《入侵檢測技術》課程教學大綱課程編號：課程類型：專業課課程名稱：入侵檢測技術學時學分：48學時，3學分（其中：理論16學時，實驗32學時）適用專業：信息安全開課單位：開課時間：第5學期一、課程定位本課程是信息安全本科專業的9門核心課程之一，是專業課程平臺中的一門專業綜合課程。本課程采用理實一體的教學方式，要求學生掌握網絡入侵的基本概念及典型方法，掌握入侵檢測系統的基本模型、工作模式和部署方式，掌握入侵防御系統的功能、原理與部署、關鍵技術，并以商用的思科入侵防御系統和開源的Snort為例掌握入侵檢測系統的部署和應用。二、課程目標序號課程目標畢業要求指標點1目標1：知識目標（1）理解網絡入侵的基本概念及典型方法；（2）理解入侵檢測系統的基本模型、工作模式和部署方式；（3）理解入侵防御系統的功能、原理與部署、關鍵技術；（4）掌握商用CISCOIPS的部署、安裝及配置；（5）掌握開源Snort的部署、安裝及配置。1.工程知識：系統掌握從事信息安全專業相關工程工作所需的數學、自然科學、工程基礎知識和專業知識，能夠綜合應用上述知識解決信息安全領域，特別是工業信息安全相關的復雜工程問題。5.使用現代工具：能夠在信息安全復雜工程問題的分析、研究和解決過程中，開發、選擇與使用恰當的技術、資源、現代工程工具和信息技術工具，對復雜工程問題進行預測、模擬、分析、解決方案設計，并能夠理解其局限性。2目標2：能力目標（1）具備根據需求制定入侵檢測解決方案的能力；（2）具備根據需求進行入侵檢測系統的安裝、部署的能力；（3）具備對CISCOIPS進行配置、優化和故障排除的能力；（4）具備對開源Snort進行配置、優化和故障排除的能力；1.工程知識：系統掌握從事信息安全專業相關工程工作所需的數學、自然科學、工程基礎知識和專業知識，能夠綜合應用上述知識解決信息安全領域，特別是工業信息安全相關的復雜工程問題。5.使用現代工具：能夠在信息安全復雜工程問題的分析、研究和解決過程中，開發、選擇與使用恰當的技術、資源、現代工程工具和信息技術工具，對復雜工程問題進行預測、模擬、分析、解決方案設計，并能夠理解其局限性。3目標3：素質目標（1）培養正確的人生觀、價值觀和責任意識；（2）培養獨立的自主學習能力；（3）培養新技術的應用能力和分析解決實際問題的能力；5.使用現代工具：能夠在信息安全復雜工程問題的分析、研究和解決過程中，開發、選擇與使用恰當的技術、資源、現代工程工具和信息技術工具，對復雜工程問題進行預測、模擬、分析、解決方案設計，并能夠理解其局限性三、教學內容與要求序號教學內容教學要求建議學時重點難點教學方法和手段1網絡入侵與攻擊思政要點：網絡入侵事件——安全意識、責任意識、愛國精神培養正確的人生觀、價值觀和責任意識；熟知安全教育掌握網絡入侵的基本概念了解網絡入侵的典型方法培養學生初步具備根據需求識別入侵模式的能力2重點：網絡入侵的流程常見的網絡入侵方法方法：講授法、任務驅動法、項目式教學手段：PPT、虛擬機了解典型的網絡入侵事件掌握網絡入侵應對培養學生初步具備根據需求識別入侵模式的能力2重點：網絡入侵的應對策略掌握常用網絡安全工具培養學生初步具備根據需求制定入侵檢測解決方案的能力4重點：常見的網絡入侵方法方法：講授法、實驗法、任務驅動法手段：PPT、虛擬機、網絡資源2入侵檢測與防御原理思政要點：聯動響應機制——團結培養誠實守信、愛崗敬業的品質培養良好的職業操守與安全規范意識了解網絡安全主動防御技術體系了解入侵檢測與防御的基本概念和分類培養學生具備搭建主動防御體系的能力2重點：主動防御與被動防御的區別難點：根據需要搭