《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時(shí)間2021年4月8日周四1-2節(jié)課次9授課方式（請(qǐng)打√）理論課√討論課□實(shí)驗(yàn)課□習(xí)題課□其他□課時(shí)安排2授課題目（教學(xué)章、節(jié)或主題）：第五章網(wǎng)絡(luò)防護(hù)技術(shù)（下）教學(xué)目的、要求（分掌握、熟悉、了解三個(gè)層次）：（1）掌握入侵檢測(cè)系統(tǒng)的基本概念，熟悉入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu);（2）掌握入侵檢測(cè)系統(tǒng)的檢測(cè)方法;（3）掌握蜜罐與蜜網(wǎng)基本概念，熟悉蜜罐的分類，了解蜜罐的搭建方法。教學(xué)重點(diǎn)及難點(diǎn)：重點(diǎn)：入侵檢測(cè)系統(tǒng)的檢測(cè)分析方法；難點(diǎn)：木馬的傳播方法。課堂教學(xué)設(shè)計(jì)（含思政）：本次課教學(xué)中注重運(yùn)用對(duì)比分析、實(shí)例講解的教學(xué)方法，對(duì)比分析入侵檢測(cè)系統(tǒng)與蜜罐技術(shù)在攻擊檢測(cè)技術(shù)及結(jié)果運(yùn)用中的差別，加深學(xué)員對(duì)知識(shí)的理解；在講解入侵檢測(cè)規(guī)則時(shí)，采用實(shí)例講解，使抽象的問(wèn)題直觀化。教學(xué)中注重技術(shù)與應(yīng)用結(jié)合，介紹軍事網(wǎng)絡(luò)中的入侵檢測(cè)系統(tǒng)裝備及應(yīng)用。教學(xué)中注重與學(xué)員的教學(xué)互動(dòng)，引導(dǎo)學(xué)員結(jié)合自己平時(shí)的認(rèn)知對(duì)照學(xué)習(xí)。思政要素切入點(diǎn)：通過(guò)對(duì)入侵檢測(cè)技術(shù)與蜜罐技術(shù)的講解，使學(xué)生認(rèn)識(shí)到網(wǎng)絡(luò)攻防對(duì)抗的動(dòng)態(tài)性，增強(qiáng)整體防護(hù)意識(shí)，養(yǎng)成日常管網(wǎng)用網(wǎng)嚴(yán)謹(jǐn)細(xì)致的工作習(xí)慣，促進(jìn)職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計(jì)回顧與引入：回顧上節(jié)課主要內(nèi)容，通過(guò)三個(gè)測(cè)試題檢驗(yàn)學(xué)員對(duì)知識(shí)點(diǎn)掌握情況；對(duì)本次課的主要內(nèi)容進(jìn)行介紹，并明確本次課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點(diǎn)、重點(diǎn)，建議不要寫成講稿）5.2入侵檢測(cè)系統(tǒng)一、入侵檢測(cè)系統(tǒng)基本概念入侵（Intrusion）：是指對(duì)任何企圖危及系統(tǒng)及資源的完整性、機(jī)密性和可用性的活動(dòng)。入侵檢測(cè)（IntrusionDetection）即對(duì)入侵行為的發(fā)覺(jué)，是指通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可獲得的信息及計(jì)算機(jī)系統(tǒng)中關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）：即進(jìn)行入侵檢測(cè)的軟件或硬件的組合。1.入侵檢測(cè)的發(fā)展歷史和發(fā)展趨勢(shì)誕生、發(fā)展歷程、發(fā)展趨勢(shì)2.入侵檢測(cè)的類型1）基于主機(jī)的入侵檢測(cè)系統(tǒng)（Host-BasedIDS,簡(jiǎn)稱HIDS）2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（Network-BasedIDS,簡(jiǎn)稱NIDS）3）分布式入侵檢測(cè)系統(tǒng)（DistributedIDS,簡(jiǎn)稱DIDS）二、入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)1．體系結(jié)構(gòu)的演變過(guò)程2．通用入侵檢測(cè)框架3.現(xiàn)有IDS體系結(jié)構(gòu)的局限性三、入侵檢測(cè)系統(tǒng)的檢測(cè)方法1．