视频侦查-监控主机自动识别技术研究

xlysoft

【文章来源：效率源科技（微信号）】微信号：xiaolvyuantech
编者按：本期，数据恢复四川省重点实验室科研人员重点介绍一种自动识别视频监控主机的技术方案，在视频侦查实战中，该技术可助力一线干警快速识别监控主机，完成视频监控录像的提取。


        当前，视频侦查技术在刑事案件侦破中的重要性日趋凸显，已经成为继刑事技术、行动技术、网侦技术之后侦查破案的第四大技术支撑，是否拥有一个完整、高效的视频侦查实战应用平台，已经成为衡量相关部门办案实力的重要指标，也是一个国家刑事侦查技术是否与时俱进的重要体现。因此，国家对视频侦查建设异常重视，不仅面向全国公安刑事技术部门明确提出了视频侦查装备的配备要求，同时，还要求各省市县级公安部门要打造适用于当地及其下属部门的视频侦查实战应用平台。

【视频侦查实战应用平台有力打击违法犯罪】

1、简介
       网络提取功能是视频侦查过程中最重要、最实用的功能之一，也被称为视频采集中最重要的一个环节，与监控视频采集、监控视频恢复、视频万能播放、网络提取、视频检索、图像增强、地图标注、非线编、案件管理等一起，组成强大的视频侦查作战系统，为公安一线办案提供强大助力。而网络提取功能之所以如此受欢迎，主要有三方面原因：
1.1 不拆卸监控硬盘 使用网络提取功能下载监控主机视频，不需要拆卸监控主机，只需要插上网线即可。
1.2 不询问管理员 以前到了现场，办案人员需要询问管理员网络的网段、手动配置本机IP，往往会浪费大量时间。网络提取功能，插上网线后，就能自动识别网络的网段、网关，并自动配置VIP系统设备的IP地址，省略掉繁琐的问答。
1.3 不用手工输IP地址 自动配置好IP地址后，VIP系统会自动在网络内搜索、探测监控主机，办案人员只需要动动鼠标、摸摸屏幕即可从监控主机中下载需要的视频。免去了传统网络提取中输入IP地址、端口号等麻烦的工作。
       目前，市面上有少量面向视频侦查行业的NVR、DVR视频监控主机网络提取设备，但存在如下问题：必须手工输入NVR、DVR监控主机的IP地址、端口号，且不能保证每个IP地址和端口号都能取得。同时，也不能准确地得知当前网络中有多少NVR、DVR设备。研究一种自动识别视频监控主机的技术，对提高视频侦查业务能力非常重要。

【自动识别视频监控主机可提高网络提取效率】

2.技术方案
       据数据恢复四川省重点实验室科研人员介绍，现在可通过协议探测、SDK搜索、穷举探测三种技术方案达到监控主机自动识别的目的。
2.1 技术方案一：协议探测
       协议探测是指通过TCP、UDP协议向局域网内广播特定的数据包，监控主机在收到特定数据包后会返回监控主机的品牌、型号、IP地址、端口、类型、通道数等数据，非监控主机则不会返回任何数据或返回错误数据，通过判断返回的数据即可确定哪些IP是监控主机。
        这个方案类似老师点名，老师要知道小明在不在，只需要喊“小明”，如果小明在则会回答“在”，否则收不到任何答复。
        各监控厂商的探测协议都是非公开的，要拿到这些协议还需要一番周折。推荐使用厂商测试程序 + 网络嗅探工具（如:著名的WinPcap）的方案分析探测协议。
       这里以海康监控主机探测协议分析为例。通过使用海康测试程序的搜索主机功能，利用WinPcap抓取返回的数据包，并经过多次分析、发包尝试后，最后确定海康监控主机的探测协议包如下（部分机型）：

      其中：
      FFFFFFFFFFFF为接收包的Mac地址。
      BCEE7BE30291为发送包的Mac址，在反馈时则为接收包的Mac地址，所以要将此地址替换为本机的Mac地址
      直接向局域网广播此包即可实现海康监控主机的探测功能。
      协议探测方案优势在于探测速度快，如果局域网内有多个监控主机，可以实现批量探测；劣势在于探测协议不公开，分析协议是个技术活。
2.2 技术方案二：SDK搜索
       在使用协议探测不可行的情况下，可以使用SDK搜索方案。目前很多监控厂商都提供公开的SDK包用于客户的二次开发工作，部分厂商在SDK包中提供了相应的监控主机搜索函数。我们可以利用这些搜索函数，实现对应品牌监控主机的探测。
      下面以安联锐视和沃世达监控主机的搜索函数为例：

【安联锐视】

【沃世达】

        SDK搜索方案优势在于SDK包获取容易，探测准确，兼容性强，劣势在于不同的监控厂商必须要用对应的SDK搜索函数进行探测。
2.3 技术方案三：穷举探测
       穷举探测方案通过建立各监控厂商的默认端口数据库，在探测时穷举网络内的所有IP，用telnet协议测试数据库中的默认端口是否打开，如果打开则认为是对应的监控主机，否则不是。
      此方案的优势在于实现简单，劣势在于准确性不高，因为部分软件会使用监控主机的默认端口、部分监控机在部署时也可能修改默认端口。
3.小结
       本技术方案优点在于：整个过程中，不需要进行人工操作，只需将取证工具插上网线，就能通过协议探测、SDK搜索、穷举探测三个技术方案自动完成监控主机识别，省时省力，提高取证效率。目前，该技术方案已经运用效率源视频侦查拳头产品“VIP视频侦查单兵系统”中，感兴趣的读者欢迎一同探讨。