何亚南 袁建明 朵云峰 刘发稳

摘要：目前，大部分数据的传输和使用都是通过网络数据的形式进行传输，网络数据的传输形成了网络流量，为研究高校“校园贷”的状况，对网络流量进行采集，从而分析提取网络数据来实现流量监测和控制越来越重要。该文介绍了“校园贷”借贷平台的分类及特点，通过对网络流量采集、网络流量分析及网络行为管理等技术进行研究，为网络流量监测应用于高校“校园贷”风险预警提供了理论依据。

关键词：校园网;校园贷;流量监测;流量分析

中图分类号：TP393.1      文献标识码：A

文章编号：1009-3044（2021）16-0055-03

开放科学（资源服务）标识码（OSID）：

1 背景

随着互联网技术的发展，网络信贷平台的出现，高校非法“校园贷”乱象频发，面向大学生群体的校园网络信贷给高校造成了严重的影响。伴随着互联网规模的不断扩大，使现有的校园网络系统具有更高的混乱性、复杂性和危险性，尤其当下，网络安全形势严峻，做好高校“校园贷”的预警，用科技手段引导学生合理使用信贷平台，打击非法借贷平台已经刻不容缓。在校园网网络安全管理中，对校园网的流量采集、监测与分析是校园网安全管理的一个重要手段，它可以为高校网络管理员的决策提供重要的数据依据，通过对校园网网络流量进行监测，掌握学生使用网络信贷平台的态势，对高风险信贷行为和人员做出预警，降低学生盲目使用信贷平台造成的危害。

2 “校园贷”的主要平台介绍

根据百度百科的定义，“校园贷”是指在校大学生向正规金融机构或者其他借贷平台借钱的行为[1]。“校园贷”严格来说可以分为以下五种类型：

（1） 消费金融公司：消费金融公司是经银监会批准，主要目的是以消费为主，为个人提供贷款的非银行金融机构，如“趣分期”“任分期”等，部分消费贷款还支持低额度的现金提现。

（2）传统电商平台：天猫、淘宝、京东等这些大型电商平台为消费者提供借贷服务，如京东白条、支付宝提供的蚂蚁花呗和蚂蚁借呗等。

（3） P2P贷款平台：P2P网贷平台是个人通过网络平台进行相互借贷的行为，用于大学生助学和创业。由于国家监管要求，下发了《关于进一步加强校园贷规范管理工作的通知》，包括名校贷在内的大多数正规网贷平台暂停开展高校借贷业务，随之该业务压缩直到完全归零。

（4） 银行机构：各大银行面向特定的高校大学生提供的校园贷款产品，如中国银行的“中银E贷”、招商银行的“大学生闪电贷”等，主要通过线下方式进行借贷。

（5） 民间借贷平台：也称为线下私贷或高利贷，它的主体是民间放贷机构和放贷人，它通常会进行虚假宣传、线下签约、做非法中介、收取超高费率，同时存在暴力催收等问题，受害者通常会遭受巨大财产损失甚至威胁自身安全。这种类型的贷款也正是造成“网贷”悲剧的罪魁祸首。

通过对“校园贷”的研究，可以归纳其具有以下三个特征：1）在校大学生是主要的借贷主体;2）借贷门槛低;3）信息不对称。

3 流量采集与分析

3.1 网络流量采集

网络流量监测的首要任务是流量采集，通过流量采集为流量分析提供数据来源，网络流量采集主要是对计算机网络中数据流的特性和变化进行收集，以此来掌握整个网络的运行状况，目前常用的网络采集分析主要有以下四种技术[2]：

1）侦听网络数据包并对数据包进行分析;

2）基于SNMP协议的MIB库访问模式;

3）使用PROBE技术对IP网络流量数据进行采集;

4）使用NETFLOW技术进行网络流量数据采集[3]。

为了降低流量监控系统对现有校园网的影响，网络流量的采集可使用旁路部署的模式，在校园网与互联网连接的端口上设置端口镜像，将出入校园网的流量镜像一份到网络流量采集平台。平台可使用winpcap或libpcap等主流流量嗅探库进行实时采集，其中，WinPcap是一款应用比较普遍的采集平台，它使用的技术是侦听网络数据包并对数据包进行分析。

WinPcap为Win32应用程序提供服务，包含一个NPF的最优化的内核模式驱动，还包含与libpcap平台兼容的一套用户级函数库，使得它在处理较大函数库的时候，只需简单编译就可以立即在Win32平台下使用，考虑到网络监听的重要性，该平台还支持特殊的系统调用函数，保证采集数据的完整性，它还可以向网络发送原始數据包并捕获原始数据包，通过过滤器对捕获的数据包进行过滤处理，同时能对网络通信进行统计。

3.2 网络流量分析

网络流量对网络空间的各项活动进行真实的反馈，网络中用户的行为、网络的运行状况、网络的流量趋势预测、优化网络配置、控制网络资源以及网络中的安全事件监测都可以通过网络流量分析来实现。高校网络管理员可以通过网络流量分析来发现潜在的网贷用户及网贷行为。

网络流量分析的分类方法有很多种，按照分析流量的时间不同，网络流量分析可以分为在线识别和线下识别;按照流量的范围不同，网络流量分析可以分为全网识别和非全网识别。按照分析对象的不同，专网流量分析分为针对用户终端的流量分析和针对主干设备的流量分析[4]。

在线识别是在流量产生时就对流量进行识别和分析，它的特点是实时性较强，所以在算法处理速度和设备的性能方面有较高的要求，适用于关键信息的分析;线下识别是将待识别的流量保存到存储设备后再进行分析处理，它的特点是能够提取更多的流量信息，识别准确率更高，但不足之处是不具备实时性，适用于对流量进行全面回溯和深度分析。

