《恶意代码基础与防范（微课版）》-教学大纲、授课计划

《恶意代码》课程教学大纲课程编号：\o"查看课程安排"40B103029课程类型：专业基础课课程名称：恶意代码学时学分：48学时，3学分（其中：理论32学时，实验16学时）适用专业：信息安全自主学习：16学时开课单位：智能制造学院开课学期：第5学期课程定位本课程采用理论与实验相结合的教学方式，将全面讲解计算机病毒技术和反病毒技术的新动向与发展趋势，并结合信息安全领域中的最新研究成果及攻击实例阐述计算机病毒在当今时代的影响力和作用。在本课程的教学过程中，在学生掌握恶意代码的类型、运行机制的基础上，重点分析恶意代码的检测和清除技术，同时要求学生了解恶意代码的防范策略。二、课程目标1.知识目标（1）掌握计算机病毒及恶意代码的基本概念及趋势等。（2）掌握普通PE病毒及流行恶意代码的编制原理及技术。（3）掌握恶意代码及计算机病毒防范思路及详细方法。（4）通过自主实践一种恶意代码的编制或者防范。（5）自主学习熟练掌握一种恶意代码的数学模型。2.能力目标（1）能够对恶意代码进行有明确的认识；（2）能够构建恶意代码防范思路及详细方法；（3）能够形成对恶意代码防治策略；（4）能够对恶意代码进行算法分析；（5）能够建立恶意代码安全威胁以及安全防御框架。3.素质目标（1）具备较好的恶意代码防范意识；（2）具备良好的恶意代码的甄别和管控意识；（3）具有较强的职业道德素养以及职业责任感；（4）具备较好的自主学习能力以及初步的创新意识。三、教学内容与要求序号教学内容教学要求建议学时重点难点教学方法和手段1信息安全和恶意代码概述理解并掌握恶意代码的基本概念，并在此基础上讲述恶意代码的关键历史转折点、技术分类、传播途径、感染症状、命名规则及未来发展趋势等相关问题。4重点：恶意代码的基本概念，并在此基础上讲述恶意代码的关键历史转折点、技术分类、传播途径、感染症状、命名规则及未来发展趋势等相关问题。课堂讲授案例分析2

恶意代码模型及机制恶意代码的理论模型，如基于图灵机的传统计算机病毒模型、基于递归函数的计算机病毒的数学模型、恶意代码预防理论模型、传统计算机病毒的结构及工作机制4重点难点：恶意代码的理论模型，如基于图灵机的传统计算机病毒模型、基于递归函数的计算机病毒的数学模型、恶意代码预防理论模型、传统计算机病毒的结构及工作机制课堂讲授案例分析3传统计算机病毒掌握DOS、Windows

9x、Windows

2000平台下传统病毒的工作机制和编制技术；了解3种平台下的可执行文件结构为线索，在分析这些文件结构的基础上，引入不同平台的病毒编制技术。熟练掌握引导型病毒和宏病毒传播机制与防范方法。4重点：DOS、Windows

