本标准给出了组织部署入侵检测和防御系统（IDPS）的指南。本标准详细说明了IDPS的选择、部署和操作。同时本标准给出了形成这些指南的背景信息。 本标准适用于准备部署入侵检测和防御系统（IDPS）的组织。

ICS35.040
中华人民共和国国家标准
GB/T 284542020
代替GB/T28454—2012
信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作
Information technologySecurity techniquesSelection,deployment andoperation of intrusion detection and prevention systems(IDPS)(ISO/IEC27039:2015,MOD)
国家市场监督管理总局
国家标准化管理委员会
1范围
2规范性引用文件
3术语和定义
缩略语
信息安全风险评估
主机或网络IDPS
考虑事项
补充IDPS的工具
可伸缩性，
技术支持
8部署
分阶段部署.
NIDPS 部署
HIDPS 部署
防护和保护IDPS信息安全
总则.…
IDPS调优
IDPS脆弱性
处理IDPS报警
响应选项，
法律方面的考虑事项，
附录A（资料性附录）入侵检测和防御系统（IDPS）：框架及需要考虑的问题参考文献
GB/T28454—2020
本标准按照GB/T1.1一2009给出的规则起草。GB/T28454—2020
本标准代替GB/T284542012《信息技术安全技术入侵检测系统的选择、部署和操作》。与GB/T284542012相比，主要技术变化如下：修改了入侵检测系统IDS为入侵检测和防御系统(IDPS)，将入侵防御系统IPS纳入标准范围：
一一修改了标准范围，增加标准适用对象（见第1章，2012年版的第1章）；修改了部分术语和定义，包括“攻击”“拒绝服务攻击”“非军事区”“入侵者”“入侵”“路由器”“交换机”“特洛伊木马”“攻击特征”“防火墙”“主机”“入侵检测系统”“入侵防御系统”“在线升级”“探测器”“测试接入点”，增加了部分术语和定义，包括“分布式拒绝服务攻击”“入侵检测和防御系统”“病毒”“虚拟专用网”“脆弱性”（见第3章，2012年版的第3章）；一增加了部分缩略语，包括AIDPS、DMZ、DDoS、DoS、IDPS、IO、IODEF、HIDPS、SIEM、VPN删除缩略语NIDS、SIM（见第4章，2012年版的第4章）；-删除背景中关于IDPS基础知识的介绍（见第5章，2012年版的第5章）；因增加入侵防御系统，修改“当组织对IDS产品有安全等级方面的要求时，见GB/T20275\为“当对IDPS产品有安全等级方面的要求时，见GB/T20275和GB/T28451。”（见7.3.1，2012年版的7.2）；
一增加云计算环境中IDPS选择考虑事项（见7.4.1、7.4.2、7.4.3、7.4.5)和云环境下IDPS部署方式、多层级组织中IDPS部署方式等（见8.1)；“能力的确认”修改为“能力的验证”（见7.4.5,2012年版的7.3.5)；修改SIEM功能，增加了事态关联、事态过滤、事态聚合（见7.5.6,2012年版的7.4.6)；删除响应中关于IDS和IPS介绍的相关内容（见9.5.2）。本标准使用重新起草法修改采用ISO/IEC27039:2015《信息技术安全技术入侵检测和防御系统(IDPS)的选择、部署和操作》。本标准与ISO/IEC27039:2015相比，在结构上增加了第2章“规范性引用文件”和第4章“缩略语”，将7.3.1和7.3.2的内容进行调序。本标准与ISO/IEC27039:2015的技术性差异及其原因如下：一增加了第2章“规范性引用文件”和第4章“缩略语”，主要保持与GB/T284542012的延续性；
一一删除第3章背景中关于IDPS基础知识的介绍（见第5章），因该内容在附录A中有详细介绍：-增加了“当对IDPS产品有安全等级方面的要求时，见GB/T20275和GB/T28451\这主要是考虑对IDPS产品安全等级保护要求（见7.3.1）；一删除7.5.2关于IDS和IPS的相关内容（见9.5.2)，因标准将入侵防御系统IPS纳入本标准范围，标准对象界定为入侵检测和防御系统IDPS.故无需再单独介绍；增加了云计算环境中IDPS选择考虑事项（见7.4.1、7.4.2、7.4.3、7.4.5)以及云环境下IDPS部署、多层级组织中IDPS部署，主要是因为目前云计算环境中IDPS部署也需要考虑相关事项，但国际标准并未考虑此部分内容（见8.1）。本标准做了下列编辑性修改：
