全媒体监管平台网络行为安全预警系统设计与实现

杜雨潇

(西安航空职业技术学院，航空管理工程学院， 陕西，西安 710089)

0 引言

随着全媒体的快速发展，监管平台需要应对多媒体形态、多传播方式、多终端服务形式以及各种网络安全问题，如何实现对全媒体的网络行为做出有效的预警，设计出基于网络行为的预警与响应系统，既能实现对网络数据的监测，又能在网络出现异常行为时做出预警，从而保证全媒体的全流程和全业态正常运行的系统。为此研究引入了信息安全等级保护制度，目的是为了保障信息网络的安全，促进全媒体信息化建设健康发展。

1 网络行为预警系统的设计需求

1.1 基础设施搭建

在进行监管平台网络行为安全预警系统设计时，需进行基础设施以及平台的搭建工作。根据设计目标和设计要求合理的规划设施的使用，包括系统所需的显示器、网路线路、云平台等。在构建云平台时，要满足自动化智能化的管理和维护子系统的设计需求，统一合理的构建管理平台和存储平台。

1.2 内容传播预警

监管平台网络行为安全预警系统需对全媒体实施全方面的预警，并对网络数据和传播内容进行监测以及具备对各种传播路径进行指挥、干预和信息的发布。其中传播内容包括节目内容、直播内容、广告内容等媒体内容。通过设计的系统实现智能化的预警监管模式，并对全媒体内容进行监管，以便于能够掌握传播内容的导向，避免因为传播内容的原因，导致监管平台出现纰漏。

1.3 满足各种传播路径

全媒体的传播路径包括：IPTV、微信、微博、直播软件、手机、电视、广播等，各种传播形式差异很大，对于网络安全的预警有很大难度。因此设计的网络行为安全预警系统须满足以上传播路径的传播需求，并能对其实施网络安全的预警[2]。

1.4 具有很强的网络安全性

作为系统设计中的重要需求，网络安全与否将直接影响系统的有效性。网络安全主要包含：(1)数据的机密性,通常设计数据的加密功能，以防止数据被黑客攻击导致出现泄漏和被分析；(2)数据的完整性,数据信息的有效是建立在数据完整的前提下，以此系统设计时防止数据信息被破坏；(3)数据的保密性,网络安全主要体现在数据的保密性，只有拥有权限的管理人员才能进行相关的操作；(4)数据认证,在出现数据信息纠纷时，可以通过原始数据进行认证，从而避免出现抵赖情况的发生；(5)网络运行稳定,网络安全的平稳运行是网络安全的前提，也能对其他影响网络安全的因素产生影响，因此保证网络稳定是系统设计的基础。

2 监管平台网络行为安全预警系统设计原理

2.1 系统设计原理

监管平台网络行为安全预警系统设计与实现，是通过对数据进行采集并加以分析和评估网络中存在的安全威胁，并对安全威胁发生地进行精确分析计算，找出可能出现威胁的位置，假如有病毒或者木马有网络入侵的异常行为，监管平台的系统会启动预警程序在病毒未形成攻击威胁时，将系统设置的阈值或者特定的数据库与发生的数据进行对比分析，以此判定其网络行为是否存在安全问题。如果对比分析显示为异常，系统程序就会启动预警权限以阻断异常的网络行为，实现对网络安全的保护。系统同时会对网络安全造成的损失进行评价和记录处理，以便于对此次网络行为进行分析，从而避免类似的情况再次发生。预警系统的设计原理就是通过对可能发生的异常行为进行快速的数据分析，从而挖掘出可能存在的网络安全威胁，再向系统发送预警信号来阻击病毒或者其他威胁的入侵。

2.2 网络入侵概述

网络入侵是指按照一定时间和空间顺序，并在一定范围之内展开入侵行为。通常情况下它们的入侵可以概括为3个阶段：第一阶段，利用网络接口并通过常用的媒体传播方式来寻找攻击的目标；第二阶段，通过对收集的数据分析，查找系统的薄弱点，并作为入侵的突破口；第三阶段，通过系统漏洞入侵后，破坏系统的防御措施并窃取网络数据。监管平台网络行为安全预警系统就是在病毒入侵前进行监测和预警，将病毒阻击在前两个阶段当中，防止对系统造成破坏。

2.3 系统预警工作流程

监管平台对网络安全进行监管，通过采集网络数据分析存在的威胁，对其进行位置和攻击目标的判断并回传给系统，系统对回传的信息进行对比分析，检测是否对网络安全产生损坏，并发出威胁的预警信号，最后对破损的部位进行修复，防止病毒进一步的入侵。

