王 志 賈春福

摘要:“惡意代碼及其防治技術(shù)”是信息安全本科專業(yè)的核心課程之一,其實驗環(huán)境構(gòu)建與實驗內(nèi)容設(shè)計對學生掌握所學知識、提高分析和處理惡意代碼的實踐能力具有重要的意義。本文結(jié)合南開大學信息安全專業(yè)的教學實際,探討了課程“惡意代碼及其防治技術(shù)”實驗教學中實驗環(huán)境構(gòu)建和實驗內(nèi)容設(shè)計問題,給出了該課程實驗環(huán)境和實驗內(nèi)容的一個建設(shè)方案。

關(guān)鍵詞:實驗環(huán)境構(gòu)建;實驗內(nèi)容設(shè)計;惡意代碼及其防治技術(shù)

中圖分類號:G642文獻標識碼:B

1引言

惡意代碼(包括病毒、蠕蟲和木馬等)嚴重地干擾著整個計算機網(wǎng)絡(luò)的應(yīng)用環(huán)境,對網(wǎng)絡(luò)和信息的安全造成了嚴重的威脅。惡意代碼的研究與防治,目前已經(jīng)發(fā)展成為信息安全的一個重要領(lǐng)域,人們從技術(shù)、管理到應(yīng)用各個層面對此都極為重視。信息安全專門人才的培養(yǎng)中,惡意代碼及其防治技術(shù)是知識體系和能力體系中的重要組成部分,課程“惡意代碼及其防治技術(shù)”是信息安全專業(yè)必選課程之一;惡意代碼的分析和處理也是信息安全人才必備的技能之一。

信息安全是一個實踐性要求很強的學科,扎實的專業(yè)基礎(chǔ)知識和較強的實踐動手能力是信息安全專門人才的培養(yǎng)目標,其中的實踐能力是人才培養(yǎng)過程中重要的能力要求之一,而實驗教學是提高學生實踐能力的主要環(huán)節(jié)。實驗環(huán)境的構(gòu)建與實驗內(nèi)容的設(shè)計是實驗教學中的基礎(chǔ),對人才的培養(yǎng)具有重要的作用。本文結(jié)合南開大學信息安全專業(yè)的教學實際,探討了課程“惡意代碼及其防治技術(shù)”實驗教學中實驗環(huán)境構(gòu)建和實驗內(nèi)容設(shè)計問題。

2實驗環(huán)境構(gòu)建

目前,國內(nèi)信息安全專業(yè)“惡意代碼及其防治技術(shù)”課程的實驗教學內(nèi)容,一般都是要求學生親手編寫一些簡單的惡意代碼程序,然后運行惡意代碼以實現(xiàn)其惡意行為,其目標是讓學生通過實驗了解惡意代碼的編寫和運行中的行為,從而增強學生對惡意代碼的編寫及惡意代碼的邏輯結(jié)構(gòu)特點的認識。然而,在分析社會對信息安全專業(yè)人才能力的需求時,我們注意到,這些實驗對學生日后實際工作中處置惡意代碼時的幫助并不大。事實上,在實際工作中,人們更多的是關(guān)注如何去解決惡意代碼所帶來的問題,并為對抗惡意代碼提出解決方案,而對惡意代碼的編寫的關(guān)注程度并不像我們在實驗教學中要求的那樣高。因此,“惡意代碼及其防治技術(shù)”實驗的重點應(yīng)集中在讓學生學會如何去識別惡意代碼、分析惡意代碼,并進一步提出針對惡意代碼的適當?shù)慕鉀Q方案。

“惡意代碼及其防治技術(shù)”實驗環(huán)境與其他的計算機實驗有所不同,因為惡意代碼具有傳播能力和破壞性,所以惡意代碼的實驗環(huán)境構(gòu)建需要考慮防止惡意代碼的擴散和破壞。為了防止惡意代碼的擴散,同時又便于管理和使用,整個實驗環(huán)境應(yīng)包括惡意代碼分析區(qū)、安全服務(wù)區(qū)、實驗數(shù)據(jù)區(qū)和學生上機實驗區(qū)等幾個獨立的區(qū)域;對惡意代碼分析區(qū)采用物理防火墻進行隔離,而且整個實驗環(huán)境與外部網(wǎng)絡(luò)也采用物理防火墻進行了隔離。實驗環(huán)境拓撲結(jié)構(gòu)示意圖如圖1所示。

2.1惡意代碼分析區(qū)

惡意代碼分析區(qū)包括以下幾個部分:

(1) 惡意代碼的靜態(tài)逆向分析環(huán)境

在此環(huán)境中,學生通過靜態(tài)反匯編技術(shù)將惡意代碼從機器指令逆向成可閱讀的匯編指令,進而分析惡意代碼的組織結(jié)構(gòu)、惡意行為的實現(xiàn)細節(jié),并從中分析出惡意代碼的標志性特征,進而對惡意代碼進行家族分析和變異分析。

