庞岩梅 李冬冬 范 洁
北京电子科技学院,北京市 100070
计算机病毒课程作为网络空间安全专业和信息安全专业的专业课程之一,对于网络安全人才的培养目标具有重要的支撑作用。 计算机病毒课程具有涉及的知识广、内容深、难度大等特点,且课程主要内容之一的“病毒技术”具有明显双面性,这些都给这门课程的教学带来了不小的挑战。 所谓“双面性”指的是,同样的技术既可以用于解决积极正面的问题,又可以被病毒所应用造成安全威胁。 最典型的,Windows 操作系统中的代码注入技术,既是计算机病毒用来隐蔽自身的一种技术,也是安全软件用来检测病毒的一种技术。 因此,如果教学只是专注于计算机病毒技术的剖析和实践,那么必然存在着指导学生如何编写病毒的错误导向;但如果对于技术只是点到为止,那么教学效果必然是学生对技术仅限于表面了解,无法真正理解吸收并应用于实践,进而对“提升能力素质”这一培养目标起不到支撑作用。 因此,需要找到一种适合的教学模式,使得学生在不编写病毒的基础上,既能加深对计算机病毒技术的理解,又能提高技术的正面应用能力,其中的“正面”指的是积极有益的一面,“正面应用”指的是利用技术双面性中有益的一面解决实际中积极有益的那些问题。
针对计算机病毒课程普遍存在的教学效果不够理想的情况,目前的解决方案主要有两个方向:第一是在讲解分析原理技术的基础上加大实践力度;第二是改善教学过程的设计。 俞炯和王静等人[1-4]都强调通过实践环节来改善教学效果。 其中,俞炯等人[1]采用教学实验系统配合理论教学的课程教学模式来提高教学质量;王静和熊育婷等人[2,3]提出通过不同类型的实践进行病毒原理的学习。 薛明富[4]强调以实践活动为中心开展基于项目和任务的学习。 赵春蕾和彭晓红等人[5,6]重点从教学过程的设计进行思考和改进。 但上述方案都存在着通过让学生编写病毒样例来深入理解技术的情况,虽然这种方式能够在一定程度上让学生深入了解病毒技术,但也给学生带来了可以生产和制造病毒的错觉。因此,如何通过课堂教学达到既能让学生深入理解计算机病毒技术又能引导学生正面应用技术的目的非常具有研究价值。
在总结和反思多轮教学基础上,课程团队提出并实施了“基于迁移理论,面向正面应用”的教学模式。 在这种教学模式下,教师基于迁移理论指导学生将病毒技术正面应用到实际问题的解决中,同时配合课程思政教育,从思想上引导学生认识技术两面性,树立正确的世界观、人生观和价值观,强化技术正面应用的意识。 通过这种教学模式,使得学生不仅在学习和应用技术的基础上能够逐步提高实践能力,而且又能将这种实践能力应用于正确的方向,并且这种应用出自于学生对正面应用技术的理性认同。
在心理学中,所谓迁移是指一种学习对另一种学习的影响。 它是学习者运用已有认知结构对新课题进行分析和概括的基础上实现的,其实质是一种揭示新、旧课题共同本质的过程[7]。许多心理学家和教育学家从不同的角度出发提出了许多种学习迁移理论,美国心理学家Judd提出的“经验类化说”迁移理论正是其中之一。这一理论的主要观点包含三个方面[7,8]:第一,两种学习活动中的共同成分是产生迁移的必要前提。 若希望从源领域中学习知识并运用到目标领域中,那么必须保证源领域与目标领域有共同的知识。 对计算机病毒课程来说,源领域是计算机病毒所用的技术,目标领域是正面应用所采用的技术。 这两个领域有着共同的知识——某种技术。 因此,计算机病毒课程的教学具备采用迁移理论的基础。 第二,迁移发生的关键在于对学习课题里共同因素的概括化。 “概括化”一般由教师指导。 对于计算机病毒课程来说,对病毒技术和正面应用技术这两个领域中共同知识的概括是可行的,并且病毒技术本身纷繁复杂,难度较深,所以课堂教学正是实现这一概括最合适的契机。 教师可以进行教学过程设计,通过首先引入具体病毒样例,并基于病毒样例代码对技术进行分析,而后抽象出该类病毒所用的具体技术,继而再概括化出同类技术。 因此,计算机病毒课程的教学具备迁移理论中迁移能够发生的关键条件。 第三,学习者应用原理、法则的“心向”也影响迁移。 计算机病毒课程讲解案例和技术,而技术具有双面性的特征,非常便于结合恰当的案例开展课程思政。 通过课程思政引导学生树立正确的世界观、人生观和价值观,将技术的应用和国家安全观联系起来,可以让学生意识到用技术解决实际正面问题的重要性和必要性。 因此计算机病毒课程具备学习者应用迁移的条件。 综上,计算机病毒课程的教学可以采用迁移理论来解决讲解病毒技术,又不应该和不可以鼓励学生制造病毒的问题。