删除3.8的注。
GB/T28454—2020
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位；山东省标准化研究院、中国网络安全审查技术与认证中心、陕西省网络与信息安全测评中心、北京天融信网络安全技术有限公司、山东崇弘信息技术有限公司、成都秦川物联网科技股份有限公司。
本标准主要起草人：王曙光、王庆升、王凤娇、魏军、公伟、张斌、来永钧、杨帆、杨锐、雷晓峰、邵泽华樊华、朱琳、高瑞、杨向东、杨斌、权亚强、路征、陈慧勤、刘勘伪、于秀彦、胡鑫磊、王栋、潘海燕、李红胜。本标准所代替标准的历次版本发布情况为：GB/T28454—2012。
GB/T28454—2020
组织在选择、部署入侵检测和防御系统(IDPS)之前，不仅需要知道入侵事件(针对网络、系统或应用)是否发生、何时发生以及如何发生，也需要知道入侵事件利用了何种脆弱性，为防止类似入侵事件发生，未来需要采取何种防护措施或风险处置手段（即风险缓解、风险保留、风险规避、风险分担）。组织需识别并避免基于网络的入侵。从20世纪90年代中期开始，组织为了满足上述需求开始使用入侵检测和防御系统(IDPS)。随着IDPS产品的不断发展，其应用领域不断扩大，满足了组织对入侵检测和防御能力持续增长的需求。
为了使IDPS效益最大化，需要由经过培训、经验丰富的人员精心策划及实施IDPS的选择、部署和操作过程。通过上述过程，使IDPS成为组织预防入侵的重要安全工具（在组织ICT基础设施中作为重要安全设施），帮助组织截获入侵信息。本标准提供了有效选择、部署和操作IDPS的指南，以及有关IDPS的基础知识。同时本标准还适用于需要外包其IDPS服务的相关组织。关于外包服务级别协议的相关信息参见ISO/IEC20000的IT服务管理(ITSM)过程。
本标准主要用于帮助组织实现如下目标：a）满足GB/T22080的下列要求：一一应实施过程和控制以便能快速检测和响应安全事件；一应执行监视、评审过程以及控制以便识别企图的安全危害和既成的安全事件。b）实现控制以满足GB/T22081的下列安全目标：能够检测未授权的信息处理活动；一监视系统并记录信息安全事态，使用操作者日志和默认日志以确保能够识别信息系统问题：
满足所有适用于监视和记录活动的相关法律要求：一将系统监视用于检查已实施控制的有效性，以验证访问策略模型是否符合需求。对满足上述要求而言，部署IDPS并非唯一、完善的解决方案。此外，本标准并不作为诸如信息安全管理体系(ISMS)认证、IDPS服务或产品认证等合格评定的准则。V
1范围
GB/T28454—2020
信息技术安全技术入侵检测和防御系统(IDPS）的选择、部署和操作
本标准给出了组织部署入侵检测和防御系统(IDPS）的指南。本标准详细说明了IDPS的选择、部署和操作。同时本标准给出了形成这些指南的背景信息。本标准适用于准备部署入侵检测和防御系统(IDPS)的组织。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GBT18336（所有部分）信息技术安全技术信息技术安全评估准则ISO/IEC15408（所有部分）
GB/T20275信息安全技术网络入侵检测系统技术要求和测试评价方法GB/T20985.1一2017信息技术安全技术信息安全事件管理第1部分：事件管理原理(ISO/IEC27035-1:2006,IDT)
GB/T25068.2信息技术安全技术IT网络安全第2部分：网络安全体系结构(ISO/IEC18028-22006,IDT)
GB/T28451信息安全技术网络型入侵防御产品技术要求和测试评价方法GB/T29246—2017信息技术安全技术信息安全管理体系概述和词汇(ISO/IEC270002016,IDT)
3术语和定义
GB/T29246一2017界定的以及下列术语和定义适用于本文件。3.1
