網(wǎng)絡(luò)流量監(jiān)測(cè)在高校“校園貸”預(yù)警中的應(yīng)用研究

何亞南 袁建明 朵云峰 劉發(fā)穩(wěn)

摘要：目前，大部分?jǐn)?shù)據(jù)的傳輸和使用都是通過網(wǎng)絡(luò)數(shù)據(jù)的形式進(jìn)行傳輸，網(wǎng)絡(luò)數(shù)據(jù)的傳輸形成了網(wǎng)絡(luò)流量，為研究高校“校園貸”的狀況，對(duì)網(wǎng)絡(luò)流量進(jìn)行采集，從而分析提取網(wǎng)絡(luò)數(shù)據(jù)來(lái)實(shí)現(xiàn)流量監(jiān)測(cè)和控制越來(lái)越重要。該文介紹了“校園貸”借貸平臺(tái)的分類及特點(diǎn)，通過對(duì)網(wǎng)絡(luò)流量采集、網(wǎng)絡(luò)流量分析及網(wǎng)絡(luò)行為管理等技術(shù)進(jìn)行研究，為網(wǎng)絡(luò)流量監(jiān)測(cè)應(yīng)用于高校“校園貸”風(fēng)險(xiǎn)預(yù)警提供了理論依據(jù)。

關(guān)鍵詞：校園網(wǎng);校園貸;流量監(jiān)測(cè);流量分析

中圖分類號(hào)：TP393.1? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）16-0055-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

1 背景

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)信貸平臺(tái)的出現(xiàn)，高校非法“校園貸”亂象頻發(fā)，面向大學(xué)生群體的校園網(wǎng)絡(luò)信貸給高校造成了嚴(yán)重的影響。伴隨著互聯(lián)網(wǎng)規(guī)模的不斷擴(kuò)大，使現(xiàn)有的校園網(wǎng)絡(luò)系統(tǒng)具有更高的混亂性、復(fù)雜性和危險(xiǎn)性，尤其當(dāng)下，網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，做好高校“校園貸”的預(yù)警，用科技手段引導(dǎo)學(xué)生合理使用信貸平臺(tái)，打擊非法借貸平臺(tái)已經(jīng)刻不容緩。在校園網(wǎng)網(wǎng)絡(luò)安全管理中，對(duì)校園網(wǎng)的流量采集、監(jiān)測(cè)與分析是校園網(wǎng)安全管理的一個(gè)重要手段，它可以為高校網(wǎng)絡(luò)管理員的決策提供重要的數(shù)據(jù)依據(jù)，通過對(duì)校園網(wǎng)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)，掌握學(xué)生使用網(wǎng)絡(luò)信貸平臺(tái)的態(tài)勢(shì)，對(duì)高風(fēng)險(xiǎn)信貸行為和人員做出預(yù)警，降低學(xué)生盲目使用信貸平臺(tái)造成的危害。

2 “校園貸”的主要平臺(tái)介紹

根據(jù)百度百科的定義，“校園貸”是指在校大學(xué)生向正規(guī)金融機(jī)構(gòu)或者其他借貸平臺(tái)借錢的行為[1]。“校園貸”嚴(yán)格來(lái)說可以分為以下五種類型：

（1） 消費(fèi)金融公司：消費(fèi)金融公司是經(jīng)銀監(jiān)會(huì)批準(zhǔn)，主要目的是以消費(fèi)為主，為個(gè)人提供貸款的非銀行金融機(jī)構(gòu)，如“趣分期”“任分期”等，部分消費(fèi)貸款還支持低額度的現(xiàn)金提現(xiàn)。

（2）傳統(tǒng)電商平臺(tái)：天貓、淘寶、京東等這些大型電商平臺(tái)為消費(fèi)者提供借貸服務(wù)，如京東白條、支付寶提供的螞蟻花唄和螞蟻借唄等。

