“入侵檢測技術”課程實驗教學的設計與研究

劉　凱

文章編號：1672-5913(2009)10-0139-04

摘要：本文通過對“入侵檢測技術”課程的實驗教學的實踐、總結和研究，從“入侵檢測技術”課程的特點和學生需求出發，設計和選擇了該課程的一系列驗證型、設計型和綜合型實驗內容，設計并實施了實驗教學的過程，使學生在掌握課程的重要知識點的同時，增長自己的動手能力和實踐能力。

關鍵詞：入侵檢測技術；實驗教學；信息安全；實踐能力

中圖分類號：G642

文獻標識碼：A

1引言

目前，關于信息安全實驗教學方面的書籍和論文已有相當的數量。特別是近一、二年，國內出版了近10本有關信息安全實驗教程。但是，入侵檢測實驗內容所占篇幅很小，而且均是關于一些常見入侵檢測工具的使用。這些內容對于“網絡安全”或“信息安全”等綜合課程中一個章節來說，應該說基本能夠滿足要求，但是對于“入侵檢測技術”這門獨立課程來說，遠不能滿足其要求。從國內外的有關論文來看，大多是關于信息安全實驗教學研究的，比如，信息安全專門實驗室的建立并在其中分組進行攻防實驗；通過入侵、入侵分析和入侵檢測實驗項目將信息安全的研究和教育相結合的，更好地提高學生參與熱情和學習效率；在不同操作系統下設計不同級別、不同類型的信息安全課程實驗，并通過不同途徑評價實驗教學的效果；建立遠程在線實驗系統，允許學生在任何地點任何時候通過互聯網完成信息安全的相關實驗。這些內容對入侵檢測的實驗教學有很好的參考價值，但不能完全照搬過來。其原因如下：

(1) 教學對象不同?！叭肭謾z測技術”課程一般面向信息安全專業的大四學生。

(2) 實驗條件不同。不同的學校在實驗環境和實驗條件方面差異很大。

(3) 教學目標不同。在設置信息安全專業時，不同學校根據自身的條件和特點，對信息安全專業的培養目標有各自的側重點。

(4) 課程特點不同?！叭肭謾z測技術”課程在技術性、綜合性、專業性方面特點顯著。

我校第一批信息安全專業學生的入校時間是2004年?！叭肭謾z測技術”這門課程在2007年作為大四學生必修課，共56學時，其中16學時是實驗課。2008年作為大四的選修課，共40學時，其中8學時的實驗課?！叭肭謾z測技術”這門課不僅對我校，對國內其它各相關院校來說，都是一門全新的課程。在實驗教學的形式、內容、資料等方面不像其它經典課程那樣有較多的選擇和較成熟的模式。2008年本人申請的校級入侵檢測技術實驗教學的教改立項獲得批準，對“入侵檢測技術”課程的實驗教學方法和內容進行了一系列的探索和研究。本文重點討論“入侵檢測技術”這門課程的特點、從課程本身對實驗教學的需求以及學生對實驗教學的需求、入侵檢測實驗教學的設計、實驗教學效果的評價和完善機制、最后提出入侵檢測實驗教學應當進一步研究和完善的內容。

2對實驗教學的需求

“入侵檢測技術”這門課程主要涉及到的重要的知識點包括：入侵檢測的基本概念、入侵方法與手段、入侵檢測系統數據源、基于主機的入侵檢測系統、基于網絡的入侵檢測系統、檢測引擎、告警與響應、入侵檢測系統的評估、入侵檢測系統的應用等。其中原理性、理論性的內容主要體現在入侵檢測的原理、檢測算法、評估的指標體系等。而其它更多的內容都體現在技術性、實踐性和工程性方面。從入侵檢測技術的“十五”和“十一五”規劃教材的具體內容來看，對于高年級的信息安全專業的學生來說，學習和理解相關原理并不難，甚至通過自學也可以基本掌握。但是對于這門技術的應用和實現，卻需要付出一定的努力，需要有經驗的老師的悉心指導和幫助。因此，對于“入侵檢測技術”這門課程，實驗教學顯得尤為重要。

從教師的教學效果方面來說，入侵檢測技術的原理與實現涉及信息安全專業學生之前所學的若干門課程的內容，如C語言程序設計、匯編語言程序設計、數據結構、操作系統、密碼學基礎、網絡編程、人工智能、數據挖掘、網絡安全等。加強此門課程的實驗教學，有助于學生對之前所學內容的進一步理解以及在信息安全專業領域內的綜合應用。

從學生方面來說，對于高年級的信息安全專業學生，已經學習了許多本專業的基礎課程，不僅要修計算機方面基礎課程，同時還要修信息安全方面的基礎課程，學生的學業負擔比其它專業學生相對要重一些。一般到了大四階段，學生對于理論性的、原理性的內容有一種疲勞感、排斥感，這時設計科學合理的實驗教學對學生來說更有吸引力。此外，在這個特殊的時間段上，學生很快要面臨畢業設計和求職就業，學生更愿意通過一系列實驗練習來提高自己的動手能力和工程能力，以便更容易、更自然地過渡到畢業設計和實際工作階段。因而學生從心理上更愿意接受和完成實驗教學所設計的內容。

