劉　凱

文章編號：1672-5913(2009)10-0139-04

摘要：本文通過對“入侵檢測技術(shù)”課程的實驗教學(xué)的實踐、總結(jié)和研究，從“入侵檢測技術(shù)”課程的特點和學(xué)生需求出發(fā)，設(shè)計和選擇了該課程的一系列驗證型、設(shè)計型和綜合型實驗內(nèi)容，設(shè)計并實施了實驗教學(xué)的過程，使學(xué)生在掌握課程的重要知識點的同時，增長自己的動手能力和實踐能力。

關(guān)鍵詞：入侵檢測技術(shù)；實驗教學(xué)；信息安全；實踐能力

中圖分類號：G642

文獻(xiàn)標(biāo)識碼：A

1引言

目前，關(guān)于信息安全實驗教學(xué)方面的書籍和論文已有相當(dāng)?shù)臄?shù)量。特別是近一、二年，國內(nèi)出版了近10本有關(guān)信息安全實驗教程。但是，入侵檢測實驗內(nèi)容所占篇幅很小，而且均是關(guān)于一些常見入侵檢測工具的使用。這些內(nèi)容對于“網(wǎng)絡(luò)安全”或“信息安全”等綜合課程中一個章節(jié)來說，應(yīng)該說基本能夠滿足要求，但是對于“入侵檢測技術(shù)”這門獨立課程來說，遠(yuǎn)不能滿足其要求。從國內(nèi)外的有關(guān)論文來看，大多是關(guān)于信息安全實驗教學(xué)研究的，比如，信息安全專門實驗室的建立并在其中分組進(jìn)行攻防實驗；通過入侵、入侵分析和入侵檢測實驗項目將信息安全的研究和教育相結(jié)合的，更好地提高學(xué)生參與熱情和學(xué)習(xí)效率；在不同操作系統(tǒng)下設(shè)計不同級別、不同類型的信息安全課程實驗，并通過不同途徑評價實驗教學(xué)的效果；建立遠(yuǎn)程在線實驗系統(tǒng)，允許學(xué)生在任何地點任何時候通過互聯(lián)網(wǎng)完成信息安全的相關(guān)實驗。這些內(nèi)容對入侵檢測的實驗教學(xué)有很好的參考價值，但不能完全照搬過來。其原因如下：

(1) 教學(xué)對象不同?！叭肭謾z測技術(shù)”課程一般面向信息安全專業(yè)的大四學(xué)生。

(2) 實驗條件不同。不同的學(xué)校在實驗環(huán)境和實驗條件方面差異很大。

(3) 教學(xué)目標(biāo)不同。在設(shè)置信息安全專業(yè)時，不同學(xué)校根據(jù)自身的條件和特點，對信息安全專業(yè)的培養(yǎng)目標(biāo)有各自的側(cè)重點。

(4) 課程特點不同。“入侵檢測技術(shù)”課程在技術(shù)性、綜合性、專業(yè)性方面特點顯著。

我校第一批信息安全專業(yè)學(xué)生的入校時間是2004年。“入侵檢測技術(shù)”這門課程在2007年作為大四學(xué)生必修課，共56學(xué)時，其中16學(xué)時是實驗課。2008年作為大四的選修課，共40學(xué)時，其中8學(xué)時的實驗課。“入侵檢測技術(shù)”這門課不僅對我校，對國內(nèi)其它各相關(guān)院校來說，都是一門全新的課程。在實驗教學(xué)的形式、內(nèi)容、資料等方面不像其它經(jīng)典課程那樣有較多的選擇和較成熟的模式。2008年本人申請的校級入侵檢測技術(shù)實驗教學(xué)的教改立項獲得批準(zhǔn)，對“入侵檢測技術(shù)”課程的實驗教學(xué)方法和內(nèi)容進(jìn)行了一系列的探索和研究。本文重點討論“入侵檢測技術(shù)”這門課程的特點、從課程本身對實驗教學(xué)的需求以及學(xué)生對實驗教學(xué)的需求、入侵檢測實驗教學(xué)的設(shè)計、實驗教學(xué)效果的評價和完善機(jī)制、最后提出入侵檢測實驗教學(xué)應(yīng)當(dāng)進(jìn)一步研究和完善的內(nèi)容。

