虚拟仿真云平台下信息内容安全实验课建设

史建焘, 李秀坤, 张宏莉

(哈尔滨工业大学 计算机科学与技术学院, 黑龙江 哈尔滨 150001)

虚拟仿真云平台下信息内容安全实验课建设

史建焘, 李秀坤, 张宏莉

(哈尔滨工业大学 计算机科学与技术学院, 黑龙江 哈尔滨 150001)

信息内容安全课程是哈尔滨工业大学信息安全专业本科生和研究生的核心专业课程,其教学内容既有一定的理论深度,又对学生动手实践能力有很高的要求。针对实验教学中的诸多问题,依托于计算机系统虚拟仿真实验教学中心进行的实验项目建设,完成了从传统实验教学平台向虚拟仿真实验教学平台的迁移,实现了“远实近虚、以虚补时、以实验虚”实验教学新模式,促进了课程整合与实践教学体系改革,并收到了良好的效果。

网络仿真； 内容安全； 云计算； 实验教学

按照“教育信息化十年发展规划(2011—2020年)”要求,虚拟仿真实验教学中心是高等教育信息化建设和实验教学示范中心建设的重要内容。哈尔滨工业大学计算机科学与技术学院一直以来非常重视网上实验、远程实验、虚拟实验等实践教学方法的探索,并把优秀的科研成果、工业界新技术和产品应用于实验教学。按照教育部相关文件的要求,学院于2014年成立了“计算机系统虚拟仿真实验教学中心”,并建设了3R(remote,real,rank)4A(anyone,anytime,anywhere,anytype)为主要特色的计算机系统虚拟仿真实验教学平台,实现“远实近虚、以虚补实、以实验虚”实验教学新模式,促进课程整合与实践教学体系改革。信息内容安全课程同样遵循了学院的实践教学改革思路,依托网络与信息安全虚拟仿真云平台进行了实验课程建设和实验教学改革。我校信息安全专业于2002年经教育部批准成立,是国内较早的信息安全专业之一。2006年又成为首批获国务院学位委员会批准的“网络空间安全”一级学科博士点的29所高校之一。信息内容安全课程一直是我校信息安全专业本科生和研究生的核心专业课程,其教学内容涵盖信息内容获取技术、信息内容识别技术以及信息内容控制与管理技术等,既有一定的理论深度,又对学生动手实践能力有很高的要求,是信息安全类课程中最具综合性与实践性的课程。学生要学好这门课程,如果仅仅靠课堂教学是远远不够的,必须依靠系统的实验教学,加深学生对理论的理解,灵活地将离散的理论知识运用到实际信息内容安全案例中。由于网络安全类实验自身的特点,一些具有特殊环境要求、具有破坏性和不可逆后果的实验往往无法开设。为了解决这些问题我们建设了基于云计算技术的网络与信息安全虚拟仿真实验云平台,并对信息内容安全课程的实验教学体系和实验项目进行了改革,将实验项目搭建在云平台之上,很好地克服了大规模网络环境缺乏、网络安全实验对现有网络环境的破坏、多种实验不能实施的问题,具有重要的现实意义。

1 信息内容安全实验课程建设的主要问题

和大多数信息安全类课程一样,信息内容安全实验课程的建设面临的诸多问题和挑战，可以总结归纳为如下几点：

(1) 多样化的实验环境需求无法满足。信息内容安全课程内容相对零散,需要学生掌握多方面的理论知识和网络安全技术。不同教学内容和实验项目对操作系统版本、软件配置、网络配置有着不同的要求,实验室如果通过不同的设备搭建不同的环境,一方面会大大降低硬件设备的利用率,另一方面也使得实验环境缺乏灵活性和扩展性。

(2) 特殊实验的环境要求无法满足。一些涉及大规模网络信息获取的信息内容安全实验利用传统实验方法很难实现,一方面很难构建满足要求的大规模网络,这种网络实验环境的搭建和维护成本很高；另一方面由于实验过程不可逆,并且具有破坏性,会对真实网络环境造成严重影响。

