近年来网络攻击,病毒,漏洞,黑客勒索等事件常有发生,由此企业对网络安全防护建设视为企业发展道路上重中之重的事情。那怎么选择合适的网络入侵检测系统呢?
目前NIDS的产品形态逐渐在发生改变。那肯定有人会问改变前和改变后的入侵检测系统有什么不一样的吗?其实它俩就是D和P的区别,NIDS前者只检测,但NIPS除了检测还经过匹配规则后追加了一个丢包或放行的动作,还有部署上的区别,NIDS比较典型的场景是部署在出口处,用来做统一的流量监控。或者在这个位置部署NIPS,不过 NIDS不一定是完全执行全流量P的功能,因为互联网服务中,除了数据丢失以外可用性是第二大严重问题,所以实现P就会面临延迟和误杀的风险,在海量IDC环境中,想要做到全线业务实时防护基本是不可能的,但又有这样的需求,例如出现了shellshock的漏洞可能需要长时间修复,在这个过程中有漏洞但暴露在外的机器既不能让它下线也不能被黑,因此就需要在前端有一层虚拟补丁,把利用这个漏洞的攻击行为做针对性的过滤,为修复漏洞赢得时间。所以P方案属于一个缓解的版本,利用
DDoS引流、清洗(过滤)、回注的防护原理,将需要防护的流量迁移到清洗集群,清洗集群上的过滤规则。所以这不是商业NIPS广告宣称那么全面,是针对几条高危漏洞规则,做一层过滤。剩余的选择维持原路由,这样可以对业务的影响降至最低,尽可能让用户处于无感知状态。一般情况下不需要启用P功能,只使用D就可以,对关键区域做更深层次的关注。
但根据互联网公司的业务成长速度来得出,传统NIDS对于大型互联网公司来说有点应接不暇,主要表现在:
1、IDC数据中心机房规模稍大的很容易超过商业NIDS处理带宽的上限,即使多级部署,也无法像互联网架构做到无缝接入的水平扩展,而且部署多台最高规格商业NIDS的TCO很高。不能和基础架构一起扩展的安全解决方案最终都会受到约束。
2、硬件盒子单点的计算和存储能力有限,存储空间和CPU很容易达到盒子上限,虽然可以清理及转移存储空间但也解决不了根本问题;3、最大的缺点是规则数量会成为整个架构的瓶颈。升级或者变更成本更高,由此会对业务产生影响。
针对大规模的IDC网络,我们应该进行:
1、分层结构,所有节点全线支持水平扩展;检测与防护分离,性能及可用性大幅度提升,按需求决定防护。 报文解析与攻击识别隔离处理;
2、利用大数据集群,使规则数量不会再变成系统瓶颈,而且不局限于静态特征的规则集,能够多维度建模。做到“加规则”可以完全不影响业务。
因此墨者安全觉得针对不同的用户他们的需求是不同的,一部分小企业客户需要的可能是傻瓜是的解决方案,而大的互联网公司,则需要的是开放式平台,可以根据自身的业务制定有效的规则,解决各种可能出现的安全问题。