@微光
2年前 提问
1个回答

传统NIDS在大型互联网场景有哪些缺陷

齐士忠
2年前

传统NIDS在大型互联网场景有以下缺陷:

  • IDC规模稍大很容易超过商业NIDS处理带宽的上限,虽然可以多级部署,但无法像互联网架构一样做到无缝的水平扩展,不能跟基础架构一起扩展的安全解决方案最终都会掣肘。

  • 硬件盒子单点的计算和存储能力有限,很容易在CPU时间和存储空间上达到硬件盒子的上限,即使有管理中心可以腾挪存储空间也解决不了这个问题。

  • 规则数量是性能杀手,最不能被并行处理的部分会成为整个架构的瓶颈。

  • 升级和变更成本高,可能对业务产生影响。

  • IDC规模较大时,部署多台最高规格商业NIDS的TCO很高(Google如果用IBM的解决方案会破产)。

解决上述缺陷的措施有以下这些:

  • 分层结构,所有节点全线支持水平扩展。

  • 检测与防护分离,性能及可用性大幅提升,按需决定防护,支持灰度。

  • 报文解析与攻击识别完全解耦,入侵检测环节“后移”。

  • 依赖大数据集群,规则数量不再成为系统瓶颈,并且不再局限于基于静态特征的规则集,而是能多维度建模。