Аналитика безопасности для центров обработки данных сочинение пример
info@essay-pro.ru

ООО "Сочинения-Про"

+7 (812) 409–42–35

Ежедневно 8:00–20:00

Санкт-Петербург

Ленинский проспект, 140Ж

magbo system

Сочинение на тему Аналитика безопасности для центров обработки данных

Аннотация

Центр обработки данных и облачный бизнес очень быстро растут. Следовательно, это привлекает злоумышленников для нарушения безопасности. Атакующий пытается использовать различные типы атак, такие как атака грубой силы, чтобы взломать пароль, атака распределенного отказа в обслуживании (DDOS), чтобы сделать ресурсы недоступными для реального пользователя. Также злоумышленники пытаются взломать систему безопасности, чтобы получить конфиденциальные данные. Из-за популярности облачных технологий безопасность и конфиденциальность становятся самой большой проблемой для каждой организации. Следовательно, организации необходимо защищать свои ресурсы и данные от злоумышленников. Атаки могут быть предотвращены с помощью нескольких способов, таких как настройка брандмауэров для разрешения конкретного IP-адреса, использование модели машинного обучения для обнаружения моделей атак, мониторинга сетевого трафика и т. Д. Визуализация играет важную роль в мониторинге сетевого трафика и представляет большой объем данные. Создайте оповещение на основе условия и немедленно примените его.

I. Введение

Облачные провайдеры предлагают различные услуги, основанные на модели «плати по мере поступления». Следовательно, многие предприятия переносят свой бизнес в облако. Как результат, много данных генерируется ежедневно. Безопасность и конфиденциальность данных крайне важны для любой организации. Аналитика безопасности может помочь обнаружить различные атаки безопасности и, в конечном счете, помочь организации предотвратить катастрофы.

Ведение журнала может быть лучшим другом администратора безопасности. Это как административный партнер, который всегда на работе, никогда не жалуется, никогда не устает и всегда в курсе событий. При правильном указании этот партнер может указать время и место каждого события, произошедшего в системе. Каждая система собирает свои собственные журналы и отслеживает события, такие как данные для входа в систему, сведения об установке пакета rpm и т. Д. Все они могут объединяться друг с другом, чтобы дать полное и четкое представление обо всех событиях в системе. Эти данные также могут быть использованы для обнаружения аномальной активности как в режиме реального времени, так и повторно во время события, связанного с инцидентом. Мы можем использовать системные журналы и использовать модель глубокого обучения для обнаружения различных атак безопасности.

Различные службы безопасности могут быть правильно настроены для предотвращения атак. Служба безопасности, такая как fail2ban [1], может использоваться для предотвращения атаки методом перебора [8]. Он временно блокирует исходный IP-адрес после определенного количества неудачных попыток входа в систему. Служба безопасности, такая как wazuh [2], может помочь обнаружить целостность файла и генерировать предупреждения в режиме реального времени.

II. Системный дизайн

A. Общий обзор

Общая архитектура нашей системы показана на рисунке 1. Служба агрегации журналов RSYSLOG [6] собирает системные журналы и перенаправляет их на виртуальную машину администратора журналов (ВМ). Виртуальный журнал администратора использует Fluentd [7] для загрузки этих журналов в Amazon S3 [3]. Kafka [5] – это служба очередей, которая читает эти журналы с S3 и сохраняет их в очереди. Spark streaming [4] считывает данные очереди и начинает их обработку. Как только необходимые данные извлечены, могут быть выполнены различные анализы безопасности, такие как обнаружение аномалий. В конце все обработанные данные помещаются в стек Elasticsearch, Logstash, Kibana (ELK). Администратор безопасности использует инструментальные панели Kibana для мониторинга всех данных во всех центрах обработки данных.

В. Предлагаемые функции

     

  1. Отказоустойчивость: способность системы, которая позволяет ей продолжать работу, несмотря на сбой некоторых ее компонентов. В нашем случае, даже если один или несколько компонентов выходят из строя, система также может продолжить свое выполнение. На рисунке 1 вы можете видеть резервную копию Admin Log VM для обработки сценария отработки отказа.

    2.  

  2. Балансировщик нагрузки. Балансировщик нагрузки позволяет нам эффективно распределять сетевой трафик между несколькими хостами в центре обработки данных. У нас есть кластер Admin Log VM, и все хосты отправляют данные на балансировщик нагрузки, а затем балансировщик нагрузки распределяет эти данные на основе сетевого трафика каждой виртуальной машине.

    3.  

  3. Неоднородность хостов. Служба пересылки журналов развернута на разных хостах, таких как Linux, Windows и т. д., которые перенаправляют эти журналы в виртуальную машину администратора журналов.

    4.  

  4. Аналитика безопасности: модель машинного обучения развернута на сервере Spark Streaming, что позволяет обрабатывать данные журнала и выполнять аналитику безопасности, такую ​​как обнаружение аномалий.

    5.  

  5. Служба Fail2ban. Служба предотвращения вторжений для защиты узлов от атак методом перебора. Он временно блокирует исходный IP-адрес, когда он превышает определенные неудачные попытки входа в систему в течение указанного периода времени.

 

  • Визуализация: информационные панели Kibana используются для визуализации всех собранных данных журнала.

    • III. Процесс

    A. Соберите данные журналов и загрузите их в Amazon S3

    Ведение журнала гипервизора основано на архитектуре клиент-сервер. Все хосты (хосты администратора, хосты управления и хосты игровых мест) считаются клиентом, а виртуальная машина администратора журнала рассматривается как сервер. На рисунке 2 показан общий процесс ведения журнала гипервизора. Весь гипервизор использует RSYSLOG [6] для пересылки журналов в Admin Log VM. Все хосты настроены на отправку данных в виртуальный IP-адрес виртуальной машины администратора (VIP) через порт 514 по протоколу UDP. Администратор журнала VM прослушивает порт 514 для пакетов UDP. Как только пакеты получены, он сохраняет данные в локальных файлах. Fluend [7] отслеживает хвост этих локальных файлов и загружает данные в S3, как только они становятся доступными.