3 网络行为安全预警系统设计与实现

3.1 逻辑架构

为了保障全媒体监管平台实现全范围、全过程、数据深度化以及网络安全的目标，研究设计的逻辑架构是基于云计算而搭建而成的。利用云计算中的虚拟化技术与云安全ACL技术将架构中的各子系统进行相关性的横向共享，利用基础信息库、非结构化数据仓库、大数据挖掘技术，实现全媒体的预警、舆情分析以及内容违规预警监管职能。研究通过将数据流各层进行融合，其中包括采集层综合处理层、展示运用层、资源池以及共享库的超融合，从而组成新的逻辑架构。此架构利用交互层为用户提拱不同的业务子模块的使用选择，同时实现了在业务层面上的硬件设施整合与各软件系统的融合[3]。系统逻辑架构如图1所示。

图1 系统逻辑架构示意图

3.1.1 系统数据采集层设计

系统架构中采集层的作用是采集文本、图像或音视频数据信息并进行下载和存储。采集层的原理是将范围内的数据前段进行采集和爬虫应用采集再将其组成，具体是通过提取各类数据、音视频编解码、信号解忧、爬虫搜索采集以及数据解析技术完成对全媒体数据的采集工作，也是系统架构中的第一层。

3.1.2 资源池设计与实现

虚拟化云存储资源作为云计算平台中底层资源的重要组成部分，虚拟化云存储利用FC-SAN架构把所有的磁盘拟化成统一的存储形式，在设计时要满足对业务需求的灵活拓展，从而控制存储的空间对存储设备或陈列的虚拟化设置，构建出统一的存储中心，从而实现对各类数据和文件的存储。

虚拟化网络资源的构建方式是二层扁平化组网，其结构分为接入、汇聚以及核心三层，分别对前端业务网络、存储网络和管理网络实行功能性的定位。通过设计资源池预警系统，实现对全媒体的各项运行指标的监控，并通过合理的预警方式实现对网络安全的监控和调度[4]。

3.1.3 系统共享库设计与实现

共享库模块在网络安全预警系统中主要的功能是汇集全媒体传播中的所有输入数据信息，并将其规范化的进行存储和输出，此时输出的数据是标准的，为下层综合处理层提供数据基础。共享库的设计包括各类数据库，例如业务数据库、专家数据库、信息数据库以及视听备案库，通过对数据库进行分类，实现对全媒体各类信息的共享。

3.1.4 系统综合处理zz层设计与实现

系统综合处理层的设计是基于共享库的标准数据知识样本基础之上实现的，通过对全媒体传播路径的监测，将网络行为异常的传播内容或者是威胁进行提取和收藏取证，为后期监管平台的判定提供数据支持，系统实施综合处理后，利用人工智能技术将很大程度上减少监管人员的工作量，同时对违规行为也起到了警示的作用。综合处理层中的人工智能技术主要包括人脸识别技术。音频对比技术、敏感图像/视频识别技术、语音识别技术、不良文字分类技术以及大户数据分析技术，以此作为网络行为的预警。

3.1.5 系统展示运用层设计与实现

展示运用层通过对不同路径的传播内容进行数据监管，并为平台监管人员提供违规判定的显示界面，以此对网络安全作出预警。另外一种是利用云计算功能，对大数据进行深入的挖掘和分析，通过生成的数据统计表，实现对数据关联性、类别以及历史演变的分析，从而为监管工作提供智能技术支持。

3.2 用户行为分析模块设计

3.2.1 用户行为分析模块原理

作为系统的基础模块，用户行为分析原理主要是针对流量的分析，各层协议通过实时和非实时的方式实现。该模块对采集的网络基础流量信息进行存储和分析，从结构上分为四层结构即数据链层、网络层、传输层、应用层，用户行为分析模块将各层的特征进行联系，从而为对象进行不同化的分析。

3.2.2各层的流量分析

(1) 数据链路层流量分析

数据链路层流量的分析主要包括数据链路层数据包的解析以及数据链路层流量分析的实现。其中数据链路层数据包的解析时，利用包头的类型字段区进行种类的区分，同时将抓获包的时间和大小进行标记；数据链路层流量分析的实现是通过服务器在数据库将读取的数据进行统计分析，最终呈现在网页上。

(2) 网络层的流量分析

对于该层的数据包解析是将网络协议经过筛除去掉以太网包头后，如果没有上层信息则完成数据的解析，反之则继续解析。网络层流量分析通过进入IPv6协议进行流量分析，并采用2种操作方式实现，一种是通过点击链路层的分析结果链接，另一种是点击主界面的IPv6协议。

(3) 传输层的流量分析

传输层的数据包在解析时,首先分析链路层和网络层的包头信息,然后将包头剥离后再对传输层数据包进行解析。其具体的工作流程是：用户进入该界面后建立临时表，通过对用户是否改变约束条件分析，进行流量的分析并显示相应的统计结果，用户继续点击用户流量分析链接，以此循环。

(4) 应用层的流量分析

应用层流量分析可通过2条不同的路径实现。一种是通过点击上层流量分析结果的链接；另外一种是在主界面中点击开始分析模块进行分析。

3.3 使用行为分析子系统设计与实现

通过构建网络使用行为模型，对用户的行为进行有效的分析的同时，再根据用户的当前行为构建出行为的模型。使用行为分析子系统包括聚类分析和关联分析两部分，对信息流进行采集、提取特征值、对用户的行为进行分析预测，从而预防网络攻击。使用行为分析子系统的数据流如图2所示。

