GB/T 26269-2010 网络入侵检测系统技术要求

ICS33．040．40；33．200

M54

囝雷

中华人民共和国国家标准

GB／T26269—2010

网络入侵检测系统技术要求

TechnicalrequirementsfOrnetwOrkintrusiondetectionsystem

2011—01-14发布2011—06—01实施

宰瞀徽鬻瓣譬矬赞星发布中国国家标准化管理委员会“”。

GB／T26269—2010

前言?????·?··????··

引言??·?????????·

1范围·??????????

2规范性引用文件?????·

3术语和定义???????·

4缩略语·?????????

5系统描述?·???·???··

6检测内容????????-

7响应方式????????-

8系统管理????????-

9日志审计????????·

10自身安全???????-

11性能指标????????

12物理安全????????

附录A(资料性附录)事件分类

参考文献?????????··

目次

IⅡ1

1

1

2

3

4

4

5

6

7

8

8

9

O

刖吕

GB／T26269—2010

本标准是网络入侵检测系统系列标准之一。该系列标准的名称如下：

——网络入侵检测系统技术要求；

——网络入侵检测系统测试方法。

本标准的附录A为资料性附录。

本标准由中华人民共和国工业和信息化部提出。

本标准由中国通信标准化协会归口。

本标准起草单位：工业和信息化部电信研究院、北京启明星辰信息技术有限公司、北京电信规划设

计院有限公司、华为技术有限公司。

本标准起草人：落红卫、楚建梅、吴海民、陈萍、苗福友、刘册、夏俊杰。

GB／T26269—2010

引言

网络入侵检测系统是指从IP网络的若于关键点收集信息并对其进行分析，从中发现网络中是否有

违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定措施的系统。

网络入侵检测技术是网络动态安全的核心技术，相关设备和系统是整个安全防护体系的重要组成

部分。目前，防火墙是静态安全防御技术，但对网络环境下日新月异的攻击手段缺乏主动的监测和响

应。而网络入侵检测系统能对网络入侵事件和过程做出实时响应，和防火墙并列为网络与信息安全的

核心设备。

Ⅱ

网络入侵检测系统技术要求

GB／T26269—2010

1范围

本标准规定了网络入侵检测系统的系统结构、检测内容、响应方式、系统管理、日志审计、自身安全、

性能指标和物理安全。

本标准适用于网络入侵检测系统及相关设备。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有

的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究

是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB49432001信息技术设备的安全

GB92542008信息技术设备的无线电骚扰限值和测量方法

GB／Tl76181998信息技术设备抗扰限值和测量方法

3术语和定义

下列术语和定义适用于本标准。

3．1

报警alert

报警是指网络入侵检测系统在检测到入侵行为时，发布给具有系统管理角色实体的消息。

3．2

攻击attack

攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为。

3．3

自动响应automatedresponse

自动响应是指网络入侵检测系统在发现攻击行为后自发采取的保护行为。

3．4

躲避evasion

躲避是指入侵者发动攻击，而又不希望被发现而采取的行为。

3．5

漏报falsenegatives

漏报是指一个攻击事件未被网络入侵检测系统检测到而造成的错误。

3．6

误报falsepositives

误报是指系统把正常行为作为入侵攻击而进行报警，或者把一种攻击错误报告为另一种攻击而导

致系统错误响应。

3．7

防火墙firewan

在网络之间执行访问控制策略的一个或一组设备。

1

GB／T26269—2010

3．8

入侵int阳sion

同“攻击”含义。

3．9

入侵检测intrusi仰det∞tion

入侵检测是对入侵行为的发觉。它从IP网络或计算机系统中的若干关键点收集信息并对其进行

分析，从中发现是否有违反安全策略的行为或遭到入侵的迹象。

3．10

入侵检测系统Intr吣ionDetectionsyStem(IDs)

进行人侵检测并依据既定的策略采取一定响应措施的软件与硬件的组合。

3．11

网络入侵检测系统NetworkIntrusionDetecionsystem(NIDs)

使用IP网络数据包作为数据源的入侵检测系统。

3．12

策略policy

入侵检测系统的策略是指对于IP网络中的攻击事件采取何种响应方式和响应条件，多个策略构成

策略集。

3．13

策略模板policytemplate

入侵检测系统中的策略模板是策略集的表现形式，采用直观的名称对策略集进行区分。

3．14

规则rule

入侵检测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略，多个规则构成规

则集。

3．15

特征sigllature

入侵检测系统的特征是使入侵检测系统在攻击行为发生时触发事件的依据，多个特征可以构成特

征库。

3．16

隐藏stealth

隐藏是指网络入侵检测系统在检测攻击时不为外界所见。

4缩略语

下列缩略语适用于本标准。

AcLAccessC。ntr01“st访问控制列表

cPUcentralProcessingUnit中央处理单元

DDosDistributedDenial。fservice分布式拒绝服务

DoSDenialofService拒绝服务

FTPFileTransferProtocol文件传输协议

HTTPHypertextTransferProtoc01超文本传输协议

IPInternetProtocaI互联网协议

POP3PostOfficeP∞tocol：Version3邮局协议第3版

sMTPsimpleMa订TransferProtocoI简单邮件传输协议

2

SNMP

TCP

simpleNetworkManagementPr。tocol简单网络管理协议

TransmissionControlProt。c。l传输控制协议

GB／T26269—2010

5系统描述

5．1架构

网络人侵检测系统是指从IP网络的若干关键点收集信息并对其进行分析，从中发现网络中是否