网络安全
基于网络的入侵检测系统(NIDS)
别称: NIDS, 网络 IDS
定义
通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。
基于网络的入侵检测系统(NIDS)通过 SPAN 端口、网络 TAP、报文经纪人或虚拟 TAP 接收镜像或分光的流量副本,使用特征规则(Snort、Suricata)、协议解析器(Zeek)以及统计模型进行分析。NIDS 在不需要在每个端点部署软件的情况下,即可对大量主机提供可见性,适合南北向与东西向监控,是 SOC 和威胁狩猎团队的基础传感器。鉴于现代流量大多采用 TLS 加密,NIDS 越来越依赖 TLS 元数据、JA3/JA4 指纹和基于流量的行为分析。要真正发挥作用,需要合理的镜像/TAP 设计、抓包能力、精确的时间同步以及与 SIEM、NDR 的集成。
示例
- Suricata 在 SPAN 端口上使用 ET CINS 规则集,对已知 C2 IP 触发告警。
- Zeek 脚本通过分析 DNS 查询标签的熵值检测 DNS 隧道。
相关术语
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
基于主机的入侵检测系统(HIDS)
部署在服务器或终端上的入侵检测代理,通过监控本地文件、进程、日志和系统调用来发现恶意行为。
入侵防御系统(IPS)
一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
NDR(网络检测与响应)
通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。