图2 使用行为分析子系统的数据流图

3.3.1 聚类分析模块设计与实现

聚类分析是发生在行为特征被获取后，系统会进行数据的挖掘工作，其中第一步骤就是聚类分析。系统进行数据的挖掘前需将信息转化成使用行为表示形式，将用户的数据和数据点进行一一的对应设置，并进行Point存储。聚类分析的具体流程是：开始进入计算初始聚类中心，将点划入距离最近的类，在数据样本中寻找具有最远距离的点并将其从所属中排出划入到孤立点集后，进行半径阈值的重心计算，如果孤立点到聚类中心的距离小于半径阈值，那么将此点从孤立点排出划入类，再将各类中距离小于半径阈值的点划分至本类中，重新计算聚类中心。

3.3.2 关联分析模块设计与实现

系统获得了使用行为序列之后，开始进行挖掘处理以得到频繁序列，也是行为模式。研究利用算法和itemset进行行为序列的保存，类itemset的定义为：

Public class itemset

{

Public:

//删除项集

Vector〈int〉*deleteItemSets(Vector〈int〉*itemsets,int minSup,int maxSup);

boolean contain(int item);//是否包含item

void updateSup(Vector〈int〉*itemsets,vetor〈int〉*items);

//更新支持度

int getSup();//获取支持度

}

3.4 使用行为预测子系统设计与实现

攻击行为检测分析研究设计的系统会对不同形式的攻击行为进行检测和预警，其中常见的2种攻击行为是协议异常安全预警和流量异常安全预警。

(1) 协议异常安全预警

协议异常安全预警的实现，主要是对采集的数据进行协议的解析和判断并对不合规范的数据进行针对性监测。研究设计的检测模型，通过构建协议规则将有关的协议规则存储至规则库，如果检测的协议和数据库中的规则出现差异，系统将会对数据进行重点防护。

(2) 流量安全预警

该功能模块的实现是通过对端口进行扫描，并根据相关的制定原则进行端口开合的处理。首先要判断端口的开合状态，在鉴定了端口的闭合情况后，就可利用流量安全预警模块对端口进行防护扫描，通过扫描分析网络流量与正常流量对比，检测出网络的攻击行为，从而实现攻击行为的检测分析。

3.5 使用行为特征提取子系统

系统利用格式分析处理模块，将数据项中的数据进行分开，而分开后的特征数据可作为网络使用行为特征提取的依据。系统再根据这些提取的依据进行数据的统计分析和处理，以此形成特征值，具体的使用行为特征值提取子系统数据流如图3所示。

图3 使用行为特征值提取子系统数据流图

3.6 预警及响应子系统

3.6.1 攻击行为预警

该模块的设计是对用户进行行为的鉴定，以此对攻击行为进行预警，当模块确定了攻击的行为时，则会以该行为信息进行统筹分析，从而生成安全预警报告，具体数据流图如图4所示。

图4 攻击行为预警数据流图

3.6.2 策略响应模块

该模块的实现主要是在攻击将要发生或者是正在发生时，通过对信息进行分析和检测，以此来保证策略数据的准确，并做好记录日志。如果没有查询到相应的响应策略，需将情况报告管理，为其提供提醒措施。

3.7 系统监控网络模块设计与实现

监控网络模块的设计主要是对全媒体中所有传播路径进行数据的监听，从而保证控制网路系统能够有足够的数据流量进行访问。该模块设计时需满足可以对特定的IP地址进行访问，对高层协议进行分析和过滤，对网络运行情况进行查询，从而实现监控网络模块的设计。

3.8 系统后台服务管理器

全媒体监管平台网络预警系统是由硬件资源和软件资源共同组成的，其中后台服务管理其作为系统重要组成部分，在数据信息的保存、应急处理、指挥调度等方面发挥着重要的作用。系统通过对后台服务管理器的设计，实现了全媒体数据信息的统计、查询和分析，为监管平台网络安全的管理提供支持。

4 网络安全预警系统实现

研究采用的是Windows Server 2008作为系统的操作平台，硬件设备CPU为因特尔酷睿i5，主频为3.0 GHz，存储软件选用的是SQL Server 2015,通过对设计的安全预警的实验测试，系统能够准确的找到入侵根源，并入侵对象实施预警，同时系统自动的对入侵进行处理，从而验证了安全预警系统的准确性和有效性[5-6]。

5 总结

全媒体发展态势良好，但对于网络行为的安全预警工作仍然是监管平台的首要任务。研究设计了基于网络行为的安全预警系统，系统采用的云计算技术能够对网络行为进行监控和分析，及时的发现入侵的根源并做出相应的预警反应，以此保证网络的平稳运行，为全媒体监管平台的监管工作提供支持。