（3） P2P貸款平臺(tái)：P2P網(wǎng)貸平臺(tái)是個(gè)人通過網(wǎng)絡(luò)平臺(tái)進(jìn)行相互借貸的行為，用于大學(xué)生助學(xué)和創(chuàng)業(yè)。由于國(guó)家監(jiān)管要求，下發(fā)了《關(guān)于進(jìn)一步加強(qiáng)校園貸規(guī)范管理工作的通知》，包括名校貸在內(nèi)的大多數(shù)正規(guī)網(wǎng)貸平臺(tái)暫停開展高校借貸業(yè)務(wù)，隨之該業(yè)務(wù)壓縮直到完全歸零。

（4） 銀行機(jī)構(gòu)：各大銀行面向特定的高校大學(xué)生提供的校園貸款產(chǎn)品，如中國(guó)銀行的“中銀E貸”、招商銀行的“大學(xué)生閃電貸”等，主要通過線下方式進(jìn)行借貸。

（5） 民間借貸平臺(tái)：也稱為線下私貸或高利貸，它的主體是民間放貸機(jī)構(gòu)和放貸人，它通常會(huì)進(jìn)行虛假宣傳、線下簽約、做非法中介、收取超高費(fèi)率，同時(shí)存在暴力催收等問題，受害者通常會(huì)遭受巨大財(cái)產(chǎn)損失甚至威脅自身安全。這種類型的貸款也正是造成“網(wǎng)貸”悲劇的罪魁禍?zhǔn)住?/p>

通過對(duì)“校園貸”的研究，可以歸納其具有以下三個(gè)特征：1）在校大學(xué)生是主要的借貸主體;2）借貸門檻低;3）信息不對(duì)稱。

3 流量采集與分析

3.1 網(wǎng)絡(luò)流量采集

網(wǎng)絡(luò)流量監(jiān)測(cè)的首要任務(wù)是流量采集，通過流量采集為流量分析提供數(shù)據(jù)來(lái)源，網(wǎng)絡(luò)流量采集主要是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中數(shù)據(jù)流的特性和變化進(jìn)行收集，以此來(lái)掌握整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況，目前常用的網(wǎng)絡(luò)采集分析主要有以下四種技術(shù)[2]：

1）偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對(duì)數(shù)據(jù)包進(jìn)行分析;

2）基于SNMP協(xié)議的MIB庫(kù)訪問模式;

3）使用PROBE技術(shù)對(duì)IP網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行采集;

4）使用NETFLOW技術(shù)進(jìn)行網(wǎng)絡(luò)流量數(shù)據(jù)采集[3]。

為了降低流量監(jiān)控系統(tǒng)對(duì)現(xiàn)有校園網(wǎng)的影響，網(wǎng)絡(luò)流量的采集可使用旁路部署的模式，在校園網(wǎng)與互聯(lián)網(wǎng)連接的端口上設(shè)置端口鏡像，將出入校園網(wǎng)的流量鏡像一份到網(wǎng)絡(luò)流量采集平臺(tái)。平臺(tái)可使用winpcap或libpcap等主流流量嗅探庫(kù)進(jìn)行實(shí)時(shí)采集，其中，WinPcap是一款應(yīng)用比較普遍的采集平臺(tái)，它使用的技術(shù)是偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對(duì)數(shù)據(jù)包進(jìn)行分析。

WinPcap為Win32應(yīng)用程序提供服務(wù)，包含一個(gè)NPF的最優(yōu)化的內(nèi)核模式驅(qū)動(dòng)，還包含與libpcap平臺(tái)兼容的一套用戶級(jí)函數(shù)庫(kù)，使得它在處理較大函數(shù)庫(kù)的時(shí)候，只需簡(jiǎn)單編譯就可以立即在Win32平臺(tái)下使用，考慮到網(wǎng)絡(luò)監(jiān)聽的重要性，該平臺(tái)還支持特殊的系統(tǒng)調(diào)用函數(shù)，保證采集數(shù)據(jù)的完整性，它還可以向網(wǎng)絡(luò)發(fā)送原始數(shù)據(jù)包并捕獲原始數(shù)據(jù)包，通過過濾器對(duì)捕獲的數(shù)據(jù)包進(jìn)行過濾處理，同時(shí)能對(duì)網(wǎng)絡(luò)通信進(jìn)行統(tǒng)計(jì)。

