@深巷
2年前 提问
1个回答
流量类检测设备产生大量告警原因有哪些
007bug
2年前
流量类检测设备产生大量告警原因:
现实攻击本身就量非常大:网络中大量的漏洞扫描、爬虫等,导致背景攻击流量就是非常大。由于考虑到业务连续性问题,网络安全防护过程中一般很少采用拦截手段。这就是导致安全运营从业人员的日常分析工作量巨大。
检测设备本身的误报:在日常运营中,无论是IDS、WAF,还是APT产品,误报率都居高不下,这一点各类检测产品都需要改进,目前还没有发现哪一款产品没有误报的。
业务系统开发不规范:现实监控中,我们观察到有些系统把SQL语句作为参数传输,有些登录后台用了弱口令,导致大量报警。