2對實驗教學(xué)的需求

“入侵檢測技術(shù)”這門課程主要涉及到的重要的知識點包括：入侵檢測的基本概念、入侵方法與手段、入侵檢測系統(tǒng)數(shù)據(jù)源、基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、檢測引擎、告警與響應(yīng)、入侵檢測系統(tǒng)的評估、入侵檢測系統(tǒng)的應(yīng)用等。其中原理性、理論性的內(nèi)容主要體現(xiàn)在入侵檢測的原理、檢測算法、評估的指標(biāo)體系等。而其它更多的內(nèi)容都體現(xiàn)在技術(shù)性、實踐性和工程性方面。從入侵檢測技術(shù)的“十五”和“十一五”規(guī)劃教材的具體內(nèi)容來看，對于高年級的信息安全專業(yè)的學(xué)生來說，學(xué)習(xí)和理解相關(guān)原理并不難，甚至通過自學(xué)也可以基本掌握。但是對于這門技術(shù)的應(yīng)用和實現(xiàn)，卻需要付出一定的努力，需要有經(jīng)驗的老師的悉心指導(dǎo)和幫助。因此，對于“入侵檢測技術(shù)”這門課程，實驗教學(xué)顯得尤為重要。

從教師的教學(xué)效果方面來說，入侵檢測技術(shù)的原理與實現(xiàn)涉及信息安全專業(yè)學(xué)生之前所學(xué)的若干門課程的內(nèi)容，如C語言程序設(shè)計、匯編語言程序設(shè)計、數(shù)據(jù)結(jié)構(gòu)、操作系統(tǒng)、密碼學(xué)基礎(chǔ)、網(wǎng)絡(luò)編程、人工智能、數(shù)據(jù)挖掘、網(wǎng)絡(luò)安全等。加強(qiáng)此門課程的實驗教學(xué)，有助于學(xué)生對之前所學(xué)內(nèi)容的進(jìn)一步理解以及在信息安全專業(yè)領(lǐng)域內(nèi)的綜合應(yīng)用。

從學(xué)生方面來說，對于高年級的信息安全專業(yè)學(xué)生，已經(jīng)學(xué)習(xí)了許多本專業(yè)的基礎(chǔ)課程，不僅要修計算機(jī)方面基礎(chǔ)課程，同時還要修信息安全方面的基礎(chǔ)課程，學(xué)生的學(xué)業(yè)負(fù)擔(dān)比其它專業(yè)學(xué)生相對要重一些。一般到了大四階段，學(xué)生對于理論性的、原理性的內(nèi)容有一種疲勞感、排斥感，這時設(shè)計科學(xué)合理的實驗教學(xué)對學(xué)生來說更有吸引力。此外，在這個特殊的時間段上，學(xué)生很快要面臨畢業(yè)設(shè)計和求職就業(yè)，學(xué)生更愿意通過一系列實驗練習(xí)來提高自己的動手能力和工程能力，以便更容易、更自然地過渡到畢業(yè)設(shè)計和實際工作階段。因而學(xué)生從心理上更愿意接受和完成實驗教學(xué)所設(shè)計的內(nèi)容。

從未來工作所面臨的挑戰(zhàn)來看，對一名工科畢業(yè)生來說，其核心競爭力充分體現(xiàn)在三個方面：

(1) 具有工程實踐所需的綜合知識；

(2) 具有工程實踐所需的能力；

(3) 具有工程實踐所需的人文素養(yǎng)。

這種核心競爭力的提高應(yīng)該落實到整個專業(yè)教育的實施過程中，而科學(xué)合理的實驗教學(xué)對上述能力的培養(yǎng)起到至關(guān)重要的作用。入侵檢測技術(shù)實驗教學(xué)就是要讓學(xué)生將已學(xué)知識在專業(yè)領(lǐng)域內(nèi)進(jìn)行綜合應(yīng)用、通過一系列實驗增強(qiáng)他們的動手能力和實戰(zhàn)能力、通過實驗過程中的相互配合增強(qiáng)他們的協(xié)作能力和溝通能力。