全网流量识别是指流量分析对所有的流量都进行分析，非全网识别是只分析部分流量。全网流量分析受限于算法处理速度和设备性能影响，通常也只对特定的协议（例如DNS，SSH，HTTP等协议）、服务类型（例如邮件、游戏、流媒体等服务）、应用类型（如QQ、微信、淘宝等应用）进行分析[5]。

本文主要针对“校园贷”平台的网络流量进行分析，采用专网的全网流量开展在线识别，包括主干设备的用户终端的流量，拟使用开源工具YARA来进行分析识别校园网络，YARA工具帮助校园网络管理员方便识别恶意软件样本，基于文本、二进制模式或其他匹配信息创建恶意软件描述信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成，并阐述其逻辑。YARA规则可以提交给文件或在运行进程，以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件家族[6]。

3.3 校园贷行为管理

做好高校“校園贷”监测及预警工作，需要在校园网络环境中部署一系列的网络行为管理工具，将其作为探针把数据传给中心端，然后由中心端统一进行流量采集、流量分析、行为分析等内容，采集师生在社交网络、搜索引擎活动中的数据，并进行数据挖掘和数据分析，将可能发生的不良网贷消灭在萌芽状态。

首先，需要选择合适的网络行为管理工具，采用旁路方式接入核心网络设备，采用端口镜像技术对经过核心网络设备的上下行端口的流量信息进行采集、分析;其次，对网络行为管理工具的以下功能进行配置、验证、测试[7]：

1）对各种搜索引擎中的关键字过滤并记录。针对主流的搜索引擎配置“搜索引擎关键字审计与过滤”，发现用户有关于贷款或借贷平台的搜索行为，采集搜索记录。

2）URL内容的过滤、记录。记录用户上网中的URL的题目、具体URL、端口、时间、协议，形成URL识别库。

3）文件下载内容过滤。对FTP、HTTP的上传、下载内容进行追踪、限速或者阻断。

4）发帖内容记录及关键字过滤。涉嫌网贷词汇、非法关键字、政治词汇等内容发布到各种论坛、微博或者贴吧上，势必给高校带来不良影响，过滤非法关键字并审计记录具体内容。

5）即时通讯内容管理。利用对QQ、微信等主流即时通讯软件的外发信息关键字识别、阻断、记录，避免线下贷款的产生。

6）邮件内容记录及过滤。对Web-Mail、POP3、SMTP等进行监测，并对用户收发邮件的内容、标题、附件、时间等元素进行记录和过滤。

7）其他外发内容的管理。针对Telnet、SSH等传统协议的外发内容进行关键字识别、阻断、记录。

此外，网络行为管理工具必须支持多种应用，而不应该仅局限于网络层和传输层的网络标准，它应该能够检测并追踪动态端口的分配情况，具备自动识别使用同一端口的不同协议的功能。

3.4 校园网流量监测系统架构

通过对网络流量采集与分析，构建校园网流量监测系统架构，通过网络采集与分析等技术手段，监测校园网络中的数据流量以此判断校园网数据流量是否[8]。从结构上来看，该流量监测系统由服务器端口和客户端口两部分组成，客户端口负责异常网络流量的采集与处理，而服务器端口负责正常网络流量的采集与处理[9];从业务的处理、计算和分析来看，该流量监测系统主要采用B/S架构模式，通过这种架构，客户端无须进行维护，只需通过WWW浏览器来实现，这样降低了开发难度，同时减少了维护成本。以此提出高校校园网流量监测系统的整体架构如下图所示：

4 结束语

鉴于“校园贷”的对象主要是在校大学生，借贷门槛低，容易出现信息不对称情况，对高校“校园贷”网络流量监测及预警的研究，有利于降低恶劣“校园贷”事件发生的概率。通过网络流量采集、网络流量分析、网页过滤、关键字过滤等技术手段规避校园网络环境中的借贷事件，为广大师生提供一个健康安全的校园网络环境。通过网络行为管理工具，高校相关部门可实时掌控学校网络情况，为各项决策提供信息支持，实现对高校“校园贷”行为的有效控制和管理，使“网贷”悲剧不再发生。

参考文献：

[1] 陈剑阳.高校“校园贷”的现状、成因与对策[J].浙江理工大学学报（社会科学版），2020，44（5）：566-571.

[2] 赵海琳.校园网络流量监测分析与研究[D].长沙：湖南大学，2009.

[3] 牛丽君，郭宇明，朱晓梅.网络管理中流量采集技术的应用[J].计算机与信息技术，2006（11）：53-55.

[4] 赵双，陈曙晖.基于机器学习的流量识别技术综述与展望[J].计算机工程与科学，2018，40（10）：1746-1756.

[5] 张建平，李洪敏，贾军，等.一种基于流量与日志的专网用户行为分析方法[J].信息安全研究，2020，6（9）：783-790.

[6] 陈本刚.基于成本敏感在线主动学习的恶意网页检测方法[D].太原：中北大学，2020.

[7] 周涛，杨翠翠，吕美敬.高校网络舆情监测及预警研究-中央财经大学党建和思想政治工作理论研究课题资助[J].课程教育研究：学法教法研究，2018，5（11）：233-234.

[8] 周康乐.基于数据挖掘的校园流量监测系统设计[J].现代电子技术，2020，43（21）：59-63.

[9] 刘庆.基于时间序列的网络异常流量发现模型研究与实现[D].包头：内蒙古科技大学，2010.

【通联编辑：谢媛媛】