自適應網絡主動防御產品是一種主動的、積極的網絡異常行為防范、阻止系統，它部署在網絡交換機的鏡像端口處，對網絡內部所有數據包進行監視，當它檢測到異常行為后，會主動基于特定控制接口與網絡交換機聯動，通過關閉物理端口來制止網絡異常行為并阻隔攻擊源，從而防止網絡安全威脅的擴散。
自適應網絡主動防御產品具有智能學習功能，通過對內部網絡行為特征的統計分析，形成網絡運行狀態知識庫，從而能夠自動識別影響網絡正常運行的各種異常行為，并可以與網絡交換機進行互動，在物理層對網絡異常行為進行阻隔。
當把自適應網絡主動防御產品看成是一定安全目標的系統時，可稱之為自適應網絡主動防御系統（NAD：Network Active Defense）。NAD檢測功能包括對目標網絡應用環境的自適應智能學習能力，并同時具備對網絡內部異常行為進行全面檢測和阻隔的能力，以及與網絡基礎設備（如網絡交換機）的交互能力。自適應網絡主動防御系統為網絡安全提供了一種新型的積極主動防御手段，豐富了網絡安全解決方案中的信息安全產品系列。

本規范規定了自適應網絡主動防御產品技術要求。
本規范起草單位：公安部計算機信息系統安全產品質量監督檢驗中心。

信息技術自適應網絡主動防御產品安全檢驗規范
1.范圍
本規范規定了信息技術-自適應網絡主動防御產品的安全功能要求和保證要求。
本規范適用于信息技術-自適應網絡主動防御產品的生產及檢測。

2.術語和定義
2.1 目標網絡 TN
Target Network：指自適應網絡主動防御產品所要保護的網絡。
2.2 網絡異常行為  NAA
Network Abnormal Action：本規范所稱異常行為是指目標網絡中所有影響網絡正常業務運行的行為，主要包括下述方面:
1.入侵行為：指任何企圖危害資源完整性、保密性或可用性的行為（如網絡入侵、蠕蟲病毒等）；；
2.非惡意不良行為：指用戶無意識地濫用網絡資源的行為；
3.惡意不良行為：指用戶有目的、有意識地濫用網絡資源的行為；
2.3 智能學習 AIL
Artificial Intelligent Learning：系統在目標網絡應用環境中進行數據采集，并采用人工智能方法進行統計分析，以期能挖掘出目標網絡的各項特點，使系統能更好、更精確地適應不同網絡應用環境實際需求。
2.4 業務特征碼 AFC
AFC：Application Feature Code：指目標網絡環境中各種網絡應用業務的特征碼，被用以作為鑒別網絡正常行為和異常行為的重要依據。
2.5 業務周期 AC
Application Cycle：指目標網絡環境中循環運行的網絡應用業務的周期。
3.信息技術-自適應網絡主動防御產品的安全功能
3.1 自適應網絡主動防御功能
3.1.1 網絡協議分析
a)支持對以太網、TCP/IP及常見應用協議（如HTTP、FTP）的詳細分析；
b)具有一定的協議分析結果表達方式。
3.1.2 網絡管理
為網絡管理員提供可視化工具界面，對系統進行遠程管理，顯示在線工作狀態，集中配置系統參數、相關代碼規則庫、進行版本升級等。
3.1.3 智能學習
依據已經設定的目標網絡業務周期，系統應能自動進行網絡環境自適應學習，收集相關網絡運行狀態參數（如流量、業務特征碼、有效應用端口列表、有效主機列表等）。
3.1.4 流量監控和告警
依據協議過濾器設置，對目標網絡總體流量、平均流量、明細流量進行統計，并以實時曲線圖的方式進行表達。如果流量超過預先設定的閾值（人工或依據3.1.3得到），系統可對相應計算機進行阻隔，并產生流量告警。
3.1.5 阻隔未授權計算機進入網絡
依據3.1.3學習所得并經網絡管理員確認的有效主機列表，對未被列入的上網計算機進行阻隔，使其無法進入目標網絡。
3.1.6  網關IP地址保護
主動恢復目標網絡中被其他計算機非法占用的網關IP地址。
3.1.7  業務特征碼認證
依據3.1.3學習所得業務特征碼，對網絡數據包進行實時檢測，確認正常應用業務，阻隔非法業務（網絡異常行為）并產生告警。
3.1.8 惡意網絡異常行為監控
系統需具備基于惡意行為代碼庫的網絡異常行為監控功能，對已知的惡意網絡異常行為進行阻斷和告警。