如果将计算机病毒领域中的典型病毒视为A,将待解决的正面问题视为B,通过对A(计算机病毒)领域中计算机病毒技术的研究,获得一般原理和技术,然后再将这些原理和技术运用于B(待解决的正面问题)中,那么就可以将从A(计算机病毒)领域中学习到的原理和技术迁移到B(待解决的正面问题)领域中,从而实现技术的正面应用,这一过程可以用图1进行表示。
要让学生掌握计算机病毒的相应技术,同时又要求他们在掌握了技术之后不能去制造计算机病毒,就必须先从思想意识层面让学生树立正确的技术应用观,打通技术的正面应用与国家安全观之间的联系。 而这也恰是基于迁移原理能够有效实施的前提条件之一。
计算机病毒技术是典型的双面性技术。 当被用在计算机病毒中时,这种技术就是对他人、社会和国家安全造成威胁的技术;当被用在普通程序或者安全软件中时,这种技术可能就是一种提高效率、提升安全的技术。 针对技术双面性的特点,在授课过程中融入思政教育,使学生始终对技术的应用保持警醒,树立技术应用的红线意识,从国家安全观出发去认识技术应用。 同时通过思政教育对学生的世界观、人生观、价值观进行积极引导,激发学生的爱国热情,坚定正确的理想信念,鼓励学生为了国家安全而努力学习。在教学中强调国家安全是国家生存发展的基本前提,而网络空间安全正是国家安全中不可忽视的重要一环,计算机病毒技术是威胁网络空间安全最主要的原因之一。 通过对APT 病毒整体态势,挖矿木马、勒索病毒等地下黑色产业链以及某些国家基础设施遭到病毒攻击等情况的分析,一方面使得学生认识到如果将技术应用在计算机病毒中,那么就有可能带来巨大的网络安全威胁,从而进一步威胁国家安全和社会稳定;而这些技术如果应用在正面问题中,那么它们不仅可能成为提高效率、改进工作的助手,而且可能成为网络安全的防护手段,对维护社会稳定和国家安全产生积极作用;另一方面让学生认识到金钱、私利至上的扭曲三观造成的网络犯罪已经成为了每个人都有责任积极参与解决的全球公害,明确目前网络空间安全成为各国新战场的严峻现实,作为中华民族复兴未来的中坚力量,同学们有责任也有义务为了保卫国家的网络空间安全而努力学习等。 通过将思政元素和课程内容自然的统一在一起,让学生不仅关注技术更要关注德行,不仅有利于学生增强用好的德行指导技术正确应用的内驱力,同时还可以达到专业课程与思想政治理论课同向同行,为全员全程全方位育人服务的目的。
经过课程思政的铺垫,学生具备了技术应用的红线意识,明确了技术服务的目的,解决了正面应用的“心向”问题,再采用“基于迁移理论,面向正面应用”的教学模式就是顺理成章的事情。 在实际授课过程中,分章节讲解不同类型的病毒,对每一类病毒剖析其具体技术,然后对技术进行概括化,最后将概括化之后的技术迁移到可以利用该技术的正面应用问题中。 根据病毒技术相应难度的不同,在教学的具体实施过程中,又采用了教师讲解分析型和学生设计实践型两种不同的教学方法。
3.2.1 教师讲解分析型
针对诸如木马所用的钩子技术、PE 文件型病毒所用的感染技术以及勒索病毒所用的文件加密技术等这类难度较大、涉及的基础知识也较为深入和广泛的技术,采用教师讲解分析型教学方法。 具体的,教师授课时首先分析病毒具体原理和主要技术,其次对该类病毒所采用的技术本质进行概括化,紧接着讲解这种技术在正面问题中的应用场景,最后分析该技术应用在正面应用领域中的具体方法。
例如,HOOK 技术是木马最主要和常用的技术之一。 在讲解这一技术时,首先分析键盘记录型木马的核心代码及其所对应的HOOK 技术的实现原理和具体手段;然后对HOOK 技术进行概括化,向学生讲解HOOK 技术及其各种不同类型;然后介绍HOOK 技术可以迁移的典型正面应用场景(例如翻译词典、杀毒软件和防护软件等正面应用中),并以屏幕取词为例具体分析HOOK 技术在其中的应用方法。 具体过程如图1 图2 所示。
图2 木马技术的正面应用
从教学反馈来看,学生通过教师的这种教授思路,可以在一定程度上理解病毒所用的具体技术,并且能够了解相应技术的实质,对于什么是正面应用有了清晰的认识,掌握了技术在正面应用中的基本使用方法。
3.2.2 学生设计实践型
