網絡安全逆向工程精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的網絡安全逆向工程主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：網絡安全逆向工程范文

【關鍵詞】計算機網絡安全隱患 漏洞 挖掘技術

在信息技術飛速發展的今天，計算機網絡已經得到廣泛的應用，并且不斷滲透到當前各個領域中，借助計算機網絡的便捷性，現代人們溝通交流、數據處理等也越來越便捷。然而由于算機網絡具有開放性、虛擬性及自由性特點，這使得計算機網絡在給人們提供巨大便利的同時也埋下了一定的安全隱患，如黑客攻擊、網絡詐騙、網絡病毒等，這對個人及企業信息安全造成巨大威脅。因此計算機網絡安全性逐漸成為人們關注的焦點，網絡安全防范策略在各個領域得到重視。

1 計算機網絡安全概念及現狀

1.1 計算機網絡安全的概念

計算機網絡是一個綜合性較強的學科，涉及到的相關技術也多種多樣，具體包括網絡技術、通信技術、密碼技術等。在計算機網絡安全運行中，通常需要對系統的軟件及硬件部分進行嚴密的保護，以防止計算機網絡系統遭到惡意攻擊、系統破壞導致的數據泄露及丟失情況。

計算機網絡具有開放性、虛擬性以及自由性等特點，這些基本特點在提升計算機網絡便捷性的同時，也為網絡安全埋下較大的隱患。計算機網絡的開放性雖然發揮了信息及資源共享、交流便捷的作用，但是也為計算機用戶的網絡安全帶來一定的威脅，不法分子經常會借助開放性的網絡進行非法犯罪活動；計算機網絡是一個龐大的虛擬空間，為用戶提供娛樂、信息獲取等需求，然而虛擬性也為網絡詐騙分子提供了良好條件，一些詐騙分子在網絡上常常匿名虛假信息，使很多網民受騙，但是受騙后人們卻對這些不法分子無可奈何；計算機網絡有著高度的自由性，網民在操作上不受任何技術的約束，可以隨時隨地的或者收取信息，但是自由性也為計算機網絡病毒的傳播提供巨大便利，一些非法站點的病毒會對計算機安全造成巨大威脅。

1.2 計算機網絡安全現狀

現階段，隨著計算機網絡的開放度與自由度逐漸提升，計算機網絡系統中存在兩種最為主要的安全隱患，即信息泄露與黑客攻擊。這兩種安全隱患都會對計算機網絡產生巨大破壞，尤其是黑客攻擊，通過病毒還能夠導致系統的完全癱瘓，進而使被攻擊對象的計算機系統遭到破壞以及網絡中存儲的重要文件以及信息數據發生泄漏及丟失情況，此外還常常會出現不法人員通過線路進行非法監聽的行為。

我國的計算機網絡在認證系統構建上依舊不完善，相關的安全防御技術及產品缺乏，且網絡安全系統也較為薄弱，此外在網絡安全管理與相關法律法規的建設上，我國依舊還處于持續建設階段，這樣必然給不法分子可乘之機。世界許多國家的計算機網絡也存在著網絡安全問題，這導致每年單單網絡安全損失就高達幾十億甚至幾百億美元。因此，解決計算機網絡安全問題刻不容緩。

2 計算機網絡安全隱患

2.1 網絡病毒入侵

網絡病毒具有高度的隱蔽性及傳染性，并且具備了較強的破壞能力，屬于網絡安全隱患中最常見的一種。隨著計算機網絡的快速發展，網絡病毒也在不斷更新換代，其破壞力也在不斷提升，有些病毒能夠輕而易舉的進入到一些個人操作不規范以及沒有安裝或者運行安全防護軟件的計算機系統中，使得用戶計算機系統遭受病毒入侵。比如，一些用戶如果登錄一些安全性能不高的網站下載一些軟件或者文件時，就很有可能被文件中所隱藏的網絡病毒感染，這最終會導致計算機系統癱瘓。

2.2 黑客攻擊

黑客活躍于網絡，掌握著較高水平的計算機技術，他們對計算機網絡安全防護體系非常了解，并且能夠利用那些存在安全漏洞的計算機網絡，憑借自己較高的計算機技術，采取非法手段通過網絡安全漏洞入侵其它用戶的計算機系統，對用戶的計算機進行破壞，使被攻擊的用戶計算機系統發生癱瘓、竊取用戶計算機中存儲的機密數據以及個人隱私。網絡黑客的攻擊除了其本人具有較高的計算機水平外，計算機本身的漏洞也為黑客入侵提供有利條件。

2.3 計算機網絡本身漏洞

網絡管理策略本身存在一定的缺陷，這使得計算機網絡經常存在各種各樣的安全漏洞，網絡漏洞的存在是計算機主要的安全隱患之一。網絡漏洞的存在為黑客攻擊以及病毒入侵提供有利條件，并且受計算機用戶本身操作不當的影響及安全意識缺乏，使得計算機網絡漏洞逐漸擴大，這必然會對計算機網絡安全造成巨大威脅。

2.4 網絡詐騙

計算機網絡開放性、虛擬性及自由性的特點，使得網絡詐騙問題頻出。一些非法分子經常通過網絡社交平臺及各種聊天軟件工具進行網絡詐騙，并且散布各種虛假廣告來誘騙用戶，使一些自我分辨能力較差的用戶不能有效甄別，進而造成個人財產損失。

3 造成計算機網絡安全隱患的原因分析

3.1 計算機安全系統不完善

計算機網絡在各行各業應用的越來越廣泛，但是相應的計算機網絡安全防護系統卻依舊不夠完善，這導致各種網絡安全問題層出不窮，因此安全系統不完善是造成計算機網絡安全事故的重要因素之一。

3.2 計算機用戶個人操作不當

當前計算機網絡已經進入到家家戶戶，人們足不出戶就能知天下事，這使得計算機網絡的便利性更為突出，比如人們可以利用計算機網絡進行聊天、新聞閱讀以及購物等。但是其中比較嚴重的問題是許多人們在使用網絡時往往缺乏安全意識，經常瀏覽一些非法或者安全性較低的網站，這為用戶的計算機安全埋下巨大的安全隱患。

4 計算機網絡安全漏洞挖掘技術

計算機網絡安全問題的源頭在于計算機本身存在漏洞，因此有必要采取一種針對性漏洞挖掘技術，將計算機中隱藏的漏洞顯現出來，并采取合理的方案進行修復，以提高計算機網絡安全性，保護用戶信息安全。下面以軟件安全漏洞為例，對安全漏洞挖掘技術進行分析。

4.1 漏洞研究

4.1.1 漏洞挖掘

計算機軟件中的安全漏洞本身不會對軟件的功能造成影響，因此很難通過功能性測試來發現，對于一些自己認為是“正常操作”的普通用戶而言，更加難以觀察到軟件中存在的瑕疵。

安全性漏洞其實擁有很高的利用價值，比如導致計算機遠程控制以及數據泄露的安全漏洞，通常是一些計算機技術精湛的編程人員尋找的重點，他們能夠敏感的捕捉到程序員犯下的細小錯誤，這使得一些大型的軟件公司，常常會雇傭一些專家測試自己產品中的漏洞。從安全漏洞修復層面分析，漏洞挖掘其實屬于一種高級的測試，目前無論是專家還是攻擊者，普遍采用的漏洞挖掘方法是Fuzz，這實際上是一種黑盒測試。

