物联网工程入侵检测技术探索范文

一、结合专业特色的教学改革

1.课程设置作为物联网工程专业高年级开设的一门限选课，入侵检测技术既不能像信息安全专业开设的专业基础课那么深入详尽，也不能像普及式的任选深度，课程设置采用40课时，其中教学课时30课时，实验课时为10课时。

2.教学内容和实验内容的设计和实施物联网安全较之传统互联网安全涵盖的范围更广，但是其“源科学”是计算机科学，因此本课程的授课内容仍以IP网络中的入侵检测技术和计算机安全为主，增加了无线传感器网络WSN和射频识别技术RFID技术的安全问题，再加上异种网络互联互通产生的新安全问题及技术作为物联网安全的主体内容。秉承实验是这门课程获得良好教学效果的关键思想，本节将不同阶段的重要知识点和对应的实验内容设计详述如下。

2.1传统IP网络的入侵检测技术“入侵检测技术”这门课程主要涉及到的重要知识点包括：入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源、基于主机的入侵检测系统、基于网络的入侵检测系统、检测引擎、告警与响应、入侵检测系统的评估、入侵检测系统的应用等。其中原理性、理论性的内容主要体现在入侵检测的原理、检测算法、评估的指标体系等。图1是标准化组织提出的IDS的总体框架，该图分三个检测阶段（检测前、检测中、检测后），囊括了上述所有重要的知识点。（1）入侵前涉及入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源等知识点。重点讲授基于网络的入侵检测的数据采集技术，引入实验1——网络数据包的捕获及协议的简单分析。（2）入侵中知识点涉及IDS的各种检测原理与方法。检测方法分为误用检测、异常检测和其它检测方法。重点讲授滥用检测普遍采用的利用特征串匹配的方法、各种异常检测模型也是很重要的辅助检测方法，比如数学模型（方差模型、均方差模型、）马尔科夫链和模糊逻辑。检测又分为基于主机的检测、基于网络的检测和分布式检测。为了呈现不同原理、不同检测方法的效果，设计了实验2——审计日志的获取和简单分析，对比实验1有利于学生体会基于主机的检测方法和基于网络的检测方法的不同。（3）入侵后涉及IDS的警报响应、警报冗余消除、警报后处理技术和意图识别技术等知识点。重点讲授对于几种典型攻击，IDS的攻击报警信息和警报后处理技术，让学生认识警报含义、不同的报警格式和方式。至此，学生应该对IDS的整个工作流程有了全面的认识。为了让学生融会贯通所有知识点，设计了实验3——Snort开源IDS的构建和使用。让学生在指定的实验室环境下安装，使用IDS，老师在实验室局域网与公网断开时，运行若干典型的攻击脚本，确保Snort能抓取到攻击实例，让学生利用所学的安全知识，模拟安全管理员分析攻击态势。对于传统IP网络上的入侵检测技术的教授，可以让学生牢记图1，有助于理清各阶段的重要知识点，在相关实验中体会攻击理论性知识的应用，是这门课程获得良好教学效果的关键。

2.2物联网安全技术物联网涵盖内容非常宽泛。实际上目前物联网的构成除了传统IP网络外，各式各样的无线传感器网络WirelessSensorNetwork（WSN）构成了物联网的主体。与传统IP网络不同，WSN因其特点导致其相同的安全需求有着完全不通的安全技术。重点知识点按WSN的分层协议体系结构讲授每一层上存在的安全问题以及典型攻击。比如，物理层：各种物理破坏以及导致的信息泄露和各种拥塞攻击；数据链路层：各种耗尽攻击和碰撞攻击；网络层：各种路由攻击、泛洪攻击、女巫攻击；应用层：污水池攻击、蠕虫洞攻击等。为了使学生了解和掌握不同的攻击的原理、攻击过程和方式，设计了实验4——WSN上的各种攻击实验演示。

2.3物联网互通产生的安全问题和安全技术由于此部分内容还属于当前研究热点，在课程中将作为物联网的全新内容介绍。重点抓住一些典型攻击案例讲述互联互通中产生的安全问题及解决方法。为此设计了实验5作为典型案例。实验5——跨网络的DDoS攻击，展示了在IP网络中已经克服的DDoS攻击，互通后的残余DDos攻击流量仍然超出WSN能够承受的范围，会导致WSN网络服务质量下降，甚至耗尽WSN宝贵的能量和带宽资源。

3.实验内容设计(1)设计型实验实验1——网络数据包的捕获及协议的简单分析。网络数据包是基于网络的入侵检测系统的重要数据源，网络数据包的捕获是基于网络的入侵检测系统实现的第一步。通过该实验，使学生了解和掌握基于Socket和libpcap的网络数据包的捕获方法，理解和掌握基于网络入侵检测系统的源数据的捕获、协议分析的基本原理和实现方法。同时使学生熟悉在Linux下的C语言开发技能。实验2——主机审计日志的获取和简单分析。主机审计日志数据是基于主机入侵检测系统的重要数据源，审计数据获取的质量和数量，决定了入侵检测的有效程度。通过该实验使学生了解Linux系统的日志系统和基于主机的入侵检测系统的原理。(2)综合型实验实验3——Snort开源IDS的构建和使用。让学生根据校园网实验室环境下的需求搭建，利用Snort及第三方软件搭建一个真实的入侵检测系统。根据需求选择已有的预处理插件、检测规则，最后有针对性地完成几个相应规则的编写，并进行正确性测试。断网后在运行几个典型攻击脚本，让学生分析Snort抓获的攻击警报，做出安全态势汇报。(3)验证型实验实验4——WSN上的各种攻击实验。学生利用一些攻击类软件工具和硬件设施完成一些可能的攻击。攻击的罗列使学生了解和掌握不同的攻击的原理、攻击过程和方式，加深对入侵检测的必要性的理解；实验5——跨网络的DDoS攻击。将传统IP网络通过特定网关与实验室特定的无线传感器网络相连，在IP网络中发起DDoS攻击，将目标锁定在传感器网络内。在IP网络上安装流量观测器，让学生直观地看到攻击流量的路径。然后在网关上启动DDoS攻击检测，过滤掉98%的攻击流量，让学生观察此时无线传感器网络的性能情况，比较两种情况，得出实验结论。

4.考核体系该课程的考核采用平时成绩和期末考核成绩加权平均的方式。考虑到课程的宗旨在于加强学生动手能力，同时为了减轻学生的学习负担，平时成绩强调考核动手能力，平时作业紧扣五个实用性实验，均为实验为铺垫和准备，实际上5个综合实验成绩占50%，期末的理论考核以开放式论文形式让学生根据自己对IDS的了解和兴趣选择和IDS相关的题目撰写论文，占50%。

二、结语

入侵检测实验教学的设计和实施应该是一个动态的过程。教师根据教学内容设计实验，在实验中强化学生对知识点的掌握，再根据学生的反馈以及实际教学效果，不断调整实验内容、实验难度以及实验的教学方法。教师要从激发学生兴趣入手，帮助学生从实践中掌握知识、观察学生的技能是否改善、检查学生完成的情况等各项指标。从实验教学的需求→实验教学设计→实验教学实施→学生反馈和教师总结，再返回到实验教学需求，构成了入侵检测教学的一个良性的闭环系统，它促进每一轮教学实践在内容和方法上不断丰富、改进和完善，使其变得更加科学、合理、可行和有效。

作者：宁卓单位：南京邮电大学物联网学院