@瞌睡虫
1年前 提问
1个回答

什么是 NIDS

Ann
1年前
官方采纳

NIDS即基于网络的入侵检测,主要用于检测Hacker或Cracker 通过网络进行的入侵行为,是指对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为,进行检测的软件与硬件的组合。NIDS 的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息, 另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。

NIDS 以所检测网段的所有流量作为其数据源,在以太网环境下,它通过将网卡设置为混杂模式来抓取所监测网段内的混合数据包。一般来说入侵检测系统担负着保护整个网段的任务。在交换环境下,为了抓取所需的数据,NIDS的放置需要精心的设计。

NIDS通过对三类特征进行匹配,从而发现可能的入侵检测行为,这三类特征分别是:串特征、端口特征和数据包头特征。

  • 串特征是指在数据正文中出现的可能意味着某种攻击的字符串。例如一个数据包的正文中包含字符串“cat”++>/.rhosts”, 那么如果这条命令执行成功, 将导致执行该命令的主机不需身份认证就被使用,这是非常危险的事情。

  • 端口特征是指某个连接连向的目的端口,通过查看这个值,也可以发现一些可能的入侵,例如一些木马程序就是通过一些特定的端口拉接收外部的控制信息的。

  • 数据包头特征是指数据头中的码位的一些非常危险的非法组合,其中最为著名的是winnuke,它通过目标机NetBIOS使用的139端口发送设置了紧急指针位的(Urgent Pointer)、表明有带外数据(out of band)的TCP数据包,从而使一些安装Window操作系统的机器出现蓝屏死机。

与之相对的还有:基于主机的主机入侵检测系统(HIDS)。