网络安全逆向工程精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的网络安全逆向工程主题范文，仅供参考，欢迎阅读并收藏。

第1篇：网络安全逆向工程范文

【关键词】计算机网络安全隐患 漏洞 挖掘技术

在信息技术飞速发展的今天，计算机网络已经得到广泛的应用，并且不断渗透到当前各个领域中，借助计算机网络的便捷性，现代人们沟通交流、数据处理等也越来越便捷。然而由于算机网络具有开放性、虚拟性及自由性特点，这使得计算机网络在给人们提供巨大便利的同时也埋下了一定的安全隐患，如黑客攻击、网络诈骗、网络病毒等，这对个人及企业信息安全造成巨大威胁。因此计算机网络安全性逐渐成为人们关注的焦点，网络安全防范策略在各个领域得到重视。

1 计算机网络安全概念及现状

1.1 计算机网络安全的概念

计算机网络是一个综合性较强的学科，涉及到的相关技术也多种多样，具体包括网络技术、通信技术、密码技术等。在计算机网络安全运行中，通常需要对系统的软件及硬件部分进行严密的保护，以防止计算机网络系统遭到恶意攻击、系统破坏导致的数据泄露及丢失情况。

计算机网络具有开放性、虚拟性以及自由性等特点，这些基本特点在提升计算机网络便捷性的同时，也为网络安全埋下较大的隐患。计算机网络的开放性虽然发挥了信息及资源共享、交流便捷的作用，但是也为计算机用户的网络安全带来一定的威胁，不法分子经常会借助开放性的网络进行非法犯罪活动；计算机网络是一个庞大的虚拟空间，为用户提供娱乐、信息获取等需求，然而虚拟性也为网络诈骗分子提供了良好条件，一些诈骗分子在网络上常常匿名虚假信息，使很多网民受骗，但是受骗后人们却对这些不法分子无可奈何；计算机网络有着高度的自由性，网民在操作上不受任何技术的约束，可以随时随地的或者收取信息，但是自由性也为计算机网络病毒的传播提供巨大便利，一些非法站点的病毒会对计算机安全造成巨大威胁。

1.2 计算机网络安全现状

现阶段，随着计算机网络的开放度与自由度逐渐提升，计算机网络系统中存在两种最为主要的安全隐患，即信息泄露与黑客攻击。这两种安全隐患都会对计算机网络产生巨大破坏，尤其是黑客攻击，通过病毒还能够导致系统的完全瘫痪，进而使被攻击对象的计算机系统遭到破坏以及网络中存储的重要文件以及信息数据发生泄漏及丢失情况，此外还常常会出现不法人员通过线路进行非法监听的行为。

我国的计算机网络在认证系统构建上依旧不完善，相关的安全防御技术及产品缺乏，且网络安全系统也较为薄弱，此外在网络安全管理与相关法律法规的建设上，我国依旧还处于持续建设阶段，这样必然给不法分子可乘之机。世界许多国家的计算机网络也存在着网络安全问题，这导致每年单单网络安全损失就高达几十亿甚至几百亿美元。因此，解决计算机网络安全问题刻不容缓。

2 计算机网络安全隐患

2.1 网络病毒入侵

网络病毒具有高度的隐蔽性及传染性，并且具备了较强的破坏能力，属于网络安全隐患中最常见的一种。随着计算机网络的快速发展，网络病毒也在不断更新换代，其破坏力也在不断提升，有些病毒能够轻而易举的进入到一些个人操作不规范以及没有安装或者运行安全防护软件的计算机系统中，使得用户计算机系统遭受病毒入侵。比如，一些用户如果登录一些安全性能不高的网站下载一些软件或者文件时，就很有可能被文件中所隐藏的网络病毒感染，这最终会导致计算机系统瘫痪。

2.2 黑客攻击

黑客活跃于网络，掌握着较高水平的计算机技术，他们对计算机网络安全防护体系非常了解，并且能够利用那些存在安全漏洞的计算机网络，凭借自己较高的计算机技术，采取非法手段通过网络安全漏洞入侵其它用户的计算机系统，对用户的计算机进行破坏，使被攻击的用户计算机系统发生瘫痪、窃取用户计算机中存储的机密数据以及个人隐私。网络黑客的攻击除了其本人具有较高的计算机水平外，计算机本身的漏洞也为黑客入侵提供有利条件。

2.3 计算机网络本身漏洞

网络管理策略本身存在一定的缺陷，这使得计算机网络经常存在各种各样的安全漏洞，网络漏洞的存在是计算机主要的安全隐患之一。网络漏洞的存在为黑客攻击以及病毒入侵提供有利条件，并且受计算机用户本身操作不当的影响及安全意识缺乏，使得计算机网络漏洞逐渐扩大，这必然会对计算机网络安全造成巨大威胁。

2.4 网络诈骗

计算机网络开放性、虚拟性及自由性的特点，使得网络诈骗问题频出。一些非法分子经常通过网络社交平台及各种聊天软件工具进行网络诈骗，并且散布各种虚假广告来诱骗用户，使一些自我分辨能力较差的用户不能有效甄别，进而造成个人财产损失。

3 造成计算机网络安全隐患的原因分析

3.1 计算机安全系统不完善

计算机网络在各行各业应用的越来越广泛，但是相应的计算机网络安全防护系统却依旧不够完善，这导致各种网络安全问题层出不穷，因此安全系统不完善是造成计算机网络安全事故的重要因素之一。

3.2 计算机用户个人操作不当

当前计算机网络已经进入到家家户户，人们足不出户就能知天下事，这使得计算机网络的便利性更为突出，比如人们可以利用计算机网络进行聊天、新闻阅读以及购物等。但是其中比较严重的问题是许多人们在使用网络时往往缺乏安全意识，经常浏览一些非法或者安全性较低的网站，这为用户的计算机安全埋下巨大的安全隐患。

4 计算机网络安全漏洞挖掘技术

计算机网络安全问题的源头在于计算机本身存在漏洞，因此有必要采取一种针对性漏洞挖掘技术，将计算机中隐藏的漏洞显现出来，并采取合理的方案进行修复，以提高计算机网络安全性，保护用户信息安全。下面以软件安全漏洞为例，对安全漏洞挖掘技术进行分析。

4.1 漏洞研究

4.1.1 漏洞挖掘

计算机软件中的安全漏洞本身不会对软件的功能造成影响，因此很难通过功能性测试来发现，对于一些自己认为是“正常操作”的普通用户而言，更加难以观察到软件中存在的瑕疵。

安全性漏洞其实拥有很高的利用价值，比如导致计算机远程控制以及数据泄露的安全漏洞，通常是一些计算机技术精湛的编程人员寻找的重点，他们能够敏感的捕捉到程序员犯下的细小错误，这使得一些大型的软件公司，常常会雇佣一些专家测试自己产品中的漏洞。从安全漏洞修复层面分析，漏洞挖掘其实属于一种高级的测试，目前无论是专家还是攻击者，普遍采用的漏洞挖掘方法是Fuzz，这实际上是一种黑盒测试。

