選修網絡空間安全創新短課的收獲

李依秦，閆巧，郭小紅，江汶潔，江東裕

（深圳大學計算機與軟件學院，深圳 518060）

1 創新短課設立

深圳大學為探索創新創業型人才培養新模式，營造探究式學習和自主學習氛圍，激發學生創新思維，培育學生創新精神和實踐能力，充分體現辦學特色，自2015年開始設立本科“創新研究短課”。“創新研究短課”強調學術性、研究性和實踐性。

創新短課包括科研項目短課、專題研討短課、專技實踐短課和學院特色短課。其中，網絡空間安全短課屬于學院特色短課，以學院為單位申報，由學院依據專業培養要求和特色人才培養需要自主開設，以短課或集訓形式集中實踐，計專業選修學分1學分,共18學時，不計入績點,實行小班教學、固定時間地點集中授課的形式。開課學院或相近交叉學科的一至四年級學生均可選修，具體由任課教師定，選課學生數為10人左右,不設期末考試，采取過程性考核方式，由主講教師根據學生課程學習情況進行成績評定（采用A、B、C、D、F等級記分制）。實行師生雙向選擇的招募制，學院和教師可通過適當方式公布開課信息（網站、BBS等），由主講教師接受學生報名。

2 網絡空間安全創新短課

網絡安全空間創新短課屬于計算機與軟件學院的學院特色短課，由學院依據專業培養要求和特色人才培養需要自主開設，主要以網絡空間最新案例為切入點，引發學生對網絡安全的興趣，培養學生的獨立科研能力包括文獻查找、問題分析歸納總結、當前網絡空間安全技術的了解等方面，目的是培養學生網絡空間安全的理論和實踐能力，建立師生良好的溝通和協作，為學生的畢業設計、學術競賽、研究生深造奠定基礎。

網絡空間安全創新短課在深圳大學已經開設兩年：2016年主題是詐騙短信的原理和防范，2017年主題是物聯網分布式拒絕服務攻擊的原理和防范。

我們學習了主題是物聯網分布式拒絕服務攻擊的原理和防范的網絡安全空間創新短課，該短課共18課時，主要課程內容如下：

課程內容

（1）僵尸網絡及Mirai源碼

（2）分布式拒絕服務攻擊及其分類

（3）軟件定義網絡的架構和概念

（4）物聯網架構及特點，物聯網網關和安全網關概念

（5）DNS服務器及其弱點

課程特色

（1）以當前熱點網絡空間安全問題為進入點，引發學生的研究興趣。

（2）通過文獻查找和文獻閱讀，培養學生具備一定獨立科研能力。

（3）通過概念講解和源碼分析奠定網絡空間安全研究基礎。

3 選修網絡空間安全創新短課的收獲

（1）網絡空間安全創新短課從案例開始引發對網絡安全學習的興趣

短課的第一次課程主要從最新發生的Mirai病毒開始切入。美國當地時間2016年10月22日7點10分，為美國眾多公司提供核心網絡服務的Dyn公司遭到了一起利用IoT設備發起的DDoS攻擊。我們也通過新聞和查閱論文對此事件進行關注，這次嚴重的攻擊事件導致了大半個美國互聯網癱瘓。Dyn公司也在早上確認了此事件，其位于美國東海岸的DNS基礎設施所遭受的DDoS攻擊來自全球范圍，嚴重影響其DNS 服務客戶業務，包括 Twitter、Github 、Etsy、Shopify等服務，還有波及了BBC、華爾街日報、CNN、紐約時報等站點。

據統計，此次DDoS攻擊事件涉及的IP數量達到了千萬量級，Level3、Flashpoint和F5等網絡公司都相繼確認黑客使用惡意軟件Mirai感染IoT設備進行DDoS攻擊，DDoS攻擊使用了多達150萬被入侵設備組成的“僵尸網絡”，攻擊者利用這些在線設備持續訪問網站，形成大量請求流量致其癱瘓[1]。

了解到當前世界的真實網絡事件激起了我們對網絡安全的興趣，我們先對僵尸網絡的工作原理和防御對策進行了解與分析，僵尸網絡(Botnet)是控制者出于惡意目的，傳播僵尸程序控制大量主機，并通過一對多的命令與控制信道所組成的網絡。而物聯網終端設備數量大、分布廣，且相對于PC、筆記本電腦等傳統IT設備，其設備安全防護較為薄弱，由于用戶通常不會太多關注物聯網設備的運行情況，即便出現安全隱患也難以被覺察到，因此導致設備被劫持的風險愈發嚴重。在此次的DDoS攻擊事件中，Dyn公司識別攻擊的來源大部分指向的是被Mirai惡意軟件感染和控制的設備。我們發現Imperva公司也曾對受Mirai感染的設備IP進行調查[2]，Mirai病毒在之前的攻擊中感染范圍已經遍布全球。