对于诸如脚本病毒技术、宏病毒技术以及U盘自启动病毒技术等此类难度适中、涉及的基础知识较为集中的病毒技术,主要采用学生设计实践型的教学方法。 具体的,教师在课堂上讲授相应的病毒技术,并对技术进行概括化后介绍所能应用的一些正面问题,在此基础上,学生以实践方式自主完成相应技术的正面应用。
例如,在讲解脚本病毒时,会分析各类典型脚本病毒的基本原理和代码编写方法,引导学生基于脚本技术实现正面功能。 有学生实现了将PPT 内容写入WORD 文件的功能;有学生实现了将磁盘中随意存放的照片按日期进行整理的功能;有学生实现了一键登录邮箱的功能等,如图3 所示。
从这种方法的实际教学效果来看,部分学生思维活跃,作品丰富,在自主设计实践正面应用方面百花齐放。 同时,学生反映这种方式增加了他们对病毒本身原理和技术的理解,同时也增强了他们正面应用技术的意识。
在课程的实际教学过程中,基于迁移理论引导和鼓励学生所进行的正面应用探索并不是一蹴而就的事情,这一过程需要学生理解原理、掌握技术、深入思考,是一个循序渐进的过程,并不是每个学生都能迅速地产生反馈。 并且,对于一些难度较大的技术,在有限的课堂时间内直接进行迁移对学生来说还具有一定的挑战性。 对于一些能力较好、也对这一方面有兴趣的同学来说,这种教学模式为他们提供了继续深入思考和研究的空间,部分学生在这一方向上深入探索并将课堂学习延伸到了课外项目和毕业设计中。
例如,针对PE 文件型病毒的感染技术,有学生就将其延展并正面应用于软件保护。 设计并编程实现了一个软件保护方案作为课外项目:当执行某个软件时,必须先输入合法的用户名和口令,如果输入正确,那么软件会正常执行;否则,软件会自动退出无法执行。 通过这种方式对该软件进行一定程度上的版权保护,程序执行效果如图4 所示。 图(a)中,用户选择需要保护的程序为notepad.exe,使用login.exe 进行保护,当点击界面中的“确认”按键后,login.exe 就会和notepad.exe 结合在一起;当任何人想使用该电脑中的notepad.exe 程序时,程序首先会弹出图(b)中的login 对话框要求用户输入合法的用户名和口令,输入正确则notepad.exe 程序正常执行,否则该程序自动退出,不允许使用。
图4 PE 文件型病毒感染技术正面应用作为学生课外项目
再比如,针对木马的HOOK 技术,有学生将其延展到SSDT 系统级HOOK 的探索,并进一步研究和分析了基于SSDTHOOK 技术的沙盒的基本原理,作为毕业设计课题,给出了分析报告并自己尝试以此为基础编写程序拦截进程注入。 图5 为该同学毕业论文基本信息。
图5 木马HOOK 技术正面应用作为学生毕业设计课题
通过“基于迁移理论,面向正面应用”教学模式的实施,解决了计算机病毒课程教学一直以来存在着的如何能既向学生剖析病毒技术,又不以指导学生编写病毒为目的而讲授技术的问题;通过基于案例的课程思政和基于技术的正面应用讲解,强化了学生对技术进行正面应用的思想意识,让学生对技术双面性的认识从感性理解上升到了理性认同;基于难度适当的技术鼓励学生自主设计和实践正面应用,加深了学生对于原理和技术的理解,同时也提高了基于技术进行正面应用的实践能力;通过难度较大技术的正面应用的讲授,又让学有余力的学生找到了深入探索的方向,并为相关课外项目提供了素材和技术支持。 但这种教学模式在现实应用中也存在明显的弱点:第一,对教师来说,备课与授课难度较大。 这一教学模式需要教师在理解病毒技术深层原理的基础上熟悉各种技术的外围应用,并且还要找到适合课堂教学的难度适宜的点。 而且,通常病毒技术都会涉及到系统内核,较为复杂,并且常常随着操作系统版本的不同而发生较大变化;第二,对学生来说,需要投入较多的时间与精力。 这一教学模式一方面需要学生消化理解已有的病毒技术,而这些技术本身的难度相对并不低;另一方面还需要学生找到适合实践的正面应用的点,并且对技术和正面应用点进行实践的设计和验证,相对来说,需要付出的时间和精力都较多。 对于部分基础较差和学习积极性较弱的学生来说,学习难度很大,容易掉队。 因此要想较好的实施这一教学模式,教师和学生都必须保证时间和精力的投入。
计算机病毒课程作为网络安全专业和信息安全专业的专业课程所具有的技术双面性的特点,是安全相关课程中技术的共同特点,“基于迁移理论,面向正面应用”的教学模式对此类课程都具有一定的借鉴意义。