实验要求
(1) 专业与年级要求
本实验属于南京理工大学本科学生的专业基础课《网络攻防对抗新技术》课程的授课内容。
鉴于本实验课程中“网络攻击检测、告警日志分析、溯源重构攻击路径”三个环节的实验内容具有相对独立性,全校其它专业的学生也可根据专业需求和个人能力选择不同的实验环节进行选修。
(2) 基本知识和能力要求
具备一定的计算机网络知识和一定网络安全知识,具有自主学习能力和一定的自主探索能力,能够在基础认知、分析设计、应用探索三个层次的实验中总结分析特定实验结果背后的原因,将专业理论知识活学活用。
(3) 实验注意事项
本实验为综合设计型课程实验,具有较强的高阶性、创新性和挑战度。为确保教学质量,提出以下实验注意事项。
① 实验前,学生应认真阅读实验指导书,观看教学引导视频和操作视频,在教师指导下明确实验目的及各环节的知识点和重难点,奠定实验理论基础;
② 请选择符合“实验教学相关网络”条件要求的软硬件实验环境开展实验,以保证实验操作的流畅性。
③ 实验过程中,请仔细阅读各环节任务要求,并根据步骤引导开展实验。当实验结果不理想时,请根据系统提示认真修改;同时,还可通过微信群、论坛、服务热线等方式寻求在线指导。
④ 请充分利用知识角,通过知识点课件库开展拓展阅读,扩充自己的专业知识。
⑤ 完成实验后,请务必点击“完成并提交”以生成实验报告,并在关闭实验界面前,点击界面右下角的“实验报告”链接进入课程平台查看,并结合实验报告认真回顾实验过程,针对不足查找原因,并积极开展互动交流,以进一步巩固理论知识、提升创新思维能力。
教学成果
实验背景
1、网络空间安全问题是一个关乎国家和人民安全的重要问题。
随着互联网的飞速发展,越来越多传统的运作方式正在被低耗、开放、高效的分布式网络应用所替代,网络已经成为人们日常生活中不可或缺的一部分。但是随之而来基于网络的攻击也越演越烈,网络安全事件层出不穷, 各种网络攻击给国家、社会和个人带来了严重的危害,如分布式拒绝服务攻击(DDoS)、基于僵尸网络(Botnet)的高级可持续攻击(APT)、利用远程控制木马的信息窃取等。攻击者利用网络快速而广泛的互联性,使得传统意义上的安全措施基本丧失作用,严重威胁着国家和社会的安全。网络安全威胁给国家和人民生活带来了巨大损失,安全问题已经严重制约着网络的发展,并直接威胁国家和社会的稳定。网络安全是任何国家、政府、部分、行业都必须重视的问题,是一个不容忽视的国家安全战略。
2、网络攻击检测与溯源是守护网络空间安全的重要环节。
网络攻击检测是指通过对网络中的行为进行实时监听,并在出现攻击行为时能够及时发现并发出告警。网络攻击追踪溯源是指通过网络确定攻击者身份或者位置,以及攻击的中间介质,还原攻击路径的技术,部分学者将该过程称为“归因(Attribution)”。一般来说,攻击者大都使用伪造IP地址、跳板、匿名网络等技术实施网络攻击活动,以逃避追踪,致使防御方难以确定其攻击源头,而不能实施有针对性的防护策略。网络攻击检测与溯源技术通过主动定位攻击的源头,重构攻击时序,重塑攻击事件,进而能及时主动实施针对性的阻截与反制,是网络攻防对抗中的关键技术之一,也是网络主动防御中的重要环节。它对于最小化网络攻击的效果,威慑潜在的网络攻击都有着至关重要的作用。
3、当前网络攻击检测与溯源正处于快速发展阶段,实验教学方式可以帮助学生更好的理解这个领域。
我国对网络攻击检测与追踪溯源相关技术的研究起步较晚。从国内外研究情况来看,目前网络攻击追踪溯源都还处于发展阶段,在具体的追踪溯源过程中大多需要协助,当前也还缺乏有效的具体手段、标准和框架,目前各种出版的教材中涉及的相关内容较少。传统的被动防御策略在面对日益复杂的攻击行为时不能有效地保护网络的安全,抑制攻击,攻击者总是能够利用系统、网络甚至是防御系统本身的漏洞,轻松突破网络防御、瘫痪网络防御系统,使网络直接暴露在攻击者面前。通过实验教学的方式,能够让学生在网络攻防实践中,理解网络攻击检测与溯源技术的基本原理和方法,并在实践中深层思考如何建设安全的网络空间环境。
设计原则
