劉　凱

文章編號：1672-5913(2009)10-0139-04

摘要：本文通過對“入侵檢測技術(shù)”課程的實(shí)驗(yàn)教學(xué)的實(shí)踐、總結(jié)和研究，從“入侵檢測技術(shù)”課程的特點(diǎn)和學(xué)生需求出發(fā)，設(shè)計(jì)和選擇了該課程的一系列驗(yàn)證型、設(shè)計(jì)型和綜合型實(shí)驗(yàn)內(nèi)容，設(shè)計(jì)并實(shí)施了實(shí)驗(yàn)教學(xué)的過程，使學(xué)生在掌握課程的重要知識點(diǎn)的同時(shí)，增長自己的動手能力和實(shí)踐能力。

關(guān)鍵詞：入侵檢測技術(shù)；實(shí)驗(yàn)教學(xué)；信息安全；實(shí)踐能力

中圖分類號：G642

文獻(xiàn)標(biāo)識碼：A

1引言

目前，關(guān)于信息安全實(shí)驗(yàn)教學(xué)方面的書籍和論文已有相當(dāng)?shù)臄?shù)量。特別是近一、二年，國內(nèi)出版了近10本有關(guān)信息安全實(shí)驗(yàn)教程。但是，入侵檢測實(shí)驗(yàn)內(nèi)容所占篇幅很小，而且均是關(guān)于一些常見入侵檢測工具的使用。這些內(nèi)容對于“網(wǎng)絡(luò)安全”或“信息安全”等綜合課程中一個(gè)章節(jié)來說，應(yīng)該說基本能夠滿足要求，但是對于“入侵檢測技術(shù)”這門獨(dú)立課程來說，遠(yuǎn)不能滿足其要求。從國內(nèi)外的有關(guān)論文來看，大多是關(guān)于信息安全實(shí)驗(yàn)教學(xué)研究的，比如，信息安全專門實(shí)驗(yàn)室的建立并在其中分組進(jìn)行攻防實(shí)驗(yàn)；通過入侵、入侵分析和入侵檢測實(shí)驗(yàn)項(xiàng)目將信息安全的研究和教育相結(jié)合的，更好地提高學(xué)生參與熱情和學(xué)習(xí)效率；在不同操作系統(tǒng)下設(shè)計(jì)不同級別、不同類型的信息安全課程實(shí)驗(yàn)，并通過不同途徑評價(jià)實(shí)驗(yàn)教學(xué)的效果；建立遠(yuǎn)程在線實(shí)驗(yàn)系統(tǒng)，允許學(xué)生在任何地點(diǎn)任何時(shí)候通過互聯(lián)網(wǎng)完成信息安全的相關(guān)實(shí)驗(yàn)。這些內(nèi)容對入侵檢測的實(shí)驗(yàn)教學(xué)有很好的參考價(jià)值，但不能完全照搬過來。其原因如下：

(1) 教學(xué)對象不同。“入侵檢測技術(shù)”課程一般面向信息安全專業(yè)的大四學(xué)生。

(2) 實(shí)驗(yàn)條件不同。不同的學(xué)校在實(shí)驗(yàn)環(huán)境和實(shí)驗(yàn)條件方面差異很大。

(3) 教學(xué)目標(biāo)不同。在設(shè)置信息安全專業(yè)時(shí)，不同學(xué)校根據(jù)自身的條件和特點(diǎn)，對信息安全專業(yè)的培養(yǎng)目標(biāo)有各自的側(cè)重點(diǎn)。

(4) 課程特點(diǎn)不同。“入侵檢測技術(shù)”課程在技術(shù)性、綜合性、專業(yè)性方面特點(diǎn)顯著。

我校第一批信息安全專業(yè)學(xué)生的入校時(shí)間是2004年。“入侵檢測技術(shù)”這門課程在2007年作為大四學(xué)生必修課，共56學(xué)時(shí)，其中16學(xué)時(shí)是實(shí)驗(yàn)課。2008年作為大四的選修課，共40學(xué)時(shí)，其中8學(xué)時(shí)的實(shí)驗(yàn)課?！叭肭謾z測技術(shù)”這門課不僅對我校，對國內(nèi)其它各相關(guān)院校來說，都是一門全新的課程。在實(shí)驗(yàn)教學(xué)的形式、內(nèi)容、資料等方面不像其它經(jīng)典課程那樣有較多的選擇和較成熟的模式。2008年本人申請的校級入侵檢測技術(shù)實(shí)驗(yàn)教學(xué)的教改立項(xiàng)獲得批準(zhǔn)，對“入侵檢測技術(shù)”課程的實(shí)驗(yàn)教學(xué)方法和內(nèi)容進(jìn)行了一系列的探索和研究。本文重點(diǎn)討論“入侵檢測技術(shù)”這門課程的特點(diǎn)、從課程本身對實(shí)驗(yàn)教學(xué)的需求以及學(xué)生對實(shí)驗(yàn)教學(xué)的需求、入侵檢測實(shí)驗(yàn)教學(xué)的設(shè)計(jì)、實(shí)驗(yàn)教學(xué)效果的評價(jià)和完善機(jī)制、最后提出入侵檢測實(shí)驗(yàn)教學(xué)應(yīng)當(dāng)進(jìn)一步研究和完善的內(nèi)容。

