網(wǎng)絡(luò)流量監(jiān)測在高?！靶@貸”預(yù)警中的應(yīng)用研究

何亞南 袁建明 朵云峰 劉發(fā)穩(wěn)

摘要：目前，大部分數(shù)據(jù)的傳輸和使用都是通過網(wǎng)絡(luò)數(shù)據(jù)的形式進行傳輸，網(wǎng)絡(luò)數(shù)據(jù)的傳輸形成了網(wǎng)絡(luò)流量，為研究高?！靶@貸”的狀況，對網(wǎng)絡(luò)流量進行采集，從而分析提取網(wǎng)絡(luò)數(shù)據(jù)來實現(xiàn)流量監(jiān)測和控制越來越重要。該文介紹了“校園貸”借貸平臺的分類及特點，通過對網(wǎng)絡(luò)流量采集、網(wǎng)絡(luò)流量分析及網(wǎng)絡(luò)行為管理等技術(shù)進行研究，為網(wǎng)絡(luò)流量監(jiān)測應(yīng)用于高校“校園貸”風險預(yù)警提供了理論依據(jù)。

關(guān)鍵詞：校園網(wǎng);校園貸;流量監(jiān)測;流量分析

中圖分類號：TP393.1? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）16-0055-03

開放科學（資源服務(wù)）標識碼（OSID）：

1 背景

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)信貸平臺的出現(xiàn)，高校非法“校園貸”亂象頻發(fā)，面向大學生群體的校園網(wǎng)絡(luò)信貸給高校造成了嚴重的影響。伴隨著互聯(lián)網(wǎng)規(guī)模的不斷擴大，使現(xiàn)有的校園網(wǎng)絡(luò)系統(tǒng)具有更高的混亂性、復(fù)雜性和危險性，尤其當下，網(wǎng)絡(luò)安全形勢嚴峻，做好高?！靶@貸”的預(yù)警，用科技手段引導(dǎo)學生合理使用信貸平臺，打擊非法借貸平臺已經(jīng)刻不容緩。在校園網(wǎng)網(wǎng)絡(luò)安全管理中，對校園網(wǎng)的流量采集、監(jiān)測與分析是校園網(wǎng)安全管理的一個重要手段，它可以為高校網(wǎng)絡(luò)管理員的決策提供重要的數(shù)據(jù)依據(jù)，通過對校園網(wǎng)網(wǎng)絡(luò)流量進行監(jiān)測，掌握學生使用網(wǎng)絡(luò)信貸平臺的態(tài)勢，對高風險信貸行為和人員做出預(yù)警，降低學生盲目使用信貸平臺造成的危害。

2 “校園貸”的主要平臺介紹

根據(jù)百度百科的定義，“校園貸”是指在校大學生向正規(guī)金融機構(gòu)或者其他借貸平臺借錢的行為[1]?！靶@貸”嚴格來說可以分為以下五種類型：

（1） 消費金融公司：消費金融公司是經(jīng)銀監(jiān)會批準，主要目的是以消費為主，為個人提供貸款的非銀行金融機構(gòu)，如“趣分期”“任分期”等，部分消費貸款還支持低額度的現(xiàn)金提現(xiàn)。

（2）傳統(tǒng)電商平臺：天貓、淘寶、京東等這些大型電商平臺為消費者提供借貸服務(wù)，如京東白條、支付寶提供的螞蟻花唄和螞蟻借唄等。

（3） P2P貸款平臺：P2P網(wǎng)貸平臺是個人通過網(wǎng)絡(luò)平臺進行相互借貸的行為，用于大學生助學和創(chuàng)業(yè)。由于國家監(jiān)管要求，下發(fā)了《關(guān)于進一步加強校園貸規(guī)范管理工作的通知》，包括名校貸在內(nèi)的大多數(shù)正規(guī)網(wǎng)貸平臺暫停開展高校借貸業(yè)務(wù)，隨之該業(yè)務(wù)壓縮直到完全歸零。

（4） 銀行機構(gòu)：各大銀行面向特定的高校大學生提供的校園貸款產(chǎn)品，如中國銀行的“中銀E貸”、招商銀行的“大學生閃電貸”等，主要通過線下方式進行借貸。

