@微光
2年前 提问
1个回答
传统NIDS在大型互联网场景有哪些缺陷
齐士忠
2年前
传统NIDS在大型互联网场景有以下缺陷:
IDC规模稍大很容易超过商业NIDS处理带宽的上限,虽然可以多级部署,但无法像互联网架构一样做到无缝的水平扩展,不能跟基础架构一起扩展的安全解决方案最终都会掣肘。
硬件盒子单点的计算和存储能力有限,很容易在CPU时间和存储空间上达到硬件盒子的上限,即使有管理中心可以腾挪存储空间也解决不了这个问题。
规则数量是性能杀手,最不能被并行处理的部分会成为整个架构的瓶颈。
升级和变更成本高,可能对业务产生影响。
IDC规模较大时,部署多台最高规格商业NIDS的TCO很高(Google如果用IBM的解决方案会破产)。
解决上述缺陷的措施有以下这些:
分层结构,所有节点全线支持水平扩展。
检测与防护分离,性能及可用性大幅提升,按需决定防护,支持灰度。
报文解析与攻击识别完全解耦,入侵检测环节“后移”。
依赖大数据集群,规则数量不再成为系统瓶颈,并且不再局限于基于静态特征的规则集,而是能多维度建模。