新一代安全威脅感知系統(tǒng)在智慧校園網(wǎng)絡(luò)安全體系中的應(yīng)用

文｜陳宏聰 康琮

隨著智慧校園建設(shè)的快速發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為學校面臨的重要挑戰(zhàn)之一。為了解決傳統(tǒng)智慧校園建設(shè)中對敏感數(shù)據(jù)、威脅漏洞、內(nèi)部攻擊等無法有效監(jiān)測預測的網(wǎng)絡(luò)空間安全痛點，本研究以廣東交通職業(yè)技術(shù)學院網(wǎng)絡(luò)安全體系建設(shè)為基礎(chǔ)，通過構(gòu)建本地與云上的態(tài)勢感知威脅平臺，采用知識圖譜建模、自適應(yīng)誘捕與追蹤、大數(shù)據(jù)關(guān)聯(lián)分析、AI智能分析與威脅挖掘等技術(shù)，實現(xiàn)了一體化網(wǎng)絡(luò)安全運營管理中心。本研究的研究成果將為學校的智慧校園建設(shè)和網(wǎng)絡(luò)安全提供科學決策支持，具有重要的實際意義和應(yīng)用價值。

一、傳統(tǒng)智慧校園建設(shè)中的網(wǎng)絡(luò)安全問題概述

隨著智慧校園建設(shè)的逐步推進，學校通常在校園內(nèi)部署有多個品牌的安全產(chǎn)品及系統(tǒng)，不同廠商建設(shè)系統(tǒng)時采用的技術(shù)與標準各不相同，各種網(wǎng)絡(luò)安全設(shè)備通常各自為政，很少能夠聯(lián)動處理出現(xiàn)的問題。在實際應(yīng)用中，大量的網(wǎng)絡(luò)安全日志及零散的網(wǎng)絡(luò)數(shù)據(jù)使得網(wǎng)絡(luò)安全體系對于通過自主學習進行智能分析、風險評估、行為預測的準確率和成功率大大降低，現(xiàn)擬通過“大數(shù)據(jù)+云分析”的防護建設(shè)模式，建立相對完整的網(wǎng)絡(luò)安全體系，經(jīng)過大數(shù)據(jù)型分析，解決智慧校園建設(shè)中的網(wǎng)絡(luò)安全問題。

二、相關(guān)的安全威脅感知系統(tǒng)研究

從2002年開始，清華大學，浙江大學等國內(nèi)高校開始了以安全威脅情報為基礎(chǔ)的智慧校園網(wǎng)絡(luò)安全體系建設(shè)，國內(nèi)高校的信息化建設(shè)進入新的階段。

清華大學是國內(nèi)較早實施信息化工作的高校，在教學、科研、管理等信息化程度非常高，因此常常作為國外攻擊重點目標。因此對于智慧校園的網(wǎng)絡(luò)安全體系建設(shè)是一個重要的依據(jù)。

浙江大學首先提出建立一個人機共生的體系——網(wǎng)上浙大，建立新式辦學空間。其中就提出以安全威脅情報為前提，打造專屬于浙大的網(wǎng)絡(luò)安全體系及整體網(wǎng)絡(luò)安全運營中臺。

此外，奇安信、深信服、綠盟等一批行業(yè)企業(yè)，也基于上述理念，結(jié)合高職院校發(fā)展需求，研發(fā)了一系列網(wǎng)絡(luò)安全產(chǎn)品，幫助各高職院校建立了智慧校園網(wǎng)絡(luò)安全體系。

三、新一代安全威脅感知系統(tǒng)設(shè)計與實現(xiàn)

（一）本地與云上態(tài)勢感知威脅平臺構(gòu)建

1.設(shè)計網(wǎng)絡(luò)感知架構(gòu)：包括傳感器網(wǎng)絡(luò)的部署位置、傳感器類型及其功能。考慮到智慧校園的規(guī)模和復雜性，需要在關(guān)鍵位置部署多個傳感器，以確保全面的網(wǎng)絡(luò)監(jiān)測。