2對實(shí)驗(yàn)教學(xué)的需求

“入侵檢測技術(shù)”這門課程主要涉及到的重要的知識點(diǎn)包括：入侵檢測的基本概念、入侵方法與手段、入侵檢測系統(tǒng)數(shù)據(jù)源、基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、檢測引擎、告警與響應(yīng)、入侵檢測系統(tǒng)的評估、入侵檢測系統(tǒng)的應(yīng)用等。其中原理性、理論性的內(nèi)容主要體現(xiàn)在入侵檢測的原理、檢測算法、評估的指標(biāo)體系等。而其它更多的內(nèi)容都體現(xiàn)在技術(shù)性、實(shí)踐性和工程性方面。從入侵檢測技術(shù)的“十五”和“十一五”規(guī)劃教材的具體內(nèi)容來看，對于高年級的信息安全專業(yè)的學(xué)生來說，學(xué)習(xí)和理解相關(guān)原理并不難，甚至通過自學(xué)也可以基本掌握。但是對于這門技術(shù)的應(yīng)用和實(shí)現(xiàn)，卻需要付出一定的努力，需要有經(jīng)驗(yàn)的老師的悉心指導(dǎo)和幫助。因此，對于“入侵檢測技術(shù)”這門課程，實(shí)驗(yàn)教學(xué)顯得尤為重要。

從教師的教學(xué)效果方面來說，入侵檢測技術(shù)的原理與實(shí)現(xiàn)涉及信息安全專業(yè)學(xué)生之前所學(xué)的若干門課程的內(nèi)容，如C語言程序設(shè)計(jì)、匯編語言程序設(shè)計(jì)、數(shù)據(jù)結(jié)構(gòu)、操作系統(tǒng)、密碼學(xué)基礎(chǔ)、網(wǎng)絡(luò)編程、人工智能、數(shù)據(jù)挖掘、網(wǎng)絡(luò)安全等。加強(qiáng)此門課程的實(shí)驗(yàn)教學(xué)，有助于學(xué)生對之前所學(xué)內(nèi)容的進(jìn)一步理解以及在信息安全專業(yè)領(lǐng)域內(nèi)的綜合應(yīng)用。

從學(xué)生方面來說，對于高年級的信息安全專業(yè)學(xué)生，已經(jīng)學(xué)習(xí)了許多本專業(yè)的基礎(chǔ)課程，不僅要修計(jì)算機(jī)方面基礎(chǔ)課程，同時(shí)還要修信息安全方面的基礎(chǔ)課程，學(xué)生的學(xué)業(yè)負(fù)擔(dān)比其它專業(yè)學(xué)生相對要重一些。一般到了大四階段，學(xué)生對于理論性的、原理性的內(nèi)容有一種疲勞感、排斥感，這時(shí)設(shè)計(jì)科學(xué)合理的實(shí)驗(yàn)教學(xué)對學(xué)生來說更有吸引力。此外，在這個(gè)特殊的時(shí)間段上，學(xué)生很快要面臨畢業(yè)設(shè)計(jì)和求職就業(yè)，學(xué)生更愿意通過一系列實(shí)驗(yàn)練習(xí)來提高自己的動手能力和工程能力，以便更容易、更自然地過渡到畢業(yè)設(shè)計(jì)和實(shí)際工作階段。因而學(xué)生從心理上更愿意接受和完成實(shí)驗(yàn)教學(xué)所設(shè)計(jì)的內(nèi)容。

從未來工作所面臨的挑戰(zhàn)來看，對一名工科畢業(yè)生來說，其核心競爭力充分體現(xiàn)在三個(gè)方面：

(1) 具有工程實(shí)踐所需的綜合知識；

(2) 具有工程實(shí)踐所需的能力；

(3) 具有工程實(shí)踐所需的人文素養(yǎng)。

這種核心競爭力的提高應(yīng)該落實(shí)到整個(gè)專業(yè)教育的實(shí)施過程中，而科學(xué)合理的實(shí)驗(yàn)教學(xué)對上述能力的培養(yǎng)起到至關(guān)重要的作用。入侵檢測技術(shù)實(shí)驗(yàn)教學(xué)就是要讓學(xué)生將已學(xué)知識在專業(yè)領(lǐng)域內(nèi)進(jìn)行綜合應(yīng)用、通過一系列實(shí)驗(yàn)增強(qiáng)他們的動手能力和實(shí)戰(zhàn)能力、通過實(shí)驗(yàn)過程中的相互配合增強(qiáng)他們的協(xié)作能力和溝通能力。

