“入侵檢測(cè)技術(shù)”課程實(shí)驗(yàn)教學(xué)的設(shè)計(jì)與研究

劉　凱

文章編號(hào)：1672-5913(2009)10-0139-04

摘要：本文通過(guò)對(duì)“入侵檢測(cè)技術(shù)”課程的實(shí)驗(yàn)教學(xué)的實(shí)踐、總結(jié)和研究，從“入侵檢測(cè)技術(shù)”課程的特點(diǎn)和學(xué)生需求出發(fā)，設(shè)計(jì)和選擇了該課程的一系列驗(yàn)證型、設(shè)計(jì)型和綜合型實(shí)驗(yàn)內(nèi)容，設(shè)計(jì)并實(shí)施了實(shí)驗(yàn)教學(xué)的過(guò)程，使學(xué)生在掌握課程的重要知識(shí)點(diǎn)的同時(shí)，增長(zhǎng)自己的動(dòng)手能力和實(shí)踐能力。

關(guān)鍵詞：入侵檢測(cè)技術(shù)；實(shí)驗(yàn)教學(xué)；信息安全；實(shí)踐能力

中圖分類(lèi)號(hào)：G642

文獻(xiàn)標(biāo)識(shí)碼：A

1引言

目前，關(guān)于信息安全實(shí)驗(yàn)教學(xué)方面的書(shū)籍和論文已有相當(dāng)?shù)臄?shù)量。特別是近一、二年，國(guó)內(nèi)出版了近10本有關(guān)信息安全實(shí)驗(yàn)教程。但是，入侵檢測(cè)實(shí)驗(yàn)內(nèi)容所占篇幅很小，而且均是關(guān)于一些常見(jiàn)入侵檢測(cè)工具的使用。這些內(nèi)容對(duì)于“網(wǎng)絡(luò)安全”或“信息安全”等綜合課程中一個(gè)章節(jié)來(lái)說(shuō)，應(yīng)該說(shuō)基本能夠滿(mǎn)足要求，但是對(duì)于“入侵檢測(cè)技術(shù)”這門(mén)獨(dú)立課程來(lái)說(shuō)，遠(yuǎn)不能滿(mǎn)足其要求。從國(guó)內(nèi)外的有關(guān)論文來(lái)看，大多是關(guān)于信息安全實(shí)驗(yàn)教學(xué)研究的，比如，信息安全專(zhuān)門(mén)實(shí)驗(yàn)室的建立并在其中分組進(jìn)行攻防實(shí)驗(yàn)；通過(guò)入侵、入侵分析和入侵檢測(cè)實(shí)驗(yàn)項(xiàng)目將信息安全的研究和教育相結(jié)合的，更好地提高學(xué)生參與熱情和學(xué)習(xí)效率；在不同操作系統(tǒng)下設(shè)計(jì)不同級(jí)別、不同類(lèi)型的信息安全課程實(shí)驗(yàn)，并通過(guò)不同途徑評(píng)價(jià)實(shí)驗(yàn)教學(xué)的效果；建立遠(yuǎn)程在線實(shí)驗(yàn)系統(tǒng)，允許學(xué)生在任何地點(diǎn)任何時(shí)候通過(guò)互聯(lián)網(wǎng)完成信息安全的相關(guān)實(shí)驗(yàn)。這些內(nèi)容對(duì)入侵檢測(cè)的實(shí)驗(yàn)教學(xué)有很好的參考價(jià)值，但不能完全照搬過(guò)來(lái)。其原因如下：

(1) 教學(xué)對(duì)象不同?！叭肭謾z測(cè)技術(shù)”課程一般面向信息安全專(zhuān)業(yè)的大四學(xué)生。

(2) 實(shí)驗(yàn)條件不同。不同的學(xué)校在實(shí)驗(yàn)環(huán)境和實(shí)驗(yàn)條件方面差異很大。

(3) 教學(xué)目標(biāo)不同。在設(shè)置信息安全專(zhuān)業(yè)時(shí)，不同學(xué)校根據(jù)自身的條件和特點(diǎn)，對(duì)信息安全專(zhuān)業(yè)的培養(yǎng)目標(biāo)有各自的側(cè)重點(diǎn)。