攻击attack
企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权使用资产的行为[GB/T29246—2017，定义2.3]
攻击特征attacksignature
执行某种攻击的计算机活动系列或其变体，通常通过检查网络流量或主机目志加以确定，IDPS也依其来发现已经发生的攻击。
注：这也可称为一个攻击模式。3.3
证明attestation
公钥加密而产生的变量，可使IDPS软件程序和设备鉴别其远程方的身份，注：见3.23远程证明。
GB/T 28454—2020
网桥bridge
将位于OSI2层的局域网连接到采用相同协议的另一局域网的网络设备。3.5
密码散列值cryptographic hash value分配给一个文件并在后期用来测试这个文件的数学值，以验证包含在文件中的数据没有被恶意更改。
拒绝服务攻击denial-of-serviceattack;DoS未授权访问系统资源或者延迟系统操作和功能。3.7
分布式拒绝服务攻击distributeddenial-of-serviceattack;DDoS通过洪水攻击带宽或目标系统的资源，破坏多个系统的方式来未授权访问系统资源或者延迟系统操作和功能，导致授权用户失去可用性3.8
非军事区demilitarized zone;DMZ位于边界路由器和外部防火墙之间的逻辑或者物理网络空间。3.9
(vulnerability)exploit
(脆弱性)利用
已明确定义的利用脆弱性破坏信息系统安全的一种方式。3.10
防火墙firewall
设置在网络环境之间的一类屏障。注：它可以是一台专用设备，也可以是若干部件和技术的组合。网络环境间所有通信都要流经防火墙，只允许按照本地安全策略定义的、已授权的通信通过。3.11
误报falsepositive
没有攻击时IDPS有报警的情况。3.12
漏报falsenegative
攻击发生时IDPS没有报警的情况。3.13
蜜罐honeypot
用来欺骗、扰乱和引开攻击者的诱饵系统，促使攻击者把时间花在某些信息上，这些信息看起来有价值，实际上是虚假的，对合法用户没有任何价值。3.14
主机host
基于TCP/IP协议网络（如Internet)，可设定地址的系统或计算机。3.15
入侵者intruder
针对目标主机、站点、网络或组织，正在或已经进行入侵或攻击的个体。3.16
入侵　intrusion
对某一网络或联网系统的未授权访问，即对某一信息系统的有意或无意的未授权访问，包括针对信2
息系统的恶意活动或者信息系统内资源的未授权使用。3.17
入侵检测intrusion detection
GB/T28454—2020
检测入侵的正式过程。该过程一般特征为采集如下知识：反常的使用模式、被利用的脆弱性及其类型、利用的方式，以及何时发生和如何发生。3.18
入侵检测系统intrusiondetection system;IDS在信息系统和网络中，一种用于辨识某些已经尝试、正在发生或已经发生的入侵行为，并可对其做出响应的技术系统。
入侵防御系统intrusion prevention system;IPS特别设计用来提供主动响应能力的入侵检测系统的变体。3.20
入侵检测和防御系统intrusiondetectionandpreventionsystem；IDPs为了防范恶意活动而监视系统的入侵检测系统IDS和入侵防御系统IPS的软件应用或设备，IDS仅能对发现的这些活动予以报警，而IPS则有能力阻止某些检测到的入侵。注：如果需要防范攻击，IPS将主动部署在网络中。如果部署在被动模式下，它将不能提供上述功能，其有效功能仅能像常规IDS那样提供报警。
渗透penetration
绕过系统安全机制、未经授权的行为。3.22
provisioning
在线升级
为信息技术(IT）设备安装正确软件、执行安全策略及加载配置数据的过程。3.23
远程证明
remoteattestation
使用数字证书来确保IDPS的身份及其软件和硬件配置，并安全地将信息传输到可信操作中心的过程。
response
