实训5-1 了解入侵检测技术

时间：2019-05-29 15:24:43 网站：公文素材库

实训5-1 了解入侵检测技术

实训

5.1

了解入侵检测技术

本节实训与思考的目的是：

(1)了解入侵检测技术的基本概念和基本内容。

(2)通过因特网搜索与浏览，了解网络环境中主流的入侵检测技术专业网站，掌

握通过专业网站不断丰富入侵检测技术最新知识的学习方法，尝试通过专业网站的辅助与支持来开展信息安全中入侵检测系统的应用实践。

1工具/准备工作

在开始本实训之前，请认真阅读本课程的相关内容，熟悉入侵检测技术的基本概念。

需要准备一台带有浏览器，能够访问因特网的计算机。

2实训内容与步骤

(1)概念理解

1)请通过查阅有关资料，简述在入侵检测技术中“P2DR”的含义是什么？P2DR模型是动态安全模型（可适应网络安全模型）的代表性模型。在整体的安全策略的控制和指导下，在综合运用防护工具的同时，利用检测工具了解和评估系统的安全状态，通过适当的响应将系统调整到“最安全”和“风险最低”的状态。

2)请通过查阅有关资料，简述IDS的含义是什么？其主要功能是什么？IDS是入侵检测系统。监视、分析用户及系统活动。系统构造和熔点的审计。识第5章安全检测技术153

别反应已知进攻的活动模式并报警。异常行为模式的统计分析。评估重要系统和数据文件的完整性。对操作系统的审计追踪管理，并识别用户违反安全策略的行为。

3)入侵检测的第一步是________信息收集____________，其内容主要包括系统、网络、数据及用户活动的状态和行为。

4)参考图5.3，入侵检测系统通过_基于主机的入侵检测系统、基于网络的入侵

检测系统和___古典方法________等3种技术手段，对收集到的有关网络、系统、数

据及用户活动的状态和行为等信息进行分析。

5)IDS的物理实现方式不同，按检测的监控位置划分，入侵检测系统可分为基于主机、基于网络和分布式。

6)入侵检测系统所采用的主要技术有哪些？

（1）基于主机的入侵检测系统（2）基于网络的入侵检测系统

7)试简述入侵检测系统的分类。

按数据来源的不同，可以将入侵检测系统分为基于网络的入侵检测和基于主机的入侵检测

(2)上网搜索和浏览

请以“入侵检测系统”等作为关键词上网搜索和浏览，看看因特网上有哪些网站在做着入侵检测系统的产品和技术支持工作？请在表5.1中记录搜索结果。

提示：一些入侵检测技术的专业网站的例子包括：(中国IT认证实验室)(天极网)(福禄克(中国)公司)(瑞星产品频道)(网络110)

表5.1入侵检测系统的专业网站实训记录

网站名称中国lT认证(天极网)福禄克(中国)公司)网址主要内容描述入侵防制入侵防治入侵防治154信息安全技术

(瑞星产品频道)(网络110)入侵防治入侵防治请记录：在本实训中你感觉比较重要的2个专业技术网站是：

1)网站名称：__________(中国IT认证实验室)________2)网站名称：____________(天极网)(3)入侵检测系统产品选择

请在因特网上搜索选择至少3款入侵检测系统产品，并分别简单描述之。产品选择1：

1)产品名称：________________________________________________________2)产品生产厂家：____________________________________________________3)产品功能描述：_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

4)是否具备公安部门的销售许可：有没有不清楚

5)产品价格：___________________________产品选择2：

4)是否具备公安部门的销售许可：有没有不清楚

5)产品价格：___________________________产品选择3：

4)是否具备公安部门的销售许可：有没有不清楚第5章安全检测技术155

5)产品价格：___________________________

上述3款产品中，你向用户首推哪一款，为什么？请简述之。

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

3实训总结

了解入侵检测技术的基本概念和基本内容。通过因特网搜索。了解网络环境中主流的入侵检测技术专业网站，掌握通过专业网站不断丰富入侵检测技术最小知识的学

习方法，尝试通过专业网站的辅助与支持来开展信息安全中入侵检测系统的应用实践

4实训评价(教师)

______________________________________________________________________________________________________________________________________________

