“恶意代码及其防治技术”课程的实验环境构建与实验内容设计.doc

“恶意代码及其防治技术”课程的实验环境构建与实验内容设计 　　摘要:“恶意代码及其防治技术”是信息安全本科专业的核心课程之一,其实验环境构建与实验内容设计对学生掌握所学知识、提高分析和处理恶意代码的实践能力具有重要的意义。本文结合南开大学信息安全专业的教学实际,探讨了课程“恶意代码及其防治技术”实验教学中实验环境构建和实验内容设计问题,给出了该课程实验环境和实验内容的一个建设方案。 　　关键词:实验环境构建;实验内容设计;恶意代码及其防治技术 　　中图分类号:G642文献标识码:B 　　 　　1引言 　　 　　恶意代码(包括病毒、蠕虫和木马等)严重地干扰着整个计算机网络的应用环境,对网络和信息的安全造成了严重的威胁。恶意代码的研究与防治,目前已经发展成为信息安全的一个重要领域,人们从技术、管理到应用各个层面对此都极为重视。信息安全专门人才的培养中,恶意代码及其防治技术是知识体系和能力体系中的重要组成部分,课程“恶意代码及其防治技术”是信息安全专业必选课程之一;恶意代码的分析和处理也是信息安全人才必备的技能之一。 　　信息安全是一个实践性要求很强的学科,扎实的专业基础知识和较强的实践动手能力是信息安全专门人才的培养目标,其中的实践能力是人才培养过程中重要的能力要求之一,而实验教学是提高学生实践能力的主要环节。实验环境的构建与实验内容的设计是实验教学中的基础,对人才的培养具有重要的作用。本文结合南开大学信息安全专业的教学实际,探讨了课程“恶意代码及其防治技术”实验教学中实验环境构建和实验内容设计问题。 　　 　　2实验环境构建 　　 　　目前,国内信息安全专业“恶意代码及其防治技术”课程的实验教学内容,一般都是要求学生亲手编写一些简单的恶意代码程序,然后运行恶意代码以实现其恶意行为,其目标是让学生通过实验了解恶意代码的编写和运行中的行为,从而增强学生对恶意代码的编写及恶意代码的逻辑结构特点的认识。然而,在分析社会对信息安全专业人才能力的需求时,我们注意到,这些实验对学生日后实际工作中处置恶意代码时的帮助并不大。事实上,在实际工作中,人们更多的是关注如何去解决恶意代码所带来的问题,并为对抗恶意代码提出解决方案,而对恶意代码的编写的关注程度并不像我们在实验教学中要求的那样高。因此,“恶意代码及其防治技术”实验的重点应集中在让学生学会如何去识别恶意代码、分析恶意代码,并进一步提出针对恶意代码的适当的解决方案。 　　“恶意代码及其防治技术”实验环境与其他的计算机实验有所不同,因为恶意代码具有传播能力和破坏性,所以恶意代码的实验环境构建需要考虑防止恶意代码的扩散和破坏。为了防止恶意代码的扩散,同时又便于管理和使用,整个实验环境应包括恶意代码分析区、安全服务区、实验数据区和学生上机实验区等几个独立的区域;对恶意代码分析区采用物理防火墙进行隔离,而且整个实验环境与外部网络也采用物理防火墙进行了隔离。实验环境拓扑结构示意图如图1所示。 　　2.1恶意代码分析区 　　恶意代码分析区包括以下几个部分: 　　(1) 恶意代码的静态逆向分析环境 　　在此环境中,学生通过静态反汇编技术将恶意代码从机器指令逆向成可阅读的汇编指令,进而分析恶意代码的组织结构、恶意行为的实现细节,并从中分析出恶意代码的标志性特征,进而对恶意代码进行家族分析和变异分析。 　　 (2) 恶意行为动态跟踪分析环境 　　在此环境中,学生通过动态跟踪调试工具来跟踪恶意代码的执行过程,观察恶意行为的表现,验证静态逆向分析。如果恶意代码具有复制行为,需要收集被恶意代码感染的样本。如果恶意代码具有网络行为,例如网络嗅探、网络渗透等,可以配合蜜罐网络对其行为进行监视和记录。 　　(3) 沙箱网络 　　为了引诱恶意代码对其进行攻击和入侵,沙箱网络的主机上留有各种安全漏洞。在恶意代码的攻击和入侵过程中,沙箱网络能够监视并记录系统中的所有操作和行为。通过对监视记录的研究和分析,可以得到恶意代码采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对恶意代码的活动范围以及下一个攻击目标进行分析。 　　2.2安全服务区 　　安全服务区包括以下几个部分: 　　(1) 漏洞扫描系统 　　漏洞扫描系统,包括信息收集(发现网络中的主机、主机系统开放了哪些端口、启动了哪些服务等)、安全检查(检查系统口令的安全性、各种服务的安全配置等)和渗透测试(对数据库、各种服务、系统漏洞等进行渗透测试)三个主要功能。学生通过漏洞扫描系统去分析那些被恶意代码攻陷的主机中存在的各种安全缺陷,总结恶意代码的生存环境,并提出相应的防御措施消除恶意代码的生存环境。 　　(2) 入侵检测系统 　　入侵检测系统通过模式匹配、协议分析、专家系统等检测手段对恶意攻击和入侵进行检测。学生通过各