4.1.2 漏洞分析

當Fuzz捕捉到軟件中的異常情況后，需要向廠商簡單描述漏洞的細節時，就要具備一定的漏洞分析能力，漏洞分析通常是使用一種調試二進制級別的程序。

進行漏洞的分析時，若能搜索到POC代碼，則能夠重現漏洞觸發的現場，通過調試器觀察漏洞細節，或利用一些工具能夠找到漏洞的出發點。而如果不能搜索到POC時，就需要向廠商簡單的描述漏洞，使用較為普遍的是補丁比較器，先比較patch前后可執行文件中有哪些內容進行了修改，之后就可以用反匯編工具進行逆向分析。

漏洞分析對漏洞挖掘人員的逆向基礎以及調試技術有較高的要求，除此之外還要求相關人員應精通各個場景下漏洞的利用方法，這些操作更多的依賴實際處理經驗，因此很難形成通用的方法與技術規范。

4.1.3 漏洞利用

漏洞利用在上世紀80年代就已經出現，而其真正流行是在1996年，隨著時間的逐漸推移，經過無數的軟件安全專家以及黑客的針對性研究，該技術已經在多種流行的操作系統以及編譯環境下得到了有效的實踐，并且日趨完善。

4.2 漏洞挖掘技術研究

4.2.1 安全掃描技術

掃描漏洞主要是對計算機端口信息進行檢查以及掃描，以便發現其中是否存在可供利用的漏洞以及端口。漏洞最終的掃描結果通常只是指出哪些攻擊可能存在，哪些端口能夠被黑客用來攻擊，因此安全掃描僅僅是對計算機進行安全性評估。漏洞掃描技術通常建立在端口掃描技術的基礎上，通過對入侵行為進行分析以及觀察相關漏洞的收集結果，大多數是針對某一網絡服務。

漏洞掃描原理主要是借助各種模擬攻擊方法來檢查目標主機是否存在已知安全漏洞，在端口掃描后可以得到目標主機開啟端口以及相應端口上的網絡服務，將相關信息與漏洞掃描系統所提供的漏洞數據庫進行有效匹配，進而得出系統中是否存在條件符合的安全漏洞。此外，漏洞掃描還經常模擬黑客攻擊手法，對目標主機采取攻擊性的安全漏洞掃描，比如測試弱口令，如果模擬攻擊成功則表明主機系統的確存在安全漏洞。

4.2.2 白盒測試

白盒測試指的是在已知的源代碼基礎上，對所有資源進行充分訪問，包括源代碼、設計規約、程序員本人等，通常而言往往只能得到程序的二進制代碼，然而若采取反編譯工具，進行代碼的反匯編，則能夠進一步分析源代碼。

源代碼的評審包括人工及自動兩種方式。通常而言，計算機程序中包含數十萬的代碼，如果單純的進行人工審查是很難完成的。自動化工具作為一種寶貴資源，通常能夠減少長時間閱讀代碼的繁重任務，但是自動化工具卻常常只能識別一些可疑的代碼片段，后續仍需人工分析來完善。

源代碼分析工具通常可分為編譯時檢測器、源代碼瀏覽器以及自動源代碼審核工具。其中編譯時檢測器常常與編譯器集成在一起，能夠檢測不同類型的漏洞，有效彌補了編譯器的檢測不完全的缺陷。源代碼瀏覽器專門用來輔助人工評審源代碼，該工具允許評審者執行代碼高級搜索及在代碼交叉處應用位置之間進行導航。源代碼自動審核工具同大多數的安全性工具一樣，但是該工具卻傾向于關注具體編程語言。

白盒測試的優點：源代碼所有可能的路徑都可以被審核，這便于發現可能的漏洞。

白盒測試的缺點：源代碼分析工具不完善，可能出現報告出偽問題；白盒測試的評審在Win32環境下較為罕見，因此使用范圍也比較有限。

4.2.3 黑盒測試

作為終端用戶，可以控制輸入，從一個黑盒子一端提供輸入，然后從另一端觀察輸出結果，并不知道內部工作細節。黑盒測試要求所有東西可以被測試程序接受，這也是黑客攻擊者常用的手段。

黑盒測試通常只是從程序外部接口入手，雖然不知黑盒內部的任何細節，然而測試的最終目的卻與白盒測試相同，即達到程序內部完整分支覆蓋以及狀態覆蓋。此外，由于無法得知軟件程序的內部具體情況，做到完全覆蓋測試就是使用無窮數量，但是這是很難實現的。所以對于黑盒測試，測試用例選擇及設計尤為重要。

黑盒測試優點：黑盒測試在源代碼可用情況下優勢突出；黑盒測試無需對目標進行假設；測試方法簡單，能夠在不十分了解程序內部細節的情況下執行。

黑盒y試缺點：確定測試合適結束以及測試有效性是最大挑戰；不適用復雜攻擊情形并且此類攻擊還需要深入理解應用程序底層邏輯。

4.2.4 灰盒測試

灰盒測試在白盒測試與黑盒測試中間浮動，這對該測試的具體含義，給出下面的定義：灰盒測試包含了黑盒測試審核，內容中還包含了逆向工程獲取結果。逆向工程通常被稱作逆向代碼工程。源代碼作為寶貴的資源，具備容易被閱讀以及支持人們理解軟件具體功能的作用。并且源代碼中隱含提示的具體功能以及預期所需要的輸入以及具體功能的輸出內容。分析編譯后得到的匯編代碼指令可以幫助測試者在源代碼缺失的情況下進行安全評估，該過程忽略了源代碼這一層次，在匯編代碼層次上進行安全評估，使用二進制進行相關的審核。

5 結語

總之，隨著計算機技術的快速發展，計算機網絡安全問題日趨嚴重。由于計算機網絡安全隱患多樣、涉及的因素也較多，因此對計算機安全隱患的防范不單單是利用簡單的技術措施對系統進行保護，而是應采取相應的漏洞挖掘技術，將計算機網絡安全隱藏的漏洞充分暴露出來，并采取相應的修復措施，以解除計算機網絡安全警報，提高計算機網絡安全性，保證用戶個人信息安全。

參考文獻

[1]劉春娟.數據挖掘技術在計算機網絡病毒防御中的應用分析[J].電子測試，2014（05）：83-85.

[2]吳志毅，茅曉紅.探討計算機網絡存在的安全隱患及其維護措施[J].科技傳播，2014（05）：223-224.

[3]李智勇.數據挖掘在計算機網絡病毒防御中的應用探究[J].電子測試，2014（12）：46-48.

[4]馮偉林.探討計算機網絡存在的安全隱患及其維護措施[J].計算機光盤軟件與應用，2014（16）：177-178.

