获取受保护网段内数据包的能力

对收集的数据包进行协议分析

端口扫描

强力攻击

恶意代码攻击

拒绝服务攻击

缓冲区溢出攻击

弱性漏洞攻击

监视整个网络或者某一特定协议，地址，端口的报文流量和字节流量

对收集的数据包进行分析，发现安全事件

对高频度发生的相同安全事件进行合并告警，避免出现告警风暴的能力

高频度阈值应由授权管理员设置

系统应能发现躲避或欺骗检测的行为，包括但不限于IP碎片分片，TCP流分段，URL字符串变形，shell代码变形，协议端口重定向等

系统应具有把不同的事件关联起来，发现低危害事件中隐含的高危害攻击的能力

允许管理员对被检测网段中指定的目的主机定制不同的响应方式

当系统检测到入侵时，应自动采取相应动作以发出安全警告

屏幕显示

e-mail

系统在监测到网络上的非法连接时，可进行阻断

系统应允许管理员定义对被检测网段中指定的目的主机不予告警

系统应具有与防火墙进行联动的能力，可按照设定的联动策略自动调整防火墙配置

系统应具有全局预警功能，控制台可在设定全局预警的策略后，将局部出现的重大安全事件通知其上级控制台或下级控制台

系统应具有与其他网络设备或网络安全部件（包括但不限于沙箱，漏洞扫描，交换机等）按照设定的策略进行联动的能力

提供管理员图形化界面用于管理，配置入侵检测系统

包含配置和管理系统所需要的所有功能

系统安全事件库中的内容应包括事件的定义和分析，详细的漏洞修补方案和可采取的对策等

按照事件严重程度将事件分级，以使授权管理员能从大量的信息中捕捉到危险事件。

系统应提供方便，快捷的入侵检测系统策略配置方法和手段，具备策略模板，支持策略的导入和导出

策略的导入

策略的导出

具有升级事件库的能力

升级系统程序的能力

对于硬件产品，硬件失效时应及时向管理员报警

系统的探测器应配备不同的端口分别用于系统管理和网络数据监听

提供时钟同步功能，保证系统各组件与时钟服务器之间时间的一致性

系统应具有分布式部署的能力

系统应提供由集中管理的能力，对分布式的入侵检测系统进行统一管理

系统应提供用集中管理中心对各探测器及其事件库进行统一升级的功能

系统应具有分级管理的能力，支持可选择，可配置多级之间需要同步的数据类型

系统应保存检测到的安全事件并记录安全事件信息

安全事件信息：事件发生时间，源地址，目的地址，事件等级，事件类型，事件名称，事件定义和详细事件过程分析以解决方案建议等

管理员能通过管理界面实时清晰地查看安全事件

生成详尽的检测结果报告

浏览检测结果报告的功能

报告可输出成方便管理员阅读的文本格式，包括但不限于

系统应支持授权管理员定制报告内容

系统应允许授权管理员自定义事件，并应提供方便，快捷的定义方法

系统除支持默认的网络协议集外，还应允许授权管理员定义新的协议，或对协议的端口进行重新定位

控制在15%内，不能对正常使用系统产生较大影响。

支持在IPv6网络环境下工作的系统的误报率也在15%内

控制在15%内，不能对正常使用系统产生较大影响。

支持在IPv6网络环境下工作的系统的误报率也在15%内

百兆系统单口监控流量 >= 90Mbps

千兆系统单口监控流量 >= 0.9Gbps

万兆系统单口监控流量 >= 9Gbps

IPv6同上

百兆系统单口监控并发连接数>= 10万个

千兆系统单口监控并发连接数>= 100万个

万兆系统单口监控并发连接数>= 150万个

IPv6同上

百兆系统单口监控每秒新建TCP连接数>= 6万个

千兆系统单口监控每秒新建TCP连接数>= 10万个

万兆系统单口监控每秒新建TCP连接数>= 15万个

IPv6同上

系统应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别

对管理员设置的口令进行复杂度检测，确保管理员口令满足复杂度要求

对默认口令，系统应提示管理员对默认口令进行修改，以减少用户身份被冒用的风险。

系统让用户定期更换密码

当管理员鉴别尝试失败连续达到指定次数后，系统应阻止管理员进一步的鉴别请求，并将相关信息生成审计事件，最多失败次数由管理员设定。

系统应保护鉴别数据不被未授权查阅和修改

系统应具有管理员登录超时重新鉴别功能，在设定的时间段内没有任何操作的情况下，锁定或终止会话，需要再次进行身份鉴别才能够重新管理系统。

最大的超时时间仅由授权管理员设定

系统应对管理员登录的网络地址进行限制

系统应提供多种鉴别方式，以实现多重身份鉴别措施

系统应允许管理员锁定当前的交互会话，锁定后需要再次进行身份鉴别才能够重新管理系统

系统应保证所设置的管理员标识全局唯一

系统应为每一个管理员保存安全属性表：

只有管理员具有禁止，修改系统功能的能力

系统应设置多个角色，并应保证每一个角色标识是全局唯一的

系统应仅允许授权角色可以对指定的安全属性进行查询，修改，删除，改变其默认值等操作

系统应生成以下事件的审计日志

系统应在每一个审计日志记录中记录事件的：

审计数据的记录方式应便于管理员的理解，以便对审计日志进行分析

系统应为授权管理员提供审计日志查阅功能，方便管理员查看审计结果

除具有明确的访问权限的授权管理员之外，系统应禁止所有其他用户对审计日志的访问

应支持按照一定条件对审计日志进行检索或排序

系统应仅允许授权管理员访问安全事件记录和审计日志，禁止其他用户对安全事件记录和审计日志的操作

系统应在数据存储空间将耗尽等情况时，自动产生告警，产生告警的剩余存储空间大小应由管理员自主设定

支持将安全事件记录和审计日志外发，便于对安全事件记录和审计日志的进一步分析