建主動防御體系方法：講授法、任務驅動法手段：PPT、網絡資源理解入侵檢測與防御的基本模型掌握入侵檢測與防御的工作模式及部署培養學生具備根據需求進行入侵檢測系統的安裝、部署的能力2重點：入侵檢測的基本模型IDS和IPS的區別IPS的部署掌握入侵檢測系統的體系架構了解入侵檢測與防御的流程培養學生具備根據需求制定入侵檢測解決方案的能力2重點：入侵檢測的過程難點：獲取入侵檢測的數據理解信息收集與分析理解告警與響應培養學生具備根據需求制定入侵檢測解決方案的能力2重點：告警與響應難點：聯動響應機制理解入侵檢測與防御系統的關鍵技術培養學生具備根據需求制定入侵檢測解決方案的能力2重點：IP分片技術包重組技術理解入侵檢測與防御系統的關鍵技術培養學生具備根據需求制定入侵檢測解決方案的能力2重點：應用識別技術安全防護技術3CISCOIPS思政要點：策略配置——全局意識培養分析解決實際問題的能力培養安全規范意識和動手能力掌握模擬環境配置掌握IPS接口配置培養學生具備對CISCOIPS進行配置、優化和故障排除的能力4重點：IPS接口模式方法：講授法、任務驅動法、項目式教學手段：PPT、虛擬機、GNS3模擬器、網絡資源理解IPS引擎理解正則表達式匹配掌握思科安全IPS防御系統部署培養學生具備對CISCOIPS進行配置、優化和故障排除的能力4重點：IPS部署難點：正則表達式匹配理解IPS的策略配置理解IPS事件動作規則培養學生具備對CISCOIPS進行配置、優化和故障排除的能力4重點：Signature配置難點：根據需要創建IPS規則4Snort思政要點：Snort規則選項——風險意識培養正確的人生觀、價值觀和責任意識培養分析解決實際問題的能力培養新技術的應用能力、良好的動手能力了解Snort的體系結構掌握Snort的的部署方式、工作模式、工作流程等掌握Snort2的安裝及配置掌握常用的Snort命令行參數了解Snort預處理器培養學生具備對開源Snort進行配置、優化和故障排除的能力4重點：常用的Snort命令行參數難點：三種工作模式方法：講授法、任務驅動法、項目式教學手段：PPT、虛擬機、Snort、網絡資源掌握Snort3的安裝及配置掌握Snort告警輸出格式了解Snort3功能組件的安裝及配置了解Snort3的檢查器培養學生具備對開源Snort進行配置、優化和故障排除的能力4重點：安裝及配置置難點：故障排除掌握Snort規則的基本語法、存儲結構掌握規則的組成掌握Snort常用的規則選項培養學生具備對開源Snort進行配置、優化和故障排除的能力4重點：規則的組成常用的規則選項難點：規則選項的使用掌握Snort常用的規則選項掌握規則的編寫與測試培養學生具備對開源Snort進行配置、優化和故障排除的能力4重點：常用的規則選項難點：規則的編寫合計481.備課準備提前了解所授課班級學生學習的基本情況，提前了解實驗課程所使用設備及實驗內容。2.課后答疑第一次上課與學生預定答疑時間、地點等，與全體學生或學生干部、課代表建立通暢的信息溝通渠道，及時了解學生學習中遇到的問題和困難并給予指導。并在答疑的過程中收集學生對本次課的反饋信息，作為后續授課方法、思路調整的依據。3.作業布置作業組成由教材每章課后習題+自設題目。四、實踐教學本課程開設4個實驗項目，0個實訓項目，其中綜合性實驗1個，分別是項目四：Snort的規則等；設計性實驗1個，分別是項目二：CISCOIPS。項目一：網絡入侵（建議學時：4學時）（1）目的：了解網絡入侵的基本概念及典型的網絡入侵事件，了解網絡入侵的分類，理解網絡入侵的流程，掌握常見的網絡攻擊方法。