網絡流量監測在高校“校園貸”預警中的應用研究

何亞南 袁建明 朵云峰 劉發穩

摘要：目前，大部分數據的傳輸和使用都是通過網絡數據的形式進行傳輸，網絡數據的傳輸形成了網絡流量，為研究高校“校園貸”的狀況，對網絡流量進行采集，從而分析提取網絡數據來實現流量監測和控制越來越重要。該文介紹了“校園貸”借貸平臺的分類及特點，通過對網絡流量采集、網絡流量分析及網絡行為管理等技術進行研究，為網絡流量監測應用于高校“校園貸”風險預警提供了理論依據。

關鍵詞：校園網;校園貸;流量監測;流量分析

中圖分類號：TP393.1? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）16-0055-03

開放科學（資源服務）標識碼（OSID）：

1 背景

隨著互聯網技術的發展，網絡信貸平臺的出現，高校非法“校園貸”亂象頻發，面向大學生群體的校園網絡信貸給高校造成了嚴重的影響。伴隨著互聯網規模的不斷擴大，使現有的校園網絡系統具有更高的混亂性、復雜性和危險性，尤其當下，網絡安全形勢嚴峻，做好高校“校園貸”的預警，用科技手段引導學生合理使用信貸平臺，打擊非法借貸平臺已經刻不容緩。在校園網網絡安全管理中，對校園網的流量采集、監測與分析是校園網安全管理的一個重要手段，它可以為高校網絡管理員的決策提供重要的數據依據，通過對校園網網絡流量進行監測，掌握學生使用網絡信貸平臺的態勢，對高風險信貸行為和人員做出預警，降低學生盲目使用信貸平臺造成的危害。

2 “校園貸”的主要平臺介紹

根據百度百科的定義，“校園貸”是指在校大學生向正規金融機構或者其他借貸平臺借錢的行為[1]。“校園貸”嚴格來說可以分為以下五種類型：

（1） 消費金融公司：消費金融公司是經銀監會批準，主要目的是以消費為主，為個人提供貸款的非銀行金融機構，如“趣分期”“任分期”等，部分消費貸款還支持低額度的現金提現。

（2）傳統電商平臺：天貓、淘寶、京東等這些大型電商平臺為消費者提供借貸服務，如京東白條、支付寶提供的螞蟻花唄和螞蟻借唄等。

（3） P2P貸款平臺：P2P網貸平臺是個人通過網絡平臺進行相互借貸的行為，用于大學生助學和創業。由于國家監管要求，下發了《關于進一步加強校園貸規范管理工作的通知》，包括名校貸在內的大多數正規網貸平臺暫停開展高校借貸業務，隨之該業務壓縮直到完全歸零。

（4） 銀行機構：各大銀行面向特定的高校大學生提供的校園貸款產品，如中國銀行的“中銀E貸”、招商銀行的“大學生閃電貸”等，主要通過線下方式進行借貸。

（5） 民間借貸平臺：也稱為線下私貸或高利貸，它的主體是民間放貸機構和放貸人，它通常會進行虛假宣傳、線下簽約、做非法中介、收取超高費率，同時存在暴力催收等問題，受害者通常會遭受巨大財產損失甚至威脅自身安全。這種類型的貸款也正是造成“網貸”悲劇的罪魁禍首。

通過對“校園貸”的研究，可以歸納其具有以下三個特征：1）在校大學生是主要的借貸主體;2）借貸門檻低;3）信息不對稱。

3 流量采集與分析

3.1 網絡流量采集

網絡流量監測的首要任務是流量采集，通過流量采集為流量分析提供數據來源，網絡流量采集主要是對計算機網絡中數據流的特性和變化進行收集，以此來掌握整個網絡的運行狀況，目前常用的網絡采集分析主要有以下四種技術[2]：

1）偵聽網絡數據包并對數據包進行分析;

2）基于SNMP協議的MIB庫訪問模式;

3）使用PROBE技術對IP網絡流量數據進行采集;

