上一篇介紹到了 HIDS 的功能，以及其在防火牆、伺服器裡的職責。
這篇主要來好好介紹網路型入侵偵測系統（NIDS,Network-based IDS）。

本篇大綱
一、從架構認識 NIDS
二、NIDS 的功能
三、NIDS 的工作原理

一、從架構認識 NIDS

• NIDS（網路型入侵偵測系統，Network-based IDS），主要在監視網路流量，識別潛在的惡意活動，並提供警報或採取行動以應對威脅。

• 以下是一張架構圖，我們可以從中了解 NIDS 的位置：
  

• HIDS 一般會放在防火牆或伺服器中，NIDS 卻是個獨立系統。

• HIDS 通常的位置是個定點，就像一個警衛室；而 NIDS 卻不是定點的，像個巡邏車一樣，可能會安裝在需要的地方，例如：外部網路、DMZ 網路或內部網路，並隨時隨地從網路上讀取、偵測是否有可疑的封包。

• NIDS 的偵測技術有：

  • 特徵偵測
  • 異常偵測
  • 以上兩種技術整合而成的混合型偵測系統（Hybrid IDS）

延伸閱讀：

1. [Day12] 深入了解主機型入侵偵測系統：HIDS 在防火牆、伺服器裡的職責
2. 誘捕型防禦系統（DDS,Deception Defense System）
3. 什麼是特徵偵測？
4. 什麼是異常偵測？

二、NIDS 的功能

• 實時威脅偵測：NIDS 能夠實時監視網路流量，即時偵測到異常活動，幫助防止攻擊和數據洩漏。
• 識別新威脅：可以根據已知的攻擊模式來偵測威脅，同時還能夠識別新的、以前未見過的攻擊。
• 減少攻擊損害：通過即時識別攻擊，NIDS 可以幫助組織迅速採取行動，減少攻擊造成的損害。
• 合規性要求：許多法規和合規性標準要求組織實施入侵偵測系統，以保護敏感數據和維護客戶隱私。

三、NIDS 的工作原理

NIDS 的工作原理是基於對網路流量的實時監視和分析：

1. 流量監視：能持續監視通過網路的數據流量，包含入站和出站流量、傳統的網路通信協定（例如：TCP 和 UDP）以及應用層協定（例如：HTTP 和 FTP）。
2. 流量分析：NIDS 會對監視到的流量進行深入分析，使用事先定義的規則和模式來識別異常或可疑的活動。而這些規則基於已知的攻擊特徵和網路威脅。
3. 識別和警報：如果 NIDS 偵測到異常或潛在的入侵，它會生成警報，通常包括詳細訊息，如攻擊類型、來源的 IP 地址和目標 IP 地址。這些警報可通知安全團隊或管理員進一步的調查。
4. 記錄和存儲：NIDS 通常會記錄所有網路流量和相關警報，以供未來調查、合規性檢查和報告使用。

祝大家中秋節快樂啦～