《入侵检测技术》课程教学模式探索

周雪梅，周燕，郭春，陈鹤

（贵州大学计算机科学与技术学院，贵阳550025)

入侵检测；课程教学；研讨课

0 引言

入侵检测（Intrusion Detection）是对入侵行为的发觉，它通过收集和分析计算机网络或系统中的若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象[1]，并在网络或信息系统受到危害之前拦截或响应，以抵御或降低攻击所带来的风险，因此被誉为防火墙之后的第二道“安全闸门”，在信息安全体系中处于重要的地位。作为我校信息安全专业的一门重要的专业选修课《入侵检测技术》课程受到信息安全专业学生的普遍青睐。然而，《入侵检测技术》的内容比较抽象，单纯的理论授课枯燥、乏味，不便于学生理解[2]；传统的课堂教学通常是以授课教师讲解为主的单向教学模式，学生处于被动学习的状态，缺乏教师和学生之间的互动和交流，教学效果有待提升。其次，目前市面上可选的入侵检测的教材则相对缺乏，已出版的入侵检测技术相关教材大多发行于的2003年和2007年，其内容不能反映入侵检测技术近年来的发展和变化；近三年的相关书籍更是屈指可数，仅靠教材作为学生学习的主要资源既不足以反映技术的发展，也不能较好地满足学生的求知欲。

为了让学生更为深入地理解课程内容，提高学生学习的兴趣、提高学生实践动手能力，本文对《入侵检测技术》课堂教学模式和教学方法进行了探索。首先，在课堂教学过程中引入研讨课环节[3]，提高学生的自主学习能力和学习兴趣。其次，完善实验项目的设计，在弥补理论教学的不足的同时，加深学生对入侵检测技术的理解，调动学生学习的积极性和自主性。再次，采用多元化，分阶段的考核机制，以考促学。

1 研讨课——引导学生自主学习和探讨的教学模式

受传统教学思想的影响，以课堂讲授、学生被动接受为主的教学模式中，过分注重理论知识的传授，忽视了理论与能力培养、素质提高的有机结合，造成学生在学习过程中对知识的获取过分依赖于教师的讲授，在知识的运用上具有局限性和片面性，学习积极性不高。为了提高学生学习的积极型和自主性，将研讨课教学引入课堂，作为课堂教学的一部分。研讨课的教学就是针对教学内容，打破书中原有章节的界限，设定与课程相关的主题，让学生根据选题进行分组，按照研讨任务要求和指导提纲，查阅相关文献资料，将调研的成果在课堂上以专题讨论的形式进行分享；研讨课的完成质量以及参与度与学生课程成绩挂钩，一定程度上提高了学生的参与度；在此过程中，学生通过自主学习，完成课题任务，将专题所涉及的知识有机地统一起来，提高其自主学习的能力。在分享环节，通过授课教师的引导，同学的提问，使得学生对知识的理解得到进一步深化，在知识的整合及运用上获得锻炼与提高，激发学生继续学习和探索的兴趣。在这一教学活动中，起主导作用的主体由教师转化为学生，教师与学生的关系[4]如图1所示。

图1 研讨课中教师与学生的关系

研讨课执行环节中，研讨课主题的设计是研讨课是否能达到预期效果的一个必要条件。因此，将与课程相关的一些话题或研究基础作为研讨课的选题。例如,将网络攻击不可完全避免，入侵检测的相关技术基础和发展作为主题（部分选题如表1所示），引导学生通过理论与实践相结合的方式完成对课题的调研和汇报。

表1 部分研讨课选题

2 调整和完善实践课教学的设计

《入侵检测技术》的课程实践环节在教学计划中设定为8学时，为了让学生更好地理解相关技术，完成实验内容，在课程中选择网络入侵检测技术作为主要实验内容，将原有实验项目进行修改和完善，使学生在合理难度的设定下，更有效地完成实验任务，提高实验效果，具体方式如下：

