流量类检测设备面临的挑战有哪些

流量类检测设备面临的挑战有：

• 告警量巨大：单台设备一天告警量能多达百万级，由于考虑到业务连续性问题，网络安全防护过程中一般很少采用拦截手段，这就导致安全运营从业人员的日常分析工作量巨大，加上设备存在误报率，导致产生告警无法尽快分析日益积累增多。

• 不敢大量拦截数据流量：为了防止正常业务发生中断，不敢将流量大量拦截分析，很多支持大数据分析、关联分析能力的检测设备也不敢完全拦截所以流量进进行分析，这样就导致漏报出现，影响网络安全。

• 流量加密：随着企业的安全意识的逐步提高，全站HTTPS已经越来越成为业界的最佳实践，这本是一个好事，整体提升了企业安全等级，但是对于流量类检测设备来说，这无疑给了本已复杂的检测环境再增加一道关卡。

• 部署位置不全：随着企业业务的不断发展，攻击者的渗透攻击思路也在不断拓展，攻击突破口也越来越多，传统方式认为数据中心的互联网正面出口是唯一防御部署点已经显得不合时宜了。在预算投入允许的情况下，还是应该加大流量检测设备的部署密度，以增加攻击的检出概率。同时要做到流量全覆盖，同时保证同一部署位置的设备流量一致。

• 源地址丢失：很多网络安全监控设备中检测的源IP地址已经不是真实客户端IP地址，而是企业内网地址或CDN的地址，这主要是因为流量在经过CDN或其他企业内部的网络设备时，对流量原始地址进行NAT转换导致。

• 异构部署的问题：在网络安全检测实践中，往往存在一种思路就是异构部署的问题，主要思考就是防止单个设备检测能力失效而导致威胁漏报。在具体实践中有些单位可能会采取单点异构部署的模式，这种模式仍然会有误报和漏报并存，异构部署有些互补，但效果不明显，最后同一位置看到的报警绝大部分雷同，少部分差异还有可能是误报。