什么是 NIDS

NIDS即基于網絡的入侵檢測，主要用于檢測Hacker或Cracker 通過網絡進行的入侵行為，是指對收集漏洞信息、造成拒絕訪問及獲取超出合法范圍的系統控制權等危害計算機系統安全的行為，進行檢測的軟件與硬件的組合。NIDS 的運行方式有兩種，一種是在目標主機上運行以監測其本身的通信信息， 另一種是在一臺單獨的機器上運行以監測所有網絡設備的通信信息，比如Hub、路由器。

NIDS 以所檢測網段的所有流量作為其數據源，在以太網環境下，它通過將網卡設置為混雜模式來抓取所監測網段內的混合數據包。一般來說入侵檢測系統擔負著保護整個網段的任務。在交換環境下，為了抓取所需的數據，NIDS的放置需要精心的設計。

NIDS通過對三類特征進行匹配，從而發現可能的入侵檢測行為，這三類特征分別是：串特征、端口特征和數據包頭特征。

• 串特征是指在數據正文中出現的可能意味著某種攻擊的字符串。例如一個數據包的正文中包含字符串“cat”++>/.rhosts”， 那么如果這條命令執行成功, 將導致執行該命令的主機不需身份認證就被使用，這是非常危險的事情。

• 端口特征是指某個連接連向的目的端口，通過查看這個值，也可以發現一些可能的入侵，例如一些木馬程序就是通過一些特定的端口拉接收外部的控制信息的。

• 數據包頭特征是指數據頭中的碼位的一些非常危險的非法組合，其中最為著名的是winnuke，它通過目標機NetBIOS使用的139端口發送設置了緊急指針位的（Urgent Pointer）、表明有帶外數據（out of band）的TCP數據包，從而使一些安裝Window操作系統的機器出現藍屏死機。

與之相對的還有：基于主機的主機入侵檢測系統（HIDS）。

回答所涉及的環境：聯想天逸510S、Windows 10。