书 书 书犐犆犛 ３５ ． ０３０ 犆犆犛犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ２０２７５ — ２０２１ /G21 /G22 犌犅 ／ 犜 ２０２７５ — ２０１３ /G23 /G24 /G25 /G26 /G27 /G28 　 /G29 /G2A /G2B /G2C /G2D /G2E /G2F /G30 /G27 /G28 /G31 /G32 /G33 /G2E /G34 /G35 /G36 /G37 /G38 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犜犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犪狀犱狋犲狊狋犻狀犵犪狀犱犲狏犪犾狌犪狋犻狅狀犪狆狆狉狅犪犮犺犲狊犳狅狉狀犲狋狑狅狉犽犫犪狊犲犱犻狀狋狉狌狊犻狅狀犱犲狋犲犮狋犻狅狀狊狔狊狋犲犿 ２０２１  １０  １１ /G39 /G3A ２０２２  ０５  ０１ /G3B /G3C /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G39 /G3A目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 １ …………………………………………………………………………………………………… ５ 　 网络入侵检测系统 ２ ……………………………………………………………………………………… ６ 　 安全技术要求 ２ …………………………………………………………………………………………… 　 ６．１ 　 要求分类与分级 ２ …………………………………………………………………………………… 　 ６．２ 　 基本级安全要求 ５ …………………………………………………………………………………… 　 ６．３ 　 增强级安全要求 １２ …………………………………………………………………………………… ７ 　 测试评价方法 ２２ …………………………………………………………………………………………… 　 ７．１ 　 测试环境 ２２ …………………………………………………………………………………………… 　 ７．２ 　 测试工具 ２３ …………………………………………………………………………………………… 　 ７．３ 　 基本级 ２３ ……………………………………………………………………………………………… 　 ７．４ 　 增强级 ４２ ……………………………………………………………………………………………… 参考文献 ７１ …………………………………………………………………………………………………… 犌犅 ／ 犜 ２０２７５ — ２０２１ 前 　　 言 　　 本文件按照 ＧＢ ／ Ｔ１．１ — ２０２０ 《 标准化工作导则 　 第 １ 部分 ： 标准化文件的结构和起草规则 》 的规定起草 。 本文件代替 ＧＢ ／ Ｔ２０２７５ — ２０１３ 《 信息安全技术 　 网络入侵检测系统技术要求和测试评价方法 》， 与 ＧＢ ／ Ｔ２０２７５ — ２０１３ 相比 ， 除结构调整和编辑性改动外 ， 主要技术变化如下 ： ａ ） 　 修改了 “ 安全事件 ” 的定义 （ 见 ３．１ ， ２０１３ 年版的 ３．２ ）； ｂ ） 　 修改了 “ 告警 ” 的定义 （ 见 ３．２ ， ２０１３ 年版的 ３．７ ）； ｃ ） 　 增加了 “ 网络入侵检测系统描述 ” 章节的内容 （ 见第 ５ 章 ）； ｄ ） 　 调整了网络入侵检测系统的分级 （ 见 ６．１．２ ， ２０１３ 年版的 ５．２ ）； ｅ ） 　 修改了 “ 攻击行为监测 ” 的要求 （ 见 ６．２．１．１．３ 和 ６．３．１．１．３ ， ２０１３ 年版的 ６．１．１．１．３ 、 ６．２．１．１．３ 和 ６．３．１．１．３ ）； ｆ ） 　 增加了时钟同步的要求 （ 见 ６．２．１．４．９ 和 ６．３．１．４．９ ）； ｇ ） 　 增加了鉴别信息的要求 （ 见 ６．２．２．１．２ 和 ６．３．２．１．２ ）； ｈ ） 　 增加了管理地址限制的要求 （ 见 ６．２．２．１．６ 和 ６．３．２．１．６ ）； ｉ ） 　 增加了数据外发的要求 （ 见 ６．２．２．４．３ 和 ６．３．２．４．３ ）； ｊ ） 　 增加对 “ 环境适应性要求 ” 章节的内容 ， 其中主要是明确了网络入侵检测系统对 ＩＰｖ６ 的支持能力 ， 包括支持纯 ＩＰｖ６ 网络环境 、 ＩＰｖ６ 网络环境下自身管理能力和双协议栈 （ 见 ６．２．３ 和 ６．３．