外文文献译文.docx
- 文档编号:8120280
- 上传时间:2023-01-28
- 格式:DOCX
- 页数:19
- 大小:663.09KB
外文文献译文.docx
《外文文献译文.docx》由会员分享,可在线阅读,更多相关《外文文献译文.docx(19页珍藏版)》请在冰豆网上搜索。
外文文献译文
毕业设计外文文献翻译
院系:
计算机与信息工程学院
年级专业:
姓名:
学号:
附件:
Androidbasedmobileappsfor
informationsecurityhands-oneducation
指导老师评语:
指导教师签名:
年月日
用于信息安全实践教育的安卓手机应用软件
ZouheirTrabelsi1·MohammedAlMatrooshi1·
SaeedAlBairaq1·WalidIbrahim1·
MohammadM.Masud1
【摘要】随着移动设备在学生群体中变得越来越流行,新的教育活动和工具,以及学习方法便能够发展到这一流行的移动设备(如可流动性和贴近学生的日常生活)中并从中获益。
特别是,信息安全教育应该反映当前计算机平台远离桌面倾向移动设备的趋势。
本文讨论一个关于学习方法的案例,其目的在于利用移动设备的优点和采取学习信息安全的最佳做法,以及促进学生的兴趣,提高他们的自我效能感。
学习的方法是使用两款Android学习软件,在传统实验室以外,即现实环境中的任何时间,任何地点,通过实施网络流量过滤,提高学生在防火墙过滤规则方面的动手能力。
实际上,这两个Android应用程序,一个是防火墙的应用程序,一个是数据包生成器应用程序。
在谷歌Play商店中,这两个应用程序是免费的。
根据谷歌Play商店的统计数据,约一年半的时间里,数据包生成器应用程序很受欢迎,世界各地的总下载量高达20000次,用户好评达3.75分。
将现有的各种Android防火墙应用程序从建议和突出意义的角度进行分析和对比。
同时,对Android应用程序在实现课程效果的影响进行了讨论。
【关键词】信息安全教育、Android应用程序、防火墙、保安动手实验、基于Android的学习方法、网络数据包生成器。
第1章引言
现今,实践与应用为导向的学习方法在信息安全教育方面是最重要的(李邱和2007Chienting)。
动手学习在信息安全教育中扮演着重要的角色。
事实上,安全教育课程不给学生在实践中体验安全技术的机会,就不能让他们有效的保护计算机系统和资产的机密性、完整性和可用性。
另外,也不是仅教授抽象的概念和分配抽象练习,在真实社会中学生参与学习课程的设置将有效的推动信息安全教育(EDUCAUSE2014andLoveland2011)。
各种以信息安全为主题的动手实验焦点主要在于桌面环境,无论是物理的还是虚拟的,只能在内部隔离的实验室环境中实现(Whitmanetal.2014;Trabelsietal.2013;TrabelsiandAlketbi2013;Trabelsi2011;Vigna2003a,b;YuanandZhong2008;Caltagironeetal.2006;Hilletal.2001,andTrabelsiandMustafa2014)。
近日,计算领域正在发生变化,占主导地位的计算平台正在渐渐演变成移动设备(AndrusandNieh2012)。
尽管如此,真实世界的约束与移动设备的运行环境与传统的基于桌面的实验室环境完全不同。
因此,学生在这个流行和普及着有关信息安全教育全新的实验和方法的环境中学习是非常重要的(AndrusandNieh2012)。
事实上,在过去的十年中,移动设备在个人和商务用途方面的使用爆炸了。
近年来,智能移动设备(谷歌,基于Android系统的智能手机和平板电脑)的到来以及移动应用程序(称为应用程序)的蓬勃发展都只是加速了这一趋势(Bhattacharyaetal.2014)。
