网络入侵检测系统（NIDS）常因实现层面的差异而被绕过：攻击者精心构造的数据包在NIDS和最终主机上的处理方式不同，导致NIDS无法检测。这些差异源于大量端主机实现及其演化，NIDS通常采用简化实现来近似和泛化，但这种方式存在根本缺陷，因为近似必然与某些端主机实现存在偏差。本文提出轻量级系统Themis，旨在使NIDS能够识别这些差异，并在遇到“歧义”数据包时被动地分叉连接状态。Themis包含离线阶段：利用符号执行从多种流行实现中提取模型；运行时阶段：维护一个非确定有限自动机（NFA）来跟踪每种可能实现的状态。广泛评估表明，Themis极其有效，能够检测所有已知的规避攻击，同时开销极低。在研究过程中，作者还发现了多个此前未知的、可用于绕过当前NIDS的差异。该工作为NIDS防御实现级绕过攻击提供了新思路，适合安全研究员和NIDS开发者阅读。