一种校园网络终端病毒预警及闭环自动化处理系统

◆杨春节 张武 朱军

一种校园网络终端病毒预警及闭环自动化处理系统

◆杨春节1张武1朱军2通讯作者

（1.安徽农业大学 信息化办公室 安徽 230036；2.安徽农业大学 信息与计算机学院 安徽 230036）

本文从高校校园网络用户终端存在的网络安全威胁入手，以用户终端网络安全威胁治理为目标，使用ODI（Oracle Data Integrator）、Java、数据库等技术，采用MVC开发模式，综合利用校园网络中相关设备，实现“用户终端威胁感知-短信通知-用户处理-处置结束”的自动化闭环处理，强化网络安全治理，预防学校网络来自用户终端的网络安全威胁，提升校园全局网络安全。

网络安全；预警；自动化处理；系统设计

校园网络是高校师生不可缺少的重要工具，师生使用电脑、手机、平板电脑连接学校有线、无线网络开展工作学习已经成为日常工作学习的一部分，各种网络终端接入校园网的同时也带来了各种网络安全威胁。针对校园网络终端带来的威胁，高校信息化管理部门一般都会采用实名制认证上网[1]、关闭139、445等危险端口[2]、部署反病毒引擎[3-5]等措施从全局防范网络病毒传播。实际工作中，我们发现校园网络终端未安装杀毒软件、感染病毒现象大量存在，师生网络安全防范能力不足，联网工作学习与病毒运行同步。校园网络终端网络病毒隐患极大，会导致病毒大面积传播、用户信息泄露、不良和违法信息蔓延，进而成为网络攻击跳板，甚至触犯《网络安全法》[6]。因此，加强校园网络安全威胁治理势在必行。

本文设计的校园网络终端病毒预警及闭环自动化处理系统（以下简称预警及处理系统）结合学校现有网络安全条件实现网络安全威胁“可见、可管、可控”。预警及处理系统首先通过ODI数据集成技术从学校建设的人事管理系统、学生工作管理系统、研究生管理系统等获取用户信息作为基础数据；然后，通过全网网络安全态势感知和用户上网认证系统精准定位网络安全威胁，即“谁在什么时间感染了什么病毒”；在获取了网络安全威胁信息后，预警及处理系统调用实名制上网认证网关关停用户上网账号，通过手机短信告知用户所感染的病毒信息并要求安装杀毒软件进行全盘查杀病毒；用户按要求完成相关事项后，在系统中上传全盘查杀的截图，并预警及处理系统开通用户上网账号，至此对于网络安全威胁的处置结束。

1 相关技术及应用

1.1 MVC开发模式

MVC模式（Model-View-Controller）是软件工程中的一种软件架构模式，把软件系统分为三个基本部分：模型（Model）、视图（View）和控制器（Controller）[7]。

Model（模型）是应用程序中用于处理应用程序数据逻辑的部分，通常模型对象负责在数据库中存取数据。View（视图）是应用程序中处理数据显示的部分，通常视图是依据模型数据创建的。Controller（控制器）是应用程序中处理用户交互的部分，通常控制器负责从视图读取数据，控制用户输入，并向模型发送数据。MVC 分层有助于管理复杂的应用程序、简化了分组开发。

预警处理系统所采用的开发技术跟随流行趋势和前沿技术，在代码质量、安全性、可维护性等方面具有一定的优越性。其中Web前端遵循“结构、表现、行为”的思想，采用div+css，结合jQuery技术构建Web界面，注重前端代码的优雅性。网页的样式设计、网页动态效果的脚本、设计三者分离，也使程序员、美工人员各司其职，更好地协同工作。同时在开发中使用jQuery，简洁优雅地实现Ajax效果。服务器端采用SSH框架技术实现MVC开发模式构建，即Struts，Hibernate和Spring的框架组合，进而提高系统的开发效率，使开发人员更注重于业务逻辑设计。

1.2 ODI（Oracle Data Integrator）

ODI（Oracle Data Integrator）是Oracle公司提供的一种数据集成工具，能高效地实现批量数据抽取、转换和加载。该技术在本系统开发中主要应用于师生信息（包含学号/工号、姓名、单位、手机号）和网络安全威胁事件按一定时间频率抽取后，推送到预警处理系统中。

2 需求分析

校园网络用户群体大，均在3万人以上，接入校园网的电脑及其他终端数量更为庞大，精准定位、清除校园网络中存在的病毒是维护校园网络安全的重要内容。另外，《网络安全法》于2017年6月出台以来，因触犯该法规被行政处罚、经济处罚的案例屡见不鲜，网络安全事件同时对学校美誉度也有重大影响。因此，加强校园网络病毒治理是信息化管理部门工作的重中之重。

实现校园网络病毒的感知及闭环自动化处理需要开发一套预警及处理系统，实现相关设备联动和用户交互，借助广大师生自身力量，实现用户终端病毒治理自动化，达到净化校园网络环境的目的。为了实现上述目标，系统需要实现校园网所有用户信息获取、网络安全威胁信息感知、网络安全威胁信息获取与推送、用户处理情况反馈、上网账号关停与开通的自动化。

2.1 用户信息获取

用户信息是定位网络安全威胁及后续互动处理的重要信息，本系统采用ODI从学校数据中心获取上网用户信息，主要包含学号/工号、姓名、所在单位、手机号。其中学号/工号是关联网络安全威胁事件与用户的唯一标识，手机号是推送预警手机短信的必要信息。

