国家标准计划《信息安全技术 网络入侵检测系统技术要求和测试评价方法》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 上海国际技贸联合有限公司 、公安部第三研究所 、中国网络安全审查技术与认证中心等 。

网络入侵检测系统是以网络上的数据包作为数据源，监听所保护网络内的所有数据包并进行分析，从而发现异常行为的入侵检测系统。

因为这类产品在网络安全中发挥着及时发现入侵行为、有效保护网络安全的重要作用，国标委出台了国家标准GB/T 20275-2013《信息安全技术网络入侵检测系统技术要求和测试评价方法》（以下简称GB/T 20275-2013）用以统一整个国家对该类产品的设计、开发、测试和评价。

但由于GB/T 20275-2013的颁布时间较早，随着网络技术的不断发展，攻击行为和攻击方式不断变种，对网络、主机和系统资源安全的威胁不断增加，对网络入侵检测系统产品功能和安全功能的要求不断提高。

当前的网络入侵检测系统在检测攻击行为的技术方面不再局限于特征匹配和模式识别，而且探索和致力于动态行为分析和语义感知。

该编制时参考的GB/T 18336-2008和GB/T 22239-2008等标准都已更新，而且标准分级原则不够清晰。

基于上述多方面的原因，GB/T 20275-2013已不能适用于现在的网络安全等级保护制度和国家安全标准体系的要求，需要对该标准进行修订、更新，才能够有效的保障信息网络的安全，进而支撑国家网络安全等级保护工作的全面开展和网络安全法的有效落地。

范围：本标准规定了网络入侵检测系统的技术要求和测试评价方法，要求包括安全功能要求、自身安全功能要求、安全保障要求和测试评价方法，并提出了网络入侵检测系统的分级要求。 主要技术内容：1)当前的网络入侵检测系统在检测攻击行为的技术方面不再局限于特征匹配和模式识别，需增加对新型网络攻击行为进行监测的要求。2)对网络入侵检测系统的划分级别进行调整。目前大部分网络安全产品的国家标准，都是将产品的技术要求划分为两个等级——基本级和增强级，分别对应网络安全等级保护体系中的非重要信息系统和重要信息系统的安全需求。因此，需要对该标准中的产品技术要求的级别进行重新的划分和调整，从分三级修订为分二级，使得新的安全要求和等级划分适应新的网络安全等级保护制度相关标准中“安全区域边界——入侵防范”的相关要求。3)根据最新的GB/T 18336-2015和GB/T 22239-2019等标准文件作为引用参考，对GB/T 20275-2013进行修订，以使得修订后的标准在产品安全功能要求和安全保障要求方面与现行安全标准体系要求相统一。