移动设备已经因此变成强大的通用计算平台。
越来越多的用户和企业使用移动设备处理个人、金融和商业数据,或用它们来安排自己的工作和私人生活。
特别是,在学术环境中,越来越多的学生因个人和学业的原因开始使用移动设备(LevineandKossuth2011)。
因此,移动设备正以一个巨大的阵列扩散到大学校园。
随着智能移动设备在学生群体中变的越来越流行,新的教育活动和工具,以及学习方法能够发展到这一流行的移动设备中并从中获益(如可流动性的与贴近学生的日常生活)。
因此,信息安全概念的教学应该反映当前计算平台远离桌面亲近移动设备的潮流。
随着实际动手操作的学习方法在信息安全教育方面越来越重要,以及伴随着移动平台在学生社区中的越来越普及,本文试图探索一种学习方法,旨在利用移动设备的优点和采取学习信息安全的最佳做法,以及促进学生的兴趣,提高他们的自我效能感。
所提出的学习方法是提供两个Android应用程序,让学生进一步学习网络流量的过滤,并增强他们在防火墙过滤规则执行方面的动手能力。
该应用程序允许学生在传统实验室以外,即现实环境中的任何时间,任何地点,进一步实践对网络流量的过滤。
这两个Android应用一个是防火墙的应用程序,一个是网络数据包生成器应用程序,也就是所谓的高级防火墙和数据包生成器。
这样一来,将不受传统的实验室时间的限制还可以贴近现实社会,学生将能够在他们方便的时候,继续使用他们的移动设备进一步进行数据包过滤。
本文的结构如下:
第2节讨论Android学习方法的主要特征。
第3节讨论防火墙学习活动的各个阶段。
第4节介绍Android防火墙应用程序设计的注意事项。
第5节讨论应用程序学习方法的细节。
第6节讨论相关的Android应用程序的优点与局限。
第7节讨论应用程序对学生表现的影响。
第8节总结学生的反馈。
最后,第9节总结全文。
第2章学习方法的特点
实践学习的重要性早已在学习理论文献中被确认(Duetal.2010)。
在传统的信息安全方案中,学生被期望要积极的参与动手实验活动。
因此,建议的学习方法第一个特点是它的动手学习。
安全策略分析与保护解决方案的做法是由在Android移动设备中为特定的安全策略实施和测试相应的防火墙过滤规则所组成的。
学习方法的第二个特征是其与现实相关的学习。
移动设备本身比其他现有的学习平台变得与真实世界更加相关。
因此,除了在实验室内部活动,还应鼓励学生在现实世界环境中使用其移动设备测试、调试他们的防火墙过滤规则。
第三,开发教育应用程序选择Android平台超过iOS平台有以下几个原因。
首先,Android是至今增长最快的移动平台(AndrusandNieh2012andGuoetal.2013),它的普及深受广大学生的喜爱。
其次,Android平台是开源的,而苹果iOS平台有许可限制。
此外,由于Android是基于开源的Linux内核,学生可以充分利用丰富的Linux工具和文档。
也就是说,Android允许探索一个完整的生产系统,包括操作系统内核,用户空间库和用Java编写的图形用户环境。
第三,作为一个商业平台,Android继续发展和完善的过程,自然演变的平台作为一种教学工具,也可以让学生在现代语境中学习。
第3章防火墙学习活动的各个阶段
采用教授防火墙的教学模式包含两个主要阶段。
在第一阶段,在对防火墙动手实验活动期间,教师要求学生讨论和分析一系列与安全策略相关的网络通信场景。
然后,教师要求学生写一个与安全策略相应的过滤规则。
学生则按照指示执行,采用经典防火墙设备和有线或无线局域网络测试他们的过滤规则。
在第二阶段中,学生被一步一步的教程指导如何在他们的移动设备上实施测试他们的防火墙过滤规则。
事实上,除了实验室内部活动,学生还被要求在现实环境中使用他们的移动设备进行测试和调试他们的防火墙过滤规则。
