传统的网络入侵检测系统之间的区别？

近年来网络攻击，病毒，漏洞，黑客勒索等事件常有发生，由此企业对网络安全防护建设视为企业发展道路上重中之重的事情。那怎么选择合适的网络入侵检测系统呢？

目前NIDS的产品形态逐渐在发生改变。那肯定有人会问改变前和改变后的入侵检测系统有什么不一样的吗？其实它俩就是D和P的区别，NIDS前者只检测，但NIPS除了检测还经过匹配规则后追加了一个丢包或放行的动作，还有部署上的区别，NIDS比较典型的场景是部署在出口处，用来做统一的流量监控。或者在这个位置部署NIPS，不过 NIDS不一定是完全执行全流量P的功能，因为互联网服务中，除了数据丢失以外可用性是第二大严重问题，所以实现P就会面临延迟和误杀的风险，在海量IDC环境中，想要做到全线业务实时防护基本是不可能的，但又有这样的需求，例如出现了shellshock的漏洞可能需要长时间修复，在这个过程中有漏洞但暴露在外的机器既不能让它下线也不能被黑，因此就需要在前端有一层虚拟补丁，把利用这个漏洞的攻击行为做针对性的过滤，为修复漏洞赢得时间。所以P方案属于一个缓解的版本，利用DDoS引流、清洗（过滤）、回注的防护原理，将需要防护的流量迁移到清洗集群，清洗集群上的过滤规则。所以这不是商业NIPS广告宣称那么全面，是针对几条高危漏洞规则，做一层过滤。剩余的选择维持原路由，这样可以对业务的影响降至最低，尽可能让用户处于无感知状态。一般情况下不需要启用P功能，只使用D就可以，对关键区域做更深层次的关注。

DDOS，清洗过滤，互联网，IDC网络

但根据互联网公司的业务成长速度来得出，传统NIDS对于大型互联网公司来说有点应接不暇，主要表现在：

1、IDC数据中心机房规模稍大的很容易超过商业NIDS处理带宽的上限，即使多级部署，也无法像互联网架构做到无缝接入的水平扩展，而且部署多台最高规格商业NIDS的TCO很高。不能和基础架构一起扩展的安全解决方案最终都会受到约束。

2、硬件盒子单点的计算和存储能力有限，存储空间和CPU很容易达到盒子上限，虽然可以清理及转移存储空间但也解决不了根本问题；3、最大的缺点是规则数量会成为整个架构的瓶颈。升级或者变更成本更高，由此会对业务产生影响。

针对大规模的IDC网络，我们应该进行：

1、分层结构，所有节点全线支持水平扩展；检测与防护分离，性能及可用性大幅度提升，按需求决定防护。 报文解析与攻击识别隔离处理；

2、利用大数据集群，使规则数量不会再变成系统瓶颈，而且不局限于静态特征的规则集，能够多维度建模。做到“加规则”可以完全不影响业务。

DDOS，清洗过滤，互联网，IDC网络

因此墨者安全觉得针对不同的用户他们的需求是不同的，一部分小企业客户需要的可能是傻瓜是的解决方案，而大的互联网公司，则需要的是开放式平台，可以根据自身的业务制定有效的规则，解决各种可能出现的安全问题。