流量類檢測設備面臨的挑戰有哪些

流量類檢測設備面臨的挑戰有：

• 告警量巨大：單臺設備一天告警量能多達百萬級，由于考慮到業務連續性問題，網絡安全防護過程中一般很少采用攔截手段，這就導致安全運營從業人員的日常分析工作量巨大，加上設備存在誤報率，導致產生告警無法盡快分析日益積累增多。

• 不敢大量攔截數據流量：為了防止正常業務發生中斷，不敢將流量大量攔截分析，很多支持大數據分析、關聯分析能力的檢測設備也不敢完全攔截所以流量進進行分析，這樣就導致漏報出現，影響網絡安全。

• 流量加密：隨著企業的安全意識的逐步提高，全站HTTPS已經越來越成為業界的最佳實踐，這本是一個好事，整體提升了企業安全等級，但是對于流量類檢測設備來說，這無疑給了本已復雜的檢測環境再增加一道關卡。

• 部署位置不全：隨著企業業務的不斷發展，攻擊者的滲透攻擊思路也在不斷拓展，攻擊突破口也越來越多，傳統方式認為數據中心的互聯網正面出口是唯一防御部署點已經顯得不合時宜了。在預算投入允許的情況下，還是應該加大流量檢測設備的部署密度，以增加攻擊的檢出概率。同時要做到流量全覆蓋，同時保證同一部署位置的設備流量一致。

• 源地址丟失：很多網絡安全監控設備中檢測的源IP地址已經不是真實客戶端IP地址，而是企業內網地址或CDN的地址，這主要是因為流量在經過CDN或其他企業內部的網絡設備時，對流量原始地址進行NAT轉換導致。

• 異構部署的問題：在網絡安全檢測實踐中，往往存在一種思路就是異構部署的問題，主要思考就是防止單個設備檢測能力失效而導致威脅漏報。在具體實踐中有些單位可能會采取單點異構部署的模式，這種模式仍然會有誤報和漏報并存，異構部署有些互補，但效果不明顯，最后同一位置看到的報警絕大部分雷同，少部分差異還有可能是誤報。

回答所涉及的環境：聯想天逸510S、Windows 10。