[第五章windows.docVIP

《网络安全技术》教案（第5章） 教学内容 第5章 入侵检测技术 教材章节 5.1～5.4 教学周次 第11、12周 教学课时 3 授课对象 计算机科学与技术 教学环境 多媒体教室 教学目标 理解入侵检测系统的基本概念；了解检测的基本方法以及入侵检测的步骤；掌握一种入侵检测工具。 教学内容 1.入侵检测的基本知识（包括：概念、与防火墙的关系、与扫描器的关系、入侵检测步骤等）。 2.入侵检测技术(包括:基本结构、类型、主要方法)。 3.入侵检测系统解决方案。 4.入侵检测系统主要产品。 教学重点 1.入侵检测的基本概念。 2.入侵检测系统的工作原理。 3.入侵检测系统的布署。 教学难点 入侵检测方法；入侵检测系统的布署。 教学过程 本章分2次讲述，共3学时，讲授思路和过程如下： 第1次： 1.分析防火墙、扫描器等的应用范围，分析其局限性，引出入侵检测技术。 2.介绍入侵检测的概念、作用，分析与防火墙、扫描器的关系。 3.介绍入侵检测的步骤等。 第2次： 1.介绍IDS基本结构，强调其控制台的作用。 2.介绍IDS的类型。 3.介绍IDS基本检测入侵的主要方法，重点介绍误用和异常两种方法。 4.通过实例介绍IDS的布署思路和方法。 5.简单介绍目前常用的比较有效的IDS产品。 6.分析使用状况，提出目前IDS的主要问题，研究发展趋势。 作业与要求 作业内容： 1.P134，2、3、4、8、9题。 2.进行实验16准备。 要求： 1.记录实验过程和结果。 2.撰写并提交实验报告。 备注 本提交文档内容与次序与实际讲课内容与次序有不一致的地方。 第5章 入侵检测技术 前面介绍了防火墙技术，事实上防火墙只是对网络上某个单一点起作用，而且也只能检查每个进出网络用户的合法性。一旦攻击者攻破了防火墙，那么他就可以在网络内随意通行。所以，防火墙技术是静态的安全防御技术，它不能解决动态的安全问题。入侵检测技术是动态安全技术最核心的技术之一，本章将详细讨论入侵检测技术。 （以防火墙的局限性来说明单一产品的缺陷，引出安全防御措施需要不同产品的配合，最终引出入侵检测技术） 5.1 入侵检测的基本知识 安全是网络界一个永恒的话题，随着Internet的普及，网络的安全问题越来越突出。对网络安全的一种预防性方法是在入侵发生前将它检测出来，或者如果入侵已经渗透到网络之中时，是否有一个计划能够防止它对网络产生破坏。在这种情况下，入侵检测技术便应运而生。入侵检测技术是为保证计算机系统和计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它就像是防火墙的第二道安全闸门，在不影响网络性能的情况下对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。 5.1.1 入侵检测的概念 入侵实际上是一个非常广义的概念，它不仅包括发起攻击的人取得非法的系统控制权，也包括他们对系统漏洞信息的收集，即对计算机系统造成危害的行为。入侵是任何企图破坏资源的完整性、保密性和可用性的行为集合。 入侵检测是指：识别非法用户未经授权使用计算机系统，或合法用户越权操作计算机系统的行为，通过对计算机网络中的若干关键点或计算机系统资源信息的收集并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象。 入侵检测系统是进行入侵检测的硬件和软件的组合。 5.1.2 IDS与防火墙的关系 前面我们分析了防火墙的局限性，从中我们可以看单靠防火墙是无法完全保证网络的安全，需要IDS。那么IDS在其中所起的作用包括： –防止防火墙和操作系统与应用程序的设定不当（举例：OS中用户口令设置的不当如只6位不复杂，就很容易被攻破） –监测某些被防火墙认为是正常连接的外部入侵（强调防火墙对IP欺骗的无能，攻击者获得合法的IP地址就可以轻松通过防火墙） –了解和观察入侵的行为意图，并收集其入侵方式的资料（可以发现入侵的企图，如通过与特征库的比对，能发现，通过日志文件收集并存储入侵方式的资料） –监测內部使用者的不当行为（这是防火墙无法做到的） –及时阻止恶意的网络行为（切断连接等） 有了IDS和防火墙后，可以通过它们的功能互补，通过合理搭配部署和联动提升网络安全级别；它们在整个防御体系中，相辅相成，承担着不同的角色。 5.1.3 IDS与扫描器的关系 说明扫描器是双刃剑（再重复攻击者使用扫描器的目的，管理员使用扫描器的目的），从管理员的角度出发，二者的确有相似和不同的地方，那么它们的关系究竟是什么呢？ 从功能看上，二者有相似的地方，IDS也是通过扫描发现问题，IDS和扫描器都是简化管理员的工作，发现网络中的问题。但不同的是： 扫描器是完全主动式安全工具，能够了解网络现有的安全水平 IDS 是相对被动式安全工具，能够了解网络中即时发生的攻击