4）使用NETFLOW技術進行網絡流量數據采集[3]。

為了降低流量監控系統對現有校園網的影響，網絡流量的采集可使用旁路部署的模式，在校園網與互聯網連接的端口上設置端口鏡像，將出入校園網的流量鏡像一份到網絡流量采集平臺。平臺可使用winpcap或libpcap等主流流量嗅探庫進行實時采集，其中，WinPcap是一款應用比較普遍的采集平臺，它使用的技術是偵聽網絡數據包并對數據包進行分析。

WinPcap為Win32應用程序提供服務，包含一個NPF的最優化的內核模式驅動，還包含與libpcap平臺兼容的一套用戶級函數庫，使得它在處理較大函數庫的時候，只需簡單編譯就可以立即在Win32平臺下使用，考慮到網絡監聽的重要性，該平臺還支持特殊的系統調用函數，保證采集數據的完整性，它還可以向網絡發送原始數據包并捕獲原始數據包，通過過濾器對捕獲的數據包進行過濾處理，同時能對網絡通信進行統計。

3.2 網絡流量分析

網絡流量對網絡空間的各項活動進行真實的反饋，網絡中用戶的行為、網絡的運行狀況、網絡的流量趨勢預測、優化網絡配置、控制網絡資源以及網絡中的安全事件監測都可以通過網絡流量分析來實現。高校網絡管理員可以通過網絡流量分析來發現潛在的網貸用戶及網貸行為。

網絡流量分析的分類方法有很多種，按照分析流量的時間不同，網絡流量分析可以分為在線識別和線下識別;按照流量的范圍不同，網絡流量分析可以分為全網識別和非全網識別。按照分析對象的不同，專網流量分析分為針對用戶終端的流量分析和針對主干設備的流量分析[4]。

在線識別是在流量產生時就對流量進行識別和分析，它的特點是實時性較強，所以在算法處理速度和設備的性能方面有較高的要求，適用于關鍵信息的分析;線下識別是將待識別的流量保存到存儲設備后再進行分析處理，它的特點是能夠提取更多的流量信息，識別準確率更高，但不足之處是不具備實時性，適用于對流量進行全面回溯和深度分析。

全網流量識別是指流量分析對所有的流量都進行分析，非全網識別是只分析部分流量。全網流量分析受限于算法處理速度和設備性能影響，通常也只對特定的協議（例如DNS，SSH，HTTP等協議）、服務類型（例如郵件、游戲、流媒體等服務）、應用類型（如QQ、微信、淘寶等應用）進行分析[5]。

本文主要針對“校園貸”平臺的網絡流量進行分析，采用專網的全網流量開展在線識別，包括主干設備的用戶終端的流量，擬使用開源工具YARA來進行分析識別校園網絡，YARA工具幫助校園網絡管理員方便識別惡意軟件樣本，基于文本、二進制模式或其他匹配信息創建惡意軟件描述信息。YARA的每一條描述或規則都由一系列字符串和一個布爾型表達式構成，并闡述其邏輯。YARA規則可以提交給文件或在運行進程，以幫助研究人員識別其是否屬于某個已進行規則描述的惡意軟件家族[6]。

3.3 校園貸行為管理

做好高校“校園貸”監測及預警工作，需要在校園網絡環境中部署一系列的網絡行為管理工具，將其作為探針把數據傳給中心端，然后由中心端統一進行流量采集、流量分析、行為分析等內容，采集師生在社交網絡、搜索引擎活動中的數據，并進行數據挖掘和數據分析，將可能發生的不良網貸消滅在萌芽狀態。

首先，需要選擇合適的網絡行為管理工具，采用旁路方式接入核心網絡設備，采用端口鏡像技術對經過核心網絡設備的上下行端口的流量信息進行采集、分析;其次，對網絡行為管理工具的以下功能進行配置、驗證、測試[7]：