（2）內容：根據網絡入侵的流程，掌握網絡掃描、ARP欺騙攻擊、拒絕服務攻擊等常見網絡攻擊方法。（3）步驟：=1\*GB3①按照實踐教學指導書要求完成虛擬環境部署；=2\*GB3②根據需求利用網絡掃描軟件NMAP進行網絡掃描；=3\*GB3③根據實踐指導書提示，利用hping3、ab進行拒絕服務攻擊；④根據實踐指導書提示，利用Ettercap進行ARP欺騙攻擊。（4）分組：單人一組。（5）儀器設備要求：電腦、VMwareWorkstation、KALILinux虛擬機、WIN7虛擬機項目二：CISCOIPS（建議學時：12學時）（1）目的：掌握商用的CISCO入侵防御系統的原理、環境搭建、安裝、配置、優化和故障排除等。（2）內容：利用GNS3模擬器完成CISCOIPS的配置，實現雜合模式、接口對模式的配置。（3）步驟：=1\*GB3①按照實踐教學指導書要求完成模擬環境配置；=2\*GB3②根據需求完成IPS雜合模式配置；=3\*GB3③根據實踐指導書提示，完成IPS接口對模式的配置；④根據實踐指導書提示，完成IPS的Signature的配置。（4）分組：單人一組。（5）儀器設備要求：電腦、VMwareWorkstation、GNS3、CISCOIPS鏡像、KALILinux虛擬機、WIN7虛擬機項目三：Snort2的安裝與配置（建議學時：4學時）（1）目的：掌握開源入侵檢測系統Snort2的安裝、部署、預處理器及輸出插件配置、規則測試等。（2）內容：完成Snort2的安裝、部署、預處理器及輸出插件配置、規則測試等。（3）步驟：=1\*GB3①按照實踐教學指導書要求完成Snort2主要安裝包的下載和環境部署；=2\*GB3②根據需求完成Snort2的安裝及配置；=3\*GB3③根據實踐指導書提示，完成規則的編寫及測試；④根據實踐指導書提示，完成預處理器及輸出插件的配置。（4）分組：單人一組。（5）儀器設備要求：電腦、Wireshark、Snort2、Snort規則文件項目四：Snort的規則（建議學時：12學時）（1）目的：掌握開源入侵檢測系統Snort3的安裝與配置，掌握Snort規則的語法、獲取規則的方式以及自定義規則的編寫與測試。（2）內容：完成開源入侵檢測系統Snort3的安裝與配置，編寫自定義規則，修改配置文件應用自定義規則，利用Scapy構造敏感數據包測試Snort自定義規則。（3）步驟：=1\*GB3①按照實踐教學指導書要求完成Snort3的安裝與配置；=2\*GB3②根據需求編寫自定義規則并修改配置文件應用此規則；=3\*GB3③根據實踐指導書提示，利用Scapy構造敏感數據包測試Snort自定義規則；④驗證Snort是否檢測到此敏感流量。（4）分組：單人一組。（5）儀器設備要求：電腦、VMwareWorkstation、Wireshark、Snort3、Snort規則文件、libdnet等相關依賴包、Scapy五、考核及成績評定方式1.考核方式：考試2.成績評定辦法（1）成績評定構成：總成績=過程考核×40%﹢結課考核×60%（2）成績評定細則：課程成績評定細則考核環節考核形式考核細則過程考核40%課堂表現5%為調動學生參與課程學習的積極性，詳細記錄學生出勤、課堂討論、提問、互動等情況，并根據學生對各章節知識點的理解與掌握情況評定成績。評分標準：按照0-100分評分。缺勤學時達到總學時三分之一，將取消考試資格。每曠課1課時扣2分，遲到或早退1次扣1分。平時作業10%根據平時測試、練習、報告等環節考核學生對各章節知識點的理解與掌握。