一種校園網(wǎng)絡(luò)終端病毒預(yù)警及閉環(huán)自動化處理系統(tǒng)

◆楊春節(jié) 張武 朱軍

一種校園網(wǎng)絡(luò)終端病毒預(yù)警及閉環(huán)自動化處理系統(tǒng)

◆楊春節(jié)1張武1朱軍2通訊作者

（1.安徽農(nóng)業(yè)大學(xué) 信息化辦公室 安徽 230036；2.安徽農(nóng)業(yè)大學(xué) 信息與計算機學(xué)院 安徽 230036）

本文從高校校園網(wǎng)絡(luò)用戶終端存在的網(wǎng)絡(luò)安全威脅入手，以用戶終端網(wǎng)絡(luò)安全威脅治理為目標(biāo)，使用ODI（Oracle Data Integrator）、Java、數(shù)據(jù)庫等技術(shù)，采用MVC開發(fā)模式，綜合利用校園網(wǎng)絡(luò)中相關(guān)設(shè)備，實現(xiàn)“用戶終端威脅感知-短信通知-用戶處理-處置結(jié)束”的自動化閉環(huán)處理，強化網(wǎng)絡(luò)安全治理，預(yù)防學(xué)校網(wǎng)絡(luò)來自用戶終端的網(wǎng)絡(luò)安全威脅，提升校園全局網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全；預(yù)警；自動化處理；系統(tǒng)設(shè)計

校園網(wǎng)絡(luò)是高校師生不可缺少的重要工具，師生使用電腦、手機、平板電腦連接學(xué)校有線、無線網(wǎng)絡(luò)開展工作學(xué)習(xí)已經(jīng)成為日常工作學(xué)習(xí)的一部分，各種網(wǎng)絡(luò)終端接入校園網(wǎng)的同時也帶來了各種網(wǎng)絡(luò)安全威脅。針對校園網(wǎng)絡(luò)終端帶來的威脅，高校信息化管理部門一般都會采用實名制認(rèn)證上網(wǎng)[1]、關(guān)閉139、445等危險端口[2]、部署反病毒引擎[3-5]等措施從全局防范網(wǎng)絡(luò)病毒傳播。實際工作中，我們發(fā)現(xiàn)校園網(wǎng)絡(luò)終端未安裝殺毒軟件、感染病毒現(xiàn)象大量存在，師生網(wǎng)絡(luò)安全防范能力不足，聯(lián)網(wǎng)工作學(xué)習(xí)與病毒運行同步。校園網(wǎng)絡(luò)終端網(wǎng)絡(luò)病毒隱患極大，會導(dǎo)致病毒大面積傳播、用戶信息泄露、不良和違法信息蔓延，進(jìn)而成為網(wǎng)絡(luò)攻擊跳板，甚至觸犯《網(wǎng)絡(luò)安全法》[6]。因此，加強校園網(wǎng)絡(luò)安全威脅治理勢在必行。

本文設(shè)計的校園網(wǎng)絡(luò)終端病毒預(yù)警及閉環(huán)自動化處理系統(tǒng)（以下簡稱預(yù)警及處理系統(tǒng)）結(jié)合學(xué)?，F(xiàn)有網(wǎng)絡(luò)安全條件實現(xiàn)網(wǎng)絡(luò)安全威脅“可見、可管、可控”。預(yù)警及處理系統(tǒng)首先通過ODI數(shù)據(jù)集成技術(shù)從學(xué)校建設(shè)的人事管理系統(tǒng)、學(xué)生工作管理系統(tǒng)、研究生管理系統(tǒng)等獲取用戶信息作為基礎(chǔ)數(shù)據(jù)；然后，通過全網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知和用戶上網(wǎng)認(rèn)證系統(tǒng)精準(zhǔn)定位網(wǎng)絡(luò)安全威脅，即“誰在什么時間感染了什么病毒”；在獲取了網(wǎng)絡(luò)安全威脅信息后，預(yù)警及處理系統(tǒng)調(diào)用實名制上網(wǎng)認(rèn)證網(wǎng)關(guān)關(guān)停用戶上網(wǎng)賬號，通過手機短信告知用戶所感染的病毒信息并要求安裝殺毒軟件進(jìn)行全盤查殺病毒；用戶按要求完成相關(guān)事項后，在系統(tǒng)中上傳全盤查殺的截圖，并預(yù)警及處理系統(tǒng)開通用戶上網(wǎng)賬號，至此對于網(wǎng)絡(luò)安全威脅的處置結(jié)束。

