《计算机病毒技术及其防御》课程教学大纲

《计算机病毒技术及其防御》课程教学大纲一、课程基本信息课程名称计算机病毒技术及其防御ComputerVirusTechnology&ItsDefense课程编码课程类别专业核心课课程性质必修考核方式考试（机考）学分4课程学时其中：理论32学时，实验32学时开课学期第4学期开课单位网络空间安全学院适用专业网络空间安全专业课程负责人张瑜审定日期2023年8月二、课程简介《计算机病毒技术及其防御》（或《恶意代码原理与防范》）是网络空间安全专业中专业性与实践性较强的课程，是网络空间安全学科中的重要组成部分，与后续学习的多门课程皆有关联。本课程主要研究恶意代码（计算机病毒）的分类、恶意代码的原理、恶意代码的行为、恶意代码静态与动态的分析方法以及恶意代码的防御技术，对构建学生网络安全类知识体系进而进行恶意代码攻防实践有重要作用。课程的任务是通过课堂教学与实验教学方式，使学生能够从生命周期的角度掌握恶意代码技术的基本原理与实现方法，掌握常见恶意代码的防御方法，培养学生具备良好的恶意代码分析能力与常见恶意代码的防范能力，提高自身对相关领域的安全意识与职业素养，从而为今后从事网络信息安全领域相关工作奠定坚实的基础。通过本课程学习，使学生能够通过对相关实操案例的分析，对恶意代码的种类、危害、应急、防御处理都有较为深入的认识，具备一定的分析研究能力，能够将本课程的相关知识与防御技术的思路和技巧用于解决恶意代码所带来的问题。三、课程目标及其对毕业要求的支撑（一）课程目标课程目标1：理解恶意代码的基本概念和理论知识，能够描述恶意代码的基本特性以及恶意代码的发展趋势。课程目标2：掌握恶意代码的基本技术，能够自觉运用基本知识认识恶意代码，并对常见的恶意代码的进行逆向分析，培养学生分析问题的能力。课程目标3：掌握恶意代码防御技术，能够自觉运用所学知识进行恶意代码防御处理，并对其中常见问题进行分析并加以解决，培养学生研究和分析问题、工程部署与设计解决方案的能力。（二）课程目标对毕业要求的支撑毕业要求毕业要求分解指标点课程目标4.设计/开发解决方案：能够设计针对复杂工程问题的解决方案，设计满足特定需求的系统、单元（部件）或工艺流程，并能够在设计环节中体现创新意识，考虑社会、健康、安全、法律、文化以及环境等因素。4.1能将自然科学、工程科学的基本原理和技术手段用于特定需求的网络空间安全工程系统及安全框架设计，并具有追求创新的态度和意识。135.研究：能够基于科学原理并采用科学方法对复杂工程问题进行研究，包括设计实验、分析与解释数据、并通过信息综合得到合理有效的结论。5.2针对数字化模型，能正确进行实验操作，正确收集、处理、解释实验数据，并采用科学方法进行实验数据的信息综合分析，获得合理有效的结论并应用于工程实践。236.使用现代工具：能够针对复杂工程问题，开发、选择与使用恰当的技术、资源、现代工程工具和信息技术工具，包括对复杂工程问题的预测与模拟，并能够理解其局限性。6.1掌握恰当的技术、资源、现代工程工具、信息技术工具的使用方法，并根据复杂工程问题选择或开发合适的现代工具。23四、教学方法本课程课堂教学和上机实验并重，结合作业、练习及实验报告等教学手段和形式完成课程教学任务。在课堂教学中，通过讲授、提问、实验、练习、演示等教学方法和手段让学生了解恶意代码，掌握恶意代码攻防的基本应用。在实验、练习教学环节中，通过任务布置教学、培养学生动手能力，同时培养学生发现问题、分析问题和解决问题的能力。五、教学内容及重难点（一）计算机病毒概论教学内容：计算机病毒起源、定义、类型、特性、结构、进化、外部环境及发展趋势。教学重点：计算机病毒结构与进化关系。教学难点：计算机病毒进化与外部环境的交互作用。（二）计算机病毒基础知识教学内容：WindowsPE文件格式，Powershell基础，Windows内核机制。教学重点：WindowsPE文件格式及其与计算机病毒关系。教学难点：Windows内核机制。（三）计算机病毒分析平台教学内容：计算机病毒分析实验平台，计算机病毒静态分析方法，计算机病毒动态分析方法，计算机病毒分析文档结构。教学重点：计算机病毒静态与动态分析方法。教学难点：计算机病毒分析实验平台搭建。（四）计算机病毒诞生教学内容：程序设计生成计算机病毒，软件代码复用生成计算机病毒，计算机病毒生产机，基于ChatGPT生成计算机病毒。教学重点：程序设计生成计算机病毒。教学难点：基于ChatGPT生成计算机病毒。（五）计算机病毒传播教学内容：文件寄生，实体注入，漏洞利用，社会工程学。