作者簡介

高旗（1990-），男，北京市人。大學本科學歷。現為國家新聞出版廣電總局監管中心助理工程師。研究方向為廣播電視監測。

第2篇：網絡安全逆向工程范文

關鍵詞：協議逆向； 協議語義； 協議會話； 協議狀態機； 鄰接矩陣

中圖分類號： TP393 文獻標志碼：A

0引言

在網絡安全中，很多基于協議的安全技術都以協議規范說明為基礎比如為了提高防御粒度，新一代的防火墻[1]和入侵檢測系統[2]利用協議規范進行深度包檢測和狀態行為檢測，從而能高效、精確地識別出惡意傳輸；高交互型蜜罐系統[3]基于協議規范可以生成各種腳本以監聽各種遠程請求，實現多種服務的仿真

但是很多網絡私有協議沒有公開自己的規范說明，比如MicroSoft的網絡文件共享SMB（Server Message Block）協議[4]、Oracle數據庫訪問的TNS協議[5]、各種IPTV和及時通信軟件使用的協議[6]等另外，即使對于公開規范的協議，不同廠商在軟件的具體實現時并沒有嚴格按照規范說明去設計，因此越來越多的研究人員通過協議逆向的方法自動獲取協議規范說明，以支撐其他網絡安全技術的實施

協議規范定義了協議報文的格式和協議狀態機[7]：前者規范了協議報文由哪些字段組成，每個字段的位置、類型和取值含義等[8]；后者規定了協議報文的時序關系，體現出協議的行為邏輯目前大多研究集中于反向推斷協議的格式，較少研究協議狀態機的逆向事實上，逆向出協議狀態機可以描述一個協議的行為，幫助理解協議的行為邏輯，進一步應用到入侵檢測或蜜罐系統中，因此本文對協議狀態機逆向方法進行研究

1相關研究

目前關于協議狀態機逆向的研究分為兩類[9]一類是指令級的分析方法這種方法需要在指令級監控協議實體對報文的解析過程，實現起來比較復雜，在實際應用中很難獲得對協議實體的控制權，加之很多軟件為了防止其代碼被逆向，加強了軟件的模糊性另一類網流級的分析方法是以嗅探得到的網絡數據流為分析對象，它的可行性在于同一報文格式對應的多個報文樣本具有相似性，會話內報文的時序關系體現了協議狀態轉換的信息由于實現起來簡單，因此近年來很多研究者開始研究基于網流級的狀態機逆向方法

2007年，Shevertalov等[10]提出協議狀態機逆向的工具PEXT，將協議的運行過程劃分為多個階段（子會話），每個子會話完成不同的功能，被定義成一個狀態PEXT以最長公共子序列長度為相似度指標，對報文樣本進行聚類，將協議流轉化成一系列的聚類ID，在協議流之間提取相同的聚類ID序列標注成一個協議的狀態，根據狀態轉換序列生成狀態機，通過合并算法得到涵蓋所有協議會話實例的最小確定狀態機

2009年，Trifilo等[11]將會話中的每條報文（包括不同的方向）定義為一個狀態，認為協議報文中通常存在一些報文狀態域標志了當前的狀態邏輯，通過分析二進制協議報文中各字節的變化分布來識別狀態域并構建狀態機；并考慮通過檢測狀態的前一狀態和隨后的狀態來區分由同一特征值表示的不等狀態，避免構建出的狀態機產生錯誤的報文序列

2011年，Wang等[12]提出了協議的概率狀態機（Probabilistic Protocol State Machine，PPSM）模型構建單方向網流的狀態機PPSM首先利用統計學的方法找到網流中最頻繁的字符串；而后利用圍繞中心點的劃分（Partitioning Around Medoids，PAM）聚類方法獲取協議的狀態關鍵字，根據關鍵字為每一個數據包分配狀態類型；最后以概率的形式描述狀態之間的轉換，構建概率協議狀態機

2009年，Comparetti等[13]綜合利用網流級和指令級的信息提出了完整的協議逆向方案Prospex，為客戶端的輸出報文逆向狀態機，旨在識別表示相似應用情景的狀態首先利用指令執行序列分析技術，抽取每個報文的格式，繼而結合格式特征和執行特征對報文進行聚類，抽取更普遍的報文格式，識別會話中的每個報文類型；然后構建增廣前綴樹（Augmented Prefix Tree Acceptor，APTA）接受網絡會話中的所有報文類型序列，繼而從觀察到的會話中抽取報文類型之間的順序特征，以正則表達式表示，稱為先決條件；接著對APTA的每個狀態用那個狀態允許輸入的報文類型集合進行標注，表示其符合先決條件的可接受的報文類型集；最后使用Exbar算法將APTA最小化

以上依據網流級狀態機逆向的方法有以下不足：Trifilo等[11]的方法依賴于各種報文類型字段在報文格式的同字節偏移位置上出現，不適于報文類型字段的字節位置不固定的文本協議；Wang等[12]的方法適于文本協議，但是只依據頻繁字符串標識報文狀態，沒有區分字符串之間的層次，無法準確提取出報文的語義字段

另外，目前構建狀態機的方法都是先構建一棵狀態前綴樹，再利用啟發式方法進行狀態機的合并和簡化，這會導致初始構建的狀態機過于龐大，并且在狀態機簡化過程中容易導致路徑的錯誤合并，無法準確地描述報文類型之間的時序關系

為解決以上問題，本文依據網絡流的分析提出一種面向文本類協議的狀態機逆向方法首先利用語義關鍵字的分布特征和偏移屬性提取語義關鍵字，識別出會話中的報文類型；然后利用有向圖的鄰接矩陣描述報文類型之間的時序關系，進行狀態標注；最后實現協議狀態機的逆向，體現協議行為邏輯其流程如圖1所示

2狀態機逆向方法

2.1語義關鍵字提取方法

定義1語義關鍵字報文中表示報文類型的字段稱為語義關鍵字

為了識別文本語義關鍵字，第一步使用處理文本協議的通用方法，將連續可打印ASCII碼（不少于3字節）標記成一個文本塊，根據分隔符將文本塊劃分為一系列的文本token；然后利用啟發式規則過濾掉特征明顯的參數，包括IP地址、版本號、URL等[14]，過濾后的文本token作為候選語義關鍵字，并記錄它在原文本token序列中的位置第二步通過考察關鍵字在會話集中的分布特征，來識別常用語義關鍵字第三步發現關鍵字在報文中的偏移特征，一方面作為第二步語義關鍵字識別規則的補充，另一方面提高報文類型的識別速度

2.1.1語義關鍵字的會話分布特征

語義關鍵字的分布特征指的是語義關鍵字通常頻繁地出現在會話中，而不是出現在會話的每個報文中本文綜合關鍵字在會話中的頻數和報文的頻數來刻畫語義關鍵字的分布特征，定義兩個識別規則，同時滿足兩種識別規則的文本token即為語義關鍵字

2.1.2語義關鍵字的報文偏移特征

上述識別規則容易忽略很少出現在網流中的語義關鍵字，由于文本協議有一定的格式規范，語義關鍵字往往出現在報文的固定位置上，因此本文進一步發現語義關鍵字的偏移屬性，并基于偏移屬性對2.1.1節的識別規則進行修正

本文通過發現語義關鍵字的報文偏移特征，一方面對2.1.1節的識別規則進行修正，補充進出現頻率較少的語義關鍵字；另外，基于語義關鍵字的偏移特征可以進行語義關鍵字的迅速定位，實現報文類型的快速識別，將協議的每個會話轉化成報文類型序列

2.2狀態標注

定義3協議狀態是協議的一個邏輯概念，特定狀態下協議實體可以接受特定事件和執行相應動作

由于服務器發送的報文多是一些表示服務器服務能力的命令碼，無法反映協議的行為邏輯，因此本文同先前的工作一樣，從客戶端發送的報文類型序列中構建狀態機

不同的報文類型可能會引起狀態的轉換，因此通常利用狀態轉換圖表現報文類型之間的時序關系，描述協議的行為邏輯先前的文獻首先構建狀態前綴樹，接受所有的報文類型序列再進行狀態的合并和化簡，導致初始構建的狀態前綴樹過于龐大，且需要大量的比較操作而本文利用鄰接矩陣描述報文類型之間的關系，基于報文類型之間的關系對狀態進行標注，可以省去狀態前綴樹的構造，直接構建狀態轉換圖

主要思路是首先將具有強順序約束的報文類型序列標注為一個狀態，然后找到會話的必經報文類型序列，每個必經報文類型序列標注為一個狀態，最后基于報文類型之間的弱順序約束對兩兩必經報文類型中間的可選報文類型集進行狀態標注

