入侵检测技术课程教学大纲.doc

1、入侵检测技术课程教学大纲 课程名称：入侵检测技术/ Invading the Detection Technology 学时/学分：44学时/3学分（其中课内教学32学时，实验上机12 学时） 先修课程：计算机网络基础 适用专业：信息与计算科学 开课院（系、部、室）：数学与计算机科学学院 一、课程的性质与任务 入侵检测作为网络与信息安全领域的一项重要技术，是整个安全防护体系的重要组成部分，“入侵检测技术”是信息安全专业本科生的一门选修的专业课，通过本课程的教学，使学生能较熟练地掌握入侵检测系统的基本模型，入侵检测系统的工作模式，入侵检测系统的实现。掌握Agent的设计和实现

2、Snort的使用。了解国外主要入侵检测系统，国内主要入侵检测系统，入侵检测的标准化，入侵检测的发展趋势等。 本课程重点讲授入侵检测的有关理论知识、技术原理和应用案例，使学生在完成本课程学习后，能够进行入侵检测设计与应用方面的工作，使本科高年级学生的专业知识基础进一步完善和丰富，为将来开展工作和研究打下一定的基础。 二、课程内容、基本要求与学时分配 （一）入侵检测技术的历史 3 学时 掌握主机审计——入侵检测的起点，了解入侵检测基本模型的建立，了解技术发展的历程。 重点：入侵检测基本模型的建立，技术发展的历程。

3、 难点：入侵检测基本模型的建立。 （二）入侵检测的相关概念 3 学时 掌握入侵的定义，掌握入侵检测，了解入侵检测与 P2DR 模型。 重点：入侵检测。 难点：P2DR 模型。 （三）入侵检测技术的分类 3 学时 掌握入侵检测的信息源 ，了解分类方法，掌握具体的入侵检测系统。 重点：具体的入侵检测系统。 难点：具体的入侵检测系统。 （四）基于主机的入侵检测技术

4、 3 学时 掌握审计数据的获取，了解用于入侵检测的统计模型，掌握入侵检测的专家系统，掌握基于状态转移分析的入侵检测技术，文件完整性检查及系统配置分析技术。 重点：基于状态转移分析的入侵检测技术，文件完整性检查及系统配置分析技术。 难点：入侵检测的统计模型。 （五）基于网络的入侵检测技术 3 学时 掌握分层协议模型与 TCP/IP 协议，网络数据包的截获，检测引擎的设计。 重点：网络数据包的截获，检测引擎的设计。 难点：检测引擎的设计。 （六）混合型的入侵检测技术

5、 3 学时 掌握采用多种信息源，采用多种检测方法 重点：混合型的入侵检测技术。 难点：混合型的入侵检测技术。 （七）先进入侵检测技术 3 学时 掌握采用先进检测算法的必要性，神经网络与入侵检测技术，掌握数据挖掘与入侵检测技术，了解数据融合与入侵检测技术，计算机免疫学与入侵检测技术，进化计算与入侵检测技术。 重点：神经网络与入侵检测技术，数据挖掘与入侵检测技术的使用。 难点：先进检测算法的数学理论。 （八）分布式的入侵检测架构

6、 3 学时 了解应用背景，掌握需要解决的关键问题 ，分布式检测架构的基础设计，进一步的发展 。 重点：分布式的入侵检测架构。 难点：分布式的入侵检测架构的数学理论。 （九）入侵检测系统的设计考虑 3 学时 了解用户需求分析，掌握系统安全设计原则，系统设计的生命周期。 重点：安全设计原则，系统设计的生命周期。 难点：用户需求分析。 （十）入侵检测的响应问题 3 学时 了解响应策略的确定，选择恰当的响应类型，掌握相应组件的

7、设计 。 重点：入侵检测的响应问题。 难点：入侵检测的响应问题。 （十一）未来需求与技术发展前景 2 学时 了解技术的发展趋势 ，了解现有入侵检测技术的局限性，了解入侵检测的发展前景 。 重点：现有入侵检测技术的局限性。 难点：现有入侵检测技术的局限性的解决方法。 三、推荐教材和主要参考书 1、推荐教材：（按编著者，教材名称，出版地，出版社，出版时间，版次填写） （1）唐正军、李建华 ，入侵检测技术， 北京，清华大学出版社， 2004 年。 2、推荐参考书：（同上） （1）戴英侠，系统安全与入侵检测.，北京，清华大学出版社，2004年。 （2）薛静锋.，入侵检测技术，北京，机械工业出版社，2005年。     大纲制订者：熊江 大纲审定者：蒋万君