1 研究背景
现如今移动设备越来越丰富,但是智能手机、物联网等的安全问题越来越多[1],个人隐私泄露的途径已从计算机转移至智能手机,因此相关研究也需要从计算机个人隐私保护扩展至智能手机上。马杰[2]认为若SDK中存在安全风险,那么基于已有的SDK二次开发的产品也将面临潜在攻击威胁。宋鑫等[3]提出了基于随机森林的一种Android恶意软件检测方法。崔艳鹏等[4]提出一种基于抽象API调用序列的Android恶意软件检测方法。
渗透攻击是对智能手机系统深层理解,保护智能手机中个人隐私数据的重要技术之一,也是网络空间安全方面的重要学习内容[5]。而现有对于智能手机的学习大多局限于应用层,而对智能手机的对抗知识储备非常匮乏。只有了解各个系统的内部原理才能更好地保护智能手机中个人隐私数据,因此了解智能手机系统原理、系统相关漏洞、漏洞利用与防御等是十分必要的。渗透攻击是辅助理解网络空间安全的一项重要实验,现有的渗透攻击实验主要基于Windows操作系统环境,依托WEB渗透、逆向、密码学等知识内容。以现有的网络空间安全相关实验网站[6]为例,以上实验皆可在网页中进行,无须考虑自带设备所处环境是否可以进行实验。
然而对于Android系统而言,渗透攻击实验大多涉及APK逆向等技术,系统中的漏洞挖掘与利用仍需依赖用户设备。在渗透攻击实验中,常常需要用户以同一网段、同一设备环境进行实验,而Android系统等移动设备系统较为特殊,在实验过程中容易因用户的设备不符合要求而导致无法顺利配置实验环境,同时存在无法进行单一实验的情况。基于渗透攻击而开发的虚拟仿真实验多为客户端形式,单一用户为了适应系统的运行要求,必须要购买相关硬件或进行复杂配置;群体用户则会由于无法统一使用者的配置情况而无法实现实验交互。
学生对Android系统并未形成深刻理解,枯燥的概念、原理、代码无法令学生对底层机制产生学习兴趣。笔者设计的渗透攻击虚拟仿真实验方法(简称本方法)[7-9]可以统一实验环境,降低实验成本,提高实验效率,也可以让学生在实验中了解系统的内部机制与原理,充分理解Android运行机制(深层学习);掌握系统的已发现漏洞,尝试发现0day漏洞(漏洞挖掘);利用Android虚拟设备,尝试利用漏洞进行攻击;利用漏洞原理设计防御方法。
2 实验方法的整体架构
3 实验方法的实现
4 实验方法的分析
5 结语
本文介绍了一种渗透攻击的虚拟仿真实验方法,能实现渗透攻击实验设备与环境的统一,可以进行多人或单人渗透攻击实验,提高了实验效率。本系统利用Unity3D技术将实验知识用动画交互的形式展示出来,并构建了一个高度融合、高度沉浸、高度交互的教学环境,极大地改进了教学环境,提升了教学质量。同时,可以让用户充分理解Android系统的底层知识,了解其漏洞所在,启发用户采用多种手段进行漏洞防御。
参考文献
[1] 刘强,李桐,于洋,等.面向可穿戴设备的数据安全隐私保护技术综述[J].计算机研究与发展,2018(1):14-29.
[2] 马杰.Android系统外部SDK安全漏洞检测研究[J].信息技术与网络安全,2019(8):6-12.
[3] 宋鑫,赵楷,张琳琳,等.基于随机森林的Android恶意软件检测方法研究[J].信息网络安全,2019(9):1-5.
[4] 崔艳鹏,颜波,胡建伟.基于抽象API调用序列的Android恶意软件检测方法[J].计算机应用与软件,2019(9):321-326.
[5] 金涛,李新剑,刘宏斌,等.基于Linux安全漏洞渗透测试方法的研究[J].网络空间安全,2019(3):28-35.
[6] 北京西普阳光教育科技股份有限公司.实验吧[EB/OL].http://www.shiyanbar.com/.
[7] 康海燕,孙璇.面向技管双强的信息安全专业及课程体系研究[J].网络空间安全,2020(6):85-90.
[8] 康海燕,闫涵,司夏萌.一种渗透攻击的虚拟仿真实验系统及方法.中国:202010951552.6[P].2020-12-15.
[9] LI H, KANG H Y. Research on user behavior prediction and profiling method based on trajectory information [J]. Automatic Control and Computer Sciences, 2020(5):456-465.
[10] 李在弘,武传海.Docker基础与实战[M].北京:人民邮电出版社,2016.
[11] 康海燕,孟祥.基于社会工程学的漏洞分析与渗透攻击研究[J].信息安全研究,2017(2):116-122.
康海燕1 闫涵2 蒋鸿玲1 1.北京信息科技大学信息管理学院 2.中国气象局气象宣传与科普中心(中国气象报社) |
