前言:中文期刊网精心挑选了网络安全逆向工程范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全逆向工程范文1
关键词:僵尸网络;网络安全;防范措施
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 20-0000-02
随着计算机网络的快速发展,网络病毒也在不断的更新,病毒的千变万化给网络的安全和稳定造成了巨大的威胁。加大对网络安全的重视,建立网络安全系统,是现代网络发展的必须之路。下面将主要介绍僵尸网络病毒及其防范。
1 僵尸网络概述
随着计算机网络的发展,各种病毒也不断的更新,其中出现的一款“僵尸网络”病毒对计算机网络危害性极大,这些“僵尸网络”攻击者们采取各种途径进行僵尸程序传播,网络上的主机一旦感染了“僵尸网络”病毒将会接受攻击者的控制信道指令,在攻击者的控制下不断地进行传播,从而组成僵尸网络。而这种僵尸网络一旦形成一定的规模,攻击者便可通过僵尸网络对其所控制的信息资源进行违法、危害网络的事情。僵尸网络的结构如图1:
图1:僵尸网络的结构图
从以上图可以看出,僵尸网络其实是一种一对多的网络结构,即攻击者通过控制僵尸服务器,在主机被感染僵尸程序主动向僵尸服务器传达接收信息之后,传达相关指令对这些僵尸主机进行控制。可见它并不是一种拓扑结构,它是一种一对多的分布式结构,是随着僵尸程序不断对主机的感染从而将这些感染过的僵尸主机拉入到僵尸网络中来。
2 僵尸网络的传播途径及其危害
2.1 僵尸网络的传播途径。攻击者进行僵尸网络传播的途径主要有以下几种,第一是通过攻击系统存在的漏洞进行僵尸程序的传播;第二种是通过发送携带了大量僵尸程序的邮件进行传播;第三种是通过即时通讯如QQ等方式发送一些携带或者链接了僵尸程序的内容进行传播;第四种是通过设计恶意网站脚本,让用户点击这些恶意网址脚本便通过游览器感染僵尸程序;第五种是特洛伊木马,将僵尸程序伪装成一些有价值的能吸引用户点击软件在P2P服务器和网络中进行传播。通过以上几种方式,僵尸程序恶意地感染主机,使大量的主机变成僵尸主机,从而为攻击者所利用。
2.2 僵尸网络的危害。僵尸网络在网络中病毒危害性很强,主要表现在以下几个方面:第一,僵尸网络的分布式拒绝服务攻击。攻击者通过不断发送僵尸指令,控制这些僵尸主机在特定的时间同时访问某些特定的目标,从而实现此目标拒绝服务的目的,从而造成DIDOS攻击。第二,攻击者通过僵尸网络向大量的僵尸主机发送指令,控制着它们不断的向一些邮箱发送垃圾邮件或者垃圾文件,而且能很好的将发送者的信息和IP地址进行隐藏。第三,在主机被僵尸程序感染之后,攻击者通过僵尸网络能轻松地将僵尸主机中的一些信息(包括主机中的一些机密、敏感信息如机密数据或者个人、个人账号等)进行窃取。第四,攻击者通过僵尸网络做一些耗用资源和违法的事情,比如通过僵尸网络种植广告软件,通过僵尸主机存储大量的违法数据、搭建虚假的网站从事网络钓鱼等活动。总之,僵尸网络病毒危害性巨大,对网络的稳定和健康发展造成极大的威胁。黑客通过对几天僵尸服务器(即僵尸程序的主机)的控制,从而遥控成千上万的僵尸主机,从而展开攻击。
3 僵尸网络的防范措施
面对僵尸网络的威胁,必须采取积极有效的防范措施,对僵尸网络进行样本搜集、数据特征分析和侦测、追踪以及清除。提升僵尸网络的防范能力。各步骤的具体对策如下:
3.1 提升用户防范意识,设立主机防火墙。由于僵尸网络传播的一个最主要的特点是用户无形中的参与,比如点击具有链接病毒网络的网址,打开携有僵尸程序的邮件等等。这些都跟用户的主观操作有关。因此,要想对僵尸网络进行有效的防范,首先的树立网络防范意识,用户必须在主机中设立防火墙,安装防毒查毒杀毒软件,对于那些跟自己没多大关联的信息尽量少点击,加强他们对病毒飞防范意识,在僵尸网络传播上就让其受挫,让其无门可入。
3.2 搜集僵尸网络样本,查询僵尸网络控制者。擒贼先擒王,要想完全消除僵尸网络,就必须对僵尸网络的发起者或者僵尸程序制造和者进行控制。只有对他们进行了全面清除,才能有效控制网络上僵尸病毒的传播。而首先就必须根据僵尸网络的特征和性能进行样本收集和分析,通过对僵尸网络样本探究僵尸网络的特征,从而查询僵尸网络的来源。样本搜集的主要途径可以采取:在网络中设置许多蜜罐系统,对网络中的僵尸程序进行扑捉,以获得样本,对这些样本再采取蜜网测试和逆向工程进行分析,探究其行为特征并加以入库,其中的逆向工程主要是对僵尸程序进行反汇编处理,从而得到僵尸网络的数据类型、服务器地址、攻击目标、传播方式等等。为下一步对僵尸网络进行地毯式清除做好准备。
