网络安全技术与实训（人邮）教案-第 6 章 安全防护与入侵检测2（6.4-6.5）.docx

教师授.课.教案章节标题第6章平安防护与入侵检测2单元标题6.4入侵检测系统6.5蜜罐系统授课时长2学时教学目标知识FI标能力目标素质目标（含思政FI标）了解入侵检测的功能、分类 和主要应用，了解蜜罐技术 以及当前应用。能够进行入侵检测系统的选 型，能够对蜜罐技术的功能 有深刻的认识。通过入侵检测系统的讲解， 掌握入侵检测系统的定义与 分类以及选择方法。通过蜜 罐技术的讲解，了解蜜罐的 定义、分类和应用教学过程：（主要教学环节、时间分配） 一、复习（5'）1.复习2.导入二、讲授新课（80，）（1）入侵检测的概念与原理（2）入侵检测系统的构成与功能（3）入侵检测系统的分类（4）入侵检测系统的部署（5）入侵检测系统的选型（6）入侵防护系统（7）蜜皤技术概述（8）蜜罐系统的分类（9）蜜罐系统的应用三、小结（4'）四、布置作业（1）重点难点：入侵检测的功能、分类和主要应用，蜜罐技术的相关知识。教学方法、手段：多媒体教学；案例法；雨课堂推送拓展学习资料。课后作业：课后题3、4、5教学后记：1 .教学环境要求：需要授课教师使用Win7主机进行授课，并安装VMWARE、VMwareTools 一台Win 7 （wireshark）的虚拟机。需要将相关工具复制安装到虚拟主机中。2 .教学组织方式：采取理实一体的教学组织模式，教学做一体化，个人完成相关的操作。3 .学生知识储藏：学生应具备Windows系统管理、TCPVP协议知识、流量分析知识、数据 结构知识。一、 创设情境，引出本节内容导入：APT组织特别是境外APT组织近几年加大了对我国党政机关、科研院所等重要行业单位发起的攻击，造成较为严重的网络平安风险。他们利用网络攻击工具，在入侵我国重要机构后长期潜伏，这些工具功能强大、结构复杂、隐版性高。思政内容融入点：从职业角度出发，作为一名网络平安管理员，应该具备抵御这种网络安 全入侵的技能。二、进入重点知识的讲解1 .平安风险表达的网络各个方面近年来，微信小程序（以下简称''小程序”）开展迅速，但也暴露出较为突出的平安隐患， 特别是用户个人信息泄露风险较为严峻。CNCERT从程序代码平安、服务交互平安、本地数据安 全、网络传输平安、平安漏洞等五个维度，对国内50家银行发布的小程序进行了平安性检测， 结果显示，平均个小程序存在8项平安风险，在程序源代码暴露关键信息和输入敏感信息时未 采取防护措施的小程序数量占比超过90%：未提供个人信息收集协议的超过80%：个人信息在 本地储存和网络传输过程中未进行加密处理的超过60%：少数小程序那么存在较严重的越权风险。2 .入侵检测系统静态平安技术：操作系统加固技术和防火墙隔离技术等。动态平安技术：入侵检测技术等。2.1 入侵检测的概念与原理入侵检测是指“通过对行为、平安日志、审计数据或其他网络上可以获得的信息进行操作, 检测到对系统的闯入或闯入的企图”。入侵检测技术是用来发现内部攻击、外部攻击和误操作的一种方法。它利用不同的引擎实 时或定期地对网络数据源进行分析，并将其中的威胁局部提取出来，触发响应机制。入侵检测系统（Intrusion Detection System, IDS）：入侵检测的软件与硬件的组合IDS的作用：监控计算机系统或网络系统中发生的事件，根据规那么进行平安审计，是防火 墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的平安管理能力（包括平安审计、 监视、进攻识别和响应），提高了信息平安基础结构的完整性：1 .对系统或网络资源进行实时检测2 .收集并分析关键点信息3 .