NIDS（网络入侵检测系统）

class：防御 ；

---

什么是NIDS？

概述

NIDS既网络入侵检测系统（Intrusion-detection system），是一种网络安全设备或者软件。

分类

互联网工程工作小组是这样分类的：

• 事件产生器，从计算机中获得事件，并向系统的其他部分提供此事件；
• 事件分析器，分析数据；
• 响应单元，发出警报或采取主动反应措施；
• 事件数据库，存放各种采取主动反应措施；

也有另一种常见分类

即：

• 驱动引擎，捕获和分析网路传输；
• 控制台，管理引擎和发出报告或采取主动反应措施；

这两种分类都是合理的。

工作

除了简单的记录和发出警报之外，IDS还可以进行主动反应：打断会话，和实现过滤管理规则，IDS还可揭示员工的逾矩行为，包括内部人威胁和磨洋工情形，比如整天在工作电脑上看片或聊微信、QQ

入侵检测

攻击响应

打断会话

如果使用此措施，IDS引擎会先识别并记录潜在的攻击，然后假扮会话连接的另一端，伪造一份报文给会话的两端，造成会话连接中断，有效阻止通讯会话，阻止攻击。
这种措施虽然大，但也有缺点

泪滴攻击

过滤管理规则

一些IDS能够修改远程路由器或防火墙的过滤规则，以阻止持续的攻击。

缺点

IDS有许多缺点，当代网络传输率太大了，这给IDS很大的负担，可靠性不高，还有就是无法对抗来自内外的攻击，以至于造成拒绝服务（Dos）。

工具

1. Snort
2. Bro
3. Kismet（专注无线）
4. OSSEC
5. Open DLP