教学重点：文件寄生，实体注入。教学难点：漏洞利用方法。（六）计算机病毒潜伏教学内容：计算机病毒隐匿，病毒混淆，病毒多态，病毒加壳。教学重点：计算机病毒隐匿，病毒混淆。教学难点：病毒加壳方法。（七）计算机病毒发作教学内容：计算机病毒启动，加密勒索，数据泄露，数据销毁，软硬件破坏。教学重点：计算机病毒启动，加密勒索。教学难点：数据销毁，软硬件破坏方法。（八）计算机病毒检测教学内容：基于特征码检测，启发式检测，虚拟沙箱检测，数据驱动检测，基于ChatGPT的安全防御。教学重点：基于特征码检测，启发式检测。教学难点：数据驱动检测方法。（九）计算机病毒凋亡教学内容：计算机病毒猎杀，病毒免疫，外部环境升级。教学重点：计算机病毒猎杀方法。教学难点：计算机病毒免疫方法。课程内容及安排（一）理论教学内容及安排序号章节课程内容教学目标学时教学方法对应的课程目标1第一章一、计算机病毒概述1.计算机病毒起源2.计算机病毒定义3.计算机病毒类型4.计算机病毒特性5.计算机病毒结构6.计算机病毒进化7.计算机病毒外部环境及发展趋势。通过了解计算机病毒起源、定义、类型、特性、结构、进化以及计算机病毒与外部环境的交互关系，学生能够理解计算机病毒未来发展趋势。2讲授12第二章二、计算机病毒基础知识1.WindowsPE文件格式2.Powershell基础3.Windows内核机制概述通过学习计算机病毒的基础知识（WindowsPE文件格式、Powershell基础、Windows内核机制），能领会这些内容对计算机病毒攻防技术的影响。2讲授33第三章三、计算机病毒分析平台1.计算机病毒分析实验平台2.计算机病毒静态分析方法3.计算机病毒动态分析方法4.计算机病毒分析文档结构通过动手搭建计算机病毒分析平台，能够领会其与操作系统的关系，并在该分析平台中对计算机病毒样本进行动态、静态分析。4讲授24.第四章四、计算机病毒诞生1.程序设计生成计算机病毒2.软件代码复用生成计算机病毒3.计算机病毒生产机4.基于ChatGPT生成计算机病毒通过学习了解计算机病毒诞生方式，能够领会计算机病毒技术原理，并借助实验完成简单计算机病毒的编写。4讲授35第五章五、计算机病毒传播1.文件寄生2.实体注入3.漏洞利用4.社会工程学通过学习了解计算机病毒的传播方式（文件寄生、实体注入、漏洞利用、社会工程学），并借助社会工程学实验完成计算机病毒的传播。4讲授36第六章六、计算机病毒潜伏1.计算机病毒隐匿2.病毒混淆3.病毒多态4.病毒加壳通过学习理解计算机病毒的潜伏方法（病毒隐匿、混淆、多态、加壳技术），能够借助相关实验完成计算机病毒样本的潜伏实践。4讲授27第七章七、计算机病毒发作1.计算机病毒启动2.加密勒索3.数据泄露4.数据销毁5.软硬件破坏通过学习了解计算机病毒的发作方法与流程（启动方法、加密勒索技术、数据销毁方法、软硬件破坏技术），能够利用所学知识去拦截阻断病毒发作。4讲授38第八章八、计算机病毒检测1.基于特征码检测2.启发式检测3.虚拟沙箱检测4.数据驱动检测5.基于ChatGPT的安全防御通过学习理解计算机病毒检测技术方法（基于特征码检测、启发式检测、虚拟沙箱检测、数据驱动检测），能够借助ChatGPT进行计算机病毒安全防御。4讲授39第九章九、计算机病毒凋亡1.计算机病毒猎杀2.病毒免疫3.外部环境升级通过学习了解计算机病毒凋亡方式（病毒猎杀、病毒免疫、外部环境升级），能够完成利用包括杀毒软件在内的方法对病毒进行免疫与查杀。4讲授3（二）实验或实训项目内容及安排序号章节实验项目内容教学目标学时教学方法对应的课程目标1第一章实验1：了解计算机病毒所依赖的外部环境，并对病毒样本进行直观认识。通过对计算机病毒起源、定义、类型、特性、结构、进化、外部环境及发展趋势的学习，使学生能够了解计算机病毒的专业知识。2实验12第二章实验2：利用WindowsPE文件格式知识剖析计算机病毒；实验3：利用Powershell进行无文件病毒实验操作。通过对计算机病毒基础知识的学习，使学生能够依据相关知识（WindowsPE文件格式、Powershell、Windows内核机制等）分析计算机病毒样本。4实验23第三章实验4：学习搭建计算机病毒分析平台，并对病毒样本进行分析。实验5：在搭建的计算机病毒分析平台上对病毒样本进行动态与静态分析。通过搭建计算机病毒分析平台，使学生能够自己创建病毒分析环境，并能够对计算机病毒样本进行完整分析。4实验34第四章实验6：利用所学进行简单的计算机病毒程序设计。实验7：利用ChatGPT进行计算机病毒生成。