1）對各種搜索引擎中的關鍵字過濾并記錄。針對主流的搜索引擎配置“搜索引擎關鍵字審計與過濾”，發現用戶有關于貸款或借貸平臺的搜索行為，采集搜索記錄。

2）URL內容的過濾、記錄。記錄用戶上網中的URL的題目、具體URL、端口、時間、協議，形成URL識別庫。

3）文件下載內容過濾。對FTP、HTTP的上傳、下載內容進行追蹤、限速或者阻斷。

4）發帖內容記錄及關鍵字過濾。涉嫌網貸詞匯、非法關鍵字、政治詞匯等內容發布到各種論壇、微博或者貼吧上，勢必給高校帶來不良影響，過濾非法關鍵字并審計記錄具體內容。

5）即時通訊內容管理。利用對QQ、微信等主流即時通訊軟件的外發信息關鍵字識別、阻斷、記錄，避免線下貸款的產生。

6）郵件內容記錄及過濾。對Web-Mail、POP3、SMTP等進行監測，并對用戶收發郵件的內容、標題、附件、時間等元素進行記錄和過濾。

7）其他外發內容的管理。針對Telnet、SSH等傳統協議的外發內容進行關鍵字識別、阻斷、記錄。

此外，網絡行為管理工具必須支持多種應用，而不應該僅局限于網絡層和傳輸層的網絡標準，它應該能夠檢測并追蹤動態端口的分配情況，具備自動識別使用同一端口的不同協議的功能。

3.4 校園網流量監測系統架構

通過對網絡流量采集與分析，構建校園網流量監測系統架構，通過網絡采集與分析等技術手段，監測校園網絡中的數據流量以此判斷校園網數據流量是否[8]。從結構上來看，該流量監測系統由服務器端口和客戶端口兩部分組成，客戶端口負責異常網絡流量的采集與處理，而服務器端口負責正常網絡流量的采集與處理[9];從業務的處理、計算和分析來看，該流量監測系統主要采用B/S架構模式，通過這種架構，客戶端無須進行維護，只需通過WWW瀏覽器來實現，這樣降低了開發難度，同時減少了維護成本。以此提出高校校園網流量監測系統的整體架構如下圖所示：

4 結束語

鑒于“校園貸”的對象主要是在校大學生，借貸門檻低，容易出現信息不對稱情況，對高校“校園貸”網絡流量監測及預警的研究，有利于降低惡劣“校園貸”事件發生的概率。通過網絡流量采集、網絡流量分析、網頁過濾、關鍵字過濾等技術手段規避校園網絡環境中的借貸事件，為廣大師生提供一個健康安全的校園網絡環境。通過網絡行為管理工具，高校相關部門可實時掌控學校網絡情況，為各項決策提供信息支持，實現對高校“校園貸”行為的有效控制和管理，使“網貸”悲劇不再發生。

參考文獻：

[1] 陳劍陽.高校“校園貸”的現狀、成因與對策[J].浙江理工大學學報（社會科學版），2020，44（5）：566-571.

[2] 趙海琳.校園網絡流量監測分析與研究[D].長沙：湖南大學，2009.

[3] 牛麗君，郭宇明，朱曉梅.網絡管理中流量采集技術的應用[J].計算機與信息技術，2006（11）：53-55.

[4] 趙雙，陳曙暉.基于機器學習的流量識別技術綜述與展望[J].計算機工程與科學，2018，40（10）：1746-1756.

[5] 張建平，李洪敏，賈軍，等.一種基于流量與日志的專網用戶行為分析方法[J].信息安全研究，2020，6（9）：783-790.

[6] 陳本剛.基于成本敏感在線主動學習的惡意網頁檢測方法[D].太原：中北大學，2020.

[7] 周濤，楊翠翠，呂美敬.高校網絡輿情監測及預警研究-中央財經大學黨建和思想政治工作理論研究課題資助[J].課程教育研究：學法教法研究，2018，5（11）：233-234.

[8] 周康樂.基于數據挖掘的校園流量監測系統設計[J].現代電子技術，2020，43（21）：59-63.

[9] 劉慶.基于時間序列的網絡異常流量發現模型研究與實現[D].包頭：內蒙古科技大學，2010.

【通聯編輯：謝媛媛】