[发明专利]一种用于堡垒机录屏审计的视频分类方法和系统

说明书

本发明公开了一种用于堡垒机录屏审计的视频分类方法，包括：客户端使用屏幕抓取工具对其屏幕进行实时录制，对录制的视频进行处理，将处理得到的视频进行编码压缩以得到视频流，并将该视频流发送到服务端，服务端依次将来自客户端的视频流解码得到视频，并将解码后的视频输入训练好的时间片段网络TSN中，以得到该视频对应的特征向量，服务端依次将得到的视频流中所有视频对应的所有特征向量输入训练好的长短时记忆网络LSTM中，以得到视频分类结果。本发明能够解决现有审计方法产生大量的人力物力消耗，对返回的审计信息也无法有效识别和审计，因此无法满足轻量级、自动化与实时性需求的技术问题。

技术领域

本发明工控安全领域，更具体地，涉及一种用于堡垒机录屏审计的视频分类方法和系统。

背景技术

堡垒机，也叫运维安全审计系统，是在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责的系统。堡垒机综合了核心系统运维和安全审计管控两大主干功能，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。通过这些措施，运维安全审计系统能够拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误操作和非法操作进行审计监控，以便事后责任追踪。

当前成熟的堡垒机在字符型会话审计中，已能达到快速为管理员提供有效信息的程度，但在图形审计上，只能借助视频回放进行信息溯源；现有的视频回放审计方法主要依靠管理人员依据录屏时间对录屏进行检索，并对检索到的视频逐一观看，确定事故发生时的录像。

然而，上述视频回放审计方法存在一定的缺陷：它会产生大量的人力物力消耗，并且对返回的审计信息也无法有效识别和审计，无法满足轻量级、自动化与实时性需求。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种用于堡垒机录屏审计的视频分类方法和系统，其目的在于，解决现有审计方法产生大量的人力物力消耗，对返回的审计信息也无法有效识别和审计，因此无法满足轻量级、自动化与实时性需求的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种用于堡垒机录屏审计的视频分类方法，包括以下步骤：

(1)客户端使用屏幕抓取工具对其屏幕进行实时录制，对录制的视频进行处理，将处理得到的视频进行编码压缩以得到视频流，并将该视频流发送到服务端。

(2)服务端依次将来自客户端的视频流解码得到视频，并将解码后的视频输入训练好的时间片段网络TSN中，以得到该视频对应的特征向量；

(3)服务端依次将步骤(2)得到的视频流中所有视频对应的所有特征向量输入训练好的长短时记忆网络LSTM中，以得到视频分类结果；

优选地，步骤(1)中对录制的视频进行处理，包括对该视频进行打水印和/或加时间戳处理；

对视频进行编码压缩采用的是H264编码方式。

本步骤中将视频流发送到服务端是采用实时消息协议RTMP。

优选地，TSN网络是通过以下步骤训练得到的：

(2-1)获取用于运维安全审计系统的录屏数据集，将该录屏数据集按照8:2的比例划分为训练集和测试集，并为训练集中的每个样本添加对应的真实分类标签；

(2-2)对TSN网络的参数进行初始化，权重参数的初始值是使用标准差为0.1的截断式正态分布输出的随机值，偏置参数的初始值设为0，初始学习率lr＝0.01，采用阶梯性的学习策略，权重gamma＝0.1，采样的帧数是300帧，特征维度是2048个；采用的聚合函数是top-k池化(pooling)，其中k的取值是5；