(2) 惡意行為動態(tài)跟蹤分析環(huán)境

在此環(huán)境中,學生通過動態(tài)跟蹤調(diào)試工具來跟蹤惡意代碼的執(zhí)行過程,觀察惡意行為的表現(xiàn),驗證靜態(tài)逆向分析。如果惡意代碼具有復制行為,需要收集被惡意代碼感染的樣本。如果惡意代碼具有網(wǎng)絡(luò)行為,例如網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)滲透等,可以配合蜜罐網(wǎng)絡(luò)對其行為進行監(jiān)視和記錄。

(3) 沙箱網(wǎng)絡(luò)

為了引誘惡意代碼對其進行攻擊和入侵,沙箱網(wǎng)絡(luò)的主機上留有各種安全漏洞。在惡意代碼的攻擊和入侵過程中,沙箱網(wǎng)絡(luò)能夠監(jiān)視并記錄系統(tǒng)中的所有操作和行為。通過對監(jiān)視記錄的研究和分析,可以得到惡意代碼采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息,還能對惡意代碼的活動范圍以及下一個攻擊目標進行分析。

2.2安全服務(wù)區(qū)

安全服務(wù)區(qū)包括以下幾個部分:

(1) 漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng),包括信息收集(發(fā)現(xiàn)網(wǎng)絡(luò)中的主機、主機系統(tǒng)開放了哪些端口、啟動了哪些服務(wù)等)、安全檢查(檢查系統(tǒng)口令的安全性、各種服務(wù)的安全配置等)和滲透測試(對數(shù)據(jù)庫、各種服務(wù)、系統(tǒng)漏洞等進行滲透測試)三個主要功能。學生通過漏洞掃描系統(tǒng)去分析那些被惡意代碼攻陷的主機中存在的各種安全缺陷,總結(jié)惡意代碼的生存環(huán)境,并提出相應(yīng)的防御措施消除惡意代碼的生存環(huán)境。

(2) 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)通過模式匹配、協(xié)議分析、專家系統(tǒng)等檢測手段對惡意攻擊和入侵進行檢測。學生通過各種檢測方法對實驗中的惡意代碼的攻擊行為和入侵行為進行分析,深入理解這些惡意行為與正常行為之間的區(qū)別并找到有效的區(qū)分策略。

(3) 多引擎聯(lián)查系統(tǒng)

學生可以通過多引擎聯(lián)查系統(tǒng)獲得多個安全公司對惡意代碼的命名、分類、行為等信息,以使學生了解當前安全公司對惡意代碼的命名規(guī)則、分類方法,為學生深入分析惡意代碼提供參考。

2.3實驗數(shù)據(jù)區(qū)

實驗數(shù)據(jù)區(qū)包括以下幾個部分:

(1) 惡意代碼樣本數(shù)據(jù)庫

統(tǒng)一存放學生試驗用的各類惡意代碼樣本,通過系統(tǒng)隔離和安全加密等方式防止惡意代碼的泄漏和擴散,學生取到惡意代碼樣本后只有在試驗區(qū)才可以進行解密和分析。

(2) 解決方案測試服務(wù)器

用于驗證學生所提出來的惡意代碼樣本的解決方案。發(fā)給學生的樣本只是其病毒家族或某一家族變異分支的一員,測試學生上交的解決方案是否全面地解決了病毒家族或某一變異分支的全部惡意代碼(即是否有漏報),并檢測是否有干凈文件被解決方案所誤殺(即是否有誤報)。

(3) 惡意樣本的行為分析知識庫

記錄了惡意代碼樣本庫中各個樣本的惡意行為的深入分析。學生先自己動手在實驗區(qū)對樣本行為進行分析,然后跟知識庫中的行為分析進行比對,查看是否有遺漏的或誤判的惡意行為。

(4) 惡意樣本解決方案知識庫

記錄了惡意代碼樣本庫中各個樣本的全面解決方案。學生在分析完惡意代碼樣本的行為并找出相應(yīng)的特征后就要嘗試著自己制定開發(fā)相應(yīng)的解決方案,然后跟知識庫中的解決方案進行對比,查看是否全面,是否高效等。

2.4學生上機實驗區(qū)

學生上機實驗區(qū)可以訪問安全服務(wù)區(qū)、實驗數(shù)據(jù)區(qū)、Internet、查找資料、寫分析文檔、開發(fā)解決方案等,但與惡意代碼分析區(qū)隔離。

3實驗內(nèi)容設(shè)計

實驗內(nèi)容設(shè)計的出發(fā)點,也是教會學生在遇到惡意代碼的情況下如何識別、分析和處置惡意代碼。實驗內(nèi)容主要包括以下兩個大類:一是,惡意代碼的各種基本行為的分析實驗;二是,惡意代碼的防治策略制定實驗。

(1) 惡意代碼的各種基本行為的分析實驗

惡意代碼的各種基本行為的分析實驗,目的是讓學生嘗試分析一些常見的惡意代碼行為,加深對這些惡意代碼的認識。實驗內(nèi)容可以包括:

計算機病毒感染行為的分析;

蠕蟲代碼的基于網(wǎng)絡(luò)傳播行為的分析;

蠕蟲代碼的基于郵件傳播行為的分析;

