全媒體監管平臺網絡行為安全預警系統設計與實現

杜雨瀟

(西安航空職業技術學院，航空管理工程學院， 陜西，西安 710089)

0 引言

隨著全媒體的快速發展，監管平臺需要應對多媒體形態、多傳播方式、多終端服務形式以及各種網絡安全問題，如何實現對全媒體的網絡行為做出有效的預警，設計出基于網絡行為的預警與響應系統，既能實現對網絡數據的監測，又能在網絡出現異常行為時做出預警，從而保證全媒體的全流程和全業態正常運行的系統。為此研究引入了信息安全等級保護制度，目的是為了保障信息網絡的安全，促進全媒體信息化建設健康發展。

1 網絡行為預警系統的設計需求

1.1 基礎設施搭建

在進行監管平臺網絡行為安全預警系統設計時，需進行基礎設施以及平臺的搭建工作。根據設計目標和設計要求合理的規劃設施的使用，包括系統所需的顯示器、網路線路、云平臺等。在構建云平臺時，要滿足自動化智能化的管理和維護子系統的設計需求，統一合理的構建管理平臺和存儲平臺。

1.2 內容傳播預警

監管平臺網絡行為安全預警系統需對全媒體實施全方面的預警，并對網絡數據和傳播內容進行監測以及具備對各種傳播路徑進行指揮、干預和信息的發布。其中傳播內容包括節目內容、直播內容、廣告內容等媒體內容。通過設計的系統實現智能化的預警監管模式，并對全媒體內容進行監管，以便于能夠掌握傳播內容的導向，避免因為傳播內容的原因，導致監管平臺出現紕漏。

1.3 滿足各種傳播路徑

全媒體的傳播路徑包括：IPTV、微信、微博、直播軟件、手機、電視、廣播等，各種傳播形式差異很大，對于網絡安全的預警有很大難度。因此設計的網絡行為安全預警系統須滿足以上傳播路徑的傳播需求，并能對其實施網絡安全的預警[2]。

1.4 具有很強的網絡安全性

作為系統設計中的重要需求，網絡安全與否將直接影響系統的有效性。網絡安全主要包含：(1)數據的機密性,通常設計數據的加密功能，以防止數據被黑客攻擊導致出現泄漏和被分析；(2)數據的完整性,數據信息的有效是建立在數據完整的前提下，以此系統設計時防止數據信息被破壞；(3)數據的保密性,網絡安全主要體現在數據的保密性，只有擁有權限的管理人員才能進行相關的操作；(4)數據認證,在出現數據信息糾紛時，可以通過原始數據進行認證，從而避免出現抵賴情況的發生；(5)網絡運行穩定,網絡安全的平穩運行是網絡安全的前提，也能對其他影響網絡安全的因素產生影響，因此保證網絡穩定是系統設計的基礎。

2 監管平臺網絡行為安全預警系統設計原理

2.1 系統設計原理

監管平臺網絡行為安全預警系統設計與實現，是通過對數據進行采集并加以分析和評估網絡中存在的安全威脅，并對安全威脅發生地進行精確分析計算，找出可能出現威脅的位置，假如有病毒或者木馬有網絡入侵的異常行為，監管平臺的系統會啟動預警程序在病毒未形成攻擊威脅時，將系統設置的閾值或者特定的數據庫與發生的數據進行對比分析，以此判定其網絡行為是否存在安全問題。如果對比分析顯示為異常，系統程序就會啟動預警權限以阻斷異常的網絡行為，實現對網絡安全的保護。系統同時會對網絡安全造成的損失進行評價和記錄處理，以便于對此次網絡行為進行分析，從而避免類似的情況再次發生。預警系統的設計原理就是通過對可能發生的異常行為進行快速的數據分析，從而挖掘出可能存在的網絡安全威脅，再向系統發送預警信號來阻擊病毒或者其他威脅的入侵。

