A tapasztalataim szerint a teljes hálózati forgalom monitorozása nem "új" ötlet, pl egy Security Operation Center -ben is igen hasznos tud lenni.
A probléma 99%-ban a gyakorlati megvalósításával van, mert:
- a titkosított forgalmat nem egyszerű layer 7 szinten elemezni
- a mintavételezés legtöbbször fizikai korlátokba ütközik, a switch nem bírja, vagy csak 1000:1 mintát képes adni, nem teljes netflow-t, stb.
- a költségek is általában irreálisan magasak, hiszen ennek tárolására és feldolgozására kell némi hardver erőforrás is..
Azonban - ahogy csambi is említette - full virtuális környezetben ez a gyakorlatban is életképes (és rentábilis) megoldás lehet - persze továbbra sem olcsó móka.