前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >传统的网络入侵检测系统之间的区别?

传统的网络入侵检测系统之间的区别?

原创
作者头像
墨者盾
修改2019-06-11 18:23:11
2K0
修改2019-06-11 18:23:11
举报
文章被收录于专栏:网络安全防护

近年来网络攻击,病毒,漏洞,黑客勒索等事件常有发生,由此企业对网络安全防护建设视为企业发展道路上重中之重的事情。那怎么选择合适的网络入侵检测系统呢?

目前NIDS的产品形态逐渐在发生改变。那肯定有人会问改变前和改变后的入侵检测系统有什么不一样的吗?其实它俩就是D和P的区别,NIDS前者只检测,但NIPS除了检测还经过匹配规则后追加了一个丢包或放行的动作,还有部署上的区别,NIDS比较典型的场景是部署在出口处,用来做统一的流量监控。或者在这个位置部署NIPS,不过 NIDS不一定是完全执行全流量P的功能,因为互联网服务中,除了数据丢失以外可用性是第二大严重问题,所以实现P就会面临延迟和误杀的风险,在海量IDC环境中,想要做到全线业务实时防护基本是不可能的,但又有这样的需求,例如出现了shellshock的漏洞可能需要长时间修复,在这个过程中有漏洞但暴露在外的机器既不能让它下线也不能被黑,因此就需要在前端有一层虚拟补丁,把利用这个漏洞的攻击行为做针对性的过滤,为修复漏洞赢得时间。所以P方案属于一个缓解的版本,利用DDoS引流、清洗(过滤)、回注的防护原理,将需要防护的流量迁移到清洗集群,清洗集群上的过滤规则。所以这不是商业NIPS广告宣称那么全面,是针对几条高危漏洞规则,做一层过滤。剩余的选择维持原路由,这样可以对业务的影响降至最低,尽可能让用户处于无感知状态。一般情况下不需要启用P功能,只使用D就可以,对关键区域做更深层次的关注。

但根据互联网公司的业务成长速度来得出,传统NIDS对于大型互联网公司来说有点应接不暇,主要表现在:

1、IDC数据中心机房规模稍大的很容易超过商业NIDS处理带宽的上限,即使多级部署,也无法像互联网架构做到无缝接入的水平扩展,而且部署多台最高规格商业NIDS的TCO很高。不能和基础架构一起扩展的安全解决方案最终都会受到约束。

2、硬件盒子单点的计算和存储能力有限,存储空间和CPU很容易达到盒子上限,虽然可以清理及转移存储空间但也解决不了根本问题;3、最大的缺点是规则数量会成为整个架构的瓶颈。升级或者变更成本更高,由此会对业务产生影响。

针对大规模的IDC网络,我们应该进行:

1、分层结构,所有节点全线支持水平扩展;检测与防护分离,性能及可用性大幅度提升,按需求决定防护。 报文解析与攻击识别隔离处理;

2、利用大数据集群,使规则数量不会再变成系统瓶颈,而且不局限于静态特征的规则集,能够多维度建模。做到“加规则”可以完全不影响业务。

因此墨者安全觉得针对不同的用户他们的需求是不同的,一部分小企业客户需要的可能是傻瓜是的解决方案,而大的互联网公司,则需要的是开放式平台,可以根据自身的业务制定有效的规则,解决各种可能出现的安全问题。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
主机安全
主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵防御、漏洞风险预警及安全基线等安全防护服务,帮助企业构建服务器安全防护体系。现支持用户非腾讯云服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档