工业控制系统安全防护 教案-第五章 工业控制系统入侵检测

课题名称第5章工业控制系统入侵检测计划学时6学时内容分析本章围绕入侵检测系统（IDS）展开，内容包括：入侵检测系统概念、架构、原理、部署方式。工业入侵检测技术：基于异常、基于误用。实操：Snort环境搭建、Modbus攻击检测、日志分析。拓展：SNMP协议与入侵检测。思政：南仁东科技报国、攻坚克难精神。整体特点：理论+实操并重，8学时合理分配为4学时理论、4学时实操。教学目标及基本要求1.知识目标掌握IDS概念、四大组成、三种工作原理、部署方式。理解工业入侵检测两大技术：异常、误用。掌握Snort安装、配置、规则编写、告警原理。了解SNMP架构、MIB、常用命令及检测应用。2.能力目标能区分IDS与防火墙差异。能独立安装配置Snort、编写简单规则。能复现Modbus攻击并查看告警日志。能读懂Snort告警并分析入侵行为。3.素养目标树立“防火墙拦、IDS查”分层防护意识。培养严谨配置、重视日志溯源的职业习惯。学习南仁东科技报国、执着坚守、精益求精精神。教学重点IDS架构（事件产生器、分析器、响应单元、数据库）。异常检测与误用检测区别。Snort配置、规则编写、告警日志分析。Modbus攻击检测实操流程。教学难点异常检测与误用检测原理理解。Snort配置文件路径修改、规则语法。抓包分析与告警日志对应关系。教学方式理论讲授（PPT+示意图+对比表）案例演示（屏幕分步操作）学生实操（分组、教师巡回指导）课堂提问、总结思政融入（南仁东事迹）教学过程第1学时：入侵检测系统概述（理论）内容：概念、架构、原理、部署方式导入（5分钟）提问：防火墙能拦所有攻击吗？攻击进入后怎么办？引出IDS：主动发现、事后追溯。IDS概念（5分钟）定义：实时监控、识别异常、主动告警。与防火墙区别：防火墙拦流量，IDS抓包分析告警。IDS四大架构（15分钟）事件产生器：抓包、生成事件。事件分析器：规则/异常/行为分析。响应单元：告警、阻断、记录。事件数据库：日志存储。三种工作原理（10分钟）规则匹配：匹配已知攻击特征。异常检测：偏离正常基线即告警。行为分析：用户/设备行为建模。部署方式+小结（5分钟）旁路监听：不影响流量，抓副本分析。小结：IDS=监控+分析+告警。第2学时：工业入侵检测技术（理论）内容：异常检测、误用检测复习（5分钟）提问：IDS四大组件？旁路部署特点？基于异常检测（15分钟）核心：建立正常基线，偏离即异常。方法：模式识别、统计（正态分布）、贝叶斯、K-Means。优缺点：能检测未知攻击、需大量训练、误报高。基于误用检测（15分钟）核心：匹配已知攻击特征库。方法：专家系统、状态转换、规则匹配（Snort）。优缺点：准确、低误报、漏报未知攻击。对比+小结（5分钟）异常：未知攻击；误用：已知攻击。第3学时：Snort环境搭建（实操）内容：Npcap、Snort安装、配置修改实操导入（5分钟）说明：Snort=开源误用检测工具，工业常用。安装Npc（10分钟）下载→安装→确认驱动正常。安装Snort（10分钟）下载Win64→安装路径C:\Snort。配置文件修改（10分钟）修改rules、log、lib路径；注释无用模块。命令snort-v验证。小结答疑（5分钟）第4学时：Snort规则编写与网卡监听（实操）内容：规则语法、local.rule、网卡监听复习（5分钟）提问：Snort配置文件路径？Snort规则语法（15分钟）alert动作、协议、源、目的、端口、msg、sid。编写Modbus规则（10分钟）编辑local.rule：alerttcpanyany->any502(msg:"modbusattack";sid:1)网卡监听（5分钟）snort-W查网卡→指定host-only网卡。小结（5分钟）第5学时：Modbus攻击与告警检测（实操）内容：启动Modbus、Kali攻击、Snort告警复习（5分钟）检查：Snort配置、规则、网卡。启动Modbus（10分钟）ModSim32运行在Windows（192.168.56.102）。启动Snort监听（10分钟）snort-dev-c...-i9-l...Kali执行攻击（5分钟）运行attack_modbus.py，篡改寄存器。查看告警日志（5分钟）alert.ids：出现modbusattack告警。小结（5分钟）第6学时：SNMP与入侵检测（理论）内容：SNMP架构、MIB、命令、检测应用导入（5分钟）SNMP：网管协议，用于异常监测。SNMP架构（5分钟）管理站、代理、MIB、UDP161/162。MIB与OID（5分钟）树状结构、OID标识对象。常用命令（5分钟）snmpget、snmpwalk、snmptrap。SNMP检测应用（5分钟）流量异常、端口扫描、非法设备。思政：南仁东事迹（5分钟）事迹：22年建天眼、攻坚克难、科技报国。精神：执着坚守、精益求精