4.1.2 漏洞分析

当Fuzz捕捉到软件中的异常情况后，需要向厂商简单描述漏洞的细节时，就要具备一定的漏洞分析能力，漏洞分析通常是使用一种调试二进制级别的程序。

进行漏洞的分析时，若能搜索到POC代码，则能够重现漏洞触发的现场，通过调试器观察漏洞细节，或利用一些工具能够找到漏洞的出发点。而如果不能搜索到POC时，就需要向厂商简单的描述漏洞，使用较为普遍的是补丁比较器，先比较patch前后可执行文件中有哪些内容进行了修改，之后就可以用反汇编工具进行逆向分析。

漏洞分析对漏洞挖掘人员的逆向基础以及调试技术有较高的要求，除此之外还要求相关人员应精通各个场景下漏洞的利用方法，这些操作更多的依赖实际处理经验，因此很难形成通用的方法与技术规范。

4.1.3 漏洞利用

漏洞利用在上世纪80年代就已经出现，而其真正流行是在1996年，随着时间的逐渐推移，经过无数的软件安全专家以及黑客的针对性研究，该技术已经在多种流行的操作系统以及编译环境下得到了有效的实践，并且日趋完善。

4.2 漏洞挖掘技术研究

4.2.1 安全扫描技术

扫描漏洞主要是对计算机端口信息进行检查以及扫描，以便发现其中是否存在可供利用的漏洞以及端口。漏洞最终的扫描结果通常只是指出哪些攻击可能存在，哪些端口能够被黑客用来攻击，因此安全扫描仅仅是对计算机进行安全性评估。漏洞扫描技术通常建立在端口扫描技术的基础上，通过对入侵行为进行分析以及观察相关漏洞的收集结果，大多数是针对某一网络服务。

漏洞扫描原理主要是借助各种模拟攻击方法来检查目标主机是否存在已知安全漏洞，在端口扫描后可以得到目标主机开启端口以及相应端口上的网络服务，将相关信息与漏洞扫描系统所提供的漏洞数据库进行有效匹配，进而得出系统中是否存在条件符合的安全漏洞。此外，漏洞扫描还经常模拟黑客攻击手法，对目标主机采取攻击性的安全漏洞扫描，比如测试弱口令，如果模拟攻击成功则表明主机系统的确存在安全漏洞。

4.2.2 白盒测试

白盒测试指的是在已知的源代码基础上，对所有资源进行充分访问，包括源代码、设计规约、程序员本人等，通常而言往往只能得到程序的二进制代码，然而若采取反编译工具，进行代码的反汇编，则能够进一步分析源代码。

源代码的评审包括人工及自动两种方式。通常而言，计算机程序中包含数十万的代码，如果单纯的进行人工审查是很难完成的。自动化工具作为一种宝贵资源，通常能够减少长时间阅读代码的繁重任务，但是自动化工具却常常只能识别一些可疑的代码片段，后续仍需人工分析来完善。

源代码分析工具通常可分为编译时检测器、源代码浏览器以及自动源代码审核工具。其中编译时检测器常常与编译器集成在一起，能够检测不同类型的漏洞，有效弥补了编译器的检测不完全的缺陷。源代码浏览器专门用来辅助人工评审源代码，该工具允许评审者执行代码高级搜索及在代码交叉处应用位置之间进行导航。源代码自动审核工具同大多数的安全性工具一样，但是该工具却倾向于关注具体编程语言。

白盒测试的优点：源代码所有可能的路径都可以被审核，这便于发现可能的漏洞。

白盒测试的缺点：源代码分析工具不完善，可能出现报告出伪问题；白盒测试的评审在Win32环境下较为罕见，因此使用范围也比较有限。

4.2.3 黑盒测试

作为终端用户，可以控制输入，从一个黑盒子一端提供输入，然后从另一端观察输出结果，并不知道内部工作细节。黑盒测试要求所有东西可以被测试程序接受，这也是黑客攻击者常用的手段。

黑盒测试通常只是从程序外部接口入手，虽然不知黑盒内部的任何细节，然而测试的最终目的却与白盒测试相同，即达到程序内部完整分支覆盖以及状态覆盖。此外，由于无法得知软件程序的内部具体情况，做到完全覆盖测试就是使用无穷数量，但是这是很难实现的。所以对于黑盒测试，测试用例选择及设计尤为重要。

黑盒测试优点：黑盒测试在源代码可用情况下优势突出；黑盒测试无需对目标进行假设；测试方法简单，能够在不十分了解程序内部细节的情况下执行。

黑盒y试缺点：确定测试合适结束以及测试有效性是最大挑战；不适用复杂攻击情形并且此类攻击还需要深入理解应用程序底层逻辑。

4.2.4 灰盒测试

灰盒测试在白盒测试与黑盒测试中间浮动，这对该测试的具体含义，给出下面的定义：灰盒测试包含了黑盒测试审核，内容中还包含了逆向工程获取结果。逆向工程通常被称作逆向代码工程。源代码作为宝贵的资源，具备容易被阅读以及支持人们理解软件具体功能的作用。并且源代码中隐含提示的具体功能以及预期所需要的输入以及具体功能的输出内容。分析编译后得到的汇编代码指令可以帮助测试者在源代码缺失的情况下进行安全评估，该过程忽略了源代码这一层次，在汇编代码层次上进行安全评估，使用二进制进行相关的审核。

5 结语

总之，随着计算机技术的快速发展，计算机网络安全问题日趋严重。由于计算机网络安全隐患多样、涉及的因素也较多，因此对计算机安全隐患的防范不单单是利用简单的技术措施对系统进行保护，而是应采取相应的漏洞挖掘技术，将计算机网络安全隐藏的漏洞充分暴露出来，并采取相应的修复措施，以解除计算机网络安全警报，提高计算机网络安全性，保证用户个人信息安全。

参考文献

[1]刘春娟.数据挖掘技术在计算机网络病毒防御中的应用分析[J].电子测试，2014（05）：83-85.

[2]吴志毅，茅晓红.探讨计算机网络存在的安全隐患及其维护措施[J].科技传播，2014（05）：223-224.

[3]李智勇.数据挖掘在计算机网络病毒防御中的应用探究[J].电子测试，2014（12）：46-48.

[4]冯伟林.探讨计算机网络存在的安全隐患及其维护措施[J].计算机光盘软件与应用，2014（16）：177-178.