(3) 实验设备数量有限,实验室开放时间固定,限制了学生自主学习和探索学习的热情与创新能力拓展。需要突破传统实验的时间限制、空间限制和资源限制,支持学生时间上灵活安排、空间上不受限制、实验资源不受约束的实验环境和方法。

(4) 受实验环境的影响,实验内容无法面向其他院校和社会人员共享,受益面窄；远程教学、MOOC等“互联网+教育”模式的实验环节无法开展。

(5) 信息内容安全课程同其他信息安全课程、计算机类课程紧密关联,需要实践教学环节将这些知识与能力贯通。而当前实验环境不适应软硬结合和学生系统能力培养的要求,实验教学体系有待整合,内涵需要提升。

(6) 信息内容安全类实验大多是综合性和创造性实验,需要支持学生自主创新及个性化实验的平台,以及支持多学科内容交叉融合与协同创新的软硬件环境和系统。

2 虚拟仿真云实验平台建设

以上的问题有些不仅是信息内容安全课程面临的问题,也是其他信息安全和网络类课程的共性问题。鉴于此,从2011年起我校计算机学院开始着手建设计算机网络与安全虚拟仿真实验云平台,建设目标是支持大规模组网实验、网络协议开发实验以及网络安全实验。2011年3月启动设计开发基于虚拟机技术的面向信息安全专业实验的网络平台项目；2012年7月完成第一个原型系统；2012年9月通过测试发现不足,改进了平台；2013年3月形成可用于信息内容安全、信息安全概论等课程的实验平台,并具有良好的可扩展性。2013年9月开始在2012级信息安全专业实验课上使用,效果良好。2014年初改进了云平台架构并与原平台集成,目前该平台不仅可以为有关课程提供支持,也可以开放让学生自由进行自主实验,提高学生的创新能力。2014年底开发并集成了面向信息安全对抗赛CTF(capture the flag)的训练比赛平台的训练部分。通过使用该平台学生不仅在课程学习上得到实践动手能力的培养,同时在科技创新及信息安全对抗能力方面得到了培养。

云平台的设计思想基于SDN技术[1-2],其基本架构和功能如图1所示。

在目前的系统规模下,物理设备由8台计算节点服务器、1台一级存储服务器、1台二级存储服务器和1台管理服务器构成。计算节点构成一个主机池,其上运行所有的虚拟主机和虚拟路由器资源；一级存储与计算节点主机池关联,并为其中所有的虚拟机提供磁盘卷,由高性能网卡保证系统数据吞吐率；二级存储负责存储静态存储资源,包括构建虚拟机时用到的系统模板文件(包括操作系统和软件配置)、ISO镜像和磁盘卷快照等。管理服务器通过Cloudstack云管理软件[3]管理所有计算资源、存储资源和网络资源,功能包括虚拟机管理、网络拓扑管理、主机模板管理、环境模板管理、镜像管理和运行实例管理等。整个平台的前端入口网站和服务也运行于管理服务器之上,通过对Cloudstack进行二次开发整合前后端功能,提供的服务包括课程管理、实验管理、用户管理、实验监控、远程桌面和自定义实验,并分别提供了教学基础实验平台入口、学生自主实验平台入口和攻防演练平台入口。其中教学基础实验平台下,在实验开始前由管理员根据课程和实验需求构建实验环境模板,包括安装和配置一套实验环境中用到的所有虚拟机的主机模板,设计网络拓扑结构,配置虚拟路由器。教师根据选课人数启动相应配套的实验环境,学生通过远程桌面在任何时间、地点访问云中的实验环境进行实验。实验过程中教师可以随时监控学生实验情况,通过远程操作提供实验指导。此外,云平台还提供了学生自主实验功能和攻防演练功能,使实验实训课程成为不受时空限制的开放课程，实现了自主实验,推动了人才培养模式的创新。计算机网络与安全虚拟仿真云平台坚持“设备环境虚拟化,实验感受真实化”的设计思想,开发出来的实验在方便学生进行实验的同时,做到让学生在实验过程中身临其境,与真实环境做实验的感受一致。其主要特点如下。