3設(shè)計和實施

3.1知識點構(gòu)成

圖1可以清晰地表明入侵檢測技術(shù)的重要知識點的構(gòu)成。該圖表達(dá)的含義如下：

(1) 入侵檢測的概念。入侵檢測是對入侵前、入侵中和入侵后三個階段發(fā)生的入侵進(jìn)行識別的過程。

(2) 入侵檢測的數(shù)據(jù)源。主要包括主機(jī)數(shù)據(jù)(系統(tǒng)日志、審計數(shù)據(jù)、應(yīng)用日志等)、網(wǎng)絡(luò)數(shù)據(jù)(網(wǎng)絡(luò)數(shù)據(jù)包)、其它數(shù)據(jù)(網(wǎng)絡(luò)設(shè)備及其它安全產(chǎn)品的信息等)

(3) 檢測方法。檢測方法包括誤用檢測、異常檢測和其它檢測方法。

(4) 入侵檢測系統(tǒng)。三維坐標(biāo)系中的交點、及部分交點集合構(gòu)成了不同的入侵檢測系統(tǒng)。如基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、分布式入侵檢測系統(tǒng)。

(5) 檢測功能。三維坐標(biāo)系中的交點、及部分交點集合還反映出入侵檢測系統(tǒng)的檢測功能：針對入侵征兆(入侵前)的檢測、針對正在進(jìn)行中的入侵(入侵中)的檢測、針對入侵結(jié)果(入侵后)的檢測。

理清這些重要的知識點，并讓學(xué)生牢記圖1以及其所表達(dá)的含義，可以對實驗教學(xué)效果產(chǎn)生良好的促進(jìn)作用。同時，也會幫助教師科學(xué)合理地進(jìn)行實驗教學(xué)內(nèi)容的選擇和設(shè)計。

3.2實驗內(nèi)容選擇和設(shè)計

為了兼顧對學(xué)生各種技能的培養(yǎng)，平衡實驗深度和廣度的關(guān)系，加大對重要知識點的覆蓋范圍，同時還考慮實驗許可條件，共設(shè)計了三種類型的實驗：驗證型、設(shè)計型和綜合型。所有實驗均在Linux操作系統(tǒng)下進(jìn)行， 硬件環(huán)境為個人計算機(jī)或簡單的局域網(wǎng)。

(1) 驗證型實驗

驗證型實驗主要讓學(xué)生通過對現(xiàn)有的軟件工具，下載、安裝、配置和使用，熟練掌握Linux操作系統(tǒng)下與入侵檢測相關(guān)的應(yīng)用軟件的安裝配置，了解和掌握相關(guān)應(yīng)用軟件的功能和使用。驗證型實驗對入侵檢測主要知識點的覆蓋面要更廣一些。主要包括如下內(nèi)容：

① 攻擊實驗。學(xué)生利用一些攻擊類工具完成一些可能的攻擊。一方面使學(xué)生了解和掌握不同的攻擊的原理、攻擊過程和方式，加深對入侵檢測的必要性的理解；另一方面，為以后進(jìn)行綜合實驗時建立攻擊環(huán)境打下基礎(chǔ)。學(xué)生可以分組分別實現(xiàn)不同類的攻擊：漏洞掃描、口令破解、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、SQL Injection攻擊等等。

[2] Lindskog, Stefan, Lindqvist, et al. IT Security Research and Education in Synergy[C]. In Proceedings of the 1st World Conference on Information Security Education, Stockholm, Sweden, 1999.

[3] Wenliang Du, Zhouxuan Teng, Ronghua Wang. SEED: a suite of instructional laboratories for computer security education [J]. SIGCSE 2007: 486-490.

[4] Hu J., Meinel C., Schmitt M. Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education [J]. SIGCSE 2004: 412-416.

[5] 陳華,章啟成,周玉霞,等. 工科學(xué)生大工程意識的培養(yǎng)與素質(zhì)拓展[J].南京工程學(xué)院學(xué)報:社會科技版,2008,8(1):36-40.

[6] 薛靜鋒,祝烈煌,閻慧. 入侵檢測技術(shù)[M]. 北京:人民郵電出版社,2007.

Design and Research of Intrusion Detection Technology Courses Experiment Teaching

LIU Kai

(College of Information Management , Beijing Information Sci. &Tech. University, Beijing 100101, China)

Abstract: Based on the practice, summary and study of experiment teaching of intrusion detection technology courses, and from the courses characteristics and the students demand, this paper presents the design and choice of a series of laboratory exercise including three different types: validation , design and comprehensive type . The paper describes the experiment teaching process that makes students master the important points of knowledge, and at the same time, enhances their practical ability and engineering practice ability.

Key words: Intrusion Detection Technology; experiment teaching; information security; practice ability