作者简介

高旗（1990-），男，北京市人。大学本科学历。现为国家新闻出版广电总局监管中心助理工程师。研究方向为广播电视监测。

第2篇：网络安全逆向工程范文

关键词：协议逆向； 协议语义； 协议会话； 协议状态机； 邻接矩阵

中图分类号： TP393 文献标志码：A

0引言

在网络安全中，很多基于协议的安全技术都以协议规范说明为基础比如为了提高防御粒度，新一代的防火墙[1]和入侵检测系统[2]利用协议规范进行深度包检测和状态行为检测，从而能高效、精确地识别出恶意传输；高交互型蜜罐系统[3]基于协议规范可以生成各种脚本以监听各种远程请求，实现多种服务的仿真

但是很多网络私有协议没有公开自己的规范说明，比如MicroSoft的网络文件共享SMB（Server Message Block）协议[4]、Oracle数据库访问的TNS协议[5]、各种IPTV和及时通信软件使用的协议[6]等另外，即使对于公开规范的协议，不同厂商在软件的具体实现时并没有严格按照规范说明去设计，因此越来越多的研究人员通过协议逆向的方法自动获取协议规范说明，以支撑其他网络安全技术的实施

协议规范定义了协议报文的格式和协议状态机[7]：前者规范了协议报文由哪些字段组成，每个字段的位置、类型和取值含义等[8]；后者规定了协议报文的时序关系，体现出协议的行为逻辑目前大多研究集中于反向推断协议的格式，较少研究协议状态机的逆向事实上，逆向出协议状态机可以描述一个协议的行为，帮助理解协议的行为逻辑，进一步应用到入侵检测或蜜罐系统中，因此本文对协议状态机逆向方法进行研究

1相关研究

目前关于协议状态机逆向的研究分为两类[9]一类是指令级的分析方法这种方法需要在指令级监控协议实体对报文的解析过程，实现起来比较复杂，在实际应用中很难获得对协议实体的控制权，加之很多软件为了防止其代码被逆向，加强了软件的模糊性另一类网流级的分析方法是以嗅探得到的网络数据流为分析对象，它的可行性在于同一报文格式对应的多个报文样本具有相似性，会话内报文的时序关系体现了协议状态转换的信息由于实现起来简单，因此近年来很多研究者开始研究基于网流级的状态机逆向方法

2007年，Shevertalov等[10]提出协议状态机逆向的工具PEXT，将协议的运行过程划分为多个阶段（子会话），每个子会话完成不同的功能，被定义成一个状态PEXT以最长公共子序列长度为相似度指标，对报文样本进行聚类，将协议流转化成一系列的聚类ID，在协议流之间提取相同的聚类ID序列标注成一个协议的状态，根据状态转换序列生成状态机，通过合并算法得到涵盖所有协议会话实例的最小确定状态机

2009年，Trifilo等[11]将会话中的每条报文（包括不同的方向）定义为一个状态，认为协议报文中通常存在一些报文状态域标志了当前的状态逻辑，通过分析二进制协议报文中各字节的变化分布来识别状态域并构建状态机；并考虑通过检测状态的前一状态和随后的状态来区分由同一特征值表示的不等状态，避免构建出的状态机产生错误的报文序列

2011年，Wang等[12]提出了协议的概率状态机（Probabilistic Protocol State Machine，PPSM）模型构建单方向网流的状态机PPSM首先利用统计学的方法找到网流中最频繁的字符串；而后利用围绕中心点的划分（Partitioning Around Medoids，PAM）聚类方法获取协议的状态关键字，根据关键字为每一个数据包分配状态类型；最后以概率的形式描述状态之间的转换，构建概率协议状态机

2009年，Comparetti等[13]综合利用网流级和指令级的信息提出了完整的协议逆向方案Prospex，为客户端的输出报文逆向状态机，旨在识别表示相似应用情景的状态首先利用指令执行序列分析技术，抽取每个报文的格式，继而结合格式特征和执行特征对报文进行聚类，抽取更普遍的报文格式，识别会话中的每个报文类型；然后构建增广前缀树（Augmented Prefix Tree Acceptor，APTA）接受网络会话中的所有报文类型序列，继而从观察到的会话中抽取报文类型之间的顺序特征，以正则表达式表示，称为先决条件；接着对APTA的每个状态用那个状态允许输入的报文类型集合进行标注，表示其符合先决条件的可接受的报文类型集；最后使用Exbar算法将APTA最小化

以上依据网流级状态机逆向的方法有以下不足：Trifilo等[11]的方法依赖于各种报文类型字段在报文格式的同字节偏移位置上出现，不适于报文类型字段的字节位置不固定的文本协议；Wang等[12]的方法适于文本协议，但是只依据频繁字符串标识报文状态，没有区分字符串之间的层次，无法准确提取出报文的语义字段

另外，目前构建状态机的方法都是先构建一棵状态前缀树，再利用启发式方法进行状态机的合并和简化，这会导致初始构建的状态机过于庞大，并且在状态机简化过程中容易导致路径的错误合并，无法准确地描述报文类型之间的时序关系

为解决以上问题，本文依据网络流的分析提出一种面向文本类协议的状态机逆向方法首先利用语义关键字的分布特征和偏移属性提取语义关键字，识别出会话中的报文类型；然后利用有向图的邻接矩阵描述报文类型之间的时序关系，进行状态标注；最后实现协议状态机的逆向，体现协议行为逻辑其流程如图1所示

2状态机逆向方法

2.1语义关键字提取方法

定义1语义关键字报文中表示报文类型的字段称为语义关键字

为了识别文本语义关键字，第一步使用处理文本协议的通用方法，将连续可打印ASCII码（不少于3字节）标记成一个文本块，根据分隔符将文本块划分为一系列的文本token；然后利用启发式规则过滤掉特征明显的参数，包括IP地址、版本号、URL等[14]，过滤后的文本token作为候选语义关键字，并记录它在原文本token序列中的位置第二步通过考察关键字在会话集中的分布特征，来识别常用语义关键字第三步发现关键字在报文中的偏移特征，一方面作为第二步语义关键字识别规则的补充，另一方面提高报文类型的识别速度

2.1.1语义关键字的会话分布特征

语义关键字的分布特征指的是语义关键字通常频繁地出现在会话中，而不是出现在会话的每个报文中本文综合关键字在会话中的频数和报文的频数来刻画语义关键字的分布特征，定义两个识别规则，同时满足两种识别规则的文本token即为语义关键字

2.1.2语义关键字的报文偏移特征

上述识别规则容易忽略很少出现在网流中的语义关键字，由于文本协议有一定的格式规范，语义关键字往往出现在报文的固定位置上，因此本文进一步发现语义关键字的偏移属性，并基于偏移属性对2.1.1节的识别规则进行修正

本文通过发现语义关键字的报文偏移特征，一方面对2.1.1节的识别规则进行修正，补充进出现频率较少的语义关键字；另外，基于语义关键字的偏移特征可以进行语义关键字的迅速定位，实现报文类型的快速识别，将协议的每个会话转化成报文类型序列

2.2状态标注

定义3协议状态是协议的一个逻辑概念，特定状态下协议实体可以接受特定事件和执行相应动作

由于服务器发送的报文多是一些表示服务器服务能力的命令码，无法反映协议的行为逻辑，因此本文同先前的工作一样，从客户端发送的报文类型序列中构建状态机

不同的报文类型可能会引起状态的转换，因此通常利用状态转换图表现报文类型之间的时序关系，描述协议的行为逻辑先前的文献首先构建状态前缀树，接受所有的报文类型序列再进行状态的合并和化简，导致初始构建的状态前缀树过于庞大，且需要大量的比较操作而本文利用邻接矩阵描述报文类型之间的关系，基于报文类型之间的关系对状态进行标注，可以省去状态前缀树的构造，直接构建状态转换图

主要思路是首先将具有强顺序约束的报文类型序列标注为一个状态，然后找到会话的必经报文类型序列，每个必经报文类型序列标注为一个状态，最后基于报文类型之间的弱顺序约束对两两必经报文类型中间的可选报文类型集进行状态标注

