李依秦，閆巧，郭小紅，江汶潔，江東裕

（深圳大學計算機與軟件學院，深圳 518060）

1 創(chuàng)新短課設立

深圳大學為探索創(chuàng)新創(chuàng)業(yè)型人才培養(yǎng)新模式，營造探究式學習和自主學習氛圍，激發(fā)學生創(chuàng)新思維，培育學生創(chuàng)新精神和實踐能力，充分體現(xiàn)辦學特色，自2015年開始設立本科“創(chuàng)新研究短課”?！皠?chuàng)新研究短課”強調學術性、研究性和實踐性。

創(chuàng)新短課包括科研項目短課、專題研討短課、專技實踐短課和學院特色短課。其中，網(wǎng)絡空間安全短課屬于學院特色短課，以學院為單位申報，由學院依據(jù)專業(yè)培養(yǎng)要求和特色人才培養(yǎng)需要自主開設，以短課或集訓形式集中實踐，計專業(yè)選修學分1學分,共18學時，不計入績點,實行小班教學、固定時間地點集中授課的形式。開課學院或相近交叉學科的一至四年級學生均可選修，具體由任課教師定，選課學生數(shù)為10人左右,不設期末考試，采取過程性考核方式，由主講教師根據(jù)學生課程學習情況進行成績評定（采用A、B、C、D、F等級記分制）。實行師生雙向選擇的招募制，學院和教師可通過適當方式公布開課信息（網(wǎng)站、BBS等），由主講教師接受學生報名。

2 網(wǎng)絡空間安全創(chuàng)新短課

網(wǎng)絡安全空間創(chuàng)新短課屬于計算機與軟件學院的學院特色短課，由學院依據(jù)專業(yè)培養(yǎng)要求和特色人才培養(yǎng)需要自主開設，主要以網(wǎng)絡空間最新案例為切入點，引發(fā)學生對網(wǎng)絡安全的興趣，培養(yǎng)學生的獨立科研能力包括文獻查找、問題分析歸納總結、當前網(wǎng)絡空間安全技術的了解等方面，目的是培養(yǎng)學生網(wǎng)絡空間安全的理論和實踐能力，建立師生良好的溝通和協(xié)作，為學生的畢業(yè)設計、學術競賽、研究生深造奠定基礎。

網(wǎng)絡空間安全創(chuàng)新短課在深圳大學已經(jīng)開設兩年：2016年主題是詐騙短信的原理和防范，2017年主題是物聯(lián)網(wǎng)分布式拒絕服務攻擊的原理和防范。

我們學習了主題是物聯(lián)網(wǎng)分布式拒絕服務攻擊的原理和防范的網(wǎng)絡安全空間創(chuàng)新短課，該短課共18課時，主要課程內(nèi)容如下：

課程內(nèi)容

（1）僵尸網(wǎng)絡及Mirai源碼

（2）分布式拒絕服務攻擊及其分類

（3）軟件定義網(wǎng)絡的架構和概念

（4）物聯(lián)網(wǎng)架構及特點，物聯(lián)網(wǎng)網(wǎng)關和安全網(wǎng)關概念

（5）DNS服務器及其弱點

課程特色

（1）以當前熱點網(wǎng)絡空間安全問題為進入點，引發(fā)學生的研究興趣。

（2）通過文獻查找和文獻閱讀，培養(yǎng)學生具備一定獨立科研能力。

（3）通過概念講解和源碼分析奠定網(wǎng)絡空間安全研究基礎。

3 選修網(wǎng)絡空間安全創(chuàng)新短課的收獲

（1）網(wǎng)絡空間安全創(chuàng)新短課從案例開始引發(fā)對網(wǎng)絡安全學習的興趣

短課的第一次課程主要從最新發(fā)生的Mirai病毒開始切入。美國當?shù)貢r間2016年10月22日7點10分，為美國眾多公司提供核心網(wǎng)絡服務的Dyn公司遭到了一起利用IoT設備發(fā)起的DDoS攻擊。我們也通過新聞和查閱論文對此事件進行關注，這次嚴重的攻擊事件導致了大半個美國互聯(lián)網(wǎng)癱瘓。Dyn公司也在早上確認了此事件，其位于美國東海岸的DNS基礎設施所遭受的DDoS攻擊來自全球范圍，嚴重影響其DNS 服務客戶業(yè)務，包括 Twitter、Github 、Etsy、Shopify等服務，還有波及了BBC、華爾街日報、CNN、紐約時報等站點。

