李依秦，闫巧，郭小红，江汶洁，江东裕

（深圳大学计算机与软件学院，深圳 518060）

1 创新短课设立

深圳大学为探索创新创业型人才培养新模式，营造探究式学习和自主学习氛围，激发学生创新思维，培育学生创新精神和实践能力，充分体现办学特色，自2015年开始设立本科“创新研究短课”。“创新研究短课”强调学术性、研究性和实践性。

创新短课包括科研项目短课、专题研讨短课、专技实践短课和学院特色短课。其中，网络空间安全短课属于学院特色短课，以学院为单位申报，由学院依据专业培养要求和特色人才培养需要自主开设，以短课或集训形式集中实践，计专业选修学分1学分,共18学时，不计入绩点,实行小班教学、固定时间地点集中授课的形式。开课学院或相近交叉学科的一至四年级学生均可选修，具体由任课教师定，选课学生数为10人左右,不设期末考试，采取过程性考核方式，由主讲教师根据学生课程学习情况进行成绩评定（采用A、B、C、D、F等级记分制）。实行师生双向选择的招募制，学院和教师可通过适当方式公布开课信息（网站、BBS等），由主讲教师接受学生报名。

2 网络空间安全创新短课

网络安全空间创新短课属于计算机与软件学院的学院特色短课，由学院依据专业培养要求和特色人才培养需要自主开设，主要以网络空间最新案例为切入点，引发学生对网络安全的兴趣，培养学生的独立科研能力包括文献查找、问题分析归纳总结、当前网络空间安全技术的了解等方面，目的是培养学生网络空间安全的理论和实践能力，建立师生良好的沟通和协作，为学生的毕业设计、学术竞赛、研究生深造奠定基础。

网络空间安全创新短课在深圳大学已经开设两年：2016年主题是诈骗短信的原理和防范，2017年主题是物联网分布式拒绝服务攻击的原理和防范。

我们学习了主题是物联网分布式拒绝服务攻击的原理和防范的网络安全空间创新短课，该短课共18课时，主要课程内容如下：

课程内容

（1）僵尸网络及Mirai源码

（2）分布式拒绝服务攻击及其分类

（3）软件定义网络的架构和概念

（4）物联网架构及特点，物联网网关和安全网关概念

（5）DNS服务器及其弱点

课程特色

（1）以当前热点网络空间安全问题为进入点，引发学生的研究兴趣。

（2）通过文献查找和文献阅读，培养学生具备一定独立科研能力。

（3）通过概念讲解和源码分析奠定网络空间安全研究基础。

3 选修网络空间安全创新短课的收获

（1）网络空间安全创新短课从案例开始引发对网络安全学习的兴趣

短课的第一次课程主要从最新发生的Mirai病毒开始切入。美国当地时间2016年10月22日7点10分，为美国众多公司提供核心网络服务的Dyn公司遭到了一起利用IoT设备发起的DDoS攻击。我们也通过新闻和查阅论文对此事件进行关注，这次严重的攻击事件导致了大半个美国互联网瘫痪。Dyn公司也在早上确认了此事件，其位于美国东海岸的DNS基础设施所遭受的DDoS攻击来自全球范围，严重影响其DNS 服务客户业务，包括 Twitter、Github 、Etsy、Shopify等服务，还有波及了BBC、华尔街日报、CNN、纽约时报等站点。

据统计，此次DDoS攻击事件涉及的IP数量达到了千万量级，Level3、Flashpoint和F5等网络公司都相继确认黑客使用恶意软件Mirai感染IoT设备进行DDoS攻击，DDoS攻击使用了多达150万被入侵设备组成的“僵尸网络”，攻击者利用这些在线设备持续访问网站，形成大量请求流量致其瘫痪[1]。

了解到当前世界的真实网络事件激起了我们对网络安全的兴趣，我们先对僵尸网络的工作原理和防御对策进行了解与分析，僵尸网络(Botnet)是控制者出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络。而物联网终端设备数量大、分布广，且相对于PC、笔记本电脑等传统IT设备，其设备安全防护较为薄弱，由于用户通常不会太多关注物联网设备的运行情况，即便出现安全隐患也难以被觉察到，因此导致设备被劫持的风险愈发严重。在此次的DDoS攻击事件中，Dyn公司识别攻击的来源大部分指向的是被Mirai恶意软件感染和控制的设备。我们发现Imperva公司也曾对受Mirai感染的设备IP进行调查[2]，Mirai病毒在之前的攻击中感染范围已经遍布全球。