3.3 测查僵尸网络的行为特征,加大对僵尸网络的追踪。僵尸网络形成之后,攻击者往往会对僵尸主机中的信息进行窃取,因此,每个主机必须一个系统的有效的病毒识别防范对策,定时和不定时地对主机进行病毒检测,检测主机中是否存在僵尸网络病毒的行为。首先,主机可以通过恶意软件收集器对僵尸网络程序样本进行收集和识别;其次,通过入侵检测系统对僵尸网络的数据类型、服务器地址、攻击目的、传播方式等行为特征进行检测;最后通过病毒跟踪系统软件对这些僵尸程序或者僵尸网络进行跟踪,提醒那些被攻击的主机,提高防范意识,同时追踪僵尸网络服务器,报警抓获僵尸程序制造和者。再者,其实可以将这些检测、追踪、分析等步骤进行整合,建立一套僵尸网络病毒查杀软件,从侦测僵尸网络、分析其行为特征到对僵尸网络的追踪和对服务器的查找,进行一条龙式的服务。
4 结束语
综上所述,僵尸网络病毒其主要通过攻击系统存在的漏洞、发送携带了大量僵尸程序的邮件、即时通讯、设计恶意网站脚本、特洛伊木马等方式进行传播,对计算机网络造成巨大的威胁,造成的危害有:分布式拒绝服务攻击、发送垃圾邮件、窃取僵尸主机信息等等。因此,必须采取积极有效的措施对僵尸网络进行侦测、分析、追踪和查杀。主要的防范措施有:提升用户防范意识,设立主机防火墙;搜集僵尸网络样本,查询僵尸网络控制者;测查僵尸网络的行为特征,加大对僵尸网络的追踪。总之,必须做好僵尸网络的防范工作,其对网络的稳定安全健康的发展有着极大的作用。以上就是“僵尸网络”对网络安全的威胁与防范措施的具体探讨。
参考文献:
[1]贾花萍.JIA Hua-ping僵尸网络的危害及其应对策略[J].电脑知识与技术,2011,4.
[2]吴玲.蠕虫型僵尸工具的传播模型及检测技术研究[D].武汉大学硕士论文,2010.
网络安全逆向工程范文2
【关键词】 通信安全 防护盾 物联网
一、前言
无线传感器作为物联网的重要组成部分,广泛应用于社会生活中。与有线网络相比,无线传感网具有以下特点[1]:网络拓扑结构复杂,节点数目多,易失效,没有统一的身份(ID),密集分布在目标区域,容易受到安全威胁,如路由毁坏及错误数据注入等[2]。无线网络结构如图1所示:
这些特点给无线传感器网络安全带来了全新的要求,使大多数安全机制和安全协议难以应用到无线传感器网络上,也使得设计无线传感器网络安全防护系统成为一项具有挑战性的工作。
二、威胁分析
本文将无线节点之间通信遇到的主要安全威胁对象分为2类:被动接收节点发出信号的监听者和主动扰乱节点信号传播的破坏者。
1.被动的监听者:这一对手监听无线介质上传播的信号。本文考虑具有以下特点:
(1)可能尝试不同的编码策略。
(2)可能使用标准的或者定制的装备。
(3)距离无线节点的距离可能比防护盾到无线节点的距离大得多(例如在20cm外或者更远)。
2.主动的破坏者:这样的对手向无线节点发送未经授权的无线电命令。这些命令可能有意的修改无线节点配置或者触发无线节点进行不必要的传播来消耗其电量。本文考虑具有下述特点:
(1)使用现成编程器向节点发送未经授权的命令。
(2)使用逆向工程技术破译协议向目标节点发送大功率信号。
(3)与节点的距离比防护盾与节点的距离更远。
三、系统设计概述
为了保护无线节点而不改动其它,本文设计了一个距离无线节点很近的防护盾作为。经过授权的编程器不再直接与对应的无线节点进行通信,而是由防护盾作为媒介,间接地把编程器的命令传送给无线节点,同时把无线节点反馈的信息带到编程器,如图2所示:
假设防护盾和编程器之间存在一个可信的、经过加密的信道,由防护盾阻塞任何同无线节点的直接通信,只允许经过授权的编程器经过该通道与无线节点进行通信。本文通过设计阻塞兼接收器,实现了防御被动监听和防御主动攻击的效果,防护盾干扰兼接收使用过程如图3所示:
类似于全双工电台,防护盾能够实现同步发送和接收。两根天线:一根干扰线和一根接收线。干扰线产生干扰信号,用来防止被动监听,接收线连接发送链和接收链。发送链发送矫正信号抵消接收天线前端的干扰信号(此信号即为干扰线产生的),使得接收链能够接收到信号而不被系统本身掺入的干扰信号所干扰。矫正信号计算如下:
四、评估