扩展阅读：实训1-1 信息安全技术基础

实训

本节实训与思考的目的是：

1.1

信息安全技术基础

(1)熟悉信息安全技术的基本概念，了解信息安全技术的基本内容。

(2)通过因特网搜索与浏览，了解网络环境中主流的信息安全技术网站，掌握通过专业网站不断丰富信息安全技术最新知识的学习方法，尝试通过专业网站的辅助与支持来开展信息安全技术应用实践。

1工具/准备工作

在开始本实训之前，请认真阅读本课程中的相关内容。需要准备一台带有浏览器，能够访问因特网的计算机。

2实训内容与步骤

(1)概念理解

1)查阅有关资料，根据你的理解和看法，请给出“信息安全技术”的定义：是指信息网络中的硬件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而造遭到破坏、更改或泄漏，是系统连续可靠地正常运行，信息服务不中断，它包括着网络支持环境信息系统的物理安全、操作系统的系统管理与安全设置等内容。

这个定义的来源是：通过阅读本章内容，不断深入理解总结而来。2)请通过阅读相关课文和查阅网站资料，尽量用自己的语言解释以下信息安全技术的基本概念：

①信息：是物质运动规律总和，是客观事物状态和运动特征的一种普通形式，客观世界中大量地存在、产生和传递以这些方式表现出来的各种消息。2信息安全技术

②信息系统：是计算机硬件、网络和通讯设备、计算机软件信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。

③信息安全：是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

④信息安全的五大特性是指(请简单介绍)：a机密性：是指保证信息不被非权访问，即使非权用户得到信息也无法知晓信息的内容，因而不能使用。

b完整性：是指维护信息的一致性，即在信息生成、传输、存储和使用过程中不发生人为的非授权篡改。

c可用性：是指授权用户在需要时能不受其他因素影响，方便地使用所有信息。

d可控性：是指信息在整个生命周期内部可由合法拥有者加以安全的控制。e不可抵赖性：是指保障用户无法在事后否认曾经对信息进行的生成、签发、接受等行为。

⑤信息安全技术发展的四大趋势是：

a_可信化：是指从传统计算机安全理念过渡到以信计算理念为核心的计算机安全。

b网络化：由网络应用和普及引发的技术和应用模式的变革，正在进一步推动信息安全关键技术的创新发展，并引发新技术和应用模式的出现。

c标准化：安全技术要走向国际，也要走向实际应用，政府、产业界和学术界等必将更加高度重视信息安全标准的研究与规划。

d集成化：即从单一功能的信息安全技术与产品，可向多种功能融于某一个产品，或者几个功能相结合的集成化产品发展。

⑥加密技术：是最常用的安全保密手段，利用手段把重要的数据变为乱码（加密）传送，到达目的后再用相同或不同的手段还原（解密）。

⑦认证技术：是防止不法分子对信息系统进行主动攻击的一种重要技术。

⑧病毒防治技术：计算机病毒防治的关键是做好预防工作，即防患于未然。而预防工作从宏观上来讲是一个系统工程，要求全社会来共同努力.

⑨防火墙与隔离技术：这是一种有效的网络安全机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。

⑩入侵检测技术：是动态安全技术的核心技术之一，可以作为防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、安全检测、入侵识别、入侵取证和响应等），提高了信息安全基础结构的完整性。第1章熟悉信息安全技术3

(2)你的系统安全吗

以下是一些普通的计算机用户经常会犯的安全性错误，请对照并根据自己的实际情况做出选择(在供选择的答案前面打“”，注意：单选)。

1)使用没有过电压保护的电源。这个错误真的能够毁掉计算机设备以及上面所保存的数据。你可能以为只在雷暴发生时，系统才会有危险，但其实任何能够干扰电路，使电流回流的因素都能烧焦你的设备元件。有时甚至一个简单的动作，比如打开与电脑设备在同一个电路中的设备(如电吹风、电加热器或者空调等高压电器)就能导致电涌。如果遇到停电，当恢复电力供应时也会出现电涌。

使用电涌保护器就能够保护系统免受电涌的危害，但是请记住，大部分价钱便宜的电涌保护器只能抵御一次电涌，随后需要进行更换。不间断电源(UPS)更胜于电涌保护器，UPS的电池能使电流趋于平稳，即使断电，也能给你提供时间，从容地关闭设备。

