文｜陳宏聰 康琮

隨著智慧校園建設(shè)的快速發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為學(xué)校面臨的重要挑戰(zhàn)之一。為了解決傳統(tǒng)智慧校園建設(shè)中對(duì)敏感數(shù)據(jù)、威脅漏洞、內(nèi)部攻擊等無法有效監(jiān)測(cè)預(yù)測(cè)的網(wǎng)絡(luò)空間安全痛點(diǎn)，本研究以廣東交通職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)安全體系建設(shè)為基礎(chǔ)，通過構(gòu)建本地與云上的態(tài)勢(shì)感知威脅平臺(tái)，采用知識(shí)圖譜建模、自適應(yīng)誘捕與追蹤、大數(shù)據(jù)關(guān)聯(lián)分析、AI智能分析與威脅挖掘等技術(shù)，實(shí)現(xiàn)了一體化網(wǎng)絡(luò)安全運(yùn)營(yíng)管理中心。本研究的研究成果將為學(xué)校的智慧校園建設(shè)和網(wǎng)絡(luò)安全提供科學(xué)決策支持，具有重要的實(shí)際意義和應(yīng)用價(jià)值。

一、傳統(tǒng)智慧校園建設(shè)中的網(wǎng)絡(luò)安全問題概述

隨著智慧校園建設(shè)的逐步推進(jìn)，學(xué)校通常在校園內(nèi)部署有多個(gè)品牌的安全產(chǎn)品及系統(tǒng)，不同廠商建設(shè)系統(tǒng)時(shí)采用的技術(shù)與標(biāo)準(zhǔn)各不相同，各種網(wǎng)絡(luò)安全設(shè)備通常各自為政，很少能夠聯(lián)動(dòng)處理出現(xiàn)的問題。在實(shí)際應(yīng)用中，大量的網(wǎng)絡(luò)安全日志及零散的網(wǎng)絡(luò)數(shù)據(jù)使得網(wǎng)絡(luò)安全體系對(duì)于通過自主學(xué)習(xí)進(jìn)行智能分析、風(fēng)險(xiǎn)評(píng)估、行為預(yù)測(cè)的準(zhǔn)確率和成功率大大降低，現(xiàn)擬通過“大數(shù)據(jù)+云分析”的防護(hù)建設(shè)模式，建立相對(duì)完整的網(wǎng)絡(luò)安全體系，經(jīng)過大數(shù)據(jù)型分析，解決智慧校園建設(shè)中的網(wǎng)絡(luò)安全問題。

二、相關(guān)的安全威脅感知系統(tǒng)研究

從2002年開始，清華大學(xué)，浙江大學(xué)等國內(nèi)高校開始了以安全威脅情報(bào)為基礎(chǔ)的智慧校園網(wǎng)絡(luò)安全體系建設(shè)，國內(nèi)高校的信息化建設(shè)進(jìn)入新的階段。

清華大學(xué)是國內(nèi)較早實(shí)施信息化工作的高校，在教學(xué)、科研、管理等信息化程度非常高，因此常常作為國外攻擊重點(diǎn)目標(biāo)。因此對(duì)于智慧校園的網(wǎng)絡(luò)安全體系建設(shè)是一個(gè)重要的依據(jù)。

浙江大學(xué)首先提出建立一個(gè)人機(jī)共生的體系——網(wǎng)上浙大，建立新式辦學(xué)空間。其中就提出以安全威脅情報(bào)為前提，打造專屬于浙大的網(wǎng)絡(luò)安全體系及整體網(wǎng)絡(luò)安全運(yùn)營(yíng)中臺(tái)。

此外，奇安信、深信服、綠盟等一批行業(yè)企業(yè)，也基于上述理念，結(jié)合高職院校發(fā)展需求，研發(fā)了一系列網(wǎng)絡(luò)安全產(chǎn)品，幫助各高職院校建立了智慧校園網(wǎng)絡(luò)安全體系。

三、新一代安全威脅感知系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

（一）本地與云上態(tài)勢(shì)感知威脅平臺(tái)構(gòu)建

1.設(shè)計(jì)網(wǎng)絡(luò)感知架構(gòu)：包括傳感器網(wǎng)絡(luò)的部署位置、傳感器類型及其功能。考慮到智慧校園的規(guī)模和復(fù)雜性，需要在關(guān)鍵位置部署多個(gè)傳感器，以確保全面的網(wǎng)絡(luò)監(jiān)測(cè)。

2.部署傳感器設(shè)備：根據(jù)設(shè)計(jì)方案，在智慧校園內(nèi)部署各類傳感器設(shè)備，如入侵攻擊檢測(cè)系統(tǒng)、網(wǎng)絡(luò)流量監(jiān)測(cè)設(shè)備、數(shù)據(jù)采集設(shè)備等，確保傳感器設(shè)備能夠全面覆蓋校園網(wǎng)絡(luò)。