2.2 網絡入侵概述

網絡入侵是指按照一定時間和空間順序，并在一定范圍之內展開入侵行為。通常情況下它們的入侵可以概括為3個階段：第一階段，利用網絡接口并通過常用的媒體傳播方式來尋找攻擊的目標；第二階段，通過對收集的數據分析，查找系統的薄弱點，并作為入侵的突破口；第三階段，通過系統漏洞入侵后，破壞系統的防御措施并竊取網絡數據。監管平臺網絡行為安全預警系統就是在病毒入侵前進行監測和預警，將病毒阻擊在前兩個階段當中，防止對系統造成破壞。

2.3 系統預警工作流程

監管平臺對網絡安全進行監管，通過采集網絡數據分析存在的威脅，對其進行位置和攻擊目標的判斷并回傳給系統，系統對回傳的信息進行對比分析，檢測是否對網絡安全產生損壞，并發出威脅的預警信號，最后對破損的部位進行修復，防止病毒進一步的入侵。

3 網絡行為安全預警系統設計與實現

3.1 邏輯架構

為了保障全媒體監管平臺實現全范圍、全過程、數據深度化以及網絡安全的目標，研究設計的邏輯架構是基于云計算而搭建而成的。利用云計算中的虛擬化技術與云安全ACL技術將架構中的各子系統進行相關性的橫向共享，利用基礎信息庫、非結構化數據倉庫、大數據挖掘技術，實現全媒體的預警、輿情分析以及內容違規預警監管職能。研究通過將數據流各層進行融合，其中包括采集層綜合處理層、展示運用層、資源池以及共享庫的超融合，從而組成新的邏輯架構。此架構利用交互層為用戶提拱不同的業務子模塊的使用選擇，同時實現了在業務層面上的硬件設施整合與各軟件系統的融合[3]。系統邏輯架構如圖1所示。

圖1 系統邏輯架構示意圖

3.1.1 系統數據采集層設計

系統架構中采集層的作用是采集文本、圖像或音視頻數據信息并進行下載和存儲。采集層的原理是將范圍內的數據前段進行采集和爬蟲應用采集再將其組成，具體是通過提取各類數據、音視頻編解碼、信號解憂、爬蟲搜索采集以及數據解析技術完成對全媒體數據的采集工作，也是系統架構中的第一層。

3.1.2 資源池設計與實現

虛擬化云存儲資源作為云計算平臺中底層資源的重要組成部分，虛擬化云存儲利用FC-SAN架構把所有的磁盤擬化成統一的存儲形式，在設計時要滿足對業務需求的靈活拓展，從而控制存儲的空間對存儲設備或陳列的虛擬化設置，構建出統一的存儲中心，從而實現對各類數據和文件的存儲。

虛擬化網絡資源的構建方式是二層扁平化組網，其結構分為接入、匯聚以及核心三層，分別對前端業務網絡、存儲網絡和管理網絡實行功能性的定位。通過設計資源池預警系統，實現對全媒體的各項運行指標的監控，并通過合理的預警方式實現對網絡安全的監控和調度[4]。

3.1.3 系統共享庫設計與實現

共享庫模塊在網絡安全預警系統中主要的功能是匯集全媒體傳播中的所有輸入數據信息，并將其規范化的進行存儲和輸出，此時輸出的數據是標準的，為下層綜合處理層提供數據基礎。共享庫的設計包括各類數據庫，例如業務數據庫、專家數據庫、信息數據庫以及視聽備案庫，通過對數據庫進行分類，實現對全媒體各類信息的共享。

3.1.4 系統綜合處理zz層設計與實現

系統綜合處理層的設計是基于共享庫的標準數據知識樣本基礎之上實現的，通過對全媒體傳播路徑的監測，將網絡行為異常的傳播內容或者是威脅進行提取和收藏取證，為后期監管平臺的判定提供數據支持，系統實施綜合處理后，利用人工智能技術將很大程度上減少監管人員的工作量，同時對違規行為也起到了警示的作用。綜合處理層中的人工智能技術主要包括人臉識別技術。音頻對比技術、敏感圖像/視頻識別技術、語音識別技術、不良文字分類技術以及大戶數據分析技術，以此作為網絡行為的預警。