    В. Система обнаружения вторжений

    Fail2ban – это служба системы обнаружения вторжений, которая защищает хосты от атаки методом перебора [8]. Мы создали конвейер jenkin для развертывания fail2ban [1] на гипервизорах. Мы настроили fail2ban для блокировки исходного IP-адреса на 5 минут после 5 неудачных попыток входа в систему. Мы также настроили дополнительные правила в таблицах IP, чтобы исключить диапазон IP в инфраструктуре NVIDIA.

    С. Проверка целостности, обнаружение руткитов, система оповещения на основе времени

    У нас есть сервис под названием WAZUH, который позволяет нам выполнять анализ журналов, проверку целостности файлов, обнаружение руткитов, оповещения на основе времени [2]. Мы установили и настроили службу агента wazuh на гипервизорах и сетевых устройствах для отправки данных в wazuh-manager, установленный на Admin Log VM. Менеджер Wazuh отправляет глобальную конфигурацию всем своим агентам для выполнения определенных задач, таких как проверка целостности, обнаружение руткитов на основе типов ОС / устройств. Как только wazuh-manager получает данные от своего агента, он запускает другие правила для этих данных. Если какое-либо правило успешно выполняется, оно генерирует предупреждение в режиме реального времени и отправляет уведомление по электронной почте администратору безопасности.

    Глубокое обучение – это раздел машинного обучения, который фокусируется на изучении сложных отношений в данных с помощью высокоуровневых абстракций. Он состоит из набора алгоритмов и моделей, которые вращаются вокруг графоподобной структуры между входом и выходом цели. График также содержит коллекцию узлов, которые фиксируют скрытые объекты и информацию высокого уровня, содержащуюся в данных, для моделирования отношений между входами и выходами. Обучение таким моделям требует специального оборудования (например, графических процессоров) и специальных методов оптимизации. Большой кусок глубокого изучения исследований посвящен этим двум проблемам. Исследования в области глубокого обучения также направлены на разработку новых графовых структур, операций и типов моделей. Существует в целом два типа моделей глубокого обучения.

    Первый тип предназначен для изучения серии преобразований, которые преобразуют входные данные в целевой выходной. Для ввода x и y он пытается узнать каскадную функцию f (x), которая приближается к y. Этот тип моделей глубокого обучения называется глубокими нейронными сетями. Глубокие нейронные сети (DNN) – это искусственные нейронные сети со многими скрытыми слоями (некоторые люди даже считают более 1 скрытого слоя глубоким). Некоторые примеры DNN включают многослойный персептрон, автоэнкодер, рекуррентную нейронную сеть и т. Д.

    Второй тип фокусируется на изучении распределения вероятностей между переменными (которые могут или не могут быть разделены на входные и выходные данные) и скрытыми / скрытыми переменными. Некоторыми примерами являются сети Deep Belief, вероятностные автоэнкодеры и Deep Boltzmann Machines. Это могут быть как направленные, так и ненаправленные вероятностные графические модели.

    E. Кибана Визуализация

    Панели Kibana используются для визуализации данных. Стек ELK позволяет нам загружать данные в упругий поиск. Мы можем определить шаблон индекса, который позволяет обнаруживать данные. Как только мы обнаружим необходимые данные, мы можем легко их визуализировать. У нас есть информационные панели для мониторинга сетевого трафика, проверки сбоев входа в систему, объема ежедневного журнала, уязвимости и DDOS-атак. На рисунке 3 показано количество событий входа в систему для центров обработки данных, а график в левом углу показывает, что количество хостов заблокировано после неудачных попыток входа в систему красным цветом.

    IV. Вывод

    Безопасность и конфиденциальность данных – большая проблема. Ведение журнала может быть лучшим другом администратора безопасности. При правильном указании этот партнер может указать время и место каждого события, произошедшего в сети или системе. Аналитика безопасности может использоваться для обнаружения определенных атак безопасности. Службы безопасности, такие как fail2ban, wazuh, могут помочь предотвратить атаки. Даже после предотвращения майоров, если атака успешна, тогда можно использовать оповещение для немедленных действий. Визуализация помогает администратору безопасности отслеживать данные в режиме реального времени.

    Зарегистрируйся, чтобы продолжить изучение работы

      Поделиться сочинением
      Ещё сочинения
      Эффект плацебо пациента: понимание биохимического процесса
      30.10.2020 Комментариев нет

      Несмотря на то, что в клинических условиях много раз наблюдали преимущества эффекта плацебо у пациентов, внимательно изучая пациентов, проходящих лечение от болезни Паркинсона, лечения боли

      Читать полностью »
      Плюсы и минусы кесарева сечения доставки
      30.10.2020 Комментариев нет

      Доставка кесарева сечения также называется доставкой кесарева сечения. Этот способ включает развертывание операции по доставке детей, то есть одного или нескольких. Роды кесарева сечения часто

      Читать полностью »
      Как создать хорошее юридическое уведомление для вашего сайта
      30.10.2020 Комментариев нет

      Некоторые из самых частых вопросов, которые мы получаем, – это вопросы, которые касаются вопросов, связанных с законностью и налогообложением, которые связаны с созданием блога или

      Читать полностью »
      Нет времени делать работу? Закажите!

      Отправляя форму, вы соглашаетесь с политикой конфиденциальности и обработкой ваших персональных данных.