3.數(shù)據(jù)采集與存儲(chǔ)：設(shè)計(jì)并實(shí)現(xiàn)數(shù)據(jù)采集系統(tǒng)，將傳感器收集到的數(shù)據(jù)進(jìn)行實(shí)時(shí)采集、處理和存儲(chǔ)。確保數(shù)據(jù)的完整性和可靠性，并建立本地?cái)?shù)據(jù)庫用于存儲(chǔ)和管理收集到的數(shù)據(jù)。

4.云端數(shù)據(jù)分析與處理：將本地采集到的數(shù)據(jù)上傳至云端，利用大數(shù)據(jù)處理技術(shù)對(duì)數(shù)據(jù)進(jìn)行分析和處理。采用機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等技術(shù)，發(fā)現(xiàn)隱藏的威脅模式和異常行為，并將分析結(jié)果反饋給本地平臺(tái)進(jìn)行進(jìn)一步處理。

5.威脅感知與預(yù)警系統(tǒng)：通過對(duì)采集到的數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和分析，利用AI智能分析技術(shù)檢測(cè)異常行為和威脅事件，及時(shí)發(fā)出預(yù)警并采取相應(yīng)的應(yīng)對(duì)措施。

6.安全事件響應(yīng)與處置：建立響應(yīng)與處置機(jī)制，一旦發(fā)現(xiàn)威脅事件，能夠迅速采取相應(yīng)的應(yīng)對(duì)措施。這包括隔離受影響的設(shè)備、封鎖攻擊來源、修復(fù)漏洞等。

（二）知識(shí)圖譜建模技術(shù)的應(yīng)用

以廣東交通職業(yè)技術(shù)學(xué)院智慧校園網(wǎng)絡(luò)安全體系為例，知識(shí)圖譜建模技術(shù)可以應(yīng)用于以下方面：

1.建立安全知識(shí)庫：通過對(duì)網(wǎng)絡(luò)安全相關(guān)的知識(shí)進(jìn)行組織和建模，形成一個(gè)結(jié)構(gòu)化的安全知識(shí)庫。包括各類安全威脅、攻擊手段、防御策略等內(nèi)容，為系統(tǒng)提供豐富的安全知識(shí)資源。例如，建立各類網(wǎng)絡(luò)攻擊手段的知識(shí)庫，包括0day漏洞、DDoS攻擊、SQL注入、惡意軟件、挖礦等，為系統(tǒng)提供豐富的攻擊手段信息。

2.實(shí)現(xiàn)語義化搜索：通過對(duì)安全知識(shí)庫的語義化建模，實(shí)現(xiàn)智能化的搜索功能。用戶可以通過輸入關(guān)鍵字或問題，快速地找到相關(guān)的安全知識(shí)和解決方案。

3.進(jìn)行風(fēng)險(xiǎn)評(píng)估：利用知識(shí)圖譜建模技術(shù)，將各類威脅事件進(jìn)行語義化建模，并與已有的安全知識(shí)進(jìn)行關(guān)聯(lián)。結(jié)合機(jī)器學(xué)習(xí)和數(shù)據(jù)分析技術(shù)，利用知識(shí)圖譜中的安全知識(shí)和歷史數(shù)據(jù)，通過智能風(fēng)險(xiǎn)評(píng)估模型可提前預(yù)測(cè)潛在安全威脅和風(fēng)險(xiǎn)，并提前采取相應(yīng)的防范策略。

4.支持決策制定：基于知識(shí)圖譜中的安全知識(shí)和智能分析結(jié)果，為決策者提供智能化的安全決策支持。通過分析各種數(shù)據(jù)源、網(wǎng)絡(luò)事件和風(fēng)險(xiǎn)評(píng)估結(jié)果，幫助決策者制定更加有效的網(wǎng)絡(luò)安全策略。

（三）自適應(yīng)誘捕與追蹤技術(shù)的應(yīng)用

以廣東交通職業(yè)技術(shù)學(xué)院為例，通過自適應(yīng)誘捕與追蹤技術(shù)來模擬誘捕和追蹤網(wǎng)絡(luò)釣魚攻擊者，可以更好地了解網(wǎng)絡(luò)釣魚攻擊者的行為模式和策略，并采取相應(yīng)的防御措施，保護(hù)校園網(wǎng)絡(luò)安全：

1.自適應(yīng)誘捕：學(xué)院部署了一個(gè)虛擬的電子郵件系統(tǒng)，模擬校園內(nèi)部的郵件服務(wù)。通過誘導(dǎo)攻擊者點(diǎn)擊偽造的釣魚鏈接或打開惡意附件，將攻擊者引導(dǎo)到一個(gè)虛擬的環(huán)境中。