事件响应或入侵响应incidentresponseorintrusionresponse当攻击或入侵发生时，为了保护和恢复信息系统正常运行的条件以及存储在其中的信息而采取的行动。
路由器router
通过基于路由协议机制和算法选择路径或路由，建立和控制不同网络之间数据流的网络设备。注1：其自身可基于不同的网络协议注2：路由信息存储在路由表内。3.26
服务器server
为其他计算机提供服务的计算机系统或程序。3.27
service level agreement;SLA
服务级别协议
规定技术支持或业务性能目标的合同，包括服务提供方提供给其客户的性能以及对失败结果的GB/T28454—2020
测量。
传感器sensor
从被观察的信息系统或网络中，通过感知、监测等收集事态数据的一种IDPS部件或代理。注：也称为监视器。
子网subnet
在某一网络中，共享某一公共地址成分的部分。3.30
交换机switch
在联网的设备之间，一种借助内部交换机制来提供连通性的设备。其交换技术通常在OSI参考模型的2层或3层实现。
注：交换机不同于其他局域网互联设备(例如，集线器)，原因是交换机中使用的技术是以点对点为基础建立连接。确保了网络通信量只对有地址的网络设备可见，并使几个连接能够并存。3.31
测试接入点testaccesspoints;TAP典型的被动设备，不会在网络信息包中加装任何负载；当它们使数据收集接口在网络中不可见时，也能提高安全级别，在这里交换机仍然可保持端口的2层信息。注：TAP也给出了多端口的功能，这样在不丧失IDPS能力的情况下，可以调试网络问题，3.32
特洛伊木马Trojanhorse
一种伪装成良性应用软件的恶意程序。3.33
病毒virus
-种带有不良意图的恶意软件，可直接或间接地对用户和(或)用户系统造成潜在伤害。3.34
虚拟专用网virtualprivatenetwork;VPN利用物理网络的系统资源而构建的限制性使用的逻辑计算机网络，例如，使用加密技术和/或虚拟网络的隧道链接来跨越真实网络。[GB/T25068.3—2010,定义3.23]3.35
脆弱性vulnerability
可能被一个或多个威胁利用的资产或控制的弱点。[GB/T29246—2017,定义2.89]
缩略语
下列缩略语适用于本文件。
AIDPS:基于应用的IDPS(Application-basedIDPS）API：应用程序编程接口(ApplicationProgrammingInterface)ARP：地址解析协议（AddressResolutionProtocol）CGI;通用网关接口(CommonGatewayInterface)CPU：中央处理器(Central Processing Unit)4
DMZ:非军事区(Demilitarized Zone)DNS:域名系统(Domain Name System)DDoS:分布式拒绝服务(DistributedDenialof Service)DoS:拒绝服务(Denial of Service)ICMP：网际控制报文协议(InternetControlMessageProtocol)IDS：入侵检测系统(IntrusionDetectionSystem)IDPS:入侵检测和防御系统(IntrusionDetectionandPreventionSystems）I/O：输入/输出(Input/Output)GB/T28454—2020
1ODEF：事件对象描述交换格式(IncidentObjectDescriptionExchangeFormat)IP：网际协议(InternetProtocol)IPS；入侵防御系统(IntrusionPrevention System)ISIRT：信息安全事件响应团队(InformationSecurityIncidentResponseTeam）IT：信息技术(Information Technology）HIDS：基于主机的IDS(Host-basedIDS）HIDPS：基于主机的IDPS(Host-basedIDPS)HIPS：基于主机的IPS(Host-based IPS)HTTP：超文本传送协议(Hypertext TransferProtocol)MAC:媒体访问控制(MediaAccess