“入侵检测技术”课程实验教学的设计与研究

“入侵检测技术”课程实验教学的设计与研究

目前，关于信息安全实验教学方面的书籍和论文已有相当的数量。特别是近一、二年，国内出版了近10本有关信息安全实验教程。但是，入侵检测实验内容所占篇幅很小，而且均是关于一些常见入侵检测工具的使用。这些内容对于“网络安全”或“信息安全”等综合课程中一个章节来说，应该说基本能够满足要求，但是对于“入侵检测技术”这门独立课程来说，远不能满足其要求。从国内外的有关论文来看，大多是关于信息安全实验教学研究的，比如，信息安全专门实验室的建立并在其中分组进行攻防实验；通过入侵、入侵分析和入侵检测实验项目将信息安全的研究和教育相结合的，更好地提高学生参与热情和学习效率；在不同操作系统下设计不同级别、不同类型的信息安全课程实验，并通过不同途径评价实验教学的效果；建立远程在线实验系统，允许学生在任何地点任何时候通过互联网完成信息安全的相关实验。这些内容对入侵检测的实验教学有很好的参考价值，但不能完全照搬过来。其原因如下：

(1) 教学对象不同。“入侵检测技术”课程一般面向信息安全专业的大四学生。

(2) 实验条件不同。不同的学校在实验环境和实验条件方面差异很大。

(3) 教学目标不同。在设置信息安全专业时，不同学校根据自身的条件和特点，对信息安全专业的培养目标有各自的侧重点。

(4) 课程特点不同。“入侵检测技术”课程在技术性、综合性、专业性方面特点显著。

我校第一批信息安全专业学生的入校时间是2004年。“入侵检测技术”这门课程在2007年作为大四学生必修课，共56学时，其中16学时是实验课。2008年作为大四的选修课，共40学时，其中8学时的实验课。“入侵检测技术”这门课不仅对我校，对国内其它各相关院校来说，都是一门全新的课程。在实验教学的形式、内容、资料等方面不像其它经典课程那样有较多的选择和较成熟的模式。2008年本人申请的校级入侵检测技术实验教学的教改立项获得批准，对“入侵检测技术”课程的实验教学方法和内容进行了一系列的探索和研究。本文重点讨论“入侵检测技术”这门课程的特点、从课程本身对实验教学的需求以及学生对实验教学的需求、入侵检测实验教学的设计、实验教学效果的评价和完善机制、最后提出入侵检测实验教学应当进一步研究和完善的内容。

2对实验教学的需求

“入侵检测技术”这门课程主要涉及到的重要的知识点包括：入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源、基于主机的入侵检测系统、基于网络的入侵检测系统、检测引擎、告警与响应、入侵检测系统的评估、入侵检测系统的应用等。其中原理性、理论性的内容主要体现在入侵检测的原理、检测算

法、评估的指标体系等。而其它更多的内容都体现在技术性、实践性和工程性方面。从入侵检测技术的“十五”和“十一五”规划教材的具体内容来看，对于高年级的信息安全专业的学生来说，学习和理解相关原理并不难，甚至通过自学也可以基本掌握。但是对于这门技术的应用和实现，却需要付出一定的努力，需要有经验的老师的悉心指导和帮助。因此，对于“入侵检测技术”这门课程，实验教学显得尤为重要。

从教师的教学效果方面来说，入侵检测技术的原理与实现涉及信息安全专业学生之前所学的若干门课程的内容，如C语言程序设计、汇编语言程序设计、数据结构、操作系统、密码学基础、网络编程、人工智能、数据挖掘、网络安全等。加强此门课程的实验教学，有助于学生对之前所学内容的进一步理解以及在信息安全专业领域内的综合应用。

从学生方面来说，对于高年级的信息安全专业学生，已经学习了许多本专业的基础课程，不仅要修计算机方面基础课程，同时还要修信息安全方面的基础课程，学生的学业负担比其它专业学生相对要重一些。一般到了大四阶段，学生对于理论性的、原理性的内容有一种疲劳感、排斥感，这时设计科学合理的实验教学对学生来说更有吸引力。此外，在这个特殊的时间段上，学生很快要面临毕业设计和求职就业，学生更愿意通过一系列实验练习来提高自己的动手能力和工程能力，以便更容易、更自然地过渡到毕业设计和实际工作阶段。因而学生从心理上更愿意接受和完成实验教学所设计的内容。