2.2 网络安全威胁感知

利用学校部署的网络安全态势感知系统、用户上网认证系统可以精确侦测到用户感染病毒情况。网络安全态势感知系统[8][9][10][11]中的潜伏威胁探针对于病毒、蠕虫、木马后门、拒绝服务攻击、各种服务器攻击、终端攻击、扫描攻击、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为（如P2P上传/下载、CGI访问攻击、IIS服务器攻击、网络游戏、视频/音频、网络炒股）等威胁具有高精度的检测能力。同时，探针的自定义应用识别规则库模块，可以通过参数的灵活设定，把关注的特殊事件作为自定义策略下发给引擎进行检测。对于网络流量的异常情况具有非常准确、有效的发现能力。潜伏威胁探针获取到感染病毒所在机器的IP地址后与用户上网认证系统比对，进一步定位到病毒所在机器的使用人。

2.3 网络安全威胁信息获取与推送

采用ODI技术从网络安全态势感知系统获取网络安全威胁信息后，预警及处理系统设定定时器定期向感染病毒的上网账号使用人发送感染病毒信息，同时暂停该账号连接互联网，以避免校园网络病毒向互联网传播。其中发送短信操作通过调用短信平台的接口实现。

2.4 用户处理情况反馈

用户接收到手机短信后，按要求安装杀毒软件并进行全盘查杀，将查杀情况截图上传到预警及处理系统中，上网账号自动开通。如果用户未按要求完成彻底查杀病毒，系统会再次发送手机短信要求用户处理，直至将病毒清理干净。

2.5 上网账号关停与开通

上网账号的关停与重新开通，预警及处理系统通过调用上网认证系统的接口实现。

3 系统设计

3.1 系统模型

整个系统分为前端界面、WEB服务器、数据库服务器、ODI服务器和原有业务系统五个部分，如图1所示。

图1 系统模型

前端界面：该层直接为用户服务，整合了HTML+CSS+JavaScript+EasyUI等应用技术。前端界面和Web服务器端采用Ajax异步技术执行业务逻辑、获取执行结果，采用JSON作为请求参数传递、结果返回的数据交换格式。

Web服务器层：采用Java语言作为开发语言，使用Struts，Hibernate和Spring的框架组合实现MVC开发模式。服务器端主要实现的功能包含组织机构管理模块、用户管理模块、病毒预警信息管理模块以及处置反馈管理模块。同时，各模块功能实现中还包含短信发送、上网账号启停功能等。业务逻辑实现的同时面向前端界面提供服务接口，通过JSON格式数据进行数据交换。

数据库服务器层：系统使用Mysql作为数据库服务器，用于系统所需数据的存储、接收ODI推送的数据。

ODI服务器层：ODI服务器主要实现从人事系统、学生工作管理系统、研究生系统、全网态势感知系统获取数据并推送到预警信息处理系统。

校园网络现有系统层：校园网络现有系统为当前已有信息化条件，是人员数据和病毒预警信息的数据源。

3.2 系统功能

本系统用户群体主要为各单位网络安全管理员、教师和学生。网络安全管理员可以查看本单位病毒感染情况及相应人员信息，督促相关人员进行处理。教师和学生可以查看本人是否存在病毒感染预警信息并进行处理。功能模块及系统界面如图2、图3所示。

图2 功能模块图

图3 管理员界面

4 结语

本系统采用MVC开发模式，前端展示与服务器端程序松耦合，应用系统开发灵活高效。该系统将学校数据中心、态势感知系统、上网认证系统等有效融合，在传统网络安全实现网络安全威胁“可见”的基础上实现校园网络威胁闭环处理、自我净化，应用效果良好。

[1]刘威鹏，胡俊，方艳湘,等.基于可信计算的终端安全体系结构研究与进展[J].计算机科学，2007，34（10）：257-263.

[2]魏楚元，任彦龙，李欣.高校网络安全治理体系构建研究[J].网络安全技术与应用，2021（1）：96-98.

[3]周文彬.“互联网+”背景下的校园网络信息安全研究[J].网络安全技术与应用，2020（11）：106-107.

[4]龚汉明.高校网络安全问题与应对研究[J].北京教育（高教版），2019（2）：8-12.

[5]李超，王红胜，陈军广，等.加强计算机终端信息安全的两种解决方案[J].计算机技术与发展，2009，19（1）：165-167.

[6]中华人民共和国网络安全法.[EB/OL].http://www.cac.gov.cn/2016-11/07/c_1119867116_3.htm.

[7]刘震林，喻春梅.基于MVC模式的JAVA_Web开发与实践应用研究[J].网络安全技术与应用，2021（1）：57-58.

[8]桑葳.基于大数据与网络态势感知的网站安全管理研究[J].网络安全技术与应用，2020（11）：81-52.

[9]王以伍，张牧.基于大数据的网络安全态势感知关键技术研究[J].电脑知识与技术，2020，16（15）：43-46.

[10]陶源，黄涛，张墨涵，等.网络安全态势感知关键技术研究及发展趋势分析[J].信息网络安全，2018，18（8）：79-85.

[11]戴祥华，张苏炯.大数据网络安全态势感知中数据融合技术的研究[J].中国信息化，2020（04）：81-82.

2020年安徽省高等学校省级质量工程项目（2020qkl16）；2017年度安徽省高等学校省级新工科研究与实践项目（2017xgkxm11）