GB/T26269-2010
网络入侵检测系统技术要求
Technicalrequirementsfornetworkintrusiondetectionsystem
- 中国标准分类号(CCS)M54
- 国际标准分类号(ICS)33.200;33.040.40
- 实施日期2011-06-01
- 文件格式PDF
- 文本页数14页
- 文件大小386.73KB
以图片形式预览网络入侵检测系统技术要求
网络入侵检测系统技术要求
国家标准 GB/T26269一2010 网络入侵检测系统技术要求 Techniealrequirementsfornetworkintrusiondeteetionsystem 2011-01-14发布 2011-06-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T26269一2010 目 次 前言 引言 范围 规范性引用文件 术语和定义 缩略语 系统描述 检测内容 响应方式 系统管理 日志审计 10 自身安全 11性能指标 12物理安全 附录A(资料性附录)事件分类 参考文献
GB/T26269一2010 前 言 本标准是网络人侵检测系统系列标准之一
该系列标准的名称如下: 网络人侵检测系统技术要求; 网络人侵检测系统测试方法
本标准的附录A为资料性附录
本标准由工业和信息化部提出
本标准由通信标准化协会归口
本标淮起草单位;工业和信息化部电信研究院、北京启明星辰信息技术有限公司,北京电信规划设 计院有限公司、华为技术有限公司
本标准起草人;落红卫、楚建梅、吴海民、陈萍、苗福友、刘册、夏俊杰
GB/T26269一2010 引 言 网络人侵检测系统是指从IP网络的若干关键点收集信息并对其进行分析,从中发现网络中是否有 违反安全策略的行为或遭到人侵的迹象,并依据既定的策略采取一定措施的系统
网络人侵检测技术是网络动态安全的核心技术,相关设备和系统是整个安全防护体系的重要组成 部分
目前,防火墙是静态安全防御技术,但对网络环境下日新月异的攻击手段缺乏主动的监测和响 应
而网络人侵检测系统能对网络人侵事件和过程做出实时响应,和防火墙并列为网络与信息安全的 核心设备
GB/T26269一2010 网络入侵检测系统技术要求 范围 本标准规定了网络人侵检测系统的系统结构、检测内容、响应方式、系统管理、日志审计、自身安全 性能指标和物理安全
本标准适用于网络人侵检测系统及相关设备
规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款
凡是注日期的引用文件,其随后所有 的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本
凡是不注日期的引用文件,其最新版本适用于本标准
GB49432001 信息技术设备的安全 GB9254一2008信息技术设备的无线电骚扰限值和测量方法 GB/T17618一1998信息技术设备抗扰限值和测量方法 术语和定义 下列术语和定义适用于本标准
3.1 报警alert 报警是指网络人侵检测系统在检测到人侵行为时,发布给具有系统管理角色实体的消息
3.2 攻击attack 攻击是指任何危及计算机资源与网络资源完整性、机密性或可用性的行为
3.3 自动响应 autommatedresponse 自动响应是指网络人侵检测系统在发现攻击行为后自发采取的保护行为 3 躲避evasionm 躲避是指人侵者发动攻击,而又不希望被发现而采取的行为
3.5 漏报falsenegatives 漏报是指一个攻击事件未被网络人侵检测系统检测到而造成的错误
3.6 误报tasepositvee 误报是指系统把正常行为作为人侵攻击而进行报警,或者把一种攻击错误报告为另一种攻击而导 致系统错误响应
防火墙firewall 在网络之间执行访问控制策略的一个或一组设备
