A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Universidade Federal do Ceará – UFC Programa de Pós-Graduação em Engenharia de Teleinformática Um Modelo de Diagnóstico Distribuído e Hierárquico para.

Apresentações semelhantes


Apresentação em tema: "Universidade Federal do Ceará – UFC Programa de Pós-Graduação em Engenharia de Teleinformática Um Modelo de Diagnóstico Distribuído e Hierárquico para."— Transcrição da apresentação:

1 Universidade Federal do Ceará – UFC Programa de Pós-Graduação em Engenharia de Teleinformática Um Modelo de Diagnóstico Distribuído e Hierárquico para Tolerância a Ataques de Manipulação de Resultados em Grades Computacionais Felipe Sampaio Martins Orientador: Co-orientadores: Prof. José Neuman de Souza Profa. Rossana M. de C. Andrade Prof. Aldri Luiz dos Santos

2 2 Grades Computacionais Agregação, seleção e compartilhamento de recursos computacionais distribuídos entre os vários domínios de redes Heterogeneidade Dispersão geográfica Acesso transparente aos recursos Soluções de segurança existentes Controle de acesso aos recursos Confidencialidade e integridade na comunicação Ausência de mecanismos de verificação de integridade de processamento Comprometimento das aplicações Recomputação e alto custo em termos de desempenho

3 3 Resultados dos jobs não devem sofrer alteração Necessidade de requisito de integridade de processamento Certificar-se de que as máquinas não são maliciosas Mecanismo de detecção de manipulação maliciosa dos resultados para impedir ataques ou subversão dos recursos Motivação

4 4 Nós com Mau Comportamento Inativos Não cooperam com a grade, recusam-se a processar, omitem informações Egoístas Apenas consomem recursos Maliciosos Subvertem os recursos, difundem vírus, manipulam os resultados dos processos Tolos, comuns e inteligentes

5 5 Objetivo e Contribuição Evitar a corrupção nas Grades Verificar a integridade de processamento Excluir hosts (nós) de má conduta Contribuição Um modelo de diagnóstico para tolerância a falhas de processamento em grades Uma camada de segurança sobre o GridSim

6 6 Diagnóstico em Nível de Sistema Estratégia de tolerância a falhas Quais unidades falhas Uma ou mais unidades responsáveis pelos testes Diagnóstico em grades Natureza heterogênea e dinâmica das grades Grades abertas e fechadas Testadores também podem ser maliciosos

7 7 Modelo de Diagnóstico Proposto Abordagem Distribuída Diagnóstico é realizado por todos os nós que possuem o nível mínimo de confiabilidade requerido Abordagem Hierárquica Papéis dos nós são atribuídos de acordo com a sua reputação adquirida através do comportamento no ambiente

8 8 Nós executores Unidades fornecedoras de recursos Nós testadores Unidades que aplicam testes junto aos nós executores Nó testador é também um executor, mas a recíproca não é verdadeira Nós ultra-confiáveis (UC) Cada UC é responsável por um único conjunto de nós (cluster) Aplicar testes, validar os resultados dos nós testadores e elevar o status dos nós de seu cluster Componentes

9 9 Exemplo Nó UC (gatekeeper) Cluster Nó UC (gatekeeper) Cluster Testador B Testador A Nó UC (gatekeeper) Testador B Nó UC Cluster B Cluster A

10 10 Procedimento de Diagnóstico Nós testadores enviam dois test jobs diferentes para o mesmo nó executor O nó executor devolve os respectivos resultados para testadores avaliarem sua validade Nós testadores enviam suas percepções sobre o nó executor para o nó UC daquele cluster avaliar o seu comportamento Processo se repete até que todos os nós do cluster tenham sido testados Nó Testador Nó UC Nó Executor Test job x Test job y Resultado do Test job x Resultado do Test job y Percepção de A sobre C Percepção de B sobre C

11 11 Avaliação do Modelo Estudo dos Simuladores GridSim v 3.3 Modificações introduzidas na ferramenta Dois cenários sem reputação e com reputação 200 nós executores Nós maliciosos detectados blacklist Entrada de novos nós após cada rodada Percentagem de nós maliciosos na grade Freqüência das rodadas de testes Em cada experimento, 100 simulações

12 12 Métricas Quantidade de rodadas de testes necessárias Nível de detecção Número de nós maliciosos detectados Acurácia Jobs processados corretamente Total de jobs Custo Número de test-jobs Total de jobs