3.2 網(wǎng)絡(luò)流量分析

網(wǎng)絡(luò)流量對(duì)網(wǎng)絡(luò)空間的各項(xiàng)活動(dòng)進(jìn)行真實(shí)的反饋，網(wǎng)絡(luò)中用戶的行為、網(wǎng)絡(luò)的運(yùn)行狀況、網(wǎng)絡(luò)的流量趨勢(shì)預(yù)測(cè)、優(yōu)化網(wǎng)絡(luò)配置、控制網(wǎng)絡(luò)資源以及網(wǎng)絡(luò)中的安全事件監(jiān)測(cè)都可以通過網(wǎng)絡(luò)流量分析來(lái)實(shí)現(xiàn)。高校網(wǎng)絡(luò)管理員可以通過網(wǎng)絡(luò)流量分析來(lái)發(fā)現(xiàn)潛在的網(wǎng)貸用戶及網(wǎng)貸行為。

網(wǎng)絡(luò)流量分析的分類方法有很多種，按照分析流量的時(shí)間不同，網(wǎng)絡(luò)流量分析可以分為在線識(shí)別和線下識(shí)別;按照流量的范圍不同，網(wǎng)絡(luò)流量分析可以分為全網(wǎng)識(shí)別和非全網(wǎng)識(shí)別。按照分析對(duì)象的不同，專網(wǎng)流量分析分為針對(duì)用戶終端的流量分析和針對(duì)主干設(shè)備的流量分析[4]。

在線識(shí)別是在流量產(chǎn)生時(shí)就對(duì)流量進(jìn)行識(shí)別和分析，它的特點(diǎn)是實(shí)時(shí)性較強(qiáng)，所以在算法處理速度和設(shè)備的性能方面有較高的要求，適用于關(guān)鍵信息的分析;線下識(shí)別是將待識(shí)別的流量保存到存儲(chǔ)設(shè)備后再進(jìn)行分析處理，它的特點(diǎn)是能夠提取更多的流量信息，識(shí)別準(zhǔn)確率更高，但不足之處是不具備實(shí)時(shí)性，適用于對(duì)流量進(jìn)行全面回溯和深度分析。

全網(wǎng)流量識(shí)別是指流量分析對(duì)所有的流量都進(jìn)行分析，非全網(wǎng)識(shí)別是只分析部分流量。全網(wǎng)流量分析受限于算法處理速度和設(shè)備性能影響，通常也只對(duì)特定的協(xié)議（例如DNS，SSH，HTTP等協(xié)議）、服務(wù)類型（例如郵件、游戲、流媒體等服務(wù)）、應(yīng)用類型（如QQ、微信、淘寶等應(yīng)用）進(jìn)行分析[5]。

本文主要針對(duì)“校園貸”平臺(tái)的網(wǎng)絡(luò)流量進(jìn)行分析，采用專網(wǎng)的全網(wǎng)流量開展在線識(shí)別，包括主干設(shè)備的用戶終端的流量，擬使用開源工具YARA來(lái)進(jìn)行分析識(shí)別校園網(wǎng)絡(luò)，YARA工具幫助校園網(wǎng)絡(luò)管理員方便識(shí)別惡意軟件樣本，基于文本、二進(jìn)制模式或其他匹配信息創(chuàng)建惡意軟件描述信息。YARA的每一條描述或規(guī)則都由一系列字符串和一個(gè)布爾型表達(dá)式構(gòu)成，并闡述其邏輯。YARA規(guī)則可以提交給文件或在運(yùn)行進(jìn)程，以幫助研究人員識(shí)別其是否屬于某個(gè)已進(jìn)行規(guī)則描述的惡意軟件家族[6]。

