自适应网络主动防御产品是一种主动的、积极的网络异常行为防范、阻止系统，它部署在网络交换机的镜像端口处，对网络内部所有数据包进行监视，当它检测到异常行为后，会主动基于特定控制接口与网络交换机联动，通过关闭物理端口来制止网络异常行为并阻隔攻击源，从而防止网络安全威胁的扩散。
自适应网络主动防御产品具有智能学习功能，通过对内部网络行为特征的统计分析，形成网络运行状态知识库，从而能够自动识别影响网络正常运行的各种异常行为，并可以与网络交换机进行互动，在物理层对网络异常行为进行阻隔。
当把自适应网络主动防御产品看成是一定安全目标的系统时，可称之为自适应网络主动防御系统（NAD：Network Active Defense）。NAD检测功能包括对目标网络应用环境的自适应智能学习能力，并同时具备对网络内部异常行为进行全面检测和阻隔的能力，以及与网络基础设备（如网络交换机）的交互能力。自适应网络主动防御系统为网络安全提供了一种新型的积极主动防御手段，丰富了网络安全解决方案中的信息安全产品系列。

本规范规定了自适应网络主动防御产品技术要求。
本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。

信息技术自适应网络主动防御产品安全检验规范
1.范围
本规范规定了信息技术-自适应网络主动防御产品的安全功能要求和保证要求。
本规范适用于信息技术-自适应网络主动防御产品的生产及检测。

2.术语和定义
2.1 目标网络 TN
Target Network：指自适应网络主动防御产品所要保护的网络。
2.2 网络异常行为  NAA
Network Abnormal Action：本规范所称异常行为是指目标网络中所有影响网络正常业务运行的行为，主要包括下述方面:
1.入侵行为：指任何企图危害资源完整性、保密性或可用性的行为（如网络入侵、蠕虫病毒等）；；
2.非恶意不良行为：指用户无意识地滥用网络资源的行为；
3.恶意不良行为：指用户有目的、有意识地滥用网络资源的行为；
2.3 智能学习 AIL
Artificial Intelligent Learning：系统在目标网络应用环境中进行数据采集，并采用人工智能方法进行统计分析，以期能挖掘出目标网络的各项特点，使系统能更好、更精确地适应不同网络应用环境实际需求。
2.4 业务特征码 AFC
AFC：Application Feature Code：指目标网络环境中各种网络应用业务的特征码，被用以作为鉴别网络正常行为和异常行为的重要依据。
2.5 业务周期 AC
Application Cycle：指目标网络环境中循环运行的网络应用业务的周期。
3.信息技术-自适应网络主动防御产品的安全功能
3.1 自适应网络主动防御功能
3.1.1 网络协议分析
a)支持对以太网、TCP/IP及常见应用协议（如HTTP、FTP）的详细分析；
b)具有一定的协议分析结果表达方式。
3.1.2 网络管理
为网络管理员提供可视化工具界面，对系统进行远程管理，显示在线工作状态，集中配置系统参数、相关代码规则库、进行版本升级等。
3.1.3 智能学习
依据已经设定的目标网络业务周期，系统应能自动进行网络环境自适应学习，收集相关网络运行状态参数（如流量、业务特征码、有效应用端口列表、有效主机列表等）。
3.1.4 流量监控和告警
依据协议过滤器设置，对目标网络总体流量、平均流量、明细流量进行统计，并以实时曲线图的方式进行表达。如果流量超过预先设定的阈值（人工或依据3.1.3得到），系统可对相应计算机进行阻隔，并产生流量告警。
3.1.5 阻隔未授权计算机进入网络
依据3.1.3学习所得并经网络管理员确认的有效主机列表，对未被列入的上网计算机进行阻隔，使其无法进入目标网络。
3.1.6  网关IP地址保护
主动恢复目标网络中被其他计算机非法占用的网关IP地址。
3.1.7  业务特征码认证
依据3.1.3学习所得业务特征码，对网络数据包进行实时检测，确认正常应用业务，阻隔非法业务（网络异常行为）并产生告警。
3.1.8 恶意网络异常行为监控
系统需具备基于恶意行为代码库的网络异常行为监控功能，对已知的恶意网络异常行为进行阻断和告警。