2.部署傳感器設(shè)備：根據(jù)設(shè)計方案，在智慧校園內(nèi)部署各類傳感器設(shè)備，如入侵攻擊檢測系統(tǒng)、網(wǎng)絡(luò)流量監(jiān)測設(shè)備、數(shù)據(jù)采集設(shè)備等，確保傳感器設(shè)備能夠全面覆蓋校園網(wǎng)絡(luò)。

3.數(shù)據(jù)采集與存儲：設(shè)計并實現(xiàn)數(shù)據(jù)采集系統(tǒng)，將傳感器收集到的數(shù)據(jù)進行實時采集、處理和存儲。確保數(shù)據(jù)的完整性和可靠性，并建立本地數(shù)據(jù)庫用于存儲和管理收集到的數(shù)據(jù)。

4.云端數(shù)據(jù)分析與處理：將本地采集到的數(shù)據(jù)上傳至云端，利用大數(shù)據(jù)處理技術(shù)對數(shù)據(jù)進行分析和處理。采用機器學習、數(shù)據(jù)挖掘等技術(shù)，發(fā)現(xiàn)隱藏的威脅模式和異常行為，并將分析結(jié)果反饋給本地平臺進行進一步處理。

5.威脅感知與預警系統(tǒng)：通過對采集到的數(shù)據(jù)進行實時監(jiān)測和分析，利用AI智能分析技術(shù)檢測異常行為和威脅事件，及時發(fā)出預警并采取相應(yīng)的應(yīng)對措施。

6.安全事件響應(yīng)與處置：建立響應(yīng)與處置機制，一旦發(fā)現(xiàn)威脅事件，能夠迅速采取相應(yīng)的應(yīng)對措施。這包括隔離受影響的設(shè)備、封鎖攻擊來源、修復漏洞等。

（二）知識圖譜建模技術(shù)的應(yīng)用

以廣東交通職業(yè)技術(shù)學院智慧校園網(wǎng)絡(luò)安全體系為例，知識圖譜建模技術(shù)可以應(yīng)用于以下方面：

1.建立安全知識庫：通過對網(wǎng)絡(luò)安全相關(guān)的知識進行組織和建模，形成一個結(jié)構(gòu)化的安全知識庫。包括各類安全威脅、攻擊手段、防御策略等內(nèi)容，為系統(tǒng)提供豐富的安全知識資源。例如，建立各類網(wǎng)絡(luò)攻擊手段的知識庫，包括0day漏洞、DDoS攻擊、SQL注入、惡意軟件、挖礦等，為系統(tǒng)提供豐富的攻擊手段信息。

2.實現(xiàn)語義化搜索：通過對安全知識庫的語義化建模，實現(xiàn)智能化的搜索功能。用戶可以通過輸入關(guān)鍵字或問題，快速地找到相關(guān)的安全知識和解決方案。

3.進行風險評估：利用知識圖譜建模技術(shù)，將各類威脅事件進行語義化建模，并與已有的安全知識進行關(guān)聯(lián)。結(jié)合機器學習和數(shù)據(jù)分析技術(shù)，利用知識圖譜中的安全知識和歷史數(shù)據(jù)，通過智能風險評估模型可提前預測潛在安全威脅和風險，并提前采取相應(yīng)的防范策略。

4.支持決策制定：基于知識圖譜中的安全知識和智能分析結(jié)果，為決策者提供智能化的安全決策支持。通過分析各種數(shù)據(jù)源、網(wǎng)絡(luò)事件和風險評估結(jié)果，幫助決策者制定更加有效的網(wǎng)絡(luò)安全策略。

（三）自適應(yīng)誘捕與追蹤技術(shù)的應(yīng)用

以廣東交通職業(yè)技術(shù)學院為例，通過自適應(yīng)誘捕與追蹤技術(shù)來模擬誘捕和追蹤網(wǎng)絡(luò)釣魚攻擊者，可以更好地了解網(wǎng)絡(luò)釣魚攻擊者的行為模式和策略，并采取相應(yīng)的防御措施，保護校園網(wǎng)絡(luò)安全：