请选择：

A.我懂并已经做到了

B.我懂得一点，但觉得没必要D.现在刚知道，我会关注这一点

C.知道电涌的厉害，但不知道UPS

E.我觉得这个不重要，不知道也无所谓

2)不使用防火墙就上网。许多家庭用户会毫不犹豫地启动电脑开始上网，而没有意识到他们正将自己暴露在病毒和入侵者面前。无论是宽带调制解调器或者路由器中内置的防火墙，还是调制解调器或路由器与电脑之间的独立防火墙设备，或者是在网络边缘运行防火墙软件的服务器，或者是电脑上安装的个人防火墙软件(如WindowsXP中内置的防火墙，或者类似Kerio等第三方防火墙软件)，总之，所有与互联网相连的计算机都应该得到防火墙的保护。

在笔记本电脑上安装个人防火墙的好处在于，当用户带着电脑上路或者插入酒店的上网端口，或者与无线热点相连接时，已经有了防火墙。拥有防火墙不是全部，你还需要确认防火墙是否已经开启，并且配置得当，能够发挥保护作用。

请选择：

A.我懂并已经做到了B.我懂得一点，但觉得没必要C.知道有防火墙但没有用过D.现在刚知道，我会关注这一点E.我觉得这个不重要，不知道也无所谓

3)忽视防病毒软件和防间谍软件的运行和升级。事实上，防病毒程序令人讨厌，它总是阻断一些你想要使用的应用，而且为了保证效用还需要经常升级，在很多情况下升级都是收费的。但是，尽管如此，在现在的应用环境下，你无法承担不使用防病毒软件所带来的后果。病毒、木马、蠕虫等恶意程序不仅会削弱和破坏系统，还能通过你的电脑向网络其他部分散播病毒。在极端情况下，甚至能够破坏整个网络。4信息安全技术

间谍软件是另外一种不断增加的威胁。这些软件能够自行在电脑上进行安装(通常都是在你不知道的情况下)，搜集系统中的情报，然后发送给间谍软件程序的作者或销售商。防病毒程序经常无法察觉间谍软件，因此需要使用专业的间谍软件探测清除软件。

请选择：

A.我懂并已经做到了

B.我懂得一点，但觉得没必要

C.知道防病毒，但不知道防间谍D.现在刚知道，我会关注这一点E.我觉得这个不重要，不知道也无所谓

4)安装和卸载大量程序，特别是测试版程序。由于用户对新技术的热情和好奇，经常安装和尝试新软件。免费提供的测试版程序甚至盗版软件能够使你有机会抢先体验新的功能。另外还有许多可以从网上下载的免费软件和共享软件。

但是，安装软件的数量越多，使用含有恶意代码的软件，或者使用编写不合理的软件而可能导致系统工作不正常的几率就高。这样的风险远高于使用盗版软件。另一方面，过多的安装和卸载也会弄乱Windows的系统注册表，因为并不是所有的卸载步骤都能将程序剩余部分清理干净，这样的行为会导致系统逐渐变慢。你应该只安装自己真正需要使用的软件，只使用合法软件，并且尽量减少安装和卸载软件的数量。

请选择：

A.我懂并已经做到了B.我懂得一点，但觉得没必要

C.有点了解但不知道什么是注册表D.现在刚知道，我会关注这一点E.我觉得这个不重要，不知道也无所谓

5)磁盘总是满满的并且非常凌乱。频繁安装和卸载程序(或增加和删除任何类型的数据)都会使磁盘变得零散。信息在磁盘上的保存方式导致了磁盘碎片的产生，这样就使得磁盘文件变得零散或者分裂。然后在访问文件时，磁头不会同时找到文件的所有部分，而是到磁盘的不同地址上找回全部文件。这样使得访问速度变慢。如果文件是程序的一部分，程序的运行速度就会变慢。

可以使用Windows自带的“磁盘碎片整理”工具(在Windows的“开始”>“所有程序”>“附件”菜单中单击“系统工具”命令)来重新安排文件的各个部分，以使文件在磁盘上能够连续存放。