2.2.1構造鄰接矩陣

2.2.3基于會話必經路徑的狀態標注

定義6會話必經路徑是指所有會話必須出現的報文類型序列，這些報文類型之間有嚴格的順序關系

本文首先引入形式概念的表示方法表示報文類型與會話的隸屬關系，然后利用這種隸屬關系和有向圖的最短路徑設計會話必經路徑搜索算法，找到會話開始和結束之間的必經路徑，將必經路徑中的每個報文類型標識成一個狀態轉換

2.3狀態轉換圖的構建

利用2.2節的狀態標注方法對報文類型引起的狀態轉換進行狀態標注，構造協議的狀態轉換圖首先將具有強順序約束關系的報文類型序列定義為一個狀態轉換；然后依據2.2.3節得到會話必經報文類型畫出基本的狀態轉換圖；最后依據2.2.4節方法將具有等價關系的報文類型定義成一個狀態轉換，構造出完成的狀態轉換圖

3實驗驗證分析

本文在Windows XP環境下利用Python2.7編寫代碼實現狀態機逆向的方法，為了對本文的方法進行驗證，選取廣泛應用于網絡中的兩種文本類協議SMTP和FTP進行狀態機逆向通過在Windows XP下利用WebMail搭建SMTP服務器，利用ServU搭建FTP服務器，獲取訓練數據，然后將某校園網的真實網絡流量作為測試數據

由于基于網絡軌跡的協議逆向一個普遍存在的缺陷是無法學習到訓練集中未出現的行為，因此本文要求訓練集覆蓋每個協議的主要功能，使得逆向出的狀態機能夠反映協議的主要行為邏輯

3.1關鍵字提取

3.2狀態機逆向

本文利用在入侵檢測和信息檢索中廣泛使用的兩個評估指標——召回率和準確率對逆向的狀態機的質量進行評估

3.2.1召回率

為了測試召回率，本文利用真實網絡流量，對狀態機的召回率進行評估真實網絡流量的SMTP會話數為855，FTP會話數為642

圖2為利用不同大小的SMTP協議訓練集訓練出的狀態機的召回率實驗結果表明訓練集的SMTP報文個數達到300時，召回率穩定在94.1%，即逆向出的SMTP狀態機可以接受803個FTP會話，余下的52個會話使用了SSL加密傳輸，沒有被狀態機識別出來圖3為SMTP訓練集的報文個數達到200時逆向出的狀態機，由于SMTP第一條報文有兩種報文類型，HELO和EHLO，圖3顯示的是第一種報文類型開頭的狀態機

圖4為利用不同大小的FTP協議訓練集訓練出的狀態機的召回率實驗結果表明訓練集的FTP報文個數達到2000條時，召回率穩定在91.7%，即逆向出的FTP狀態機可以接受589個FTP會話，在余下的53個會話中，有12個會話出現了訓練集中未出現的命令，另外41個會話使用了SSL加密傳輸圖5為FTP訓練集的報文個數達到1500條時逆向出的FTP狀態機

3.2.2準確率

狀態機的準確率用來衡量狀態機的可靠性，表示被狀態機接受的會話中，有多少個會話是符合協議規范的，令M表示被狀態機接受的會話數，CP表示符合協議規范的會話數，則

為了測試準確率，本文對測試集中的會話以0.1的概率進行隨機修改，創建不符合協議規范的會話，包括關鍵報文丟失和報文之間的亂序通過這種方式，在己經被SMTP協議狀態機接受的786個SMTP協議會話中，創建無效會話78個在已經被FTP協議狀態機接受的489個FTP協議會話中，創建無效會話64個

對于修改后的會話集，SMTP狀態機接受SMTP會話為708個，未被接受的會話均是無效會話；而FTP狀態機接受FTP會話為473個經檢查發現，由于程序對FTP會話進行隨機修改，而FTP規范中的很多報文類型是不需要嚴格順序的，隨機修改后的會話很多仍然是符合協議規范的，經人工過濾掉這些有效會話后，其狀態機的準確率達到了100%

4結語

現有逆向協議狀態機的方法需要根據協議會話中的報文類型順序構建初始狀態前綴樹，這會出現大量的冗余狀態本文利用鄰接矩陣描述報文類型之間的時序關系，基于時序關系進行協議狀態的標注，構建出協議的狀態轉換圖，并對文本類協議進行了實驗驗證結果表明，該方法可以正確地描述出報文類型的時序關系，抽象出準確的協議狀態機模型下一步，本文準備對二進制類的協議進行逆向實驗，以驗證本文方法的有效性

參考文獻：

[1]KRUEGER T， KRMER N， RIECK K. ASAP： automatic semanticsaware analysis of network payloads [C]// Proceedings of the 2011 International ECML/PKDD Conference on Privacy and Security Issues in Data Mining and Machine Learning， LNCS 6549. Berlin： SpringerVerlag， 2011： 50-63.

[2]郝耀輝，郭淵博，劉偉.基于有限自動機的密碼協議入侵檢測方法[J].計算機應用研究，2008，25（1）：230-234.

[3]KRUEGER T， GASCON H， KRMER N， et al. Learning stateful models for network honeypots [C]// AISec 12： Proceedings of the 5th ACM Workshop on Security and Artificial Intelligence. New York： ACM， 2012： 37-48.

[4]How samba was written [EB/OL]. [2013-01-16]. http：///ftp/tridge/misc/french_cafe.txt.

[5]李偉明，張愛芳，劉建財，等.網絡協議的自動化模糊測試漏洞挖掘方法[J].計算機學報，2011，34（2）：242 -255.

[6]ANTUNES J， NENVES N， VERSSIMO P. Reverse engineering of protocols from network traces [C]// Proceedings of the 18th Working Conference on Reverse Engineering. Piscataway： IEEE， 2011：169-178.

[7]田園，李建斌，張振.一種逆向分析協議狀態機模型的有效方法[J].計算機工程與應用，2011，47（19）：63-67.

[8]黎敏， 余順爭.抗噪的未知應用層協議報文格式最佳分段方法[J].軟件學報，2013，24（3）：604-617.

[9]潘璠，吳禮發，杜有翔.協議逆向工程研究進展[J].計算機應用研究，2011，28（8）：2801-2806.

[10]SHEVERTALOV M， MANCORIDIS S. A reverse engineering tool for extracting protocols of networked applications [C]// WCRE 2007： Proceedings of the 14th Working Conference on Reverse Engineering. Piscataway： IEEE， 2007： 229-238.

[11]TRIFILIO A， BURSCHKA S， BIERSACK E. Traffic to protocol reverse engineering[C]// CISDA 2009： Proceedings of the 2009 IEEE Symposium on Computational Intelligence for Security and Defense Applications. Piscataway： IEEE， 2009： 1-8.

[12]WANG Y P， ZHANG Z B， YAO D F， et al. Inferring protocol state machine from network traces： a probabilistic approach [C]// ACNS 11： Proceedings of the 2011 Applied Cryptography and Network Security， LNCS 6715. Berlin： SpringerVerlag， 2011： 1-18.

