險。如圖3所示，這里引入了主機安全運維方案，從進程管理、日志管理、設備管理、安全合規管理等幾個方面提升視頻業務節點的安全性。

（1）進程和賬號管理：監測控制主機進程和賬號，如果出現異常變化，如新增非系統以及非業務的進程和賬號，立即生成日志并告警上報；

（2）日志管理和入侵檢測：統一存儲所有設備的日志信息，防止設備日志被非法刪除或篡改，并分析日志信息，發現入侵痕跡及時告警上報；

（3）設備管理三權分立：將主機管理權限設置為管理員、操作員和審計員。

·管理員包干管理若干節點主機并分配操作員，為其創建臨時運維賬號和操作時間窗，但管理員無操作設備權限；

·操作員在指定的時間窗口進行運維操作，超出時間則其賬號將被收回；

·審計員審計設備操作狀態，發現并處置安全隱患。

（4）安全合規加固管理：定期檢測系統的合規配置，將不合規部分予以告警上報。

通過這4個方面的安全運維管理，節點安全狀況從出現安全事件后被動采取措施，轉變為事前主動檢測、事中告警阻斷和事后回溯，有效提升了視頻服務節點安全管控能力。

3.2 主機內容防篡改

如上文所述，服務節點內容被惡意篡改后的傳播將導致惡劣的后果。傳統的防篡改方案基于比對，設定可信源后，定期將目標目錄下的文件和可信源依次比對。該方案的問題在于：

（1）比對過程極大消耗了系統資源，且視頻業務中服務節點分布各地，數量眾多，需要保持數據同步；

（2）如果可信源被攻破，則后續的比對都將失去意義；

（3）比對周期之間如果發生篡改，則非法篡改的內容依然會被迅速傳播，導致方案失效。

新一代主機內容防篡改方案在電子節目單（EPG）、CDN等服務節點部署基于內核的防篡改模塊，針對存儲的內容文件，依據預先配置的策略，只允許合法進程對相應目錄寫操作，其他進程均視為非法，并禁止增加、刪除、修改這些目錄下的文件。

對應的策略配置形如：

目錄1——進程1

目錄1——進程2

目錄2——進程3

……

其含義為對目錄1，進程1和進程2可做寫操作（如EPG模板更新、CDN內容注入等）；對目錄2，進程3可做寫操作。其他進程對目錄1、2的寫操作將被直接阻止，同時做告警操作。

對應于傳統比對方案，該方案的優勢在于：

（1）基于內核驅動模塊，執行過程對性能消耗幾乎可忽略不計；

（2）不需要設置可信源以及基于可信源的數據同步；

（3）發生的篡改被直接阻斷，不留下任何傳播惡意信息的時間窗口。

3.3 端到端的碼流防篡改

互聯網環境下，提供視頻業務的節點直接面向公眾傳送視頻流。為防止碼流在傳輸到終端的過程中被非法篡改，造成用戶無法收看正常的節目甚至接收惡意碼流，造成不良影響，引入端到端的碼流防篡改方案。

（1）在視頻源的后向增加簽名服務器，接收視頻流，根據加密算法生成簽名信息流；

（2）如果終端具有鑒別簽名信息流能力，則同時接受來自CDN節點的視頻流和來自簽名服務器的簽名流，并對視頻流計算簽名值和簽名流比對，如一致則接收到的視頻流合法，否則該視頻流非法，進行阻斷和告警處理；

（3）如果終端不具備鑒別簽名信息流的能力，則在CDN節點之后，視頻流接收終端之前的位置部署簽名檢測服務器，進行上述的類似檢測和告警。

采用如上的帶外方式和節點并行部署簽名服務器，在不改變現有組網的情況下，有效保證了端到端的碼流傳輸安全。

3.4 業務安全云

提供互聯網視頻服務的節點可能面臨的攻擊包括Web應用層攻擊、系統級0day攻擊、DDoS攻擊等。上文已提及基礎的安全加固、安全開發流程可一定程度緩解這些攻擊，但仍取決于系統研發人員和工程人員的安全意識和能力。

新一代視頻業務安全解決方案包括了業務安全云方案，在業務服務節點前置安全云，根據服務節點的特點搭載可選的Web應用防火墻、抗DDoS、定制抗特定0day漏洞、文件病毒掃描等功能，其架構如圖4所示。

（1）抗DDoS模塊可選用輕量級的基于規則的異常流量探測和實時阻斷方案，或者重量級的流量清洗和回注方案；

（2）針對服務節點中的EPG等Web應用防護，架設Web應用防火墻，抵御常見的Web攻擊；同時針對突發的0day漏洞，且后向服務節點無法及時升級補丁的場景，提供虛擬補丁引擎，針對漏洞特點編寫規則，以防火墻方式抵御入侵；

（3）如果服務節點和客戶端發生文件傳輸，則在傳輸過程中可以通過安全云實施病毒掃描，以阻止病毒文件的擴散。

業務安全云服務的具體部署特性如下：

（1）根據后向服務節點情況配置上述何種防護措施，如針對互聯網緩存系統可配置上述3種安全功能，針對EPG配置Web應用防火墻（WAF）&虛擬補丁以及輕量級的抗DDoS功能等；

