1. Hệ thống đánh chăn
Hà nội 10/2013

2. Nội dung
 Đặt vấn đề
 Kiến trúc hệ thống
 Công nghệ - kỹ thuật
 Đánh giá về hệ thống

3.  Đặt vấn đề
 Xu thế tấn công DDoS

4.  Đặt vấn đề
 Mục tiêu đề ra:
 Tác động tối thiểu tới người dùng hợp lệ
 Thời gian để phát hiện và cảnh báo tới những người liên quan
khi khách hàng bắt đầu bị tấn công phải ở mức thấp nhất có
thể
 Khả năng bảo vệ được cho nhiều loại hệ thống khác nhau của
khách hàng
 Khả năng tự động tăng giảm khả năng đáp ứng của hệ thống
khi có sự thay đổi về nhu cầu tính toán
 Giảm thiểu tối đa mức phát hiện sai
 Khả năng nhận biết, phân loại các hình thức tấn công và tự
động xử lý tương ứng
 Khả năng QoS giữa các khách hàng

5.  Đặt vấn đề
 Thách thức gặp phải
 Vấn đề con người
 Hạ tầng triển khai
 Real-time
 Phân tích dữ liệu lớn
 Fales posvitives & False negative
 Behavior analysis

6.  Đặt vấn đề
 Giải pháp khắc phục
 Đầu tư nhân lực
 Tận dụng hạ tầng sẵn có
 Tích hợp công nghệ từ sản phẩm bảo mật nguồn mở

7. Kiến trúc hệ thống
Các khối xử lý

8.  Kiến trúc hệ thống
Sơ đồ luồng xử lý

9. Kiến trúc hệ thống (cont…)
 Mô hình triển khai tổng quan

10.  Kiến trúc hệ thống (cont…)
 Chi tiết luồng xử lý dữ liệu giữa các khối

11. Công nghệ - kỹ thuật
 Anycast
 Là công nghệ giúp thông tin truyền đi bất cứ
hướng nào, nghĩa là một gói tin được gửi
tới một địa chỉ đơn bất kỳ hướng nào, sẽ được
định tuyến tới một node gần nhất.
 Tại sao lại là anycast?
 Tăng độ linh động cho hệ thống mạng hiện tại, tận dụng được cơ
sở hạ tầng sẵn có.
 Cân bằng tải cho hệ thống
 Cơ chế phân tán, giúp nâng cao tính sẵn sàng, đảm bảo đối phó
được những cuộc tấn công quy mô lớn nhờ vào khả năng phân
phối các gói tin.

12.  Công nghệ - kỹ thuật (cont…)
 CIDS (Collaborative Intrusion Detection System)
 Là hệ thống phát hiện xâm nhập hợp tác trên cơ sở tích hợp
nhiều kỹ thuật, công nghệ lại thành 1 khối, nhằm đa dạng và
nâng cao khả năng phát hiện nhanh các cuộc tấn công
 CIDS nằm trong khối phát hiện, phát hiện nhanh tấn công
dựa trên:
○ Mẫu tấn công có sẵn
○ Sự bất thường trên hệ thống
○ Quan sát hành vi
○ Phân tích thủ công
 Áp dụng CIDS giúp tận dụng được các ưu điểm của các hệ thống
phát hiện xâm nhập (snort, suricata, bro…)

13.  Công nghệ - kỹ thuật (cont…)
 Công cụ tích hợp cho CIDS
○ Suricata:
 Là công cụ giám sát an ninh mang, phát hiện và ngăn chặn xâm nhập với
hiệu năng cao
 Lý do sử dụng suricata.
- Khả năng mở rộng cao, việc xử lý đa luồng cho phép xử lý nhanh trong
việc phân tích lưu lượng mạng.
- Tận dụng được sức mạnh của dòng chip sets hiện nay
○ Bro
 Là một nền tảng mạnh mẽ cho việc phân tích traffic mạng
 Lý do sử dụng Bro
- Bro cho phép phân tích ngữ nghĩa cấp cao ở mức ứng dụng
- Bro ghi lại toàn diện những gì nó thấy và cung cấp một kho lưu trữ mức
cao các hoạt động của mạng

14. Công nghệ - kỹ thuật (cont…)
 Apache Hadoop
 Là công nghệ phân tán, song song, nhằm giúp tối ưu
khả năng lưu trữ, xử lý lượng dữ liệu lớn.
 Lý do sử dụng hadoop
○ Dễ dàng tích hợp vào hệ thống
○ Khi tấn công xảy ra, lượng dữ liệu đổ về rất lớn, với việc
ứng dụng hadoop sẽ giúp cho việc phân tích một lượng
dữ liệu lớn một cách nhanh chóng.

15.  Công nghệ - kỹ thuật (cont…)
 PF_RING
 Là một dạng socket mạng kiểu mới. PF_RING
giúp tối ưu khả năng chặn bắt, lọc và phân tích
gói tin
 Lý do sử dụng PF_RING
○ Tận dụng tối đa hiệu năng của máy tính
○ Nâng cao khả năng xử lý gói tin
○ Giúp chặn bắt các gói tin nhanh hơn

16. Công nghệ - kỹ thuật (cont…)
 Điện toán đám mây
 Là một giải pháp mà tất các tài nguyên điện toán (phần
cứng, phần mềm, mạng, lưu trữ, v.v) được cung cấp nhanh
chóng cho người dùng đúng như họ yêu cầu.
 Lý do sử dụng điện toán đám mây
○ Tính sẵn sàng cao
○ Khả năng mở rộng lớn
○ Chi phí triển khai không quá cao
○ Phục hồi nhanh khi có sự cố
 Công cụ: Openstack

17.  Đánh giá về hệ thống
 Ưu điểm
 Đảm bảo tính sẵn sàng của hệ thống mà nó bảo vệ
 Phát hiện nhanh các cuộc tấn công
 Có khả năng đánh chặn nhiều cuộc tấn công có quy mô lớn
 Nhược điểm
 Phải có sự liên kết với nhiều ISP khi xây dựng hệ thống
đánh chặn quy mô lớn.

18. Q & A