李依秦，閆巧，郭小紅，江汶潔，江東裕

（深圳大學(xué)計(jì)算機(jī)與軟件學(xué)院，深圳 518060）

1 創(chuàng)新短課設(shè)立

深圳大學(xué)為探索創(chuàng)新創(chuàng)業(yè)型人才培養(yǎng)新模式，營(yíng)造探究式學(xué)習(xí)和自主學(xué)習(xí)氛圍，激發(fā)學(xué)生創(chuàng)新思維，培育學(xué)生創(chuàng)新精神和實(shí)踐能力，充分體現(xiàn)辦學(xué)特色，自2015年開始設(shè)立本科“創(chuàng)新研究短課”。“創(chuàng)新研究短課”強(qiáng)調(diào)學(xué)術(shù)性、研究性和實(shí)踐性。

創(chuàng)新短課包括科研項(xiàng)目短課、專題研討短課、專技實(shí)踐短課和學(xué)院特色短課。其中，網(wǎng)絡(luò)空間安全短課屬于學(xué)院特色短課，以學(xué)院為單位申報(bào)，由學(xué)院依據(jù)專業(yè)培養(yǎng)要求和特色人才培養(yǎng)需要自主開設(shè)，以短課或集訓(xùn)形式集中實(shí)踐，計(jì)專業(yè)選修學(xué)分1學(xué)分,共18學(xué)時(shí)，不計(jì)入績(jī)點(diǎn),實(shí)行小班教學(xué)、固定時(shí)間地點(diǎn)集中授課的形式。開課學(xué)院或相近交叉學(xué)科的一至四年級(jí)學(xué)生均可選修，具體由任課教師定，選課學(xué)生數(shù)為10人左右,不設(shè)期末考試，采取過(guò)程性考核方式，由主講教師根據(jù)學(xué)生課程學(xué)習(xí)情況進(jìn)行成績(jī)?cè)u(píng)定（采用A、B、C、D、F等級(jí)記分制）。實(shí)行師生雙向選擇的招募制，學(xué)院和教師可通過(guò)適當(dāng)方式公布開課信息（網(wǎng)站、BBS等），由主講教師接受學(xué)生報(bào)名。

2 網(wǎng)絡(luò)空間安全創(chuàng)新短課

網(wǎng)絡(luò)安全空間創(chuàng)新短課屬于計(jì)算機(jī)與軟件學(xué)院的學(xué)院特色短課，由學(xué)院依據(jù)專業(yè)培養(yǎng)要求和特色人才培養(yǎng)需要自主開設(shè)，主要以網(wǎng)絡(luò)空間最新案例為切入點(diǎn)，引發(fā)學(xué)生對(duì)網(wǎng)絡(luò)安全的興趣，培養(yǎng)學(xué)生的獨(dú)立科研能力包括文獻(xiàn)查找、問(wèn)題分析歸納總結(jié)、當(dāng)前網(wǎng)絡(luò)空間安全技術(shù)的了解等方面，目的是培養(yǎng)學(xué)生網(wǎng)絡(luò)空間安全的理論和實(shí)踐能力，建立師生良好的溝通和協(xié)作，為學(xué)生的畢業(yè)設(shè)計(jì)、學(xué)術(shù)競(jìng)賽、研究生深造奠定基礎(chǔ)。

網(wǎng)絡(luò)空間安全創(chuàng)新短課在深圳大學(xué)已經(jīng)開設(shè)兩年：2016年主題是詐騙短信的原理和防范，2017年主題是物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊的原理和防范。

我們學(xué)習(xí)了主題是物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊的原理和防范的網(wǎng)絡(luò)安全空間創(chuàng)新短課，該短課共18課時(shí)，主要課程內(nèi)容如下：

課程內(nèi)容

（1）僵尸網(wǎng)絡(luò)及Mirai源碼

（2）分布式拒絕服務(wù)攻擊及其分類

（3）軟件定義網(wǎng)絡(luò)的架構(gòu)和概念

（4）物聯(lián)網(wǎng)架構(gòu)及特點(diǎn)，物聯(lián)網(wǎng)網(wǎng)關(guān)和安全網(wǎng)關(guān)概念

（5）DNS服務(wù)器及其弱點(diǎn)