第3篇：網絡安全逆向工程范文

關鍵詞：校園網；認證系統；體系；安全問題

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）04-0037-02

網絡安全認證結構是一個較為復雜的系統化工程，要針對系統軟件和人員制度進行系統化分析，要結合網絡安全技術進行集中處理，從而保證不同安全問題能得到有效認證和處理，明確校園安全保護方面的需求，從而積極落實動態化安全模型，利用有效的解決方案，確保高效穩定網絡運行環境。

1 常用網絡安全技術分析

在實際網絡安全技術管理過程中，要針對實際管理結構建構系統化管控機制，目前，較為常用的網絡安全技術主要包括以下幾種。

第一，數據加密技術。在網絡管理機制中，數據加密技術是較為重要的安全技術結構，在實際技術應用過程中，主要是利用相應的加密算法建構系統化的計算模型。

第二，身份認證技術。在實際技術結構建立過程中，借助計算機以及網絡系統對操作者的身份進行集中關注，并且按照身份信息以及特定數據進行綜合分析，計算機借助用戶數字身份對用戶身份的合理性。要結合物理身份以及數字身份的對應進行集中處理，從而保證相應數據的安全性。

第三，防火墻技術。防火墻是網絡安全的基本屏障，也是內部網絡安全性提升的重要技術結構，主要是借助相關軟件和系統對不安全流量以及風險進行集中處理，確保安全隱患得到有效維護，利用協議對內部網絡進行集中處理。在防火墻技術中，要對網路存取以及訪問記錄進行集中審計。

2 校園網絡體系分析

2.1校園網絡認證系統

在校園網絡體系建立過程中，要針對相應問題進行集中處理，作為高校信息化的基本平臺和基礎設施，在實際工作中承擔著非常重要的作用。因此，要結合高校實際建立切實有效的校園網認證系統，從技術結構層面要積極落實自身網絡規模和運營特點，確保校園網絡體系認證系統能滿足安全高效的工作管理機制。目前，多數高校校園網絡都利用以太網，建立局域網標準，并且結合相應的網絡體系建構校園網認證模式。

利用以太網對接入認證方式進行處理，主要是利用PPPoE認證模式、802.1認證模式以及Web認證模式等，能結合相關協議對其邏輯點進行綜合連接。在認證機制管理過程中，要對認真協議以及訪問控制進行綜合分處理，從而支持業務和流媒體業務處理業務，確保應用效果切實有效。

2.2校園網絡安全問題分析

在校園網絡安全管理過程中，要結合相關問題進行集中處理，并且積極落實有效的高校信息化建設機制，在校園網運行過程中，主要是針對高校教育以及科研基礎設施進行綜合管控，承擔科研以及管理任務。網絡實際應用過程中，會區別于商業用網絡以及政府用網絡。其一，網絡組成結構較為復雜，分為核心、匯聚以及接入等層次，會直接分別劃分為教學子網絡、辦公子網絡以及宿舍子網絡等，在對其接入方式進行分析時，并且建構雙出口結構。利用多層次和雙出口特征，導致校園網運行結構中存在復雜網絡環境。其二，在高校校園網運行過程中，網絡應用系統和功能較為復雜，同時要滿足教學信息交流和科研活動，在運行電子郵件系統和網絡辦公系統的基礎上，教學中應用在線教學系統，日常生活應用一卡通系統，提高整體應對安全隱患的能力。

2.3校園網絡安全需求分析

在校園網絡安全需求分析過程中，需要對校園網絡進行分層管理，確保管控機制和管理維度的有效性，作為大型網絡區域，需要對相關協議以及網絡運行結構進行細化處理和綜合解構。在處理校園網絡系統物理結構和安全問題方面，需要技術人員結合校園的實際問題建構有效的校園網認證系統。由于網絡應用人群數量基數較大，且安全隱患性問題較多，需要建構系統化且具有一定實際價值的校園網安全支持系統。

在對網絡安全需求結構進行分析的過程中，第一，建立網絡邊緣安全區域，網絡邊緣安全主要是在校園網和外界網交界處，利用相應的訪問數據管理機制，對其進行集中管控。主要包括接入校園內網、信息共享上網體系、遠程訪問服務網絡、服務器、接入CERNET，接入CHINANET等，能禁止外部用戶非法訪問校園網數據，隱藏校園網內網的IP，并且能為校園網提供更加安全可靠的遠程訪問服務項目。第二，建立匯聚安全區，應用校園W絡骨干節點，并且對網絡之間的高速以及穩定進行集中處理。第三，服務器安全區域，要結合外服務器區域以及內服務區域，對其內容和信息進行集中處理，并且保證高風險區域得到有效處理，以保證通訊結構不受到影響。校園網應用系統較多，要對安全性進行針對性分析，確保實施隔離后各個區域能滿足相應的管理需求。第四，接入網安全區，在接入網安全問題處理過程中，由于越來越多的病毒會導致二層協議受到漏洞影響，校園接入網絡的布點較多，人員組成較為復雜，針對端口環路問題要進行集中管理和層級化處理，確保相應的安全性得到有效維護。

3 校園網認證系統的安全體系

3.1校園網認證系統的安全風險和應對措施

在校園網認證系統建立和運行過程中，要對校園網認證安全風險進行綜合評估。

其一，應用層面對的安全風險，主要包括病毒木馬攻擊、緩沖區溢出問題、逆向工程問題、注冊表供給問題以及社交工程問題等。攻擊依賴關系中主要是ARP攻擊、Sniffer攻擊以及病毒直接攻擊等。針對上述問題，技術人員要提高程度的安全性，并且確保學生能提高安全防護意識，而對于ARP攻擊項目，需要應用高安全性加密算法取代弱加密算法，并且寶恒用戶登錄信息不會存儲在注冊表內。

其二，表示層、會話層、傳輸層的安全風險，主要是來自URL的編碼攻擊、會話劫持問題以及DOS攻擊等，依賴的是Sniffer攻擊，需要技術人員針對相關問題進行集中的技術升級和綜合處理。

其三，傳輸層的安全風險，主要是來自于IP地址的攻擊，需要技術人員針對相應適配結構安裝有效的防火墻。

其四，數據鏈路層的安全風險，主要是來自于ARP攻擊，依賴關系是Sniffer攻擊，利用相應的ARP地址綁定能有效的應對相關問題，建構更加有效的管理系統。

其五，物理層的安全風險，主要是Sniffer攻擊以及直接攻擊，針對上訴問題，需要技術人員利用相應的手段對POST進行有效消除，并且去掉數據中的MAC地址密文，以保證有效地減少秘鑰泄露問題，并且要指導學生提高網絡安全防護意識。

3.2校園網認證系統的接入層安全設計

在校園網絡系統中，接入層是和用戶終端相連的重要結構，在實際認證系統建立過程中，由于接入層的交換機需要承受終端的流量攻擊，因此，技術人員需要對其進行集中處理和綜合管控，確保其設計參數和應用結構的有效性。

其一，利用ARP欺騙技術，對于相應的緩存信息進行集中處理和綜合維護，并且保證相應參數結構不會對網絡安全運行產生影響，也能針對ARP攻擊進行有效應對，從而建立切實有效的防御體系，借助修改攻擊目標的ARPcache表實現數據處理，從而提高校園網認證系統的安全性。

其二，用戶身份認證部署結構，為了更好地滿足校園網的安全需求，要積極落實有效的管理模式，由于接入用戶識別和認證體系存在問題，需要對網絡接入控制模型進行集中處理和綜合管控，提高認證結構資源維護機制的同時，確保相應認證結構得以有效處理。

3.3校園網認證系統的網絡出口安全設計

校園網認證系統建立過程中，出口安全設計是整個網絡安全體系中較為重要的項目參數結構，需要技術人員針對其網絡通道進行系統化分析和綜合處理，確保安全設計內部網絡和外部資源結構之間建立有效的平衡態關系，并對性能問題和內網訪問速度，并對光纖服務器進行綜合分析。