本文测评防护盾对商用无线节点的效用,结果表明本文设计的防护盾可以有效保护无线节点发送的信息,避免无线节点受到未经授权的第三方命令的侵入。本文测试了两种不同的无线节点,由于它们并未表现出很大的差别,本文把两次测试的结果结合到一起。本文测试的结果如下:
一个被动的监听者在所有测试点的位错误率都几乎为50%――即该监听对手的解码效果并不比随机猜测高明。
此外,即使扰时,防护盾依然可以以低于0.2%的丢包率可靠地解码无线节点的数据包。本文得出防护盾和无线节点之间共享一条其他方无法侵入的信道。
当防护盾存在且处于激活状态时,一个商用的编程器即使距离无线节点20cm也不会引起该节点的回答,而一个更加高端的攻击者以防护盾100倍功率进行传播时也仅仅在距离无线节点5米之内才能引起回应,而且必须得在无线节点的直接视野之内。进而,防护盾侦测到这些高功率的发送信号并且发出警报。本文得出防护盾给高功率攻击者的传播提高了准入门槛。
网络安全逆向工程范文3
【关键词】Flash漏洞;漏洞挖掘技术;漏洞利用
当前,网络安全已经成为社会各界的关注热点,根据网络安全统计显示,近些年来,网络漏洞的数量呈显著上升趋势,且新漏洞从公布到被利用所需的时间也在日趋缩短,黑客通过分析所漏洞信息,能够在极短时间内对这些漏洞进行利用,此外,黑客善于挖掘利用某些还没有公布的漏洞,借以发动攻击或将漏洞资料出售,以达到经济目的。
随着Flash应用的逐步推广,对Flash漏洞的攻击也迅速增加,并成为当前网络安全不容忽视的重要方面,但有关Flash漏洞分析与研究仍相对滞后,因此,必须加强Flash应用程序漏洞挖掘技术研究,保障Flash应用的安全性。
1.Flash安全漏洞
所谓的“安全漏洞”,主称为系统脆弱性,简称为“漏洞”,是指计算机系统设计及实现软、硬件,协议及安全策略过程中所存在的缺陷。黑客可利用安全漏洞获取系统额外权限,实现其访问权限的提高,导致系统安全性遭到不同程度的破坏。
漏洞针对的是计算机系统的安全性,包括所有可能引发威胁、破坏系统安完整性、保密性、可靠性、可用性等因素。所有系统,无论硬件还是软件,都无可避免地存在各种漏洞,任何系统都不可能实现绝对性的安全。
Flash安全漏洞主要包括如下类型:Flash文件格式漏洞、Flash跨站脚本漏洞、Flash拒绝服务漏洞、Flash欺骗漏洞等。对于Flash文件格式漏洞而言,其十分常见,黑客利用漏洞可以远程构建包括恶意Flash文件的页面,用户一旦对该页面进行访问,将会直接触发漏洞,黑客可对用户进程权限进行非法访问,并在入侵系统中任意执行各种指令。
统计发现,Flash安全漏洞中一半以上属于Flash文件格式缓冲区溢出漏洞,居Flash所有安全漏洞的首位。自2008年以来,安全漏洞数据库中有关Flash安全漏洞的严重安全漏洞中,文件格式漏洞共8个,由此可见,Flash文件格式漏洞最为常见,利用该漏洞攻击将引发严重的安全事故。由于Flash文件格式漏洞主要是由于文件格式缓冲区溢出漏洞,因此,下文重点针对该类型漏洞挖掘技术及其利用进行分析。
2.Flash漏洞挖掘技术与利用
简称为Flash缓冲区漏洞,缓冲区为程序运行过程中在系统中申请到的一段连续性的内存,其对给定类型数据进行了保存,缓冲区溢出指的是当系统向缓冲区内进行数据位数填充时超出了缓冲区自身容量,所溢出的数据对合法数据进行了覆盖。
理想状态下,程序检查数据的长度要求不能输入超出缓冲区长度的字符,但多数程序都假设数据的长度同所储存空间相互匹配,为该漏洞埋下安全隐患。该漏洞十分常见,而且危害极大,通过溢出破坏应用程序的堆栈,导致程序开始执行其他指令,实现攻击目的。
针对该类型漏洞,现有漏洞挖掘技术包括二进制比对、源码审核等技术。
2.1 二进制比对技术
该技术适用于挖掘已知漏洞,因此,也被认为是漏洞分析技术。由于公告中常常不会指明安全漏洞的实际位置及产生原因,因而难以对漏洞加以利用。
但是,漏洞通常具有补丁,因此,可通过对补丁前后二进制文件进行对比,确定漏洞实际位置及产生原因。
该技术对防止黑客攻击十分有效,通过比对补丁,对漏洞代码进行定位,再对数据流进行分析,即可获得利用漏洞的攻击代码。专家或黑客能在短时间内低该漏洞进行挖掘和利用。该技术包括许多方法,最为简单的即二进制字节对比与文件反汇编后文本对比,前者适用于对比若干字节的变化,后者缺乏语义分析,因而适用于少量小文件变化的对比。
这两种方法均不适用于修改较多的文件,对于这种文件,应采用图形比对方法,通过寻找文件中诸如缓冲区大小变化等非结构变化,采用图形化进行直观地显示和对比,但该方法容易影响编译器的优化,且无法自动发现两大文件中的对比起始点。
