《入侵檢測與防御原理及實踐（微課版）》-課程大綱

《入侵檢測技術(shù)》課程教學(xué)大綱課程編號：課程類型：專業(yè)課課程名稱：入侵檢測技術(shù)學(xué)時學(xué)分：48學(xué)時，3學(xué)分（其中：理論16學(xué)時，實驗32學(xué)時）適用專業(yè)：信息安全開課單位：開課時間：第5學(xué)期一、課程定位本課程是信息安全本科專業(yè)的9門核心課程之一，是專業(yè)課程平臺中的一門專業(yè)綜合課程。本課程采用理實一體的教學(xué)方式，要求學(xué)生掌握網(wǎng)絡(luò)入侵的基本概念及典型方法，掌握入侵檢測系統(tǒng)的基本模型、工作模式和部署方式，掌握入侵防御系統(tǒng)的功能、原理與部署、關(guān)鍵技術(shù)，并以商用的思科入侵防御系統(tǒng)和開源的Snort為例掌握入侵檢測系統(tǒng)的部署和應(yīng)用。二、課程目標(biāo)序號課程目標(biāo)畢業(yè)要求指標(biāo)點1目標(biāo)1：知識目標(biāo)（1）理解網(wǎng)絡(luò)入侵的基本概念及典型方法；（2）理解入侵檢測系統(tǒng)的基本模型、工作模式和部署方式；（3）理解入侵防御系統(tǒng)的功能、原理與部署、關(guān)鍵技術(shù)；（4）掌握商用CISCOIPS的部署、安裝及配置；（5）掌握開源Snort的部署、安裝及配置。1.工程知識：系統(tǒng)掌握從事信息安全專業(yè)相關(guān)工程工作所需的數(shù)學(xué)、自然科學(xué)、工程基礎(chǔ)知識和專業(yè)知識，能夠綜合應(yīng)用上述知識解決信息安全領(lǐng)域，特別是工業(yè)信息安全相關(guān)的復(fù)雜工程問題。5.使用現(xiàn)代工具：能夠在信息安全復(fù)雜工程問題的分析、研究和解決過程中，開發(fā)、選擇與使用恰當(dāng)?shù)募夹g(shù)、資源、現(xiàn)代工程工具和信息技術(shù)工具，對復(fù)雜工程問題進(jìn)行預(yù)測、模擬、分析、解決方案設(shè)計，并能夠理解其局限性。2目標(biāo)2：能力目標(biāo)（1）具備根據(jù)需求制定入侵檢測解決方案的能力；（2）具備根據(jù)需求進(jìn)行入侵檢測系統(tǒng)的安裝、部署的能力；（3）具備對CISCOIPS進(jìn)行配置、優(yōu)化和故障排除的能力；（4）具備對開源Snort進(jìn)行配置、優(yōu)化和故障排除的能力；1.工程知識：系統(tǒng)掌握從事信息安全專業(yè)相關(guān)工程工作所需的數(shù)學(xué)、自然科學(xué)、工程基礎(chǔ)知識和專業(yè)知識，能夠綜合應(yīng)用上述知識解決信息安全領(lǐng)域，特別是工業(yè)信息安全相關(guān)的復(fù)雜工程問題。5.使用現(xiàn)代工具：能夠在信息安全復(fù)雜工程問題的分析、研究和解決過程中，開發(fā)、選擇與使用恰當(dāng)?shù)募夹g(shù)、資源、現(xiàn)代工程工具和信息技術(shù)工具，對復(fù)雜工程問題進(jìn)行預(yù)測、模擬、分析、解決方案設(shè)計，并能夠理解其局限性。3目標(biāo)3：素質(zhì)目標(biāo)（1）培養(yǎng)正確的人生觀、價值觀和責(zé)任意識；（2）培養(yǎng)獨(dú)立的自主學(xué)習(xí)能力；（3）培養(yǎng)新技術(shù)的應(yīng)用能力和分析解決實際問題的能力；5.