9x、Windows

2000平台下传统病毒的工作机制和编制技术；重点：3种平台下的可执行文件结构为线索，在分析这些文件结构的基础上，引入不同平台的病毒编制技术。难点：引导型病毒和宏病毒传播机制与防范方法。课堂讲授案例分析4Linux恶意代码技术了解Linux安全问题的基础上，探讨Linux恶意代码的概念，熟练分析Linux可执行文件格式(ELF)的运行机制。4重点：Linux安全问题的基础上，探讨Linux恶意代码的概念；难点：分析Linux可执行文件格式(ELF)的运行机制。课堂讲授案例分析5特洛伊木马掌握分析木马的技术特征、木马入侵的一些常用技术；了解木马入侵的防范和清除方法。理解几款常见木马程序的防范经验。4重点：分析木马的技术特征、木马入侵的一些常用技术；难点：木马入侵的防范和清除方法及几款常见木马程序的防范经验。课堂讲授案例分析6移动智能终端恶意代码了解手机恶意代码为主线，掌握移动终端恶意代码的概念、技术进展和防范工具，使读者了解未来移动终端设备上的威胁。熟练掌握Android下开发恶意行为程序的技术。4重点：手机恶意代码为主线；难点：移动终端恶意代码的概念、技术进展和防范工具，使读者了解未来移动终端设备上的威胁。难点：Android下开发恶意行为程序的技术。课堂讲授案例分析7蠕虫了解的蠕虫（Worm）的基本特征、技术特征和工作机制；掌握基于RPC漏洞和U盘传播的蠕虫技术。4重点：的蠕虫（Worm）的基本特征、技术特征和工作机制；难点：基于RPC漏洞和U盘传播的蠕虫技术。课堂讲授案例分析8勒索型恶意代码了解勒索型恶意代码的概念、原理、危害及防范技术。以最流行的WannaCry为例，掌握勒索型恶意代码的结构及源代码。4重点：了解勒索型恶意代码的概念、原理、危害及防范技术。以最流行的WannaCry为例，难点勒索型恶意代码的结构及源代码。课堂讲授案例分析9其他恶意代码了解近年来新兴的流氓软件、Outlook漏洞恶意代码、WebPage恶意代码、僵尸网络、Rootkit恶意代码和APT（高级持续威胁）做了介绍；了解对其中典型恶意代码的编制技术做了详细讲解。4重点：近年来新兴的流氓软件、Outlook漏洞恶意代码、WebPage恶意代码、僵尸网络、Rootkit恶意代码和APT（高级持续威胁）做了介绍；重点：对其中典型恶意代码的编制技术做了详细讲解。课堂讲授案例分析10恶意代码防范技术掌握恶意代码的检测、清除、预防、防治、数据和策略6个层次为主要思路；了解恶意代码的诊断原理和方法、清除原理和方法、主动和被动防治技术以及数据备份和数据恢复等。4重点：恶意代码的检测、清除、预防、防治、数据和策略6个层次为主要思路；难点恶意代码的诊断原理和方法、清除原理和方法、主动和被动防治技术以及数据备份和数据恢复等课堂讲授案例分析11恶意代码防治策略了解全局策略和规章，并且针对企业用户所讲述的内容比针对单机用户的要多一些。掌握如何制订一个防御计划，如何挑选一个快速反应小组，如何控制住恶意代码的发作，以及安全工具的选择等问题。4难点：全局策略和规章，并且针对企业用户所讲述的内容比针对单机用户的要多一些。难点：如何制订一个防御计划，如何挑选一个快速反应小组，如何控制住恶意代码的发作，以及安全工具的选择等问题。课堂讲授案例分析12恶意代码防治策略了解防御性策略得到的不同建议来避免计算机受到恶意代码的影响；掌握全局策略和规章，并且针对企业用户所讲述的内容比针对单机用户的要多一些。熟练掌握如何制订一个防御计划，如何挑选一个快速反应小组，如何控制住恶意代码的发作，以及安全工具的选择等问题提出了一些建议。4重点：防御性策略得到的不同建议来避免计算机受到恶意代码的影响；重点：全局策略和规章，并且针对企业用户所讲述的内容比针对单机用户的要多一些。难点：如何制订一个防御计划，如何挑选一个快速反应小组，如何控制住恶意代码的发作，以及安全工具的选择等问题提出了一些建议。课堂讲授案例分析该课程采用线上线下混合教学方式，充分利用网络平台支撑教学和学生自主学习。要求学生每次课前自学，课程讲解后学生需要在线完成复习性作业，完成测验，检验学生学习效果，帮助学生发现学习中存在的问题并及时补课；课程安排一次综合性大作业，考查学生综合运用分析能力解决恶意代码问题的能力。课程包含自主学习部分，自主学习采用在线学习结合学生自行查阅资料学习，通过自主学习完成相关恶意代码分析实验。每个班级选出1-2名学生做课代表，帮助教师做好教学管理工作。由课代表协调答疑时间和地点。四、实践教学项目一：脚本病毒（建议学时4）1.目的和要求（1）掌握脚本病毒的原理；（2）了解脚本病毒的攻击过程；（3）了解网页恶意代码的基本概念；（4）了解典型的脚本病毒的破坏结果；（5）掌握典型脚本病毒的清除方法。2.内容和步骤（1）明确任务；任务1：脚本病毒的生成任务2：脚本病毒的表现特征（2）恶意代码程序编写；（3）恶意代码程序实现；项目二：木马病毒（建议学时4）1.目的和要求（1）掌握木马病毒的概念，加深对其危害的认识;（2）深入理解木马病毒的特征和运行原理；（3）掌握木马病毒技术，了解木马整体反检测和反查杀能力。2.内容和步骤（1）明确任务；任务1：木马病毒的生成任务2：木马的表现特征（2）木马程序编写；（3）木马程序实现；项目三：熊猫烧香病毒分析（建议学时4）1.目的和要求（1）掌握熊猫烧香病毒的工作原理和感染方法；（2）掌握手工清除熊猫病毒的基本方法。2.内容和步骤（1）明确任务；任务1：熊猫烧香病毒生成任务2：手工清除熊猫病毒的基本方法（2）熊猫病毒程序编写；（3）手工清除熊猫病毒的基本方法；项目四：恶意代码病毒（建议学时4）1.目的和要求（1）了解恶意代码病毒的攻击及传播方式（2）学习使用工具软件观察网络活动（3）观察locky勒索软件的感染状态及勒索方式2.内容和步骤（1）明确任务；任务1：恶意代码病毒攻击及传播方式任务2：观察恶意代码病毒的感染状态及防范方式（2）恶意代码病毒的呈现及网络活动；（3）观察恶意代码病毒的感染状态及防范方式；五、考核及成绩评定方式1.考核方式：考试2.成绩评定办法2.成绩评定办法（1）成绩评定构成：总成绩=课堂表现×10%﹢课后作业×20%+自主学习×10%﹢期末成绩×60%（2）成绩评定细则：出勤成绩：根据学生每次上课的正常，请假，病假，旷课等情况按照分值核算给出出勤成绩。课堂表现：根据课堂中学生是否积极参与课堂教学，是否认真进行实训任务，是否存在玩游戏、睡觉现象，回答问题是否有创新性意识，是否有团队合作意识以及学生的信息安全意识和遵纪守法意识等给出课堂表现成绩。课后作业：在教学中，每次课后作业分别打分，最后根据课后作业次数求出总的课后作业平均分。自主学习：主要考查学生自主学习的工作量以及工作效果，学生在线完成教师布置的自主学习任务并完成相应的报告等。实践报告：根据学生所提交的实践报告及实践过程中的表现评定成绩。六、与其他课程的联系1.先修课程及联系先修课程主要有：、信息安全数学基础、计算机网络基础与协议分析，WEB安全等。2.后续课程及联系后续课程主要有：操作系统及安全管理、信息安全工程管理。七、教材及参考资料1.推荐教材：刘功申等.《计算机病毒与恶意代码原理、技术及防范》.清华大学出版社.2021.12.参考资料：[1]于晓聪等.《恶意代码调查技术》.清华大学出版社.2020年12月；[2]/course/WHU-1460833161?from=searchPage；[3]/course/SJTU-1205906809?from=searchPage。执笔人：张新江日期：2022年8月19日系（教研室）审核：张新江日期：2022年8月19日教学单位审核：王秀英日期：2022年8月19日

