PDF《新一代视频业务安全解决方案》

(2) 如果终端具有鉴别签名信息 流能力, 则同时接受来自 CDN 节点的 视频流和来自签名服务器的签名流, 并对视频流计算签名值和签名流比 对, 如一致则接收到的视频流合法, 否则该视频流非法, 进行阻断和告警 处理;

(3) 如果终端不具备鉴别签名信 息流的能力, 则在 CDN 节点之后, 视 频流接收终端之前的位置部署签名 检测服务器, 进行上述的类似检测和 告警. 采用如上的带外方式和节点并行部署签名服务器, 在不改变现有组 网的情况下, 有效保证了端到端的码 流传输安全. 3.4 业务安全云 提供互联网视频服务的节点可能面临的攻击包括 Web 应用层攻击、 系统级0day 攻击、DDoS 攻击等.上文已提及基础的安全加固、 安全开发 流程可一定程度缓解这些攻击, 但仍 取决于系统研发人员和工程人员的 安全意识和能力. 新一代视频业务安全解决方案包括了业务安全云方案, 在业务服务 节点前置安全云, 根据服务节点的特 点搭载可选的Web 应用防火墙、抗DDoS、 定制抗特定 0day 漏洞、 文件病 毒扫描等功能, 其架构如图

4 所示. (1)抗DDoS 模块可选用轻量级的基于规则的异常流量探测和实时 阻断方案, 或者重量级的流量清洗和 回注方案;

(2)针对服务节点中的EPG 等Web 应用防护,架设Web 应用防火墙, 抵御常见的 Web 攻击;

同时针对 突发的 0day 漏洞, 且后向服务节点无 法及时升级补丁的场景, 提供虚拟补 丁引擎, 针对漏洞特点编写规则, 以 防火墙方式抵御入侵;

(3) 如果服务节点和客户端发生 文件传输, 则在传输过程中可以通过 安全云实施病毒扫描, 以阻止病毒文 件的扩散. 业务安全云服务的具体部署特性如下: (1) 根据后向服务节点情况配置 上述何种防护措施, 如针对互联网缓 存系统可配置上述

3 种安全功能, 针对EPG 配置Web 应用防火墙(WAF) &

虚拟补丁以及轻量级的抗 DDoS 功 能等;

(2) 根据服务节点传输流量线性 调整安全云服务的部署, 配置足够且 可靠的安全服务能力, 且不会因为其 单点故障导致整个服务失败. 3.5 内容安全 以上章节探讨了视频业务设备节点针对黑客攻击的防御方案, 可以 归结为系统安全问题.另一方面节 点存储的内容来源也会随着业务发 展而日趋多样化, 如多家内容提供商 甚至个人用户上传的自制视频内容 等.尽管视频服务运营商未必直接 生产内容, 但仍要对其存储内容的合 法性负有相应的责任.因此, 需要一 套高效可行的解决方案来鉴别视频 业务存储内容的合法性, 也就是内容 安全问题. 不良内容的识别可针对图像和视频, 如图

5 所示, 处理流程可分为 如下步骤: (1)服务节点下发文件采集策略, 告知新增了哪些待判别的文件;

(2) 根据策略向服务节点采集待 判别文件并存储在本地;

(3)对采集的视频、图像等资源实施判别;

(4) 将判别出的不良文件信息上 报到服务节点, 待后者进一步处置, 处置方式则包括文件删除、 通知管理 技术广角 华新海 等 新一代视频业务安全解决方案 ZTE TECHNOLOGY JOURNAL

3 D:\MAG\2017-04-133/VOL23\Wide2.VFT――4PPS/P

59 2017 年4月第23 卷第

2 期Apr.

2017 Vol.23 No.2 中兴通讯技术 员、 记录日志、 降低源站信用等级等. 不良信息的判别采用基于大数据的机器学习方式.对图像的判别 分为离线、 在线两个阶段[3] . (1)离线:采集数十万张以上的正负样本, 提取图像特征值并入库;