图1 计算机网络与安全虚拟仿真实验云平台架构及功能结构图

(1) 利用最新服务器虚拟化技术[4]建设数据中心云实验室平台,对服务器进行整合,提高了中心机房服务器整体利用率,减轻管理人员负担,降低中心机房整体功耗,减少高校对机房及实验教室的运维成本。

(2) 利用现有的桌面虚拟化应用软件[5]在管理端统一配置,提供现有实验课程需要的环境模板,实现简单快速的部署,实施不同配置需求的实验环境。

(3) 以镜像和快照的方式保存所有的学生实验过程和内容,为后续实验教学资源的构建提供支撑和数据基础。

(4) 建设服务于全校师生的云实验室接入网站,为不同需求的用户提供虚拟实验环境的支持,保证学生可以不受空间和时间的限制,随时随地进行实验。

(5) 系统能够在网络通畅的情况下,保证500名学生(20个左右的小班)同时在线实验，并保留学生3年的实验数据。

当前,计算机网络与安全虚拟仿真云平台已经可以支持大规模组网、主机协议栈开发、路由器协议栈开发、路由协议开发、计算机病毒、网络防火墙、网络安全与防护、网络攻防对抗等计算机网络与安全实验。使用计算机网络与安全虚拟仿真云平台进行实验教学的课程有信息安全概论、信息内容安全、安全程序设计、软件安全、计算机网络等,涵盖专业课程40%,由于该平台采用模块化设计,具有良好的平面扩展性,支持加入实验,实现对其他网络及安全类课程的横向扩展,同时也可以继续深入开发竞赛平台和大规模网络环境的模拟仿真,实现纵向扩展,进一步支持学生创新实践和竞赛演练,预计全部建设完成将达到80%的涵盖率,并将对进一步的MOOC实验教学[6]的开展奠定坚实的基础,对于提升学生的计算机网络与安全实践能力的培养意义重大。

3 信息内容安全实验课程内容建设

有了虚拟仿真云平台的支撑,基于过去信息内容安全实验课程建设中遇到的种种问题,从2012年秋季学期开始,哈尔滨工业大学信息内容安全实验课程进行了全面改革,重新设计了实验项目,并将实验内容全部移到网络安全云实验平台上开展,并且提高了实验考核成绩在期末成绩中所占的比重。具体实验项目设置涵盖了网络内容被动监测和获取类实验,网络文本内容主动获取类实验以及信息内容的匹配和分类实验。

信息内容安全课程网站页面如图2所示,共包括4个实验项目,每个实验项目教学学时为3学时。

图2 信息内容安全实验课程云平台界面

3.1 Winpcap被动捕包实验

被动捕包是指通过旁路监听的方式,收集流经当前网卡的所有数据报文。该技术是所有网络内容相关安全产品实现中非常重要的一环,是安全产品其他功能的基础。被动捕包技术包括硬件和软件两种,本实验项目采用软件实现。实验环境为一台Window虚拟机,采用Codeblocks开发环境,配置安装了Winpcap库[7]。并通过自行开发的发包工具,在虚拟网卡上产生大量数据包。实验要求学生编写程序完成难度递增的多个任务,并根据学生的完成情况给分。该实验项目在云实验环境的支持下,实现了以前难以考核的实验任务,如根据协议类型对数据包分类,提取多媒体数据等,使得不同层次学生都能得到锻炼。同时,由于各自独立的实验环境中产生的仿真实验流量相同,能够客观地依据程序效率判别优劣。

