计算机信息安全技术第9章

第9章入侵检测技术

教学要求

熟练掌握：入侵检测的基本概念；通用入侵检测框架（CIDF）的组成；入侵检测系统的分类及各自的优缺点。

掌握：入侵检测方法的分类以及各自的优缺点；Snort系统的组成和检测流程。

了解：为什么要用入侵检测系统；入侵检测的发展历史；入侵检测的标准化，包括入侵检测工作组（IDWG）及CIDF的规格文档组成；如何构建一个入侵检测系统；入侵检测的局限性及发展趋势；入侵检测产品的选购。

教学重点

通用入侵检测框架（CIDF）的组成；入侵检测系统的分类及各自的优缺点。

教学难点

入侵检测方法；Snort系统的组成和检测流程；入侵检测的标准化。

课时安排

本章安排5课时。其中，理论讲授3课时，上机实验2课时。

教学大纲

一、入侵检测概述

1．入侵检测的基本概念

2．进行入侵检测的原因

3．入侵检测的发展历史

二、入侵检测系统模型及分类

1．入侵检测系统模型

2．入侵检测系统的分类

三、入侵检测技术

四、入侵检测系统的标准化

1．入侵检测工作组（IDWG）

2．通用入侵检测框架（CIDF）

五、入侵检测系统Snort介绍

1．Snort的特点

2．Snort系统的组成

3．Snort系统模型

4．Snort的入侵检测过程

六、构建一个NDIS的步骤

七、入侵检测技术存在的问题及发展趋势

1．入侵检测技术存在的问题

2．入侵检测技术的发展趋势

八、入侵检测产品选购

主要概念

1．入侵

2．入侵检测

3．入侵检测系统

4．通用入侵检测框架

5．基于主机的入侵检测系统（HIDS）

6．基于网络的入侵检测系统（NIDS）

7．混合入侵检测系统

8．异常检测

9．误用检测

10．入侵检测系统模型

11．简单模式匹配

12．专家系统

13．状态转移分析

14．统计分析

15．人工免疫

16．遗传算法

17．人工神经网络

18．数据挖掘

19．协议分析

20．状态协议分析

21．入侵检测系统的标准化

22．入侵检测工作组

23．入侵检测消息交换格式

24．入侵检测交换协议

25．隧道轮廓

26．公共入侵框架

27．CIDF的规格文档

28．公共入侵规范语言

29．入侵检测系统Snort

30．公共通用许可证

实验

实训13-5 Snort系统的安装、配置和使用

1．掌握Snort系统的安装、配置和使用。

2．熟悉Snort系统的检测规则。