2.2 源码审核技术
该技术属于静态分析技术的一种,无需对待测试程序进行分析,仅通过扫描该程序源代码,即可分析函数特征及参数,并识别漏洞,生成人性化错误报告,明确错误类型的位置,并提出相应的建议。该技术主要包括词法、数据流及控制流等分析,其中,数据流分析技术常用于编译过程中,其可以从程序代码中对程序语义信息进行收集,并利用代数方法对编译过程的变量定义及使用进行明确。该技术适用于优化编译,验证、测试、调试程序,对编程环境进行串行等;控制流分析技术主要以基本块和控制流图两大实体为基础;词法分析技术不仅包括编译器语法分析,还包括语义和语法分析,通过对代码词法进行分析,从特征库里将感兴趣内容抽取处理,并对上下文进行分析,针对存在问题的位置及时进行报警,该技术实现了自动化检测,且拥有较快的检测速度,但复杂程序属性分析时容易出现误报等情况。
2.3 Flash安全漏洞的利用
最为常见的Flash缓冲区溢出攻击即在字符串中融入代码植入和活动纪录等技术。攻击者在Flash文件中对可供溢出自动变量进行了定位,利用Flash软件对应用程序传递大量的字符串,导致Flash缓冲区溢出,不仅改变了活动纪录,还将代码成功植入,植入代码与缓冲区溢出并非必须在一次动作内实现。攻击者可利用缓冲区进行代码设置,然后,攻击者利用溢出其他缓冲区对程序指针进行转移。此法常用以解决缓冲区较小,无法完全放置代码的情况。若攻击者利用常驻代码而非植入代码,通常都需要利用代码调用参数。
3.结语
总而言之,Flash漏洞挖掘技术是当前网络安全的重要研究课题之一,是网络攻防研究中的重要方面。必须加强Flash漏洞分析及发掘,以确保网络的安全性。
参考文献
[1]徐良华,孙玉龙,高丰等.基于逆向工程的软件漏洞挖掘技术[J].微计算机信息,2010(08):301-305.
[2]魏瑜豪,张玉清.基于Fuzzing的mp3播放软件漏洞发掘技术的研究[J].计算机工程,2012(02):192-196.
网络安全逆向工程范文4
关键词:任务驱动;模拟项目驱动;计算机网络;教学方法
1研究背景
随着国家信息化进程的不断推进和信息技术的广泛应用,计算机网络技术已经成为信息化领域的核心理论基础和工程技术基础。作为计算机及网络工程相关专业的专业基础和核心课程,计算机网络在信息技术人才培养中占有十分重要的地位。计算机网络课程的教学目标,就是学生通过本课程的学习,掌握计算机网络体系结构、网络系统组成及工作原理、网络设备组成及工作原理、网络应用以及网络管理和网络安全知识[1]。具有一定的计算机网络系统架构、设计、集成、维护、管理和应用开发能力,具备网络协议分析与设计、计算机网络系统分析与设计、网络设备的设计与开发能力[2]。计算机网络课程不仅具有较强的理论体系,而且具有明显的工程技术应用特点,如何将理论教学与工程训练有机地结合起来,达到课程学习的目标,已经成为计算机网络教学方法与手段改革的核心问题。
建构主义学习理论是历经对皮亚杰、布鲁纳、维果茨基、维特罗克(M.C.Wittrock)等人的早期建构主义思想的不断发展,同时伴随着对认知心理学的批判和发展,于20世纪90年代出现在心理学领域中的新型学习理论。建构主义学习理论认为,学习的过程是学习者主动建构知识的过程,学习活动不是由教师单纯向学生传递知识,也不是学生被动地接受信息的过程,而是学生凭借原有的知识和经验,通过与外界的互动,主动地生成信息的过程。任务驱动教学模式是问题―探究式教学模式的提升,它是一种吸收了当今构建主义教育思想而建立起来的、富有活力的教学模式[3]。基于项目任务驱动的教学模式,是在教学过程中针对不同知识领域和知识单元,由教师为学生设计一个完整的学习任务,使学生在设计的教学任务驱动下,通过分析、讨论,利用所学知识进行自主探索和互动协作学习的教学方法。项目任务驱动教学模式特别适用于工程背景突出的计算机网络课程的教学过程。该教学方法的应用,可以很好地培养学生的主动自学能力、严密的思维能力、独立分析解决问题的能力以及团队合作的能力。
2计算机网络课程的层次化教学体系