GB/T26269一2010 3.8 入侵 iintrusion 同“攻击"含义
3.9 intrusiondeteetion 入侵检测 人侵检测是对人侵行为的发觉
它从IP网络或计算机系统中的若干关键点收集信息并对其进行 分析,从中发现是否有违反安全策略的行为或遭到人侵的迹象 3.10 入侵检测系统IntrusionDeteetiosystem(IDs) 进行人侵检测并依据既定的策略采取一定响应措施的教件与硬件的组合 3.11 NetworklntrusionDeecionSystemNIDS 网络入侵检测系统 使用P网络数据包作为数据源的人侵检测系统
3.12 策略pitey 人侵检测系统的策略是指对于IP网络中的攻击事件采取何种响应方式和响应条件,多个策略构成 策略集
3.13 策略模板polieytemplate 人侵检测系统中的策略模板是策略集的表现形式,采用直观的名称对策略集进行区分
3.14 规则rule 人侵检测规则包含了对网络中攻击事件进行评判的依据及对该事件采用的策略,多个规则构成规 则集
3.15 特征signatre 人侵检测系统的特征是使人侵检测系统在攻击行为发生时触发事件的依据,多个特征可以构成特 征库
3.16 隐藏stealth 隐藏是指网络人侵检测系统在检测攻击时不为外界所见
缩略语 下列缩略语适用于本标准
AccessControlList 访问控制列表 Acl cU UJnit CentralProcessing 中央处理单元 Dos DistributedDenialofService 分布式拒绝服务 Dos De ofService 拒绝服务 )enial FTr FileTr ansferProtocol 文件传输协议 HypertextTransferProtocol HTTP 超文本传输协议 InternetProtocal IP 互联网协议 POP3 PostOfficeProtocol:Version 3 邮局协议第3版 SMTP SimpleMailTransferProtocol 简单邮件传输协议
GB/T26269一2010 SNMP NetworkMam lanagementProtocol 简单网络管理协议 Simple TCP TransmissionControlProtocol 传输控制协议 系统描述 架构 网络人侵检测系统是指从IP网络的若干关键点收集信息并对其进行分析,从中发现网络中是否有 违反安全策略的行为或遭到人侵的迹象,并依据既定的策略采取一定的措施的软件与硬件的组合
按 照功能划分,网络人侵检测系统至少要包括4个基本组件:事件产生器、事件分析器、响应单元和事件数 据库
网络人侵检测系统的架构如图1所示
响应单元 输出:反应或事件 输出,领中断事件 输出:事件的存储信息 事件分析器 事件数据库 输出,原如或低级事什 事件产生器 输入原始事件源 P网络 图1网络入侵检测系统架构 4个组件的关系是,事件产生器的任务是通过监听所处的IP网络从而提取关心的事件并转化为一 定格式以供其他组件使用;事件分析器接收这些事件,并且分析它们是否是人侵行为,结果依然转化为 相应格式的事件;响应单元根据令系统执行特定行为的事件做出相应响应;事件数据库存储事件以备将 来使用 在网络人侵检测系统框架中,事件产生器,事件分析器和响应单元通常以应用程序的形式出现,而 事件数据库则往往以文件或数据流的形式出现
4个组件只是逻辑实体,它们以事件的形式进行数据 交换
以上4个组件是网络人侵检测系统最核心的部分,可以完成最基本的人侵检测功能
但是作为一 个完整的网络人侵检测系统,系统管理组件和日志审计组件也是必不可少的
系统管理完成对系统的 操作与配置,而日志审计是任何安全设备必须具备的功能
事件产生器 5.2 对于网络人侵检测系统来说,事件产生器从系统所处的IP网络环境中收集事件,并将这些事件转 换成一定格式以传送给其他组件
