[中字] 高级入侵检测实战课程（InfoSec 版）（中文字

幕英文视频教程） 课程共分为 9 个核心模块，涵盖 “概念导入 - 技术解析 - 实验搭建 - 实战应用 - 进阶拓展” 五大环节，每个模块均配套视频讲解与中文字幕，确保学习者能清晰理解技术细节。模块设置遵循 “由浅入深、理论联系实际” 的原则，既避免了纯理论学习的枯燥，也规避了仅侧重操作而缺乏原理支撑的问题，形成 “认知 - 实践 - 复盘 - 提升” 的完整学习闭环。 具体模块划分如下： 模块 1：课程导论（Introduction） 作为课程的开篇，本模块聚焦 “高级入侵检测” 的核心定义与学习价值，通过视频讲解明确课程定位、教学目标与知识框架，帮助学习者快速建立对 “入侵检测” 的宏观认知，理解其在网络安全防御体系中的作用 —— 并非单纯 “发现攻击”，而是通过主动监测、分析异常行为，提前阻断威胁、降低攻击影响，为后续技术学习奠定基础。 模块 2：入侵检测技术与方法 本模块是课程的理论核心，围绕 “入侵检测是什么、如何检测、有哪些类型、需满足什么要求” 四大问题展开，拆解入侵检测的底层逻辑。 首先明确 “入侵检测” 的定义：通过收集网络或主机的行为数据，分析是否存在违反安全策略的恶意行为，是网络防御的 “眼睛”； 其次讲解 “检测方法论”，包括特征检测、异常检测等核心思路，对比不同方法的适用场景（如特征检测适合已知威胁，异常检测可识别未知攻击）； 再通过 “入侵检测类型” 分类（如按检测对象分为网络型、主机型），帮助学习者理解不同检测方式的优势与局限； 最后明确 “入侵检测需求”，如实时性、准确性、可扩展性等，为后续技术选型与实验搭建提供判断标准。 模块 3：家庭实验环境搭建（Home Lab Setup） 实战是掌握入侵检测技术的关键，本模块聚焦 “如何搭建可落地的检测实验环境”，从 “理论” 走向 “实操”。内容涵盖实验环境概述、使用场景、所需工具与技术、文档记录规范，以及具体的环境搭建步骤： 先介绍实验环境的核心作用 —— 模拟真实网络场景，用于测试检测工具、验证检测规则、复现攻击行为（注：所有实验均需在合法授权的环境下进行，课程严格强调合规性与伦理要求）； 再详解工具安装与配置：从 VirtualBox 虚拟机软件的安装，到 Security Onion（开源安全监测平台）的部署与初始化，每一步均配套视频演示，确保零基础学习者也能完成环境搭建； 同时强调 “文档记录” 的重要性，如环境拓扑图、工具版本、配置参数等，培养学习者的规范操作习惯，为后续实验复盘与问题排查提供依据。 模块 4：网络型与主机型检测对比 本模块深入两种核心检测模式 —— 网络型入侵检测（NIDS）与主机型入侵检测（HIDS），通过对比分析帮助学习者掌握 “何时用何种检测方式”： 先明确两者的核心区别：NIDS 基于网络流量分析（如监测异常数据包），可覆盖整个网络；HIDS 基于主机日志、进程行为等数据（如监测未授权进程启动），聚焦单台主机的安全； 再讲解 IDS 与 IPS（入侵防御系统）的规则设计，包括规则的结构、触发条件、响应方式（如 IDS 仅告警，IPS 可主动阻断攻击）； 最后以 Wazuh（开源 HIDS 工具）为例，演示主机型检测的部署与使用，通过实际操作理解 HIDS 如何监控主机层面的安全风险（如文件篡改、账号异常登录）。 