为形象生动地传授工业互联网网络攻击检测与溯源新知识,本项目团队遵循“学生为本-循序渐进-容错优化-科教融合”的设计原则,自主设计了工业互联网网络攻击检测与溯源虚拟仿真实验。
(1)坚持以学生为本、自主学习探究的教学理念。
坚持以学生为中心,以任务驱动为导向,科学合理地设置实验教学环节。实验基于现实中的网络攻击技术,真实还原了从攻击实施、攻击检测到攻击溯源的实验场景,并提供了内容详实的知识点和知识角,引导学生围绕任务开展自主式的学习和探究,身临其境地通过“沉浸式”交互式操作,高效有序地开展实验。
(2)设置科学合理、循序渐进的实验环节。
实验依据《网络攻防对抗新技术》课程大纲和关键知识点建立了多层次、多模块的实验教学体系,使学生逐步完成“基础认知、分析设计、应用探索”三个层面的实验,循序渐进地开展“基本原理知识学习、设计分析能力训练、创新工程思维培养”的实践学习过程,充分掌握网络攻击检测与溯源技术的基本方法和工作原理以及典型网络攻击场景的行为检测和溯源,初步构建工业互联网网络攻击检测与溯源知识体系。
(3)实现容错探究、修正优化的实践操作。
实验结果错误或不理想时,学生可根据提示和评估结果进行多次尝试,实现实验结果的修正和优化,从而使学生充分感受到探索、解决问题的乐趣,提升求知欲和探索能力,培养学生建立理论设计、结果验证、反复优化的工程设计思维,以及设计计算、实践操作和工程应用的能力。
(4)坚持科教融合、立德树人的教育理念。
建设互联网强国必须大力发展网络空间安全技术,网络空间主动防御技术是关乎国家和人民信息安全、财产安全、生命安全等方面战略需求的核心技术。本实验充分利用团队所掌握的最新的工业互联网网络攻击检测和溯源技术,将科研成果转化为教学资源,在传授工业互联网网络攻击检测和溯源技术新知识的同时,潜移默化地激发学生投身网络空间安全建设的情怀和使命感。
实验目标
本实验坚持以学生为中心、以立德树人为根本的教学理念,通过虚拟仿真所营造的情景体验式的教学环境,使学生循序渐进地开展“基本原理知识学习、分析设计基础构筑、创新思维能力提升”的学习实践过程,完成“基础认知、分析设计、应用探索”三个层次的训练,实现以下具体教学目标:
① 在网络攻击技术基本组成认知环节:帮助学生了解常见的工业互联网网络攻击的原理和危害,了解常见的工业互联网网络通信协议基本原理及其应用场景,使学生掌握工业互联网网络攻击基本工作原理的知识。
② 在网络攻防实践环节:帮助学生在实验环境中掌握对受害目标实施网络攻击行为的攻击技术,并引导学生利用网络攻击流量特征设计相应的网络攻击检测规则,并利用网络攻击检测工具完成对攻击行为的检测并生成告警信息,使学生在实践中掌握网络攻击技术和攻击检测技术。
③ 在日志分析实践环节:引导学生对网络攻击检测工具运行过程中生成的各种警报日志数据进行分析,了解这些警报日志数据所包含的各种信息字段的具体含义,理解这些数据所表达的内容,并分析哪些信息可以用于攻击溯源,初步掌握通过日志数据分析网络问题的方法。
④ 在溯源重构攻击路径环节:在学习了相关背景知识之后,通过引导学生结合自己的想法动手实现攻击警报数据分类,形成相应的攻击事件;然后通过在网络中实时采集网络设备产生的Netflow数据,并基于Netflow数据以及整个网络的拓扑结构,尝试自己设计方法重构出攻击事件的拓扑路径,感受攻击溯源过程并激发学生的创造力。
成绩评定
本实验采用任务驱动式教学方法,学生开展实验的过程,就是完成任务的过程,学生完成任务的质量是实验成绩评定的主要依据。
本实验针对考核点设计了实验成绩评价模型,以该模型为基础,系统可分别针对学生在3个实验环节中的完成情况进行自动评分,最后再按照3个实验环节分别占35%、20%和40%的权重计算学生的最终实验成绩。
每个实验环节的实验成绩评价标准如下:
一、“网络攻击检测”环节(占总成绩35%)
1、网络攻击检测环境搭建(15分)
2、网络攻击行为模拟(15分)
3、网络攻击检测结果查询(5分)
二、“告警日志分析”环节(占总成绩20%)
1、攻击警报日志分析(15分)
2、Syslog系统日志分析(15分)
三、“组网观测技术应用”环节(占总成绩40%)
1、攻击警报数据关联分析(20分)
2、重构攻击事件拓扑路径(20分)