使用現(xiàn)代工具：能夠在信息安全復(fù)雜工程問題的分析、研究和解決過程中，開發(fā)、選擇與使用恰當(dāng)?shù)募夹g(shù)、資源、現(xiàn)代工程工具和信息技術(shù)工具，對復(fù)雜工程問題進(jìn)行預(yù)測、模擬、分析、解決方案設(shè)計，并能夠理解其局限性三、教學(xué)內(nèi)容與要求序號教學(xué)內(nèi)容教學(xué)要求建議學(xué)時重點難點教學(xué)方法和手段1網(wǎng)絡(luò)入侵與攻擊思政要點：網(wǎng)絡(luò)入侵事件——安全意識、責(zé)任意識、愛國精神培養(yǎng)正確的人生觀、價值觀和責(zé)任意識；熟知安全教育掌握網(wǎng)絡(luò)入侵的基本概念了解網(wǎng)絡(luò)入侵的典型方法培養(yǎng)學(xué)生初步具備根據(jù)需求識別入侵模式的能力2重點：網(wǎng)絡(luò)入侵的流程常見的網(wǎng)絡(luò)入侵方法方法：講授法、任務(wù)驅(qū)動法、項目式教學(xué)手段：PPT、虛擬機(jī)了解典型的網(wǎng)絡(luò)入侵事件掌握網(wǎng)絡(luò)入侵應(yīng)對培養(yǎng)學(xué)生初步具備根據(jù)需求識別入侵模式的能力2重點：網(wǎng)絡(luò)入侵的應(yīng)對策略掌握常用網(wǎng)絡(luò)安全工具培養(yǎng)學(xué)生初步具備根據(jù)需求制定入侵檢測解決方案的能力4重點：常見的網(wǎng)絡(luò)入侵方法方法：講授法、實驗法、任務(wù)驅(qū)動法手段：PPT、虛擬機(jī)、網(wǎng)絡(luò)資源2入侵檢測與防御原理思政要點：聯(lián)動響應(yīng)機(jī)制——團(tuán)結(jié)培養(yǎng)誠實守信、愛崗敬業(yè)的品質(zhì)培養(yǎng)良好的職業(yè)操守與安全規(guī)范意識了解網(wǎng)絡(luò)安全主動防御技術(shù)體系了解入侵檢測與防御的基本概念和分類培養(yǎng)學(xué)生具備搭建主動防御體系的能力2重點：主動防御與被動防御的區(qū)別難點：根據(jù)需要搭建主動防御體系方法：講授法、任務(wù)驅(qū)動法手段：PPT、網(wǎng)絡(luò)資源理解入侵檢測與防御的基本模型掌握入侵檢測與防御的工作模式及部署培養(yǎng)學(xué)生具備根據(jù)需求進(jìn)行入侵檢測系統(tǒng)的安裝、部署的能力2重點：入侵檢測的基本模型IDS和IPS的區(qū)別IPS的部署掌握入侵檢測系統(tǒng)的體系架構(gòu)了解入侵檢測與防御的流程培養(yǎng)學(xué)生具備根據(jù)需求制定入侵檢測解決方案的能力2重點：入侵檢測的過程難點：獲取入侵檢測的數(shù)據(jù)理解信息收集與分析理解告警與響應(yīng)培養(yǎng)學(xué)生具備根據(jù)需求制定入侵檢測解決方案的能力2重點：告警與響應(yīng)難點：聯(lián)動響應(yīng)機(jī)制理解入侵檢測與防御系統(tǒng)的關(guān)鍵技術(shù)培養(yǎng)學(xué)生具備根據(jù)需求制定入侵檢測解決方案的能力2重點：IP分片技術(shù)包重組技術(shù)理解入侵檢測與防御系統(tǒng)的關(guān)鍵技術(shù)培養(yǎng)學(xué)生具備根據(jù)需求制定入侵檢測解決方案的能力2重點：應(yīng)用識別技術(shù)安全防護(hù)技術(shù)3CISCOIPS思政要點：策略配置——全局意識培養(yǎng)分析解決實際問題的能力培養(yǎng)安全規(guī)范意識和動手能力掌握模擬環(huán)境配置掌握IPS接口配置培養(yǎng)學(xué)生具備對CISCOIPS進(jìn)行配置、優(yōu)化和故障排除的能力4重點：IPS接口模式方法：講授法、任務(wù)驅(qū)動