從未來工作所面臨的挑戰來看，對一名工科畢業生來說，其核心競爭力充分體現在三個方面：

(1) 具有工程實踐所需的綜合知識；

(2) 具有工程實踐所需的能力；

(3) 具有工程實踐所需的人文素養。

這種核心競爭力的提高應該落實到整個專業教育的實施過程中，而科學合理的實驗教學對上述能力的培養起到至關重要的作用。入侵檢測技術實驗教學就是要讓學生將已學知識在專業領域內進行綜合應用、通過一系列實驗增強他們的動手能力和實戰能力、通過實驗過程中的相互配合增強他們的協作能力和溝通能力。

3設計和實施

3.1知識點構成

圖1可以清晰地表明入侵檢測技術的重要知識點的構成。該圖表達的含義如下：

(1) 入侵檢測的概念。入侵檢測是對入侵前、入侵中和入侵后三個階段發生的入侵進行識別的過程。

(2) 入侵檢測的數據源。主要包括主機數據(系統日志、審計數據、應用日志等)、網絡數據(網絡數據包)、其它數據(網絡設備及其它安全產品的信息等)

(3) 檢測方法。檢測方法包括誤用檢測、異常檢測和其它檢測方法。

(4) 入侵檢測系統。三維坐標系中的交點、及部分交點集合構成了不同的入侵檢測系統。如基于主機的入侵檢測系統、基于網絡的入侵檢測系統、分布式入侵檢測系統。

(5) 檢測功能。三維坐標系中的交點、及部分交點集合還反映出入侵檢測系統的檢測功能：針對入侵征兆(入侵前)的檢測、針對正在進行中的入侵(入侵中)的檢測、針對入侵結果(入侵后)的檢測。

理清這些重要的知識點，并讓學生牢記圖1以及其所表達的含義，可以對實驗教學效果產生良好的促進作用。同時，也會幫助教師科學合理地進行實驗教學內容的選擇和設計。

3.2實驗內容選擇和設計

為了兼顧對學生各種技能的培養，平衡實驗深度和廣度的關系，加大對重要知識點的覆蓋范圍，同時還考慮實驗許可條件，共設計了三種類型的實驗：驗證型、設計型和綜合型。所有實驗均在Linux操作系統下進行， 硬件環境為個人計算機或簡單的局域網。

(1) 驗證型實驗

驗證型實驗主要讓學生通過對現有的軟件工具，下載、安裝、配置和使用，熟練掌握Linux操作系統下與入侵檢測相關的應用軟件的安裝配置，了解和掌握相關應用軟件的功能和使用。驗證型實驗對入侵檢測主要知識點的覆蓋面要更廣一些。主要包括如下內容：

① 攻擊實驗。學生利用一些攻擊類工具完成一些可能的攻擊。一方面使學生了解和掌握不同的攻擊的原理、攻擊過程和方式，加深對入侵檢測的必要性的理解；另一方面，為以后進行綜合實驗時建立攻擊環境打下基礎。學生可以分組分別實現不同類的攻擊：漏洞掃描、口令破解、拒絕服務攻擊、緩沖區溢出攻擊、SQL Injection攻擊等等。

[2] Lindskog, Stefan, Lindqvist, et al. IT Security Research and Education in Synergy[C]. In Proceedings of the 1st World Conference on Information Security Education, Stockholm, Sweden, 1999.

[3] Wenliang Du, Zhouxuan Teng, Ronghua Wang. SEED: a suite of instructional laboratories for computer security education [J]. SIGCSE 2007: 486-490.

[4] Hu J., Meinel C., Schmitt M. Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education [J]. SIGCSE 2004: 412-416.

[5] 陳華,章啟成,周玉霞,等. 工科學生大工程意識的培養與素質拓展[J].南京工程學院學報:社會科技版,2008,8(1):36-40.

[6] 薛靜鋒,祝烈煌,閻慧. 入侵檢測技術[M]. 北京:人民郵電出版社,2007.

Design and Research of Intrusion Detection Technology Courses Experiment Teaching

LIU Kai

(College of Information Management , Beijing Information Sci. &Tech. University, Beijing 100101, China)

Abstract: Based on the practice, summary and study of experiment teaching of intrusion detection technology courses, and from the courses characteristics and the students demand, this paper presents the design and choice of a series of laboratory exercise including three different types: validation , design and comprehensive type . The paper describes the experiment teaching process that makes students master the important points of knowledge, and at the same time, enhances their practical ability and engineering practice ability.

Key words: Intrusion Detection Technology; experiment teaching; information security; practice ability