检查网络中是否有违反平安策略的行为和遭到袭击的迹象2.2 入侵检测系统的构成与功能I -器I一三口、08dB用户撒作与状尊；姆库-:！r+I1 I11g 侵）I作出响应 卜1响应单元 卜、11 .入侵检测系统的构成入侵检测系统的组成2 .入侵检测系统的功能入侵检测系统不但可以使网络管理人员及时了解网络的变化，而且能够给网络平安策略的 制定提供指南。它在发现入侵后会及时作出响应，包括切断网络连接、记录事件、报警等。入 侵检测系统的基本功能有以下几点。检测和分析用户与系统的活动。审计系统配置和漏洞。评估系统关键资源和数据文件的完整性。识别攻击。统计分析异常行为。操作系统的审计、跟踪、管理，并识别违反平安策略的用户活动。3 .3入侵检测系统的分类1 .按照检测类型划分异常检测模型：建立.主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档” 相比拟，当违反其统计规律时，认为该活动可能是“入侵”行为。特征检测模型:假设入侵者活动可以用一种模式表示，系统的目标是检测主体活动是否符 合这些模式。2 .按照检测对象划分(1)基主机的入侵检测系统(Host-based Intrusion Detection System, BIDS)安装在被重点检测的主机之上，主要是对该主机的网络进行实时连接，以及对系统审计日 志进行智能分析和判断。如果其中主体活动十分可疑(具有异常活动特征或违反统计规律)， 入侵检测系统就会采取相应的措施。优点：对分析“可能的攻击行为”非常有用、性价比高、更加精确、视野集中、易于用户 选择、较少的主机、对网络流量不敏感、适用于被加密的环境等。缺点：必须安装在需要保护的设备上，会在降低应用系统效率的同时带来一些额外的平安 问题(2)基于网络的入侵检测系统(Nelwork-based Inlrusion Deleclion System, NIDS)放置在比拟重要的网段内，不停地监视网段中的各种数据包，对每一个数据包或可疑的数 据包进行特征分析。如果数据包与产品内置的某些规那么吻合，入侵检测系统就会发出警报甚至 直接切断网络连接。优点：能够检测来自网络的攻击和超过授权的非法访问。缺点：只能检测宜.接连接网段的通信，不能检测处于不同网段中的网络包。3 3) HIDS与NIDS的区别表6.4 HIDS与NIDS的区别名称数据源内容优点缺点HIDS计算机操作系统的事件日志、 应用程序的名件日志、系统调 用、端口利用和平安审计记录能够提供更为详尽的用户行 为信息；系统复杂性低；误报 率低对主机的依稳性彼强、性 能波动很大,不能监测网络情况NIDS网络中的所有数据包不公影响业分系统的性能；采 取旁路监听工作方式,不会影 响网络的正常运行不能检利通过加密通道的攻击2.4入侵检测系统的部署1 .入侵检测产品的组成和部署一般入侵检测产品由两局部组成：传感器(Sensor)与控制台(Console)。传感器负责采 集数据(网络包、系统日志等)、分析数据并生成平安事件。控制台主要起到中央管理的作用， 商品化的产品通常会提供图形界面的控制台。2 .系统部署的措施基于网络的入侵检测系统需要有传感器才能工作。对于传感器的放置，一般可以采取以下 措施：放在边界防火墙之内。传感器可以发现所有来自Internet的攻击，然而如果攻击类型是 TCP攻击，而防火墙或过滤路由器能封锁这种攻击，那么入侵检测系统可能就检测不到这种 攻击。放在边界防火墙之外。可以检测所有对保护网络的攻击事件，包括数目和类型。但是这样 部署会使传感器彻底地暴露给黑客。放在主要的网络中枢中。传感器可以监控大量的网络数据，可提高检测黑客攻击的可能性, 可通过授权用户的权利周界来发现未授权用户的行为。放在一些平安级别需求高的子网中。对非常重要的系统和资源的入侵检测，如一个公司的 财务部门，这个网段平安级别需求非常高，因此可以对财务部门单独放置一个检测系统。