法、項目式教學(xué)手段：PPT、虛擬機(jī)、GNS3模擬器、網(wǎng)絡(luò)資源理解IPS引擎理解正則表達(dá)式匹配掌握思科安全I(xiàn)PS防御系統(tǒng)部署培養(yǎng)學(xué)生具備對CISCOIPS進(jìn)行配置、優(yōu)化和故障排除的能力4重點：IPS部署難點：正則表達(dá)式匹配理解IPS的策略配置理解IPS事件動作規(guī)則培養(yǎng)學(xué)生具備對CISCOIPS進(jìn)行配置、優(yōu)化和故障排除的能力4重點：Signature配置難點：根據(jù)需要創(chuàng)建IPS規(guī)則4Snort思政要點：Snort規(guī)則選項——風(fēng)險意識培養(yǎng)正確的人生觀、價值觀和責(zé)任意識培養(yǎng)分析解決實際問題的能力培養(yǎng)新技術(shù)的應(yīng)用能力、良好的動手能力了解Snort的體系結(jié)構(gòu)掌握Snort的的部署方式、工作模式、工作流程等掌握Snort2的安裝及配置掌握常用的Snort命令行參數(shù)了解Snort預(yù)處理器培養(yǎng)學(xué)生具備對開源Snort進(jìn)行配置、優(yōu)化和故障排除的能力4重點：常用的Snort命令行參數(shù)難點：三種工作模式方法：講授法、任務(wù)驅(qū)動法、項目式教學(xué)手段：PPT、虛擬機(jī)、Snort、網(wǎng)絡(luò)資源掌握Snort3的安裝及配置掌握Snort告警輸出格式了解Snort3功能組件的安裝及配置了解Snort3的檢查器培養(yǎng)學(xué)生具備對開源Snort進(jìn)行配置、優(yōu)化和故障排除的能力4重點：安裝及配置置難點：故障排除掌握Snort規(guī)則的基本語法、存儲結(jié)構(gòu)掌握規(guī)則的組成掌握Snort常用的規(guī)則選項培養(yǎng)學(xué)生具備對開源Snort進(jìn)行配置、優(yōu)化和故障排除的能力4重點：規(guī)則的組成常用的規(guī)則選項難點：規(guī)則選項的使用掌握Snort常用的規(guī)則選項掌握規(guī)則的編寫與測試培養(yǎng)學(xué)生具備對開源Snort進(jìn)行配置、優(yōu)化和故障排除的能力4重點：常用的規(guī)則選項難點：規(guī)則的編寫合計481.備課準(zhǔn)備提前了解所授課班級學(xué)生學(xué)習(xí)的基本情況，提前了解實驗課程所使用設(shè)備及實驗內(nèi)容。2.課后答疑第一次上課與學(xué)生預(yù)定答疑時間、地點等，與全體學(xué)生或?qū)W生干部、課代表建立通暢的信息溝通渠道，及時了解學(xué)生學(xué)習(xí)中遇到的問題和困難并給予指導(dǎo)。并在答疑的過程中收集學(xué)生對本次課的反饋信息，作為后續(xù)授課方法、思路調(diào)整的依據(jù)。3.作業(yè)布置作業(yè)組成由教材每章課后習(xí)題+自設(shè)題目。四、實踐教學(xué)本課程開設(shè)4個實驗項目，0個實訓(xùn)項目，其中綜合性實驗1個，分別是項目四：Snort的規(guī)則等；設(shè)計性實驗1個，分別是項目二：CISCOIPS。項目一：網(wǎng)絡(luò)入侵（建議學(xué)時：4學(xué)時）（1）目的：了解網(wǎng)絡(luò)入侵的基本概念及典型的網(wǎng)絡(luò)入侵事件，了解網(wǎng)絡(luò)入侵的分類，理解網(wǎng)絡(luò)入侵的流程，掌握常見的網(wǎng)絡(luò)攻擊方法。