文｜陈宏聪 康琮

随着智慧校园建设的快速发展，网络安全问题已经成为学校面临的重要挑战之一。为了解决传统智慧校园建设中对敏感数据、威胁漏洞、内部攻击等无法有效监测预测的网络空间安全痛点，本研究以广东交通职业技术学院网络安全体系建设为基础，通过构建本地与云上的态势感知威胁平台，采用知识图谱建模、自适应诱捕与追踪、大数据关联分析、AI智能分析与威胁挖掘等技术，实现了一体化网络安全运营管理中心。本研究的研究成果将为学校的智慧校园建设和网络安全提供科学决策支持，具有重要的实际意义和应用价值。

一、传统智慧校园建设中的网络安全问题概述

随着智慧校园建设的逐步推进，学校通常在校园内部署有多个品牌的安全产品及系统，不同厂商建设系统时采用的技术与标准各不相同，各种网络安全设备通常各自为政，很少能够联动处理出现的问题。在实际应用中，大量的网络安全日志及零散的网络数据使得网络安全体系对于通过自主学习进行智能分析、风险评估、行为预测的准确率和成功率大大降低，现拟通过“大数据+云分析”的防护建设模式，建立相对完整的网络安全体系，经过大数据型分析，解决智慧校园建设中的网络安全问题。

二、相关的安全威胁感知系统研究

从2002年开始，清华大学，浙江大学等国内高校开始了以安全威胁情报为基础的智慧校园网络安全体系建设，国内高校的信息化建设进入新的阶段。

清华大学是国内较早实施信息化工作的高校，在教学、科研、管理等信息化程度非常高，因此常常作为国外攻击重点目标。因此对于智慧校园的网络安全体系建设是一个重要的依据。

浙江大学首先提出建立一个人机共生的体系——网上浙大，建立新式办学空间。其中就提出以安全威胁情报为前提，打造专属于浙大的网络安全体系及整体网络安全运营中台。

此外，奇安信、深信服、绿盟等一批行业企业，也基于上述理念，结合高职院校发展需求，研发了一系列网络安全产品，帮助各高职院校建立了智慧校园网络安全体系。

三、新一代安全威胁感知系统设计与实现

（一）本地与云上态势感知威胁平台构建

1.设计网络感知架构：包括传感器网络的部署位置、传感器类型及其功能。考虑到智慧校园的规模和复杂性，需要在关键位置部署多个传感器，以确保全面的网络监测。

2.部署传感器设备：根据设计方案，在智慧校园内部署各类传感器设备，如入侵攻击检测系统、网络流量监测设备、数据采集设备等，确保传感器设备能够全面覆盖校园网络。

3.数据采集与存储：设计并实现数据采集系统，将传感器收集到的数据进行实时采集、处理和存储。确保数据的完整性和可靠性，并建立本地数据库用于存储和管理收集到的数据。

4.云端数据分析与处理：将本地采集到的数据上传至云端，利用大数据处理技术对数据进行分析和处理。采用机器学习、数据挖掘等技术，发现隐藏的威胁模式和异常行为，并将分析结果反馈给本地平台进行进一步处理。

5.威胁感知与预警系统：通过对采集到的数据进行实时监测和分析，利用AI智能分析技术检测异常行为和威胁事件，及时发出预警并采取相应的应对措施。

6.安全事件响应与处置：建立响应与处置机制，一旦发现威胁事件，能够迅速采取相应的应对措施。这包括隔离受影响的设备、封锁攻击来源、修复漏洞等。

（二）知识图谱建模技术的应用

以广东交通职业技术学院智慧校园网络安全体系为例，知识图谱建模技术可以应用于以下方面：

1.建立安全知识库：通过对网络安全相关的知识进行组织和建模，形成一个结构化的安全知识库。包括各类安全威胁、攻击手段、防御策略等内容，为系统提供丰富的安全知识资源。例如，建立各类网络攻击手段的知识库，包括0day漏洞、DDoS攻击、SQL注入、恶意软件、挖矿等，为系统提供丰富的攻击手段信息。

2.实现语义化搜索：通过对安全知识库的语义化建模，实现智能化的搜索功能。用户可以通过输入关键字或问题，快速地找到相关的安全知识和解决方案。

3.进行风险评估：利用知识图谱建模技术，将各类威胁事件进行语义化建模，并与已有的安全知识进行关联。结合机器学习和数据分析技术，利用知识图谱中的安全知识和历史数据，通过智能风险评估模型可提前预测潜在安全威胁和风险，并提前采取相应的防范策略。

4.支持决策制定：基于知识图谱中的安全知识和智能分析结果，为决策者提供智能化的安全决策支持。通过分析各种数据源、网络事件和风险评估结果，帮助决策者制定更加有效的网络安全策略。

（三）自适应诱捕与追踪技术的应用

以广东交通职业技术学院为例，通过自适应诱捕与追踪技术来模拟诱捕和追踪网络钓鱼攻击者，可以更好地了解网络钓鱼攻击者的行为模式和策略，并采取相应的防御措施，保护校园网络安全：

1.自适应诱捕：学院部署了一个虚拟的电子邮件系统，模拟校园内部的邮件服务。通过诱导攻击者点击伪造的钓鱼链接或打开恶意附件，将攻击者引导到一个虚拟的环境中。

2.追踪攻击者：一旦攻击者被诱捕进入虚拟环境，通过分析攻击流量、IP地址以及攻击者的操作行为，建立攻击者的行为轨迹，并尝试确定攻击者的真实身份。

3.智能化分析与响应：利用AI智能分析技术，对收集到的攻击者行为数据进行分析。通过机器学习算法和行为分析技术，识别出攻击者的行为模式和攻击手段，及时采取防御措施。