2.追蹤攻擊者：一旦攻擊者被誘捕進(jìn)入虛擬環(huán)境，通過分析攻擊流量、IP地址以及攻擊者的操作行為，建立攻擊者的行為軌跡，并嘗試確定攻擊者的真實(shí)身份。

3.智能化分析與響應(yīng)：利用AI智能分析技術(shù)，對(duì)收集到的攻擊者行為數(shù)據(jù)進(jìn)行分析。通過機(jī)器學(xué)習(xí)算法和行為分析技術(shù)，識(shí)別出攻擊者的行為模式和攻擊手段，及時(shí)采取防御措施。

（四）AI智能分析技術(shù)的應(yīng)用

1.威脅情報(bào)分析：通過AI智能分析技術(shù)，對(duì)來自各類安全情報(bào)源的數(shù)據(jù)進(jìn)行自動(dòng)化處理和分析。通過機(jī)器學(xué)習(xí)算法實(shí)現(xiàn)對(duì)威脅情報(bào)的分類、關(guān)聯(lián)和評(píng)估。這樣可以提供及時(shí)的威脅情報(bào)，幫助學(xué)院網(wǎng)絡(luò)安全團(tuán)隊(duì)更好地了解當(dāng)前的安全威脅態(tài)勢(shì)。

2.異常檢測(cè)與行為分析：利用AI智能分析技術(shù)，對(duì)學(xué)院網(wǎng)絡(luò)中的流量數(shù)據(jù)、日志數(shù)據(jù)等進(jìn)行實(shí)時(shí)監(jiān)測(cè)和分析。通過建立智能異常檢測(cè)模型，系統(tǒng)可以自動(dòng)識(shí)別異常網(wǎng)絡(luò)行為、惡意軟件和入侵攻擊等安全威脅。同時(shí)可以發(fā)現(xiàn)并預(yù)測(cè)潛在的安全風(fēng)險(xiǎn)和威脅。

3.自動(dòng)化安全決策：基于AI智能分析技術(shù)，通過機(jī)器學(xué)習(xí)算法和規(guī)則引擎，根據(jù)安全威脅情況，自動(dòng)觸發(fā)相應(yīng)的防御措施，可以快速響應(yīng)安全事件，并減少對(duì)人工干預(yù)的依賴。

4.智能預(yù)測(cè)與優(yōu)化：利用AI智能分析技術(shù)，通過對(duì)歷史數(shù)據(jù)的分析和建模，預(yù)測(cè)未來的安全威脅和風(fēng)險(xiǎn)。有助于學(xué)院網(wǎng)絡(luò)安全團(tuán)隊(duì)提前采取相應(yīng)的防御措施，并優(yōu)化網(wǎng)絡(luò)安全策略。

四、實(shí)驗(yàn)與評(píng)估

為了評(píng)估新一代安全威脅感知系統(tǒng)在智慧校園網(wǎng)絡(luò)安全體系中的應(yīng)用，我們?cè)O(shè)計(jì)了以下實(shí)驗(yàn)設(shè)置和數(shù)據(jù)收集方法：

MMM的抗污染能力通過牛血清蛋白和卵清蛋白通量恢復(fù)率(BSA/OVA FRR%)評(píng)估。將定量的牛血清蛋白固體直接溶解在去離子水中配制成 0.5 g·L-1的BSA水溶液，其pH值為7。卵清蛋白固體直接溶解在 0.9% 的氯化鈉溶液中配制成 0.5 g·L-1的OVA鹽溶液通。通量恢復(fù)率是恢復(fù)通量(Jr)與純水通量(Jw)的比值，通量恢復(fù)率值越高表示復(fù)合膜的清洗效果越好，實(shí)驗(yàn)結(jié)果如圖6(a)以及表3所示。

（一）實(shí)驗(yàn)環(huán)境搭建

在廣東交通職業(yè)技術(shù)學(xué)院的智慧校園網(wǎng)絡(luò)中，部署新一代安全威脅感知系統(tǒng)，并確保其與其他網(wǎng)絡(luò)設(shè)備和系統(tǒng)的正常連接和運(yùn)行，如圖1所示。

圖1 新一代安全威脅感知系統(tǒng)環(huán)境框架

1.安全攻擊模擬：通過模擬各類常見的網(wǎng)絡(luò)攻擊行為，對(duì)實(shí)驗(yàn)環(huán)境進(jìn)行攻擊。這些攻擊行為旨在測(cè)試新一代安全威脅感知系統(tǒng)對(duì)不同類型攻擊的檢測(cè)和響應(yīng)能力。

2.數(shù)據(jù)收集：在實(shí)驗(yàn)過程中，記錄新一代安全威脅感知系統(tǒng)的運(yùn)行日志、報(bào)警信息、安全事件記錄等數(shù)據(jù)。同時(shí)，收集攻擊行為的數(shù)據(jù)包、攻擊者IP地址等信息，以供后續(xù)分析和評(píng)估使用。