这将有助于学生从动手实践中及时获得快乐和信心,并鼓励他们创建自己的过滤规则来过滤现实世界中的网络流量。
这样不仅有利于学生学习网络流量过滤技术,而且对他们在现实世界中对防火墙概念的认识与理解都有好处。
第4章设计注意事项
防火墙基于一组过滤规则来控制计算机与网络之间的交互,反映和执行组织的安全策略。
这就是防火墙的工作,使每一个数据包跨越它过滤的决定:
要么让它通过,或者放弃它。
防火墙和网络数据包筛选被认为是一门关于网络安全的重要课题。
当提及关于防火墙的安全课题时就必须提及基本的网络数据包过滤这个主题,即基本的网络数据包过滤,通用的标准服务过滤和非标准服务的过滤。
当然也有一些先进的网络数据包过滤的话题,例如,TCP标志位状态包过滤防火墙、数据包深度检测(DPI)也被称为数据包内容检测和一致性验证的过滤规则。
理想情况下,在教育中设计和实施防火墙应用程序时上述基本和高级主题应当被考虑,用以帮助学生提高他们在防火墙配置和网络数据包过滤中的动手安全技能。
此外,教育防火墙应用程序应该提供友好的GUI界面,让学生轻松地创建和操纵过滤规则,包括更新过滤规则字段的值和过滤规则的顺序。
学生也应该使用相应的方法来测试和调试、执行过滤规则,并应利用移动设备的优势在真实世界的相关环境中学习。
第5章Android应用
提倡的Android学习方法,即采用先进的防火墙和数据包生成器应用程序,如图1。
高级防火墙应用程序允许实施的过滤规则,或从一组预定义的规则中选择规则来过滤网络通信的类型和因特网服务的多样性。
数据包生成程序是用来产生特定的网络流量,以测试相对于传出和传入的网络流量的实施过滤规则的效率。
同时使用应用程序,让学生独自在实验室之外的环境练习防火墙过滤规则的实施测试和调试。
因此,除了实验室内部活动外,学生将得到进一步的机会,使用他们的Android移动设备来提高自己的在防火墙上的动手安全技能。
下面的子部分描述了两个应用程序。
5.1高级防火墙应用程序
高级防火墙应用程序提供了一组基本的防火墙功能,允许执行以下操作:
●实现基本的过滤规则来过滤TCP和UDP网络流量。
过滤规则是通过将源/目的IP地址和源/目的端口的值来定义。
●实现基本的过滤规则来过滤ICMP网络流量。
过滤规则是通过将源/目的IP地址和ICMP/代码字段的值定义。
●从预定义的规则列表中选择规则来过滤标准互联网服务,如Web,电子邮件(SMTP/POP3)和FTP。
●实现过滤规则来过滤非标准的TCP和UDP服务。
●查看日志过滤网络数据包的数据。
当前版本的高级防火墙应用程序的不包括高级防火墙的话题,如使用TCP标志,DPI状态包过滤防火墙的应用网关防火墙(代理)和虚拟专用网络(VPN)。
未来版本的高级防火墙应用程序将包括更多的教育防火墙功能,以覆盖这些高级主题。
以下小节将详细描述高级防火墙应用程序目前主要的基本安全功能。
图1Android应用程序的学习方法
5.1.1基本包过滤
基本包过滤防火墙是在数据通过网络接口时选择性的传递数据包或阻止传递数据包。
最常用的标准是检查数据包包过滤使用的源和目的IP地址,源和目的TCP/UDP端口,类型和代码字段在ICMP报头(Northcuttetal.2005)。
防火墙的用户需要有关于TCP/IP协议和互联网服务的基本知识,以便能够创造适当的规则来过滤特定的网络流量。
5.1.2对于标准的互联网服务预定义的过滤规则
标准的互联网服务通常运行在标准的端口上。
标准端口的范围是在1至1023。
例如,网络(HTTP)和FTP服务的标准端口是80和21。
防火墙通常包括预定义的规则来过滤标准服务。
防火墙用户可以从预定义的规则列中选择互联网服务相应的规则来过滤网络流量。
然而,与书写基本过滤规则相比,防火墙用户需要有一般互联网服务的知识,要能够选择每个具体的互联网服务相应的预定义过滤规则。