3.3 校園貸行為管理

做好高校“校園貸”監(jiān)測(cè)及預(yù)警工作，需要在校園網(wǎng)絡(luò)環(huán)境中部署一系列的網(wǎng)絡(luò)行為管理工具，將其作為探針把數(shù)據(jù)傳給中心端，然后由中心端統(tǒng)一進(jìn)行流量采集、流量分析、行為分析等內(nèi)容，采集師生在社交網(wǎng)絡(luò)、搜索引擎活動(dòng)中的數(shù)據(jù)，并進(jìn)行數(shù)據(jù)挖掘和數(shù)據(jù)分析，將可能發(fā)生的不良網(wǎng)貸消滅在萌芽狀態(tài)。

首先，需要選擇合適的網(wǎng)絡(luò)行為管理工具，采用旁路方式接入核心網(wǎng)絡(luò)設(shè)備，采用端口鏡像技術(shù)對(duì)經(jīng)過核心網(wǎng)絡(luò)設(shè)備的上下行端口的流量信息進(jìn)行采集、分析;其次，對(duì)網(wǎng)絡(luò)行為管理工具的以下功能進(jìn)行配置、驗(yàn)證、測(cè)試[7]：

1）對(duì)各種搜索引擎中的關(guān)鍵字過濾并記錄。針對(duì)主流的搜索引擎配置“搜索引擎關(guān)鍵字審計(jì)與過濾”，發(fā)現(xiàn)用戶有關(guān)于貸款或借貸平臺(tái)的搜索行為，采集搜索記錄。

2）URL內(nèi)容的過濾、記錄。記錄用戶上網(wǎng)中的URL的題目、具體URL、端口、時(shí)間、協(xié)議，形成URL識(shí)別庫(kù)。

3）文件下載內(nèi)容過濾。對(duì)FTP、HTTP的上傳、下載內(nèi)容進(jìn)行追蹤、限速或者阻斷。

4）發(fā)帖內(nèi)容記錄及關(guān)鍵字過濾。涉嫌網(wǎng)貸詞匯、非法關(guān)鍵字、政治詞匯等內(nèi)容發(fā)布到各種論壇、微博或者貼吧上，勢(shì)必給高校帶來(lái)不良影響，過濾非法關(guān)鍵字并審計(jì)記錄具體內(nèi)容。

5）即時(shí)通訊內(nèi)容管理。利用對(duì)QQ、微信等主流即時(shí)通訊軟件的外發(fā)信息關(guān)鍵字識(shí)別、阻斷、記錄，避免線下貸款的產(chǎn)生。

6）郵件內(nèi)容記錄及過濾。對(duì)Web-Mail、POP3、SMTP等進(jìn)行監(jiān)測(cè)，并對(duì)用戶收發(fā)郵件的內(nèi)容、標(biāo)題、附件、時(shí)間等元素進(jìn)行記錄和過濾。

7）其他外發(fā)內(nèi)容的管理。針對(duì)Telnet、SSH等傳統(tǒng)協(xié)議的外發(fā)內(nèi)容進(jìn)行關(guān)鍵字識(shí)別、阻斷、記錄。

此外，網(wǎng)絡(luò)行為管理工具必須支持多種應(yīng)用，而不應(yīng)該僅局限于網(wǎng)絡(luò)層和傳輸層的網(wǎng)絡(luò)標(biāo)準(zhǔn)，它應(yīng)該能夠檢測(cè)并追蹤動(dòng)態(tài)端口的分配情況，具備自動(dòng)識(shí)別使用同一端口的不同協(xié)議的功能。

3.4 校園網(wǎng)流量監(jiān)測(cè)系統(tǒng)架構(gòu)