（2）锻炼了独立科研能力

短课的课时比较短，而涉及的网络安全相关的知识又非常多，所以如何有效并快速地查找资料，深入理解相关知识点是我们首先需要学习的。

在这个过程中，我们逐渐学会当面对一个完全陌生的概念和领域时，该如何着手学习：

从基本的概念理解开始，继而阅读理解难度较低的中文论文，对该领域知识有着框架性的认知，在此基础上，继续挑战阅读难度更大的，更具备先进性的英文论文，对知识细节和前沿研究有更为深刻的认识和理解。

图1 Imperva对全球49657个受Mirai感染的设备IP调查结果[2]

教师将选课的7个学生分成3个小组，每个小组每周读取教师规定的一些论文，每个小组重点在某个概念方面如软件定义网络、物联网架构、域名服务器等，每个小组在下周进行讲述和讨论，大家通过这种讲述和讨论锻炼了自己的表达能力和对问题的理解能力，也增进了学习的效率。

如此讨论了几节课之后，我们大致对主流的一些概念比较熟悉了，并尝试进一步学习国外的知名期刊的英文论文。

（3）增进了对网络安全新技术的了解

在短课中，我们进行了四次关于网络安全的讨论，主要包括软件定义网络（Software Defined Network,SDN），分布式拒绝服务(DDoS，Distributed Denial of Ser⁃vice)，物联网安全等几个方面。

SDN是一种新型网络创新架构，它产生在校园里，其核心思想是想将网络设备控制面与数据面分离开来[3]，可以更加灵活地控制网络，当然也就可以更好地保证安全了。

SDN中控制层是和设备数据平面分离开来的，SDN的架构使得它可以把硬件做得很简单，很灵巧，但是这也对它的控制层有了很高的要求，安全问题就主要集中在控制平面和应用平面了。对控制面来说，它相当于是整个架构的枢纽和中心，直接关系到网络服务的可用性、可靠性和数据安全性，控制面面临的威胁主要有[4]：

网络监听，如果攻击者从控制层成功入侵，整个架构都面临着威胁。

IP欺骗，如果攻击者把自己的IP地址改成控制器的IP地址，并且骗取了其他设备的信任，那么整个架构也将不安全。

DDoS攻击，控制器如果无法处理非常非常多服务请求后因过载而拒绝服务，网络就将面临瘫痪。

病毒、木马攻击，控制面一旦被恶意代码控制，整个架构的枢纽就断了。

数据层方面因为本身比较灵巧，没有什么内容性的东西，所以要做到不被外界控制，最好的实现方式就说与外界隔离开来；控制层和应用层需要负责的东西较多，应用层可以用程序实现分析和过滤异常攻击、病毒，还可以监控流量，看是否是正常的，控制器应该实现检测是否存在异常的设备，如果有，应该立刻把此设备隔离开了，以免扩散，控制器还应该实现管理访问权限、授权等内容。

得益于短课的机会，我们接触了网络空间中较为前沿和新颖的SDN技术，极大地激发了我们对网络空间安全技术的兴趣。区别于注重培养基本功的普通课程，短课让我们有机会去了解当今网络安全空间中更有趣、更有前景的新领域，给我们机会学习、甚至投身于新领域的发展，这对培养出适应于时代需求、适应于市场生产需求的学生极为重要。

（4）强化了对代码的理解

在了解僵尸网络的基础上，对Mirai源码进行学习分析：

我们通过查阅论文对Mirai源码进行了分析[1]，并绘制了其源码结构图如图2所示，源码主要包含两个文件夹，分别是mirai和loader。mirai文件夹完成主要的恶意功能，包含网络连接、DDoS执行、下载（等工具的实现）以及主控端操作功能。而loader文件夹完成服务端创建和状态监控的功能。从感染途径来看，攻击者是通过SSH或Telnet账号，使用默认密码入侵物联网设备，且在mirai下的bot文件夹中实现功能时进一步扩大感染范围。