評分依據：每份作業（或測驗）按照0-100分評分，計算平均成績作為該課程的平時作業成績。作業（或測驗）未提交次數達到總次數三分之一，將取消考試資格。要求獨立完成作業（或測驗），雷同作業（或測驗作弊）按0分處理。。實驗成績25%通過實驗項目的實施，可以幫助學生了解自己對知識和技術的綜合應用能力。本課程安排4個實驗項目，學生進行實驗操作后撰寫并提交實驗報告。評分標準：每次實驗按照0-100分評分，評分主要依據學生實驗過程的具體表現以及實驗報告完成情況。計算4次實驗的平均成績作為該課程的實驗項目成績。實驗未完成次數達到總次數三分之一，將取消考試資格。要求獨立完成實驗，雷同實驗報告按0分處理。結課考核60%結課考試60%考核學生對各章知識的掌握情況以及應用所學知識對信息安全工作機制進行綜合分析的能力。該環節為結果性考核，考試形式為筆試、閉卷考試，考試時長為90分鐘。每份試卷以1-100分評判，占總成績的60%。試卷分為A、B兩套試卷，并附有參考答案和評分標準(主觀性試題給出評分要點)。試卷包括選擇題（20%）、填空題（20%）、簡答題（30%）、分析題（30%）共4種題型。合計100%六、與其他課程的聯系1.先修課程及聯系：計算機網絡與協議分析基礎、工業控制系統與工業網絡、工控網絡安全設備配置，其中《計算機網絡與協議分析基礎》為本課程提供了網絡相關的基礎知識，《工業控制系統與工業網絡》和《工控網絡安全設備配置》為本課程提供了工業網絡安全相關的基礎知識、環境、安全設備和相關技術等。2.后續課程及聯系：工業信息安全工程管理。本課程為《工業信息安全工程管理》提供了實現工業信息安全所需的入侵檢測技術及應對方案。七、教材及參考資料1.推薦教材：[1]廖旭金，曹鵬飛，王秀英等.入侵檢測與防御原理及實踐（微課版）[M].西安電子科技大學出版社，ISBN：978-7-5606-7327-1,2024年8月。2.參考資料：[1]楊東曉等.入侵檢測與入侵防御[M].北京:清華大學出版社，ISBN:9787302542056，2020年02月；[2]薛靜鋒，祝烈煌等.入侵檢測技術[M].北京:人民郵電出版社，ISBN:9787115389084，2016年7月；[3]廖旭金.《入侵檢測技術實踐指導書》.天津中德應用技術大學智能制造學院,2022年8月。執筆人：日期：2024年6月30日系（教研室）審核：日期：2024年6月30日教學單位審核：日期：2024年6月30日教師學期授課計劃課程名稱:入侵檢測技術依據大綱:學校大綱班級:考試考查:考試課程類型:專業課使用教材:入侵檢測與防御原理及實踐（微課版）學時學分:48學時，3學分（其中：理論16學時，實驗32學時）授課學期:2024-2025學年第01學期任課教師:系/教研室審核:部門審核:填寫日期2024年07月12日

序號月/日周次星期教學內容作業授課學時備注18.291/四熟知安全教育入侵與攻擊的基本概念入侵與攻擊的流程2計入平時成績28.291/四入侵與攻擊的發展趨勢入侵與攻擊的應對方法P46習題5-102計入平時成績39.52/四常用網絡安全工具網絡攻擊的常用方法2見實驗指導書計入實訓成績49.52/四網絡攻擊的常用方法P46習題1-4完成實驗報告一：網絡入侵2見實驗指導書計入實訓成績59.123/四入侵檢測與防御的基本概念和分類入侵檢測與防御的基本模型2計入平時成績69.123/四入侵檢測與防御的工作模式及部署P91習題1-62計入平時成績79.194/四入侵檢測過程入侵檢測系統的信息收集與分析2計入平時成績89.194/四告警與響應入侵檢測與防御系統的關鍵技術（數據