犐犆犛３５．０３０ 犆犆犛犔８０ ! " # $ % & ' ' ( ) * 犌犅／犜２０２７５—２０２１ !" 犌犅／犜２０２７５—２０１３ 　 #$%&'( )*+,-./0 '(123.45678 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔— 犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犪狀犱狋犲狊狋犻狀犵犪狀犱犲狏犪犾狌犪狋犻狅狀犪狆狆狉狅犪犮犺犲狊犳狅狉 狀犲狋狑狅狉犽犫犪狊犲犱犻狀狋狉狌狊犻狅狀犱犲狋犲犮狋犻狅狀狊狔狊狋犲犿 ２０２１１０１１ 9: ２０２２０５０１ ;< '(+,-./012 '()*3/0456 9 : 犌犅／犜２０２７５—２０２１ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅰ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范性引用文件 ………………………………………………………………………………………… １ ３　 术语和定义 ……………………………………………………………………………………………… １ ４　 缩略语 …………………………………………………………………………………………………… １ ５　 网络入侵检测系统 ……………………………………………………………………………………… ２ ６　 安全技术要求 …………………………………………………………………………………………… ２ 　６．１　 要求分类与分级 …………………………………………………………………………………… ２ 　６．２　 基本级安全要求 …………………………………………………………………………………… ５ 　６．３　 增强级安全要求 …………………………………………………………………………………… １２ ７　 测试评价方法 …………………………………………………………………………………………… ２２ 　７．１　 测试环境 …………………………………………………………………………………………… ２２ 　７．２　 测试工具 …………………………………………………………………………………………… ２３ 　７．３　 基本级 ……………………………………………………………………………………………… ２３ 　７．４　 增强级 ……………………………………………………………………………………………… ４２ 参考文献 …………………………………………………………………………………………………… ７１ 犌犅／犜２０２７５—２０２１ 前 　　 言 库 七 七 ww w .k qq w. co m 提 供 　　 本文件按照 ＧＢ／Ｔ１．１—２０２０《标准化工作导则 　 第 １ 部分 ：标准化文件的结构和起草规则》的规定 起草 。 本文件代替 ＧＢ／Ｔ２０２７５—２０１３《信息安全技术 　 网络入侵检测系统技术要求和测试评价方法 》， 与 ＧＢ／Ｔ２０２７５—２０１３ 相比 ，除结构调整和编辑性改动外 ，主要技术变化如下 ： ａ）　 修改了 “安全事件”的定义（见 ３．１，２０１３ 年版的 ３．２）； ｂ）　修改了 “告警”的定义（见 ３．２，２０１３ 年版的 ３．７）； ｃ）　 增加了“网络入侵检测系统描述”章节的内容（见第 ５ 章）； ｄ）　调整了网络入侵检测系统的分级（见 ６．１．２，２０１３ 年版的 ５．２）； ｅ）　 修改了 “攻击行为监测”的要求 （见 ６．２．１．１．３ 和 ６．３．１．１．３，２０１３ 年版的 ６．１．１．１．３、６．２．１．１．３ 和 ６．３．１．１．３）； ｆ）　 增加了时钟同步的要求（见 ６．２．１．４．９ 和 ６．３．１．４．９）； ｇ）　增加了鉴别信息的要求（见 ６．２．２．１．２ 和 ６．３．２．１．２）； ｈ）　增加了管理地址限制的要求（见 ６．２．２．１．６ 和 ６．３．２．１．６）； ｉ）　 增加了数据外发的要求（见 ６．２．２．４．３ 和 ６．３．２．４．３）； ｊ）　 增加对“环境适应性要求”章节的内容 ，其中主要是明确了网络入侵检测系统对ＩＰｖ６ 的支持能 力 ，包括支持纯ＩＰｖ６ 网络环境 、ＩＰｖ６ 网络环境下自身管理能力和双协议栈（见６．２．３ 和６．３．３）； ｋ）　删除了“双机热备”的要求（见 ２０１３ 年版的 ６．３．１．４．１１）； ｌ）　 删除了“控制台鉴别”的要求（见 ２０１３ 年版的 ６．３．２．１．５）； ｍ）　增加了安全策略备份的要求（见 ６．３．２．４．４）； ｎ）　修改了各级的“安全保证要求 ”为 “安全保障要求 ”（见 ６．２．４ 和 ６．３．４，２０１３ 年版的 ６．１．３、６．２．３ 和 ６．３．３）。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口 。 本文件起草单位 ：公安部第三研究所 、北京天融信网络安全技术有限公司 、奇安信科技集团股份有 限公司 、北京神州绿盟科技有限公司 、启明星辰信息技术集团股份有限公司 、上海国际技贸联合有限公 司 、网神信息技术（北京）股份有限公司 、中国网络安全审查技术与认证中心 、中国电子科技集团公司第 十五研究所（信息产业信息安全测评中心）、上海市信息安全测评认证中心 、北京山石网科信息技术有限 公司 、西安交大捷普网络科技有限公司 、新华三技术有限公司 、北京安博通科技股份有限公司 、北京中科 网威信息技术有限公司 、深信服科技股份有限公司 、深圳市腾讯计算机系统有限公司 、中国信息通信研 究院 、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心）、华信咨询设计研究院有限公 司 、中国科学院信息工程研究所 、中国电力科学研究院有限公司信息通信研究所 、陕西省网络与信息安 全测评中心 、上海工业控制安全创新科技有限公司 、国网新疆电力有限公司电力科学研究院 。 