3.2 网络论坛爬虫实验

信息内容安全技术的基础是如何获取网络上的内容,网络爬虫就是一种按照一定规则,自动的抓取互联网内容的程序。本实验项目的环境为2台虚拟机,一台可见,可以远程登录操作；一台隐藏,IP地址固定,仅能通过程序访问,不能在外部远程登录。爬虫程序要求使用Python完成,采用Scrapy爬虫框架[8],在操作机的虚拟机模板中都已经配置好相应的程序框架,学生只需编程完成自己的程序功能。隐藏主机配置基于百度贴吧的论坛内容镜像,模拟在线网络论坛,学生可以通过爬虫程序获取内容。基于云平台的仿真环境,将流量限制在每个独立实验环境的内容,很好地解决了网络带宽资源无法满足大量网络爬虫程序同时运行的需求。

3.3 URL字符串匹配实验

字符串匹配技术是计算机领域的经典问题,同时也是信息内容安全系统的关键技术之一,由于网络信息内容数据量大,应用需求多样性等特点也对串匹配技术提出了新的挑战。实验项目环境为一台Window虚拟机,采用Codeblocks开发环境,实验给出了标准的单模式KMP算法[9],多模式AC算法[10]、WM算法[11]和来源于学校优秀科研成果自主研发的NameLookup算法和Rfp-Wm算法[12],供学生对比测试。要求学生根据在虚拟机上给出的多个Url数据集修改已有算法。由于每套实验环境都采用相同的虚拟机配置参数,最后会根据在虚拟机上,相同数据集下匹配算法的运行时间进行评价打分。

3.4 网页新闻内容文本分类实验

高效成熟的文本自动分类技术在特定信息内容识别、舆情分析、搜索引擎、自动信息抽取、用户信息过滤等信息内容安全相关领域,都有广泛的应用前景[13]。该实验的环境采用一台Windows虚拟机,环境中给出了基本的程序框架,让学生按照如下的文本分类过程开发程序：(1)收集训练集和测试集,对文本进行预处理；(2)对文本类别进行人工标注；(3)对文本进行特征提取；(4)训练(学习)；(5)评价,需要给出包括精确率、召回率、F1、宏平均、微平均等常见评价指标。其中,前两步在实验环境中已经实现,给出的数据集为海量新闻内容,并根据类别分为教育、科研、体育等10个类别,数据集的来源也是出自我校优秀的科研成果。实验要求学生实现决策树、朴素贝叶斯、K临近等文本分类方法。

4 实验课成绩考核与教学效果分析

由于信息内容安全课程体系中对实验技能有很高的要求,我们在课程考核中加大了实验成绩的占比,占期末成绩的30%。在实验课考核上,根据实验完成结果、实验操作和实验报告进行综合评定。在云平台上给出了每个实验详尽的实验指导书、具体的实验考核标准、实验平台会记录学生的登录情况和收集学生的操作日志,教师可以远程查看和操作学生端虚拟机。云平台上学生的实际情况可以作为成绩的评定依据。

为了衡量采用云平台后的实验教学效果,我们记录了每名学生每次实验的登录地点并进行了量化统计,如图3所示；同时统计出了每个实验的具体完成情况,如表1所示。

图3 实验登录地点统计

表1 实验完成情况统计表

由于采用了基于云平台的开放式教学,学生的实验地点不再集中在软件实验室,学生可以根据自己的实际情况选择实验地点,一方面节约了实验室的硬件资源和人力资源,另一方面提高了学生自主实验的积极性。根据实验的完成情况,可见每名学生都能完成全部实验,优秀率也反映出实验整体完成效果比较好。

同时,图4统计了学生登录时间在一天24小时内的分布情况,可见虚拟化实验平台24小时开放的模式大大分散了学生的实验时间,学生可以根据课程要求和自己的实际情况合理安排实验时间,同时也提高了实验平台的利用率。