通過對(duì)網(wǎng)絡(luò)流量采集與分析，構(gòu)建校園網(wǎng)流量監(jiān)測(cè)系統(tǒng)架構(gòu)，通過網(wǎng)絡(luò)采集與分析等技術(shù)手段，監(jiān)測(cè)校園網(wǎng)絡(luò)中的數(shù)據(jù)流量以此判斷校園網(wǎng)數(shù)據(jù)流量是否[8]。從結(jié)構(gòu)上來(lái)看，該流量監(jiān)測(cè)系統(tǒng)由服務(wù)器端口和客戶端口兩部分組成，客戶端口負(fù)責(zé)異常網(wǎng)絡(luò)流量的采集與處理，而服務(wù)器端口負(fù)責(zé)正常網(wǎng)絡(luò)流量的采集與處理[9];從業(yè)務(wù)的處理、計(jì)算和分析來(lái)看，該流量監(jiān)測(cè)系統(tǒng)主要采用B/S架構(gòu)模式，通過這種架構(gòu)，客戶端無(wú)須進(jìn)行維護(hù)，只需通過WWW瀏覽器來(lái)實(shí)現(xiàn)，這樣降低了開發(fā)難度，同時(shí)減少了維護(hù)成本。以此提出高校校園網(wǎng)流量監(jiān)測(cè)系統(tǒng)的整體架構(gòu)如下圖所示：

4 結(jié)束語(yǔ)

鑒于“校園貸”的對(duì)象主要是在校大學(xué)生，借貸門檻低，容易出現(xiàn)信息不對(duì)稱情況，對(duì)高校“校園貸”網(wǎng)絡(luò)流量監(jiān)測(cè)及預(yù)警的研究，有利于降低惡劣“校園貸”事件發(fā)生的概率。通過網(wǎng)絡(luò)流量采集、網(wǎng)絡(luò)流量分析、網(wǎng)頁(yè)過濾、關(guān)鍵字過濾等技術(shù)手段規(guī)避校園網(wǎng)絡(luò)環(huán)境中的借貸事件，為廣大師生提供一個(gè)健康安全的校園網(wǎng)絡(luò)環(huán)境。通過網(wǎng)絡(luò)行為管理工具，高校相關(guān)部門可實(shí)時(shí)掌控學(xué)校網(wǎng)絡(luò)情況，為各項(xiàng)決策提供信息支持，實(shí)現(xiàn)對(duì)高校“校園貸”行為的有效控制和管理，使“網(wǎng)貸”悲劇不再發(fā)生。

參考文獻(xiàn)：

[1] 陳劍陽(yáng).高校“校園貸”的現(xiàn)狀、成因與對(duì)策[J].浙江理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2020，44（5）：566-571.

[2] 趙海琳.校園網(wǎng)絡(luò)流量監(jiān)測(cè)分析與研究[D].長(zhǎng)沙：湖南大學(xué)，2009.

[3] 牛麗君，郭宇明，朱曉梅.網(wǎng)絡(luò)管理中流量采集技術(shù)的應(yīng)用[J].計(jì)算機(jī)與信息技術(shù)，2006（11）：53-55.

[4] 趙雙，陳曙暉.基于機(jī)器學(xué)習(xí)的流量識(shí)別技術(shù)綜述與展望[J].計(jì)算機(jī)工程與科學(xué)，2018，40（10）：1746-1756.

[5] 張建平，李洪敏，賈軍，等.一種基于流量與日志的專網(wǎng)用戶行為分析方法[J].信息安全研究，2020，6（9）：783-790.

[6] 陳本剛.基于成本敏感在線主動(dòng)學(xué)習(xí)的惡意網(wǎng)頁(yè)檢測(cè)方法[D].太原：中北大學(xué)，2020.

[7] 周濤，楊翠翠，呂美敬.高校網(wǎng)絡(luò)輿情監(jiān)測(cè)及預(yù)警研究-中央財(cái)經(jīng)大學(xué)黨建和思想政治工作理論研究課題資助[J].課程教育研究：學(xué)法教法研究，2018，5（11）：233-234.

[8] 周康樂.基于數(shù)據(jù)挖掘的校園流量監(jiān)測(cè)系統(tǒng)設(shè)計(jì)[J].現(xiàn)代電子技術(shù)，2020，43（21）：59-63.

[9] 劉慶.基于時(shí)間序列的網(wǎng)絡(luò)異常流量發(fā)現(xiàn)模型研究與實(shí)現(xiàn)[D].包頭：內(nèi)蒙古科技大學(xué)，2010.

【通聯(lián)編輯：謝媛媛】