據(jù)統(tǒng)計，此次DDoS攻擊事件涉及的IP數(shù)量達到了千萬量級，Level3、Flashpoint和F5等網(wǎng)絡公司都相繼確認黑客使用惡意軟件Mirai感染IoT設備進行DDoS攻擊，DDoS攻擊使用了多達150萬被入侵設備組成的“僵尸網(wǎng)絡”，攻擊者利用這些在線設備持續(xù)訪問網(wǎng)站，形成大量請求流量致其癱瘓[1]。

了解到當前世界的真實網(wǎng)絡事件激起了我們對網(wǎng)絡安全的興趣，我們先對僵尸網(wǎng)絡的工作原理和防御對策進行了解與分析，僵尸網(wǎng)絡(Botnet)是控制者出于惡意目的，傳播僵尸程序控制大量主機，并通過一對多的命令與控制信道所組成的網(wǎng)絡。而物聯(lián)網(wǎng)終端設備數(shù)量大、分布廣，且相對于PC、筆記本電腦等傳統(tǒng)IT設備，其設備安全防護較為薄弱，由于用戶通常不會太多關注物聯(lián)網(wǎng)設備的運行情況，即便出現(xiàn)安全隱患也難以被覺察到，因此導致設備被劫持的風險愈發(fā)嚴重。在此次的DDoS攻擊事件中，Dyn公司識別攻擊的來源大部分指向的是被Mirai惡意軟件感染和控制的設備。我們發(fā)現(xiàn)Imperva公司也曾對受Mirai感染的設備IP進行調查[2]，Mirai病毒在之前的攻擊中感染范圍已經(jīng)遍布全球。

（2）鍛煉了獨立科研能力

短課的課時比較短，而涉及的網(wǎng)絡安全相關的知識又非常多，所以如何有效并快速地查找資料，深入理解相關知識點是我們首先需要學習的。

在這個過程中，我們逐漸學會當面對一個完全陌生的概念和領域時，該如何著手學習：

從基本的概念理解開始，繼而閱讀理解難度較低的中文論文，對該領域知識有著框架性的認知，在此基礎上，繼續(xù)挑戰(zhàn)閱讀難度更大的，更具備先進性的英文論文，對知識細節(jié)和前沿研究有更為深刻的認識和理解。

圖1 Imperva對全球49657個受Mirai感染的設備IP調查結果[2]

教師將選課的7個學生分成3個小組，每個小組每周讀取教師規(guī)定的一些論文，每個小組重點在某個概念方面如軟件定義網(wǎng)絡、物聯(lián)網(wǎng)架構、域名服務器等，每個小組在下周進行講述和討論，大家通過這種講述和討論鍛煉了自己的表達能力和對問題的理解能力，也增進了學習的效率。

如此討論了幾節(jié)課之后，我們大致對主流的一些概念比較熟悉了，并嘗試進一步學習國外的知名期刊的英文論文。

（3）增進了對網(wǎng)絡安全新技術的了解

在短課中，我們進行了四次關于網(wǎng)絡安全的討論，主要包括軟件定義網(wǎng)絡（Software Defined Network,SDN），分布式拒絕服務(DDoS，Distributed Denial of Ser?vice)，物聯(lián)網(wǎng)安全等幾個方面。

SDN是一種新型網(wǎng)絡創(chuàng)新架構，它產(chǎn)生在校園里，其核心思想是想將網(wǎng)絡設備控制面與數(shù)據(jù)面分離開來[3]，可以更加靈活地控制網(wǎng)絡，當然也就可以更好地保證安全了。

SDN中控制層是和設備數(shù)據(jù)平面分離開來的，SDN的架構使得它可以把硬件做得很簡單，很靈巧，但是這也對它的控制層有了很高的要求，安全問題就主要集中在控制平面和應用平面了。對控制面來說，它相當于是整個架構的樞紐和中心，直接關系到網(wǎng)絡服務的可用性、可靠性和數(shù)據(jù)安全性，控制面面臨的威脅主要有[4]：

