入侵检测系统（IDS）与入侵防御系统（IPS）的性能指标要求

一、概述

1、关于入侵检测系统（IDS）

入侵检测系统（IDS，intrusion detection system）在GB/T 25069-2022《信息安全技术 术语》中的定义是：用于识别已尝试、正在发生或已经发生的入侵的信息系统。所谓入侵检测是指检测入侵的正式过程，该过程一般特征为采集如下知识：反常的使用模式、被利用的脆弱性及其类型、利用的方式，以及何时发生和如何发生。

入侵检测系统（IDS）是一种重要的网络安全技术，它就像网络世界的“监控摄像头”和“警报系统”，用于监控网络或系统中的异常活动或策略违规行为，并在发现威胁时发出警报。入侵检测系统（IDS）根据部署位置来区分不同分类，主要分为基于主机入侵检测系统（HIDS，Host-based IDS）和基于网络入侵检测系统（NIDS，Network-based IDS）。NIDS产品用途较为广泛，在国家标准GB/T 20275-2021《信息安全技术网络入侵检测系统技术要求和测试评价方法》中指出：网络入侵检测系统（NIDS）是以网络上的数据包作为数据源，监听所保护网络节点的所有数据包并进行分析，从而发现异常行为的产品。

欲详细了解入侵检测系统（IDS）介绍的请进入。

2、关于入侵防御系统（IPS）

入侵防御系统（IPS，intrusion prevention system）在GB/T 25069-2022《信息安全技术 术语》中的定义是：特别设计用来提供主动响应能力的入侵检测系统的变体。所谓入侵防御是指积极应对以防止入侵的正规过程。

对于入侵防御系统（IPS），应是入侵检测系统（IDS）的变体，或称之为IDS的演进，在IDS的只对入侵检测的基础上又增加了阻断的功能。它部署在关键网络路径上，对经过的所有数据包进行深度检测，并在线实时执行阻断、告警等动作。同理，入侵防御系统（IPS）也可分为HIPS和NIPS。

欲详细了解入侵防御系统（IPS）介绍的请进入。

二、关于入侵检测系统（IDS）的性能指标要求

在我国国家标准GB/T 20275-2021《信息安全技术网络入侵检测系统技术要求和测试评价方法》中，对NIDS的性能指标提出了要求。关于HIDS目前暂无相应的国家标准，可参照NIDS的要求。GB/T 20275-2021标准将NIDS的安全等级分为基本级和增强级，并分别给出了两个等级NIDS的性能指标要求。

1、基本级NIDS的性能指标要求

基本级NIDS的性能指标是从误报率、漏报率、高流量背景入侵检测能力、高并发连接背景入侵检测能力、高新建TCP连接速率背景入侵检测能力5项来衡量的，具体指标要求详见下表2-1。从指标项目可知，性能指标分为两大类：其中一类为核心量化指标，包括误报率和漏报率；剩余的归为一类，为针对不同带宽场景设定处理能力指标。

表 2-1：基本级NIDS的性能指标要求

2、增强级NIDS的性能指标要求

增强级NIDS的性能指标是从误报率、漏报率、高流量背景入侵检测能力、高并发连接背景入侵检测能力、高新建TCP连接速率背景入侵检测能力、还原能力6项来衡量的，具体指标要求详见下表2-2。由表可知，增强级NIDS的性能指标与基本级NIDS的性能指标相比，除增加了还原能力指标外，其它指标的要求是相同的。

表 2-2：增强级NIDS的性能指标要求

需要指出的是，NIDS系统应支持纯 IPv6 网络和双栈（IPv4/ IPv6）网络环境下均应正常工作，实现对目标网络入侵的检测，并满足其上述性能指标要求。

另外，在GB/T 20275-2021标准中还给出了上述性能指标的测试方法。

三、关于入侵防御系统（IPS）的性能指标要求

我国国家标准GB/T 28451-2023《信息安全技术 网络入侵防御产品技术规范》规定了网络入侵防御系统（NIPS）的性能指标要求。同样，GB/T 28451-2023将NIPS的安全等级分为基本级和增强级，但只是两个等级的性能指标及要求是完全相同的。其指标项目包括：网络层吞吐量、混合应用层吞吐量、TCP新建连接速率、TCP并发连接数、误拦截率、漏拦截率，共6项，具体指标要求详见下表3。由于NIPS是串接在网络上，所有流量必须经过IPS的检查才能通过。因此，其指标类型可分为三类：一类是核心量化指标，包括误拦截率和漏拦截率两项；一类是容量要求指标，包括网络层吞吐量和混合应用层吞吐量两项；一类是针对不同带宽场景设定处理能力的指标，包括TCP新建连接速率和TCP并发连接数两项。

表 3：网络入侵防御系统（NIPS）的性能指标要求

需要指出的是，NIPS系统应支持纯 IPv6 网络和双栈（IPv4/ IPv6）网络环境下均应正常工作，实现对目标网络的入侵攻击识别和拦截，并满足其上述性能指标要求。

另外，在GB/T 28451-2023标准中还给出了上述性能指标的测试方法。

四、特别说明

1、上述专门介绍的是GB/T 20275和GB/T 28451标准中关于IDS和IPS的性能指标要求。而对于IDS和IPS，GB/T 20275和GB/T 28451标准中规定的是它们的安全技术要求及其测评方法。安全技术要求包括安全功能、自身安全保护、性能、环境适应性和安全保障要求五个大类。

欲详细了解GB/T 20275和GB/T 28451标准具体内容及版本情况的请进入。

2、入侵检测系统（IDS）和入侵防御系统（IPS）的产品列入到了国家《网络关键设备和网络安全专用产品目录》，IDS和IPS产品应当按照上述国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供，形成了一种销售许可或进网许可的管理机制。

欲详细了解国家《网络关键设备和网络安全专用产品目录》的请进入。

3、同时，IDS和IPS产品的入网许可，不仅要分别符合上述提到的GB/T 20275和GB/T 28451标准中的要求，还需要满足国家强制性标准GB 42250《信息安全技术 网络安全专用产品安全技术要求》的规定。

欲详细了解网络安全专用产品的安全技术要求国家标准的请进入。

欲进一步了解防火墙设备性能要求的请进入。