（二）實(shí)驗(yàn)結(jié)果分析

基于收集到的實(shí)驗(yàn)數(shù)據(jù)，我們進(jìn)行了以下實(shí)驗(yàn)結(jié)果分析：

1.攻擊檢測(cè)率：通過分析新一代安全威脅感知系統(tǒng)的報(bào)警信息和安全事件記錄，計(jì)算出對(duì)不同類型攻擊的檢測(cè)率。評(píng)估系統(tǒng)在實(shí)時(shí)監(jiān)測(cè)和感知威脅方面的能力。

2.假陽性率：分析報(bào)警信息中的假陽性情況，即誤報(bào)的安全事件數(shù)量。評(píng)估系統(tǒng)在準(zhǔn)確性和誤報(bào)率方面的表現(xiàn)。

3.響應(yīng)時(shí)間：記錄新一代安全威脅感知系統(tǒng)對(duì)安全事件的響應(yīng)時(shí)間，即從檢測(cè)到報(bào)警的時(shí)間間隔。評(píng)估系統(tǒng)在快速響應(yīng)和處置威脅方面的效率。

五、結(jié)論與展望

（一）主要研究成果總結(jié)

基于對(duì)新一代安全威脅感知系統(tǒng)在智慧校園網(wǎng)絡(luò)安全體系中的應(yīng)用進(jìn)行實(shí)驗(yàn)與評(píng)估，我們得出以下主要研究成果總結(jié)：

新一代安全威脅感知系統(tǒng)在智慧校園網(wǎng)絡(luò)中展現(xiàn)出較高的攻擊檢測(cè)率和較低的假陽性率。系統(tǒng)能夠及時(shí)識(shí)別和報(bào)警各類網(wǎng)絡(luò)攻擊行為，并準(zhǔn)確判斷真正的安全威脅，為智慧校園網(wǎng)絡(luò)提供了有效的防御能力。

實(shí)驗(yàn)結(jié)果顯示新一代安全威脅感知系統(tǒng)具備較快的響應(yīng)時(shí)間，能夠迅速識(shí)別并響應(yīng)安全事件。系統(tǒng)能夠快速采取相應(yīng)的處置措施，有助于減少攻擊對(duì)智慧校園網(wǎng)絡(luò)的影響。

（二）存在的局限性和未來改進(jìn)方向

在研究過程中，我們也發(fā)現(xiàn)了一些局限性和可以改進(jìn)的方向：

實(shí)驗(yàn)環(huán)境限制：由于實(shí)驗(yàn)僅在廣東交通職業(yè)技術(shù)學(xué)院的智慧校園網(wǎng)絡(luò)中進(jìn)行，可能無法完全代表其他學(xué)校的情況。未來可以擴(kuò)大實(shí)驗(yàn)樣本范圍，涵蓋更多不同類型的智慧校園網(wǎng)絡(luò)。

攻擊類型覆蓋：雖然我們模擬了多種常見的網(wǎng)絡(luò)攻擊行為，但仍有可能有其他未考慮到的新型攻擊。未來可以進(jìn)一步擴(kuò)展攻擊類型的覆蓋范圍，以提高系統(tǒng)對(duì)新型威脅的感知能力。

（三）對(duì)智慧校園網(wǎng)絡(luò)安全領(lǐng)域的展望

基于本次研究成果，我們對(duì)智慧校園網(wǎng)絡(luò)安全領(lǐng)域的未來發(fā)展提出以下展望：

進(jìn)一步發(fā)展智能化安全威脅感知系統(tǒng)：結(jié)合機(jī)器學(xué)習(xí)和人工智能技術(shù)，進(jìn)一步提升安全威脅感知系統(tǒng)的自動(dòng)化和智能化水平，提高對(duì)復(fù)雜、隱蔽攻擊的識(shí)別和響應(yīng)能力。

強(qiáng)化多層次防御策略：除了安全威脅感知系統(tǒng)，還應(yīng)該綜合運(yùn)用防火墻、入侵檢測(cè)系統(tǒng)等多種安全措施，形成多層次、綜合性的智慧校園網(wǎng)絡(luò)安全體系，提高整體安全防護(hù)能力。

加強(qiáng)用戶教育和意識(shí)提升：智慧校園網(wǎng)絡(luò)安全不僅依賴技術(shù)手段，也需要用戶的主動(dòng)參與和合理使用。加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn)，提高用戶對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的認(rèn)知和防范意識(shí)。

通過持續(xù)的研究和創(chuàng)新，我們有信心進(jìn)一步提升智慧校園網(wǎng)絡(luò)的安全性，為師生提供更加安全可靠的網(wǎng)絡(luò)環(huán)境。