《通信網(wǎng)絡安全與防護》 教案 課次9-第五章 網(wǎng)絡防護技術(shù)（下）-教案

《通信網(wǎng)絡安全與防護》課程教案授課時間2021年4月8日周四1-2節(jié)課次9授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學章、節(jié)或主題）：第五章網(wǎng)絡防護技術(shù)（下）教學目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握入侵檢測系統(tǒng)的基本概念，熟悉入侵檢測系統(tǒng)的體系結(jié)構(gòu);（2）掌握入侵檢測系統(tǒng)的檢測方法;（3）掌握蜜罐與蜜網(wǎng)基本概念，熟悉蜜罐的分類，了解蜜罐的搭建方法。教學重點及難點：重點：入侵檢測系統(tǒng)的檢測分析方法；難點：木馬的傳播方法。課堂教學設計（含思政）：本次課教學中注重運用對比分析、實例講解的教學方法，對比分析入侵檢測系統(tǒng)與蜜罐技術(shù)在攻擊檢測技術(shù)及結(jié)果運用中的差別，加深學員對知識的理解；在講解入侵檢測規(guī)則時，采用實例講解，使抽象的問題直觀化。教學中注重技術(shù)與應用結(jié)合，介紹軍事網(wǎng)絡中的入侵檢測系統(tǒng)裝備及應用。教學中注重與學員的教學互動，引導學員結(jié)合自己平時的認知對照學習。思政要素切入點：通過對入侵檢測技術(shù)與蜜罐技術(shù)的講解，使學生認識到網(wǎng)絡攻防對抗的動態(tài)性，增強整體防護意識，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴謹細致的工作習慣，促進職業(yè)素養(yǎng)提高。教學基本內(nèi)容課堂教學設計回顧與引入：回顧上節(jié)課主要內(nèi)容，通過三個測試題檢驗學員對知識點掌握情況；對本次課的主要內(nèi)容進行介紹，并明確本次課教學目標。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）5.2入侵檢測系統(tǒng)一、入侵檢測系統(tǒng)基本概念入侵（Intrusion）：是指對任何企圖危及系統(tǒng)及資源的完整性、機密性和可用性的活動。入侵檢測（IntrusionDetection）即對入侵行為的發(fā)覺，是指通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡上可獲得的信息及計算機系統(tǒng)中關(guān)鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）：即進行入侵檢測的軟件或硬件的組合。1.入侵檢測的發(fā)展歷史和發(fā)展趨勢誕生、發(fā)展歷程、發(fā)展趨勢2.入侵檢測的類型1）基于主機的入侵檢測系統(tǒng)（Host-BasedIDS,簡稱HIDS）2）基于網(wǎng)絡的入侵檢測系統(tǒng)（Network-BasedIDS,簡稱NIDS）3）分布式入侵檢測系統(tǒng)（DistributedIDS,簡稱DIDS）二、入侵檢測系統(tǒng)的體系結(jié)構(gòu)1．體系結(jié)構(gòu)的演變過程2．通用入侵檢測框架3.現(xiàn)有IDS體系結(jié)構(gòu)的局限性三、入侵檢測系統(tǒng)的檢測方法1．基于異常的檢測分析方法異常檢測是目前入侵檢測系統(tǒng)分析方法研究的重點，其特點是通過對系統(tǒng)異常行為的檢測，可以歸結(jié)出未知攻擊。異常檢測的關(guān)鍵問題在于正常使用模型的建立，以及如何通過正常使用模型對當前的系統(tǒng)行為進行比較，從而判斷出與正常模型的偏離程度。常用的異常檢測方法有：1）基于統(tǒng)計方法的異常檢測2）基于數(shù)據(jù)挖掘技術(shù)的異常檢測3）基于神經(jīng)網(wǎng)絡的異常檢測2．基于誤用的檢測分析方法誤用（Misuse）：指“可以用某種規(guī)則、方式、模型表示的入侵攻擊或其他安全相關(guān)行為”。基于誤用的入侵檢測（MisuseDetection）技術(shù)：通過某種方式預先定義入侵行為，然后監(jiān)視系統(tǒng)的運行，井根據(jù)所建立的這種入侵模式來檢測入侵，并從中找出符合預先定義規(guī)則的入侵行為。3.常用的誤用檢測技術(shù)1）模式匹配例如協(xié)議匹配、字符串匹配、長度匹配、累積匹配或增量匹配等；2）協(xié)議分析技術(shù)將協(xié)議分析與模式匹配相結(jié)合，可以獲得更高的效率和更精確的結(jié)果。5.4蜜罐與蜜網(wǎng)一、蜜罐的基本概念蜜罐（honeypot）是一種價值在于被探測、攻擊、破壞的系統(tǒng)，是一種網(wǎng)絡管理員可以監(jiān)視、觀察攻擊者行為的系統(tǒng)。引入蜜罐的目的：一是分散攻擊者的注意力；二是收集同攻擊和攻擊者有關(guān)的信息。二、蜜罐的關(guān)鍵技術(shù)1．網(wǎng)絡欺騙技術(shù)2．數(shù)據(jù)控制技術(shù)3．數(shù)據(jù)收集技術(shù)4．報警技術(shù)5．入侵行為重定向技術(shù)三、蜜罐的分類1．從應用層面分為產(chǎn)品型蜜罐和研究型蜜罐兩種。2．按交互等級分為低交互、中交互、高交互三種蜜罐。蜜罐主機的一個重要特性就是其交互等級。交互等級：是指攻擊者可以同蜜罐主機所在的操作系統(tǒng)的交互程度。四、蜜網(wǎng)蜜網(wǎng)（Honeynet）是一個網(wǎng)絡系統(tǒng)，而并非某臺單一的主機，這一網(wǎng)絡系統(tǒng)是隱藏在防火墻后面的，所有進出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)可供我們研究分析入侵者們使用的工具、方法及動機。蜜罐與蜜網(wǎng)的實現(xiàn)方法：利用Snort軟件安裝利用HoneyD軟件安裝2021兩會期間，知道創(chuàng)宇提供免費試用“云蜜罐”服務，云安全已經(jīng)成為新的發(fā)展方向。內(nèi)容小結(jié)：IDS基本概念、發(fā)展歷程、發(fā)展趨勢、體系結(jié)構(gòu)；HIDS、NIDS、DIDS；IDS的體系結(jié)構(gòu)；誤用檢測、異常檢測；蜜罐的價值、蜜罐的關(guān)鍵技術(shù)、蜜罐的分類；板書提綱：$5.2入侵檢測系統(tǒng)一、基本概念分類：HIDS、NIDS、DIDS發(fā)展歷程發(fā)展趨勢二、體系結(jié)構(gòu)CIDF三、入侵檢測分析技術(shù)異常檢測誤用檢測$5.4蜜罐與蜜網(wǎng)基本概念關(guān)鍵技術(shù)分類蜜網(wǎng)知識擴展：課下搜集云安全的進展。全程PPT輔助講解通過設問防火墻能不能給我們提供安全的保證？引出教學內(nèi)容類比：病毒查殺的兩種技術(shù)，行為監(jiān)測法與特征代碼法。對比分析：異常檢測是給正常行為給出刻畫，不符合則認為是入侵；誤用檢測是給攻擊行為給出刻畫，符合了則是入侵。結(jié)合實例分析結(jié)合實例分析