自适应网络主动防御产品是一种主动的、积极的网络异常行为防范、阻止系统，它部署在网络交换机的镜像端口处，对网络内部所有数据包进行监视，当它检测到异常行为后，会主动基于特定控制接口与网络交换机联动，通过关闭物理端口来制止网络异常行为并阻隔攻击源，从而防止网络安全威胁的扩散。

自适应网络主动防御产品具有智能学习功能，通过对内部网络行为特征的统计分析，形成网络运行状态知识库，从而能够自动识别影响网络正常运行的各种异常行为，并可以与网络交换机进行互动，在物理层对网络异常行为进行阻隔。

当把自适应网络主动防御产品看成是一定安全目标的系统时，可称之为自适应网络主动防御系统（NAD：Network Active Defense）。NAD检测功能包括对目标网络应用环境的自适应智能学习能力，并同时具备对网络内部异常行为进行全面检测和阻隔的能力，以及与网络基础设备（如网络交换机）的交互能力。自适应网络主动防御系统为网络安全提供了一种新型的积极主动防御手段，丰富了网络安全解决方案中的信息安全产品系列。

本规范规定了自适应网络主动防御产品技术要求。

本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。



信息技术自适应网络主动防御产品安全检验规范

1.范围

本规范规定了信息技术-自适应网络主动防御产品的安全功能要求和保证要求。

本规范适用于信息技术-自适应网络主动防御产品的生产及检测。

2.术语和定义

2.1 目标网络 TN

Target Network：指自适应网络主动防御产品所要保护的网络。

2.2 网络异常行为  NAA

Network Abnormal Action：本规范所称异常行为是指目标网络中所有影响网络正常业务运行的行为，主要包括下述方面:

1.入侵行为：指任何企图危害资源完整性、保密性或可用性的行为（如网络入侵、蠕虫病毒等）；；

2.非恶意不良行为：指用户无意识地滥用网络资源的行为；

3.恶意不良行为：指用户有目的、有意识地滥用网络资源的行为；

2.3 智能学习 AIL

Artificial Intelligent Learning：系统在目标网络应用环境中进行数据采集，并采用人工智能方法进行统计分析，以期能挖掘出目标网络的各项特点，使系统能更好、更精确地适应不同网络应用环境实际需求。

2.4 业务特征码 AFC

AFC：Application Feature Code：指目标网络环境中各种网络应用业务的特征码，被用以作为鉴别网络正常行为和异常行为的重要依据。

2.5 业务周期 AC

Application Cycle：指目标网络环境中循环运行的网络应用业务的周期。

3.信息技术-自适应网络主动防御产品的安全功能

3.1 自适应网络主动防御功能

3.1.1 网络协议分析

a)支持对以太网、TCP/IP及常见应用协议（如HTTP、FTP）的详细分析；

b)具有一定的协议分析结果表达方式。

3.1.2 网络管理

为网络管理员提供可视化工

[1] [2] [3] [4] 下一页