課程特色

（1）以當(dāng)前熱點(diǎn)網(wǎng)絡(luò)空間安全問(wèn)題為進(jìn)入點(diǎn)，引發(fā)學(xué)生的研究興趣。

（2）通過(guò)文獻(xiàn)查找和文獻(xiàn)閱讀，培養(yǎng)學(xué)生具備一定獨(dú)立科研能力。

（3）通過(guò)概念講解和源碼分析奠定網(wǎng)絡(luò)空間安全研究基礎(chǔ)。

3 選修網(wǎng)絡(luò)空間安全創(chuàng)新短課的收獲

（1）網(wǎng)絡(luò)空間安全創(chuàng)新短課從案例開始引發(fā)對(duì)網(wǎng)絡(luò)安全學(xué)習(xí)的興趣

短課的第一次課程主要從最新發(fā)生的Mirai病毒開始切入。美國(guó)當(dāng)?shù)貢r(shí)間2016年10月22日7點(diǎn)10分，為美國(guó)眾多公司提供核心網(wǎng)絡(luò)服務(wù)的Dyn公司遭到了一起利用IoT設(shè)備發(fā)起的DDoS攻擊。我們也通過(guò)新聞和查閱論文對(duì)此事件進(jìn)行關(guān)注，這次嚴(yán)重的攻擊事件導(dǎo)致了大半個(gè)美國(guó)互聯(lián)網(wǎng)癱瘓。Dyn公司也在早上確認(rèn)了此事件，其位于美國(guó)東海岸的DNS基礎(chǔ)設(shè)施所遭受的DDoS攻擊來(lái)自全球范圍，嚴(yán)重影響其DNS 服務(wù)客戶業(yè)務(wù)，包括 Twitter、Github 、Etsy、Shopify等服務(wù)，還有波及了BBC、華爾街日?qǐng)?bào)、CNN、紐約時(shí)報(bào)等站點(diǎn)。

據(jù)統(tǒng)計(jì)，此次DDoS攻擊事件涉及的IP數(shù)量達(dá)到了千萬(wàn)量級(jí)，Level3、Flashpoint和F5等網(wǎng)絡(luò)公司都相繼確認(rèn)黑客使用惡意軟件Mirai感染IoT設(shè)備進(jìn)行DDoS攻擊，DDoS攻擊使用了多達(dá)150萬(wàn)被入侵設(shè)備組成的“僵尸網(wǎng)絡(luò)”，攻擊者利用這些在線設(shè)備持續(xù)訪問(wèn)網(wǎng)站，形成大量請(qǐng)求流量致其癱瘓[1]。

了解到當(dāng)前世界的真實(shí)網(wǎng)絡(luò)事件激起了我們對(duì)網(wǎng)絡(luò)安全的興趣，我們先對(duì)僵尸網(wǎng)絡(luò)的工作原理和防御對(duì)策進(jìn)行了解與分析，僵尸網(wǎng)絡(luò)(Botnet)是控制者出于惡意目的，傳播僵尸程序控制大量主機(jī)，并通過(guò)一對(duì)多的命令與控制信道所組成的網(wǎng)絡(luò)。而物聯(lián)網(wǎng)終端設(shè)備數(shù)量大、分布廣，且相對(duì)于PC、筆記本電腦等傳統(tǒng)IT設(shè)備，其設(shè)備安全防護(hù)較為薄弱，由于用戶通常不會(huì)太多關(guān)注物聯(lián)網(wǎng)設(shè)備的運(yùn)行情況，即便出現(xiàn)安全隱患也難以被覺察到，因此導(dǎo)致設(shè)備被劫持的風(fēng)險(xiǎn)愈發(fā)嚴(yán)重。在此次的DDoS攻擊事件中，Dyn公司識(shí)別攻擊的來(lái)源大部分指向的是被Mirai惡意軟件感染和控制的設(shè)備。我們發(fā)現(xiàn)Imperva公司也曾對(duì)受Mirai感染的設(shè)備IP進(jìn)行調(diào)查[2]，Mirai病毒在之前的攻擊中感染范圍已經(jīng)遍布全球。

（2）鍛煉了獨(dú)立科研能力

短課的課時(shí)比較短，而涉及的網(wǎng)絡(luò)安全相關(guān)的知識(shí)又非常多，所以如何有效并快速地查找資料，深入理解相關(guān)知識(shí)點(diǎn)是我們首先需要學(xué)習(xí)的。

在這個(gè)過(guò)程中，我們逐漸學(xué)會(huì)當(dāng)面對(duì)一個(gè)完全陌生的概念和領(lǐng)域時(shí)，該如何著手學(xué)習(xí)：

