Entry № 814
基于网络的入侵检测系统(NIDS)
基于网络的入侵检测系统(NIDS) 是什么?
基于网络的入侵检测系统(NIDS)通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。
基于网络的入侵检测系统(NIDS)通过 SPAN 端口、网络 TAP、报文经纪人或虚拟 TAP 接收镜像或分光的流量副本,使用特征规则(Snort、Suricata)、协议解析器(Zeek)以及统计模型进行分析。NIDS 在不需要在每个端点部署软件的情况下,即可对大量主机提供可见性,适合南北向与东西向监控,是 SOC 和威胁狩猎团队的基础传感器。鉴于现代流量大多采用 TLS 加密,NIDS 越来越依赖 TLS 元数据、JA3/JA4 指纹和基于流量的行为分析。要真正发挥作用,需要合理的镜像/TAP 设计、抓包能力、精确的时间同步以及与 SIEM、NDR 的集成。
● 示例
- 01
Suricata 在 SPAN 端口上使用 ET CINS 规则集,对已知 C2 IP 触发告警。
- 02
Zeek 脚本通过分析 DNS 查询标签的熵值检测 DNS 隧道。
● 常见问题
基于网络的入侵检测系统(NIDS) 是什么?
通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。 它属于网络安全的 网络安全 分类。
基于网络的入侵检测系统(NIDS) 是什么意思?
通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。
如何防御 基于网络的入侵检测系统(NIDS)?
针对 基于网络的入侵检测系统(NIDS) 的防御通常结合技术控制与运营实践,详见上方完整定义。
基于网络的入侵检测系统(NIDS) 还有哪些其他名称?
常见的别称包括: NIDS, 网络 IDS。