13 13 Detecção de Nós Maliciosos Pior caso Quanto maior a quantidade de rodadas, maior o número de maliciosos detectados O número de maliciosos detectados tende a ser o mesmo Não basta conhecer somente a totalidade nós detectados

14 14 Nós Maliciosos Remanescentes Sempre restam nós maliciosos com 3 rodadas Testes menos freqüentes Limpeza é adiada 5 rodadas a cada 6h ou 8 rodadas a cada 12h 8 rodadas: 2º dia 10% da quantidade inicial 8 rodadas: 4° dia

15 15 Custo 12,3% 17% 8 rodadas apresenta melhor trade-off: 4,7% Overhead menor do que no primeiro cenário (15%) Diagnóstico baseado em reputação capaz de sanar um ambiente infectado com mais da metade dos nós agindo maliciosamente a um baixo custo

16 16 Acurácia Acurácia sofre com mais maliciosos e menor freqüência de testes Melhor que o primeiro cenário 83,2% sem blacklist 89,2% com blacklist 99,7% 86,7% 94% (pior caso)

17 17 Sumário da Avaliação 8 rodadas de teste 1° cenário Grau de detecção: 90% Acurácia: 98% Custo: 15% 2° cenário Grau de detecção: 100% Acurácia : 99,7% Custo: 12,3% Modelo mostra-se eficiente, robusto e escalável

18 18 Conclusões Diagnóstico mostra-se como uma solução eficaz Natureza heterogênea e dinâmica das grades Grades abertas e fechadas Modelo de diagnóstico proposto Abordagem hierárquica, distribuída e baseada em reputação Contempla requisitos de segurança para grades Não requer infra-estrutura adicional, como chaves criptográficas Redução de desperdício de recursos em relação a mecanismos tradicionais, como votação por maioria Incorporado à plataformas de grades existentes

19 19 Trabalhos Futuros Avaliação mais extensiva de métricas e cenários Interface para monitoria do ambiente Detecção de nós maliciosos inteligentes Implementação de uma ferramenta baseada no modelo para ser incorporado ao OurGrid

20 20 Publicações Desafios para Provisão de Integridade de Processamento em Grades Computacionais WCGA IV Workshop de Computação em Grids e Aplicações (SBRC 2006), Curitiba, Maio de 2006 Detecting Malicious Manipulation in Grid Environments SBAC-PAD'06 - The 18th International Symposium on Computer Architecture and High Performance Computing, Ouro Preto, Outubro de 2006 A Grid Computing Diagnosis Model for Tolerating Manipulation Attacks SOAS International Conference on Self-Organization and Autonomous Systems in Computing and Communications, Erfurt, Alemanha, Setembro de 2006 Journal: International Transactions on Systems Science and Applications

21 21 Obrigado Perguntas? Felipe Sampaio Martins

22 22 Trabalhos Relacionados Anti-Doping Testes executados por cada nó Resultados dos testes em XML Abordagem centralizada Específica para o OurGrid Não foi validada Esquema baseado em Credibilidade Cálculos probabilísticos e combinação de técnicas de tolerância a falhas Majority voting Replicação Desperdício de recursos Spot-checking Testes Custo sobre nó gerente

23 23 Soluções de Segurança em Grades Globus OurGrid GSI (Globus Security Infrastructure) Não-Repúdio Assinatura Digital Autenticação e autorização Certificados X.509 CA (Certificate Authority) Confidencialidade e integridade Túnel SSL Troca de chaves Autenticação e Comunicação Segura Certificados X.509 SSL Troca de chaves Proteção dos recursos Usuários e códigos desconhecidos Swan Sandboxing

24 24 Avaliação do Modelo Simuladores de Grades OptorSim, GridNet, MicroGrid, SimGrid e GridSim

25 25 Procedimento de Diagnóstico Se o nó D Ultra-Confiável verificar que ambas as respostas dos testes aplicados por A e B estão corretas Nó C executor considerado sem-falha Se ambas as respostas diferem do esperado Nó C considerado falho (possivelmente malicioso) Se apenas uma das respostas coletadas estiver incorreta Ou o nó C tornou-se eventualmente falho Ou um dos nós testadores invalidou o resultado de C (e, portanto, um deles é malicioso) O nó D Ultra-Confiável analisa o histórico de comportamento dos testadores à procura de um padrão O nó A tem reprovado os resultados dos últimos testes por ele aplicados O nó A tem reprovado somente os resultados dos testes em C Se testadores não apresentarem um padrão suspeito de comportamento Nó C é considerado como falho e poderá ser excluído da grade