(4) 課程特點(diǎn)不同?！叭肭謾z測(cè)技術(shù)”課程在技術(shù)性、綜合性、專(zhuān)業(yè)性方面特點(diǎn)顯著。

我校第一批信息安全專(zhuān)業(yè)學(xué)生的入校時(shí)間是2004年。“入侵檢測(cè)技術(shù)”這門(mén)課程在2007年作為大四學(xué)生必修課，共56學(xué)時(shí)，其中16學(xué)時(shí)是實(shí)驗(yàn)課。2008年作為大四的選修課，共40學(xué)時(shí)，其中8學(xué)時(shí)的實(shí)驗(yàn)課?！叭肭謾z測(cè)技術(shù)”這門(mén)課不僅對(duì)我校，對(duì)國(guó)內(nèi)其它各相關(guān)院校來(lái)說(shuō)，都是一門(mén)全新的課程。在實(shí)驗(yàn)教學(xué)的形式、內(nèi)容、資料等方面不像其它經(jīng)典課程那樣有較多的選擇和較成熟的模式。2008年本人申請(qǐng)的校級(jí)入侵檢測(cè)技術(shù)實(shí)驗(yàn)教學(xué)的教改立項(xiàng)獲得批準(zhǔn)，對(duì)“入侵檢測(cè)技術(shù)”課程的實(shí)驗(yàn)教學(xué)方法和內(nèi)容進(jìn)行了一系列的探索和研究。本文重點(diǎn)討論“入侵檢測(cè)技術(shù)”這門(mén)課程的特點(diǎn)、從課程本身對(duì)實(shí)驗(yàn)教學(xué)的需求以及學(xué)生對(duì)實(shí)驗(yàn)教學(xué)的需求、入侵檢測(cè)實(shí)驗(yàn)教學(xué)的設(shè)計(jì)、實(shí)驗(yàn)教學(xué)效果的評(píng)價(jià)和完善機(jī)制、最后提出入侵檢測(cè)實(shí)驗(yàn)教學(xué)應(yīng)當(dāng)進(jìn)一步研究和完善的內(nèi)容。

2對(duì)實(shí)驗(yàn)教學(xué)的需求

“入侵檢測(cè)技術(shù)”這門(mén)課程主要涉及到的重要的知識(shí)點(diǎn)包括：入侵檢測(cè)的基本概念、入侵方法與手段、入侵檢測(cè)系統(tǒng)數(shù)據(jù)源、基于主機(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)、檢測(cè)引擎、告警與響應(yīng)、入侵檢測(cè)系統(tǒng)的評(píng)估、入侵檢測(cè)系統(tǒng)的應(yīng)用等。其中原理性、理論性的內(nèi)容主要體現(xiàn)在入侵檢測(cè)的原理、檢測(cè)算法、評(píng)估的指標(biāo)體系等。而其它更多的內(nèi)容都體現(xiàn)在技術(shù)性、實(shí)踐性和工程性方面。從入侵檢測(cè)技術(shù)的“十五”和“十一五”規(guī)劃教材的具體內(nèi)容來(lái)看，對(duì)于高年級(jí)的信息安全專(zhuān)業(yè)的學(xué)生來(lái)說(shuō)，學(xué)習(xí)和理解相關(guān)原理并不難，甚至通過(guò)自學(xué)也可以基本掌握。但是對(duì)于這門(mén)技術(shù)的應(yīng)用和實(shí)現(xiàn)，卻需要付出一定的努力，需要有經(jīng)驗(yàn)的老師的悉心指導(dǎo)和幫助。因此，對(duì)于“入侵檢測(cè)技術(shù)”這門(mén)課程，實(shí)驗(yàn)教學(xué)顯得尤為重要。

從教師的教學(xué)效果方面來(lái)說(shuō)，入侵檢測(cè)技術(shù)的原理與實(shí)現(xiàn)涉及信息安全專(zhuān)業(yè)學(xué)生之前所學(xué)的若干門(mén)課程的內(nèi)容，如C語(yǔ)言程序設(shè)計(jì)、匯編語(yǔ)言程序設(shè)計(jì)、數(shù)據(jù)結(jié)構(gòu)、操作系統(tǒng)、密碼學(xué)基礎(chǔ)、網(wǎng)絡(luò)編程、人工智能、數(shù)據(jù)挖掘、網(wǎng)絡(luò)安全等。加強(qiáng)此門(mén)課程的實(shí)驗(yàn)教學(xué)，有助于學(xué)生對(duì)之前所學(xué)內(nèi)容的進(jìn)一步理解以及在信息安全專(zhuān)業(yè)領(lǐng)域內(nèi)的綜合應(yīng)用。