1 相關(guān)技術(shù)及應(yīng)用

1.1 MVC開發(fā)模式

MVC模式（Model-View-Controller）是軟件工程中的一種軟件架構(gòu)模式，把軟件系統(tǒng)分為三個基本部分：模型（Model）、視圖（View）和控制器（Controller）[7]。

Model（模型）是應(yīng)用程序中用于處理應(yīng)用程序數(shù)據(jù)邏輯的部分，通常模型對象負(fù)責(zé)在數(shù)據(jù)庫中存取數(shù)據(jù)。View（視圖）是應(yīng)用程序中處理數(shù)據(jù)顯示的部分，通常視圖是依據(jù)模型數(shù)據(jù)創(chuàng)建的。Controller（控制器）是應(yīng)用程序中處理用戶交互的部分，通?？刂破髫?fù)責(zé)從視圖讀取數(shù)據(jù)，控制用戶輸入，并向模型發(fā)送數(shù)據(jù)。MVC 分層有助于管理復(fù)雜的應(yīng)用程序、簡化了分組開發(fā)。

預(yù)警處理系統(tǒng)所采用的開發(fā)技術(shù)跟隨流行趨勢和前沿技術(shù)，在代碼質(zhì)量、安全性、可維護(hù)性等方面具有一定的優(yōu)越性。其中Web前端遵循“結(jié)構(gòu)、表現(xiàn)、行為”的思想，采用div+css，結(jié)合jQuery技術(shù)構(gòu)建Web界面，注重前端代碼的優(yōu)雅性。網(wǎng)頁的樣式設(shè)計、網(wǎng)頁動態(tài)效果的腳本、設(shè)計三者分離，也使程序員、美工人員各司其職，更好地協(xié)同工作。同時在開發(fā)中使用jQuery，簡潔優(yōu)雅地實現(xiàn)Ajax效果。服務(wù)器端采用SSH框架技術(shù)實現(xiàn)MVC開發(fā)模式構(gòu)建，即Struts，Hibernate和Spring的框架組合，進(jìn)而提高系統(tǒng)的開發(fā)效率，使開發(fā)人員更注重于業(yè)務(wù)邏輯設(shè)計。

1.2 ODI（Oracle Data Integrator）

ODI（Oracle Data Integrator）是Oracle公司提供的一種數(shù)據(jù)集成工具，能高效地實現(xiàn)批量數(shù)據(jù)抽取、轉(zhuǎn)換和加載。該技術(shù)在本系統(tǒng)開發(fā)中主要應(yīng)用于師生信息（包含學(xué)號/工號、姓名、單位、手機號）和網(wǎng)絡(luò)安全威脅事件按一定時間頻率抽取后，推送到預(yù)警處理系統(tǒng)中。

2 需求分析

校園網(wǎng)絡(luò)用戶群體大，均在3萬人以上，接入校園網(wǎng)的電腦及其他終端數(shù)量更為龐大，精準(zhǔn)定位、清除校園網(wǎng)絡(luò)中存在的病毒是維護(hù)校園網(wǎng)絡(luò)安全的重要內(nèi)容。另外，《網(wǎng)絡(luò)安全法》于2017年6月出臺以來，因觸犯該法規(guī)被行政處罰、經(jīng)濟(jì)處罰的案例屢見不鮮，網(wǎng)絡(luò)安全事件同時對學(xué)校美譽度也有重大影響。因此，加強校園網(wǎng)絡(luò)病毒治理是信息化管理部門工作的重中之重。

實現(xiàn)校園網(wǎng)絡(luò)病毒的感知及閉環(huán)自動化處理需要開發(fā)一套預(yù)警及處理系統(tǒng)，實現(xiàn)相關(guān)設(shè)備聯(lián)動和用戶交互，借助廣大師生自身力量，實現(xiàn)用戶終端病毒治理自動化，達(dá)到凈化校園網(wǎng)絡(luò)環(huán)境的目的。為了實現(xiàn)上述目標(biāo)，系統(tǒng)需要實現(xiàn)校園網(wǎng)所有用戶信息獲取、網(wǎng)絡(luò)安全威脅信息感知、網(wǎng)絡(luò)安全威脅信息獲取與推送、用戶處理情況反饋、上網(wǎng)賬號關(guān)停與開通的自動化。