作为信息技术领域的核心基础课程,计算机网络不仅在计算机及相关专业开设,而且在非计算机专业的选修课程体系中设置。针对不同的专业需求,我们将课程设置成多种方案,以适应不同学科和不同层次学生对课程深度和广度的要求[4]。课程设置应当对计算机网络的知识领域和知识单元进行合理的组合,分层次设置教学内容。我们根据授课对象的不同,将计算机网络教学划分为三个不同的层次:面向网络工程专业的科学型教学层次、面向计算机专业的工程型教学层次和面向非计算机专业的应用型教学层次,如图1所示。
1) 面向网络工程专业的科学型教学层次定位,主要针对网络工程专业的学生设计教学内容。课程的教学目标是培养基于理论研究的计算机网络分析、设计与开发型网络技术研究人才。重点培养学生掌握计算机网络的体系结构设计、网络协议分析与设计、网络设备分析与设计、网络信息安全技术的基础理论和设计技术。为后续核心专业课程的开设奠定理论基础。
2) 面向计算机专业的工程型教学层次定位,主要针对计算机科学与技术专业的学生设计教学内容。课程的教学目标是培养基于工程设计的计算机网络架构、集成与管理型网络技术工程人才。重点培养学生掌握计算机网络的规划、设计、集成、选型与管理的知识与技术,使学生具有一定的计算机网络架构、设计与管理及网络工程的实施能力,能够完成计算机网络工程的方案设计、设备选型、技术集成和项目管理。
3) 面向非计算机专业的应用型教学层次定位,主要针对非计算机专业的计算机基础教学设计教学内容。课程的教学目标是培养基于技术应用的计算机网络的应用、维护与组网型网络技术应用人才。重点培养学生基本掌握计算机网络的工作原理、网络系统的组成、网络设备的维护以及网络管理方面的知识。使学生具有基于计算机网络开展其他工程领域研究与开发所需的网络技术信息化综合能力。
针对网络工程专业和计算机科学与技术专业的课程体系,计算机网络的先修课程和后续课程如图2所示。对于两个不同的专业,可根据培养目标的不同开设不同的后续课程。
3基于任务驱动模式的理论教学方法
“计算机网络”课程的教学内容具有概念繁多、原理复杂、协议与技术交叠的特点。它涉及众多的概念、原理、协议和技术,这些内容以错综复杂的形式交织在一起,既有原理的复杂性,又有技术的时效性。所以,在该课程的教学过程中,学生普遍反映无法深入理解网络的原理与技术,知识点的衔接也无法形成整体。在实验过程中,知识的应用具有盲目性。现有的课堂教学模式无法很好地实现理论与实践相结合、提升学生网络技术能力的教学目的。
我校计算机网络的教学内容按照网络体系结构的层次,采用先整体后局部的教学方法进行内容组织。根据ISO/OSI体系结构,借助网络分层模型和系统化的教学内容组织方法,将教学内容划分为四个知识单元:计算机网络体系结构及工作原理、计算机网络的底层通信与数据传输、计算机网络的网络互联与传输控制、计算机网络的应用服务与信息安全。在课堂教学方法设计上,基于构建主义的任务驱动教学模式,进行各个知识单元的任务设置,以此为支撑点启动各类知识点的教学。基于任务驱动教学模式的设计分4个阶段,内容如下。
1) 基于知识单元的任务设计阶段。根据每一知识单元的核心知识点,由授课教师进行学习任务设计。按照难易适中、问题明确、求解可行、激发兴趣的原则选取任务事例,而且集中体现本单元的核心知识。使学生通过分析、讨论、探究、自主学习和互助学习,达到教学目的。
2) 教师指导下的任务分析阶段。通过教师课堂讲授相关概念和原理,帮助学生建立问题求解的方法和策略,引导学生进行问题分析与方案设计,最终形成一个学习任务求解的方案。
3) 实验环境下的任务求解阶段。在实验环境下实现学生自行设计的学习任务求解方案。在实验过程中,教师要适时提出和归纳所包含的学习知识点,进一步讲解其原理和技术。
4) 项目答辩式的任务评价阶段。由学生汇报其学习任务完成情况,教师通过分析学生在分析问题、思维能力及实践技巧等方面的情况,肯定学生好的思维方法和算法思想,同时对其他没有涉及的理论进行补充,以达到完善认知结构、实现教学目标的目的。
任务驱动教学模式是问题探究式教学模式的提升。在计算机网络的教学方法改革中,基于任务驱动的教学模式就是知识与实验的结合,通过设计包含教学要求知识点的学习任务设计,在实验过程中进行验证和学习。计算机网络课程所划分的4个知识单元中,并不是所有的知识单元教学都适合于任务驱动的教学模式。对于计算机网络体系结构及工作原理知识单元,强调的是计算机网络的组成、网络体系结构、网络性能指标以及相关的概念和原理,适合于认知性和验证性学习,采用传统的课堂教学方式并加以相关的验证性实验进行教学是合适的。