2.2.1构造邻接矩阵

2.2.3基于会话必经路径的状态标注

定义6会话必经路径是指所有会话必须出现的报文类型序列，这些报文类型之间有严格的顺序关系

本文首先引入形式概念的表示方法表示报文类型与会话的隶属关系，然后利用这种隶属关系和有向图的最短路径设计会话必经路径搜索算法，找到会话开始和结束之间的必经路径，将必经路径中的每个报文类型标识成一个状态转换

2.3状态转换图的构建

利用2.2节的状态标注方法对报文类型引起的状态转换进行状态标注，构造协议的状态转换图首先将具有强顺序约束关系的报文类型序列定义为一个状态转换；然后依据2.2.3节得到会话必经报文类型画出基本的状态转换图；最后依据2.2.4节方法将具有等价关系的报文类型定义成一个状态转换，构造出完成的状态转换图

3实验验证分析

本文在Windows XP环境下利用Python2.7编写代码实现状态机逆向的方法，为了对本文的方法进行验证，选取广泛应用于网络中的两种文本类协议SMTP和FTP进行状态机逆向通过在Windows XP下利用WebMail搭建SMTP服务器，利用ServU搭建FTP服务器，获取训练数据，然后将某校园网的真实网络流量作为测试数据

由于基于网络轨迹的协议逆向一个普遍存在的缺陷是无法学习到训练集中未出现的行为，因此本文要求训练集覆盖每个协议的主要功能，使得逆向出的状态机能够反映协议的主要行为逻辑

3.1关键字提取

3.2状态机逆向

本文利用在入侵检测和信息检索中广泛使用的两个评估指标——召回率和准确率对逆向的状态机的质量进行评估

3.2.1召回率

为了测试召回率，本文利用真实网络流量，对状态机的召回率进行评估真实网络流量的SMTP会话数为855，FTP会话数为642

图2为利用不同大小的SMTP协议训练集训练出的状态机的召回率实验结果表明训练集的SMTP报文个数达到300时，召回率稳定在94.1%，即逆向出的SMTP状态机可以接受803个FTP会话，余下的52个会话使用了SSL加密传输，没有被状态机识别出来图3为SMTP训练集的报文个数达到200时逆向出的状态机，由于SMTP第一条报文有两种报文类型，HELO和EHLO，图3显示的是第一种报文类型开头的状态机

图4为利用不同大小的FTP协议训练集训练出的状态机的召回率实验结果表明训练集的FTP报文个数达到2000条时，召回率稳定在91.7%，即逆向出的FTP状态机可以接受589个FTP会话，在余下的53个会话中，有12个会话出现了训练集中未出现的命令，另外41个会话使用了SSL加密传输图5为FTP训练集的报文个数达到1500条时逆向出的FTP状态机

3.2.2准确率

状态机的准确率用来衡量状态机的可靠性，表示被状态机接受的会话中，有多少个会话是符合协议规范的，令M表示被状态机接受的会话数，CP表示符合协议规范的会话数，则

为了测试准确率，本文对测试集中的会话以0.1的概率进行随机修改，创建不符合协议规范的会话，包括关键报文丢失和报文之间的乱序通过这种方式，在己经被SMTP协议状态机接受的786个SMTP协议会话中，创建无效会话78个在已经被FTP协议状态机接受的489个FTP协议会话中，创建无效会话64个

对于修改后的会话集，SMTP状态机接受SMTP会话为708个，未被接受的会话均是无效会话；而FTP状态机接受FTP会话为473个经检查发现，由于程序对FTP会话进行随机修改，而FTP规范中的很多报文类型是不需要严格顺序的，随机修改后的会话很多仍然是符合协议规范的，经人工过滤掉这些有效会话后，其状态机的准确率达到了100%

4结语

现有逆向协议状态机的方法需要根据协议会话中的报文类型顺序构建初始状态前缀树，这会出现大量的冗余状态本文利用邻接矩阵描述报文类型之间的时序关系，基于时序关系进行协议状态的标注，构建出协议的状态转换图，并对文本类协议进行了实验验证结果表明，该方法可以正确地描述出报文类型的时序关系，抽象出准确的协议状态机模型下一步，本文准备对二进制类的协议进行逆向实验，以验证本文方法的有效性

参考文献：

[1]KRUEGER T， KRMER N， RIECK K. ASAP： automatic semanticsaware analysis of network payloads [C]// Proceedings of the 2011 International ECML/PKDD Conference on Privacy and Security Issues in Data Mining and Machine Learning， LNCS 6549. Berlin： SpringerVerlag， 2011： 50-63.

[2]郝耀辉，郭渊博，刘伟.基于有限自动机的密码协议入侵检测方法[J].计算机应用研究，2008，25（1）：230-234.

[3]KRUEGER T， GASCON H， KRMER N， et al. Learning stateful models for network honeypots [C]// AISec 12： Proceedings of the 5th ACM Workshop on Security and Artificial Intelligence. New York： ACM， 2012： 37-48.

[4]How samba was written [EB/OL]. [2013-01-16]. http：///ftp/tridge/misc/french_cafe.txt.

[5]李伟明，张爱芳，刘建财，等.网络协议的自动化模糊测试漏洞挖掘方法[J].计算机学报，2011，34（2）：242 -255.

[6]ANTUNES J， NENVES N， VERSSIMO P. Reverse engineering of protocols from network traces [C]// Proceedings of the 18th Working Conference on Reverse Engineering. Piscataway： IEEE， 2011：169-178.

[7]田园，李建斌，张振.一种逆向分析协议状态机模型的有效方法[J].计算机工程与应用，2011，47（19）：63-67.

[8]黎敏， 余顺争.抗噪的未知应用层协议报文格式最佳分段方法[J].软件学报，2013，24（3）：604-617.

[9]潘璠，吴礼发，杜有翔.协议逆向工程研究进展[J].计算机应用研究，2011，28（8）：2801-2806.

[10]SHEVERTALOV M， MANCORIDIS S. A reverse engineering tool for extracting protocols of networked applications [C]// WCRE 2007： Proceedings of the 14th Working Conference on Reverse Engineering. Piscataway： IEEE， 2007： 229-238.

[11]TRIFILIO A， BURSCHKA S， BIERSACK E. Traffic to protocol reverse engineering[C]// CISDA 2009： Proceedings of the 2009 IEEE Symposium on Computational Intelligence for Security and Defense Applications. Piscataway： IEEE， 2009： 1-8.

[12]WANG Y P， ZHANG Z B， YAO D F， et al. Inferring protocol state machine from network traces： a probabilistic approach [C]// ACNS 11： Proceedings of the 2011 Applied Cryptography and Network Security， LNCS 6715. Berlin： SpringerVerlag， 2011： 1-18.