26 26 Algoritmo de Aplicação de Test Jobs

27 27 Algoritmo de Diagnóstico

28 28 Parâmetros Utilizados Ambiente heterogêneo com 200 nós Quotas de nós maliciosos 1/6, 1/3 e 2/3 dos nós comprometidos Nem todos os jobs são corrompidos pelos nós maliciosos Probabilidade de 25% retornar um resultado inválido Nós que superam 3% de erros blacklist 3, 5, 8, 10, 15 e 20 rodadas de testes

29 29 Detecção de Nós Maliciosos Verificação focalizada com blacklist é ineficiente com apenas 3 rodadas Resultados melhores a partir de 8 rodadas A percentagem no pior caso aumenta à medida que a grade possui mais nós comprometidos Quanto maior o número de rodadas e o número de nós maliciosos mais estável é o sistema

30 30 Cenário Sem Reputação jobs distribuídos entre os 200 nós executores Apenas um único UC Temporalidade negligenciada

31 31 Cenário Sem Reputação jobs distribuídos entre os 200 nós executores Apenas um único UC Temporalidade negligenciada

32 32 Cenário Sem Reputação jobs distribuídos entre os 200 nós executores Apenas um único UC Temporalidade negligenciada X X

33 33 Impacto do Uso da Blacklist Sem blacklist Número de resultados manipulados permanece igual Dobra o número de nós maliciosos, dobra o número de resultados manipulados 97,9% Com blacklist Maior acurácia com mais rodadas Queda de eficiência com maior número de nós maliciosos Apenas a blacklist não é suficiente 95,3%89,2%

34 34 Curva de detecção tende a crescer com o número de rodadas Praticamente todos os nós maliciosos são encontrados com 15 rodadas Acima de 15 rodadas o benefício é irrisório Detecção de Nós Maliciosos

35 35 Custo 8 rodadas Trade-off aceitável 30 dos 33 maliciosos foram detectados Reputação pode reduzir ainda mais o custo Mais 25% dos jobs são apenas para testes Overhead: 15% Detecção: 90%

36 36 Cenário Com Reputação Temporalidade 7 dias de operação da grade Rodadas a cada 6h, 12h e 24h Entrada de novos nós 50% de chances de serem maliciosos Máximo de 10 clusters com 6 nós testadores cada

37 37 Detecção de Nós Maliciosos ao Dia Curva de nós maliciosos detectados tende a zero Maioria é isolada logo no 1º dia Testes menos freqüentes Mais tempo para deixar de detectar

38 38 Modelos de Diagnóstico Estratégia de tolerância a falhas Seqüência de testes Quais unidades estão falhas e quais estão em pleno funcionamento Síndrome Modelo centralizado Uma unidade central testa os enlaces e estados das demais unidades do sistema Fácil implementação Limitação de disponibilidade - Ponto único de falha Modelo distribuído Várias ou todas as unidades do sistema aplicam testes Modelos Clássicos PMC, ADSD, Hi-ADSD e modelos baseados em comparações

39 39 Modelo Hi-ADSD Hierarchical ADSD Nós agrupados em clusters Um nó executa testes até encontrar outro nó sem-falha ou testar todos os nós falhos Ao encontrar um nó sem falha Testador obtém diagnóstico sobre todo o cluster ao qual o nó testado pertence

40 40 Modelo MM Maeng e Malek Os próprios nós fazem as comparações Nó Central realiza o diagnóstico Resultado da Tarefa Resultado da Comparação Possibilidade de se ter diversos nós comparadores Nó comparador deve ser confiável (sem-falhas)

41 41 Modelo de Comparações Generalizado Testes realizados através de comparações Os próprios nós fazem as comparações Nó Central realiza o diagnóstico Comparação realizada por um dos nós que executa a tarefa Resultado da Tarefa Resultado da Comparação

42 42 Modelo Broadcast Broadcast Confiável Diagnóstico Distribuído - Não possui Nó Central Os próprios nós realizam comparações e diagnóstico Um dos nós testados faz a comparação Resultado da Tarefa Resultado da Comparação


Carregar ppt "Universidade Federal do Ceará – UFC Programa de Pós-Graduação em Engenharia de Teleinformática Um Modelo de Diagnóstico Distribuído e Hierárquico para."

Apresentações semelhantes


Anúncios Google