（四）AI智能分析技术的应用

1.威胁情报分析：通过AI智能分析技术，对来自各类安全情报源的数据进行自动化处理和分析。通过机器学习算法实现对威胁情报的分类、关联和评估。这样可以提供及时的威胁情报，帮助学院网络安全团队更好地了解当前的安全威胁态势。

2.异常检测与行为分析：利用AI智能分析技术，对学院网络中的流量数据、日志数据等进行实时监测和分析。通过建立智能异常检测模型，系统可以自动识别异常网络行为、恶意软件和入侵攻击等安全威胁。同时可以发现并预测潜在的安全风险和威胁。

3.自动化安全决策：基于AI智能分析技术，通过机器学习算法和规则引擎，根据安全威胁情况，自动触发相应的防御措施，可以快速响应安全事件，并减少对人工干预的依赖。

4.智能预测与优化：利用AI智能分析技术，通过对历史数据的分析和建模，预测未来的安全威胁和风险。有助于学院网络安全团队提前采取相应的防御措施，并优化网络安全策略。

四、实验与评估

为了评估新一代安全威胁感知系统在智慧校园网络安全体系中的应用，我们设计了以下实验设置和数据收集方法：

MMM的抗污染能力通过牛血清蛋白和卵清蛋白通量恢复率(BSA/OVA FRR%)评估。将定量的牛血清蛋白固体直接溶解在去离子水中配制成 0.5 g·L-1的BSA水溶液，其pH值为7。卵清蛋白固体直接溶解在 0.9% 的氯化钠溶液中配制成 0.5 g·L-1的OVA盐溶液通。通量恢复率是恢复通量(Jr)与纯水通量(Jw)的比值，通量恢复率值越高表示复合膜的清洗效果越好，实验结果如图6(a)以及表3所示。

（一）实验环境搭建

在广东交通职业技术学院的智慧校园网络中，部署新一代安全威胁感知系统，并确保其与其他网络设备和系统的正常连接和运行，如图1所示。

图1 新一代安全威胁感知系统环境框架

1.安全攻击模拟：通过模拟各类常见的网络攻击行为，对实验环境进行攻击。这些攻击行为旨在测试新一代安全威胁感知系统对不同类型攻击的检测和响应能力。

2.数据收集：在实验过程中，记录新一代安全威胁感知系统的运行日志、报警信息、安全事件记录等数据。同时，收集攻击行为的数据包、攻击者IP地址等信息，以供后续分析和评估使用。

（二）实验结果分析

基于收集到的实验数据，我们进行了以下实验结果分析：

1.攻击检测率：通过分析新一代安全威胁感知系统的报警信息和安全事件记录，计算出对不同类型攻击的检测率。评估系统在实时监测和感知威胁方面的能力。

2.假阳性率：分析报警信息中的假阳性情况，即误报的安全事件数量。评估系统在准确性和误报率方面的表现。

3.响应时间：记录新一代安全威胁感知系统对安全事件的响应时间，即从检测到报警的时间间隔。评估系统在快速响应和处置威胁方面的效率。

五、结论与展望

（一）主要研究成果总结

基于对新一代安全威胁感知系统在智慧校园网络安全体系中的应用进行实验与评估，我们得出以下主要研究成果总结：

新一代安全威胁感知系统在智慧校园网络中展现出较高的攻击检测率和较低的假阳性率。系统能够及时识别和报警各类网络攻击行为，并准确判断真正的安全威胁，为智慧校园网络提供了有效的防御能力。

实验结果显示新一代安全威胁感知系统具备较快的响应时间，能够迅速识别并响应安全事件。系统能够快速采取相应的处置措施，有助于减少攻击对智慧校园网络的影响。

（二）存在的局限性和未来改进方向

在研究过程中，我们也发现了一些局限性和可以改进的方向：

实验环境限制：由于实验仅在广东交通职业技术学院的智慧校园网络中进行，可能无法完全代表其他学校的情况。未来可以扩大实验样本范围，涵盖更多不同类型的智慧校园网络。

攻击类型覆盖：虽然我们模拟了多种常见的网络攻击行为，但仍有可能有其他未考虑到的新型攻击。未来可以进一步扩展攻击类型的覆盖范围，以提高系统对新型威胁的感知能力。

（三）对智慧校园网络安全领域的展望

基于本次研究成果，我们对智慧校园网络安全领域的未来发展提出以下展望：

进一步发展智能化安全威胁感知系统：结合机器学习和人工智能技术，进一步提升安全威胁感知系统的自动化和智能化水平，提高对复杂、隐蔽攻击的识别和响应能力。

强化多层次防御策略：除了安全威胁感知系统，还应该综合运用防火墙、入侵检测系统等多种安全措施，形成多层次、综合性的智慧校园网络安全体系，提高整体安全防护能力。

加强用户教育和意识提升：智慧校园网络安全不仅依赖技术手段，也需要用户的主动参与和合理使用。加强网络安全教育和培训，提高用户对网络安全风险的认知和防范意识。

通过持续的研究和创新，我们有信心进一步提升智慧校园网络的安全性，为师生提供更加安全可靠的网络环境。