從學(xué)生方面來(lái)說(shuō)，對(duì)于高年級(jí)的信息安全專(zhuān)業(yè)學(xué)生，已經(jīng)學(xué)習(xí)了許多本專(zhuān)業(yè)的基礎(chǔ)課程，不僅要修計(jì)算機(jī)方面基礎(chǔ)課程，同時(shí)還要修信息安全方面的基礎(chǔ)課程，學(xué)生的學(xué)業(yè)負(fù)擔(dān)比其它專(zhuān)業(yè)學(xué)生相對(duì)要重一些。一般到了大四階段，學(xué)生對(duì)于理論性的、原理性的內(nèi)容有一種疲勞感、排斥感，這時(shí)設(shè)計(jì)科學(xué)合理的實(shí)驗(yàn)教學(xué)對(duì)學(xué)生來(lái)說(shuō)更有吸引力。此外，在這個(gè)特殊的時(shí)間段上，學(xué)生很快要面臨畢業(yè)設(shè)計(jì)和求職就業(yè)，學(xué)生更愿意通過(guò)一系列實(shí)驗(yàn)練習(xí)來(lái)提高自己的動(dòng)手能力和工程能力，以便更容易、更自然地過(guò)渡到畢業(yè)設(shè)計(jì)和實(shí)際工作階段。因而學(xué)生從心理上更愿意接受和完成實(shí)驗(yàn)教學(xué)所設(shè)計(jì)的內(nèi)容。

從未來(lái)工作所面臨的挑戰(zhàn)來(lái)看，對(duì)一名工科畢業(yè)生來(lái)說(shuō)，其核心競(jìng)爭(zhēng)力充分體現(xiàn)在三個(gè)方面：

(1) 具有工程實(shí)踐所需的綜合知識(shí)；

(2) 具有工程實(shí)踐所需的能力；

(3) 具有工程實(shí)踐所需的人文素養(yǎng)。

這種核心競(jìng)爭(zhēng)力的提高應(yīng)該落實(shí)到整個(gè)專(zhuān)業(yè)教育的實(shí)施過(guò)程中，而科學(xué)合理的實(shí)驗(yàn)教學(xué)對(duì)上述能力的培養(yǎng)起到至關(guān)重要的作用。入侵檢測(cè)技術(shù)實(shí)驗(yàn)教學(xué)就是要讓學(xué)生將已學(xué)知識(shí)在專(zhuān)業(yè)領(lǐng)域內(nèi)進(jìn)行綜合應(yīng)用、通過(guò)一系列實(shí)驗(yàn)增強(qiáng)他們的動(dòng)手能力和實(shí)戰(zhàn)能力、通過(guò)實(shí)驗(yàn)過(guò)程中的相互配合增強(qiáng)他們的協(xié)作能力和溝通能力。

3設(shè)計(jì)和實(shí)施

3.1知識(shí)點(diǎn)構(gòu)成

圖1可以清晰地表明入侵檢測(cè)技術(shù)的重要知識(shí)點(diǎn)的構(gòu)成。該圖表達(dá)的含義如下：

(1) 入侵檢測(cè)的概念。入侵檢測(cè)是對(duì)入侵前、入侵中和入侵后三個(gè)階段發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。

(2) 入侵檢測(cè)的數(shù)據(jù)源。主要包括主機(jī)數(shù)據(jù)(系統(tǒng)日志、審計(jì)數(shù)據(jù)、應(yīng)用日志等)、網(wǎng)絡(luò)數(shù)據(jù)(網(wǎng)絡(luò)數(shù)據(jù)包)、其它數(shù)據(jù)(網(wǎng)絡(luò)設(shè)備及其它安全產(chǎn)品的信息等)

(3) 檢測(cè)方法。檢測(cè)方法包括誤用檢測(cè)、異常檢測(cè)和其它檢測(cè)方法。

(4) 入侵檢測(cè)系統(tǒng)。三維坐標(biāo)系中的交點(diǎn)、及部分交點(diǎn)集合構(gòu)成了不同的入侵檢測(cè)系統(tǒng)。如基于主機(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)、分布式入侵檢測(cè)系統(tǒng)。