3.4校園網認證系統的網絡核心層安全策略

網絡核心層是交換網絡的核心元件，也是安全策略得到有效落實的基本方式，核心層設計要對其通信安全進行集中處理，并有效配置ACL策略，對其進行訪問控制，從而保證端口過濾得到有效管理。在核心層管理過程中，要對VLAN進行有效劃分，也要對安全訪問控制列表進行有效配置，對不同子網區域之間的訪問權限進行有效管理，為了進一步提高關鍵業務實現系統的獨立，從而保證網絡管理系統和隔離系統的優化，實現有效的數據交互，確保訪問權限得到有效分類，也為系統整體監督管理的優化奠定堅實基礎，并且積極落實相應的配置方案。只有對病毒端口進行集中過濾，才能保證網路端口的掃描和傳播模型進行分析，有效處理病毒傳遞路徑，保證訪問控制列表的有效性，真正落實病毒端口過濾的管理路徑，保證管理維度和管理控制模型的有序性。

4 結束語

總而言之，校園網認證系統的管理問題需要得到有效解決，結合組織結構和網絡多樣性進行系統升級，并針對地理區域特征和網絡基礎設施等特征建構系統化處理模型，對于突發性網絡需求以及校園網網絡堵塞等問題進行集中處理和綜合管控，從根本上提高校園網網絡維護和管理效率。在提高各層次網絡安全性的同時，積極建構更加安全的校園網認證系統，實現網絡管理項目的可持續發展。

參考文獻：

[1] 杜民.802.1x和web/portal認證協同打造校園網認證系統[J].山東商業職業技術學院學報，2015，10（6）：104-107.

[2] 馮文健，郭小鋒.利用RouterOS Hotspot認證架構低成本校園網認證系統[J].柳州師專學報，2016，24（3）：131-133.

第4篇：網絡安全逆向工程范文

應用型本專科院校辦學始終以市場為導向，培養應用型人才為目標。隨著信息時代的來臨，計算機相關專業也成為了具有廣闊市場需求的熱門專業，而其中網絡專業課程更是核心科目。然而受到師資力量與設備投入的局限，學生在網絡專業課程方面的實踐性往往不足。技能大賽的開展，為計算機網絡專業課程的改革提供了方向。

一、技能大賽的基本概況

我國于2008年引入技能大賽機制，正式舉辦了首屆全國職業院校技能大賽，并開設了“計算機網絡應用”與“信息安全技術應用”比賽項目，隨后各省市區也紛紛舉辦了本區域范圍內的技能大賽。

技能大賽的賽項設立，是在與用人單位充分調研后開設的，因此與市場對人才的需求密切掛鉤，可以說，技能大賽的開設就是為了將應用型本專科院校的人才培養與企業的真實需求無縫對接。通過技能大賽與職業教育的對接，將積極引導計算機網絡專業課程向著優化課程設置、改革教學方向的目標前進，并促使院校與企業開展深度合作。

二、計算機網絡專業課程教學現狀

1、知識缺乏系統化

網絡專業技術的知識更新十分迅速，加上市場需求的千變萬化，使得網絡專業知識顯得龐大而雜亂。在此情況下，編輯統一適用的教材，對于計算機教育而言并不現實。在此情況下，教師為了適應網絡專業技術知識涌現的狀況，只得隨時補充教學資料、課外資源，直接導致了網絡專業課程教學知識的繁多而雜亂，使知識教學缺乏系統化。不僅如此，受到師資力量和設備投入的局限，網絡專業課程的實訓教學條件差、課時少，使得學生的實踐能力難以迅速增長，導致了理論與實踐的脫節。

2、教學模式單一化

在課堂教學中，教師也以口頭講授為主，偶爾間有多媒體演示，但很少安排實操課程。在有限的實操課程上，教師也多以模擬器、仿真設備等進行實踐教學，這些設備本身與真實的網絡專業設備存在很大差距，而且不能夠通過實操使學生真正掌握網絡專業技術，從而使得培養出來的學生在真正進入工作崗位之后，難以對網絡專業工作輕松上手。這種教學模式使得學生對于網絡專業知識只能形成理性認識，而難以形成只有通過大量實踐才能建立起來的感性認識，使理論學習與實踐操作產生了脫節，不利于社會化培養目標的實現。雖然通過多媒體可以使學生對網絡服務器的搭建與交換機的配置等有一些直觀的印象，但畢竟與真正的實操相比效果遠遠不如，而且多媒體演示本身也只是課堂講授的一種具體形式，因此很易導致學生對專業課程的學習積極性下降。

3、教學內容不適應市場需求

由于教學內容繁多而雜亂，加上相關知識更新速度極快，使得當前網絡專業課程的教學內容顯得與市場需求的發展速度有些脫節。此外，由于在教學中不能夠時刻了解當前社會上的企業對于網絡構建與維護技術的需求變化，也使得在教學內容的設置上不能夠及時更新，與當前社會需求保持同步。從而導致了學生學到的知識，可能在畢業后就會被社會所淘汰。

三、技能大賽對計算機網絡專業課程教學的影響

1、對課程設置的影響

技能大賽要求網絡專業學生必須具有將學習、工作與個人能力結合起來共同發展的能力，因此在課程設置上，受到技能大賽的影響，傳統以完整學科為主的課程設置方式將向以完整工作過程為主的方向轉變。從競賽的項目設置看，網絡組建、服務器配置與應用、網絡安全與維護，這些內容既是比賽項目，同時也是社會最主要的就業崗位。因此對于應用型本專科院校以培養實用人才為方向的課程設置而言，就必須參照技能大賽的項目進行課程設置。這樣的課程設置內容，將使學生的日常所學與個人能力的提升向著與未來工作崗位的實際需要相結合的方向發展，提高學生的就業競爭力。

2、對課程內容的影響

技能大賽的獲獎者在未來就業時將更具備競爭力，這使得技能大賽無疑成為了應用型本專科院校課程改革的風向標。從競賽內容來看，基本上涵蓋了網絡專業課程的所有教學內容，但技能競賽更注重學生的實際運用能力，因此要求學生不僅要掌握所有知識，而且要具備很強的綜合運用能力。在這種導向下，原有的網絡專業課程內容繁多而混亂、與社會需求脫軌的問題必須得到糾正，要以技能競賽為導向，在課程內容的安排上實現模塊化組合，方便學生選擇，并且要加大對于學生綜合運用能力的實訓。

3、對教學模式的影響

在技能大賽當中，對于學生專業能力的考察是以其專業技能水平與職業綜合素質的考察為主要內容的，在綜合運用能力、也就是實踐能力方面的考察是最為主要的。在這種導向下，應用型本專科院校的教學模式必須擺脫以口頭傳授為主的模式，而要轉向以實踐操作、實訓教學為主要教學模式，從而使學生的綜合應用能力得到提升，在技能大賽中更能取得好的成績，并適應未來工作崗位的要求。

4、對課程評價體系的影響

在傳統的網絡專業課程評價體系中，以期末考試的方式進行課程評價是最為常用的方式，通過期末考試的分數，來判定教學任務是否順利完成、學生是否掌握了相關知識，是主要的評價體系。然而在技能大賽的影響下，這種傳統的課程評價體系顯然已經落伍。技能大賽注重對于學生職業技能實際運用與綜合素質水平的全面評價，這與社會對于專業人才的評價體系是完全一致的。在這種評價體系下，高校對于學生的學習成果與教學任務的考核也應當以技能和綜合素質考核為主，形成多元化的課程評價體系，打破期末考試以分數來衡量教學效果的單一、死板的評價方式。