Control)MIB：管理信息库(ManagementInformationBase)NIDPS:基于网络的IDPS(Network-basedIDPS)NIPS:基于网络的IPS(Network-basedIPS）NOC:网络运行中心(Network Operations Center)OSI：开放系统互连(OpenSystemInterconnection）RID：实时网络防御(Real-timeIntern-networkDefense)ROI：投资回报率(Return On Investment)SIEM：安全信息和事态管理（SecurityInformationEventManagement）SMS:短消息系统(ShortMessageSystem)SLA：服务级别协议(Service Level Agreement)SMTP：简单邮件传送协议(SimpleMailTransferProtocol）SNMP：简单网络管理协议(SimpleNetworkManagementProtocol)SPAN：交换机端口分析器(SwitchPortAnalyzer)TAP：测试接入点(Test Access Points)TCP：传输控制协议(Transport ControlProtocol)UDP：用户数据报协议(UserDatagramProtocol)VPN：虚拟专用网络(VirtualPrivateNetwork)5背景
部署入侵检测和防御系统(IDPS)的目的是监视、检测和记录不适当、不正确、可疑或异常的活动，当检测到这些活动时，IDPS会发出报警信号和（或）自动响应。IT安全人员负责评估这些报警信号和相关日志并做出恰当的响应。因此，当需要对组织信息系统的入侵进行检测并给出响应时，可以考虑部署IDPS。此时，既可通过直接获取IDPS软硬件产品的方式部署IDPS，也可通过向IDPS服务提供商外包IDPS业务的方式部署IDPS。GB/T28454—2020
目前，可供选择的IDPS产品和服务众多，有付费的商业产品也有免费开源的。不同的IDPS产品和服务采用不同的技术和方法。此外，IDPS并不是“即插即用”的，需要专业人员进行安装部署，因此当准备部署IDPS时，相关人员需要熟悉本标准提供的指南和相关信息。关于IDPS的基础知识参见附录A。6总则
综合考虑IDPS的功能和局限性（参见附录A)，组织可把基于主机的方法（包括应用监视）和基于网络的方法结合起来，以应对各种潜在入侵。根据每类IDPS的优缺点，将其结合起来，能更好地处理安全事态以及提供报警分析。
不同IDPS技术的结合主要依赖于IDPS报警管理系统中关联模块的可用性。人工关联HIDPS和NIDPS报警信息无任何优点，却会导致操作人员超负荷工作，其结果比从一种IDPS中选取最合适的输出方式效果更差。
在组织内选择、部署和操作IDPS的过程如图1所示，第7章～第9章将详细描述本过程中的关键步骤。
风险评估
（第7章）
第8章）
确定IDPS要求
DPS 选择考虑事项(第7章）
IDPS部署（第8章）
HIDPS部署（8.4）
NDPS部署（8.3）
IDPS操作（第9章）
持续的风险评估wwW.bzxz.Net
图1IDPS的选择、部署和操作
7选择
7.1简介
可供选择的IDPS产品种类很多，既包含免费产品（可在低成本主机上部署），也包含较为昂贵的商用收费产品（需要最新的硬件支持）。由于可供选择的IDPS产品较多，因此需要综合考虑组织需求选择最符合要求的产品。另外，不同IDPS产品会存在兼容性问题，同一组织使用不同IDPS产品（由于组织的兼并以及广泛的地理分布问题，不得不使用不同的IDPS产品）时的还需要关注不同IDPS的集成问题。
供应商提供的IDPS说明书给出了IDPS可以检测到的攻击类型，但在大流量网络中却无法描述IDPS如何较好地检测出入侵，无法给出部署、操作和维护IDPS的难度，因为在对组织网络流量缺乏了解前提下，也无法准确描述IDPS如何有效地避免漏报和误报。同时，还需要根据组织自身要求，独立地评估IDPS的主动响应和被动响应的能力（此时，主要考虑深度数据包检测和重组的需要，而不考虑
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。