2.5 入侵检测系统的选型目前入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和信创两个方面取得了 长足的进展。网络环境：从技术上、物理结构和策略上综合考虑网络环境，以及网络中存在哪些应用和 设备，自身网络一经部署了哪些平安设备等。检测范围：主要关注来自企业外部的入侵还是来自内部人员的入侵，是否使用IDS管理 控制其他应用，如站点访问、带宽控制等。2.6 入侵防护系统入侵防护系统(Intrusion Prevention System, IPS)是一种主动的、积极的入侵防范及阻止 系统。它部署在网络的进出口处。当检测到攻击意图后，它会自动地将攻击包丢掉或采取措施 将攻击源阻断。IPS的检测功能类似于IDS,但IPS检测到攻击后会采取行动阻止攻击。可 以说，IPS是建立在IDS开展的基础上的新生网络平安产品。3 . IPS的主要技术优势(1)在线安装(2)实时阻断(3)先进的检测技术(4)特殊规那么植入功能(5)自学习与自适应能力4 . IPS的分类目前，IPS从保护对象上可分为以下3类。(1)基于主机的入侵防护(Host-based Intrusion Prevention System, HIPS)：用于保护服务 器和主机系统不受不法分子的攻击和误操作的破坏。(2)基于网络的入侵防护(Network-based Intrusion Prevention System. NIPS)：通过检测 流经的网络流量，提供对网络体系的平安保护，一旦辨识出有入侵行为，NIPS就阻断该网络 会话。(3)应用入侵防护(Application Intrusion Prevenlion System, AIPS)：将基于主机的入侵 防护扩展成位于应用服务器之前的网络信息平安设备。3.蜜罐系统网络平安防护涉及面很广，从技术层面上讲包括防火墙技术、入侵检测技术、病毒防护技 术等技术是对网络攻击和破坏的被动防御。而蜜罐技术是采用主动的方式吸引攻击者，从而记 录和分析攻击者的攻击行为。3.1 蜜罐技术概述蜜罐及蜜网技术是一种捕获和分析恶意代码及黑客攻击活动，从而到达了解对手目的的技 术。蜜罐是网络管理员经过周密布置而设下的“黑匣子”，看似漏洞百出，却尽在掌握之中， 它收集有价值的入侵数据。蜜罐的核心价值在于对这些攻击活动进行监视、检测和分析。欺骗工具包(DeceptionTool Kit, DTK)和Honeyd是最为著名的两个蜜罐工具。3.2 蜜罐系统的分类3.3 部署分类产品型：用于保护单位网络，实现防御、检测和帮助对攻击的响应，主要产品有KFSensor. SpecterManTrap 等。研究型：用于对黑客攻击进行捕获和分析，了解攻击的过程、方法和工具，如Genii蜜网、 Honeyd 等。3.4 攻击者在蜜罐中活动的交互性级别分类低交互型：又称伪系统蜜罐，用于模拟服务和操作系统，利用些工具程序强大的模仿能 力，伪造出不属于自己平台的“漏洞”。它容易部署并能降低风险，但只能捕获少量信息，其 主要产品有 Specter、KFSensor Honeyd 等。高交互型：乂称实系统蜜罐。它是最真实的蜜罐，运行着真实的系统，并且带有真实可入 侵的漏洞，属于最危险的漏洞，但是它记录下的入侵信息往往是最真实的，可以捕获更丰富的 信息，但部署复杂、风险较高，其主要产品有ManTr叩、Gen II蜜网等。3.5 蜜罐系统的应用政府组织技术性公司工业控制领域三、归纳总结，随堂练习(1)对课堂上讲解的知识点进行总结。(2)随堂练习四、布置作业(1)课后题3、4、5o(2)登陆百度等，国产主流的IDS、IPS、UTM有哪些，当前设备的性价比与国外主流产品的比照。