系统应支持对安全策略进行备份和恢复，并在恢复时校验备份文件的完整性

各组件之间传输的数据（包括但不限于配置和控制信息，告警和事件数据等）被篡改后，系统应确保及时发现，并通知管理员

隐藏探测器IP地址等措施，使自身在网络上不可见，以降低被攻击的可能性

系统在启动和正常工作时，应周期性地，或者按照授权管理员的要求执行自检，包括硬件工作状态监测，组件连接状态监测等，以验证系统自身执行的正确性。当系统自检发现异常时，应及时通知授权管理员

与产品设计文档中对安全功能和自身安全保护实施抽象描述的级别一致

描述与安全功能和自身安全保护要求一致的产品安全功能和自身安全保护的安全域

描述产品安全功能和自身安全保护初始化过程为何是安全的

证实产品安全功能和自身安全保护能够防止被破坏

证实产品安全功能和自身安全保护能够防止安全特性被旁路

完全描述产品的安全功能和自身安全保护

描述所有安全功能和自身安全保护接口的目的与使用方法

标识和描述每个安全功能和自身安全保护接口相关的所有参数

描述安全功能和自身安全保护接口相关的安全功能和自身安全保护实施行为

描述有安全功能和自身安全保护时候行为处理而引起的直接错误消息

证实安全功能和自身安全保护要求到安全功能和自身安全保护接口的追溯

描述安全功能和自身安全保护实施过程中，与安全功能和自身安全保护接口相关的所有行为

描述可能由安全功能和自身安全保护接口的调用而引起的所有直接错误消息

提供产品设计描述与实现表示实例之间的映射，并证明其一致性

按详细级别定义产品安全功能和自身安全保护，详细程度达到无须进一步设计就能生成安全功能和自身安全保护的程度

以开发人员使用的形式提供

根据子系统描述产品结构

标识和描述产品安全功能和自身安全保护的所有子系统

描述安全功能和自身安全保护所有子系统间的相互作用

提供的映射关系能够证实设计中描述的所有行为能够映射到调用他的安全功能和自身安全保护接口

根据模块描述安全功能和自身安全保护

提供安全功能和自身安全保护子系统到模块间的映射关系

描述所有安全功能和自身安全保护实现模块，包括其目的及其他模块间的相互作用

描述所有实现模块的安全功能和自身安全保护要求相关接口，其他接口的返回值，与其他模块间的相互作用及调用接口

描述所有安全功能和自身安全保护的支撑或相关模块，包括其目的及与其他模块间的相互作用

描述在安全处理环境中被控制的用户可访问的功能和特权，保含适当的警示信息

描述如果以安全的方式使用产品替换的可用接口

描述可用功能和接口，尤其是受用户控制的所有安全参数

明确说明与需要执行的用户可访问功能有关的每一种安全相关实际，包括改变安全功能和自身安全保护所控制实体的安全特性

标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系

充分实现安全目的所执行的安全策略

描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤

描述安全安装产品及其运行环境必需的所有步骤

为产品的不同版本提供唯一的标识

使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项

提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法

配置管理系统提供一种自动方式来支持产品的生成，通过该方确保只能对产品的实现表示已授权的改变

配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品，实施的配置管理与配置管理计划相一致

配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序

开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表至少包含产品，安全保障要求的评估证据和产品的组成部分

实现表示，安全缺陷报告及其解决状态

开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各个版本时，交付文档应描述为维护安全所必需的所有程序

开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的，程序的，人员的和其他方面的安全措施

开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的，程序的，人员的和其他方面的安全措施

开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义

开发者应提供测试覆盖文档，测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能和自身安全保护间的对应性

表明上述对应性是完备的，并证实功能规范中的所有安全功能和自身安全保护接口都进行了测试

证实测试文档中的测试与产品设计中的安全功能和自身安全保护子系统和实现模块之间的一致性

证实产品设计中的所有安全功能和自身安全保护子系统，实现模块都已经进行过测试

测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性

预期的测试结果，表明测试成功后的预期输出

实际测试结果和预期的测试结果的对比

开发者应提供一组与其自测安全功能和自身安全保护时使用使用的同等资源，以用于安全功能和自身安全保护的抽样测试。

7.3.1.1.1 数据收集

7.3.1.1.2 协议分析