YDN140-2006 网络入侵检测系统技术要求

范围 本标准规定了网络入侵检测系统的系统结构、检测内容、响应方式、系统管理、日志审计、自身安全、性能指标和物理安全。 本标准适用于网络人侵检测系统及相关设备。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB 4943-2001信息技术设备的安全 GB/T 5271.8-2001信息技术 词汇 第8部分：安全 GB 9254-1998信息技术设备的无线电骚扰限值和测量方法 GB/T 17618-1998信息技术设备抗扰限值和测量方法GB/T 18336-2001信息技术安全技术信息技术安全性评估准則 3 术语和定义 下列术语和定义适用于本标准。 报警 Alert报警是指网络入侵检测系统在检测到入侵行为时，发布给具有系统管理角色实体的消息。 攻击 Attack攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为。 自动响应 Automated Response自动响应是指网络入侵检测系统在发现攻击后自发采取的保护行为。 躲避 Evasion躲避是指入侵者发动攻击，而又不希望被发现而采取的行为。 漏报 False Negatives漏报是指一个攻击事件未被网络入侵检测系统检测到而造成的错误。 误报 False Positives误报是指系统把正常行为作为入侵攻击而进行报警，或者把一种周知的攻击错误报告为另一种攻击而导致系统错误响应。 防火墙 Firewall在网络之间执行访问控制策略的一个或一组设备。 入侵 同“攻击”含义。 Intrusion入侵检测 Intrusion Detection人侵检测是对入侵行为的发觉。它从IP网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为或遭到入侵的迹象。 入侵检测系统 Intrusion Detection System（IDS）进行人侵检测并依据既定的策略采取一定响应措施的软件与硬件的组合。 网络入侵检测系统 Network Intrusion Detecion System（NIDS） 使用IP网络数据包作为数据源的人侵检测系统。 策略 Policy人侵检测系统的策略是指对于IP网络中的攻击事件采取何种响应方式和响应条件。多个策略构成策略集。 策略模板Policy Template入侵检测系统中的策略模板是策略集的表现形式，采用直观的名称对策略集进行区分。 规则 Rule入侵检测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略，多个规则构成规则集。特征 Signature人侵检测系统的特征是使入侵检测系统在攻击行为发生时触发事件的依据。多个特征可以构成特征库。 以上4个组件是网络人侵检测系统最核心的部分，可以完成最基本的人侵检测功能。但是作为一个完整的网络人侵检测系统，系统管理组件和日志审计组件也楚必不可少的。系统管理完成对系统的操作与配置，而日志审计是任何安全设备必须具备的功能。 5.1 事件产生器 对于网络人侵检测系统来说，事件产生器从系统所处的IP网络环境中收集事件，并将这些事件转换成一定格式以传送给其它组件。可以说，事件产生器是实时监视网络数据流并依据人侵检测规则产生事件的一种过滤器。 5.2 事件分析器 事件分析器分析从事件产生器收到的事件，并经过分析以后产生新的事件传送给其它组件。事件分析器既可以是一个特征检测工具，用于在一个事件序列中检查是否有已知的攻击特征；也可以是一个统计分析工具，检查现在的事件是否与以前某个事件来自同一个事件序列；此外，事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放到一起。以利于以后进一步分析。 具体检测内容参见第6章。 5.3 事件数据库 事件数据库用来临时存储事件，以备系统需要的时候使用。 5.4 响应单元 响应单元处理收到的事件，并依据策略采取相应的反应措施。 具体响应方式参见第7章。 系統管理 5.5负责网络人侵检测系统的管理，主要包括角色管理、设备管理、规则管理和升级管理。 具体内容参见第8章。 5.6日志审计 系统应该提供详细日志记录及查询统计功能，日志审计至少包括两部分：操作日志审计和入侵检测日志审计。 具体内容参见第9章。 6检测内容 网络人侵检测系统的主要功能包括以下几方面内容。