对于计算机网络的底层通信与数据传输知识单元,其核心知识点是有关信号与信道、编码与调制、传输介质与物理层设备、差错处理技术、HDLC和PPP协议,同时涉及计算机通信网部分的以太网、高速以太网、环形网、无线局域网以及局域网交换方面的内容。其工程性较强,可实施学习任务驱动的教学模式。
对于计算机网络的网络互联与传输控制知识单元,其核心知识点是网络层和传输层所包含的知识内容,主要包括网络服务模型及组网方式、IP/ICMP协议族、路由算法和路由协议、IP多播及移动IP、TCP/UDP协议族以及可靠传输的建立等。同样适用于任务驱动模式的教学。
计算机网络的应用服务与信息安全知识单元,主要包括HTTP服务、文件传输FTP、电子邮件SMTP、网络管理SNMP、域名解析DNS以及socket应用编程接口和访问控制、网络检测和加密机制等知识。可以通过多个学习任务进行任务驱动式教学。
当所有课程知识单元学习完成后,教师最后通过一个网络项目实例,将计算机网络系统的工作原理和不同层次协议之间的交互过程进行整体性教学案例逆向分析,不仅使学生学习和掌握每层协议的功能、特性、组成、报文格式和工作原理,而且让学生从总体上分析各类协议在整个网络体系结构中的地位、作用和功能。这就保证了教学内容的整体性和完整性,使学生透过复杂的局部知识看到其内部的不同协议和技术核心。
4基于项目驱动模式的实践教学方法
计算机网络不仅是一门理论性很强的专业课程,而且是一门实践性很强的实验课程。基于项目任务驱动的教学模式,很重要的实现途径就是通过课程实验和实习实训实施。所以,实践教学在整门课程的教学中占有十分重要的地位,在实验学时分配上,以课堂教学与实验教学达到3∶1的比例为宜。同时要在教学体系中设置计算机网络工程综合实验周和计算机网络综合课程设计以及3周以上的逆向工程案例教学,整个课程的学习应当在一个学年内完成。
计算机网络的实践教学内容,要在分析课程知识单元和知识点教学目标的前提下,进行整合和优化。在内容设置上,要减少和改造验证性实验,调整并充实综合性实验,突出设计性和探究性实验的数目和质量。建立验证性实验、综合性实验、设计性实验和探究性实验的分层实践教学体系。实验教学内容要体现由易到难、由简单到综合、由注重传授基本方法和技能到注重创新能力培养的特点。实践教学采用与任务驱动教学模式相统一的项目驱动策略,在课堂教学中所设计的学习任务,应当包含了相关的实验内容。基于项目驱动的实验教学适合于综合性和设计性实验教学过程。
综合性实验是指实验内容涉及本课程的综合知识,学生通过运用综合的实验方法和技术来进行问题求解的实验类型。开设这类实验是通过实验内容、方法、手段的综合,培养学生综合分析问题和解决问题的能力。在基于项目驱动的实验内容安排上,要把握住综合性、探索性的原则。综合性实验适合于计算机网络的底层通信与数据传输知识单元和网络互联与传输控制知识单元的实验设计。
设计性实验是一种小型项目设计实施的工程实验类型。它是指学生应用所掌握的知识,根据教师给定的实验题目、要求和实验条件,自主查阅参考资料、设计实验方案、选择实验方法和实验器材、拟定实验步骤并独立完成实验全过程的实验[5]。设计性实验的本质就是一种基于项目驱动策略的实践教学方法,其目的是使学生通过选定题目、查阅资料、设计方案、拟定实验内容和步骤,进行实验研究、实验总结和论证、完成实验报告等一系列过程,达到培养学生独立完成实验的能力和解决实际问题的能力。设计性实验适合于计算机网络的应用服务和信息安全知识单元的实验设计。
探究性实验是一种对学生要求更高的实验类型,它不仅涉及计算机网络一门课程的知识,而且涉及更多的专业基础课程和专业课程。探究性实验适合于部分优秀学生采取开放性实验申请的方式,在相关教师的指导下完成。探究性实验的本质就是项目驱动的实验教学模式。
5结语
笔者针对计算机网络课堂教学与实验教学方法改革与实践进行探讨,在分析课程3个层次教学对象的基础上,提出将“计算机网络”课程教学内容划分为四个知识单元,基于构建主义的项目任务驱动教学模式,进行不同知识单元的学习任务设计、分析、实施和评价,以达到学生主动学习的目的。基于项目任务驱动教学方法的改革核心是知识单元的任务构建、执行和评价,规范地设计知识任务和实验项目是今后研究和探讨的重点。我们将针对知识任务的规范化模板设计进行深入研究,以便更好地推进改革。
参考文献:
[1] 教育部高等学校计算机科学与技术教学指导委员会.高等学校计算机科学与技术专业核心课程教学实施方案[M].北京:高等教育出版社,2009:229-232.