可以说,事件产生器是实时监视网络数据流并依据人侵检测规则产 生事件的一种过滤器
5.3事件分析器 事件分析器分析从事件产生器收到的事件,并经过分析以后产生新的事件传送给其他组件
事件 分析器可以是一个特征检测工具,用于在一个事件序列中检查是否有已知的攻击特征;也可以是一个统 计分析工具,检查现在的事件是否与以前某个事件来自同一个事件序列;此外,事件分析器还可以是一 个相关器,观察事件之间的关系,将有联系的事件放到一起,以利于以后的进一步分析
具体检测内容见第6章
5 事件数据库 事件数据库用来临时存储事件,以备系统需要的时候使用
GB/T26269一2010 5.5响应单元 响应单元处理收到的事件,并依据策略采取相应的反应措施 具体响应方式见第7章
5.6 系统管理 负责网络人侵检测系统的管理,主要包括角色管理、设备管理、规则管理、升级管理 具体内容见第8章
5.7 日志审计 系统应该提供详细日志记录及查询统计功能,日志审计至少包括两部分,操作日志审计和人侵检测 日志审计
具体内容见第9章
检测内容 6.1基本功能 网络人侵检测系统的基本功能应包括协议分析,攻击识别和躲避识别 6.2协议分析 可以对基于TCP/IP的各种协议(如;HTTP,FTP,TELNET,sMTP,POP3等)进行分析,解码,并 提取特征信息
网络人侵检测系统至少可以识别如下信息 协议主体 协议客体 协议类型, 协议内容
6.3攻击识别 网络攻击一般分为以下五类;信息探测类、拒绝服务类、蠕虫病毒类、权限获取类、可疑网络活动类
信息探测类;搜集对计算机和网络信息的攻击尝试行为,包括端口扫描、,漏洞扫描等
拒绝服务类;破坏计算机和网络资源可用性的攻击行为,包括各种Dos,DDos攻击等
蠕虫病毒类;通过病毒进行的攻击行为,包括蠕虫(即网络病毒),邮件病毒等
权限获取类;非法获取更高权限的攻击行为,包括后门攻击,木马攻击、缓冲区溢出攻击等
可疑网络活动类;不确定,但有可能是攻击的行为,或者用户自定义的网络违规行为
网络人侵检测系统在协议分析的基础上,结合攻击特征模式匹配和异常统计等技术,应能检测出以 上种类中的若干种攻击行为
6.4躲避识别 躲避是指人侵者发动攻击,而又不希望被发现而采取的行为,而躲避识别则是为了对抗网络人侵者 的各种躲避行为
为识别躲避行为,网络人侵检测系统应具备如下功能 P碎片重组;对所监视的网络中的IP碎片包重组后进行分析,防止碎片欺骗
TCP流重组;对所监视的网络中乱序的TCP流重新排序,从而对完整的网络对话进行分析
响应方式 响应方式分类 在检测到人侵攻击后,网络人侵检测系统的响应单元主要有两类响应方式:被动响应方式和主动响 应方式
被动响应方式是系统在检测出人侵攻击后只是产生报警和日志通知具有系统管理角色的实 体,具体处理工作由此实体完成;主动响应方式是系统在检测出人侵攻击后可以自动对目标系统或者相 应网络设备做出修改制止人侵行为
网络人侵检测系统的响应单元应具备以下主动响应方式和被动响应方式中的一种或者多种
GB/T26269一2010 7.2被动响应方式 7.2.1报警功能 当系统检测到人侵事件产生时,响应单元应将报警信息以邮件,SNMPTrap,声光告警,焦点窗口 等形式中的一种或者几种提交具有系统管理角色的实体
报警信息至少应包括以下内容 事件主体; 事件客体; 发生时间; 事件类型; 事件内容; 事件级别 7.2.2生成日志 当系统检测到人侵事件产生时,响应单元应将人侵事件记录到日志中,日志记录至少包括以下 字段 事件主体; 事件客体; 发生时间 事件类型, 事件内容 事件级别
自定义被动响应 7.2.3 为了满足实际需求,系统还可以提供可供具有系统管理角色的实体自定义的被动响应方式来响应 人侵事件
7.3主动响应方式 7.3.1联动响应 系统可以通过相应的控制方式和其他网络设备(如路由器、交换机等)或安全系统(如防火墙、漏洞 扫描系统等)进行联动
