高職校園網數據流量收集與入侵檢測系統設計

范曙宇

（大理農林職業技術學院 云南 大理 671003）

0 引言

近年來，我國互聯網技術持續快速發展，高職院校信息化建設步伐逐漸加快，良好的高職校園網給學生的學習、生活、娛樂帶來了許多便利和全新體驗。根據《中國互聯網絡狀況統計報告》顯示，截至2022年6月，我國網民規模為10.51億，同時，報告表明我國網絡用戶的規模仍然保持著穩定增長態勢[1]。伴隨著5G的日益成熟和網絡強國戰略的實施，互聯網在未來很長一段時間內仍然是計算機領域的發展熱點。互聯網發展帶來的大量數據，為人們日常生活帶來便利性的同時，也使得網絡用戶的安全性遭受到了前所未有的挑戰，特別是以集合青少年群體、崇尚時尚先鋒的校園網，成為網絡安全的重災區，頻繁的攻擊數量和不斷改進的攻擊模式，使得教學部門、學校行政部門，以及學生正常學習、生活均遭遇了極大的影響[2]。如：2021年香港中文大學因運用視頻會議軟件Zoom引起蠕蟲病毒感染，使得一大批校園服務應用癱瘓。與普通企業局域網或社區網絡特點相比，校園網主要是由基礎設施、安防設備、網絡設備和應用軟件等共同組合而成，校園網的服務與校內、校外相互連通，每日會產生大量的交流信息數據，在各種新型技術發展的影響下，數量流量中潛藏的漏洞為入侵行為創造了機遇，加之，校園網本身表現出寬帶規模大、資源共享度高等特點，一旦出現入侵事件，就非常容易導致全局受到影響，從而造成整個網絡運作受損[3]。因此，在校園網安全架構中，構建起全新的數據流量收集和入侵檢測系統，對促進網絡良性發展和保護校園資源有著重要科學實踐價值。

1 基于NetFlow技術下數據流量收集設計

1.1 數據捕獲

校園網數據流量收集與入侵檢測的核心在于數據的捕獲，通過IP包提取重點數據，從而實現對入侵行為的準備、快速識別[4]。NetFlow技術下，數據流量的捕獲過程主要通過以下步驟來實現：

步驟1 基于NetFlow技術的函數包對校園網覆蓋范圍內的主機網卡進行確定，每確定一個網卡將其添加到本地管理表中。

步驟2 基于網卡本地管理表對剛添加進入列表的網卡進行查詢，若未獲得查詢結果，表明添加不成功，可重新進行查找和添加。

步驟3 若成功查詢到添加網卡，NetFlow技術隨后將網卡鏈表進入步驟4；若打開不成功，則跳轉至步驟2繼續查找。

步驟4 將網卡中捕捉的網卡數據包成功打開之后，捕獲的工具均能夠配合網絡包對數據包Libpcap中的pcap_dispatch函數實施捕獲，成功捕獲的數據包根據偽代碼執行操作。即在成功完成數據包捕獲操作，并獲取相關數據包后，將數據包發送到回調函數，并繼續后續運行。代碼為pcap_dispatch(pcap_t *p,int cnt,pcap_handler callback,u_char *user)。

步驟5 在實施數據包捕獲運作期間，將自動測試網卡是否正常運行，確保網卡能夠支撐整個數據捕獲過程。若測定結果顯示網卡處于異常情況，則返回步驟1；對成功獲取的數據包進行存儲。

1.2 數據存儲

本文研究根據本次數據流量收集和檢測需求，從保障數據存儲需求、滿足數據聚合功能、支撐NetFlow技術3項要點出發，最終采用MySQL數據庫作為捕獲數據的存儲數據庫[5]。在數據存儲上提出2個可供選擇的方案：方案一，建立MySQL數據庫，提前形成相應的存儲數據表，結合不同數據類型實現分類存儲處理；方案二，運用能夠進行動態自定義的數據庫，其不僅能夠滿足個性化需求，同時也能夠及時結合實際情況做出對應調整，但需要基于SQL語言來進行數據存儲架構的編寫。

因校園網涉及到教學、網絡信息、日常溝通交流等海量數據，并且類型繁雜，為此最終確定采用方案二進行數據存儲，同時也為數據庫的后續拓展奠定了基礎。

基于校園網每日龐大的數據量特性，在對數據實施分析處理過程中，還需要配合相關數據調取操作要求完成對各類數據的查詢，因此必須提前設定數據表的信息查詢索引，創建代碼為

此段代碼主要是結合本次數據收集處理來構建對應的信息列表。代碼中d_Ip為所捕獲數據信息中的目的地址；s_Ip為所捕獲數據信息中的源地址；d_Port為所捕獲數據信息中的目標端口，有這部分數據，就能夠快速確定IP包的目標端與源端；s_Port為所捕獲數據信息中潛藏的源端口；P_Ip為IP包中所確定的具體協議；st_Start為數據存儲到數據表的具體時間；bytes為IP的大小；st_Updated為在數據庫中數據最后的具體更新內容。以上設計是基于Navicat軟件來實現數據庫構建的。

為了能夠進一步實現對數據分析能力的提升，進一步設計，具體代碼為

此段代碼中完善了數據庫表選擇、IP選取等相關數據，且能夠根據需求完成數據信息的生成，為后續分析奠定基礎。

1.3 數據采集結果

實時動態的數據采集主要是指基于網絡范圍內能夠實現對數據的即時獲取，具體包括各個網絡中監視器的相關信息、接入口的實時動態匯總信息、不同設備網絡設備的流量出入信息，以及在發現有入侵行為時給出的警告信息。