第3篇：网络安全逆向工程范文

关键词：校园网；认证系统；体系；安全问题

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）04-0037-02

网络安全认证结构是一个较为复杂的系统化工程，要针对系统软件和人员制度进行系统化分析，要结合网络安全技术进行集中处理，从而保证不同安全问题能得到有效认证和处理，明确校园安全保护方面的需求，从而积极落实动态化安全模型，利用有效的解决方案，确保高效稳定网络运行环境。

1 常用网络安全技术分析

在实际网络安全技术管理过程中，要针对实际管理结构建构系统化管控机制，目前，较为常用的网络安全技术主要包括以下几种。

第一，数据加密技术。在网络管理机制中，数据加密技术是较为重要的安全技术结构，在实际技术应用过程中，主要是利用相应的加密算法建构系统化的计算模型。

第二，身份认证技术。在实际技术结构建立过程中，借助计算机以及网络系统对操作者的身份进行集中关注，并且按照身份信息以及特定数据进行综合分析，计算机借助用户数字身份对用户身份的合理性。要结合物理身份以及数字身份的对应进行集中处理，从而保证相应数据的安全性。

第三，防火墙技术。防火墙是网络安全的基本屏障，也是内部网络安全性提升的重要技术结构，主要是借助相关软件和系统对不安全流量以及风险进行集中处理，确保安全隐患得到有效维护，利用协议对内部网络进行集中处理。在防火墙技术中，要对网路存取以及访问记录进行集中审计。

2 校园网络体系分析

2.1校园网络认证系统

在校园网络体系建立过程中，要针对相应问题进行集中处理，作为高校信息化的基本平台和基础设施，在实际工作中承担着非常重要的作用。因此，要结合高校实际建立切实有效的校园网认证系统，从技术结构层面要积极落实自身网络规模和运营特点，确保校园网络体系认证系统能满足安全高效的工作管理机制。目前，多数高校校园网络都利用以太网，建立局域网标准，并且结合相应的网络体系建构校园网认证模式。

利用以太网对接入认证方式进行处理，主要是利用PPPoE认证模式、802.1认证模式以及Web认证模式等，能结合相关协议对其逻辑点进行综合连接。在认证机制管理过程中，要对认真协议以及访问控制进行综合分处理，从而支持业务和流媒体业务处理业务，确保应用效果切实有效。

2.2校园网络安全问题分析

在校园网络安全管理过程中，要结合相关问题进行集中处理，并且积极落实有效的高校信息化建设机制，在校园网运行过程中，主要是针对高校教育以及科研基础设施进行综合管控，承担科研以及管理任务。网络实际应用过程中，会区别于商业用网络以及政府用网络。其一，网络组成结构较为复杂，分为核心、汇聚以及接入等层次，会直接分别划分为教学子网络、办公子网络以及宿舍子网络等，在对其接入方式进行分析时，并且建构双出口结构。利用多层次和双出口特征，导致校园网运行结构中存在复杂网络环境。其二，在高校校园网运行过程中，网络应用系统和功能较为复杂，同时要满足教学信息交流和科研活动，在运行电子邮件系统和网络办公系统的基础上，教学中应用在线教学系统，日常生活应用一卡通系统，提高整体应对安全隐患的能力。

2.3校园网络安全需求分析

在校园网络安全需求分析过程中，需要对校园网络进行分层管理，确保管控机制和管理维度的有效性，作为大型网络区域，需要对相关协议以及网络运行结构进行细化处理和综合解构。在处理校园网络系统物理结构和安全问题方面，需要技术人员结合校园的实际问题建构有效的校园网认证系统。由于网络应用人群数量基数较大，且安全隐患性问题较多，需要建构系统化且具有一定实际价值的校园网安全支持系统。

在对网络安全需求结构进行分析的过程中，第一，建立网络边缘安全区域，网络边缘安全主要是在校园网和外界网交界处，利用相应的访问数据管理机制，对其进行集中管控。主要包括接入校园内网、信息共享上网体系、远程访问服务网络、服务器、接入CERNET，接入CHINANET等，能禁止外部用户非法访问校园网数据，隐藏校园网内网的IP，并且能为校园网提供更加安全可靠的远程访问服务项目。第二，建立汇聚安全区，应用校园W络骨干节点，并且对网络之间的高速以及稳定进行集中处理。第三，服务器安全区域，要结合外服务器区域以及内服务区域，对其内容和信息进行集中处理，并且保证高风险区域得到有效处理，以保证通讯结构不受到影响。校园网应用系统较多，要对安全性进行针对性分析，确保实施隔离后各个区域能满足相应的管理需求。第四，接入网安全区，在接入网安全问题处理过程中，由于越来越多的病毒会导致二层协议受到漏洞影响，校园接入网络的布点较多，人员组成较为复杂，针对端口环路问题要进行集中管理和层级化处理，确保相应的安全性得到有效维护。

3 校园网认证系统的安全体系

3.1校园网认证系统的安全风险和应对措施

在校园网认证系统建立和运行过程中，要对校园网认证安全风险进行综合评估。

其一，应用层面对的安全风险，主要包括病毒木马攻击、缓冲区溢出问题、逆向工程问题、注册表供给问题以及社交工程问题等。攻击依赖关系中主要是ARP攻击、Sniffer攻击以及病毒直接攻击等。针对上述问题，技术人员要提高程度的安全性，并且确保学生能提高安全防护意识，而对于ARP攻击项目，需要应用高安全性加密算法取代弱加密算法，并且宝恒用户登录信息不会存储在注册表内。

其二，表示层、会话层、传输层的安全风险，主要是来自URL的编码攻击、会话劫持问题以及DOS攻击等，依赖的是Sniffer攻击，需要技术人员针对相关问题进行集中的技术升级和综合处理。

其三，传输层的安全风险，主要是来自于IP地址的攻击，需要技术人员针对相应适配结构安装有效的防火墙。

其四，数据链路层的安全风险，主要是来自于ARP攻击，依赖关系是Sniffer攻击，利用相应的ARP地址绑定能有效的应对相关问题，建构更加有效的管理系统。

其五，物理层的安全风险，主要是Sniffer攻击以及直接攻击，针对上诉问题，需要技术人员利用相应的手段对POST进行有效消除，并且去掉数据中的MAC地址密文，以保证有效地减少秘钥泄露问题，并且要指导学生提高网络安全防护意识。

3.2校园网认证系统的接入层安全设计

在校园网络系统中，接入层是和用户终端相连的重要结构，在实际认证系统建立过程中，由于接入层的交换机需要承受终端的流量攻击，因此，技术人员需要对其进行集中处理和综合管控，确保其设计参数和应用结构的有效性。

其一，利用ARP欺骗技术，对于相应的缓存信息进行集中处理和综合维护，并且保证相应参数结构不会对网络安全运行产生影响，也能针对ARP攻击进行有效应对，从而建立切实有效的防御体系，借助修改攻击目标的ARPcache表实现数据处理，从而提高校园网认证系统的安全性。

其二，用户身份认证部署结构，为了更好地满足校园网的安全需求，要积极落实有效的管理模式，由于接入用户识别和认证体系存在问题，需要对网络接入控制模型进行集中处理和综合管控，提高认证结构资源维护机制的同时，确保相应认证结构得以有效处理。

3.3校园网认证系统的网络出口安全设计

校园网认证系统建立过程中，出口安全设计是整个网络安全体系中较为重要的项目参数结构，需要技术人员针对其网络通道进行系统化分析和综合处理，确保安全设计内部网络和外部资源结构之间建立有效的平衡态关系，并对性能问题和内网访问速度，并对光纤服务器进行综合分析。