本文件主要起草人 ：宋好好 、顾建新 、沈亮 、陆臻 、顾健 、赖静 、陈妍 、曹宁 、陈华平 、刘彤 、焦玉峰 、 刘志远 、魏向杰 、付海涛 、申永波 、刘健 、刘艺翔 、徐佟海 、李宇 、何建锋 、杨洪起 、曾祥禄 、宋伟 、杨柳 、黄超 、 许子先 、王榕 、郭永振 、孙小平 、闫兆腾 、严敏辉 、赵少飞 、倪华 、李峰 、舒斐 、王少杰 、张凯悦 、顾欣 、任帅 、 肖颖 。 本文件及其所代替文件的历次版本发布情况为 ： ———２００６ 年首次发布为 ＧＢ／Ｔ２０２７５—２００６，２０１３ 年第一次修订 ； ——— 本次为第二次修订 。 Ⅰ 犌犅／犜２０２７５—２０２１ 信息安全技术 　 网络入侵检测系统 技术要求和测试评价方法 １　 范围 本文件规定了网络入侵检测系统的安全技术要求和测试评价方法 。 本文件适用于网络入侵检测系统的设计 、开发与测评 。 供 ２　 规范性引用文件 co m 提 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ，注日期的引用文 件 ，仅该日期对应的版本适用于本文件 ；不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于 本文件 。 ＧＢ／Ｔ２５０６９　 信息安全技术 　 术语 .k 安全事件 　狊犲犮狌狉犻狋狔犻狀犮犻犱犲狀狋 对网络和信息系统或者其中的数据造成危害的事件 。 告警 　犪犾犲狉狋 当攻击或入侵发生时 ，网络入侵检测系统向授权管理员发出的信息 。 支撑系统 　狊狌狆狆狅狉狋犻狀犵狊狔狊狋犲犿 支撑网络入侵检测系统运行的操作系统 。 库 ３．３ 七 七 ３．２ ＧＢ／Ｔ２５０６９ 界定的以及下列术语和定义适用于本文件 。 ww w ３．１ qq w. ３　 术语和定义 ４　 缩略语 下列缩略语适用于本文件 。 ＦＴＰ：文件传输协议（ＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ） ＨＴＭＬ：超文本置标语言（ＨｙｐｅｒＴｅｘｔＭａｒｋｕｐＬａｎｇｕａｇｅ） ＨＴＴＰ：超文本传输协议（ＨｙｐｅｒＴｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ） ＩＣＭＰ：网际控制报文协议（ＩｎｔｅｒｎｅｔＣｏｎｔｒｏｌＭｅｓｓａｇｅＰｒｏｔｏｃｏｌ） ＩＰ：网际协议（ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ） ＰＯＰ３：邮局协议的第三个版本（ＰｏｓｔＯｆｆｉｃｅＰｒｏｔｏｃｏｌ３） ＳＭＴＰ：简单邮件传送协议（ＳｉｍｐｌｅＭａｉｌＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ） ＳＮＭＰ：简单网络管理协议（ＳｉｍｐｌｅＮｅｔｗｏｒｋＭａｎａｇｅｍｅｎｔＰｒｏｔｏｃｏｌ） １ 犌犅／犜２０２７５—２０２１ ＴＣＰ：传输控制协议（ＴｒａｎｓｐｏｒｔＣｏｎｔｒｏｌＰｒｏｔｏｃｏｌ） ＴＥＬＮＥＴ：远程登陆（ＴｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎＮｅｔｗｏｒｋ） ＵＤＰ：用户数据报协议（ＵｓｅｒＤａｔａｇｒａｍＰｒｏｔｏｃｏｌ） ５　 网络入侵检测系统 网络入侵检测系统是以网络上的数据包作为数据源 ，监听所保护网络节点的所有数据包并进行分 析 ，从而发现异常行为的产品 。 七 ww w .k qq w. co m 提 供 ６　 安全技术要求 ６．１　 要求分类与分级 ６．１．１　 要求分类 本文件将网络入侵检测系统安全技术要求分为安全功能 、自身安全保护 、环境适应性和安全保障要 求四个大类 。 其中 ，安全功能要求针对网络入侵检测系统应具备的安全功能提出具体要求 ，主要包括数 据探测功能要求 、入侵分析功能要求 、入侵响应功能要求 、管理控制功能要求 、检测结果处理要求 、产品 灵活性要求 、性能要求等 ；自身安全保护要求针对网络入侵检测系统的身份鉴别 、管理员管理 、安全审 计 、数据安全 、通信安全 、升级安全 、运行安全等提出具体要求 ；环境适应性要求支持纯ＩＰｖ６ 网络环境 、 ＩＰｖ６ 网络环境下自身管理能力和双协议栈等 ；安全保障要求针对网络入侵检测系统的生命周期过程提 出具体要求 ，包括开发 、指导性文档 、生命周期支持 、测试和脆弱性评定等 。 ６．１．２　 安全等级 本文件将网络入侵检测系统的安全等级分为基本级和增强级 ，应符合表 １、表 ２、表 ３ 和表 ４ 的要 求 。 安全功能与自身安全保护的强弱 、以及安全保障要求的高低是等级划分的具体依据 ，安全等级突出 安全特性 。 库 七 注 ：与基本级内容相比 ，增强级中要求有所增加或变更的内容在正文中通过 “加粗 ”表示 。 数据探测功能要求 入侵分析功能要求 ２ 表 １　 网络入侵检测系统安全功能要求等级划分表 安全功能要求 数据收集 协议分析 攻击行为监测 流量监测 数据分析 事件合并