基于異常的檢測(cè)分析方法異常檢測(cè)是目前入侵檢測(cè)系統(tǒng)分析方法研究的重點(diǎn)，其特點(diǎn)是通過(guò)對(duì)系統(tǒng)異常行為的檢測(cè)，可以歸結(jié)出未知攻擊。異常檢測(cè)的關(guān)鍵問(wèn)題在于正常使用模型的建立，以及如何通過(guò)正常使用模型對(duì)當(dāng)前的系統(tǒng)行為進(jìn)行比較，從而判斷出與正常模型的偏離程度。常用的異常檢測(cè)方法有：1）基于統(tǒng)計(jì)方法的異常檢測(cè)2）基于數(shù)據(jù)挖掘技術(shù)的異常檢測(cè)3）基于神經(jīng)網(wǎng)絡(luò)的異常檢測(cè)2．基于誤用的檢測(cè)分析方法誤用（Misuse）：指“可以用某種規(guī)則、方式、模型表示的入侵攻擊或其他安全相關(guān)行為”?；谡`用的入侵檢測(cè)（MisuseDetection）技術(shù)：通過(guò)某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)的運(yùn)行，井根據(jù)所建立的這種入侵模式來(lái)檢測(cè)入侵，并從中找出符合預(yù)先定義規(guī)則的入侵行為。3.常用的誤用檢測(cè)技術(shù)1）模式匹配例如協(xié)議匹配、字符串匹配、長(zhǎng)度匹配、累積匹配或增量匹配等；2）協(xié)議分析技術(shù)將協(xié)議分析與模式匹配相結(jié)合，可以獲得更高的效率和更精確的結(jié)果。5.4蜜罐與蜜網(wǎng)一、蜜罐的基本概念蜜罐（honeypot）是一種價(jià)值在于被探測(cè)、攻擊、破壞的系統(tǒng)，是一種網(wǎng)絡(luò)管理員可以監(jiān)視、觀察攻擊者行為的系統(tǒng)。引入蜜罐的目的：一是分散攻擊者的注意力；二是收集同攻擊和攻擊者有關(guān)的信息。二、蜜罐的關(guān)鍵技術(shù)1．網(wǎng)絡(luò)欺騙技術(shù)2．?dāng)?shù)據(jù)控制技術(shù)3．?dāng)?shù)據(jù)收集技術(shù)4．報(bào)警技術(shù)5．入侵行為重定向技術(shù)三、蜜罐的分類1．從應(yīng)用層面分為產(chǎn)品型蜜罐和研究型蜜罐兩種。2．按交互等級(jí)分為低交互、中交互、高交互三種蜜罐。蜜罐主機(jī)的一個(gè)重要特性就是其交互等級(jí)。交互等級(jí)：是指攻擊者可以同蜜罐主機(jī)所在的操作系統(tǒng)的交互程度。四、蜜網(wǎng)蜜網(wǎng)（Honeynet）是一個(gè)網(wǎng)絡(luò)系統(tǒng)，而并非某臺(tái)單一的主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)是隱藏在防火墻后面的，所有進(jìn)出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)可供我們研究分析入侵者們使用的工具、方法及動(dòng)機(jī)。蜜罐與蜜網(wǎng)的實(shí)現(xiàn)方法：利用Snort軟件安裝利用HoneyD軟件安裝2021兩會(huì)期間，知道創(chuàng)宇提供免費(fèi)試用“云蜜罐”服務(wù)，云安全已經(jīng)成為新的發(fā)展方向。內(nèi)容小結(jié)：IDS基本概念、發(fā)展歷程、發(fā)展趨勢(shì)、體系結(jié)構(gòu)；HIDS、NIDS、DIDS；IDS的體系結(jié)構(gòu)；誤用檢測(cè)、異常檢測(cè)；蜜罐的價(jià)值、蜜罐的關(guān)鍵技術(shù)、蜜罐的分類；板書提綱：$5.2入侵檢測(cè)系統(tǒng)一、基本概念分類：HIDS、NIDS、DIDS發(fā)展歷程發(fā)展趨勢(shì)二、體系結(jié)構(gòu)CIDF三、入侵檢測(cè)分析技術(shù)異常檢測(cè)誤用檢測(cè)$5.4蜜罐與蜜網(wǎng)基本概念關(guān)鍵技術(shù)分類蜜網(wǎng)知識(shí)擴(kuò)展：課下搜集云安全的進(jìn)展。全程PPT輔助講解通過(guò)設(shè)問(wèn)防火墻能不能給我們提供安全的保證？引出教學(xué)內(nèi)容類比：病毒查殺的兩種技術(shù)，行為監(jiān)測(cè)法與特征代碼法。對(duì)比分析：異常檢測(cè)是給正常行為給出刻畫，不符合則認(rèn)為是入侵；誤用檢測(cè)是給攻擊行為給出刻畫，符合了則是入侵。結(jié)合實(shí)例分析結(jié)合實(shí)例分析