《入侵检测与防御原理及实践（微课版）》-教学大纲、授课计划

《入侵检测技术》课程教学大纲课程编号：课程类型：专业课课程名称：入侵检测技术学时学分：48学时，3学分（其中：理论16学时，实验32学时）适用专业：信息安全开课单位：开课时间：第5学期一、课程定位本课程是信息安全本科专业的9门核心课程之一，是专业课程平台中的一门专业综合课程。本课程采用理实一体的教学方式，要求学生掌握网络入侵的基本概念及典型方法，掌握入侵检测系统的基本模型、工作模式和部署方式，掌握入侵防御系统的功能、原理与部署、关键技术，并以商用的思科入侵防御系统和开源的Snort为例掌握入侵检测系统的部署和应用。二、课程目标序号课程目标毕业要求指标点1目标1：知识目标（1）理解网络入侵的基本概念及典型方法；（2）理解入侵检测系统的基本模型、工作模式和部署方式；（3）理解入侵防御系统的功能、原理与部署、关键技术；（4）掌握商用CISCOIPS的部署、安装及配置；（5）掌握开源Snort的部署、安装及配置。1.工程知识：系统掌握从事信息安全专业相关工程工作所需的数学、自然科学、工程基础知识和专业知识，能够综合应用上述知识解决信息安全领域，特别是工业信息安全相关的复杂工程问题。5.使用现代工具：能够在信息安全复杂工程问题的分析、研究和解决过程中，开发、选择与使用恰当的技术、资源、现代工程工具和信息技术工具，对复杂工程问题进行预测、模拟、分析、解决方案设计，并能够理解其局限性。2目标2：能力目标（1）具备根据需求制定入侵检测解决方案的能力；（2）具备根据需求进行入侵检测系统的安装、部署的能力；（3）具备对CISCOIPS进行配置、优化和故障排除的能力；（4）具备对开源Snort进行配置、优化和故障排除的能力；1.工程知识：系统掌握从事信息安全专业相关工程工作所需的数学、自然科学、工程基础知识和专业知识，能够综合应用上述知识解决信息安全领域，特别是工业信息安全相关的复杂工程问题。5.使用现代工具：能够在信息安全复杂工程问题的分析、研究和解决过程中，开发、选择与使用恰当的技术、资源、现代工程工具和信息技术工具，对复杂工程问题进行预测、模拟、分析、解决方案设计，并能够理解其局限性。3目标3：素质目标（1）培养正确的人生观、价值观和责任意识；（2）培养独立的自主学习能力；（3）培养新技术的应用能力和分析解决实际问题的能力；5.使用现代工具：能够在信息安全复杂工程问题的分析、研究和解决过程中，开发、选择与使用恰当的技术、资源、现代工程工具和信息技术工具，对复杂工程问题进行预测、模拟、分析、解决方案设计，并能够理解其局限性三、教学内容与要求序号教学内容教学要求建议学时重点难点教学方法和手段1网络入侵与攻击思政要点：网络入侵事件——安全意识、责任意识、爱国精神培养正确的人生观、价值观和责任意识；熟知安全教育掌握网络入侵的基本概念了解网络入侵的典型方法培养学生初步具备根据需求识别入侵模式的能力2重点：网络入侵的流程常见的网络入侵方法方法：讲授法、任务驱动法、项目式教学手段：PPT、虚拟机了解典型的网络入侵事件掌握网络入侵应对培养学生初步具备根据需求识别入侵模式的能力2重点：网络入侵的应对策略掌握常用网络安全工具培养学生初步具备根据需求制定入侵检测解决方案的能力4重点：常见的网络入侵方法方法：讲授法、实验法、任务驱动法手段：PPT、虚拟机、网络资源2入侵检测与防御原理思政要点：联动响应机制——团结培养诚实守信、爱岗敬业的品质培养良好的职业操守与安全规范意识了解网络安全主动防御技术体系了解入侵检测与防御的基本概念和分类培养学生具备搭建主动防御体系的能力2重点：主动防御与被动防御的区别难点：根据需要搭建主动防御体系方法：讲授法、任务驱动法手段：PPT、网络资源理解入侵检测与防御的基本模型掌握入侵检测与防御的工作模式及部署培养学生具备根据需求进行入侵检测系统的安装、部署的能力2重点：入侵检测的基本模型IDS和IPS的区别IPS的部署掌握入侵检测系统的体系架构了解入侵检测与防御的流程培养学生具备根据需求制定入侵检测解决方案的能力2重点：入侵检测的过程难点：获取入侵检测的数据理解信息收集与分析理解告警与响应培养学生具备根据需求制定入侵检测解决方案的能力2重点：告警与响应难点：联动响应机制理解入侵检测与防御系统的关键技术培养学生具备根据需求制定入侵检测解决方案的能力2重点：IP分片技术包重组技术理解入侵检测与防御系统的关键技术培养学生具备根据需求制定入侵检测解决方案的能力2重点：应用识别技术安全防护技术3CISCOIPS思政要点：策略配置——全局意识培养分析解决实际问题的能力培养安全规范意识和动手能力掌握模拟环境配置掌握IPS接口配置培养学生具备对CISCOIPS进行配置、优化和故障排除的能力4重点：IPS接口模式方法：讲授法、任务驱动法、项目式教学手段：PPT、虚拟机、GNS3模拟器、网络资源理解IPS引擎理解正则表达式匹配掌握思科安全IPS防御系统部署培养学生具备对CISCOIPS进行配置、优化和故障排除的能力4重点：IPS部署难点：正则表达式匹配理解IPS的策略配置理解IPS事件动作规则培养学生具备对CISCOIPS进行配置、优化和故障排除的能力4重点：Signature配置难点：根据需要创建IPS规则4Snort思政要点：Snort规则选项——风险意识培养正确的人生观、价值观和责任意识培养分析解决实际问题的能力培养新技术的应用能力、良好的动手能力了解Snort的体系结构掌握Snort的的部署方式、工作模式、工作流程等掌握Snort2的安装及配置掌握常用的Snort命令行参数了解Snort预处理器培养学生具备对开源Snort进行配置、优化和故障排除的能力4重点：常用的Snort命令行参数难点：三种工作模式方法：讲授法、任务驱动法、项目式教学手段：PPT、虚拟机、Snort、网络资源掌握Snort3的安装及配置掌握Snort告警输出格式了解Snort3功能组件的安装及配置了解Snort3的检查器培养学生具备对开源Snort进行配置、优化和故障排除的能力4重点：安装及配置置难点：故障排除掌握Snort规则的基本语法、存储结构掌握规则的组成掌握Snort常用的规则选项培养学生具备对开源Snort进行配置、优化和故障排除的能力4重点：规则的组成常用的规则选项难点：规则选项的使用掌握Snort常用的规则选项掌握规则的编写与测试培养学生具备对开源Snort进行配置、优化和故障排除的能力4重点：常用的规则选项难点：规则的编写合计481.备课准备提前了解所授课班级学生学习的基本情况，提前了解实验课程所使用设备及实验内容。2.课后答疑第一次上课与学生预定答疑时间、地点等，与全体学生或学生干部、课代表建立通畅的信息沟通渠道，及时了解学生学习中遇到的问题和困难并给予指导。并在答疑的过程中收集学生对本次课的反馈信息，作为后续授课方法、思路调整的依据。3.作业布置作业组成由教材每章课后习题+自设题目。四、实践教学本课程开设4个实验项目，0个实训项目，其中综合性实验1个，分别是项目四：Snort的规则等；设计性实验1个，分别是项目二：CISCOIPS。项目一：网络入侵（建议学时：4学时）（1）目的：了解网络入侵的基本概念及典型的网络入侵事件，了解网络入侵的分类，理解网络入侵的流程，掌握常见的网络攻击方法。（2）内容：根据网络入侵的流程，掌握网络扫描、ARP欺骗攻击、拒绝服务攻击等常见网络攻击方法。（3）步骤：=1\*GB3①按照实践教学指导书要求完成虚拟环境部署；=2\*GB3②根据需求利用网络扫描软件NMAP进行网络扫描；=3\*GB3③根据实践指导书提示，利用hping3、ab进行拒绝服务攻击；④根据实践指导书提示，利用Ettercap进行ARP欺骗攻击。（4）分组：单人一组。（5）仪器设备要求：电脑、VMwareWorkstation、KALILinux虚拟机、WIN7虚拟机项目二：CISCOIPS（建议学时：12学时）（1）目的：掌握商用的CISCO入侵防御系统的原理、环境搭建、安装、配置、优化和故障排除等。（2）内容：利用GNS3模拟器完成CISCOIPS的配置，实现杂合模式、接口对模式的配置。（3）步骤：=1\*GB3①按照实践教学指导书要求完成模拟环境配置；=2\*GB3②根据需求完成IPS杂合模式配置；=3\*GB3③根据实践指导书提示，完成IPS接口对模式的配置；④根据实践指导书提示，完成IPS的Signature的配置。（4）分组：单人一组。（5）仪器设备要求：电脑、VMwareWorkstation、GNS3、CISCOIPS镜像、KALILinux虚拟机、WIN7虚拟机项目三：Snort2的安装与配置（建议学时：4学时）（1）目的：掌握开源入侵检测系统Snort2的安装、部署、预处理器及输出插件配置、规则测试等。（2）内容：完成Snort2的安装、部署、预处理器及输出插件配置、规则测试等。（3）步骤：=1\*GB3①按照实践教学指导书要求完成Snort2主要安装包的下载和环境部署；=2\*GB3②根据需求完成Snort2的安装及配置；=3\*GB3③根据实践指导书提示，完成规则的编写及测试；④根据实践指导书提示，完成预处理器及输出插件的配置。（4）分组：单人一组。（5）仪器设备要求：电脑、Wireshark、Snort2、Snort规则文件项目四：Snort的规则（建议学时：12学时）（1）目的：掌握开源入侵检测系统Snort3的安装与配置，掌握Snort规则的语法、获取规则的方式以及自定义规则的编写与测试。（2）内容：完成开源入侵检测系统Snort3的安装与配置，编写自定义规则，修改配置文件应用自定义规则，利用Scapy构造敏感数据包测试Snort自定义规则。