基于网络的入侵检测系统(NIDS)通过侦听网络系统，捕获网络数据包，并依据网络包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为。

一般说来，NIDS能够检测到以下入侵行为：

1、同步风暴(SYN Flood);

2、分布式拒绝服务攻击(DDoS):

3、网络扫描;

4、缓冲区溢出;

5、协议攻击;

6、流量异常;

7、非法网络访问

注：详见《信息安全工程师教程》(第2版)202页

考点相关真题：

基于网络的入侵检测系统（NIDS）通过侦听网络系统，捕获网络数据包，并依据网络包是否包含攻击特征，或者网络通信流是否异常来识别入侵行为。以下不适合采用NIDS检测的入侵行为是（   ）。

A．分布式拒绝服务攻击

B．缓冲区溢出

C．注册表修改

D．协议攻击

参考答案：C

参考解析：

基于网络的入侵检测系统（NIDS）可以检测到的攻击有同步风暴、分布式拒绝服务攻击、网络扫描、缓冲区溢出、协议攻击、流量异常、非法网络访问等。

基于主机的入侵检测系统（HIDS）可以检测针对主机的端口和漏洞扫描、重复登录失败、拒绝服务、系统账号变动、重启、服务停止、注册表修改、文件和目录完整性变化等。