3.4校园网认证系统的网络核心层安全策略

网络核心层是交换网络的核心元件，也是安全策略得到有效落实的基本方式，核心层设计要对其通信安全进行集中处理，并有效配置ACL策略，对其进行访问控制，从而保证端口过滤得到有效管理。在核心层管理过程中，要对VLAN进行有效划分，也要对安全访问控制列表进行有效配置，对不同子网区域之间的访问权限进行有效管理，为了进一步提高关键业务实现系统的独立，从而保证网络管理系统和隔离系统的优化，实现有效的数据交互，确保访问权限得到有效分类，也为系统整体监督管理的优化奠定坚实基础，并且积极落实相应的配置方案。只有对病毒端口进行集中过滤，才能保证网路端口的扫描和传播模型进行分析，有效处理病毒传递路径，保证访问控制列表的有效性，真正落实病毒端口过滤的管理路径，保证管理维度和管理控制模型的有序性。

4 结束语

总而言之，校园网认证系统的管理问题需要得到有效解决，结合组织结构和网络多样性进行系统升级，并针对地理区域特征和网络基础设施等特征建构系统化处理模型，对于突发性网络需求以及校园网网络堵塞等问题进行集中处理和综合管控，从根本上提高校园网网络维护和管理效率。在提高各层次网络安全性的同时，积极建构更加安全的校园网认证系统，实现网络管理项目的可持续发展。

参考文献：

[1] 杜民.802.1x和web/portal认证协同打造校园网认证系统[J].山东商业职业技术学院学报，2015，10（6）：104-107.

[2] 冯文健，郭小锋.利用RouterOS Hotspot认证架构低成本校园网认证系统[J].柳州师专学报，2016，24（3）：131-133.

第4篇：网络安全逆向工程范文

应用型本专科院校办学始终以市场为导向，培养应用型人才为目标。随着信息时代的来临，计算机相关专业也成为了具有广阔市场需求的热门专业，而其中网络专业课程更是核心科目。然而受到师资力量与设备投入的局限，学生在网络专业课程方面的实践性往往不足。技能大赛的开展，为计算机网络专业课程的改革提供了方向。

一、技能大赛的基本概况

我国于2008年引入技能大赛机制，正式举办了首届全国职业院校技能大赛，并开设了“计算机网络应用”与“信息安全技术应用”比赛项目，随后各省市区也纷纷举办了本区域范围内的技能大赛。

技能大赛的赛项设立，是在与用人单位充分调研后开设的，因此与市场对人才的需求密切挂钩，可以说，技能大赛的开设就是为了将应用型本专科院校的人才培养与企业的真实需求无缝对接。通过技能大赛与职业教育的对接，将积极引导计算机网络专业课程向着优化课程设置、改革教学方向的目标前进，并促使院校与企业开展深度合作。

二、计算机网络专业课程教学现状

1、知识缺乏系统化

网络专业技术的知识更新十分迅速，加上市场需求的千变万化，使得网络专业知识显得庞大而杂乱。在此情况下，编辑统一适用的教材，对于计算机教育而言并不现实。在此情况下，教师为了适应网络专业技术知识涌现的状况，只得随时补充教学资料、课外资源，直接导致了网络专业课程教学知识的繁多而杂乱，使知识教学缺乏系统化。不仅如此，受到师资力量和设备投入的局限，网络专业课程的实训教学条件差、课时少，使得学生的实践能力难以迅速增长，导致了理论与实践的脱节。

2、教学模式单一化

在课堂教学中，教师也以口头讲授为主，偶尔间有多媒体演示，但很少安排实操课程。在有限的实操课程上，教师也多以模拟器、仿真设备等进行实践教学，这些设备本身与真实的网络专业设备存在很大差距，而且不能够通过实操使学生真正掌握网络专业技术，从而使得培养出来的学生在真正进入工作岗位之后，难以对网络专业工作轻松上手。这种教学模式使得学生对于网络专业知识只能形成理性认识，而难以形成只有通过大量实践才能建立起来的感性认识，使理论学习与实践操作产生了脱节，不利于社会化培养目标的实现。虽然通过多媒体可以使学生对网络服务器的搭建与交换机的配置等有一些直观的印象，但毕竟与真正的实操相比效果远远不如，而且多媒体演示本身也只是课堂讲授的一种具体形式，因此很易导致学生对专业课程的学习积极性下降。

3、教学内容不适应市场需求

由于教学内容繁多而杂乱，加上相关知识更新速度极快，使得当前网络专业课程的教学内容显得与市场需求的发展速度有些脱节。此外，由于在教学中不能够时刻了解当前社会上的企业对于网络构建与维护技术的需求变化，也使得在教学内容的设置上不能够及时更新，与当前社会需求保持同步。从而导致了学生学到的知识，可能在毕业后就会被社会所淘汰。

三、技能大赛对计算机网络专业课程教学的影响

1、对课程设置的影响

技能大赛要求网络专业学生必须具有将学习、工作与个人能力结合起来共同发展的能力，因此在课程设置上，受到技能大赛的影响，传统以完整学科为主的课程设置方式将向以完整工作过程为主的方向转变。从竞赛的项目设置看，网络组建、服务器配置与应用、网络安全与维护，这些内容既是比赛项目，同时也是社会最主要的就业岗位。因此对于应用型本专科院校以培养实用人才为方向的课程设置而言，就必须参照技能大赛的项目进行课程设置。这样的课程设置内容，将使学生的日常所学与个人能力的提升向着与未来工作岗位的实际需要相结合的方向发展，提高学生的就业竞争力。

2、对课程内容的影响

技能大赛的获奖者在未来就业时将更具备竞争力，这使得技能大赛无疑成为了应用型本专科院校课程改革的风向标。从竞赛内容来看，基本上涵盖了网络专业课程的所有教学内容，但技能竞赛更注重学生的实际运用能力，因此要求学生不仅要掌握所有知识，而且要具备很强的综合运用能力。在这种导向下，原有的网络专业课程内容繁多而混乱、与社会需求脱轨的问题必须得到纠正，要以技能竞赛为导向，在课程内容的安排上实现模块化组合，方便学生选择，并且要加大对于学生综合运用能力的实训。

3、对教学模式的影响

在技能大赛当中，对于学生专业能力的考察是以其专业技能水平与职业综合素质的考察为主要内容的，在综合运用能力、也就是实践能力方面的考察是最为主要的。在这种导向下，应用型本专科院校的教学模式必须摆脱以口头传授为主的模式，而要转向以实践操作、实训教学为主要教学模式，从而使学生的综合应用能力得到提升，在技能大赛中更能取得好的成绩，并适应未来工作岗位的要求。

4、对课程评价体系的影响

在传统的网络专业课程评价体系中，以期末考试的方式进行课程评价是最为常用的方式，通过期末考试的分数，来判定教学任务是否顺利完成、学生是否掌握了相关知识，是主要的评价体系。然而在技能大赛的影响下，这种传统的课程评价体系显然已经落伍。技能大赛注重对于学生职业技能实际运用与综合素质水平的全面评价，这与社会对于专业人才的评价体系是完全一致的。在这种评价体系下，高校对于学生的学习成果与教学任务的考核也应当以技能和综合素质考核为主，形成多元化的课程评价体系，打破期末考试以分数来衡量教学效果的单一、死板的评价方式。

