Network Security Monitoring or How to mitigate a DDoS attack in 20'thaidn
1. A brieft introduction to network security monitoring concept
2. Some experience in deploying NSM
3. A case study: how to use NSM to mitigate a DDoS attack in 20'
The document discusses DDoS attacks and countermeasures. It begins with an overview of common DDoS attack types like botnet attacks and distributed reflected DNS attacks. It then discusses challenges like how easy it is to build botnets and buy them online. The document also covers the xFlash attack technique and new capabilities in Flash 9. The second part discusses countermeasures, emphasizing performance tuning, caching, scalability through architecture like shared nothing, and implementing defense in depth. It concludes by thanking the audience and asking for questions.
Network Security Monitoring or How to mitigate a DDoS attack in 20'thaidn
1. A brieft introduction to network security monitoring concept
2. Some experience in deploying NSM
3. A case study: how to use NSM to mitigate a DDoS attack in 20'
The document discusses DDoS attacks and countermeasures. It begins with an overview of common DDoS attack types like botnet attacks and distributed reflected DNS attacks. It then discusses challenges like how easy it is to build botnets and buy them online. The document also covers the xFlash attack technique and new capabilities in Flash 9. The second part discusses countermeasures, emphasizing performance tuning, caching, scalability through architecture like shared nothing, and implementing defense in depth. It concludes by thanking the audience and asking for questions.
Luận văn Hệ thống phát hiện xâm nhập mạng Suricata.docx
,các bạn có thể tham khảo thêm nhiều tài liệu và luận văn ,bài mẫu điểm cao tại teamluanvan.com
Luận văn Hệ thống phát hiện xâm nhập mạng Suricata.docx
,các bạn có thể tham khảo thêm nhiều tài liệu và luận văn ,bài mẫu điểm cao tại teamluanvan.com
4. Đặt vấn đề
Mục tiêu đề ra:
Tác động tối thiểu tới người dùng hợp lệ
Thời gian để phát hiện và cảnh báo tới những người liên quan
khi khách hàng bắt đầu bị tấn công phải ở mức thấp nhất có
thể
Khả năng bảo vệ được cho nhiều loại hệ thống khác nhau của
khách hàng
Khả năng tự động tăng giảm khả năng đáp ứng của hệ thống
khi có sự thay đổi về nhu cầu tính toán
Giảm thiểu tối đa mức phát hiện sai
Khả năng nhận biết, phân loại các hình thức tấn công và tự
động xử lý tương ứng
Khả năng QoS giữa các khách hàng
5. Đặt vấn đề
Thách thức gặp phải
Vấn đề con người
Hạ tầng triển khai
Real-time
Phân tích dữ liệu lớn
Fales posvitives & False negative
Behavior analysis
6. Đặt vấn đề
Giải pháp khắc phục
Đầu tư nhân lực
Tận dụng hạ tầng sẵn có
Tích hợp công nghệ từ sản phẩm bảo mật nguồn mở
9. Kiến trúc hệ thống (cont…)
Mô hình triển khai tổng quan
10. Kiến trúc hệ thống (cont…)
Chi tiết luồng xử lý dữ liệu giữa các khối
11. Công nghệ - kỹ thuật
Anycast
Là công nghệ giúp thông tin truyền đi bất cứ
hướng nào, nghĩa là một gói tin được gửi
tới một địa chỉ đơn bất kỳ hướng nào, sẽ được
định tuyến tới một node gần nhất.
Tại sao lại là anycast?
Tăng độ linh động cho hệ thống mạng hiện tại, tận dụng được cơ
sở hạ tầng sẵn có.
Cân bằng tải cho hệ thống
Cơ chế phân tán, giúp nâng cao tính sẵn sàng, đảm bảo đối phó
được những cuộc tấn công quy mô lớn nhờ vào khả năng phân
phối các gói tin.