1.自適應(yīng)誘捕：學院部署了一個虛擬的電子郵件系統(tǒng)，模擬校園內(nèi)部的郵件服務(wù)。通過誘導攻擊者點擊偽造的釣魚鏈接或打開惡意附件，將攻擊者引導到一個虛擬的環(huán)境中。

2.追蹤攻擊者：一旦攻擊者被誘捕進入虛擬環(huán)境，通過分析攻擊流量、IP地址以及攻擊者的操作行為，建立攻擊者的行為軌跡，并嘗試確定攻擊者的真實身份。

3.智能化分析與響應(yīng)：利用AI智能分析技術(shù)，對收集到的攻擊者行為數(shù)據(jù)進行分析。通過機器學習算法和行為分析技術(shù)，識別出攻擊者的行為模式和攻擊手段，及時采取防御措施。

（四）AI智能分析技術(shù)的應(yīng)用

1.威脅情報分析：通過AI智能分析技術(shù)，對來自各類安全情報源的數(shù)據(jù)進行自動化處理和分析。通過機器學習算法實現(xiàn)對威脅情報的分類、關(guān)聯(lián)和評估。這樣可以提供及時的威脅情報，幫助學院網(wǎng)絡(luò)安全團隊更好地了解當前的安全威脅態(tài)勢。

2.異常檢測與行為分析：利用AI智能分析技術(shù)，對學院網(wǎng)絡(luò)中的流量數(shù)據(jù)、日志數(shù)據(jù)等進行實時監(jiān)測和分析。通過建立智能異常檢測模型，系統(tǒng)可以自動識別異常網(wǎng)絡(luò)行為、惡意軟件和入侵攻擊等安全威脅。同時可以發(fā)現(xiàn)并預測潛在的安全風險和威脅。

3.自動化安全決策：基于AI智能分析技術(shù)，通過機器學習算法和規(guī)則引擎，根據(jù)安全威脅情況，自動觸發(fā)相應(yīng)的防御措施，可以快速響應(yīng)安全事件，并減少對人工干預的依賴。

4.智能預測與優(yōu)化：利用AI智能分析技術(shù)，通過對歷史數(shù)據(jù)的分析和建模，預測未來的安全威脅和風險。有助于學院網(wǎng)絡(luò)安全團隊提前采取相應(yīng)的防御措施，并優(yōu)化網(wǎng)絡(luò)安全策略。

四、實驗與評估

為了評估新一代安全威脅感知系統(tǒng)在智慧校園網(wǎng)絡(luò)安全體系中的應(yīng)用，我們設(shè)計了以下實驗設(shè)置和數(shù)據(jù)收集方法：

MMM的抗污染能力通過牛血清蛋白和卵清蛋白通量恢復率(BSA/OVA FRR%)評估。將定量的牛血清蛋白固體直接溶解在去離子水中配制成 0.5 g·L-1的BSA水溶液，其pH值為7。卵清蛋白固體直接溶解在 0.9% 的氯化鈉溶液中配制成 0.5 g·L-1的OVA鹽溶液通。通量恢復率是恢復通量(Jr)與純水通量(Jw)的比值，通量恢復率值越高表示復合膜的清洗效果越好，實驗結(jié)果如圖6(a)以及表3所示。

（一）實驗環(huán)境搭建

在廣東交通職業(yè)技術(shù)學院的智慧校園網(wǎng)絡(luò)中，部署新一代安全威脅感知系統(tǒng)，并確保其與其他網(wǎng)絡(luò)設(shè)備和系統(tǒng)的正常連接和運行，如圖1所示。

圖1 新一代安全威脅感知系統(tǒng)環(huán)境框架

1.安全攻擊模擬：通過模擬各類常見的網(wǎng)絡(luò)攻擊行為，對實驗環(huán)境進行攻擊。這些攻擊行為旨在測試新一代安全威脅感知系統(tǒng)對不同類型攻擊的檢測和響應(yīng)能力。