3.1.5 系統展示運用層設計與實現

展示運用層通過對不同路徑的傳播內容進行數據監管，并為平臺監管人員提供違規判定的顯示界面，以此對網絡安全作出預警。另外一種是利用云計算功能，對大數據進行深入的挖掘和分析，通過生成的數據統計表，實現對數據關聯性、類別以及歷史演變的分析，從而為監管工作提供智能技術支持。

3.2 用戶行為分析模塊設計

3.2.1 用戶行為分析模塊原理

作為系統的基礎模塊，用戶行為分析原理主要是針對流量的分析，各層協議通過實時和非實時的方式實現。該模塊對采集的網絡基礎流量信息進行存儲和分析，從結構上分為四層結構即數據鏈層、網絡層、傳輸層、應用層，用戶行為分析模塊將各層的特征進行聯系，從而為對象進行不同化的分析。

3.2.2各層的流量分析

(1) 數據鏈路層流量分析

數據鏈路層流量的分析主要包括數據鏈路層數據包的解析以及數據鏈路層流量分析的實現。其中數據鏈路層數據包的解析時，利用包頭的類型字段區進行種類的區分，同時將抓獲包的時間和大小進行標記；數據鏈路層流量分析的實現是通過服務器在數據庫將讀取的數據進行統計分析，最終呈現在網頁上。

(2) 網絡層的流量分析

對于該層的數據包解析是將網絡協議經過篩除去掉以太網包頭后，如果沒有上層信息則完成數據的解析，反之則繼續解析。網絡層流量分析通過進入IPv6協議進行流量分析，并采用2種操作方式實現，一種是通過點擊鏈路層的分析結果鏈接，另一種是點擊主界面的IPv6協議。

(3) 傳輸層的流量分析

傳輸層的數據包在解析時,首先分析鏈路層和網絡層的包頭信息,然后將包頭剝離后再對傳輸層數據包進行解析。其具體的工作流程是：用戶進入該界面后建立臨時表，通過對用戶是否改變約束條件分析，進行流量的分析并顯示相應的統計結果，用戶繼續點擊用戶流量分析鏈接，以此循環。

(4) 應用層的流量分析

應用層流量分析可通過2條不同的路徑實現。一種是通過點擊上層流量分析結果的鏈接；另外一種是在主界面中點擊開始分析模塊進行分析。

3.3 使用行為分析子系統設計與實現

通過構建網絡使用行為模型，對用戶的行為進行有效的分析的同時，再根據用戶的當前行為構建出行為的模型。使用行為分析子系統包括聚類分析和關聯分析兩部分，對信息流進行采集、提取特征值、對用戶的行為進行分析預測，從而預防網絡攻擊。使用行為分析子系統的數據流如圖2所示。

圖2 使用行為分析子系統的數據流圖

3.3.1 聚類分析模塊設計與實現

聚類分析是發生在行為特征被獲取后，系統會進行數據的挖掘工作，其中第一步驟就是聚類分析。系統進行數據的挖掘前需將信息轉化成使用行為表示形式，將用戶的數據和數據點進行一一的對應設置，并進行Point存儲。聚類分析的具體流程是：開始進入計算初始聚類中心，將點劃入距離最近的類，在數據樣本中尋找具有最遠距離的點并將其從所屬中排出劃入到孤立點集后，進行半徑閾值的重心計算，如果孤立點到聚類中心的距離小于半徑閾值，那么將此點從孤立點排出劃入類，再將各類中距離小于半徑閾值的點劃分至本類中，重新計算聚類中心。

3.3.2 關聯分析模塊設計與實現

系統獲得了使用行為序列之后，開始進行挖掘處理以得到頻繁序列，也是行為模式。研究利用算法和itemset進行行為序列的保存，類itemset的定義為：

Public class itemset

{

Public:

//刪除項集

Vector〈int〉*deleteItemSets(Vector〈int〉*itemsets,int minSup,int maxSup);

boolean contain(int item);//是否包含item

void updateSup(Vector〈int〉*itemsets,vetor〈int〉*items);

//更新支持度

int getSup();//獲取支持度

}

3.4 使用行為預測子系統設計與實現

攻擊行為檢測分析研究設計的系統會對不同形式的攻擊行為進行檢測和預警，其中常見的2種攻擊行為是協議異常安全預警和流量異常安全預警。

(1) 協議異常安全預警

協議異常安全預警的實現，主要是對采集的數據進行協議的解析和判斷并對不合規范的數據進行針對性監測。研究設計的檢測模型，通過構建協議規則將有關的協議規則存儲至規則庫，如果檢測的協議和數據庫中的規則出現差異，系統將會對數據進行重點防護。

(2) 流量安全預警

該功能模塊的實現是通過對端口進行掃描，并根據相關的制定原則進行端口開合的處理。首先要判斷端口的開合狀態，在鑒定了端口的閉合情況后，就可利用流量安全預警模塊對端口進行防護掃描，通過掃描分析網絡流量與正常流量對比，檢測出網絡的攻擊行為，從而實現攻擊行為的檢測分析。

3.5 使用行為特征提取子系統

系統利用格式分析處理模塊，將數據項中的數據進行分開，而分開后的特征數據可作為網絡使用行為特征提取的依據。系統再根據這些提取的依據進行數據的統計分析和處理，以此形成特征值，具體的使用行為特征值提取子系統數據流如圖3所示。

圖3 使用行為特征值提取子系統數據流圖

3.6 預警及響應子系統

3.6.1 攻擊行為預警

該模塊的設計是對用戶進行行為的鑒定，以此對攻擊行為進行預警，當模塊確定了攻擊的行為時，則會以該行為信息進行統籌分析，從而生成安全預警報告，具體數據流圖如圖4所示。

圖4 攻擊行為預警數據流圖

3.6.2 策略響應模塊

該模塊的實現主要是在攻擊將要發生或者是正在發生時，通過對信息進行分析和檢測，以此來保證策略數據的準確，并做好記錄日志。如果沒有查詢到相應的響應策略，需將情況報告管理，為其提供提醒措施。

3.7 系統監控網絡模塊設計與實現

監控網絡模塊的設計主要是對全媒體中所有傳播路徑進行數據的監聽，從而保證控制網路系統能夠有足夠的數據流量進行訪問。該模塊設計時需滿足可以對特定的IP地址進行訪問，對高層協議進行分析和過濾，對網絡運行情況進行查詢，從而實現監控網絡模塊的設計。

3.8 系統后臺服務管理器

全媒體監管平臺網絡預警系統是由硬件資源和軟件資源共同組成的，其中后臺服務管理其作為系統重要組成部分，在數據信息的保存、應急處理、指揮調度等方面發揮著重要的作用。系統通過對后臺服務管理器的設計，實現了全媒體數據信息的統計、查詢和分析，為監管平臺網絡安全的管理提供支持。

4 網絡安全預警系統實現

研究采用的是Windows Server 2008作為系統的操作平臺，硬件設備CPU為因特爾酷睿i5，主頻為3.0 GHz，存儲軟件選用的是SQL Server 2015,通過對設計的安全預警的實驗測試，系統能夠準確的找到入侵根源，并入侵對象實施預警，同時系統自動的對入侵進行處理，從而驗證了安全預警系統的準確性和有效性[5-6]。

5 總結

全媒體發展態勢良好，但對于網絡行為的安全預警工作仍然是監管平臺的首要任務。研究設計了基于網絡行為的安全預警系統，系統采用的云計算技術能夠對網絡行為進行監控和分析，及時的發現入侵的根源并做出相應的預警反應，以此保證網絡的平穩運行，為全媒體監管平臺的監管工作提供支持。