（2）內(nèi)容：根據(jù)網(wǎng)絡(luò)入侵的流程，掌握網(wǎng)絡(luò)掃描、ARP欺騙攻擊、拒絕服務(wù)攻擊等常見網(wǎng)絡(luò)攻擊方法。（3）步驟：=1\*GB3①按照實踐教學(xué)指導(dǎo)書要求完成虛擬環(huán)境部署；=2\*GB3②根據(jù)需求利用網(wǎng)絡(luò)掃描軟件NMAP進(jìn)行網(wǎng)絡(luò)掃描；=3\*GB3③根據(jù)實踐指導(dǎo)書提示，利用hping3、ab進(jìn)行拒絕服務(wù)攻擊；④根據(jù)實踐指導(dǎo)書提示，利用Ettercap進(jìn)行ARP欺騙攻擊。（4）分組：單人一組。（5）儀器設(shè)備要求：電腦、VMwareWorkstation、KALILinux虛擬機(jī)、WIN7虛擬機(jī)項目二：CISCOIPS（建議學(xué)時：12學(xué)時）（1）目的：掌握商用的CISCO入侵防御系統(tǒng)的原理、環(huán)境搭建、安裝、配置、優(yōu)化和故障排除等。（2）內(nèi)容：利用GNS3模擬器完成CISCOIPS的配置，實現(xiàn)雜合模式、接口對模式的配置。（3）步驟：=1\*GB3①按照實踐教學(xué)指導(dǎo)書要求完成模擬環(huán)境配置；=2\*GB3②根據(jù)需求完成IPS雜合模式配置；=3\*GB3③根據(jù)實踐指導(dǎo)書提示，完成IPS接口對模式的配置；④根據(jù)實踐指導(dǎo)書提示，完成IPS的Signature的配置。（4）分組：單人一組。（5）儀器設(shè)備要求：電腦、VMwareWorkstation、GNS3、CISCOIPS鏡像、KALILinux虛擬機(jī)、WIN7虛擬機(jī)項目三：Snort2的安裝與配置（建議學(xué)時：4學(xué)時）（1）目的：掌握開源入侵檢測系統(tǒng)Snort2的安裝、部署、預(yù)處理器及輸出插件配置、規(guī)則測試等。（2）內(nèi)容：完成Snort2的安裝、部署、預(yù)處理器及輸出插件配置、規(guī)則測試等。（3）步驟：=1\*GB3①按照實踐教學(xué)指導(dǎo)書要求完成Snort2主要安裝包的下載和環(huán)境部署；=2\*GB3②根據(jù)需求完成Snort2的安裝及配置；=3\*GB3③根據(jù)實踐指導(dǎo)書提示，完成規(guī)則的編寫及測試；④根據(jù)實踐指導(dǎo)書提示，完成預(yù)處理器及輸出插件的配置。（4）分組：單人一組。（5）儀器設(shè)備要求：電腦、Wireshark、Snort2、Snort規(guī)則文件項目四：Snort的規(guī)則（建議學(xué)時：12學(xué)時）（1）目的：掌握開源入侵檢測系統(tǒng)Snort3的安裝與配置，掌握Snort規(guī)則的語法、獲取規(guī)則的方式以及自定義規(guī)則的編寫與測試。（2）內(nèi)容：完成開源入侵檢測系統(tǒng)Snort3的安裝與配置，編寫自定義規(guī)則，修改配置文件應(yīng)用自定義規(guī)則，利用Scapy構(gòu)造敏感數(shù)據(jù)包測試Snort自定義規(guī)則。（3）步驟：=1\*GB3①按照實踐教學(xué)指導(dǎo)書要求完成Snort3的安裝與配置；=2\*GB3②根據(jù)需求編寫自定義規(guī)則并修改配置文件應(yīng)用此規(guī)則；=3\*GB3③根據(jù)實踐指導(dǎo)書提示，利用Scapy構(gòu)造敏感數(shù)據(jù)包測試Snort自定義規(guī)則；④驗證Snort是否檢測到此敏感流量。（4）分組：單人一組。（5）儀器設(shè)備要求：電腦、VMwareWorkstation、Wireshark、Snort3、Snort規(guī)則文件、libdnet等相關(guān)依賴包、Scapy五、考核及成績評定方式1.