3設(shè)計(jì)和實(shí)施

3.1知識點(diǎn)構(gòu)成

圖1可以清晰地表明入侵檢測技術(shù)的重要知識點(diǎn)的構(gòu)成。該圖表達(dá)的含義如下：

(1) 入侵檢測的概念。入侵檢測是對入侵前、入侵中和入侵后三個(gè)階段發(fā)生的入侵進(jìn)行識別的過程。

(2) 入侵檢測的數(shù)據(jù)源。主要包括主機(jī)數(shù)據(jù)(系統(tǒng)日志、審計(jì)數(shù)據(jù)、應(yīng)用日志等)、網(wǎng)絡(luò)數(shù)據(jù)(網(wǎng)絡(luò)數(shù)據(jù)包)、其它數(shù)據(jù)(網(wǎng)絡(luò)設(shè)備及其它安全產(chǎn)品的信息等)

(3) 檢測方法。檢測方法包括誤用檢測、異常檢測和其它檢測方法。

(4) 入侵檢測系統(tǒng)。三維坐標(biāo)系中的交點(diǎn)、及部分交點(diǎn)集合構(gòu)成了不同的入侵檢測系統(tǒng)。如基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、分布式入侵檢測系統(tǒng)。

(5) 檢測功能。三維坐標(biāo)系中的交點(diǎn)、及部分交點(diǎn)集合還反映出入侵檢測系統(tǒng)的檢測功能：針對入侵征兆(入侵前)的檢測、針對正在進(jìn)行中的入侵(入侵中)的檢測、針對入侵結(jié)果(入侵后)的檢測。

理清這些重要的知識點(diǎn)，并讓學(xué)生牢記圖1以及其所表達(dá)的含義，可以對實(shí)驗(yàn)教學(xué)效果產(chǎn)生良好的促進(jìn)作用。同時(shí)，也會幫助教師科學(xué)合理地進(jìn)行實(shí)驗(yàn)教學(xué)內(nèi)容的選擇和設(shè)計(jì)。

3.2實(shí)驗(yàn)內(nèi)容選擇和設(shè)計(jì)

為了兼顧對學(xué)生各種技能的培養(yǎng)，平衡實(shí)驗(yàn)深度和廣度的關(guān)系，加大對重要知識點(diǎn)的覆蓋范圍，同時(shí)還考慮實(shí)驗(yàn)許可條件，共設(shè)計(jì)了三種類型的實(shí)驗(yàn)：驗(yàn)證型、設(shè)計(jì)型和綜合型。所有實(shí)驗(yàn)均在Linux操作系統(tǒng)下進(jìn)行， 硬件環(huán)境為個(gè)人計(jì)算機(jī)或簡單的局域網(wǎng)。

(1) 驗(yàn)證型實(shí)驗(yàn)

驗(yàn)證型實(shí)驗(yàn)主要讓學(xué)生通過對現(xiàn)有的軟件工具，下載、安裝、配置和使用，熟練掌握Linux操作系統(tǒng)下與入侵檢測相關(guān)的應(yīng)用軟件的安裝配置，了解和掌握相關(guān)應(yīng)用軟件的功能和使用。驗(yàn)證型實(shí)驗(yàn)對入侵檢測主要知識點(diǎn)的覆蓋面要更廣一些。主要包括如下內(nèi)容：

① 攻擊實(shí)驗(yàn)。學(xué)生利用一些攻擊類工具完成一些可能的攻擊。一方面使學(xué)生了解和掌握不同的攻擊的原理、攻擊過程和方式，加深對入侵檢測的必要性的理解；另一方面，為以后進(jìn)行綜合實(shí)驗(yàn)時(shí)建立攻擊環(huán)境打下基礎(chǔ)。學(xué)生可以分組分別實(shí)現(xiàn)不同類的攻擊：漏洞掃描、口令破解、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、SQL Injection攻擊等等。

[2] Lindskog, Stefan, Lindqvist, et al. IT Security Research and Education in Synergy[C]. In Proceedings of the 1st World Conference on Information Security Education, Stockholm, Sweden, 1999.

[3] Wenliang Du, Zhouxuan Teng, Ronghua Wang. SEED: a suite of instructional laboratories for computer security education [J]. SIGCSE 2007: 486-490.

[4] Hu J., Meinel C., Schmitt M. Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education [J]. SIGCSE 2004: 412-416.

[5] 陳華,章啟成,周玉霞,等. 工科學(xué)生大工程意識的培養(yǎng)與素質(zhì)拓展[J].南京工程學(xué)院學(xué)報(bào):社會科技版,2008,8(1):36-40.

[6] 薛靜鋒,祝烈煌,閻慧. 入侵檢測技術(shù)[M]. 北京:人民郵電出版社,2007.

Design and Research of Intrusion Detection Technology Courses Experiment Teaching

LIU Kai

(College of Information Management , Beijing Information Sci. &Tech. University, Beijing 100101, China)

Abstract: Based on the practice, summary and study of experiment teaching of intrusion detection technology courses, and from the courses characteristics and the students demand, this paper presents the design and choice of a series of laboratory exercise including three different types: validation , design and comprehensive type . The paper describes the experiment teaching process that makes students master the important points of knowledge, and at the same time, enhances their practical ability and engineering practice ability.

Key words: Intrusion Detection Technology; experiment teaching; information security; practice ability