另外一个常见的能够导致性能问题和应用行为不当的原因是磁盘过满。许多程序都会生成临时文件，运行时需要磁盘提供额外空间。

请选择：

A.我懂并已经做到了B.我懂得一点，但觉得不重要C.有点知道但不懂“磁盘碎片整理”D.现在刚知道，我会关注这一点E.我觉得这个不重要，不知道也无所谓

6)打开所有的附件。收到带有附件的电子邮件就好像收到一份意外的礼物，总是第1章熟悉信息安全技术5

想窥视一下是什么内容。但是，电子邮件的附件可能包含能够删除文件或系统文件夹，或者向地址簿中所有联系人发送病毒的编码。

最容易被洞察的危险附件是可执行文件(即扩展名为.exe，.cmd的文件)以及其他很多类型。不能自行运行的文件，如Word的.doc和Excel的.xls文件等，其中能够含有内置的宏。脚本文件(VisualBasic，JavaScript，Flash等)不能被计算机直接执行，但是可以通过程序进行运行。

过去一般认为纯文本文件(.txt)或图片文件(.gif，.jpg，.bmp)是安全的，但现在也不是了。文件扩展名也可以伪装，入侵者能够利用Windows默认的不显示普通的文件扩展名的特性设置，将可执行文件名称设为类似greatfile.jpg.exe这样。实际的扩展名被隐藏起来，只显示为greatfile.jpg。这样收件人会以为它是图片文件，但实际上却是恶意程序。

你只能在确信附件来源可靠并且知道是什么内容的情况下才可以打开附件。即使带有附件的邮件看起来似乎来自你可以信任的人，也有可能是某些人将他们的地址伪装成这样，甚至是发件人的电脑已经感染了病毒，在他们不知情的情况下发送了附件。

请选择：

A.我懂并已经做到了B.我懂得一点，但觉得并不严重

C.知道附件危险但不太了解扩展名D.现在刚知道，我会关注这一点E.我觉得这个不重要，不知道也无所谓

7)点击所有链接。打开附件不是鼠标所能带给你的唯一麻烦。点击电子邮件或者网页上的超级链接能将你带入植入ActiveX控制或者脚本的网页，利用这些就可能进行各种类型的恶意行为，如清除硬盘，或者在计算机上安装后门软件，这样黑客就可以潜入并夺取控制权。

点错链接也可能会带你进入具有色情图片，盗版音乐或软件等不良内容的网站。如果你使用的是工作电脑就可能会因此麻烦缠身，甚至惹上官司。

在点击链接之前请务必考虑一下。有些链接可能被伪装在网络钓鱼信息或者那些可能将你带到别的网站的网页里。例如，链接地址可能是，但实际上会指向。一般情况下，用鼠标在链接上滑过而不要点击，就可以看到实际的URL地址。

请选择：

A.我懂并已经做到了C.以前遇到过但没有深入考虑

B.我懂得一点，但觉得并不严重D.现在刚知道，我会关注这一点

E.我觉得这个不重要，不知道也无所谓

8)共享或类似共享的行为。分享是一种良好的行为，但是在网络上，分享则可能将你暴露在危险之中。如果你允许文件和打印机共享，别人就可以远程与你的电脑连接，并访问你的数据。即使没有设置共享文件夹，在默认情况下，Windows系统会隐6信息安全技术

藏每块磁盘根目录上可管理的共享。一个黑客高手有可能利用这些共享侵入你的电脑。解决方法之一就是，如果你不需要网络访问你电脑上的任何文件，就请关闭文件和打印机共享。如果确实需要共享某些文件夹，请务必通过共享级许可和文件级(NTFS)许可对文件夹进行保护。另外还要确保你的账号和本地管理账号的密码足够安全。

请选择：

A.我懂并已经做到了B.我懂得一点，但觉得并不严重C.知道共享文件和文件夹有危险，但不知道共享打印机也危险D.现在刚知道，我会关注这一点E.我觉得这个不重要，不知道也无所谓

9)用错密码。这也是使得我们暴露在入侵者面前的又一个常见错误。即使网络管理员并没有强迫你选择强大的密码并定期更换，你也应该自觉这样做。不要选用容易被猜中的密码，且密码越长越不容易被破解。因此，建议你的密码至少为8位。常用的密码破解方法是采用“字典”破解法，因此，不要使用字典中能查到的单词作为密码。为安全起见，密码应该由字母、数字以及符号组合而成。很长的无意义的字符串密码很难被破解，但是如果你因为记不住密码而不得不将密码写下来的话，就违背了设置密码的初衷，因为入侵者可能会找到密码。例如，可以造一个容易记住的短语，并使用每个单词的第一个字母，以及数字和符号生成一个密码。