2.1 用戶信息獲取

用戶信息是定位網(wǎng)絡(luò)安全威脅及后續(xù)互動處理的重要信息，本系統(tǒng)采用ODI從學(xué)校數(shù)據(jù)中心獲取上網(wǎng)用戶信息，主要包含學(xué)號/工號、姓名、所在單位、手機號。其中學(xué)號/工號是關(guān)聯(lián)網(wǎng)絡(luò)安全威脅事件與用戶的唯一標(biāo)識，手機號是推送預(yù)警手機短信的必要信息。

2.2 網(wǎng)絡(luò)安全威脅感知

利用學(xué)校部署的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)、用戶上網(wǎng)認(rèn)證系統(tǒng)可以精確偵測到用戶感染病毒情況。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)[8][9][10][11]中的潛伏威脅探針對于病毒、蠕蟲、木馬后門、拒絕服務(wù)攻擊、各種服務(wù)器攻擊、終端攻擊、掃描攻擊、SQL注入、XSS、緩沖區(qū)溢出、欺騙劫持等攻擊行為以及網(wǎng)絡(luò)資源濫用行為（如P2P上傳/下載、CGI訪問攻擊、IIS服務(wù)器攻擊、網(wǎng)絡(luò)游戲、視頻/音頻、網(wǎng)絡(luò)炒股）等威脅具有高精度的檢測能力。同時，探針的自定義應(yīng)用識別規(guī)則庫模塊，可以通過參數(shù)的靈活設(shè)定，把關(guān)注的特殊事件作為自定義策略下發(fā)給引擎進(jìn)行檢測。對于網(wǎng)絡(luò)流量的異常情況具有非常準(zhǔn)確、有效的發(fā)現(xiàn)能力。潛伏威脅探針獲取到感染病毒所在機器的IP地址后與用戶上網(wǎng)認(rèn)證系統(tǒng)比對，進(jìn)一步定位到病毒所在機器的使用人。

2.3 網(wǎng)絡(luò)安全威脅信息獲取與推送

采用ODI技術(shù)從網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)獲取網(wǎng)絡(luò)安全威脅信息后，預(yù)警及處理系統(tǒng)設(shè)定定時器定期向感染病毒的上網(wǎng)賬號使用人發(fā)送感染病毒信息，同時暫停該賬號連接互聯(lián)網(wǎng)，以避免校園網(wǎng)絡(luò)病毒向互聯(lián)網(wǎng)傳播。其中發(fā)送短信操作通過調(diào)用短信平臺的接口實現(xiàn)。

2.4 用戶處理情況反饋

用戶接收到手機短信后，按要求安裝殺毒軟件并進(jìn)行全盤查殺，將查殺情況截圖上傳到預(yù)警及處理系統(tǒng)中，上網(wǎng)賬號自動開通。如果用戶未按要求完成徹底查殺病毒，系統(tǒng)會再次發(fā)送手機短信要求用戶處理，直至將病毒清理干凈。

2.5 上網(wǎng)賬號關(guān)停與開通

上網(wǎng)賬號的關(guān)停與重新開通，預(yù)警及處理系統(tǒng)通過調(diào)用上網(wǎng)認(rèn)證系統(tǒng)的接口實現(xiàn)。

3 系統(tǒng)設(shè)計

3.1 系統(tǒng)模型

整個系統(tǒng)分為前端界面、WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器、ODI服務(wù)器和原有業(yè)務(wù)系統(tǒng)五個部分，如圖1所示。

圖1 系統(tǒng)模型

前端界面：該層直接為用戶服務(wù)，整合了HTML+CSS+JavaScript+EasyUI等應(yīng)用技術(shù)。前端界面和Web服務(wù)器端采用Ajax異步技術(shù)執(zhí)行業(yè)務(wù)邏輯、獲取執(zhí)行結(jié)果，采用JSON作為請求參數(shù)傳遞、結(jié)果返回的數(shù)據(jù)交換格式。

Web服務(wù)器層：采用Java語言作為開發(fā)語言，使用Struts，Hibernate和Spring的框架組合實現(xiàn)MVC開發(fā)模式。服務(wù)器端主要實現(xiàn)的功能包含組織機構(gòu)管理模塊、用戶管理模塊、病毒預(yù)警信息管理模塊以及處置反饋管理模塊。同時，各模塊功能實現(xiàn)中還包含短信發(fā)送、上網(wǎng)賬號啟停功能等。業(yè)務(wù)邏輯實現(xiàn)的同時面向前端界面提供服務(wù)接口，通過JSON格式數(shù)據(jù)進(jìn)行數(shù)據(jù)交換。