(5) 檢測(cè)功能。三維坐標(biāo)系中的交點(diǎn)、及部分交點(diǎn)集合還反映出入侵檢測(cè)系統(tǒng)的檢測(cè)功能：針對(duì)入侵征兆(入侵前)的檢測(cè)、針對(duì)正在進(jìn)行中的入侵(入侵中)的檢測(cè)、針對(duì)入侵結(jié)果(入侵后)的檢測(cè)。

理清這些重要的知識(shí)點(diǎn)，并讓學(xué)生牢記圖1以及其所表達(dá)的含義，可以對(duì)實(shí)驗(yàn)教學(xué)效果產(chǎn)生良好的促進(jìn)作用。同時(shí)，也會(huì)幫助教師科學(xué)合理地進(jìn)行實(shí)驗(yàn)教學(xué)內(nèi)容的選擇和設(shè)計(jì)。

3.2實(shí)驗(yàn)內(nèi)容選擇和設(shè)計(jì)

為了兼顧對(duì)學(xué)生各種技能的培養(yǎng)，平衡實(shí)驗(yàn)深度和廣度的關(guān)系，加大對(duì)重要知識(shí)點(diǎn)的覆蓋范圍，同時(shí)還考慮實(shí)驗(yàn)許可條件，共設(shè)計(jì)了三種類(lèi)型的實(shí)驗(yàn)：驗(yàn)證型、設(shè)計(jì)型和綜合型。所有實(shí)驗(yàn)均在Linux操作系統(tǒng)下進(jìn)行， 硬件環(huán)境為個(gè)人計(jì)算機(jī)或簡(jiǎn)單的局域網(wǎng)。

(1) 驗(yàn)證型實(shí)驗(yàn)

驗(yàn)證型實(shí)驗(yàn)主要讓學(xué)生通過(guò)對(duì)現(xiàn)有的軟件工具，下載、安裝、配置和使用，熟練掌握Linux操作系統(tǒng)下與入侵檢測(cè)相關(guān)的應(yīng)用軟件的安裝配置，了解和掌握相關(guān)應(yīng)用軟件的功能和使用。驗(yàn)證型實(shí)驗(yàn)對(duì)入侵檢測(cè)主要知識(shí)點(diǎn)的覆蓋面要更廣一些。主要包括如下內(nèi)容：

① 攻擊實(shí)驗(yàn)。學(xué)生利用一些攻擊類(lèi)工具完成一些可能的攻擊。一方面使學(xué)生了解和掌握不同的攻擊的原理、攻擊過(guò)程和方式，加深對(duì)入侵檢測(cè)的必要性的理解；另一方面，為以后進(jìn)行綜合實(shí)驗(yàn)時(shí)建立攻擊環(huán)境打下基礎(chǔ)。學(xué)生可以分組分別實(shí)現(xiàn)不同類(lèi)的攻擊：漏洞掃描、口令破解、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、SQL Injection攻擊等等。

[2] Lindskog, Stefan, Lindqvist, et al. IT Security Research and Education in Synergy[C]. In Proceedings of the 1st World Conference on Information Security Education, Stockholm, Sweden, 1999.

[3] Wenliang Du, Zhouxuan Teng, Ronghua Wang. SEED: a suite of instructional laboratories for computer security education [J]. SIGCSE 2007: 486-490.

[4] Hu J., Meinel C., Schmitt M. Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education [J]. SIGCSE 2004: 412-416.

[5] 陳華,章啟成,周玉霞,等. 工科學(xué)生大工程意識(shí)的培養(yǎng)與素質(zhì)拓展[J].南京工程學(xué)院學(xué)報(bào):社會(huì)科技版,2008,8(1):36-40.

[6] 薛靜鋒,祝烈煌,閻慧. 入侵檢測(cè)技術(shù)[M]. 北京:人民郵電出版社,2007.

Design and Research of Intrusion Detection Technology Courses Experiment Teaching

LIU Kai

(College of Information Management , Beijing Information Sci. &Tech. University, Beijing 100101, China)

Abstract: Based on the practice, summary and study of experiment teaching of intrusion detection technology courses, and from the courses characteristics and the students demand, this paper presents the design and choice of a series of laboratory exercise including three different types: validation , design and comprehensive type . The paper describes the experiment teaching process that makes students master the important points of knowledge, and at the same time, enhances their practical ability and engineering practice ability.

Key words: Intrusion Detection Technology; experiment teaching; information security; practice ability