（2）根據服務節點傳輸流量線性調整安全云服務的部署，配置足夠且可靠的安全服務能力，且不會因為其單點故障導致整個服務失敗。

3.5 內容安全

以上章節探討了視頻業務設備節點針對黑客攻擊的防御方案，可以歸結為系統安全問題。另一方面節點存儲的內容來源也會隨著業務發展而日趨多樣化，如多家內容提供商甚至個人用戶上傳的自制視頻內容等。盡管視頻服務運營商未必直接生產內容，但仍要對其存儲內容的合法性負有相應的責任。因此，需要一套高效可行的解決方案來鑒別視頻業務存儲內容的合法性，也就是內容安全問題。

不良內容的識別可針對圖像和視頻，如圖5所示，處理流程可分為如下步驟：

（1）服務節點下發文件采集策略，告知新增了哪些待判別的文件；

（2）根據策略向服務節點采集待判別文件并存儲在本地；

（3）對采集的視頻、圖像等資源實施判別；

（4）將判別出的不良文件信息上報到服務節點，待后者進一步處置，處置方式則包括文件刪除、通知管理員、記錄日志、降低源站信用等級等。

不良信息的判別采用基于大數據的機器學習方式。對圖像的判別分為離線、在線兩個階段[3]。

（1）離線：采集數十萬張以上的正負樣本，提取圖像特征值并入庫；

（2）在線：獲得待判別的目標圖像，提取特征數據，并依據上述特征值，利用機器學習算法判斷目標圖像非法的概率，概率大于一定閾值則判定為非法[4-5]。

不良圖片的判別準確率一方面依靠機器學習算法的選型和實現，另一方面則有賴于離線階段樣本的收集。此外，圖形處理器（GPU）運算技術的運用將大幅提升離線和在線運算的效率。

視頻文件的鑒別可通過抽幀方式轉化為圖片，再利用上述圖片判別方式進行判別。

4 視頻業務安全未來研究展望

隨著視頻業務的不斷發展，視頻業務安全研究的新課題也將不斷涌現。從目前來看，未來視頻業務安全研究將有如下兩方面的重要內容。

一方面是對視頻內容安全實時監測控制技術的研究。現有方案將視頻文件抽幀得到圖片實施判斷，如果圖片采樣率過高會消耗大量計算資源，采樣率過低則判斷精確度下降。隨著人工智能和機器學習的發展，未來針對視頻畫面、聲音的具體內容以及前后幀關聯，需要提出更加高效的實時算法去判斷視頻內容合法性，從根本上解決流媒體內容安全問題，確保視頻平臺作為社會傳媒核心系統的安全性，避免造成不良的社會和政治影響。

另一方面是大數據分析平臺在視頻業務安全中的應用研究。將網絡設備、主機、應用、安全設備等產生的所有網絡行為數據（含日志、流量等）進行收集，結合內部基礎信息，包括資產、組織架構、人員賬號、安全域等上下文信息，構建核心大數據分析算法模型，對復雜的網絡攻擊事件和內部違規行為進行深度挖掘，考量網絡、主機、應用、數據等各條安全防護措施[6]，度量視頻業務網絡安全一般狀況，同時預測業務安全潛在的安全攻擊等風險，及時發現現有視頻業務網絡及平臺安全解決方案所存在的問題，并提醒運維人員在哪一環節存在短板需要彌補[7-8]。

5 結束語

通過上述分析可知，對視頻業務而言，單一維度的安全防護措施無法全面解決安全風險，整個安全防御體系中任何一個點出現偏差都有可能功虧一簣。因此，我們只有從系統、存儲、傳輸、攻防手段、內容屬性等多個維度建立視頻業務的完整安全防護體系，才能從根本上解決互聯網環境下視頻業務的安全問題。

參考文獻

[1] 曹珈， 徐火順， 尹芹. 大視頻變革之路[J]. 中興通訊技術（簡訊）， 2016， （3）：19-23

[2] 華新海， 劉耀東， 徐火順. 下一代融合視頻業務架構與演進[J]. 電信科學， 2015， 31（4）：2-9. DOI： 10.11959/j.issn.1000-0801.2015094

[3] 陳驍， 金鑫， 譚曉陽. 基于軀干檢測的單人不良圖片識別[J]. 中國圖象圖形學報， 2016， 21（3）：348-355. DOI： 10.11834/jig.20160309

[4] LIU Y， LIN S， SHENG T， et al. Adult Image Detection Combining BoVW Based on Region of Interest and Color Moments[C]// IIP 2010：Intelligent Information Processing V， Uk：DBLP， 2010：316-325. DOI： 10.1007/978-3-642-16327-2_38

[5] YAN C C， LIU Y， XIE H， et al. Extracting Salient Region for Pornographic Image Detection[J]. Journal of Visual Communication & Image Representation， 2014， 25（5）：1130-1135. DOI：10.1016/j.jvcir.2014.03.005

[6] 楊曦， GUL J， 羅平. 云時代下的大數據安全技術[J]. 中興通訊技術， 2016， 22（1）：14-18. DOI： 10.3969/j.issn.1009-6868.2016.01.004

[7] CARDENAS A， MANADHAT P， RAJAN S. Big Data Analytics for Security[J]. IEEE Security & Privacy Magazine， 2013， 11（6）：74-76. DOI：10.1109/MSP.2013.138

[8] XU L， JIANG C， WANG J， et al. Information Security in Big Data： Privacy and Data Mining[J] Access IEEE， 2014， 2：1-28. DOI：10.1109/ACCESS.2014.2362522