图4 实验平台登录时间统计

6 结语

针对信息内容安全实验教学中的问题,本文给出了依托虚拟实验云平台进行的实验项目建设,并分析了实验教学效果。相比于原有实验方法,通过建立虚拟仿真实验中心,在资源约束、空间约束和时间约束的现有实验条件下彻底突破了传统课堂教学和实验课程教学模式,打破了传统的实验模式在固定时间、固定地点和可获取知识信息量有限等方面的制约,突破了场地的限制、时间的限制以及资源的限制,能够面向更多学生开出更多的实验,给学生更多参与实践的机会,符合信息内容安全课程的实验教学的需求,并且完全可以在其他课程中进行推广,支持远程、异地、虚拟实验,有助于从MOOC过渡到MOOE,实现实验教学手段的电子化、网络化和信息化,从而提高教学效果,提升学生的实践能力。

References)

[1] 张朝昆,崔勇,唐翯祎,等. 软件定义网络(SDN)研究进展[J]. 软件学报,2015,26(1)：62-81.

[2] 宋平,刘轶,刘驰,等. 一种支持细粒度并行的SDN虚拟化编程框架[J]. 软件学报,2014,25(10)：2220-2234.

[3] 吴常清,王慧敏,薛涛. 基于CloudStack的私有云平台的构建与实现[J]. 西安工程大学学报,2014,28(2)：220-224.

[4] 姜伟,马静岩,石丹. 服务器虚拟化在高校计算机实验室的应用研究[J]. 实验技术与管理, 2012,29(1):114-115.

[5] 金彪,郑小建,姚志强,等. 桌面虚拟化与计算机实验室管理[J]. 实验技术与管理,2014,31(2):85-88.

[6] 崔贯勋. 基于云计算技术的MOOC实践教学平台[J]. 实验室研究与探索,2015,34(8):119-123.

[7] 沈辉,张龙. 基于WinPcap的网络数据监测及分析[J].计算机科学,2012,39(s2):15-18.

[8] 赵本本,殷旭东,王伟. 基于Scrapy的GitHub数据爬虫[J].电子技术与软件工程,2016(6):199-202.

[9] 李静. 字符串的模式匹配算法：基于KMP算法的讨论[J].青岛科技大学学报(自然科学版) ,2002,23(2):78-80.

[10] 徐东亮,张宏莉,姚崇崇. 基于GPU的并行高性能AC算法[J].智能计算机与应用,2015,5(2):1-3.

[11] 董迎亮,玄雪花,王德民. 基于WM算法改进的多模式匹配算法[J].吉林大学学报(信息科学版),2011,29(4):383-387.

[12] 徐东亮. 高性能在线模式匹配算法研究[D]. 哈尔滨：哈尔滨工业大学,2015.

[13] 万国根,秦志光. 面向信息内容安全的文本过滤和分类系统研究与实现[J]. 计算机科学,2005,32(7):159-161.

Construction of Information Content Security experimental course based on virtual simulation cloud platform

Shi Jiantao, Li Xiukun, Zhang Hongli

(School of Computer Science and Technology,Harbin Institute of Technology,Harbin 150001, China)

The Information Content Security course is one of the core courses for undergraduate and graduate students of Information Security major in Harbin Institute of Technology. The teaching content has not only a certain theoretical depth,but also the very high request to the practical ability of the students. To solve the problems in the experimental teaching of Information Content Security course,the construction of the experimental projects is based on the computer system of the Virtual Simulation Experiment Teaching Center of Harbin Institute of Technology, which can help complete the transfer from the traditional experimental teaching platform to the virtual simulation teaching cloud platform. The new mode of experimental teaching is realized which obeys the principle of “The far is real and the near is virtual, the time is supplied by the virtual, and the virtual is verified by the real.” The reform of curriculum integration and practical teaching system is promoted. As a result,the good teaching effect is received.

network simulation; content security; cloud computing; experimental teaching

10.16791/j.cnki.sjg.2017.04.003

2016-10-14

国家自然科学基金(61402137)资助

史建焘(1980—)，男，黑龙江哈尔滨，博士，工程师，主要从事计算机网络、云计算、信息安全等方面的研究.

E-mail：shijiantao@hit.edu.cn

TP391.9;G642.423

A

1002-4956(2017)4-0009-05