5.1.3非标准服务过滤
非标准服务运行在非标准端口上。
非标准的端口号通常比1023要大。
防火墙无法过滤非标准服务,除非用户提供防火墙与TCP或非标准服务的UDP端口来进行过滤。
在实践中,这是通过为非标准服务创建一个新的服务配置文件,并指定其相应的TCP或UDP端口号来实现的。
5.1.4应用程序的实现
高级防火墙应用程序是借助EclipseIDE用Java语言编写的。
该应用程序是可通过谷歌Play商店免费下载(
要过滤网络流量,用户既可以从一组预定义的过滤规则中选择过滤规则或创建新的过滤规则。
图3展示出高级防火墙应用程序提供的预定义过滤规则用来过滤Ping交通和Web、FTP、DNS、电子邮件、Telnet服务。
作为一个例子,图4展示了一个预定义选项的和用户可创建的过滤规则的列表。
5.2数据包生成器应用程序
所提出的学习平台还采用了网络数据包生成器应用程序(数据包生成器),用于生成特定的网络流量来测试Android移动设备上实现过滤规则的效率和正确性。
事实上,这个程序开发背后的目标是让一个学生来测试他的移动设备输出网络流量所实施过滤规则。
然而,为了测试输入网络信息流通量的过滤规则,数据包生成程序应当被安装成可以从中产生网络测试流量的另一种移动设备。
数据包生成器还可通过生成网络流量速率的方式来测试拒绝服务(DoS)攻击流量目标主机(Trabelsietal.2013)的应变能力。
图2高级防火墙应用程序的主要用户界面
图3由高级防火墙应用程序提供的预定义过滤规则
图4可选规则和用户自定义过滤规则列表
5.2.1应用程序的实现
数据包生成器应用程序是使用Java语言写在EclipseIDE中书写的。
该应用程序可从谷歌Play商店免费下载(
使用友好的GUI界面,应用程序允许Android移动设备的用户指定要产生的网络流量的类型(例如,TCP,UDP或ICMP)。
实际上,TCP和UDP网络通信,该应用为用户提供了选项,来指定目标主机和一个随机或特定的TCP或UDP端口号的IP地址。
对于ICMP网络通信,应用程序为用户提供了选项来指定目标主机和ICMP类型和代码字段值的IP地址。
对于任何网络通信的类型,用户可以选择要生成的流量的速率(即,每秒的数据包的数量),以及确定是否所期望的业务将被连续发送。
此外,对于ICMP流量,用户可以选择淹没目标主机。
在这种情况下,大量的流量将被以该移动设备可以支持的最高可能的速率发送。
一般情况下,数据包生成器应用程序泛滥选项允许测试目标主机对DoS攻击流量的韧性。
5.2.2使用数据包生成器应用程序产生DoS攻击
DoS攻击的话题被认为是对网络安全的课程最主要的议题之一,特别是对于课程所关心的网络入侵和网络恶意活动的检测和预防。
通常,DoS攻击企图导致系统无法使用或通过合法用户的身份导致资源显著超载以降低系统性能,使得没有人可以访问它。
DoS攻击可以针对用户,阻止他在网络上传出连接。
DoS攻击也可以针对整个组织,限制特定的网络服务传出流量和传入流量。
DoS攻击实现获得目标系统的管理权限比远程操控更加容易。
正因为如此,DoS攻击在互联网上变得非常普遍。
大多数的DoS攻击依赖于TCP/IP协议的缺陷。
例如,当主机变得不堪重负发生SYN泛洪DoS攻击,通过SYN包发起未完成的连接请求,它就再也不能处理合法的连接请求。
在信息安全教育方面,DoS攻击动手实验练习中通常允许学生学习DoS攻击流量的生成和实施相应的防御方案。
实际上,学生可以利用网络数据包生成工具来生成DoS攻击流量。
但是,不建议使用由黑客或不可信来源开发DOS工具,因为这些工具可能携带病毒和恶意代码。
下面截图中是关于如何使用数据包生成器应用程序来产生常见的DoS攻击的多样性的实例。
图5展示如何在一台主机IP地址是192.168.1.1,以每秒3000包的速率生成针对80端口的连续TCP报文。