与网络设备联动是指系统发现了人侵事件后,通知指定的网络设备(如路由器,交换机等),利用网 络设备自身的命令(如ACL控制命令)来修改访问控制策略,对人侵行为进行主动响应,如阻断
与安全系统联动是指系统发现了人侵事件后,通知指定的安全系统(如防火墙等),由安全系统执行 -些安全措施,对人侵行为进行主动响应
如通知防火墙修改当前访问控制策略以对攻击行为进行 阻断
为保证联动安全性,系统应提供与其他网络设备或安全系统之间的身份认证,联动消息也应采取措 施保证机密性和完整性
7.3.2实时切断会话连接 当系统检测到人侵事件后,响应单元可以通过发送特定的阻断信息来实现阻断当前连接
系统应 至少支持通过发送TCPReset报文来切断特定的TCP会话连接
7 3. .3 自定义的响应程序 为了满足实际需求,系统还可以提供可供具有系统管理角色的实体自定义的主动响应方式来响应 人侵事件
系统管理 8 基本构成 网络人侵检测系统的系统管理应包括以下几个部分:角色管理、设备管理、规则管理和升级管理
GB/T26269一2010 8.2角色管理 网络人侵检测系统需要采用不同的角色进行管理
网络人侵检测系统应提供三种不同管理角色: 用户管理角色、系统管理角色和审计管理角色
用户管理角色;可以生成,删除系统管理角色的帐号,调整系统管理角色对应账号具体的操作 权限,但用户管理角色不能调整自身和审计管理角色的权限 系统管理角色:具有对IDs的管理权限,如;配置人侵检测规则、查看人侵检测日志、报警响应 等权限,但无用户管理和用户系统操作日志审计功能 审计管理角色;仅具有对系统操作日志的查看、备份,删除的权限,并可以进行可选的用户审计 配置、审计日志的完整性检查及登陆失败处理
对于所有权限的管理角色,都要有详细的登录记录和操作记录,以备参看
8.3设备管理 系统中具有系统管理角色的实体可以查看网络人侵检测系统的网络接口状态、组件的工作状态、当 前的日志文件大小,CPU占用率,内存占用率、存储器占用率,以及软硬件版本信息
具有系统管理角色的实体可以配置以上网络人侵检测系统组件的参数以及状态;设置管理接口的 通讯参数;启动或者停止系统运行 具体具有系统管理角色的实体所对应的管理权限可以由具有用户管理角色的实体来设置
8.4规则管理 系统应提供多种定制缺省策略模板,具有系统管理角色的实体可以根据自己的网络情况选择模板 或编辑定制策略模板
具有系统管理角色的实体可以查询当前策略配置;并可以根据需要增加、删除与修改人侵检测规 则;对系统内置的人侵规则,用户可以根据需要进行修改
网络人侵检测系统应尽可能多地为具有系统管理角色的实体提供灵活的人侵规则定制功能使之 可根据自身网络环境及需求对已有规则进行选择,或根据自己的认识定义特征,从而产生新的规则,并 确定这些规则的响应方式,使之能够对系统的检测内容和响应方式做到灵活的控制 网络人侵检测系统应能导人导出人侵检测规则
5 8. 升级管理 网络人侵检测系统应支持系统升级管理,以对抗新的攻击方式和系统漏洞
升级应包括系统软件 的升级和对人侵特征库升级两部分
升级方式既要支持手工升级方式,也要支持自动升级方式
日志审计 9.1日志类型 网络人侵检测系统应包括人侵检测日志和系统操作日志
9.2入侵检测日志 针对每一个攻击事件,人侵检测日志都要记录其详细的信息,应包括如下字段 事件主体; 事件客体; 发生时间 事件类型; 事件内容; 事件级别
其中,事件级别建议参考sYS-LOG的日志输出信息格式和代码,采用通用的8个级别
具体见 表1
GB/T26269一2010 表1事件级别 序号 等级 描述 紧急事件 I(0G_EMERG LoGALERT 重要事件 L0GCRIT 2 关键事件 LOGERR 普通事件 L(0GwARNING 警告事件 L(0GNOTCE 需注意事件 L0GINFO 提示事件 调试信息 L(OG_DEBUG 9.3 系统操作日志 针对系统的所有登录以及操作事件,系统都要有详细的记录,应包括如下字段: 操作者; 操作时间; 操作内容; 是否成功 审计功能 9
