ICS33.040.40;33.200 M54 中华人民共和国国家标准 GB/T26269—2010 网 络入侵检测系统技术要求 Technicalrequirementsfornetworkintrusiondetectionsystem 2011-01-14发布 2011-06-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 系统描述 3 ………………………………………………………………………………………………… 6 检测内容 4 ………………………………………………………………………………………………… 7 响应方式 4 ………………………………………………………………………………………………… 8 系统管理 5 ………………………………………………………………………………………………… 9 日志审计 6 ………………………………………………………………………………………………… 10 自身安全 7 ………………………………………………………………………………………………… 11 性能指标 8 ………………………………………………………………………………………………… 12 物理安全 8 ………………………………………………………………………………………………… 附录A(资料性附录) 事件分类 9 ………………………………………………………………………… 参考文献 10 ……………………………………………………………………………………………………GB/T26269—2010 前 言 本标准是网络入侵检测系统系列标准之一。该系列标准的名称如下: ———网络入侵检测系统技术要求; ———网络入侵检测系统测试方法。 本标准的附录A为资料性附录。 本标准由中华人民共和国工业和信息化部提出。 本标准由中国通信标准化协会归口。 本标准起草单位:工业和信息化部电信研究院、北京启明星辰信息技术有限公司、北京电信规划设 计院有限公司、华为技术有限公司。 本标准起草人:落红卫、楚建梅、吴海民、陈萍、苗福友、刘册、夏俊杰。 ⅠGB/T26269—2010 引 言 网络入侵检测系统是指从IP网络的若干关键点收集信息并对其进行分析,从中发现网络中是否有 违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定措施的系统。 网络入侵检测技术是网络动态安全的核心技术,相关设备和系统是整个安全防护体系的重要组成 部分。目前,防火墙是静态安全防御技术,但对网络环境下日新月异的攻击手段缺乏主动的监测和响 应。而网络入侵检测系统能对网络入侵事件和过程做出实时响应,和防火墙并列为网络与信息安全的 核心设备。 ⅡGB/T26269—2010 网络入侵检测系统技术要求 1 范围 本标准规定了网络入侵检测系统的系统结构、检测内容、响应方式、系统管理、日志审计、自身安全、 性能指标和物理安全。 本标准适用于网络入侵检测系统及相关设备。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有 的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 GB4943—2001 信息技术设备的安全 GB9254—2008 信息技术设备的无线电骚扰限值和测量方法 GB/T17618—1998 信息技术设备抗扰限值和测量方法 3 术语和定义 下列术语和定义适用于本标准。 3.1 报警 alert 报警是指网络入侵检测系统在检测到入侵行为时,发布给具有系统管理角色实体的消息。 3.2 攻击 attack 攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为。 3.3 自动响应 automatedresponse 自动响应是指网络入侵检测系统在发现攻击行为后自发采取的保护行为。 3.4 躲避 evasion 躲避是指入侵者发动攻击,而又不希望被发现而采取的行为。 3.5 漏报 falsenegatives 漏报是指一个攻击事件未被网络入侵检测系统检测到而造成的错误。 3.6 误报 falsepositives 误报是指系统把正常行为作为入侵攻击而进行报警,或者把一种攻击错误报告为另一种攻击而导 致系统错误响应。 3.7 防火墙 firewall 在网络之间执行访问控制策略的一个或一组设备。 1GB/T26269—2010 3.8 入侵 intrusion 同“攻击”含义。 3.9 入侵检测 intrusiondetection 入侵检测是对入侵行为的发觉。它从IP网络或计算机系统中的若干关键点收集信息并对其进行 分析,从中发现是否有违反安全策略的行为或遭到入侵的迹象。 3.10 入侵检测系统 IntrusionDetectionSystem(IDS) 进行入侵检测并依据既定的策略采取一定响应措施的软件与硬件的组合。 3.11 网络入侵检测系统 NetworkIntrusionDetecionSystem(NIDS) 使用IP网络数据包作为数据源的入侵检测系统。 3.12 策略 policy 入侵检测系统的策略是指对于IP网络中的攻击事件采取何种响应方式和响应条件,多个策略构成 策略集。 3.13 策略模板 policytemplate 入侵检测系统中的策略模板是策略集的表现形式,采用直观的名称对策略集进行区分。 3.14 规则 rule 入侵检测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略,多个规则构成规 则集。 3.15 特征 signature 入侵检测系统的特征是使入侵检测系统在攻击行为发生时触发事件的依据,多个特征可以构成特 征库。 3.16 隐藏 stealth 隐藏是指网络入侵检测系统在检测攻击时不为外界所见。 4 缩略语 下列缩略语适用于本标准。 ACL AccessControlList 访问控制列表 CPU CentralProcessingUnit 中央处理单元 DDoS DistributedDenialofService 分布式拒绝服务 DoS DenialofService 拒绝服务 FTP FileTransferProtocol 文件传输协议 HTTP HypertextTransferProtocol 超文本传输协议 IP InternetProtocal 互联网协议 POP3 PostOfficeProtocol:Version3 邮局协议第3版 SMTP SimpleMailTransferProtocol 简单邮件传输协议 2GB/T26269—2010 SNMP SimpleNetworkManagementProtocol简单网络管理协议 TCP TransmissionControlProtocol 传输控制协议 5 系统描述 5.1 架构 网络入侵检测系统是指从IP网络的若干关键点收集信息并对其进行分析,从中发现网络中是否有 违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定的措施的软件与硬件的组合。按 照功能划分,网络入侵检测系统至少要包括4个基本组件:事件产生器、事件分析器、响应单元和事件数 据库。网络入侵检测系统的架构如图1所示。 图1 网络入侵检测系统架构 4个组件的关系是,事件产生器的任务是通过监听所处的IP网络从而提取关心的事件并转化为一 定格式以供其他组件使用;事件分析器接收这些事件,并且分析它们是否是入侵行为,结果依然转化为 相应格式的事件;响应单元根据令系统执行特定行为的事件做出相应响应;事件数据库存储事件以备将 来使用。 在网络入侵检测系统框架中,事件产生器、事件分析器和响应单元通常以应用程序的形式出现,而 事件数据库则往往以文件或数据流的形式出现。4个组件只是逻辑实体,它们以事件的形式进行数据 交换。 以上4个组件是网络入侵检测系统最核心的部分,可以完成最基本的入侵检测功能。但是作为一 个完整的网络入侵检测系统,系统管理组件和日志审计组件也是必不可少的。系统管理完成对系统的 操作与配置,而日志审计是任何安全设备必须具备的功能。 5.2 事件产生器 对于网络入侵检测系统来说,事件产生器从系统所处的IP网络环境中收集事件,并将这些事件转 换成一定格式以传送给其他组件。可以说,事件产生器是实时监视网络数据流并依据入侵检测规则产 生事件的一种过滤器。 5.3 事件分析器 事件分析器分析从事件产生器收到的事件,并经过分析以后产生新的事件传送给其他组件。事件 分析器可以是一个特征检测工具,用于在一个事件序列中检查是否有已知的攻击特征;也可以是一个统 计分析工具,检查现在的事件是否与以前某个事件来自同一个事件序列;此外,事件分析器还可以是一 个相关器,观察事件之间的关系,将有联系的事件放到一起,以利于以后的进一步分析。 具体检测内容见第6章