图6展示了如何在一台IP地址为192.168.1.1主机目标随机端口,在一秒钟内产生1000UDP数据包。
图7展示如何使用最高流量速率生成的移动设备淹没IP地址为192.168.1.1与ICMP数据包的目标主机。
图5TCP包生成实例
图6UDP数据包生成实例
图7ICMP洪水流量的生成
第6章相关的Android防火墙应用程序
开发Android防火墙应用程序本身并不是一个新的想法,因为有许多Android应用程序可充当防火墙。
在谷歌Play商店,13种Android的防火墙应用程序已经确定,即NOROOT防火墙,DroidWall,Android的防火墙,根防火墙,Mobiwol防火墙,防火墙生成器,Honeybadger防火墙交通防火墙,防火墙+,IP欺骗检测和防火墙,NOROOT防火墙,AFWall+,防火墙黄金,LostNetNOROOT防火墙。
表1总结了这些Android应用程序防火墙的功能,尤其是他们让用户轻松自由地实现和操作防火墙过滤规则,以及它们的局限性和优势。
此外,表1对上述提到的这些高级防火墙应用程序进行了比较。
这些应用程序的分析结果是:
它们的设计几乎没有任何教育目标也没有提供限制内的防火墙功能来创建和操作过滤规则。
此外,使用一些应用程序是复杂的,通常需要网络概念和协议的高级知识。
例如,Android防火墙和防火墙助洗剂允许用户在脚本语法输入他/她的定制过滤规则。
此外,一些应用程序的GUI界面不允许实现过滤规则的友好查看。
有许多应用程序不允许查看过滤网络分组的日志数据,如DroidWall,Android的防火墙,防火墙根,防火墙生成器,流量防火墙,防火墙加,IP欺骗检测和防火墙,防火墙黄金和LostNetNOROOT防火墙。
其他应用程序不允许自由操控过滤规则。
例如,对于过滤TCP和UDP数据包,许多应用程序不允许设置源和目标IP地址,和/或源和目的地端口(DroidWall,Android的防火墙,防火墙根,Mobiwal防火墙,流量防火墙,防火墙+,IP欺骗检测和防火墙,AFWall+,防火墙黄金,LostNetNOROOT防火墙)。
对于过滤ICMP流量,调查的所有Android应用程序防火墙不允许设置ICMP类型和代码字段。
另一方面,调查中大多数的应用程序主要集中于安装在移动设备中需要访问互联网的其他应用。
也就是说,用户可以仅允许或拒绝安装的应用程序访问互联网。
例如,Droidwall,根防火墙和MobiWol应用程序。
与此相反,本文提出高级防火墙的应用设计主要是用于实现教育目的,并提出了更人性化的GUI界面来实现和操作的防火墙过滤规则。
此外,先进的防火墙应用程序提供一组更全面的教育防火墙功能,即适当和有益的安全教育信息。
因此,相对于被调查的13种Android的防火墙应用程序,高级防火墙应用程序较为充足的实现对防火墙的包过滤动手实验练习,让学生更好地剖析现实环境中和外部实验室活动中防火墙的概念,因此进一步增强了学生的防火墙动手能力。
表1相关的Android应用程序防火墙的功能
第7章学生的表现
7.1评估方法
为了评估课程学习成果,我校遵循一个全面的评估和评价制度(Ibrahimetal.2015)。
该评估系统由基于ABET指导三个主要过程组成(Sanderson2009)。
在较低的水平,这个课程评估过程是用于测量课程成果(COs)。
COs所描述的知识、技能和能力,就是学生应具备或在课程结束后能够展示的。
COs的评估结果将与其他程序级评估工具(例如,学生调查,退出考试,离职面谈等)相结合来衡量学生学习成就(SOs)的下一个阶段。
SOs描述的是在学生毕业的时候期望学习、能会学习,其中包括认知、情感、行为、社会和伦理的表现。
第三水平阶段,程序教育目标(PEOs)的测量和评价。
PEOs描述与学生毕业后3-5年的事业战略和长期的专业成绩的声明。