四、技能大赛带动下的计算机网络专业课程改革建议

1、重塑培养目标

应用型本专科院校要实现培养实用人才的办学理念，就必须打破传统的教学目标，以技能大赛的要求为指向，树立以工作过程为基础的课程设计理念，从职业能力的培养出发来全面重新构建网络专业课程培养目标。结合技能大赛的考察内容，网络专业课程培养目标的设定也应当划分为知识技能目标与综合素质目标两个模块。其中知识技能的培养目标，应当使学生不仅掌握局域网组建、服务器构建、交换机安装高度、网络安全维护等专业知识，而且要具备熟练的综合运用能力；而素质培养目标，则主要是培养学生的团队合作意识、组织沟通能力、敬业精神等。上述培养目标是完全按照社会需求的实际来设计的，也是技能大赛最主要的考察内容。

2、重组教学内容

技能大赛对课程的设置与教学内容的确定，是以工作过程的完整性为基础的。从企业的实际需要与技能大赛的要求出发来设置课程内容，可以采用逆向工程原理，即以工作岗位的工作任务分解为起点，进而确定不同工作任务所需要的工作能力，再根据工作能力的培养来设置课程模块。这样设置的课程与教学内容，既具有了针对性，同时也便于学生选课。在此基础上，要加大学生综合运用能力的培养，提升实训的效果。

3、提升自主学习条件

在以技能提升为培养方向的网络专业课程教学中，教师不再是教学的主导者，而是引导者，学生不再是被动接受的一方，而是主动学习的主导者。学生完全有能力开展自主学习，教师在教学中，一是确定方向、二是加以引导、三是答疑解惑，而将更多的时间交给学生去自主学习。此时，必要的学习条件就成为开展自主学习必不可少的基础。一方面要根据技能大赛竞赛设置的要求，配置与竞赛相同的实训环境，以此来代替以往的仿真器、虚拟机教学；另一方面还要主动与企业增强联系，在企业设立实训基地，以此来加强校企合作，密切联系社会需求变动。

4、转变教学方法

将传统的课堂转移到实训室当中，将实训课程与知识传授一体化完成，其中实训课程应当占到整个教学过程的60%以上。在实训课程当中，教师除必要的知识传授外，只是对学生进行必要的引导，使学生按照既定的实训目标，通过自身的努力来找到解决问题的办法，从而提高对知识的感性认识与实践经验。

5、优化考核评价体系

在以实训为主导的课程体系中，考核评价应当是以职业技能水平为主要考核内容的多元化考核体系，应当将教学过程的评价划分为阶段评价、过程评价与目标评价的三层体系，既不能忽视理论考核、更要充分注重实践考核，既要注重技能考核、还要注重综合素质的评价。这种全面的考核评价体系才能使学生不断的调整自身学习方向，适应未来职业要求。

结语

技能大赛的引入，为应用型本专科院校网络专业课程的发展方向指明的道路。在技能大赛指引下，网络专业课程应当从培养目标、课程设置与内容、学习条件、教学方法、考核评价等五个方面严格按照技能大赛的考察要求进行改革。改革后的网络专业课程，将与社会的实际需求密切接轨，大大增强学生的就业竞争力。

参考文献

[1]李领治等.计算机网络理论与实践教学改[J].计算机教育，2010（23）.

[2]曹庆旭、王贵生等.关于职业技能大赛对课程改革的影响[J].职教论坛，2011（23）.

[3]丁建石.职业技能大赛对职业教学工学结合的作用[J].计算机教育，2010（11）.

[4]刘忠.技能大赛对应用型本专科院校教学改革促进作用的研究[J].兰州石化职业技术学院学报，2010（1）.

[5]刘东菊、汤国明.职业技能大赛对教师职业影响力的研究[J].职教论坛，2011（1）.

[6]邓兆虎.职业技能大赛对于高职教育的影响力分析[J].科教导刊，2011（8）.

第5篇：网络安全逆向工程范文

关键词：信息安全　漏洞挖掘　漏洞利用　病毒　云安全　保障模式变革

l　引言

信息安全与网络安全的概念正在与时俱进，它从早期的通信保密发展到关注信息的保密、完整、可用、可控和不可否认的信息安全，再到如今的信息保障和信息保障体系。单纯的保密和静态的保障模式都已经不能适应今天的需要。信息安全保障依赖人、操作和技术实现组织的业务运作，稳健的信息保障模式意味着信息保障和政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均能得以实施。

近年以来，我国的信息安全形势发生着影响深远的变化，透过种种纷繁芜杂的现象，可以发现一些规律和趋势，一些未来信息安全保障模式变革初现端倪。

2　信息安全形势及分析

据英国《简氏战略报告》和其它网络组织对世界各国信息防护能力的评估，我国被列入防护能力最低的国家之一，排名大大低于美国、俄罗斯和以色列等信息安全强国，排在印度、韩国之后。我国已成为信息安全事件的重灾区，国内与网络有关的各类违法行为以每年高于30％的速度递增。根据国家互联网应急响应中心的监测结果，目前我国95％与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。

在互联网的催化下，计算机病毒领域正发生着深刻变革，病毒产业化经营的趋势日益显现。一条可怕的病毒产业链正悄然生成。

传统的黑客寻找安全漏洞、编写漏洞利用工具、传播病毒、操控受害主机等环节都需要自己手工完成。然而，现在由于整个链条通过互联网运作，从挖掘漏洞、漏洞利用、病毒传播到受害主机的操控，已经形成了一个高效的流水线，不同的黑客可以选择自己擅长的环节运作并牟取利润，从而使得整个病毒产业的运作效率更高。黑客产业化经营产生了严重的负面影响：

首先，病毒产业链的形成意味着更高的生产效率。一些经验丰富的黑客甚至可以编写出自动化的处理程序对已有的病毒进行变形，从而生产出大量新种类的病毒。面对井喷式的病毒增长，当前的病毒防范技术存在以下三大局限：①新样本巨量增加、单个样本的生存期缩短，现有技术无法及时截获新样本。②即使能够截获，则每天高达数十万的新样本数量，也在严重考验着对于样本的分析、处理能力。③即使能够分析处理，则如何能够让中断在最短时间内获取最新的病毒样本库，成为重要的问题。

其次，病毒产业链的形成意味着更多的未知漏洞被发现。在互联网的协作模式下，黑客间通过共享技术和成果，漏洞挖掘能力大幅提升，速度远远超过了操作系统和软件生产商的补丁速度。

再次，黑客通过租用更好的服务器、更大的带宽，为漏洞利用和病毒传播提供硬件上的便利；利用互联网论坛、博客等，高级黑客雇佣“软件民工”来编写更强的驱动程序，加入病毒中加强对抗功能。大量软件民工的加入，使得病毒产业链条更趋“正规化、专业化”，效率也进一步提高。

最后，黑客通过使用自动化的“肉鸡”管理工具，达到控制海量的受害主机并且利用其作为继续牟取商业利润的目的。至此整个黑客产业内部形成了一个封闭的以黑客养黑客的“良性循环”圈。