请选择：

A.我懂并已经做到了

B.我懂得一点，但觉得并不严重D.现在刚知道，我会关注这一点

C.知道密码但不了解密码

E.我觉得这个不重要，不知道也无所谓

10)忽视对备份和恢复计划的需要。即使你听取了所有的建议，入侵者依然可能弄垮你的系统，你的数据可能遭到篡改，或因硬件问题而被擦除。因此，备份重要信息，制定系统故障时的恢复计划是相当必要的。

大部分计算机用户都知道应该备份，但是许多用户从来都不进行备份，或者最初做过备份但是从来都不定期对备份进行升级。应该使用内置的Windows备份程序或者第三方备份程序以及可以自动进行备份的定期备份程序。所备份的数据应当保存在网络服务器或者远离计算机的移动存储器中，以防止洪水、火灾等灾难情况的发生。请牢记数据是你计算机上最重要的东西。操作系统和应用程序都可以重新安装，但重建原始数据则是难度很高甚至根本无法完成的任务。

请选择：

A.我懂并已经做到了

B.我懂得一点，但灾难毕竟很少D.现在刚知道，我会关注这一点

C.知道备份重要但不会应用

E.我觉得这个不重要，不知道也无所谓第1章熟悉信息安全技术7

请汇总并分析：上述10个安全问题，如果A选项为10分，B选项为8分，C选项为6分，D选项为4分，E选项为2分，请汇总，你的得分是：100分。

用户总是会用层出不穷的方法给自己惹上麻烦。与你的同学和朋友们分享这个“傻事清单”，将能够避免他们犯这些原本可以避免发生的错误。你觉得呢？请简述你的看法：

将网络安全的小常识分享给更多的人，可以增强人们的网络安全意识，同时也增强了自己的网络知识，避免了可以避免的错误发生。

(3)上网搜索和浏览

看看哪些网站在做着信息安全的技术支持工作？请在表1.1中记录搜索结果。

提示：一些信息安全技术专业网站的例子包括：http：//(中国信息安全产品测评认证中心)http：//safe.it168.com/(IT主流资讯平台安全)http：//soft.yesky.com/security/(天极网软件频道网络安全)http：//(国家信息化安全教育认证)http：//tech.itzero.com/security/index.html(IT动力源安全)你习惯使用的网络搜索引擎是：百度

你在本次搜索中使用的关键词主要是：有哪些网站在做信息安全

_________________________________________________________________________

表1.1信息安全技术专业网站实训记录

网站名称中国软件网SOTF6.COM网址主要内容描述信息安全信息安全信息安全防黑客Sec120互联安全网宁夏FBI360网站安全检测请记录：在本实训中你感觉比较重要的2个信息安全技术专业网站是：

1)网站名称：____________中国软件网SOTF6.COM___________________2)网站名称：____________Sec120互联安全网____________________________请分析：你认为各信息安全专业网站当前的技术热点(例如从培训项目中得知)是：8信息安全技术

1)名称：____________________________________________________________技术热点：____________________________________________________________________________________________________________________________________

2)名称：____________________________________________________________

技术热点：____________________________________________________________________________________________________________________________________

3)名称：____________________________________________________________技术热点：____________________________________________________________________________________________________________________________________

3.实训总结

通过本次实训使我了解了什么是网络安全技术及所包括的内容，同时通过网络知道了一些专业的信息安全网站，得到了学习新知识的方法，增强了我的网络安全意识。

4.实训评价(教师)

______________________________________________________________________________________________________________________________________________

友情提示：本文中关于《实训5-1 了解入侵检测技术》给出的范例仅供您参考拓展思维使用，实训5-1 了解入侵检测技术：该篇文章建议您自主创作。

　　来源：网络整理免责声明：本文仅限学习分享，如产生版权问题，请联系我们及时删除。

《实训5-1 了解入侵检测技术》
由互联网用户整理提供,转载分享请保留原作者信息,谢谢!
http://m.bsmz.net/gongwen/713295.html