（5） 民間借貸平臺：也稱為線下私貸或高利貸，它的主體是民間放貸機構(gòu)和放貸人，它通常會進行虛假宣傳、線下簽約、做非法中介、收取超高費率，同時存在暴力催收等問題，受害者通常會遭受巨大財產(chǎn)損失甚至威脅自身安全。這種類型的貸款也正是造成“網(wǎng)貸”悲劇的罪魁禍首。

通過對“校園貸”的研究，可以歸納其具有以下三個特征：1）在校大學生是主要的借貸主體;2）借貸門檻低;3）信息不對稱。

3 流量采集與分析

3.1 網(wǎng)絡(luò)流量采集

網(wǎng)絡(luò)流量監(jiān)測的首要任務(wù)是流量采集，通過流量采集為流量分析提供數(shù)據(jù)來源，網(wǎng)絡(luò)流量采集主要是對計算機網(wǎng)絡(luò)中數(shù)據(jù)流的特性和變化進行收集，以此來掌握整個網(wǎng)絡(luò)的運行狀況，目前常用的網(wǎng)絡(luò)采集分析主要有以下四種技術(shù)[2]：

1）偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對數(shù)據(jù)包進行分析;

2）基于SNMP協(xié)議的MIB庫訪問模式;

3）使用PROBE技術(shù)對IP網(wǎng)絡(luò)流量數(shù)據(jù)進行采集;

4）使用NETFLOW技術(shù)進行網(wǎng)絡(luò)流量數(shù)據(jù)采集[3]。

為了降低流量監(jiān)控系統(tǒng)對現(xiàn)有校園網(wǎng)的影響，網(wǎng)絡(luò)流量的采集可使用旁路部署的模式，在校園網(wǎng)與互聯(lián)網(wǎng)連接的端口上設(shè)置端口鏡像，將出入校園網(wǎng)的流量鏡像一份到網(wǎng)絡(luò)流量采集平臺。平臺可使用winpcap或libpcap等主流流量嗅探庫進行實時采集，其中，WinPcap是一款應(yīng)用比較普遍的采集平臺，它使用的技術(shù)是偵聽網(wǎng)絡(luò)數(shù)據(jù)包并對數(shù)據(jù)包進行分析。

WinPcap為Win32應(yīng)用程序提供服務(wù)，包含一個NPF的最優(yōu)化的內(nèi)核模式驅(qū)動，還包含與libpcap平臺兼容的一套用戶級函數(shù)庫，使得它在處理較大函數(shù)庫的時候，只需簡單編譯就可以立即在Win32平臺下使用，考慮到網(wǎng)絡(luò)監(jiān)聽的重要性，該平臺還支持特殊的系統(tǒng)調(diào)用函數(shù)，保證采集數(shù)據(jù)的完整性，它還可以向網(wǎng)絡(luò)發(fā)送原始數(shù)據(jù)包并捕獲原始數(shù)據(jù)包，通過過濾器對捕獲的數(shù)據(jù)包進行過濾處理，同時能對網(wǎng)絡(luò)通信進行統(tǒng)計。

3.2 網(wǎng)絡(luò)流量分析

網(wǎng)絡(luò)流量對網(wǎng)絡(luò)空間的各項活動進行真實的反饋，網(wǎng)絡(luò)中用戶的行為、網(wǎng)絡(luò)的運行狀況、網(wǎng)絡(luò)的流量趨勢預(yù)測、優(yōu)化網(wǎng)絡(luò)配置、控制網(wǎng)絡(luò)資源以及網(wǎng)絡(luò)中的安全事件監(jiān)測都可以通過網(wǎng)絡(luò)流量分析來實現(xiàn)。高校網(wǎng)絡(luò)管理員可以通過網(wǎng)絡(luò)流量分析來發(fā)現(xiàn)潛在的網(wǎng)貸用戶及網(wǎng)貸行為。

網(wǎng)絡(luò)流量分析的分類方法有很多種，按照分析流量的時間不同，網(wǎng)絡(luò)流量分析可以分為在線識別和線下識別;按照流量的范圍不同，網(wǎng)絡(luò)流量分析可以分為全網(wǎng)識別和非全網(wǎng)識別。按照分析對象的不同，專網(wǎng)流量分析分為針對用戶終端的流量分析和針對主干設(shè)備的流量分析[4]。