通过进行计算机病毒生成实验，使学生能够自己创建计算机病毒，以熟悉计算机病毒生成技术方法。4实验35第五章实验8：利用文件寄生和实体注入方法，进行计算机病毒传播实践。实验9：利用社会工程学方法并借助漏洞利用进行计算机病毒传播。通过利用文件寄生、实体注入、社会工程学方式进行计算机病毒传播实验，使学生能够自己掌握计算机病毒传播方法与防御技术。4实验36第六章实验10：利用计算机病毒隐匿和病毒混淆技术，对病毒样本进行隐匿实践。实验11：利用病毒多态和病毒加壳技术进行计算机病毒隐匿操作，以规避杀毒软件查杀。通过进行计算机病毒隐匿实践，使学生能够自己分析计算机隐藏方法，并有针对性地进行病毒防御。4实验27第七章实验12：了解计算机病毒启动方法，并进行计算机加密实践。实验13：熟悉计算机病毒数据泄露、数据销毁方法，并有针对性地进行计算机病毒防御。通过了解计算机病毒启动方法，以及病毒加密勒索、数据泄露、数据销毁等方法，使学生能够根据实际情况进行计算机病毒阻断与防御分析。4实验28第八章实验14：利用病毒特征码进行计算机病毒检测。实验15：利用公开的病毒数据集，使用数据驱动检测方法对计算机病毒进行检测与分类。通过利用病毒特征码、病毒数据集等信息，对计算机病毒进行检测与分类，使学生能够自己分析与检测计算机病毒，对病毒进行积极防御。4实验39第九章实验16：学习计算机病毒猎杀与病毒免疫方法。通过对计算机病毒进行猎杀与免疫，使学生能够根据实际情况进行病毒防御分析。2实验3七、考核形式与成绩评定（一）评价方式课程目标评价方式及比例（%）成绩比例（%）作业测验实验操作实验报告课程目标150101530课程目标250151535课程目标350151535合计1504045100（二）评价标准1.考核方式评价标准考核方式基本要求评价标准优秀（90-100分）良好（75-89分）中等(70-79分)及格(60-70分)不及格(0-59分)大作业通过搜索资料能够熟悉计算机病毒攻防技术方法，并能够说明计算机病毒技术的基本原理和特点，以及所举案例的工程应用中需要注意的科学技术问题。案例选取合理，介绍全面；计算机病毒攻防基本概念、原理论述清楚、正确；需要注意的计算机病毒攻防技术问题分析清楚，观点正确。案例选取合理，介绍全面；计算机病毒攻防基本概念、原理论述清楚、正确；需要注意的计算机病毒攻防技术问题分析基本清楚，观点正确。案例选取合理；计算机病毒攻防基本概念、原理论述基本正确；需要注意的计算机病毒攻防技术问题分析基本清楚，观点基本正确。案例选取基本合理；计算机病毒攻防基本概念、原理论述基本正确；需要注意的计算机病毒攻防技术问题分析基本清楚，观点有较少错误。案例选取不合理；计算机病毒攻防基本概念、原理论述有较大错误；需要注意的计算机病毒攻防技术问题分析不清楚，观点有较大错误。实验操作按照要求完成预习；按照实验安全操作规则进行实验，实验步骤与结果正确。能够预习；按照实验安全操作规则进行实验，实验步骤与结果正确。按照实验安全操作规则进行实验，实验步骤与结果基本正确。基本按照实验安全操作规则进行实验，实验步骤与结果基本正确。没有按照实验安全操作规则进行实验，或者步骤与结果不正确。没有进行实验操作。实验报告熟练掌握常用计算机病毒攻击技术的特点和应用范围，能依据具体情况进行计算机病毒防御方案选择，获得充分可靠的实验数据；能实验结果进行深度分析，能说明实验结果的局限性；报告条理清楚，行文流畅，表述准确，撰写规范。较熟练掌握常用计算机病毒攻击技术的特点和应用范围，能依据具体情况进行计算机病毒防御方案选择，获得充分可靠的实验数据；能实验结果进行一定深度的分析；报告条理清楚，表述准确，符合规范。掌握常用计算机病毒攻击技术的特点和应用范围，能依据具体情况进行计算机病毒防御方案选择，获得相应的实验数据；能对实验结果进行地分析；报告条理基本清楚，比较符合规范。基本掌握常用计算机病毒攻击技术的特点和应用范围，能依据具体情况进行计算机病毒防御方案选择，获得一些实验数据；能实验结果进行分析；报告条理基本清楚，基本符合规范。没有掌握常用计算机病毒攻击技术的特点和应用范围；或报告思路混乱，表达不清。没有提交实验报告。2.课程目标评价标准课程目标考核依据评价标准优秀（90-100分）良好（75-89分）中等(70-79分)及格(60-70分)不及格(0-59分)课程目标1考查对计算机病毒（恶意代码）基本知识的掌握能够很好地掌握能够较好地掌握基本能够掌握能够部分掌握不能够掌握课程目标2考查对计算机病毒攻击技术的掌握能力能够很好地掌握能够较好地掌握基本能够掌握能够部分掌握不能够掌握课程目标3.考查对