从未来工作所面临的挑战来看，对一名工科毕业生来说，其核心竞争力充分体现在三个方面：

(1) 具有工程实践所需的综合知识；

(2) 具有工程实践所需的能力；

(3) 具有工程实践所需的人文素养。

这种核心竞争力的提高应该落实到整个专业教育的实施过程中，而科学合理的实验教学对上述能力的培养起到至关重要的作用。入侵检测技术实验教学就是要让学生将已学知识在专业领域内进行综合应用、通过一系列实验增强他们的动手能力和实战能力、通过实验过程中的相互配合增强他们的协作能力和沟通能力。

3设计和实施

3.1知识点构成

图1可以清晰地表明入侵检测技术的重要知识点的构成。该图表达的含义如下：

(1) 入侵检测的概念。入侵检测是对入侵前、入侵中和入侵后三个阶段发生的入侵进行识别的过程。

(2) 入侵检测的数据源。主要包括主机数据(系统日志、审计数据、应用日志等)、网络数据(网络数据包)、其它数据(网络设备及其它安全产品的信息等)

(3) 检测方法。检测方法包括误用检测、异常检测和其它检测方法。

(4) 入侵检测系统。三维坐标系中的交点、及部分交点集合构成了不同的入侵检测系统。如基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统。

(5) 检测功能。三维坐标系中的交点、及部分交点集合还反映出入侵检测系统的检测功能：针对入侵征兆(入侵前)的检测、针对正在进行中的入侵(入侵中)的检测、针对入侵结果(入侵后)的检测。

理清这些重要的知识点，并让学生牢记图1以及其所表达的含义，可以对实验教学效果产生良好的促进作用。同时，也会帮助教师科学合理地进行实验教学内容的选择和设计。

3.2实验内容选择和设计

为了兼顾对学生各种技能的培养，平衡实验深度和广度的关系，加大对重要知识点的覆盖范围，同时还考虑实验许可条件，共设计了三种类型的实验：验证型、设计型和综合型。所有实验均在Linux操作系统下进行，硬件环境为个人计算机或简单的局域网。

(1) 验证型实验

验证型实验主要让学生通过对现有的软件工具，下载、安装、配置和使用，熟练掌握Linux操作系统下与入侵检测相关的应用软件的安装配置，了解和掌握相关应用软件的功能和使用。验证型实验对入侵检测主要知识点的覆盖面要更广一些。主要包括如下内容：

①攻击实验。学生利用一些攻击类工具完成一些可能的攻击。一方面使学生了解和掌握不同的攻击的原理、攻击过程和方式，加深对入侵检测的必要性的理解；另一方面，为以后进行综合实验时建立攻击环境打下基础。学生可以分组分别实现不同类的攻击：漏洞扫描、口令破解、拒绝服务攻击、缓冲区溢出攻击、SQL Injection攻击等等。

[2] Lindskog, Stefan, Lindqvist, et al. IT Security Research and Education in Synergy[C]. In Proceedings of the 1st World Conference on Information Security Education, Stockholm, Sweden, 1999.

[3] Wenliang Du, Zhouxuan Teng, Ronghua Wang. SEED: a suite of instructional laboratories for computer security education [J]. SIGCSE 2007: 486-490.

[4] Hu J., Meinel C., Schmitt M. Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education [J]. SIGCSE 2004: 412-416.

[5] 陈华,章启成,周玉霞,等. 工科学生大工程意识的培养与素质拓展[J].南京工程学院学报:社会科技版,2008,8(1):36-40.

[6] 薛静锋,祝烈煌,阎慧. 入侵检测技术[M]. 北京:人民邮电出版社,2007.

Design and Research of Intrusion Detection Technology Courses Experiment Teaching

LIU Kai

(College of Information Management , Beijing Information Sci. &Tech. University, Beijing 100101, China)

Abstract: Based on the practice, summary and study of experiment teaching of intrusion detection technology courses, and from the courses’characteristics and the students’demand, this paper presents the design and choice of a series of laboratory