在線識別是在流量產(chǎn)生時就對流量進行識別和分析，它的特點是實時性較強，所以在算法處理速度和設(shè)備的性能方面有較高的要求，適用于關(guān)鍵信息的分析;線下識別是將待識別的流量保存到存儲設(shè)備后再進行分析處理，它的特點是能夠提取更多的流量信息，識別準確率更高，但不足之處是不具備實時性，適用于對流量進行全面回溯和深度分析。

全網(wǎng)流量識別是指流量分析對所有的流量都進行分析，非全網(wǎng)識別是只分析部分流量。全網(wǎng)流量分析受限于算法處理速度和設(shè)備性能影響，通常也只對特定的協(xié)議（例如DNS，SSH，HTTP等協(xié)議）、服務(wù)類型（例如郵件、游戲、流媒體等服務(wù)）、應(yīng)用類型（如QQ、微信、淘寶等應(yīng)用）進行分析[5]。

本文主要針對“校園貸”平臺的網(wǎng)絡(luò)流量進行分析，采用專網(wǎng)的全網(wǎng)流量開展在線識別，包括主干設(shè)備的用戶終端的流量，擬使用開源工具YARA來進行分析識別校園網(wǎng)絡(luò)，YARA工具幫助校園網(wǎng)絡(luò)管理員方便識別惡意軟件樣本，基于文本、二進制模式或其他匹配信息創(chuàng)建惡意軟件描述信息。YARA的每一條描述或規(guī)則都由一系列字符串和一個布爾型表達式構(gòu)成，并闡述其邏輯。YARA規(guī)則可以提交給文件或在運行進程，以幫助研究人員識別其是否屬于某個已進行規(guī)則描述的惡意軟件家族[6]。

3.3 校園貸行為管理

做好高校“校園貸”監(jiān)測及預(yù)警工作，需要在校園網(wǎng)絡(luò)環(huán)境中部署一系列的網(wǎng)絡(luò)行為管理工具，將其作為探針把數(shù)據(jù)傳給中心端，然后由中心端統(tǒng)一進行流量采集、流量分析、行為分析等內(nèi)容，采集師生在社交網(wǎng)絡(luò)、搜索引擎活動中的數(shù)據(jù)，并進行數(shù)據(jù)挖掘和數(shù)據(jù)分析，將可能發(fā)生的不良網(wǎng)貸消滅在萌芽狀態(tài)。

首先，需要選擇合適的網(wǎng)絡(luò)行為管理工具，采用旁路方式接入核心網(wǎng)絡(luò)設(shè)備，采用端口鏡像技術(shù)對經(jīng)過核心網(wǎng)絡(luò)設(shè)備的上下行端口的流量信息進行采集、分析;其次，對網(wǎng)絡(luò)行為管理工具的以下功能進行配置、驗證、測試[7]：

1）對各種搜索引擎中的關(guān)鍵字過濾并記錄。針對主流的搜索引擎配置“搜索引擎關(guān)鍵字審計與過濾”，發(fā)現(xiàn)用戶有關(guān)于貸款或借貸平臺的搜索行為，采集搜索記錄。

2）URL內(nèi)容的過濾、記錄。記錄用戶上網(wǎng)中的URL的題目、具體URL、端口、時間、協(xié)議，形成URL識別庫。

3）文件下載內(nèi)容過濾。對FTP、HTTP的上傳、下載內(nèi)容進行追蹤、限速或者阻斷。

4）發(fā)帖內(nèi)容記錄及關(guān)鍵字過濾。涉嫌網(wǎng)貸詞匯、非法關(guān)鍵字、政治詞匯等內(nèi)容發(fā)布到各種論壇、微博或者貼吧上，勢必給高校帶來不良影響，過濾非法關(guān)鍵字并審計記錄具體內(nèi)容。

5）即時通訊內(nèi)容管理。利用對QQ、微信等主流即時通訊軟件的外發(fā)信息關(guān)鍵字識別、阻斷、記錄，避免線下貸款的產(chǎn)生。

6）郵件內(nèi)容記錄及過濾。對Web-Mail、POP3、SMTP等進行監(jiān)測，并對用戶收發(fā)郵件的內(nèi)容、標題、附件、時間等元素進行記錄和過濾。

7）其他外發(fā)內(nèi)容的管理。針對Telnet、SSH等傳統(tǒng)協(xié)議的外發(fā)內(nèi)容進行關(guān)鍵字識別、阻斷、記錄。

