《通信网络安全与防护》 教案 课次9-第五章 网络防护技术（下）-教案

《通信网络安全与防护》课程教案授课时间2021年4月8日周四1-2节课次9授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第五章网络防护技术（下）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）掌握入侵检测系统的基本概念，熟悉入侵检测系统的体系结构;（2）掌握入侵检测系统的检测方法;（3）掌握蜜罐与蜜网基本概念，熟悉蜜罐的分类，了解蜜罐的搭建方法。教学重点及难点：重点：入侵检测系统的检测分析方法；难点：木马的传播方法。课堂教学设计（含思政）：本次课教学中注重运用对比分析、实例讲解的教学方法，对比分析入侵检测系统与蜜罐技术在攻击检测技术及结果运用中的差别，加深学员对知识的理解；在讲解入侵检测规则时，采用实例讲解，使抽象的问题直观化。教学中注重技术与应用结合，介绍军事网络中的入侵检测系统装备及应用。教学中注重与学员的教学互动，引导学员结合自己平时的认知对照学习。思政要素切入点：通过对入侵检测技术与蜜罐技术的讲解，使学生认识到网络攻防对抗的动态性，增强整体防护意识，养成日常管网用网严谨细致的工作习惯，促进职业素养提高。教学基本内容课堂教学设计回顾与引入：回顾上节课主要内容，通过三个测试题检验学员对知识点掌握情况；对本次课的主要内容进行介绍，并明确本次课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）5.2入侵检测系统一、入侵检测系统基本概念入侵（Intrusion）：是指对任何企图危及系统及资源的完整性、机密性和可用性的活动。入侵检测（IntrusionDetection）即对入侵行为的发觉，是指通过收集和分析网络行为、安全日志、审计数据、其它网络上可获得的信息及计算机系统中关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统（IntrusionDetectionSystem，IDS）：即进行入侵检测的软件或硬件的组合。1.入侵检测的发展历史和发展趋势诞生、发展历程、发展趋势2.入侵检测的类型1）基于主机的入侵检测系统（Host-BasedIDS,简称HIDS）2）基于网络的入侵检测系统（Network-BasedIDS,简称NIDS）3）分布式入侵检测系统（DistributedIDS,简称DIDS）二、入侵检测系统的体系结构1．体系结构的演变过程2．通用入侵检测框架3.现有IDS体系结构的局限性三、入侵检测系统的检测方法1．基于异常的检测分析方法异常检测是目前入侵检测系统分析方法研究的重点，其特点是通过对系统异常行为的检测，可以归结出未知攻击。异常检测的关键问题在于正常使用模型的建立，以及如何通过正常使用模型对当前的系统行为进行比较，从而判断出与正常模型的偏离程度。常用的异常检测方法有：1）基于统计方法的异常检测2）基于数据挖掘技术的异常检测3）基于神经网络的异常检测2．基于误用的检测分析方法误用（Misuse）：指“可以用某种规则、方式、模型表示的入侵攻击或其他安全相关行为”。基于误用的入侵检测（MisuseDetection）技术：通过某种方式预先定义入侵行为，然后监视系统的运行，井根据所建立的这种入侵模式来检测入侵，并从中找出符合预先定义规则的入侵行为。3.常用的误用检测技术1）模式匹配例如协议匹配、字符串匹配、长度匹配、累积匹配或增量匹配等；2）协议分析技术将协议分析与模式匹配相结合，可以获得更高的效率和更精确的结果。5.4蜜罐与蜜网一、蜜罐的基本概念蜜罐（honeypot）是一种价值在于被探测、攻击、破坏的系统，是一种网络管理员可以监视、观察攻击者行为的系统。引入蜜罐的目的：一是分散攻击者的注意力；二是收集同攻击和攻击者有关的信息。二、蜜罐的关键技术1．网络欺骗技术2．数据控制技术3．数据收集技术4．报警技术5．入侵行为重定向技术三、蜜罐的分类1．从应用层面分为产品型蜜罐和研究型蜜罐两种。2．按交互等级分为低交互、中交互、高交互三种蜜罐。蜜罐主机的一个重要特性就是其交互等级。交互等级：是指攻击者可以同蜜罐主机所在的操作系统的交互程度。四、蜜网蜜网（Honeynet）是一个网络系统，而并非某台单一的主机，这一网络系统是隐藏在防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可供我们研究分析入侵者们使用的工具、方法及动机。蜜罐与蜜网的实现方法：利用Snort软件安装利用HoneyD软件安装2021两会期间，知道创宇提供免费试用“云蜜罐”服务，云安全已经成为新的发展方向。内容小结：IDS基本概念、发展历程、发展趋势、体系结构；HIDS、NIDS、DIDS；IDS的体系结构；误用检测、异常检测；蜜罐的价值、蜜罐的关键技术、蜜罐的分类；板书提纲：$5.2入侵检测系统一、基本概念分类：HIDS、NIDS、DIDS发展历程发展趋势二、体系结构CIDF三、入侵检测分析技术异常检测误用检测$5.4蜜罐与蜜网基本概念关键技术分类蜜网知识扩展：课下搜集云安全的进展。全程PPT辅助讲解通过设问防火墙能不能给我们提供安全的保证？引出教学内容类比：病毒查杀的两种技术，行为监测法与特征代码法。对比分析：异常检测是给正常行为给出刻画，不符合则认为是入侵；误用检测是给攻击行为给出刻画，符合了则是入侵。结合实例分析结合实例分析