《入侵檢測技術(shù)》課程教學(xué)模式探索

周雪梅，周燕，郭春，陳鶴

（貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴陽550025)

入侵檢測；課程教學(xué)；研討課

0 引言

入侵檢測（Intrusion Detection）是對入侵行為的發(fā)覺，它通過收集和分析計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象[1]，并在網(wǎng)絡(luò)或信息系統(tǒng)受到危害之前攔截或響應(yīng)，以抵御或降低攻擊所帶來的風(fēng)險(xiǎn)，因此被譽(yù)為防火墻之后的第二道“安全閘門”，在信息安全體系中處于重要的地位。作為我校信息安全專業(yè)的一門重要的專業(yè)選修課《入侵檢測技術(shù)》課程受到信息安全專業(yè)學(xué)生的普遍青睞。然而，《入侵檢測技術(shù)》的內(nèi)容比較抽象，單純的理論授課枯燥、乏味，不便于學(xué)生理解[2]；傳統(tǒng)的課堂教學(xué)通常是以授課教師講解為主的單向教學(xué)模式，學(xué)生處于被動(dòng)學(xué)習(xí)的狀態(tài)，缺乏教師和學(xué)生之間的互動(dòng)和交流，教學(xué)效果有待提升。其次，目前市面上可選的入侵檢測的教材則相對缺乏，已出版的入侵檢測技術(shù)相關(guān)教材大多發(fā)行于的2003年和2007年，其內(nèi)容不能反映入侵檢測技術(shù)近年來的發(fā)展和變化；近三年的相關(guān)書籍更是屈指可數(shù)，僅靠教材作為學(xué)生學(xué)習(xí)的主要資源既不足以反映技術(shù)的發(fā)展，也不能較好地滿足學(xué)生的求知欲。

為了讓學(xué)生更為深入地理解課程內(nèi)容，提高學(xué)生學(xué)習(xí)的興趣、提高學(xué)生實(shí)踐動(dòng)手能力，本文對《入侵檢測技術(shù)》課堂教學(xué)模式和教學(xué)方法進(jìn)行了探索。首先，在課堂教學(xué)過程中引入研討課環(huán)節(jié)[3]，提高學(xué)生的自主學(xué)習(xí)能力和學(xué)習(xí)興趣。其次，完善實(shí)驗(yàn)項(xiàng)目的設(shè)計(jì)，在彌補(bǔ)理論教學(xué)的不足的同時(shí)，加深學(xué)生對入侵檢測技術(shù)的理解，調(diào)動(dòng)學(xué)生學(xué)習(xí)的積極性和自主性。再次，采用多元化，分階段的考核機(jī)制，以考促學(xué)。

1 研討課——引導(dǎo)學(xué)生自主學(xué)習(xí)和探討的教學(xué)模式

受傳統(tǒng)教學(xué)思想的影響，以課堂講授、學(xué)生被動(dòng)接受為主的教學(xué)模式中，過分注重理論知識的傳授，忽視了理論與能力培養(yǎng)、素質(zhì)提高的有機(jī)結(jié)合，造成學(xué)生在學(xué)習(xí)過程中對知識的獲取過分依賴于教師的講授，在知識的運(yùn)用上具有局限性和片面性，學(xué)習(xí)積極性不高。為了提高學(xué)生學(xué)習(xí)的積極型和自主性，將研討課教學(xué)引入課堂，作為課堂教學(xué)的一部分。研討課的教學(xué)就是針對教學(xué)內(nèi)容，打破書中原有章節(jié)的界限，設(shè)定與課程相關(guān)的主題，讓學(xué)生根據(jù)選題進(jìn)行分組，按照研討任務(wù)要求和指導(dǎo)提綱，查閱相關(guān)文獻(xiàn)資料，將調(diào)研的成果在課堂上以專題討論的形式進(jìn)行分享；研討課的完成質(zhì)量以及參與度與學(xué)生課程成績掛鉤，一定程度上提高了學(xué)生的參與度；在此過程中，學(xué)生通過自主學(xué)習(xí)，完成課題任務(wù)，將專題所涉及的知識有機(jī)地統(tǒng)一起來，提高其自主學(xué)習(xí)的能力。在分享環(huán)節(jié)，通過授課教師的引導(dǎo)，同學(xué)的提問，使得學(xué)生對知識的理解得到進(jìn)一步深化，在知識的整合及運(yùn)用上獲得鍛煉與提高，激發(fā)學(xué)生繼續(xù)學(xué)習(xí)和探索的興趣。在這一教學(xué)活動(dòng)中，起主導(dǎo)作用的主體由教師轉(zhuǎn)化為學(xué)生，教師與學(xué)生的關(guān)系[4]如圖1所示。

