2018年攻防兼备的实战型网络安全人才培养实践.pdf

1、目录培养模式授课方法科研思路实战演练中国科学院研究生两段式培养模式中国科学院大学（简称“国科大”）与中国科学院各研究所在管理体制、师资队伍、培养体系、科研工作等方面“共有、共治、共享、共发展”，实现高度融合。通过科教融合，汇聚中科院优质资源，适当引入外部资源，为学生提供最好的教育资源。力争使研究生在一年的集中学习环节中把所涉及的知识学深、学扎实，为后几年进入研究阶段的学习打好基础。第一阶段校园集中授课以课程建设为抓手第二年回到各研究所，进入课题组，边进行科研实践，边进行学科专业课和特色课程的学习，在导师的指导下完成研究生的科研论文。第二阶段 研究所科研学习与科研实践相结合深度科教融合核心使命：

2、培养造就高质量创新创业人才！高质量创新创业人才的评价要素是什么？理论知识实践能力创新思维创业能动性目录培养模式授课方法科研思路实战演练第一阶段校园集中授课学习资料多攻防技术发展迅速，大量论文、书籍、帖子、报告、在线站点、开源项目安全资讯多网络安全事件频发微信群安全简讯朋友圈转发文章互联网新媒体CTF赛事多校赛/省赛/国赛高校主办/校企合办/企业独立组织引导竞赛观？课程怎么教？如何划重点？多参赛就好？上课学什么？哪些值得看？老师视角学生视角授课方法知识链牵引工具产品了解国内外工业界情况事件案例加强代入感让知识可见学术成果紧跟国内外学术界进展理论体系理论体系保证知识的系统性攻防实践加深对课堂讲授内

3、容的理解授课方法：以Web安全技术为例攻防实践在攻防实践方面，把CTF比赛引入授课过程中，针对授课内容知识点设计题目，成绩纳入期末总成绩。采用“单人组队比赛、课堂集中解题、随时随意讨论“的形式，确保每一位学生都能体验基于CTF的攻防实践过程，进而加深每一个人对课堂讲授内容的理解，建立Web安全形象思维和安全意识。目录培养模式授课方法科研思路实战演练第二阶段 研究所科研【立足业界需求】在“理论体系-学术成果-工具产品-事件案例-攻防实践”知识链条牵引下，立足业界需求，依托研究所科研项目，聚焦兴趣点。【提炼科学问题】充分调研国内外学术界、工业界研究现状，自主提出关键科学问题，并开展系统深入的研究。

4、【真实场景验证】研发原型系统，在真实环境下部署，测试功能和性能。研究方向兴趣爱好业界需求科研项目如何有益于解决真实业务场景问题？如何开展科研实践？网络安全的本质在对抗，对抗的本质在攻防两端能力的较量。要以技术对技术，以技术管技术，做到魔高一尺、道高一丈。【节选自419讲话】从攻击者视角分析问题，以防御者视角解决问题，用实战演练检验效果。攻防角色互换科研思路：以软件供应链安全为例近些年，从XcodeGhost事件，到Xshell后门、python pip源欺骗性污染钓鱼。软件供应链安全事件频发，且具有威胁对象种类多、极端隐蔽、攻击成本低回报高、检测困难等特性。软件供应链是指由软件开发环节，交付环

5、节和使用环节组成的功能链。而软件供应链污染则是在软件供应链中的各个环节中，利用不同的技术对软件进行污染。源代码内部组件外部组件开发执行逻辑应用程序交付使用需求设计编写编译分发下载安装运行升级生成软件供应链安全威胁模型图2018年软件供应链安全大赛“C源码专题赛”分站赛第一名2018功守道阿里软件供应链安全大赛，是聚焦软件供应链安全范畴内泛化的攻击面与应对技术、策略，面向业界、学术领域，采用对抗为主的全新挑战赛形式。中科院信工所团队作为防守方从防御的角度检测题目中是否存在软件供应链安全风险点。在C源码专题赛分站赛3的183个待检测样本中，发现恶意后门数量81个，正确解题数量115道。获得C源码专

6、题赛分站赛第一名，并直接晋级总决赛。2018年软件供应链安全大赛“C源码专题赛”比赛过程恶意行为分类建模总结几十种模型：敏感函数集合+上下文约束关系单点恶意行为：系统敏感信息采集等；二阶段恶意行为：用户操作历史的读取和无校验网络传出；复合恶意行为：键盘hook等。C源码样本下载183个待检测C源码样本比赛3小时，提交结果5次，发现恶意后门数量81个，正确解题115道。污点分析模型匹配基于LLVM pass框架的中间代码表示，进而检测恶意行为C源码中间代码表示；污点分析：发现疑似敏感行为；模型匹配：I/O操作网络传出。误报过滤结果提交实现C源码恶意后门自动化检测系统基于路径可达性分析的误报过滤。