日志数据的存储时间应能够满足用户的要求,统计数据最低存储时间不低于一个月,原始数据最低 存储时间不低于一个星期 日志数据可以以文件或者数据库的形式存储于磁带,磁盘等永久性存储介质中,而且需支持日志的 转储和备份
当系统内的日志数据超过预定义的域值时,系统应及时通知进行外部备份
具有系统管理角色的实体可以查询和审阅人侵检测日志
网络人侵检测系统应严格保护系统操作日志,只有具有审计管理角色的实体可以查询和审阅全部 系统操作日志,并可以在确认后删除日志数据
自身安全 10 10.1概述 和其他系统一样,网络人侵检测系统也可能存在安全漏洞
若对该系统攻击成功,则会导致其工作 失灵
因此网络人侵检测系统首先要保证自身的安全
具体要求如下 系统安全 10.2 系统除了管理端口可以配置有效P地址以外,其他端口都不设IP地址
系统不允许启用任何Internet服务(远程管理除外
网络人侵检测系统各组件之间需要通过网络进行通信时,应能对各组件间的通信进行加密
10.3 管理安全 角色管理(具体内容见8.2). 系统应具备严格的访问控制机制,一般采用身份认证形式确保具有管理角色的实体的身份,非授权 人员不能管理检测系统
具有管理角色的实体在一定时限内失败的登录次数超过设定限值,系统应阻止该实体的进一步的 登录或在设定时间内无法登录
具有管理角色的实体在设定时间内没有任何操作,则自动退出
如要进行其他操作,必须重新 登录
GB/T26269一2010 对于远程管理应采用加密信道对传输信息进行处理,保证数据机密性和完整性 系统必须严格按照操作日志格式记录所有的登录与操作事件
11 性能指标 11.1指标类型 网络人侵检测系统的指标主要包括3类:准确性指标,效率指标和系统指标
11.2准确性指标 准确性指标在很大程度上取决于测试时采用的样本集和测试环境
样本集和测试环境不同,准确 性也不相同
因此,本标准对检测率,误报率和漏报率的准确性数值不作统一规范,只作为重要的性能 指标供比较 11.2.1检测率 检调率是指被监视网络在受到人侵攻击时,系统能够正确报警的概率
通常利用已知人侵攻击的 实验数据集合来测试系统的检测率
检测率=人侵报警的数量人侵攻击的数量 11.2.2误报率 误报率是指系统把正常行为作为人侵攻击而进行报警的概率和把一种周知的攻击错误报告为另一 种攻击的概率
误报率=错误报警数量总体正常行为样本数量十总体攻击样本数量 11.2.3漏报率 漏报率是指被检测网络受到人侵攻击时,系统不能正确报警的概率
通常利用已知人侵攻击的实 验数据集合来测试系统的漏报率
漏报率=不能报警的数量人侵攻击的数量 11.3效率指标 效率指标根据用户系统的实际需求,以保证检测质量为准;同时取决于不同的设备级别,如;百兆比 网络人侵检测系统和千兆比网络人侵检测系统
这里不做强制性的量化规定或建议
同准确性指标一 样,只作为重要的性能指标供比较
11.3.1最大处理能力 网络人侵检测系统在检测率下系统没有漏警的最大处理能力
目的是验证系统在检测率下能够正 常报警的最大流量
最大处理能力应该达到接口标称速率的80%
11.3.2每秒并发IcCP会话数 网络人侵检测系统每秒最大可以增加的TCP连接数
11.3.3最大并发TCP会话数 网络人侵检测系统最大可以同时支持的TCP连接数
11.4系统指标 11.4.1最大规则数 系统允许具有系统管理角色的实体配置的人侵检测规则条目的最大数目
11.4.2平均无故障间隔 系统无故障连续工作的间隔
1 物理安全 网络人侵检测系统设备的安全特性,应符合GB4943一2001
系统设备的电磁兼容性,应符合GB9254一2008和GB/T17618一1998.