（2）鍛煉了獨立科研能力

短課的課時比較短，而涉及的網絡安全相關的知識又非常多，所以如何有效并快速地查找資料，深入理解相關知識點是我們首先需要學習的。

在這個過程中，我們逐漸學會當面對一個完全陌生的概念和領域時，該如何著手學習：

從基本的概念理解開始，繼而閱讀理解難度較低的中文論文，對該領域知識有著框架性的認知，在此基礎上，繼續挑戰閱讀難度更大的，更具備先進性的英文論文，對知識細節和前沿研究有更為深刻的認識和理解。

圖1 Imperva對全球49657個受Mirai感染的設備IP調查結果[2]

教師將選課的7個學生分成3個小組，每個小組每周讀取教師規定的一些論文，每個小組重點在某個概念方面如軟件定義網絡、物聯網架構、域名服務器等，每個小組在下周進行講述和討論，大家通過這種講述和討論鍛煉了自己的表達能力和對問題的理解能力，也增進了學習的效率。

如此討論了幾節課之后，我們大致對主流的一些概念比較熟悉了，并嘗試進一步學習國外的知名期刊的英文論文。

（3）增進了對網絡安全新技術的了解

在短課中，我們進行了四次關于網絡安全的討論，主要包括軟件定義網絡（Software Defined Network,SDN），分布式拒絕服務(DDoS，Distributed Denial of Ser?vice)，物聯網安全等幾個方面。

SDN是一種新型網絡創新架構，它產生在校園里，其核心思想是想將網絡設備控制面與數據面分離開來[3]，可以更加靈活地控制網絡，當然也就可以更好地保證安全了。

SDN中控制層是和設備數據平面分離開來的，SDN的架構使得它可以把硬件做得很簡單，很靈巧，但是這也對它的控制層有了很高的要求，安全問題就主要集中在控制平面和應用平面了。對控制面來說，它相當于是整個架構的樞紐和中心，直接關系到網絡服務的可用性、可靠性和數據安全性，控制面面臨的威脅主要有[4]：

網絡監聽，如果攻擊者從控制層成功入侵，整個架構都面臨著威脅。

IP欺騙，如果攻擊者把自己的IP地址改成控制器的IP地址，并且騙取了其他設備的信任，那么整個架構也將不安全。

DDoS攻擊，控制器如果無法處理非常非常多服務請求后因過載而拒絕服務，網絡就將面臨癱瘓。

病毒、木馬攻擊，控制面一旦被惡意代碼控制，整個架構的樞紐就斷了。

數據層方面因為本身比較靈巧，沒有什么內容性的東西，所以要做到不被外界控制，最好的實現方式就說與外界隔離開來；控制層和應用層需要負責的東西較多，應用層可以用程序實現分析和過濾異常攻擊、病毒，還可以監控流量，看是否是正常的，控制器應該實現檢測是否存在異常的設備，如果有，應該立刻把此設備隔離開了，以免擴散，控制器還應該實現管理訪問權限、授權等內容。

得益于短課的機會，我們接觸了網絡空間中較為前沿和新穎的SDN技術，極大地激發了我們對網絡空間安全技術的興趣。區別于注重培養基本功的普通課程，短課讓我們有機會去了解當今網絡安全空間中更有趣、更有前景的新領域，給我們機會學習、甚至投身于新領域的發展，這對培養出適應于時代需求、適應于市場生產需求的學生極為重要。

（4）強化了對代碼的理解

在了解僵尸網絡的基礎上，對Mirai源碼進行學習分析：

我們通過查閱論文對Mirai源碼進行了分析[1]，并繪制了其源碼結構圖如圖2所示，源碼主要包含兩個文件夾，分別是mirai和loader。mirai文件夾完成主要的惡意功能，包含網絡連接、DDoS執行、下載（等工具的實現）以及主控端操作功能。而loader文件夾完成服務端創建和狀態監控的功能。從感染途徑來看，攻擊者是通過SSH或Telnet賬號，使用默認密碼入侵物聯網設備，且在mirai下的bot文件夾中實現功能時進一步擴大感染范圍。