模块 5：异常检测（Anomaly Detection） 面对未知威胁（如零日攻击），异常检测是核心防御手段，本模块聚焦这一技术的 “原理、方法与挑战”： 先介绍异常检测的核心逻辑 —— 基于 “正常行为基线”，识别偏离基线的异常行为（如某主机突然产生大量对外连接，可能是被植入木马后的回连行为）； 再讲解常见的异常检测技术，如统计分析、机器学习（注：课程侧重技术应用，不涉及复杂算法推导，重点是如何使用工具实现异常检测）； 最后客观分析异常检测的问题，如 “误报率高”（正常行为波动可能被误判为异常）、“基线更新滞后”（无法及时适应业务变化），并提供优化思路（如结合多维度数据验证、定期更新基线）。 模块 6：ATT&CK 矩阵与威胁情报（The ATT&CK Matrix and Threat Intel） 入侵检测不能 “孤立进行”，需结合威胁情报与攻击链路分析，本模块聚焦 “如何利用外部信息提升检测能力”： 先讲解 ATT&CK 矩阵的核心价值：它是一套标准化的攻击行为框架，将攻击者的战术（如 “初始访问”“持久化”）与技术（如 “钓鱼邮件”“注册表篡改”）对应，帮助学习者 “看懂攻击链路”，而非仅识别单一攻击行为； 再介绍 “攻击者战术、技术与流程（TTPs）”，通过分析 TTPs 可追溯攻击来源、判断攻击目的（如某攻击使用 “横向移动” 技术，可能目标是渗透整个网络）； 最后讲解 “威胁情报的应用”：如何收集合法的威胁情报（如开源情报平台、行业安全报告），并将情报转化为检测规则（如根据情报中的恶意 IP，配置 IDS 告警规则），实现 “提前防御”。 模块 7：数据管理（Data Management） 入侵检测的核心是 “数据”—— 没有高质量的数据，再先进的技术也无法发挥作用，本模块聚焦 “如何管理检测所需的数据”： 先介绍数据管理的核心目标：确保数据的完整性、可用性、安全性，为检测分析提供可靠支撑； 再讲解 “数据收集方法”，包括网络流量、主机日志、应用日志等数据的采集工具与方式（如通过 tcpdump 采集流量，通过 rsyslog 收集日志）； 然后通过 “数据迁移示例”，演示如何将分散的数据（如多台主机的日志）汇总到统一平台（如 Security Onion），便于集中分析； 最后提及 “数据科学与网络安全的结合”，如通过数据挖掘技术识别隐藏的攻击模式，帮助学习者理解 “数据驱动防御” 的未来趋势。 模块 8：战术数据（Tactical Data） 本模块聚焦 “如何将数据转化为检测能力”，从 “数据管理” 走向 “检测落地”： 先讲解 “检测生命周期”，包括数据采集、分析、告警、响应、复盘五个环节，强调每个环节的衔接（如告警后需快速验证，避免误报干扰）； 再介绍 “数据字典与数据模型”：数据字典规范数据的定义（如 “登录失败次数” 的统计口径），数据模型梳理数据间的关联（如 “登录失败 + 异常 IP” 可能是暴力破解），两者共同提升检测的准确性； 最后通过 “检测规则编写” 实操，演示如何基于战术数据设计检测规则（如 “某 IP 在 10 分钟内登录失败超过 5 次，触发告警”），让学习者掌握 “从数据到规则” 的核心能力。 模块 9：基于欺骗技术的高级检测（Advanced Detection through Deception Technology） 面对复杂的攻击手段，传统检测技术可能存在局限，本模块介绍 “欺骗技术” 这一进阶防御手段，通过 “主动诱敌” 提升检测能力： 先明确 “网络欺骗” 的定义：通过部署虚假的系统、数据或服务（如伪造的数据库、虚假的用户账号），诱使攻击者攻击 “陷阱”，从而发现攻击行为、收集攻击情报； 再以 “蜜罐（Honeypot）” 为例，讲解其使用场景与价值：蜜罐可模拟真实业务系统，吸引攻击者尝试入侵，通过监控蜜罐的访问行为（如未授权的登录尝试、恶意代码上传），提前发现威胁； 课程同时强调蜜罐的部署原则：需与真实系统隔离，避免被攻击者利用作为 “跳板”，确保欺骗技术本身的安全性。