網(wǎng)絡監(jiān)聽，如果攻擊者從控制層成功入侵，整個架構都面臨著威脅。

IP欺騙，如果攻擊者把自己的IP地址改成控制器的IP地址，并且騙取了其他設備的信任，那么整個架構也將不安全。

DDoS攻擊，控制器如果無法處理非常非常多服務請求后因過載而拒絕服務，網(wǎng)絡就將面臨癱瘓。

病毒、木馬攻擊，控制面一旦被惡意代碼控制，整個架構的樞紐就斷了。

數(shù)據(jù)層方面因為本身比較靈巧，沒有什么內(nèi)容性的東西，所以要做到不被外界控制，最好的實現(xiàn)方式就說與外界隔離開來；控制層和應用層需要負責的東西較多，應用層可以用程序實現(xiàn)分析和過濾異常攻擊、病毒，還可以監(jiān)控流量，看是否是正常的，控制器應該實現(xiàn)檢測是否存在異常的設備，如果有，應該立刻把此設備隔離開了，以免擴散，控制器還應該實現(xiàn)管理訪問權限、授權等內(nèi)容。

得益于短課的機會，我們接觸了網(wǎng)絡空間中較為前沿和新穎的SDN技術，極大地激發(fā)了我們對網(wǎng)絡空間安全技術的興趣。區(qū)別于注重培養(yǎng)基本功的普通課程，短課讓我們有機會去了解當今網(wǎng)絡安全空間中更有趣、更有前景的新領域，給我們機會學習、甚至投身于新領域的發(fā)展，這對培養(yǎng)出適應于時代需求、適應于市場生產(chǎn)需求的學生極為重要。

（4）強化了對代碼的理解

在了解僵尸網(wǎng)絡的基礎上，對Mirai源碼進行學習分析：

我們通過查閱論文對Mirai源碼進行了分析[1]，并繪制了其源碼結構圖如圖2所示，源碼主要包含兩個文件夾，分別是mirai和loader。mirai文件夾完成主要的惡意功能，包含網(wǎng)絡連接、DDoS執(zhí)行、下載（等工具的實現(xiàn)）以及主控端操作功能。而loader文件夾完成服務端創(chuàng)建和狀態(tài)監(jiān)控的功能。從感染途徑來看，攻擊者是通過SSH或Telnet賬號，使用默認密碼入侵物聯(lián)網(wǎng)設備，且在mirai下的bot文件夾中實現(xiàn)功能時進一步擴大感染范圍。

圖2 Mirai源碼結構

目前物聯(lián)網(wǎng)產(chǎn)業(yè)鏈涉及環(huán)節(jié)太多，信息安全隱患突出，任一環(huán)節(jié)都有可能會導致系統(tǒng)而面臨安全威脅，所以IoT僵尸網(wǎng)絡的防御尤為重要。結合短課中大家探討的論文，對此的防御可設置僵尸網(wǎng)絡的監(jiān)控預警，這需要預警感知系統(tǒng)，其中探頭數(shù)據(jù)主要包括蜜罐、流量監(jiān)控、沙箱、養(yǎng)殖設備的信息.其中利用開啟Telnet23和2323端口的蜜罐可以捕獲針對IoT設備的掃描數(shù)據(jù)，進一步可以獲取入侵的bot樣本。數(shù)據(jù)匯總存儲關聯(lián)分析可以發(fā)現(xiàn)僵尸網(wǎng)絡采用的網(wǎng)絡設施、攻擊工具、僵尸網(wǎng)絡規(guī)模、攻擊目標等信息，某個時間段內(nèi)哪個僵尸網(wǎng)絡控制節(jié)點比較活躍，主要的攻擊目標地域所屬，所使用的攻擊方式、攻擊時間等信息.結合威脅情報數(shù)據(jù)甚至可以追蹤到僵尸網(wǎng)絡控制者。