圖2 Mirai源碼結構

目前物聯網產業鏈涉及環節太多，信息安全隱患突出，任一環節都有可能會導致系統而面臨安全威脅，所以IoT僵尸網絡的防御尤為重要。結合短課中大家探討的論文，對此的防御可設置僵尸網絡的監控預警，這需要預警感知系統，其中探頭數據主要包括蜜罐、流量監控、沙箱、養殖設備的信息.其中利用開啟Telnet23和2323端口的蜜罐可以捕獲針對IoT設備的掃描數據，進一步可以獲取入侵的bot樣本。數據匯總存儲關聯分析可以發現僵尸網絡采用的網絡設施、攻擊工具、僵尸網絡規模、攻擊目標等信息，某個時間段內哪個僵尸網絡控制節點比較活躍，主要的攻擊目標地域所屬，所使用的攻擊方式、攻擊時間等信息.結合威脅情報數據甚至可以追蹤到僵尸網絡控制者。

（5）加深了對DDoS攻擊的理解

我們通過教師的指導，對于DDoS攻擊進行深入理解[5]。DDoS攻擊是指將多個計算機聯合起來作為攻擊平臺，故意的攻擊網絡協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，目的是讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統服務系統停止響應甚至崩潰，而在此攻擊中并不包括侵入目標服務器或目標網絡設備。這些服務資源包括網絡帶寬，文件系統空間容量，開放的進程或者允許的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、內存容量多大、網絡帶寬的速度多快都無法避免這種攻擊帶來的后果。它可以通過使網絡過載來干擾甚至阻斷正常的網絡通訊，還可以通過向服務器提交大量請求，使服務器超負荷，阻斷某一用戶訪問服務器，阻斷某服務與特定系統或個人的通訊等。例如可以通過ARP這種無連接協議來發起攻擊，使得應用只能處理異常而無法處理外來請求，還可以偽裝成需要攻擊的機器，對一個子網的廣播地址發送多個ICMP包，這樣會使得子網中的每個機器都會往網絡中發回復包，每個機器都向該機器進行回復，這樣就會使得該機器不斷得接收數據包而無法處理其他請求，并且，該網絡也會因大量的數據包而發送阻塞，無法正常工作，還有基于應用層的攻擊，例如郵件服務，由于郵件服務是不需要身份驗證的，所以一臺機器可以不斷地接收攻擊者的郵件，從而陷入癱瘓。

DDoS的危害很大程度來源于檢測的困難和抵御的低效。尤其是隨著物聯網的迅猛發展，物聯設備的急劇增加，而物聯設備安全防御普遍較差，DDoS的威力大為增加。SDN技術的產生和發展給檢測和抵御DDoS攻擊帶來新的可能性。

4 結語

如今，隨著全球信息化的發展，網絡安全變得越來越重要了，安全問題刻不容緩，攻防兩方的能力都在逐步上升，我們必須更好地掌握網絡安全空間的理論和實踐知識。

在網絡空間安全創新短課的學習中，我們受益良多。從一開始僅僅是對于網絡安全有著濃厚興趣，到在教師的引導下逐漸對網絡空間安全相關概念有一定的認識和體會，再到對網絡空間安全最新概念和技術有一定了解，整個從0到1的過程雖然較為艱澀，但有了短課創造的良好氛圍和教師的傾心指導，進步的過程效率和趣味兼得。

在教師的引導下，我們討論了物聯網、軟件定義網絡等網絡空間安全方面的知識，了解了現今網絡安全的前沿知識和研究，收獲了許多知識，并且成功申請到大學生創新項目：“基于軟件定義網絡的物聯網安全網關”；更重要的是，在這個過程中，我們學會了如何學習，這是無形但更為寶貴的收獲，這將為我們以后參與的科學研究工作或者技術研發工作帶來有效的經驗。

[1]李柏松,常安琪,張家興.物聯網僵尸網絡嚴重威脅網絡基礎設施安全——對Dyn公司遭僵尸網絡攻擊的分析[J].信息安全研究,2016,2(11):1042-1048.

[2]Ben Herzberg，Dima Bekerman，Igal Zeifman.Breaking Down Mirai:An IoT DDoS Botnet Analysis[R].Bots&DDoS Security.Imperva Blog,October 26,2016.

[3]YAN,Q.,YU,F.R.,GONG,Q.,AND LI,J.Software-Defined Networking(SDN)and Distributed Denial of Service(DDoS)Attacks in Cloud Computing Environments:A Survey,Some Research Issues and Challenges[J].IEEE Communications Surveys&Tutorials 18,1(2016),602-622.

[4]王淑玲,李濟漢,張云勇,等.SDN架構及安全性研究[J].電信科學,2013,29(3):117-122.