圖1 研討課中教師與學(xué)生的關(guān)系

研討課執(zhí)行環(huán)節(jié)中，研討課主題的設(shè)計(jì)是研討課是否能達(dá)到預(yù)期效果的一個(gè)必要條件。因此，將與課程相關(guān)的一些話題或研究基礎(chǔ)作為研討課的選題。例如,將網(wǎng)絡(luò)攻擊不可完全避免，入侵檢測的相關(guān)技術(shù)基礎(chǔ)和發(fā)展作為主題（部分選題如表1所示），引導(dǎo)學(xué)生通過理論與實(shí)踐相結(jié)合的方式完成對課題的調(diào)研和匯報(bào)。

表1 部分研討課選題

2 調(diào)整和完善實(shí)踐課教學(xué)的設(shè)計(jì)

《入侵檢測技術(shù)》的課程實(shí)踐環(huán)節(jié)在教學(xué)計(jì)劃中設(shè)定為8學(xué)時(shí)，為了讓學(xué)生更好地理解相關(guān)技術(shù)，完成實(shí)驗(yàn)內(nèi)容，在課程中選擇網(wǎng)絡(luò)入侵檢測技術(shù)作為主要實(shí)驗(yàn)內(nèi)容，將原有實(shí)驗(yàn)項(xiàng)目進(jìn)行修改和完善，使學(xué)生在合理難度的設(shè)定下，更有效地完成實(shí)驗(yàn)任務(wù)，提高實(shí)驗(yàn)效果，具體方式如下：

（1）對TCP數(shù)據(jù)包捕獲與分析實(shí)驗(yàn)的進(jìn)一步完善

實(shí)驗(yàn)項(xiàng)目——TCP包數(shù)據(jù)包捕獲與分析的實(shí)驗(yàn)，目的是讓學(xué)生理解WinPcap數(shù)據(jù)包捕獲與分析的流程和方法，原有的要求是讓學(xué)生在控制臺模式下進(jìn)行設(shè)計(jì)，編程相對較簡單，但程序界面不夠友好，學(xué)生興趣不高；如果要求學(xué)生獨(dú)立編寫圖形用戶界面程序，需具備一定的MFC編程經(jīng)驗(yàn)，并處理多線程的問題，僅有部分編程能力好，動(dòng)手能力強(qiáng)的學(xué)生能夠較好完成。因此，實(shí)驗(yàn)前提供給學(xué)生一個(gè)預(yù)先設(shè)計(jì)好的MFC圖形界面下的簡單數(shù)據(jù)包捕獲程序框架，解決多線程問題，讓學(xué)生在閱讀給定框架程序的基礎(chǔ)上，根據(jù)實(shí)驗(yàn)指導(dǎo)，逐步完成框架程序給定的任務(wù)，任務(wù)與任務(wù)之間是遞進(jìn)的關(guān)系，只有將前面的任務(wù)順利完成，才能進(jìn)行下一個(gè)任務(wù)，通過小任務(wù)的設(shè)定，讓學(xué)生在實(shí)驗(yàn)過程中，不斷接近實(shí)驗(yàn)的終極目標(biāo)。這種方式，不僅降低了實(shí)驗(yàn)難度，同時(shí)也提高了學(xué)生編程的興趣。

（2）重新組織Snort入侵檢測平臺的搭建與使用實(shí)驗(yàn)

Snort是一個(gè)開源、免費(fèi)的網(wǎng)絡(luò)入侵檢測系統(tǒng)軟件，對Snort的研究有助于學(xué)生進(jìn)一步理解網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計(jì)原理和檢測方法。通常該實(shí)驗(yàn)的設(shè)計(jì)多以搭建Snort+ACID模式的網(wǎng)絡(luò)入侵檢測系統(tǒng)為實(shí)驗(yàn)?zāi)繕?biāo)。但隨著Snort版本的不斷更新，該模式相對較陳舊，不利于學(xué)生對Snort新特性，新插件的研究。因此，在實(shí)驗(yàn)任務(wù)中簡化利用Snort搭建網(wǎng)絡(luò)入侵檢測系統(tǒng)時(shí)對其他插件的需求，僅搭建一個(gè)簡化版的網(wǎng)絡(luò)入侵檢測系統(tǒng)，該系統(tǒng)檢測功能上并未降低，只是弱化了圖形界面的搭建。把實(shí)驗(yàn)重點(diǎn)放到了攻擊特征的分析與Snort規(guī)則的編寫上，這樣不僅可以提高學(xué)生攻擊特征分析的能力，同時(shí)也加深了學(xué)生對Snort規(guī)則的進(jìn)一步理解。