（5）加深了對DDoS攻擊的理解

我們通過教師的指導，對于DDoS攻擊進行深入理解[5]。DDoS攻擊是指將多個計算機聯(lián)合起來作為攻擊平臺，故意的攻擊網(wǎng)絡協(xié)議實現(xiàn)的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源，目的是讓目標計算機或網(wǎng)絡無法提供正常的服務或資源訪問，使目標系統(tǒng)服務系統(tǒng)停止響應甚至崩潰，而在此攻擊中并不包括侵入目標服務器或目標網(wǎng)絡設備。這些服務資源包括網(wǎng)絡帶寬，文件系統(tǒng)空間容量，開放的進程或者允許的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、內(nèi)存容量多大、網(wǎng)絡帶寬的速度多快都無法避免這種攻擊帶來的后果。它可以通過使網(wǎng)絡過載來干擾甚至阻斷正常的網(wǎng)絡通訊，還可以通過向服務器提交大量請求，使服務器超負荷，阻斷某一用戶訪問服務器，阻斷某服務與特定系統(tǒng)或個人的通訊等。例如可以通過ARP這種無連接協(xié)議來發(fā)起攻擊，使得應用只能處理異常而無法處理外來請求，還可以偽裝成需要攻擊的機器，對一個子網(wǎng)的廣播地址發(fā)送多個ICMP包，這樣會使得子網(wǎng)中的每個機器都會往網(wǎng)絡中發(fā)回復包，每個機器都向該機器進行回復，這樣就會使得該機器不斷得接收數(shù)據(jù)包而無法處理其他請求，并且，該網(wǎng)絡也會因大量的數(shù)據(jù)包而發(fā)送阻塞，無法正常工作，還有基于應用層的攻擊，例如郵件服務，由于郵件服務是不需要身份驗證的，所以一臺機器可以不斷地接收攻擊者的郵件，從而陷入癱瘓。

DDoS的危害很大程度來源于檢測的困難和抵御的低效。尤其是隨著物聯(lián)網(wǎng)的迅猛發(fā)展，物聯(lián)設備的急劇增加，而物聯(lián)設備安全防御普遍較差，DDoS的威力大為增加。SDN技術的產(chǎn)生和發(fā)展給檢測和抵御DDoS攻擊帶來新的可能性。

4 結語

如今，隨著全球信息化的發(fā)展，網(wǎng)絡安全變得越來越重要了，安全問題刻不容緩，攻防兩方的能力都在逐步上升，我們必須更好地掌握網(wǎng)絡安全空間的理論和實踐知識。

在網(wǎng)絡空間安全創(chuàng)新短課的學習中，我們受益良多。從一開始僅僅是對于網(wǎng)絡安全有著濃厚興趣，到在教師的引導下逐漸對網(wǎng)絡空間安全相關概念有一定的認識和體會，再到對網(wǎng)絡空間安全最新概念和技術有一定了解，整個從0到1的過程雖然較為艱澀，但有了短課創(chuàng)造的良好氛圍和教師的傾心指導，進步的過程效率和趣味兼得。

在教師的引導下，我們討論了物聯(lián)網(wǎng)、軟件定義網(wǎng)絡等網(wǎng)絡空間安全方面的知識，了解了現(xiàn)今網(wǎng)絡安全的前沿知識和研究，收獲了許多知識，并且成功申請到大學生創(chuàng)新項目：“基于軟件定義網(wǎng)絡的物聯(lián)網(wǎng)安全網(wǎng)關”；更重要的是，在這個過程中，我們學會了如何學習，這是無形但更為寶貴的收獲，這將為我們以后參與的科學研究工作或者技術研發(fā)工作帶來有效的經(jīng)驗。

[1]李柏松,常安琪,張家興.物聯(lián)網(wǎng)僵尸網(wǎng)絡嚴重威脅網(wǎng)絡基礎設施安全——對Dyn公司遭僵尸網(wǎng)絡攻擊的分析[J].信息安全研究,2016,2(11):1042-1048.

[2]Ben Herzberg，Dima Bekerman，Igal Zeifman.Breaking Down Mirai:An IoT DDoS Botnet Analysis[R].Bots&DDoS Security.Imperva Blog,October 26,2016.

[3]YAN,Q.,YU,F.R.,GONG,Q.,AND LI,J.Software-Defined Networking(SDN)and Distributed Denial of Service(DDoS)Attacks in Cloud Computing Environments:A Survey,Some Research Issues and Challenges[J].IEEE Communications Surveys&Tutorials 18,1(2016),602-622.

[4]王淑玲,李濟漢,張云勇,等.SDN架構及安全性研究[J].電信科學,2013,29(3):117-122.