（1）对TCP数据包捕获与分析实验的进一步完善

实验项目——TCP包数据包捕获与分析的实验，目的是让学生理解WinPcap数据包捕获与分析的流程和方法，原有的要求是让学生在控制台模式下进行设计，编程相对较简单，但程序界面不够友好，学生兴趣不高；如果要求学生独立编写图形用户界面程序，需具备一定的MFC编程经验，并处理多线程的问题，仅有部分编程能力好，动手能力强的学生能够较好完成。因此，实验前提供给学生一个预先设计好的MFC图形界面下的简单数据包捕获程序框架，解决多线程问题，让学生在阅读给定框架程序的基础上，根据实验指导，逐步完成框架程序给定的任务，任务与任务之间是递进的关系，只有将前面的任务顺利完成，才能进行下一个任务，通过小任务的设定，让学生在实验过程中，不断接近实验的终极目标。这种方式，不仅降低了实验难度，同时也提高了学生编程的兴趣。

（2）重新组织Snort入侵检测平台的搭建与使用实验

Snort是一个开源、免费的网络入侵检测系统软件，对Snort的研究有助于学生进一步理解网络入侵检测系统的设计原理和检测方法。通常该实验的设计多以搭建Snort+ACID模式的网络入侵检测系统为实验目标。但随着Snort版本的不断更新，该模式相对较陈旧，不利于学生对Snort新特性，新插件的研究。因此，在实验任务中简化利用Snort搭建网络入侵检测系统时对其他插件的需求，仅搭建一个简化版的网络入侵检测系统，该系统检测功能上并未降低，只是弱化了图形界面的搭建。把实验重点放到了攻击特征的分析与Snort规则的编写上，这样不仅可以提高学生攻击特征分析的能力，同时也加深了学生对Snort规则的进一步理解。

3 引入多元化的考核方式，以考促学，以考促教

改变过去“一卷定终生”的评估模式，科学设计考核内容，采用多元化的考核方式对学生成绩进行评定[6]，基本考核方式如下：

（1）基本概念与基本知识的获取，利用平时课堂随机测试的方式，按教学过程设计，及时了解学生对理论教学内容的掌握程度（占10%）。

（2）实验内容的实现和设计能力（占20%），实验报告以及实验过程检测形式。

（3）对应用问题的解决能力（占40%）。通过期末大作业的形式，了解学生对知识的综合运用能力，期末大作业完成报告形式。

（4）学生自学，协作完成课题能力的考核（20%），考核的重点是研讨课环节中学生的参与程度以及表达与适应能力。通过将学生自主学习的效果和积极性与课程考核挂钩，能够好地激发学生在调研过程中的能动性。

（5）学习态度（占10%），主要以学生出勤作为考核依据。

考核的方式强调学生的“学习过程”，注重学生“知识的获取以及动手解决专业问题或实际问题的能力”的考查；将平时学生的理论学习和实际动手能力，以及期末大作业相结合。综合以上多项成绩做出评估将是对学生比较客观、负责的评价；也是对于大四选修课，学生学习态度的一个鞭策。

4 结语

本文中所讨论的课堂教学模式的探索涉及了理论教学和实践教学改革两大方面。在具体实施过程中，实践教学改革相对较为顺利，取得了较好的效果，在以后的教学过程中我们将继续保持和深入，不断提高实践教学实施的效果。然而，对于研讨课的教学模式引入课堂教学，从学生对研讨课的态度，材料的准备，以及执行效果来看，学生还是比较喜欢和接受这种新的教学方式。虽然研讨课的教学模式初衷是为了提高学生的学习积极性，试图通过专题讨论，让学生将专题所涉及的知识有机地统一起来，形成整合知识的能力。学生通过质疑及教师的启发，将零散的知识点串联起来，使知识要素更加丰富直观。但是，新的教学模式在首次执行过程，安排和执行控制上的还存在一些不足，例如讨论主题的选取考虑不够全面，难易度存在较大差异，导致部分选题在讨论环节执行效果不够理想。其次，研讨小组的设定和成员工作量的考核需要进一步摸索。针对以上问题，在今后的教学过程中还需不断的探索和完善。此外，在《入侵检测技术》的教学内容中，还需摆脱教材的束缚，不断适应新技术和新应用的变化，例如在课程中引入无线网络入侵检测的相关技术[8]，只有课程内容的与时俱进与教学方式的不断完善，才能吸引学生，激发学生学习的兴趣和积极性。