在课程设置期间,每一个教师在教学过程中负责整理他/她自己那部分的评估数据并准备简单的评估报告,然后发给课程协调员。
为了尽量减少评估工作,该部分评估报告仅包括以下信息:
●学生人数。
●所使用的评估工具。
●对于每个结果实现程度的平均值和标准偏差。
●任何评估相关的言论(可选)。
双峰分布在某些情况下更适合模拟学生的表现,该工具假定学生的表现为一个正态分布,以便在不同部分,不同的评估工具产生总体CO评估的数据汇总结果。
对每个学习结果计算平均值和标准偏差,课程协调员聚集学生在使用每个评估工具的性能的表现。
我们假设每门课程c的一系列成果的Oc,一套评估工具Tc,并提供一部分Sc。
因此,对于结果ö的平均值和标准偏差的计算方法如下:
(1)
(2)
在‘s’阶段评估课程‘c’的结果‘o’时,μtsoc和σtsoc是平均值和标准偏差,αto是一个决定的评估工具t对实现成果o贡献的映射因素如
。
该课程协调员整理收到的部分评估报告,并计算课程聚合水平的评估结果。
使用平均值和标准偏差,测量在各个阶段该层次的实施结果对整个课程评估的影响,不管在每个部分中使用的评估工具。
对于每个课程c的结果o,聚集的平均值和标准偏差的计算方法如下:
(3)
(4)
其中,
是s部分学生的数量。
假设正态分布,课程c的结果o在该水平的成就被按照学生的百分比计算,得分超过预定的临界值λ,如下所示:
(5)
例如,假设μco=0.74,σco=0.093,λ=0.7,在这种情况下,学生成就水平的百分比高于λ,在这种情况下他的值是66.64%。
7.2课程学习成果的评定
在过去的三个学年中提出了两个Android应用程序已经被提供给报名参加我们网络边界控制课程(SECB358)的学生。
SECB358是一门课程,主要关注网络数据包过滤、防火墙和VPN的话题。
在SECB358课程中一个主要议题是防火墙过滤规则的执行。
关于这个话题该课程还为学生提供了一套广泛的动手练习操作。
SECB358课程有五个学习成果,如表2所示。
由于SECB358是信息安全中一门先进的课程,该成果已被从认知的三个领域(分析,综合和评价)分类和筛选。
表2相应的学习成果
在2009/2010、2010/2011和2011/2012三个学年,没有像就读于SECB358课程的学生提供这两个Android应用程序。
学生只有在校内隔离实验室环境中进行防火墙包过滤实践的机会,此外学生只允许在有限的时间来练习。
然而从2012年秋季开始,SECB358课程委员会决定向学生提供上述提到的两款Android应用程序,让学生在隔离的实验室环境之外,进一步练习防火墙包过滤的实现。
在五个Cos中(表2),Android应用程序只有对CO4课程结果有影响。
因为该应用程序关注防火墙过滤规则的实施和测试。
为了对比推出Android应用程序在CO4课程前后的成就,与防火墙过滤规则实现话题相关的四种评估工具已经选定,即两次测验,三次实验练习,两次期中问卷,和两个期末考试题。
对学生的测验成绩、实验室练习和问题进行测量,归一化,然后汇总使用
(1)和
(2)计算出的结果评估CO4的实现程度。
7.3评估结果
图8展示出了从2009/2010到2014/2015连续六个学术年的(CO4)课程结果。
它显示在2012年秋季推出几个新的防火墙过滤规实验练习和提到的Android应用程序之后,CO4课程结果实现水平有了重要改进。
评估结果表明,CO4课程在2012年秋季实现水平相较于上一学年(2011-2012)实现水平约提高了7%。
图8CO4课程结果实现程度
此外,表3详细对比了2011/2012学年和2013/2014学年CO4课程的实现水平。
它表明CO4的实现
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 外文 文献 译文