從基本的概念理解開始，繼而閱讀理解難度較低的中文論文，對(duì)該領(lǐng)域知識(shí)有著框架性的認(rèn)知，在此基礎(chǔ)上，繼續(xù)挑戰(zhàn)閱讀難度更大的，更具備先進(jìn)性的英文論文，對(duì)知識(shí)細(xì)節(jié)和前沿研究有更為深刻的認(rèn)識(shí)和理解。

圖1 Imperva對(duì)全球49657個(gè)受Mirai感染的設(shè)備IP調(diào)查結(jié)果[2]

教師將選課的7個(gè)學(xué)生分成3個(gè)小組，每個(gè)小組每周讀取教師規(guī)定的一些論文，每個(gè)小組重點(diǎn)在某個(gè)概念方面如軟件定義網(wǎng)絡(luò)、物聯(lián)網(wǎng)架構(gòu)、域名服務(wù)器等，每個(gè)小組在下周進(jìn)行講述和討論，大家通過(guò)這種講述和討論鍛煉了自己的表達(dá)能力和對(duì)問(wèn)題的理解能力，也增進(jìn)了學(xué)習(xí)的效率。

如此討論了幾節(jié)課之后，我們大致對(duì)主流的一些概念比較熟悉了，并嘗試進(jìn)一步學(xué)習(xí)國(guó)外的知名期刊的英文論文。

（3）增進(jìn)了對(duì)網(wǎng)絡(luò)安全新技術(shù)的了解

在短課中，我們進(jìn)行了四次關(guān)于網(wǎng)絡(luò)安全的討論，主要包括軟件定義網(wǎng)絡(luò)（Software Defined Network,SDN），分布式拒絕服務(wù)(DDoS，Distributed Denial of Ser?vice)，物聯(lián)網(wǎng)安全等幾個(gè)方面。

SDN是一種新型網(wǎng)絡(luò)創(chuàng)新架構(gòu)，它產(chǎn)生在校園里，其核心思想是想將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離開來(lái)[3]，可以更加靈活地控制網(wǎng)絡(luò)，當(dāng)然也就可以更好地保證安全了。

SDN中控制層是和設(shè)備數(shù)據(jù)平面分離開來(lái)的，SDN的架構(gòu)使得它可以把硬件做得很簡(jiǎn)單，很靈巧，但是這也對(duì)它的控制層有了很高的要求，安全問(wèn)題就主要集中在控制平面和應(yīng)用平面了。對(duì)控制面來(lái)說(shuō)，它相當(dāng)于是整個(gè)架構(gòu)的樞紐和中心，直接關(guān)系到網(wǎng)絡(luò)服務(wù)的可用性、可靠性和數(shù)據(jù)安全性，控制面面臨的威脅主要有[4]：

網(wǎng)絡(luò)監(jiān)聽，如果攻擊者從控制層成功入侵，整個(gè)架構(gòu)都面臨著威脅。

IP欺騙，如果攻擊者把自己的IP地址改成控制器的IP地址，并且騙取了其他設(shè)備的信任，那么整個(gè)架構(gòu)也將不安全。

DDoS攻擊，控制器如果無(wú)法處理非常非常多服務(wù)請(qǐng)求后因過(guò)載而拒絕服務(wù)，網(wǎng)絡(luò)就將面臨癱瘓。

病毒、木馬攻擊，控制面一旦被惡意代碼控制，整個(gè)架構(gòu)的樞紐就斷了。

數(shù)據(jù)層方面因?yàn)楸旧肀容^靈巧，沒(méi)有什么內(nèi)容性的東西，所以要做到不被外界控制，最好的實(shí)現(xiàn)方式就說(shuō)與外界隔離開來(lái)；控制層和應(yīng)用層需要負(fù)責(zé)的東西較多，應(yīng)用層可以用程序?qū)崿F(xiàn)分析和過(guò)濾異常攻擊、病毒，還可以監(jiān)控流量，看是否是正常的，控制器應(yīng)該實(shí)現(xiàn)檢測(cè)是否存在異常的設(shè)備，如果有，應(yīng)該立刻把此設(shè)備隔離開了，以免擴(kuò)散，控制器還應(yīng)該實(shí)現(xiàn)管理訪問(wèn)權(quán)限、授權(quán)等內(nèi)容。