（3）步骤：=1\*GB3①按照实践教学指导书要求完成Snort3的安装与配置；=2\*GB3②根据需求编写自定义规则并修改配置文件应用此规则；=3\*GB3③根据实践指导书提示，利用Scapy构造敏感数据包测试Snort自定义规则；④验证Snort是否检测到此敏感流量。（4）分组：单人一组。（5）仪器设备要求：电脑、VMwareWorkstation、Wireshark、Snort3、Snort规则文件、libdnet等相关依赖包、Scapy五、考核及成绩评定方式1.考核方式：考试2.成绩评定办法（1）成绩评定构成：总成绩=过程考核×40%﹢结课考核×60%（2）成绩评定细则：课程成绩评定细则考核环节考核形式考核细则过程考核40%课堂表现5%为调动学生参与课程学习的积极性，详细记录学生出勤、课堂讨论、提问、互动等情况，并根据学生对各章节知识点的理解与掌握情况评定成绩。评分标准：按照0-100分评分。缺勤学时达到总学时三分之一，将取消考试资格。每旷课1课时扣2分，迟到或早退1次扣1分。平时作业10%根据平时测试、练习、报告等环节考核学生对各章节知识点的理解与掌握。评分依据：每份作业（或测验）按照0-100分评分，计算平均成绩作为该课程的平时作业成绩。作业（或测验）未提交次数达到总次数三分之一，将取消考试资格。要求独立完成作业（或测验），雷同作业（或测验作弊）按0分处理。。实验成绩25%通过实验项目的实施，可以帮助学生了解自己对知识和技术的综合应用能力。本课程安排4个实验项目，学生进行实验操作后撰写并提交实验报告。评分标准：每次实验按照0-100分评分，评分主要依据学生实验过程的具体表现以及实验报告完成情况。计算4次实验的平均成绩作为该课程的实验项目成绩。实验未完成次数达到总次数三分之一，将取消考试资格。要求独立完成实验，雷同实验报告按0分处理。结课考核60%结课考试60%考核学生对各章知识的掌握情况以及应用所学知识对信息安全工作机制进行综合分析的能力。该环节为结果性考核，考试形式为笔试、闭卷考试，考试时长为90分钟。每份试卷以1-100分评判，占总成绩的60%。试卷分为A、B两套试卷，并附有参考答案和评分标准(主观性试题给出评分要点)。试卷包括选择题（20%）、填空题（20%）、简答题（30%）、分析题（30%）共4种题型。合计100%六、与其他课程的联系1.先修课程及联系：计算机网络与协议分析基础、工业控制系统与工业网络、工控网络安全设备配置，其中《计算机网络与协议分析基础》为本课程提供了网络相关的基础知识，《工业控制系统与工业网络》和《工控网络安全设备配置》为本课程提供了工业网络安全相关的基础知识、环境、安全设备和相关技术等。2.后续课程及联系：工业信息安全工程管理。本课程为《工业信息安全工程管理》提供了实现工业信息安全所需的入侵检测技术及应对方案。七、教材及参考资料1.推荐教材：[1]廖旭金，曹鹏飞，王秀英等.入侵检测与防御原理及实践（微课版）[M].西安电子科技大学出版社，ISBN：978-7-5606-7327-1,2024年8月。2.参考资料：[1]杨东晓等.入侵检测与入侵防御[M].北京:清华大学出版社，ISBN:9787302542056，2020年02月；[2]薛静锋，祝烈煌等.入侵检测技术[M].北京:人民邮电出版社，ISBN:9787115389084，2016年7月；[3]廖旭金.《入侵检测技术实践指导书》.天津中德应用技术大学智能制造学院,2022年8月。执笔人：日期：2024年6月30日系（教研室）审核：日期：2024年6月30日教学单位审核：日期：2024年6月30日教师学期授课计划课程名称:入侵检测技术依据大纲:学校大纲班级:考试考查:考试课程类型:专业课使用教材:入侵检测与防御原理及实践（微课版）学时学分:48学时，3学分（其中：理论16学时，实验32学时）授课学期:2024-2025学年第01学期任课教师:系/教研室审核:部门审核:填写日期2024年07月12日

序号月/日周次星期教学内容作业授课学时备注18.291/四熟知安全教育入侵与攻击的基本概念入侵与攻击的流程2计入平时成绩28.291/四入侵与攻击的发展趋势入侵与攻击的应对方法P46习题5-102计入平时成绩39.52/四常用网络安全工具网络攻击的常用方法2见实验指导书计入实训成绩49.52/四网络攻击的常用方法P46习题1-4完成实验报告一：网络入侵2见实验指导书计入实训成绩59.123/四入侵检测与防御的基本概念和分类入侵检测与防御的基本模型2计入平时成绩69.123/四入侵检测与防御的工作模式及部署P91习题1-62计入平时成绩79.194/四入侵检测过程入侵检测系统的信息收集与分析2计入平时成绩89.194/四告警与响应入侵检测与防御系统的关键技术（数据