３ ）； ｋ ） 　 删除了 “ 双机热备 ” 的要求 （ 见 ２０１３ 年版的 ６．３．１．４．１１ ）； ｌ ） 　 删除了 “ 控制台鉴别 ” 的要求 （ 见 ２０１３ 年版的 ６．３．２．１．５ ）； ｍ ） 　 增加了安全策略备份的要求 （ 见 ６．３．２．４．４ ）； ｎ ） 　 修改了各级的 “ 安全保证要求 ” 为 “ 安全保障要求 ”（ 见 ６．２．４ 和 ６．３．４ ， ２０１３ 年版的 ６．１．３ 、 ６．２．３ 和 ６．３．３ ）。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本文件起草单位 ： 公安部第三研究所 、 北京天融信网络安全技术有限公司 、 奇安信科技集团股份有限公司 、 北京神州绿盟科技有限公司 、 启明星辰信息技术集团股份有限公司 、 上海国际技贸联合有限公司 、 网神信息技术 （ 北京 ） 股份有限公司 、 中国网络安全审查技术与认证中心 、 中国电子科技集团公司第十五研究所 （ 信息产业信息安全测评中心 ）、 上海市信息安全测评认证中心 、 北京山石网科信息技术有限公司 、 西安交大捷普网络科技有限公司 、 新华三技术有限公司 、 北京安博通科技股份有限公司 、 北京中科网威信息技术有限公司 、 深信服科技股份有限公司 、 深圳市腾讯计算机系统有限公司 、 中国信息通信研究院 、 工业和信息化部计算机与微电子发展研究中心 （ 中国软件评测中心 ）、 华信咨询设计研究院有限公司 、 中国科学院信息工程研究所 、 中国电力科学研究院有限公司信息通信研究所 、 陕西省网络与信息安全测评中心 、 上海工业控制安全创新科技有限公司 、 国网新疆电力有限公司电力科学研究院 。 本文件主要起草人 ： 宋好好 、 顾建新 、 沈亮 、 陆臻 、 顾健 、 赖静 、 陈妍 、 曹宁 、 陈华平 、 刘彤 、 焦玉峰 、 刘志远 、 魏向杰 、 付海涛 、 申永波 、 刘健 、 刘艺翔 、 徐佟海 、 李宇 、 何建锋 、 杨洪起 、 曾祥禄 、 宋伟 、 杨柳 、 黄超 、 许子先 、 王榕 、 郭永振 、 孙小平 、 闫兆腾 、 严敏辉 、 赵少飞 、 倪华 、 李峰 、 舒斐 、 王少杰 、 张凯悦 、 顾欣 、 任帅 、 肖颖 。 本文件及其所代替文件的历次版本发布情况为 ：——— ２００６ 年首次发布为 ＧＢ ／ Ｔ２０２７５ — ２００６ ， ２０１３ 年第一次修订 ；——— 本次为第二次修订 。 Ⅰ 犌犅 ／ 犜 ２０２７５ — ２０２１ 信息安全技术 　 网络入侵检测系统技术要求和测试评价方法 １ 　 范围 本文件规定了网络入侵检测系统的安全技术要求和测试评价方法 。 本文件适用于网络入侵检测系统的设计 、 开发与测评 。 ２ 　 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ， 注日期的引用文 件 ， 仅该日期对应的版本适用于本文件 ； 不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于 本文件 。 ＧＢ ／ Ｔ２５０６９ 　 信息安全技术 　 术语 ３ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 安全事件 　 狊犲犮狌狉犻狋狔犻狀犮犻犱犲狀狋 对网络和信息系统或者其中的数据造成危害的事件 。 ３ ． ２ 告警 　 犪犾犲狉狋 当攻击或入侵发生时 ， 网络入侵检测系统向授权管理员发出的信息 。 ３ ． ３ 支撑系统 　 狊狌狆狆狅狉狋犻狀犵狊狔狊狋犲犿 支撑网络入侵检测系统运行的操作系统 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ＦＴＰ ： 文件传输协议 （ ＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） ＨＴＭＬ ： 超文本置标语言 （ ＨｙｐｅｒＴｅｘｔＭａｒｋｕｐＬａｎｇｕａｇｅ ） ＨＴＴＰ ： 超文本传输协议 （ ＨｙｐｅｒＴｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） ＩＣＭＰ ： 网际控制报文协议 （ ＩｎｔｅｒｎｅｔＣｏｎｔｒｏｌＭｅｓｓａｇｅＰｒｏｔｏｃｏｌ ） ＩＰ ： 网际协议 （ ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ ） ＰＯＰ３ ： 邮局协议的第三个版本 （ ＰｏｓｔＯｆｆｉｃｅＰｒｏｔｏｃｏｌ３ ） ＳＭＴＰ ： 简单邮件传送协议 （