GB/T26269一2010 附 录A 资料性附录 事件分类 原始事件;由事件产生器产生可以直接判断或由事件产生器产生专门供事件分析器统计分析判断 的事件,一般是针对TCP/IP协议中传输层以及传输层以下的事件
原始事件在事件数据库没有缺省 对应关系,也不需要进人事件数据库,除非用户自己定义该类事件
例如;对于限制IP地址和端口的检 测规则,只要事件产生器检测到包含有相应IP地址和端口的原始事件(即IP数据包)就可以判断为攻 击并交与响应单元响应;对于基于传输层或传输层以下的D0S攻击,一般在事件分析器有一个统计计 数器(对于TCP层还有状态记录和维护),在单位时间内相应原始事件计数达到限制域值即可判断为攻 击,形成高级中断事件并交与响应单元响应 低级事件;由事件产生器产生可以直接判断,或者需要事件分析器进行高级分析判断,或者需要临 时存储在事件数据库以便事件分析器分析判断的事件,一般是针对TCP/IP协议中传输层以上的事件
低级事件在事件数据库有缺省对应关系,低级事件可以临时存储在事件数据库中供事件分析器进行高 级分析判断
例如;对于对协议(比如;Telnet,HTTP等)有限制的检测规则,只要事件产生器检测到相 应限制的事件就可以判断为攻击并交与响应单元响应;对于网络应用的口令猜测或者利用多个会话完 成一次攻击的行为,就必须统计或关联多个低级事件,只要符合相应的关联或统计规则就可以判断为攻 击,形成高级中断事件并交与响应单元响应
高级中断事件:由事件分析器对采集到原始事件、低级事件进行统计分析或关联分析判断后输出的 事件,可交付响应单元做相应响应
GB/T26269一2010 参 考 文 献 [1]GB/T5271.8一2001信息技术词汇第8部分:安全 [2] GB/T183362001信息技术安全技术信息技术安全性评估准则 [31 TheCommonIntrusionDetectionFrameworkArchitecture(通用人侵检测框架结构 10
网络入侵检测系统技术要求GB/T26269-2010
网络入侵指的是未经授权的人或程序进入网络或计算机系统,并执行一些破坏性操作或窃取敏感数据。为了保护计算机系统的安全,开发了网络入侵检测系统。
网络入侵检测系统(Intrusion Detection System,IDS)是一种能够对网络流量进行监视和分析的设备或软件。它通过分析网络流量中的异常行为来检测潜在的入侵威胁。
GB/T26269-2010是中国国家标准化管理委员会发布的《信息安全技术 网络入侵检测系统 技术要求》标准,包括入侵检测系统的功能、性能、安全、可靠性等方面的要求。以下是该标准的主要内容:
1. 功能要求
- 实时监测网络流量,并记录所有的网络事件
- 能够检测多种类型的网络攻击,包括端口扫描、拒绝服务攻击、入侵尝试等
- 能够检测恶意软件、间谍软件、木马等恶意代码
- 提供实时警报和事件报告,以及相应的响应策略
- 支持数据分析和数据挖掘,以识别新的安全威胁
2. 性能要求
- 具备高效的数据采集和处理能力
- 具备高可靠性和可用性,保证系统24小时不间断运行
- 能够对大规模网络进行监测和分析
- 具备快速响应能力,及时发现和阻止入侵行为
3. 安全要求
- 系统需要具备良好的安全性和可审计性,能够记录所有的操作和事件,并提供相应的审计功能
- 系统需要具备强大的防护能力,防止自身遭受攻击或被入侵者篡改
- 系统需要具备隐私保护和数据加密的能力,保护用户敏感数据的安全
4. 可靠性要求
- 系统需要具备高可靠性和容错能力,保证在硬件或软件故障时能够自动恢复或转移
- 系统需要具备良好的可维护性和可升级性,方便对系统进行维护、更新和升级
总之,GB/T26269-2010是网络入侵检测系统开发和部署的重要参考标准,使用该标准可以提高网络安全性,并有效预防和应对各种网络攻击。
网络入侵检测系统技术要求的相关资料
- 网络入侵检测系统技术要求GB/T26269-2010
- 网络入侵检测系统测试方法GB/T26268-2010
- 信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T20275-2013分析
- 信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T20275-2021
- 网络入侵检测系统技术要求GB/T26269-2010
- 网络入侵检测系统测试方法GB/T26268-2010
- 无损检测不用电子测量仪器对脉冲反射式超声检测系统性能特性的评定GB/T28880-2012
- 轨道交通机车车辆和列车检测系统的兼容性GB/T28807-2012
- 无损检测仪器相控阵超声检测系统的性能与检验GB/T29302-2012
- 反垃圾信息技术要求GB/T26265-2010
- 地面数字电视接收设备音视频同步性技术要求及测量方法GB/T26273-2010
- 网络入侵检测系统技术要求GB/T26269-2010
- 工业自动化仪表盘接线接管图的绘制方法GB/T25926-2010
- 工业自动化仪表公称工作压力值系列GB/T25925-2010
- 网络入侵检测系统技术要求GB/T26269-2010