得益于短課的機(jī)會(huì)，我們接觸了網(wǎng)絡(luò)空間中較為前沿和新穎的SDN技術(shù)，極大地激發(fā)了我們對(duì)網(wǎng)絡(luò)空間安全技術(shù)的興趣。區(qū)別于注重培養(yǎng)基本功的普通課程，短課讓我們有機(jī)會(huì)去了解當(dāng)今網(wǎng)絡(luò)安全空間中更有趣、更有前景的新領(lǐng)域，給我們機(jī)會(huì)學(xué)習(xí)、甚至投身于新領(lǐng)域的發(fā)展，這對(duì)培養(yǎng)出適應(yīng)于時(shí)代需求、適應(yīng)于市場(chǎng)生產(chǎn)需求的學(xué)生極為重要。

（4）強(qiáng)化了對(duì)代碼的理解

在了解僵尸網(wǎng)絡(luò)的基礎(chǔ)上，對(duì)Mirai源碼進(jìn)行學(xué)習(xí)分析：

我們通過(guò)查閱論文對(duì)Mirai源碼進(jìn)行了分析[1]，并繪制了其源碼結(jié)構(gòu)圖如圖2所示，源碼主要包含兩個(gè)文件夾，分別是mirai和loader。mirai文件夾完成主要的惡意功能，包含網(wǎng)絡(luò)連接、DDoS執(zhí)行、下載（等工具的實(shí)現(xiàn)）以及主控端操作功能。而loader文件夾完成服務(wù)端創(chuàng)建和狀態(tài)監(jiān)控的功能。從感染途徑來(lái)看，攻擊者是通過(guò)SSH或Telnet賬號(hào)，使用默認(rèn)密碼入侵物聯(lián)網(wǎng)設(shè)備，且在mirai下的bot文件夾中實(shí)現(xiàn)功能時(shí)進(jìn)一步擴(kuò)大感染范圍。

圖2 Mirai源碼結(jié)構(gòu)

目前物聯(lián)網(wǎng)產(chǎn)業(yè)鏈涉及環(huán)節(jié)太多，信息安全隱患突出，任一環(huán)節(jié)都有可能會(huì)導(dǎo)致系統(tǒng)而面臨安全威脅，所以IoT僵尸網(wǎng)絡(luò)的防御尤為重要。結(jié)合短課中大家探討的論文，對(duì)此的防御可設(shè)置僵尸網(wǎng)絡(luò)的監(jiān)控預(yù)警，這需要預(yù)警感知系統(tǒng)，其中探頭數(shù)據(jù)主要包括蜜罐、流量監(jiān)控、沙箱、養(yǎng)殖設(shè)備的信息.其中利用開啟Telnet23和2323端口的蜜罐可以捕獲針對(duì)IoT設(shè)備的掃描數(shù)據(jù)，進(jìn)一步可以獲取入侵的bot樣本。數(shù)據(jù)匯總存儲(chǔ)關(guān)聯(lián)分析可以發(fā)現(xiàn)僵尸網(wǎng)絡(luò)采用的網(wǎng)絡(luò)設(shè)施、攻擊工具、僵尸網(wǎng)絡(luò)規(guī)模、攻擊目標(biāo)等信息，某個(gè)時(shí)間段內(nèi)哪個(gè)僵尸網(wǎng)絡(luò)控制節(jié)點(diǎn)比較活躍，主要的攻擊目標(biāo)地域所屬，所使用的攻擊方式、攻擊時(shí)間等信息.結(jié)合威脅情報(bào)數(shù)據(jù)甚至可以追蹤到僵尸網(wǎng)絡(luò)控制者。