數(shù)據(jù)庫服務(wù)器層：系統(tǒng)使用Mysql作為數(shù)據(jù)庫服務(wù)器，用于系統(tǒng)所需數(shù)據(jù)的存儲、接收ODI推送的數(shù)據(jù)。

ODI服務(wù)器層：ODI服務(wù)器主要實現(xiàn)從人事系統(tǒng)、學(xué)生工作管理系統(tǒng)、研究生系統(tǒng)、全網(wǎng)態(tài)勢感知系統(tǒng)獲取數(shù)據(jù)并推送到預(yù)警信息處理系統(tǒng)。

校園網(wǎng)絡(luò)現(xiàn)有系統(tǒng)層：校園網(wǎng)絡(luò)現(xiàn)有系統(tǒng)為當(dāng)前已有信息化條件，是人員數(shù)據(jù)和病毒預(yù)警信息的數(shù)據(jù)源。

3.2 系統(tǒng)功能

本系統(tǒng)用戶群體主要為各單位網(wǎng)絡(luò)安全管理員、教師和學(xué)生。網(wǎng)絡(luò)安全管理員可以查看本單位病毒感染情況及相應(yīng)人員信息，督促相關(guān)人員進(jìn)行處理。教師和學(xué)生可以查看本人是否存在病毒感染預(yù)警信息并進(jìn)行處理。功能模塊及系統(tǒng)界面如圖2、圖3所示。

圖2 功能模塊圖

圖3 管理員界面

4 結(jié)語

本系統(tǒng)采用MVC開發(fā)模式，前端展示與服務(wù)器端程序松耦合，應(yīng)用系統(tǒng)開發(fā)靈活高效。該系統(tǒng)將學(xué)校數(shù)據(jù)中心、態(tài)勢感知系統(tǒng)、上網(wǎng)認(rèn)證系統(tǒng)等有效融合，在傳統(tǒng)網(wǎng)絡(luò)安全實現(xiàn)網(wǎng)絡(luò)安全威脅“可見”的基礎(chǔ)上實現(xiàn)校園網(wǎng)絡(luò)威脅閉環(huán)處理、自我凈化，應(yīng)用效果良好。

[1]劉威鵬，胡俊，方艷湘,等.基于可信計算的終端安全體系結(jié)構(gòu)研究與進(jìn)展[J].計算機科學(xué)，2007，34（10）：257-263.

[2]魏楚元，任彥龍，李欣.高校網(wǎng)絡(luò)安全治理體系構(gòu)建研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（1）：96-98.

[3]周文彬.“互聯(lián)網(wǎng)+”背景下的校園網(wǎng)絡(luò)信息安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（11）：106-107.

[4]龔漢明.高校網(wǎng)絡(luò)安全問題與應(yīng)對研究[J].北京教育（高教版），2019（2）：8-12.

[5]李超，王紅勝，陳軍廣，等.加強計算機終端信息安全的兩種解決方案[J].計算機技術(shù)與發(fā)展，2009，19（1）：165-167.

[6]中華人民共和國網(wǎng)絡(luò)安全法.[EB/OL].http://www.cac.gov.cn/2016-11/07/c_1119867116_3.htm.

[7]劉震林，喻春梅.基于MVC模式的JAVA_Web開發(fā)與實踐應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（1）：57-58.

[8]桑葳.基于大數(shù)據(jù)與網(wǎng)絡(luò)態(tài)勢感知的網(wǎng)站安全管理研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（11）：81-52.

[9]王以伍，張牧.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[J].電腦知識與技術(shù)，2020，16（15）：43-46.

[10]陶源，黃濤，張墨涵，等.網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究及發(fā)展趨勢分析[J].信息網(wǎng)絡(luò)安全，2018，18（8）：79-85.

[11]戴祥華，張?zhí)K炯.大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)的研究[J].中國信息化，2020（04）：81-82.

2020年安徽省高等學(xué)校省級質(zhì)量工程項目（2020qkl16）；2017年度安徽省高等學(xué)校省級新工科研究與實踐項目（2017xgkxm11）