图2 Mirai源码结构

目前物联网产业链涉及环节太多，信息安全隐患突出，任一环节都有可能会导致系统而面临安全威胁，所以IoT僵尸网络的防御尤为重要。结合短课中大家探讨的论文，对此的防御可设置僵尸网络的监控预警，这需要预警感知系统，其中探头数据主要包括蜜罐、流量监控、沙箱、养殖设备的信息.其中利用开启Telnet23和2323端口的蜜罐可以捕获针对IoT设备的扫描数据，进一步可以获取入侵的bot样本。数据汇总存储关联分析可以发现僵尸网络采用的网络设施、攻击工具、僵尸网络规模、攻击目标等信息，某个时间段内哪个僵尸网络控制节点比较活跃，主要的攻击目标地域所属，所使用的攻击方式、攻击时间等信息.结合威胁情报数据甚至可以追踪到僵尸网络控制者。

（5）加深了对DDoS攻击的理解

我们通过教师的指导，对于DDoS攻击进行深入理解[5]。DDoS攻击是指将多个计算机联合起来作为攻击平台，故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。它可以通过使网络过载来干扰甚至阻断正常的网络通讯，还可以通过向服务器提交大量请求，使服务器超负荷，阻断某一用户访问服务器，阻断某服务与特定系统或个人的通讯等。例如可以通过ARP这种无连接协议来发起攻击，使得应用只能处理异常而无法处理外来请求，还可以伪装成需要攻击的机器，对一个子网的广播地址发送多个ICMP包，这样会使得子网中的每个机器都会往网络中发回复包，每个机器都向该机器进行回复，这样就会使得该机器不断得接收数据包而无法处理其他请求，并且，该网络也会因大量的数据包而发送阻塞，无法正常工作，还有基于应用层的攻击，例如邮件服务，由于邮件服务是不需要身份验证的，所以一台机器可以不断地接收攻击者的邮件，从而陷入瘫痪。

DDoS的危害很大程度来源于检测的困难和抵御的低效。尤其是随着物联网的迅猛发展，物联设备的急剧增加，而物联设备安全防御普遍较差，DDoS的威力大为增加。SDN技术的产生和发展给检测和抵御DDoS攻击带来新的可能性。

4 结语

如今，随着全球信息化的发展，网络安全变得越来越重要了，安全问题刻不容缓，攻防两方的能力都在逐步上升，我们必须更好地掌握网络安全空间的理论和实践知识。

在网络空间安全创新短课的学习中，我们受益良多。从一开始仅仅是对于网络安全有着浓厚兴趣，到在教师的引导下逐渐对网络空间安全相关概念有一定的认识和体会，再到对网络空间安全最新概念和技术有一定了解，整个从0到1的过程虽然较为艰涩，但有了短课创造的良好氛围和教师的倾心指导，进步的过程效率和趣味兼得。

在教师的引导下，我们讨论了物联网、软件定义网络等网络空间安全方面的知识，了解了现今网络安全的前沿知识和研究，收获了许多知识，并且成功申请到大学生创新项目：“基于软件定义网络的物联网安全网关”；更重要的是，在这个过程中，我们学会了如何学习，这是无形但更为宝贵的收获，这将为我们以后参与的科学研究工作或者技术研发工作带来有效的经验。

[1]李柏松,常安琪,张家兴.物联网僵尸网络严重威胁网络基础设施安全——对Dyn公司遭僵尸网络攻击的分析[J].信息安全研究,2016,2(11):1042-1048.

[2]Ben Herzberg，Dima Bekerman，Igal Zeifman.Breaking Down Mirai:An IoT DDoS Botnet Analysis[R].Bots&DDoS Security.Imperva Blog,October 26,2016.

[3]YAN,Q.,YU,F.R.,GONG,Q.,AND LI,J.Software-Defined Networking(SDN)and Distributed Denial of Service(DDoS)Attacks in Cloud Computing Environments:A Survey,Some Research Issues and Challenges[J].IEEE Communications Surveys&Tutorials 18,1(2016),602-622.

[4]王淑玲,李济汉,张云勇,等.SDN架构及安全性研究[J].电信科学,2013,29(3):117-122.