2.數(shù)據(jù)收集：在實驗過程中，記錄新一代安全威脅感知系統(tǒng)的運行日志、報警信息、安全事件記錄等數(shù)據(jù)。同時，收集攻擊行為的數(shù)據(jù)包、攻擊者IP地址等信息，以供后續(xù)分析和評估使用。

（二）實驗結(jié)果分析

基于收集到的實驗數(shù)據(jù)，我們進行了以下實驗結(jié)果分析：

1.攻擊檢測率：通過分析新一代安全威脅感知系統(tǒng)的報警信息和安全事件記錄，計算出對不同類型攻擊的檢測率。評估系統(tǒng)在實時監(jiān)測和感知威脅方面的能力。

2.假陽性率：分析報警信息中的假陽性情況，即誤報的安全事件數(shù)量。評估系統(tǒng)在準確性和誤報率方面的表現(xiàn)。

3.響應(yīng)時間：記錄新一代安全威脅感知系統(tǒng)對安全事件的響應(yīng)時間，即從檢測到報警的時間間隔。評估系統(tǒng)在快速響應(yīng)和處置威脅方面的效率。

五、結(jié)論與展望

（一）主要研究成果總結(jié)

基于對新一代安全威脅感知系統(tǒng)在智慧校園網(wǎng)絡(luò)安全體系中的應(yīng)用進行實驗與評估，我們得出以下主要研究成果總結(jié)：

新一代安全威脅感知系統(tǒng)在智慧校園網(wǎng)絡(luò)中展現(xiàn)出較高的攻擊檢測率和較低的假陽性率。系統(tǒng)能夠及時識別和報警各類網(wǎng)絡(luò)攻擊行為，并準確判斷真正的安全威脅，為智慧校園網(wǎng)絡(luò)提供了有效的防御能力。

實驗結(jié)果顯示新一代安全威脅感知系統(tǒng)具備較快的響應(yīng)時間，能夠迅速識別并響應(yīng)安全事件。系統(tǒng)能夠快速采取相應(yīng)的處置措施，有助于減少攻擊對智慧校園網(wǎng)絡(luò)的影響。

（二）存在的局限性和未來改進方向

在研究過程中，我們也發(fā)現(xiàn)了一些局限性和可以改進的方向：

實驗環(huán)境限制：由于實驗僅在廣東交通職業(yè)技術(shù)學院的智慧校園網(wǎng)絡(luò)中進行，可能無法完全代表其他學校的情況。未來可以擴大實驗樣本范圍，涵蓋更多不同類型的智慧校園網(wǎng)絡(luò)。

攻擊類型覆蓋：雖然我們模擬了多種常見的網(wǎng)絡(luò)攻擊行為，但仍有可能有其他未考慮到的新型攻擊。未來可以進一步擴展攻擊類型的覆蓋范圍，以提高系統(tǒng)對新型威脅的感知能力。

（三）對智慧校園網(wǎng)絡(luò)安全領(lǐng)域的展望

基于本次研究成果，我們對智慧校園網(wǎng)絡(luò)安全領(lǐng)域的未來發(fā)展提出以下展望：

進一步發(fā)展智能化安全威脅感知系統(tǒng)：結(jié)合機器學習和人工智能技術(shù)，進一步提升安全威脅感知系統(tǒng)的自動化和智能化水平，提高對復雜、隱蔽攻擊的識別和響應(yīng)能力。

強化多層次防御策略：除了安全威脅感知系統(tǒng)，還應(yīng)該綜合運用防火墻、入侵檢測系統(tǒng)等多種安全措施，形成多層次、綜合性的智慧校園網(wǎng)絡(luò)安全體系，提高整體安全防護能力。

加強用戶教育和意識提升：智慧校園網(wǎng)絡(luò)安全不僅依賴技術(shù)手段，也需要用戶的主動參與和合理使用。加強網(wǎng)絡(luò)安全教育和培訓，提高用戶對網(wǎng)絡(luò)安全風險的認知和防范意識。

通過持續(xù)的研究和創(chuàng)新，我們有信心進一步提升智慧校園網(wǎng)絡(luò)的安全性，為師生提供更加安全可靠的網(wǎng)絡(luò)環(huán)境。