四、技能大賽帶動下的計算機網絡專業課程改革建議

1、重塑培養目標

應用型本專科院校要實現培養實用人才的辦學理念，就必須打破傳統的教學目標，以技能大賽的要求為指向，樹立以工作過程為基礎的課程設計理念，從職業能力的培養出發來全面重新構建網絡專業課程培養目標。結合技能大賽的考察內容，網絡專業課程培養目標的設定也應當劃分為知識技能目標與綜合素質目標兩個模塊。其中知識技能的培養目標，應當使學生不僅掌握局域網組建、服務器構建、交換機安裝高度、網絡安全維護等專業知識，而且要具備熟練的綜合運用能力；而素質培養目標，則主要是培養學生的團隊合作意識、組織溝通能力、敬業精神等。上述培養目標是完全按照社會需求的實際來設計的，也是技能大賽最主要的考察內容。

2、重組教學內容

技能大賽對課程的設置與教學內容的確定，是以工作過程的完整性為基礎的。從企業的實際需要與技能大賽的要求出發來設置課程內容，可以采用逆向工程原理，即以工作崗位的工作任務分解為起點，進而確定不同工作任務所需要的工作能力，再根據工作能力的培養來設置課程模塊。這樣設置的課程與教學內容，既具有了針對性，同時也便于學生選課。在此基礎上，要加大學生綜合運用能力的培養，提升實訓的效果。

3、提升自主學習條件

在以技能提升為培養方向的網絡專業課程教學中，教師不再是教學的主導者，而是引導者，學生不再是被動接受的一方，而是主動學習的主導者。學生完全有能力開展自主學習，教師在教學中，一是確定方向、二是加以引導、三是答疑解惑，而將更多的時間交給學生去自主學習。此時，必要的學習條件就成為開展自主學習必不可少的基礎。一方面要根據技能大賽競賽設置的要求，配置與競賽相同的實訓環境，以此來代替以往的仿真器、虛擬機教學；另一方面還要主動與企業增強聯系，在企業設立實訓基地，以此來加強校企合作，密切聯系社會需求變動。

4、轉變教學方法

將傳統的課堂轉移到實訓室當中，將實訓課程與知識傳授一體化完成，其中實訓課程應當占到整個教學過程的60%以上。在實訓課程當中，教師除必要的知識傳授外，只是對學生進行必要的引導，使學生按照既定的實訓目標，通過自身的努力來找到解決問題的辦法，從而提高對知識的感性認識與實踐經驗。

5、優化考核評價體系

在以實訓為主導的課程體系中，考核評價應當是以職業技能水平為主要考核內容的多元化考核體系，應當將教學過程的評價劃分為階段評價、過程評價與目標評價的三層體系，既不能忽視理論考核、更要充分注重實踐考核，既要注重技能考核、還要注重綜合素質的評價。這種全面的考核評價體系才能使學生不斷的調整自身學習方向，適應未來職業要求。

結語

技能大賽的引入，為應用型本專科院校網絡專業課程的發展方向指明的道路。在技能大賽指引下，網絡專業課程應當從培養目標、課程設置與內容、學習條件、教學方法、考核評價等五個方面嚴格按照技能大賽的考察要求進行改革。改革后的網絡專業課程，將與社會的實際需求密切接軌，大大增強學生的就業競爭力。

參考文獻

[1]李領治等.計算機網絡理論與實踐教學改[J].計算機教育，2010（23）.

[2]曹慶旭、王貴生等.關于職業技能大賽對課程改革的影響[J].職教論壇，2011（23）.

[3]丁建石.職業技能大賽對職業教學工學結合的作用[J].計算機教育，2010（11）.

[4]劉忠.技能大賽對應用型本專科院校教學改革促進作用的研究[J].蘭州石化職業技術學院學報，2010（1）.

[5]劉東菊、湯國明.職業技能大賽對教師職業影響力的研究[J].職教論壇，2011（1）.

[6]鄧兆虎.職業技能大賽對于高職教育的影響力分析[J].科教導刊，2011（8）.

第5篇：網絡安全逆向工程范文

關鍵詞：信息安全　漏洞挖掘　漏洞利用　病毒　云安全　保障模式變革

l　引言

信息安全與網絡安全的概念正在與時俱進，它從早期的通信保密發展到關注信息的保密、完整、可用、可控和不可否認的信息安全，再到如今的信息保障和信息保障體系。單純的保密和靜態的保障模式都已經不能適應今天的需要。信息安全保障依賴人、操作和技術實現組織的業務運作，穩健的信息保障模式意味著信息保障和政策、步驟、技術與機制在整個組織的信息基礎設施的所有層面上均能得以實施。

近年以來，我國的信息安全形勢發生著影響深遠的變化，透過種種紛繁蕪雜的現象，可以發現一些規律和趨勢，一些未來信息安全保障模式變革初現端倪。

2　信息安全形勢及分析

據英國《簡氏戰略報告》和其它網絡組織對世界各國信息防護能力的評估，我國被列入防護能力最低的國家之一，排名大大低于美國、俄羅斯和以色列等信息安全強國，排在印度、韓國之后。我國已成為信息安全事件的重災區，國內與網絡有關的各類違法行為以每年高于30％的速度遞增。根據國家互聯網應急響應中心的監測結果，目前我國95％與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。

在互聯網的催化下，計算機病毒領域正發生著深刻變革，病毒產業化經營的趨勢日益顯現。一條可怕的病毒產業鏈正悄然生成。

傳統的黑客尋找安全漏洞、編寫漏洞利用工具、傳播病毒、操控受害主機等環節都需要自己手工完成。然而，現在由于整個鏈條通過互聯網運作，從挖掘漏洞、漏洞利用、病毒傳播到受害主機的操控，已經形成了一個高效的流水線，不同的黑客可以選擇自己擅長的環節運作并牟取利潤，從而使得整個病毒產業的運作效率更高。黑客產業化經營產生了嚴重的負面影響：

首先，病毒產業鏈的形成意味著更高的生產效率。一些經驗豐富的黑客甚至可以編寫出自動化的處理程序對已有的病毒進行變形，從而生產出大量新種類的病毒。面對井噴式的病毒增長，當前的病毒防范技術存在以下三大局限：①新樣本巨量增加、單個樣本的生存期縮短，現有技術無法及時截獲新樣本。②即使能夠截獲，則每天高達數十萬的新樣本數量，也在嚴重考驗著對于樣本的分析、處理能力。③即使能夠分析處理，則如何能夠讓中斷在最短時間內獲取最新的病毒樣本庫，成為重要的問題。

其次，病毒產業鏈的形成意味著更多的未知漏洞被發現。在互聯網的協作模式下，黑客間通過共享技術和成果，漏洞挖掘能力大幅提升，速度遠遠超過了操作系統和軟件生產商的補丁速度。

再次，黑客通過租用更好的服務器、更大的帶寬，為漏洞利用和病毒傳播提供硬件上的便利；利用互聯網論壇、博客等，高級黑客雇傭“軟件民工”來編寫更強的驅動程序，加入病毒中加強對抗功能。大量軟件民工的加入，使得病毒產業鏈條更趨“正規化、專業化”，效率也進一步提高。

最后，黑客通過使用自動化的“肉雞”管理工具，達到控制海量的受害主機并且利用其作為繼續牟取商業利潤的目的。至此整個黑客產業內部形成了一個封閉的以黑客養黑客的“良性循環”圈。

