本科生《网络防御技术》课程实验设计方案初探.docVIP

本科生《网络防御技术》课程实验设计方案初探 　　摘要：本文针对我校《网络防御技术》课程的实践环节，分析其具体实施中存在的主要问题，阐述本科生《网络防御技术》课程在实践方面的主要培养目标——统一网络安全管理能力，并提出项目驱动式实验设计方案，一定程度上为本科生进行网络安全类实验亟需的数据来源与安全规则库提供有力的保障。 　　关键词：《网络防御技术》课程；实验设计；统一网络安全管理能力；项目驱动式方案 　　中图分类号：G642.41 文献标志码：A 文章编号：1674-9324（2013）48-0163-02 　　《网络防御技术》课程是网络管理与安全方向重要的专业课程。在本课程的教学过程中，特别是实践环节，我们发现了最初课程建设过程中考虑不完善的一些地方，如何根据我校的实际情况优化本课程的实验设计已经成为一个迫切需要解决的问题。本文围绕我校《网络防御技术》课程的实验设计方案展开探讨。 　　一、课程目标 　　目前，各类网络安全产品得到广泛的应用，并能够在特定方面发挥一定的作用，但这些产品一般功能分散，彼此之间仍缺乏有效的协同管理机制，无法满足网络安全管理员最直接的需求，即统一网络安全管理。《网络防御技术》课程的设置旨在帮助学生全面掌握网络攻击的手段和方法以及网络防御的基本原理，解决统一网络安全管理中的实际问题。具体而言，本课程侧重理论和技术分析，首先详细地介绍现有的主要攻击手段和方法，主要包括信息收集、漏洞扫描、口令攻击、缓冲区溢出攻击、恶意代码、Web应用程序攻击、嗅探、假消息攻击、拒绝服务攻击等多种攻击技术，并给出一定的实例分析，进而以此为基础，对网络防御中常用的技术和方法进行系统的分析，主要包括密码技术、身份认证技术、访问控制机制、防火墙技术、入侵检测技术、虚拟专用网（Virtual Private Network，VPN）、蜜罐技术等[1，2]。 　　二、以培养学生统一网络安全管理能力为目标的课程实验 　　我们认为，本科生《网络防御技术》课程在实践方面的主要培养目标在于统一网络安全管理能力。基于我校大型仪器共享平台，通过使用大型仪器设备预约服务，利用已有的网络??全实验设备，同时结合实验指导书，帮助学生从攻与防两个角度综合理解和掌握网络安全技术[3]。《网络防御技术》课程的实践环节在设计实验时，应帮助学生掌握各种网络安全防御策略基本原理，进而引导学生从统一网络安全管理的角度加深对网络攻击的手段和方法以及网络防御的基本原理的认识，培养学生统一网络安全管理的实践能力。为了培养学生的统一网络安全管理能力，《网络防御技术》课程的实验设计首先应帮助学生掌握常用网络安全防御策略的基本原理，主要包括以下实验内容：密码技术；身份认证技术；访问控制机制；Linux操作系统中的包过滤防火墙iptables；开源入侵检测系统Snort；虚拟专用网VPN；蜜罐技术；反病毒软件与云查杀；网络安全审计；信息安全风险评估。我们设计《网络防御技术》课程实验时，在学生掌握各种常用网络安全防御策略基本原理的基础上，以培养学生统一网络安全管理能力为目标，提出项目驱动式设计方案。 　　三、项目驱动式实验设计方案 　　鉴于我校是一所地方工科院校，我们在设计《网络防御技术》课程实验时，特别强调本科生在解决网络安全隐患与威胁方面的实践能力，以培养网络安全方向的专业人才，因此，我们注重科研项目对课程实践环节的支持。面向培养学生统一网络安全管理能力这一目标，我们提出项目驱动式实验设计方案。依赖于科研项目的驱动，在设计《网络防御技术》课程实验时，一定程度上为本科生进行网络安全类实验亟需的数据来源与安全规则库提供有力的保障。以分布式拒绝服务（Distributed Denial of Service，DDoS）攻击为例，我们使用麻省理工学院林肯实验室（MIT Lincoln Laboratory）的2000 DARPA Intrusion Detection Scenario Specific Data Sets[4]，这些数据集模拟的一种DDOS攻击可以分为以下五个步骤：步骤1：攻击者从一个远程站点通过IPsweep攻击AFB；步骤2：攻击者通过探测实时IP以查找运行在Solaris主机上的sadmind daemon；步骤3：攻击者利用sadmind漏洞入侵这些主机；步骤4：攻击者在AFB的三台主机上安装trojan mstream DDOS软件；步骤5：攻击者实施DDOS攻击。通过重放这些数据集，为开展以培养学生统一网络安全管理能力为目标的《网络防御技术》课程实验提供模拟的攻击数据与相应的安全规则库作为其重要支撑。更进一步，在具体实施《网络防御技术》课程实验时，我们特别强调实验过程的规范化管理，并在实验报告中有相应的体现，加强实验报告的精简性和灵活性