考核方式：考試2.成績評定辦法（1）成績評定構(gòu)成：總成績=過程考核×40%﹢結(jié)課考核×60%（2）成績評定細(xì)則：課程成績評定細(xì)則考核環(huán)節(jié)考核形式考核細(xì)則過程考核40%課堂表現(xiàn)5%為調(diào)動學(xué)生參與課程學(xué)習(xí)的積極性，詳細(xì)記錄學(xué)生出勤、課堂討論、提問、互動等情況，并根據(jù)學(xué)生對各章節(jié)知識點的理解與掌握情況評定成績。評分標(biāo)準(zhǔn)：按照0-100分評分。缺勤學(xué)時達(dá)到總學(xué)時三分之一，將取消考試資格。每曠課1課時扣2分，遲到或早退1次扣1分。平時作業(yè)10%根據(jù)平時測試、練習(xí)、報告等環(huán)節(jié)考核學(xué)生對各章節(jié)知識點的理解與掌握。評分依據(jù)：每份作業(yè)（或測驗）按照0-100分評分，計算平均成績作為該課程的平時作業(yè)成績。作業(yè)（或測驗）未提交次數(shù)達(dá)到總次數(shù)三分之一，將取消考試資格。要求獨(dú)立完成作業(yè)（或測驗），雷同作業(yè)（或測驗作弊）按0分處理。。實驗成績25%通過實驗項目的實施，可以幫助學(xué)生了解自己對知識和技術(shù)的綜合應(yīng)用能力。本課程安排4個實驗項目，學(xué)生進(jìn)行實驗操作后撰寫并提交實驗報告。評分標(biāo)準(zhǔn)：每次實驗按照0-100分評分，評分主要依據(jù)學(xué)生實驗過程的具體表現(xiàn)以及實驗報告完成情況。計算4次實驗的平均成績作為該課程的實驗項目成績。實驗未完成次數(shù)達(dá)到總次數(shù)三分之一，將取消考試資格。要求獨(dú)立完成實驗，雷同實驗報告按0分處理。結(jié)課考核60%結(jié)課考試60%考核學(xué)生對各章知識的掌握情況以及應(yīng)用所學(xué)知識對信息安全工作機(jī)制進(jìn)行綜合分析的能力。該環(huán)節(jié)為結(jié)果性考核，考試形式為筆試、閉卷考試，考試時長為90分鐘。每份試卷以1-100分評判，占總成績的60%。試卷分為A、B兩套試卷，并附有參考答案和評分標(biāo)準(zhǔn)(主觀性試題給出評分要點)。試卷包括選擇題（20%）、填空題（20%）、簡答題（30%）、分析題（30%）共4種題型。合計100%六、與其他課程的聯(lián)系1.先修課程及聯(lián)系：計算機(jī)網(wǎng)絡(luò)與協(xié)議分析基礎(chǔ)、工業(yè)控制系統(tǒng)與工業(yè)網(wǎng)絡(luò)、工控網(wǎng)絡(luò)安全設(shè)備配置，其中《計算機(jī)網(wǎng)絡(luò)與協(xié)議分析基礎(chǔ)》為本課程提供了網(wǎng)絡(luò)相關(guān)的基礎(chǔ)知識，《工業(yè)控制系統(tǒng)與工業(yè)網(wǎng)絡(luò)》和《工控網(wǎng)絡(luò)安全設(shè)備配置》為本課程提供了工業(yè)網(wǎng)絡(luò)安全相關(guān)的基礎(chǔ)知識、環(huán)境、安全設(shè)備和相關(guān)技術(shù)等。2.后續(xù)課程及聯(lián)系：工業(yè)信息安全工程管理。本課程為《工業(yè)信息安全工程管理》提供了實現(xiàn)工業(yè)信息安全所需的入侵檢測技術(shù)及應(yīng)對方案。七、教材及參考資料1.推薦教材：[1]廖旭金，曹鵬飛，王秀英等.入侵檢測與防御原理及實踐（微課版）[M].