[2] 教育部高等学校计算机科学与技术教学指导委员会.高等学校计算机科学与技术专业人才专业能力构成与培养[M].北京:机械工业出版社,2010:84.
[3] 郑宏珍,张华. 数据结构精品课程建设实践探讨[J]. 现代计算机,2011(1):82-84.
[4] 张谦,李春燕,付志红,等. 电路原理国家精品课程的建设[J]. 电气电子教学学报,2010,32(1):26-28.
[5] 姜琳,王学水,李培森. 以教学内容体系改革为核心,全面推进大学物理实验精品课程建设[J]. 大学物理实验,2011,24(1):97-100.
Teaching Methods of Computer Network Based on Project Task Driving
GUO Yinzhang, ZHAO Junzhong
(Institute of Computer Science and Technology, Taiyuan University of Science and Technology, Taiyuan 030024, China)
网络安全逆向工程范文5
论文关键词:信息安全 漏洞挖掘 漏洞利用 病毒 云安全 保障模式变革
论文摘要:互联网时代的来临给人们带来便利的同时也使信息安全与网络安全形势日益严峻。形形的漏洞层出不穷,传统的安全保障模式已经无法有效地应对当前的威胁。本文分析了信息安全形势和现状,阐述了由漏洞挖掘、漏洞利用所构成的病毒产业链对现有安全技术和理念的冲击。根据病毒产业链中各个环节的特点,提出了基于“云安全”思想的新型的安全保障模式,使之能够快速感知和捕获新的威胁,并从源头上予以监控。
l 引言
信息安全与网络安全的概念正在与时俱进,它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全,再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作,稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。
近年以来,我国的信息安全形势发生着影响深远的变化,透过种种纷繁芜杂的现象,可以发现一些规律和趋势,一些未来信息安全保障模式变革初现端倪。
2 信息安全形势及分析
据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估,我国被列入防护能力最低的国家之一,排名大大低于美国、俄罗斯和以色列等信息安全强国,排在印度、韩国之后。我国已成为信息安全恶性事件的重灾区,国内与网络有关的各类违法行为以每年高于30%的速度递增。根据国家互联网应急响应中心的监测结果,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
在互联网的催化下,计算机病毒领域正发生着深刻变革,病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。
传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而,现在由于整个链条通过互联网运作,从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控,已经形成了一个高效的流水线,不同的黑客可以选择自己擅长的环节运作并牟取利润,从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响:
首先,病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形,从而生产出大量新种类的病毒。面对井喷式的病毒增长,当前的病毒防范技术存在以下三大局限:①新样本巨量增加、单个样本的生存期缩短,现有技术无法及时截获新样本。②即使能够截获,则每天高达数十万的新样本数量,也在严重考验着对于样本的分析、处理能力。③即使能够分析处理,则如何能够让中断在最短时间内获取最新的病毒样本库,成为重要的问题。
其次,病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下,黑客间通过共享技术和成果,漏洞挖掘能力大幅提升,速度远远超过了操作系统和软件生产商的补丁速度。
再次,黑客通过租用更好的服务器、更大的带宽,为漏洞利用和病毒传播提供硬件上的便利;利用互联网论坛、博客等,高级黑客雇佣“软件民工”来编写更强的驱动程序,加入病毒中加强对抗功能。大量软件民工的加入,使得病毒产业链条更趋“正规化、专业化”,效率也进一步提高。
最后,黑客通过使用自动化的“肉鸡”管理工具,达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。
3 漏洞挖捆与利用
病毒产业能有今天的局面,与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具,这是一柄双刃剑。
3.1漏洞存在的必然性
首先,由于internet中存在着大量早期的系统,包括低级设备、旧的系统等,拥有这些早期系统的组织没有足够的资源去维护、升级,从而保留了大量己知的未被修补的漏洞。其次,不断升级中的系统和各种应用软件,由于要尽快推向市场,往往没有足够的时间进行严格的测试,不可避免地存在大量安全隐患。再次,在软件开发中,由于开发成本、开发周期、系统规模过分庞大等等原因,bug的存在有其固有性,这些bug往往是安全隐患的源头。另外,过分庞大的网络在连接、组织、管理等方面涉及到很多因素,不同的硬件平台、不同的系统平台、不同的应用服务交织在一起,在某种特定限制下安全的网络,由于限制条件改变,也会漏洞百出。
3.2漏洞挖掘技术