3　漏洞挖捆与利用

病毒产业能有今天的局面，与其突破了漏洞挖掘的瓶颈息息相关。而漏洞挖掘也是我们寻找漏洞、弥补漏洞的有利工具，这是一柄双刃剑。

3．1漏洞存在的必然性

首先，由于Internet中存在着大量早期的系统，包括低级设备、旧的系统等，拥有这些早期系统的组织没有足够的资源去维护、升级，从而保留了大量己知的未被修补的漏洞。其次，不断升级中的系统和各种应用软件，由于要尽快推向市场，往往没有足够的时间进行严格的测试，不可避免地存在大量安全隐患。再次，在软件开发中，由于开发成本、开发周期、系统规模过分庞大等等原因，Bug的存在有其固有性，这些Bug往往是安全隐患的源头。另外，过分庞大的网络在连接、组织、管理等方面涉及到很多因素，不同的硬件平台、不同的系统平台、不同的应用服务交织在一起，在某种特定限制下安全的网络，由于限制条件改变，也会漏洞百出。

3．2漏洞挖掘技术

漏洞挖掘技术并不单纯的只使用一种方法，根据不同的应用有选择地使用自下而上或者自上而下技术，发挥每种技术的优势，才能达到更好的效果。下面是常用的漏洞挖掘方法：

(1)安全扫描技术。安全扫描也称为脆弱性评估，其基本原理是采用模拟攻击的方式对目标系统可能存在的已知安全漏洞进行逐项检测。借助于安全扫描技术，人们可以发现主机和网络系统存在的对外开放的端口、提供的服务、某些系统信息、错误的配置等，从而检测出已知的安全漏洞，探查主机和网络系统的入侵点。

(2)手工分析。针对开源软件，手工分析一般是通过源码阅读工具，例如sourceinsight等，来提高源码检索和查询的速度。简单的分析一般都是先在系统中寻找strcpy0之类不安全的库函数调用进行审查，进一步地审核安全库函数和循环之类的使用。非开源软件与开源软件相比又有些不同，非开源软件的主要局限性是由于只能在反汇编获得的汇编代码基础上进行分析。在针对非开源软件的漏洞分析中，反编引擎和调试器扮演了最蘑要的角色，如IDA　Pro是目前性能较好的反汇编工具。

(3)静态检查。静态检查根据软件类型分为两类，针对开源软件的静态检查和针对非开源软件的静态检查。前者主要使用编译技术在代码扫描或者编译期间确定相关的判断信息，然后根据这些信息对特定的漏洞模型进行检查。而后者主要是基于反汇编平台IDAPro，使用自下而上的分析方法，对二进制文件中的库函数调用，循环操作等做检查，其侧重点主要在于静态的数据流回溯和对软件的逆向工程。

(4)动态检查。动态检查也称为运行时检查，基本的原理就是通过操作系统提供的资源监视接口和调试接口获取运行时目标程序的运行状态和运行数据。目前常用的动态检查方法主要有环境错误注入法和数据流分析法。以上介绍的各种漏洞挖掘技术之间并不是完全独立的，各种技术往往通过融合来互相弥补缺陷，从而构造功能强大的漏洞挖掘工具。

3．3漏洞利用

漏洞的价值体现在利用，如果一个漏洞没有得到广泛的利用便失去了意义。通常，从技术层面上讲，黑客可以通过远程/本地溢出、脚本注入等手段，利用漏洞对目标主机进行渗透，包括对主机信息和敏感文件的获取、获得主机控制权、监视主机活动、破坏系统、暗藏后门等，而当前漏洞利用的主要趋势是更趋向于Web攻击，其最终日标是要在日标主机(主要针对服务器)上植入可以综合利用上面的几种挖掘技术的复合型病毒，达到其各种目的。

4　新型信息安全模式分析

最近的两三年间，在与病毒产业此消彼涨的较量中，信息安全保障体系的格局，包括相关技术、架构、形态发生了一些深远、重大的变化，大致归纳为以下三个方面：第一，细分和拓展。信息安全的功能和应用正在从过去简单的攻击行为和病毒防范开始向各种各样新的联网应用业务拓展，开始向网络周边拓展。如现在常见的对于帐号的安全保护、密码的安全保护、游戏的安全保护、电子商务支付过程的安全保护等，都是信息安全功能和应用的细分与拓展。

第二，信息安全保障一体化的趋向。从终端用户来说，他们希望信息安全保障除了能够专业化地解决他们具体应用环节里面临的各种各样的具体问题之外，更希望整体的、一体化的信息安全解决方案贯穿业务的全过程，贯穿IT企业架构的全流程。因此，许多不同的安全厂商都在进行自身的安全产品、体系架构的整合，针对性地应用到个人客户的方方面面，表现出信息安全保障一体化的趋向。

第三，安全分布结构的变化。在服务器端，不管是相关市场的投入还是企业的需要，乃至相关的企业对服务器市场的重视都在发生重大的变化。这样的变化对安全的分布结构产生了重大的影响，在这方面，各个安全厂商无论在服务器安全还是客户端安全都加入了许多新型功能，甚至都在从体系结构方面提出一些新模式。

透过技术、架构、形态的新发展，我们看到了·些规律和趋势，吏看到了一些未来信息安伞保障模式变节的端倪。既然客在互联的催化下实现产业化，那么信息安全保障呢?将互联网上的每个终端用户的力量调动起来，使整个互联网就将成为一个安全保障工具，这样的模式就是未来信息安全保障的模式，被一些机构和安全厂商命名为“云安全”。

在“云安全”模式中，参与安全保障的不仅是安全机构和安全产品生产商，更有终端用户——客户端的参与。“云安全”并不是一种安全技术，而是一种将安全互联网化的理念。

“云安全”的客户端区别于通常意义的单机客户端，而是一个传统的客户端进行互联网化改造的客户端，它是感知、捕获、抵御互联网威胁的前端，除了具有传统单机客户端的检测功能以外还有基于互联网协作的行为特征检测和基于互联网协作的资源防护功能，因此它可以在感知到威胁的同时，迅速把威胁传递给“云安全”的威胁信息数据中心。威胁信息数据中心是收集威胁信息并提供给客户端协作信息的机构，它具有两个功能：一是收集威胁信息；二是客户端协作信息的查询和反馈。首先，从“云安全”的客户端收集、截获的恶意威胁信息，及时传递给数据中心，然后传递给来源挖掘和挖掘服务集群，来源挖掘和挖掘服务集群会根据这些数据来挖掘恶意威胁的来源，通过协作分析找到源头，进而对源头进行控制，如果不能控制，则至少可以对源头进行检测。然后，将所有收集到的信息集中到自动分析处理系统，由其形成一个解决方案，传递给服务器，服务器再回传客户端，或者是形成一个互联网的基础服务，传递给所有安全合作伙伴，形成一个互联网技术服务，使整个网络都享受该安全解决方案。

概括而言，“云安全”模式具有以下特点：第一，快速感知，快速捕获新的威胁。“云安全”的数据中心可以并行服务，通过互联网大大提高威胁捕获效率。第二，“云安全”的客户端具有专业的感知能力。通过威胁挖掘集群的及时检测，可以从源头监控互联网威胁。

互联网已经进入Web2．O时代，Web2．0的特点就是重在用户参与，而“云安全”模式已经让用户进入了安全的2．O时代。在黑客产业化经营的新威胁的形势下，也只有互联网化的“云安全”保障模式才能与之对抗。

4　结柬语