（5）加深了對(duì)DDoS攻擊的理解

我們通過(guò)教師的指導(dǎo)，對(duì)于DDoS攻擊進(jìn)行深入理解[5]。DDoS攻擊是指將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過(guò)野蠻手段殘忍地耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或資源訪問(wèn)，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進(jìn)程或者允許的連接。這種攻擊會(huì)導(dǎo)致資源的匱乏，無(wú)論計(jì)算機(jī)的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無(wú)法避免這種攻擊帶來(lái)的后果。它可以通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊，還可以通過(guò)向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷，阻斷某一用戶訪問(wèn)服務(wù)器，阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊等。例如可以通過(guò)ARP這種無(wú)連接協(xié)議來(lái)發(fā)起攻擊，使得應(yīng)用只能處理異常而無(wú)法處理外來(lái)請(qǐng)求，還可以偽裝成需要攻擊的機(jī)器，對(duì)一個(gè)子網(wǎng)的廣播地址發(fā)送多個(gè)ICMP包，這樣會(huì)使得子網(wǎng)中的每個(gè)機(jī)器都會(huì)往網(wǎng)絡(luò)中發(fā)回復(fù)包，每個(gè)機(jī)器都向該機(jī)器進(jìn)行回復(fù)，這樣就會(huì)使得該機(jī)器不斷得接收數(shù)據(jù)包而無(wú)法處理其他請(qǐng)求，并且，該網(wǎng)絡(luò)也會(huì)因大量的數(shù)據(jù)包而發(fā)送阻塞，無(wú)法正常工作，還有基于應(yīng)用層的攻擊，例如郵件服務(wù)，由于郵件服務(wù)是不需要身份驗(yàn)證的，所以一臺(tái)機(jī)器可以不斷地接收攻擊者的郵件，從而陷入癱瘓。

DDoS的危害很大程度來(lái)源于檢測(cè)的困難和抵御的低效。尤其是隨著物聯(lián)網(wǎng)的迅猛發(fā)展，物聯(lián)設(shè)備的急劇增加，而物聯(lián)設(shè)備安全防御普遍較差，DDoS的威力大為增加。SDN技術(shù)的產(chǎn)生和發(fā)展給檢測(cè)和抵御DDoS攻擊帶來(lái)新的可能性。

4 結(jié)語(yǔ)

如今，隨著全球信息化的發(fā)展，網(wǎng)絡(luò)安全變得越來(lái)越重要了，安全問(wèn)題刻不容緩，攻防兩方的能力都在逐步上升，我們必須更好地掌握網(wǎng)絡(luò)安全空間的理論和實(shí)踐知識(shí)。

在網(wǎng)絡(luò)空間安全創(chuàng)新短課的學(xué)習(xí)中，我們受益良多。從一開始僅僅是對(duì)于網(wǎng)絡(luò)安全有著濃厚興趣，到在教師的引導(dǎo)下逐漸對(duì)網(wǎng)絡(luò)空間安全相關(guān)概念有一定的認(rèn)識(shí)和體會(huì)，再到對(duì)網(wǎng)絡(luò)空間安全最新概念和技術(shù)有一定了解，整個(gè)從0到1的過(guò)程雖然較為艱澀，但有了短課創(chuàng)造的良好氛圍和教師的傾心指導(dǎo)，進(jìn)步的過(guò)程效率和趣味兼得。

在教師的引導(dǎo)下，我們討論了物聯(lián)網(wǎng)、軟件定義網(wǎng)絡(luò)等網(wǎng)絡(luò)空間安全方面的知識(shí)，了解了現(xiàn)今網(wǎng)絡(luò)安全的前沿知識(shí)和研究，收獲了許多知識(shí)，并且成功申請(qǐng)到大學(xué)生創(chuàng)新項(xiàng)目：“基于軟件定義網(wǎng)絡(luò)的物聯(lián)網(wǎng)安全網(wǎng)關(guān)”；更重要的是，在這個(gè)過(guò)程中，我們學(xué)會(huì)了如何學(xué)習(xí)，這是無(wú)形但更為寶貴的收獲，這將為我們以后參與的科學(xué)研究工作或者技術(shù)研發(fā)工作帶來(lái)有效的經(jīng)驗(yàn)。

[1]李柏松,常安琪,張家興.物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)嚴(yán)重威脅網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全——對(duì)Dyn公司遭僵尸網(wǎng)絡(luò)攻擊的分析[J].信息安全研究,2016,2(11):1042-1048.

[2]Ben Herzberg，Dima Bekerman，Igal Zeifman.Breaking Down Mirai:An IoT DDoS Botnet Analysis[R].Bots&DDoS Security.Imperva Blog,October 26,2016.

[3]YAN,Q.,YU,F.R.,GONG,Q.,AND LI,J.Software-Defined Networking(SDN)and Distributed Denial of Service(DDoS)Attacks in Cloud Computing Environments:A Survey,Some Research Issues and Challenges[J].IEEE Communications Surveys&Tutorials 18,1(2016),602-622.

[4]王淑玲,李濟(jì)漢,張?jiān)朴?等.SDN架構(gòu)及安全性研究[J].電信科學(xué),2013,29(3):117-122.