附件1：《恶意代码》课程自主学习安排一、学习目标通过自主学习，学生能够熟悉软件安全基础知识（如磁盘结构与系统启动、内存管理机制、PE文件结构等）讲解的基础上，解析当前典型恶意软件（如PE病毒、宏病毒、脚本病毒、网络蠕虫、网络木马等）的功能、实现机制，以及对应的防护手段和分析技术。1.增强学生对恶意代码攻击机理的理解2.促进学生掌握恶意代码检测机理3.提升学生恶意代码分析能力4.帮助学生进一步构建网络攻防博弈思维5.提升学生在恶意代码领域的创新思维与综合实践能力二、学习形式教师通过视频或者网站链接等方式为学生提供学习资源，发布学习要求。学生规定的时间内完成自主学习，并完成相关的测验和作业。三、学习内容学生需要完成不少于16学时的自主学习任务。序号学习内容建议学时1WindowsPE病毒4学时2恶意代码检测与溯源4学时3恶意代码--APT攻击中的武器4学时4网络犯罪4学时合计16学时四、学习评价学生自主学习效果的评价，除了包含学生学习记录、作业、测验成绩以外，突出学生自主评价。学生完成自主学习总结，对自主学习的情况进行自评。执笔人：张新江发布日期：年06月18日教师学期授课计划课程名称:恶意代码依据大纲:中德教学大纲班级:20信安2考试考查:考试课程类型:专业基础课使用教材:《计算机病毒与恶意代码原理、技术及防范》学时学分:48学时，3学分（其中：理论32学时，实验16学时）授课学期:2022-2023学年第01学期任课教师:张新江系/教研室审核:信息安全系部门审核:王秀英填写日期2022年08月25日

序号月/日周次星期教学内容作业授课学时备注19.11/四第一章信息安全和恶意代码概述课本19页，习题1-5429.82/四第二章

恶意代码模型及机制课本51页，习题1-3439.153/四第三章传统计算机病毒课本121页，习题1-4449.224/四第四章Linux恶意代码技术课本167页，习题1-4459.275/四第五章特