随着Internet网络应用范围的不断扩大，网络安全问题显得日益突出。网络入侵行为的日益频繁，网络攻击的方式日益多样化和隐蔽化，给发展中的电子政务和电子商务应用带来了安全隐患。网络入侵检测正是为保证计算机网络系统的安全而设计的一种能够及时发现并报告网络系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。信息安全产品市场上的入侵检测产品类型越来越多，国内许多信息安全厂商也已开发出自主的入侵检测系统（IDS）产品，打破了由国外厂商垄断的市场格局。

IDS测试要求

随着IDS应用需求的兴起，很多厂商（包括防火墙厂商、传统的通信产品厂商和PC厂商）都纷纷涉足这一市场，不同产品的安全功能结构、技术参数和可靠性参差不齐；与此同时，由于缺乏相应统一的安全技术规范，产品消费者和评估者难以对IDS产品的安全性和性能指标项进行客观的技术评价。

ISO15408（通称CC）自1999年公布以来，已得到广大国家的认可，被广泛应用于IT安全评估。目前已有15国参与CC互认，我国在2001年将CC等同采用为国家标准GB/T18336《信息技术安全技术 信息技术安全性评估准则》。在实际评估应用过程中，评估方和厂商可在CC这一通用准则要求的基础上根据不同产品类型，遵照“PP和ST的产生指南”（ISO/IEC JTC 1/SC 27 N 2333）的要求，制订出具体产品类型的保护轮廓（Protection Profile，PP），通过分析在低风险网络环境下入侵检测系统应能对付的威胁，定义出其应实现的安全目标，最后提出了IDS的最低安全功能要求。

IDS功能要求

IDS应实现的基本功能包括以下几点：

数据采集

要求IDS能对目标系统中所发生的以下事件实施监控：入侵检测功能的启动和关闭、用户登录身份鉴别行为、系统数据访问、应用服务请求、网络流量变化、安全配置改变等。对于所监控事件，要求IDS系统至少能采集与事件有关的以下信息：事件的日期与时间、事件的类型、主体身份及事件的结果（成功或失败）。

数据分析

数据分析方法与IDS实现的机理密不可分，不同的分析方法表现为不同IDS产品的检测效率大不一样。在每一分析结果中记录的内容包括：日期与时间、事件类型、数据来源、事件的结果（成功或失败）及其他相关信息。

入侵反应

当检测到入侵行为发生时，IDS应能向管理控制台发出报警并能采取适当行动，如阻断非法连接、重新配置系统组件与其他安全工具（如防火墙）联动，以阻断入侵行为等。

规则管理

为有效地捕捉入侵行为，入侵检测规则数据库的容量大小是衡量IDS检测能力强弱的重要指标项。但是，由于新的入侵行为在不断出现，规则库内容应能满足实际入侵行为特征的变化而进行不断补充、修改，因此，IDS应支持用户自定义检测规则来灵活制定自己的安全策略，或者提供规则更新升级的接口（如定期升级等）。

数据查阅

IDS应能对所采集和分析的数据进行存储，以提供用户对历史数据进行查询、浏览、删除、转存和统计报表制作等操作。查阅内容可包括检测事件名称、发生日期、事件的来源与目的地址、事件内容描述等。此外，IDS应明确具有读访问权限的授权用户，并禁止其他用户访问IDS数据。

IDS安全性要求

IDS可能面临的威胁

由于部署在复杂的网络环境中，IDS自身运行安全可能面临的威胁主要包括：

数据泄漏IDS收集和产生的数据在各组成部分之间传输时被非法截取。

非法数据流IDS因无法处理分析一些异常的数据流而导致功能故障。

数据丢失IDS收集和产生的数据遭到未授权用户的删除或毁坏。

监控失败IDS无法检测一些未授权访问尝试行为和功能使用行为。

反应失败IDS无法对已确定的或可疑的脆弱性和非正常活动产生反应。

配置修改由于误操作，用户不适当地改变了IDS的规则配置导致功能失效。

IDS安全功能要求

为了有效地对抗以上威胁，保证IDS及其各组成部分之间的安全有效工作，IDS应具备如表1所列的安全功能要求。