漏洞挖掘技术并不单纯的只使用一种方法,根据不同的应用有选择地使用自下而上或者自上而下技术,发挥每种技术的优势,才能达到更好的效果。下面是常用的漏洞挖掘方法:
(1)安全扫描技术。安全扫描也称为脆弱性评估,其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术,人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等,从而检测出已知的安全漏洞,探查主机和网络系统的入侵点。
(2)手工分析。针对开源软件,手工分析一般是通过源码阅读工具,例如sourceinsight等,来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查,进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同,非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中,反编引擎和调试器扮演了最蘑要的角色,如ida pro是目前性能较好的反汇编工具。
(3)静态检查。静态检查根据软件类型分为两类,针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息,然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台idapro,使用自下而上的分析方法,对二进制文件中的库函数调用,循环操作等做检查,其侧重点主要在于静态的数据流回溯和对软件的逆向工程。
(4)动态检查。动态检查也称为运行时检查,基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的,各种技术往往通过融合来互相弥补缺陷,从而构造功能强大的漏洞挖掘工具。
3.3漏洞利用
漏洞的价值体现在利用,如果一个漏洞没有得到广泛的利用便失去了意义。通常,从技术层面上讲,黑客可以通过远程/本地溢出、脚本注入等手段,利用漏洞对目标主机进行渗透,包括对主机信息和敏感文件的获取、获得主机控制权、监视主机活动、破坏系统、暗藏后门等,而当前漏洞利用的主要趋势是更趋向于web攻击,其最终日标是要在日标主机(主要针对服务器)上植入可以综合利用上面的几种挖掘技术的复合型病毒,达到其各种目的。
4 新型信息安全模式分析
最近的两三年间,在与病毒产业此消彼涨的较量中,信息安全保障体系的格局,包括相关技术、架构、形态发生了一些深远、重大的变化,大致归纳为以下三个方面:第一,细分和拓展。信息安全的功能和应用正在从过去简单的攻击行为和病毒防范开始向各种各样新的联网应用业务拓展,开始向网络周边拓展。如现在常见的对于帐号的安全保护、密码的安全保护、游戏的安全保护、电子商务支付过程的安全保护等,都是信息安全功能和应用的细分与拓展。
第二,信息安全保障一体化的趋向。从终端用户来说,他们希望信息安全保障除了能够专业化地解决他们具体应用环节里面临的各种各样的具体问题之外,更希望整体的、一体化的信息安全解决方案贯穿业务的全过程,贯穿it企业架构的全流程。因此,许多不同的安全厂商都在进行自身的安全产品、体系架构的整合,针对性地应用到个人客户的方方面面,表现出信息安全保障一体化的趋向。
第三,安全分布结构的变化。在服务器端,不管是相关市场的投入还是企业的需要,乃至相关的企业对服务器市场的重视都在发生重大的变化。这样的变化对安全的分布结构产生了重大的影响,在这方面,各个安全厂商无论在服务器安全还是客户端安全都加入了许多新型功能,甚至都在从体系结构方面提出一些新模式。
透过技术、架构、形态的新发展,我们看到了·些规律和趋势,吏看到了一些未来信息安伞保障模式变节的端倪。既然客在互联的催化下实现产业化,那么信息安全保障呢?将互联网上的每个终端用户的力量调动起来,使整个互联网就将成为一个安全保障工具,这样的模式就是未来信息安全保障的模式,被一些机构和安全厂商命名为“云安全”。
在“云安全”模式中,参与安全保障的不仅是安全机构和安全产品生产商,更有终端用户——客户端的参与。“云安全”并不是一种安全技术,而是一种将安全互联网化的理念。
“云安全”的客户端区别于通常意义的单机客户端,而是一个传统的客户端进行互联网化改造的客户端,它是感知、捕获、抵御互联网威胁的前端,除了具有传统单机客户端的检测功能以外还有基于互联网协作的行为特征检测和基于互联网协作的资源防护功能,因此它可以在感知到威胁的同时,迅速把威胁传递给“云安全”的威胁信息数据中心。威胁信息数据中心是收集威胁信息并提供给客户端协作信息的机构,它具有两个功能:一是收集威胁信息;二是客户端协作信息的查询和反馈。首先,从“云安全”的客户端收集、截获的恶意威胁信息,及时传递给数据中心,然后传递给来源挖掘和挖掘服务集群,来源挖掘和挖掘服务集群会根据这些数据来挖掘恶意威胁的来源,通过协作分析找到源头,进而对源头进行控制,如果不能控制,则至少可以对源头进行检测。然后,将所有收集到的信息集中到自动分析处理系统,由其形成一个解决方案,传递给服务器,服务器再回传客户端,或者是形成一个互联网的基础服务,传递给所有安全合作伙伴,形成一个互联网技术服务,使整个网络都享受该安全解决方案。
概括而言,“云安全”模式具有以下特点:第一,快速感知,快速捕获新的威胁。“云安全”的数据中心可以并行服务,通过互联网大大提高威胁捕获效率。第二,“云安全”的客户端具有专业的感知能力。通过威胁挖掘集群的及时检测,可以从源头监控互联网威胁。
互联网已经进入web2.o时代,web2.0的特点就是重在用户参与,而“云安全”模式已经让用户进入了安全的2.o时代。在黑客产业化经营的新威胁的形势下,也只有互联网化的“云安全”保障模式才能与之对抗。
4 结柬语