基于NetFlow技術構建起的動態實時監視器健康匯總信息，也是系統管理人員所能夠觀測到的主要信息情況，若發現存在了連接不通的現象，也能夠及時對其采取積極有效的處理措施。為了保證校園網覆蓋范圍內相關設備均能夠有一個健康的信息采集結果，本文數據采集能夠較為客觀地反映出網絡設備的對接情況，為管理人員提供及時有效的信息支持。

2 校園網異常數據流量分析

本文系統主要通過數據流量分析來實現對入侵行為的快速識別，因此異常數據流量的準確分析是系統運作的另一核心，系統不僅需要快速掌握異常網絡流量信息，還必須對其做好分類處理，以便校園網管理人員能夠根據異常數據信息給出針對性的處理策略。校園網涉及到各種不同類型的數據信息，為了更快地完成數據信息的識別，本文提出了基于k均值聚類算法（k-means clustering algorithm，k-means）下的優化算法思路。

2.1 k-means

k-means屬于一種迭代求解的聚類分析計算方法，表現出原理簡單，更加容易實施操作，收斂迅速等特點，是目前計算機數據處理領域非常重要且應用范圍較廣的算法之一。根據數據及數據指標表現出的相似性特點來做好相應的分簇處理[6]。

k-means具體的原理是基于數據指標相似系數、數據之間的距離，來實現對數據信息相似度的分析，隨后按照聚類中心將數據根據相似度的高低來完成分簇處理，即將有著較高相似度的聚類中心數據劃分在一個簇中。

根據本文設計的系統特點，基于k-means的距離計算要求，采用歐氏距離來完成對復雜度較高距離的計算，其計算公式為

式中：x主要用于對數據 x={x 1，x2，…xn}進行表示，y主要用于對數據 x={y 1，y2，…yn}進行表示。

在k-means運行中，需要配合誤差平方和來實現對函數評估聚類質量的評估，其計算公式為

其中，式（2）結果主要為最小化誤差平方，Ck主要用于對聚類中心進行表示，其計算公式為

在完成整個算法的收斂之后，最終即可得到分類結果。

2.2 優化k-means

但在實際操作中發現，初始k-means表現出一定的隨機性，這可能使得數據的分析處理只能夠得到部分最優解，很難滿足全局的安全性要求。而在校園網遭受攻擊時，其表現出不同的數據流量變化特點，為了能夠提升數據分析的全面性，故對k-means進行了優化處理。通過優化處理后的k-means，主要是結合輸入參數k來實現對數據之間相似度數據的分組處理，相似度相對較低的數據劃分為一組，不同組之間的聚類算法中心均是通過組內所有數據均值來縮短組與組之間的距離。經過優化后的k-means具體運作步驟如下：

步驟1 對所需進行分組處理的簇梳理進行合理劃分，在數據中合理選取數量相同的初始聚類中心。

步驟2 借助就近原則，每個不同的初始聚類中心均應當與其最近的數據劃分成一個組別。

步驟3 每完成一個樣本的分配之后，即可再次對現有聚類中心進行計算。

步驟4 對數據的收斂效果進行判斷，判斷有無最小數值或是否滿足某個最小數值，并對其重新分配聚類，聚類中心在出現變化之后到某個最小范圍之后，誤差平方和的局部達到最低。若符合標準，即可進入步驟5；若不符合標準，則跳轉至步驟3，進行重新處理。

步驟5 輸出聚類結果。

2.3 優化算法數據信息分析結果

本文設計基于KDD CUP99數據集對優化后的k-means進行數據預處理，該數據中包含了大約500萬條信息，其中測試子集與訓練子集各自有50萬條，測試通過子集來實現仿真流量處理。

在KDD CUP99數據集中，配合信息熵法，優化后的k-means獲得了7條屬性信息，5個簇，將k設定為30、40、50、60、70、80，發現優化后的k-means檢測率為89.95%、90.83%、92.34%、98.71%、97.65%、98.13%，而誤報率分別為0.31%、0.35%、0.40%、0.42%、0.67%、0.65。無論是檢測率，還是誤報率均能夠達到全局最優解，滿足了本文系統設計的目標。

3 校園網數據流量收集與入侵檢測系統測試

對校園網數據流量收集與入侵檢測系統的運行情況進行檢查，通過24 h不間斷活動，對網絡設備數據流量進出情況進行分析，發現系統能夠實現正常運轉，且能夠穩定快速進行數據流量信息的捕獲。對數據流量采集和顯示結果進行觀測，以男生三號宿舍樓流量情況為例，系統能夠正常完成數據采集。男生三號宿舍樓網絡流量，如圖1所示。

圖1 男生三號宿舍樓網絡流量

為了及時掌握校園網范圍內網絡流量的變化情況，基于數據捕獲與分析功能，即可全面掌握各個網絡的具體信息變化，同時還能夠根據實際情況設定具體的網絡規范，從而快速完成對數據信息流量的處理。一旦出現異常流量信息，系統能夠自動給出告警信息提示，并能夠明確受到攻擊的具體設備，以便管理人員做出快速對應，異常數據流量檢測告警結果如圖2所示。

圖2 異常數據流量檢測告警結果

4 結論

本文結合校園網數據流量暴露風險，提出了通過數據流量收集分析來實現對入侵行為檢測的應用系統。具體成果如下：1）基于NetFlow技術構建起了相應的校園網數據流量采集技術架構；2）基于優化后的k-means提出了異常數據信息的分析技術；3）通過數據流量收集與入侵檢測系統能夠快速實現對異常數據流量的告警，為保障校園網安全提供了客觀依據。