3 引入多元化的考核方式，以考促學(xué)，以考促教

改變過去“一卷定終生”的評估模式，科學(xué)設(shè)計(jì)考核內(nèi)容，采用多元化的考核方式對學(xué)生成績進(jìn)行評定[6]，基本考核方式如下：

（1）基本概念與基本知識的獲取，利用平時(shí)課堂隨機(jī)測試的方式，按教學(xué)過程設(shè)計(jì)，及時(shí)了解學(xué)生對理論教學(xué)內(nèi)容的掌握程度（占10%）。

（2）實(shí)驗(yàn)內(nèi)容的實(shí)現(xiàn)和設(shè)計(jì)能力（占20%），實(shí)驗(yàn)報(bào)告以及實(shí)驗(yàn)過程檢測形式。

（3）對應(yīng)用問題的解決能力（占40%）。通過期末大作業(yè)的形式，了解學(xué)生對知識的綜合運(yùn)用能力，期末大作業(yè)完成報(bào)告形式。

（4）學(xué)生自學(xué)，協(xié)作完成課題能力的考核（20%），考核的重點(diǎn)是研討課環(huán)節(jié)中學(xué)生的參與程度以及表達(dá)與適應(yīng)能力。通過將學(xué)生自主學(xué)習(xí)的效果和積極性與課程考核掛鉤，能夠好地激發(fā)學(xué)生在調(diào)研過程中的能動(dòng)性。

（5）學(xué)習(xí)態(tài)度（占10%），主要以學(xué)生出勤作為考核依據(jù)。

考核的方式強(qiáng)調(diào)學(xué)生的“學(xué)習(xí)過程”，注重學(xué)生“知識的獲取以及動(dòng)手解決專業(yè)問題或?qū)嶋H問題的能力”的考查；將平時(shí)學(xué)生的理論學(xué)習(xí)和實(shí)際動(dòng)手能力，以及期末大作業(yè)相結(jié)合。綜合以上多項(xiàng)成績做出評估將是對學(xué)生比較客觀、負(fù)責(zé)的評價(jià)；也是對于大四選修課，學(xué)生學(xué)習(xí)態(tài)度的一個(gè)鞭策。

4 結(jié)語

本文中所討論的課堂教學(xué)模式的探索涉及了理論教學(xué)和實(shí)踐教學(xué)改革兩大方面。在具體實(shí)施過程中，實(shí)踐教學(xué)改革相對較為順利，取得了較好的效果，在以后的教學(xué)過程中我們將繼續(xù)保持和深入，不斷提高實(shí)踐教學(xué)實(shí)施的效果。然而，對于研討課的教學(xué)模式引入課堂教學(xué)，從學(xué)生對研討課的態(tài)度，材料的準(zhǔn)備，以及執(zhí)行效果來看，學(xué)生還是比較喜歡和接受這種新的教學(xué)方式。雖然研討課的教學(xué)模式初衷是為了提高學(xué)生的學(xué)習(xí)積極性，試圖通過專題討論，讓學(xué)生將專題所涉及的知識有機(jī)地統(tǒng)一起來，形成整合知識的能力。學(xué)生通過質(zhì)疑及教師的啟發(fā)，將零散的知識點(diǎn)串聯(lián)起來，使知識要素更加豐富直觀。但是，新的教學(xué)模式在首次執(zhí)行過程，安排和執(zhí)行控制上的還存在一些不足，例如討論主題的選取考慮不夠全面，難易度存在較大差異，導(dǎo)致部分選題在討論環(huán)節(jié)執(zhí)行效果不夠理想。其次，研討小組的設(shè)定和成員工作量的考核需要進(jìn)一步摸索。針對以上問題，在今后的教學(xué)過程中還需不斷的探索和完善。此外，在《入侵檢測技術(shù)》的教學(xué)內(nèi)容中，還需擺脫教材的束縛，不斷適應(yīng)新技術(shù)和新應(yīng)用的變化，例如在課程中引入無線網(wǎng)絡(luò)入侵檢測的相關(guān)技術(shù)[8]，只有課程內(nèi)容的與時(shí)俱進(jìn)與教學(xué)方式的不斷完善，才能吸引學(xué)生，激發(fā)學(xué)生學(xué)習(xí)的興趣和積極性。