高性能入侵检测系统产品原理与应用

本书从高性能入侵检测系统产品的技术实现和标准介绍入手，对下一代互联网环境中部署的入侵检测系统产品的产生需求、发展历程、实现原理、技术标准、应用场景和典型产品等内容进行了全面翔实的介绍。

 

本书内容共分为5章。从高性能入侵检测系统产品的技术实现和标准介绍入手，对下一代互联网环境中部署的入侵检测系统产品的产生需求、发展历程、实现原理、技术标准、应用场景和典型产品等内容进行了全面翔实的介绍。

顾健，博士，公安部3所检测中心。主要研究方向：网络信息安全。主要作品有：网络入侵检测系统原理与应用，电子社，2013.10；网络脆弱性扫描产品原理及应用，电子社，2013.7。

第1章 综述 1
1.1 下一代互联网（IPv6）简介 1
1.1.1 什么是IPv6 1
1.1.2 IPv6的十大主要技术特点 2
1.1.3 IPv6的安全机制 3
1.2 为什么需要高性能入侵检测系统 9
1.2.1 “IPv6 IP Sec=安全”吗 9
1.2.2 在下一代互联网中部署入侵检测系统的必要性 10
第2章 高性能入侵检测系统的实现 12
2.1 高性能入侵检测系统与技术 12
2.1.1 高性能入侵检测系统分类 12
2.1.2 高性能入侵检测系统总体架构 13
2.1.3 高性能入侵检测系统功能 14
2.2 高性能入侵检测系统技术详解 20
2.2.1 IPv6分片重组技术 20
2.2.2 TCP状态检测技术 26
2.2.3 TCP流重组技术 28
2.2.4 SA应用识别技术 28
2.2.5 DDoS防范技术 29
2.2.6 高性能入侵检测技术 31
2.3 高性能入侵检测系统技术展望 33
2.3.1 传统威胁防护方法的优点和不足 33
2.3.2 技术发展趋势 34
2.3.3 产品发展趋势 35
第3章 入侵检测系统标准介绍 37
3.1 标准编制情况概述 37
3.1.1 入侵检测系统标准简介 37
3.1.2 入侵检测系统标准发展 38
3.2 GB/T 20275—2013标准介绍 40
3.2.1 标准内容概述 40
3.2.2 技术要求 40
3.2.3 网络入侵检测系统等级划分 43
3.2.4 级 47
3.2.5 第二级 56
3.2.6 第三级 70
3.2.7 环境适应性要求 87
3.3 GB/T 20275—2013标准检测方法 91
3.3.1 测试环境 91
3.3.2 测试工具 91
3.3.3 级 92
3.3.4 第二级 118
3.3.5 第三级 158
3.4 标准比较 206
3.4.1 GB/T 20275—2013同GB/T 20275—2006、GA/T 403.1—2002、
GA/T 403.2—2002的比较 206
3.4.2 等级和保证要求 206
第4章 高性能入侵检测系统典型应用 209
4.1 典型部署方式 209

4.2 工业控制领域部署方式 211
4.3 云计算领域部署方式 214
4.3.1 云计算简介 214
4.3.2 虚拟化安全风险 215
4.3.3 服务器虚拟化入侵检测系统 218
4.3.4 网络虚拟化入侵检测系统 220
4.4 产品应用场合 222
第5章 高性能入侵检测系统的产品介绍 223
5.1 华为NIP5500D入侵检测系统 223
5.1.1 产品简介 223
5.1.2 产品实现的关键技术 224
5.1.3 产品特点 228
5.2 绿盟NIDS 4000A入侵检测系统 231
5.2.1 产品简介 231
5.2.2 产品实现的关键技术 232
5.2.3 产品特点 233
5.3 启明星辰NS2800入侵检测系统 234
5.3.1 产品简介 234
5.3.2 产品实现的关键技术 235
5.3.3 产品特点 236
5.4 天融信TS-71230入侵检测系统 238
5.4.1 产品简介 238
5.4.2 产品实现的关键技术 238
参考文献 242

经过多年的发展，基于IPv6的下一代互联网技术日益成熟，各种不同类型的支持IPv6的网络设备相继问世，并逐渐进入商业应用。

入侵检测系统作为典型的网络安全产品，通过收集信息、分析信息的模式来发现异常现象和攻击行为。随着网络技术的不断发展，攻击行为和攻击方式不断变种，对网络、主机和系统资源安全的威胁不断增加，因此对入侵检测系统产品的安全功能和处理性能提出了更高的要求，于是出现了具有更高性能的基于IPv6的入侵检测系统产品。

本书是“信息安全产品技术丛书”之一。本书在高性能入侵检测系统产品的产生需求、发展历程、实现原理、技术标准、典型应用等几大方面均有翔实的描述。与此同时，本书力求实用，收集了许多实际数据与案例，期望能对读者在了解高性能入侵检测系统产品的安全防护技术和标准上有一定的帮助。

本书的主要编写成员均来自公安部计算机信息系统安全产品质量监督检验中心，常年从事入侵检测系统产品等信息安全产品的测评工作，对入侵检测系统产品有着深入的研究。本书作者全程参与了高性能入侵检测系统产品标准从行业标准到国家标标的修订工作。因此，本书在标准介绍和描述方面具有一定的权威性。

丛书主编顾健负责把握本书的技术方向，第1章主要由顾健编写，第2章主要由沈亮、宋好好编写，第3章主要由宋好好编写，第4、5章主要由王志佳编写。此外，张艳、杨元原、邹春明等同志也参与了本书资料的收集和部分编写工作。由于编写人员水平有限且时间紧迫，不足之处在所难免，恳请各位专家和读者不吝批评指正。

本书的编写得到了国家发改委信息安全专项“下一代互联网信息安全专项标准研制”项目（发改高技〔2012〕1615号）的资金支持。

在本书的编写过程中，得到了华为技术服务有限公司、北京天融信网络安全技术有限公司、珠海经济特区伟思有限公司的大力协助，在此表示衷心的感谢！

 

编  者