此外，網(wǎng)絡(luò)行為管理工具必須支持多種應(yīng)用，而不應(yīng)該僅局限于網(wǎng)絡(luò)層和傳輸層的網(wǎng)絡(luò)標準，它應(yīng)該能夠檢測并追蹤動態(tài)端口的分配情況，具備自動識別使用同一端口的不同協(xié)議的功能。

3.4 校園網(wǎng)流量監(jiān)測系統(tǒng)架構(gòu)

通過對網(wǎng)絡(luò)流量采集與分析，構(gòu)建校園網(wǎng)流量監(jiān)測系統(tǒng)架構(gòu)，通過網(wǎng)絡(luò)采集與分析等技術(shù)手段，監(jiān)測校園網(wǎng)絡(luò)中的數(shù)據(jù)流量以此判斷校園網(wǎng)數(shù)據(jù)流量是否[8]。從結(jié)構(gòu)上來看，該流量監(jiān)測系統(tǒng)由服務(wù)器端口和客戶端口兩部分組成，客戶端口負責異常網(wǎng)絡(luò)流量的采集與處理，而服務(wù)器端口負責正常網(wǎng)絡(luò)流量的采集與處理[9];從業(yè)務(wù)的處理、計算和分析來看，該流量監(jiān)測系統(tǒng)主要采用B/S架構(gòu)模式，通過這種架構(gòu)，客戶端無須進行維護，只需通過WWW瀏覽器來實現(xiàn)，這樣降低了開發(fā)難度，同時減少了維護成本。以此提出高校校園網(wǎng)流量監(jiān)測系統(tǒng)的整體架構(gòu)如下圖所示：

4 結(jié)束語

鑒于“校園貸”的對象主要是在校大學生，借貸門檻低，容易出現(xiàn)信息不對稱情況，對高?！靶@貸”網(wǎng)絡(luò)流量監(jiān)測及預(yù)警的研究，有利于降低惡劣“校園貸”事件發(fā)生的概率。通過網(wǎng)絡(luò)流量采集、網(wǎng)絡(luò)流量分析、網(wǎng)頁過濾、關(guān)鍵字過濾等技術(shù)手段規(guī)避校園網(wǎng)絡(luò)環(huán)境中的借貸事件，為廣大師生提供一個健康安全的校園網(wǎng)絡(luò)環(huán)境。通過網(wǎng)絡(luò)行為管理工具，高校相關(guān)部門可實時掌控學校網(wǎng)絡(luò)情況，為各項決策提供信息支持，實現(xiàn)對高?！靶@貸”行為的有效控制和管理，使“網(wǎng)貸”悲劇不再發(fā)生。

參考文獻：

[1] 陳劍陽.高?！靶@貸”的現(xiàn)狀、成因與對策[J].浙江理工大學學報（社會科學版），2020，44（5）：566-571.

[2] 趙海琳.校園網(wǎng)絡(luò)流量監(jiān)測分析與研究[D].長沙：湖南大學，2009.

[3] 牛麗君，郭宇明，朱曉梅.網(wǎng)絡(luò)管理中流量采集技術(shù)的應(yīng)用[J].計算機與信息技術(shù)，2006（11）：53-55.

[4] 趙雙，陳曙暉.基于機器學習的流量識別技術(shù)綜述與展望[J].計算機工程與科學，2018，40（10）：1746-1756.

[5] 張建平，李洪敏，賈軍，等.一種基于流量與日志的專網(wǎng)用戶行為分析方法[J].信息安全研究，2020，6（9）：783-790.

[6] 陳本剛.基于成本敏感在線主動學習的惡意網(wǎng)頁檢測方法[D].太原：中北大學，2020.

[7] 周濤，楊翠翠，呂美敬.高校網(wǎng)絡(luò)輿情監(jiān)測及預(yù)警研究-中央財經(jīng)大學黨建和思想政治工作理論研究課題資助[J].課程教育研究：學法教法研究，2018，5（11）：233-234.

[8] 周康樂.基于數(shù)據(jù)挖掘的校園流量監(jiān)測系統(tǒng)設(shè)計[J].現(xiàn)代電子技術(shù)，2020，43（21）：59-63.

[9] 劉慶.基于時間序列的網(wǎng)絡(luò)異常流量發(fā)現(xiàn)模型研究與實現(xiàn)[D].包頭：內(nèi)蒙古科技大學，2010.

【通聯(lián)編輯：謝媛媛】