(第五章windows.docVIP

《网络安全技术》教案（第5章） 教学内容 第5章 入侵检测技术 教材章节 5.1～5.4 教学周次 第11、12周 教学课时 3 授课对象 计算机科学与技术 教学环境 多媒体教室 教学目标 理解入侵检测系统的基本概念；了解检测的基本方法以及入侵检测的步骤；掌握一种入侵检测工具。 教学内容 1.入侵检测的基本知识（包括：概念、与防火墙的关系、与扫描器的关系、入侵检测步骤等）。 2.入侵检测技术(包括:基本结构、类型、主要方法)。 3.入侵检测系统解决方案。 4.入侵检测系统主要产品。 教学重点 1.入侵检测的基本概念。 2.入侵检测系统的工作原理。 3.入侵检测系统的布署。 教学难点 入侵检测方法；入侵检测系统的布署。 教学过程 本章分2次讲述，共3学时，讲授思路和过程如下： 第1次： 1.分析防火墙、扫描器等的应用范围，分析其局限性，引出入侵检测技术。 2.介绍入侵检测的概念、作用，分析与防火墙、扫描器的关系。 3.介绍入侵检测的步骤等。 第2次： 1.介绍IDS基本结构，强调其控制台的作用。 2.介绍IDS的类型。 3.介绍IDS基本检测入侵的主要方法，重点介绍误用和异常两种方法。 4.通过实例介绍IDS的布署思路和方法。 5.简单介绍目前常用的比较有效的IDS产品。 6.分析使用状况，提出目前IDS的主要问题，研究发展趋势。 作业与要求 作业内容： 1.P134，2、3、4、8、9题。 2.进行实验16准备。 要求： 1.记录实验过程和结果。 2.撰写并提交实验报告。 备注 本提交文档内容与次序与实际讲课内容与次序有不一致的地方。 第5章 入侵检测技术 前面介绍了防火墙技术，事实上防火墙只是对网络上某个单一点起作用，而且也只能检查每个进出网络用户的合法性。一旦攻击者攻破了防火墙，那么他就可以在网络内随意通行。所以，防火墙技术是静态的安全防御入侵检测技术是动态安全技术最核心技术之一Internet的普及，网络的安全问题越来越突出。对网络安全的一种预防性方法是在入侵发生前将它检测出来，或者如果入侵已经渗透到网络之中时，是否有一个计划能够防止它对网络产生破坏。在这种情况下，入侵检测技术便应运而生。入侵检测技术是为保证计算机系统和计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它就像是防火墙的第二道安全闸门，在不影响网络性能的情况下对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。 5.1.1 入侵检测的概念 入侵实际上是一个非常广义的概念，它不仅包括发起攻击的人取得非法的系统控制权，也包括他们对系统漏洞信息的收集，即对计算机系统造成危害的行为。入侵是任何企图破坏资源的完整性、保密性和可用性的行为集合。 入侵检测是指：识别非法用户未经授权使用计算机系统，或合法用户越权操作计算机系统的行为，通过对计算机网络中的若干关键点或计算机系统资源信息的收集并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象。 入侵检测系统是进行入侵检测的硬件和软件的组合。 5.1.2 IDS与防火墙的关系 前面我们分析了防火墙的局限性，从中我们可以看单靠防火墙是无法完全保证网络的安全，需要IDS。那么IDS在其中所起的作用包括： –防止防火墙和操作系统与应用程序的设定不当监测某些被防火墙认为是正常连接的外部入侵了解和观察入侵的行为意图，并收集其入侵方式的资料入侵方式的资料监测內部使用者的不当行为–及时阻止恶意的网络行为。5.1.3 IDS与扫描器的关系 说明扫描器是双刃剑（再重复攻击者使用扫描器的目的，管理员使用扫描器的目的），从管理员的角度出发，二者的确有相似和不同的地方，那么它们的关系究竟是什么呢？ 从功能看上，二者有相似的地方，IDS也是通过扫描发现问题，IDS和扫描器都是简化管理员的工作，发现网络中的问题。 IDS 是相对被动式安全工具，能够了解网络中即时发生的攻击 5.1.4 入侵检测的步骤 入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生或减少攻击造成的危害。由此也划分出入侵检测的3个基本步骤：信息收集收集内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自以下四个方面： 1) 系统日志经常在系统日志中留下他们的踪迹，因此，充分利用系统日志是检测入侵的必要条件。日志文件中记录了各种行为类型，每种类型又包含不同的信息很显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 2) 目录以及文件中的异常改变网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是入侵者修改或破坏的目标。 3) 程序执行中的异常行