3　漏洞挖捆與利用

病毒產業能有今天的局面，與其突破了漏洞挖掘的瓶頸息息相關。而漏洞挖掘也是我們尋找漏洞、彌補漏洞的有利工具，這是一柄雙刃劍。

3．1漏洞存在的必然性

首先，由于Internet中存在著大量早期的系統，包括低級設備、舊的系統等，擁有這些早期系統的組織沒有足夠的資源去維護、升級，從而保留了大量己知的未被修補的漏洞。其次，不斷升級中的系統和各種應用軟件，由于要盡快推向市場，往往沒有足夠的時間進行嚴格的測試，不可避免地存在大量安全隱患。再次，在軟件開發中，由于開發成本、開發周期、系統規模過分龐大等等原因，Bug的存在有其固有性，這些Bug往往是安全隱患的源頭。另外，過分龐大的網絡在連接、組織、管理等方面涉及到很多因素，不同的硬件平臺、不同的系統平臺、不同的應用服務交織在一起，在某種特定限制下安全的網絡，由于限制條件改變，也會漏洞百出。

3．2漏洞挖掘技術

漏洞挖掘技術并不單純的只使用一種方法，根據不同的應用有選擇地使用自下而上或者自上而下技術，發揮每種技術的優勢，才能達到更好的效果。下面是常用的漏洞挖掘方法：

(1)安全掃描技術。安全掃描也稱為脆弱性評估，其基本原理是采用模擬攻擊的方式對目標系統可能存在的已知安全漏洞進行逐項檢測。借助于安全掃描技術，人們可以發現主機和網絡系統存在的對外開放的端口、提供的服務、某些系統信息、錯誤的配置等，從而檢測出已知的安全漏洞，探查主機和網絡系統的入侵點。

(2)手工分析。針對開源軟件，手工分析一般是通過源碼閱讀工具，例如sourceinsight等，來提高源碼檢索和查詢的速度。簡單的分析一般都是先在系統中尋找strcpy0之類不安全的庫函數調用進行審查，進一步地審核安全庫函數和循環之類的使用。非開源軟件與開源軟件相比又有些不同，非開源軟件的主要局限性是由于只能在反匯編獲得的匯編代碼基礎上進行分析。在針對非開源軟件的漏洞分析中，反編引擎和調試器扮演了最蘑要的角色，如IDA　Pro是目前性能較好的反匯編工具。

(3)靜態檢查。靜態檢查根據軟件類型分為兩類，針對開源軟件的靜態檢查和針對非開源軟件的靜態檢查。前者主要使用編譯技術在代碼掃描或者編譯期間確定相關的判斷信息，然后根據這些信息對特定的漏洞模型進行檢查。而后者主要是基于反匯編平臺IDAPro，使用自下而上的分析方法，對二進制文件中的庫函數調用，循環操作等做檢查，其側重點主要在于靜態的數據流回溯和對軟件的逆向工程。

(4)動態檢查。動態檢查也稱為運行時檢查，基本的原理就是通過操作系統提供的資源監視接口和調試接口獲取運行時目標程序的運行狀態和運行數據。目前常用的動態檢查方法主要有環境錯誤注入法和數據流分析法。以上介紹的各種漏洞挖掘技術之間并不是完全獨立的，各種技術往往通過融合來互相彌補缺陷，從而構造功能強大的漏洞挖掘工具。

3．3漏洞利用

漏洞的價值體現在利用，如果一個漏洞沒有得到廣泛的利用便失去了意義。通常，從技術層面上講，黑客可以通過遠程/本地溢出、腳本注入等手段，利用漏洞對目標主機進行滲透，包括對主機信息和敏感文件的獲取、獲得主機控制權、監視主機活動、破壞系統、暗藏后門等，而當前漏洞利用的主要趨勢是更趨向于Web攻擊，其最終日標是要在日標主機(主要針對服務器)上植入可以綜合利用上面的幾種挖掘技術的復合型病毒，達到其各種目的。

4　新型信息安全模式分析

最近的兩三年間，在與病毒產業此消彼漲的較量中，信息安全保障體系的格局，包括相關技術、架構、形態發生了一些深遠、重大的變化，大致歸納為以下三個方面：第一，細分和拓展。信息安全的功能和應用正在從過去簡單的攻擊行為和病毒防范開始向各種各樣新的聯網應用業務拓展，開始向網絡周邊拓展。如現在常見的對于帳號的安全保護、密碼的安全保護、游戲的安全保護、電子商務支付過程的安全保護等，都是信息安全功能和應用的細分與拓展。

第二，信息安全保障一體化的趨向。從終端用戶來說，他們希望信息安全保障除了能夠專業化地解決他們具體應用環節里面臨的各種各樣的具體問題之外，更希望整體的、一體化的信息安全解決方案貫穿業務的全過程，貫穿IT企業架構的全流程。因此，許多不同的安全廠商都在進行自身的安全產品、體系架構的整合，針對性地應用到個人客戶的方方面面，表現出信息安全保障一體化的趨向。

第三，安全分布結構的變化。在服務器端，不管是相關市場的投入還是企業的需要，乃至相關的企業對服務器市場的重視都在發生重大的變化。這樣的變化對安全的分布結構產生了重大的影響，在這方面，各個安全廠商無論在服務器安全還是客戶端安全都加入了許多新型功能，甚至都在從體系結構方面提出一些新模式。

透過技術、架構、形態的新發展，我們看到了·些規律和趨勢，吏看到了一些未來信息安傘保障模式變節的端倪。既然客在互聯的催化下實現產業化，那么信息安全保障呢?將互聯網上的每個終端用戶的力量調動起來，使整個互聯網就將成為一個安全保障工具，這樣的模式就是未來信息安全保障的模式，被一些機構和安全廠商命名為“云安全”。

在“云安全”模式中，參與安全保障的不僅是安全機構和安全產品生產商，更有終端用戶——客戶端的參與。“云安全”并不是一種安全技術，而是一種將安全互聯網化的理念。

“云安全”的客戶端區別于通常意義的單機客戶端，而是一個傳統的客戶端進行互聯網化改造的客戶端，它是感知、捕獲、抵御互聯網威脅的前端，除了具有傳統單機客戶端的檢測功能以外還有基于互聯網協作的行為特征檢測和基于互聯網協作的資源防護功能，因此它可以在感知到威脅的同時，迅速把威脅傳遞給“云安全”的威脅信息數據中心。威脅信息數據中心是收集威脅信息并提供給客戶端協作信息的機構，它具有兩個功能：一是收集威脅信息；二是客戶端協作信息的查詢和反饋。首先，從“云安全”的客戶端收集、截獲的惡意威脅信息，及時傳遞給數據中心，然后傳遞給來源挖掘和挖掘服務集群，來源挖掘和挖掘服務集群會根據這些數據來挖掘惡意威脅的來源，通過協作分析找到源頭，進而對源頭進行控制，如果不能控制，則至少可以對源頭進行檢測。然后，將所有收集到的信息集中到自動分析處理系統，由其形成一個解決方案，傳遞給服務器，服務器再回傳客戶端，或者是形成一個互聯網的基礎服務，傳遞給所有安全合作伙伴，形成一個互聯網技術服務，使整個網絡都享受該安全解決方案。

概括而言，“云安全”模式具有以下特點：第一，快速感知，快速捕獲新的威脅。“云安全”的數據中心可以并行服務，通過互聯網大大提高威脅捕獲效率。第二，“云安全”的客戶端具有專業的感知能力。通過威脅挖掘集群的及時檢測，可以從源頭監控互聯網威脅。

互聯網已經進入Web2．O時代，Web2．0的特點就是重在用戶參與，而“云安全”模式已經讓用戶進入了安全的2．O時代。在黑客產業化經營的新威脅的形勢下，也只有互聯網化的“云安全”保障模式才能與之對抗。

4　結柬語