特洛伊木馬代碼的偽裝策略分析;

后門代碼的秘密通道分析;

間諜代碼的竊取密碼行為分析;

漏洞攻擊和緩沖區(qū)溢出代碼的分析。

這些實驗內(nèi)容分別讓學生分析了計算機病毒、蠕蟲、特洛伊木馬、后門程序、間諜軟件、漏洞攻擊和緩沖區(qū)溢出惡意代碼。通過這些分析,學生加深了對惡意代碼的分類和各類惡意代碼的典型行為的認識,了解了惡意代碼的組織結(jié)構(gòu)、執(zhí)行方式和攻擊策略,為研究惡意代碼的防治策略提供了重要支持。

在惡意代碼的各種行為的分析實驗中,學生首先從惡意代碼樣本庫中取出需要分析的惡意代碼樣本,將惡意代碼樣本存放到惡意代碼分析區(qū),結(jié)合靜態(tài)的逆向分析和動態(tài)的跟蹤分析,認識惡意代碼的組織結(jié)構(gòu)、生存環(huán)境、攻擊對象、運行機制和惡意代碼的特征或者進一步分析該惡意代碼的家族特征。

在分析過程中,學生可以結(jié)合漏洞掃描系統(tǒng),分析那些被惡意代碼攻陷的主機中存在的各種安全缺陷,得到那些基于漏洞的惡意代碼的生存環(huán)境。

在沙箱網(wǎng)絡(luò)中運行惡意代碼樣本,記錄系統(tǒng)中的所有操作和行為。學生通過研究和分析監(jiān)視記錄,將更有針對性的進行靜態(tài)逆向分析和動態(tài)跟蹤分析。

入侵檢測系統(tǒng)可以幫助學生很容易的發(fā)現(xiàn)惡意代碼的各種攻擊和滲透行為,加強學生對惡意的攻擊和滲透行為的認識,幫助學生找到惡意行為與正常行為之間的異同,進而提取出惡意攻擊和滲透行為的特征點。

多引擎聯(lián)查系統(tǒng),讓學生了解到專業(yè)的安全公司對該惡意代碼樣本的命名,通過命名規(guī)則學生可以了解到該惡意代碼的分類信息、家族信息和一些行為信息。

當學生通過各種分析方法得到惡意代碼的分析結(jié)果后,他們可以將自己的分析結(jié)果和惡意樣本的行為分析知識庫中的完整的分析結(jié)果進行對比,發(fā)現(xiàn)自己的分析結(jié)果有哪些遺漏或錯誤,然后再次分析和驗證,最終得到完整的分析結(jié)果。

(2) 惡意代碼的防治策略制定實驗

惡意代碼的防治策略實驗是要求在對惡意代碼的深入分析的基礎(chǔ)上進行的。學生根據(jù)前期深入的惡意代碼行為分析的結(jié)果,結(jié)合惡意特征掃描方法來嘗試開發(fā)惡意代碼的檢測程序。惡意特征掃描方法主要包括:

惡意特征的字節(jié)序列掃描;

惡意特征的正則表達式掃描;

帶偏移量的快速惡意特征掃描;

針對首尾的快速惡意特征掃描;

針對入口點和特殊位置的快速惡意特征掃描;

帶過濾機制的快速惡意特征掃描;

基于統(tǒng)計的惡意特征掃描。

學生根據(jù)前期的分析實驗提取出惡意代碼樣本的特征碼,選擇一種惡意特征掃描方法,然后編寫相應(yīng)的檢測程序。然后將開發(fā)出的惡意代碼檢測程序上傳到解決方案測試服務(wù)器中進行測試,以測試該程序是否存在誤報或漏報問題。如果出現(xiàn)誤報或漏報,學生可以從服務(wù)器上下載誤報或漏報的文件樣本,分析誤報或漏報的原因,然后改進檢測程序。如果沒有誤報或漏報現(xiàn)象,學生將自己的檢測方案與惡意樣本解決方案知識庫中的方案進行對比,查看自己開發(fā)的方案是否全面、高效。

4總結(jié)

實驗是教學過程中的重要環(huán)節(jié),是提高學生動手能力的根本途徑;實驗內(nèi)容的設(shè)計和實驗環(huán)境的構(gòu)建應(yīng)以滿足社會對人才工作能力的需求為目標,緊跟技術(shù)及其應(yīng)用的發(fā)展趨勢,這樣才能培養(yǎng)出掌握最新技術(shù)、滿足社會需求的高質(zhì)量人才。本文探討了“惡意代碼及其防治技術(shù)”實驗環(huán)境的構(gòu)建和實驗內(nèi)容的設(shè)計問題。希望對兄弟院校的相應(yīng)工作能夠提供一定的參考。

參考文獻:

[1] 高敏芬,賈春福. 信息安全專業(yè)實驗教程[M].南開大學出版社,2007.

[2] Peter Szor. The Art of Computer Virus Research and Defense[M]. Addison Wesley Professional,2005.

[3] John Aycock. Computer Viruses and Malware[M]. New York :Springer, 2006.