12. Công nghệ - kỹ thuật (cont…)
CIDS (Collaborative Intrusion Detection System)
Là hệ thống phát hiện xâm nhập hợp tác trên cơ sở tích hợp
nhiều kỹ thuật, công nghệ lại thành 1 khối, nhằm đa dạng và
nâng cao khả năng phát hiện nhanh các cuộc tấn công
CIDS nằm trong khối phát hiện, phát hiện nhanh tấn công
dựa trên:
○ Mẫu tấn công có sẵn
○ Sự bất thường trên hệ thống
○ Quan sát hành vi
○ Phân tích thủ công
Áp dụng CIDS giúp tận dụng được các ưu điểm của các hệ thống
phát hiện xâm nhập (snort, suricata, bro…)
13. Công nghệ - kỹ thuật (cont…)
Công cụ tích hợp cho CIDS
○ Suricata:
Là công cụ giám sát an ninh mang, phát hiện và ngăn chặn xâm nhập với
hiệu năng cao
Lý do sử dụng suricata.
- Khả năng mở rộng cao, việc xử lý đa luồng cho phép xử lý nhanh trong
việc phân tích lưu lượng mạng.
- Tận dụng được sức mạnh của dòng chip sets hiện nay
○ Bro
Là một nền tảng mạnh mẽ cho việc phân tích traffic mạng
Lý do sử dụng Bro
- Bro cho phép phân tích ngữ nghĩa cấp cao ở mức ứng dụng
- Bro ghi lại toàn diện những gì nó thấy và cung cấp một kho lưu trữ mức
cao các hoạt động của mạng
14. Công nghệ - kỹ thuật (cont…)
Apache Hadoop
Là công nghệ phân tán, song song, nhằm giúp tối ưu
khả năng lưu trữ, xử lý lượng dữ liệu lớn.
Lý do sử dụng hadoop
○ Dễ dàng tích hợp vào hệ thống
○ Khi tấn công xảy ra, lượng dữ liệu đổ về rất lớn, với việc
ứng dụng hadoop sẽ giúp cho việc phân tích một lượng
dữ liệu lớn một cách nhanh chóng.
15. Công nghệ - kỹ thuật (cont…)
PF_RING
Là một dạng socket mạng kiểu mới. PF_RING
giúp tối ưu khả năng chặn bắt, lọc và phân tích
gói tin
Lý do sử dụng PF_RING
○ Tận dụng tối đa hiệu năng của máy tính
○ Nâng cao khả năng xử lý gói tin
○ Giúp chặn bắt các gói tin nhanh hơn
16. Công nghệ - kỹ thuật (cont…)
Điện toán đám mây
Là một giải pháp mà tất các tài nguyên điện toán (phần
cứng, phần mềm, mạng, lưu trữ, v.v) được cung cấp nhanh
chóng cho người dùng đúng như họ yêu cầu.
Lý do sử dụng điện toán đám mây
○ Tính sẵn sàng cao
○ Khả năng mở rộng lớn
○ Chi phí triển khai không quá cao
○ Phục hồi nhanh khi có sự cố
Công cụ: Openstack
17. Đánh giá về hệ thống
Ưu điểm
Đảm bảo tính sẵn sàng của hệ thống mà nó bảo vệ
Phát hiện nhanh các cuộc tấn công
Có khả năng đánh chặn nhiều cuộc tấn công có quy mô lớn
Nhược điểm
Phải có sự liên kết với nhiều ISP khi xây dựng hệ thống
đánh chặn quy mô lớn.
Chú ý real-time
Chú ý liên quan đến hạ tầng:
Ngăn chặn nhanh dựa vào signature
Nếu chưa phát hiện thì cần thời gian phân tích để đưa ra giải pháp đánh chặn thì những lúc như thế, hạ tầng phải hứng được tấn công mà không ảnh hưởng đến người dùng hợp lệ
Anycast
Anycast là công nghệ
Reverse Proxy (nginx)
Big data (hadoop)
Cloud (Openstack)
Monitoring (Buttinsky, logstash , netflow)
Forensics (logstash, scapy + python script, bro, tcpdump, wireshark…)
CIDS (SuStorID, snort, suricata, bro)
IPS (OSsecure, suricata, mod_security, iptables…)