A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Felipe Sampaio Martins

Apresentações semelhantes


Apresentação em tema: "Felipe Sampaio Martins"— Transcrição da apresentação:

1 Felipe Sampaio Martins
Universidade Federal do Ceará – UFC Programa de Pós-Graduação em Engenharia de Teleinformática Um Modelo de Diagnóstico Distribuído e Hierárquico para Tolerância a Ataques de Manipulação de Resultados em Grades Computacionais Felipe Sampaio Martins Orientador: Co-orientadores: Prof. José Neuman de Souza Profa. Rossana M. de C. Andrade Prof. Aldri Luiz dos Santos

2 Grades Computacionais
Agregação, seleção e compartilhamento de recursos computacionais distribuídos entre os vários domínios de redes Heterogeneidade Dispersão geográfica Acesso transparente aos recursos Soluções de segurança existentes Controle de acesso aos recursos Confidencialidade e integridade na comunicação Ausência de mecanismos de verificação de integridade de processamento Comprometimento das aplicações Recomputação e alto custo em termos de desempenho

3 Motivação Resultados dos jobs não devem sofrer alteração
Necessidade de requisito de integridade de processamento Certificar-se de que as máquinas não são maliciosas Mecanismo de detecção de manipulação maliciosa dos resultados para impedir ataques ou subversão dos recursos Logo, para garantir a integridade das aplicações em uma grade, os jobs não devem ser indevidamente manipulados. Há, portanto, uma necessidade de atender esse requisito, certificando-se que os nós da grade não estão interessados em corromper os jobs por eles processados. Para isso, é preciso fornecer um mecanismo que detecte esse tipo de comportamento, impedindo a subversão dos recursos da grade

4 Nós com Mau Comportamento
Inativos Não cooperam com a grade, recusam-se a processar, omitem informações Egoístas Apenas consomem recursos Maliciosos Subvertem os recursos, difundem vírus, manipulam os resultados dos processos Tolos, comuns e inteligentes

5 Objetivo e Contribuição
Evitar a corrupção nas Grades Verificar a integridade de processamento Excluir hosts (nós) de má conduta Contribuição Um modelo de diagnóstico para tolerância a falhas de processamento em grades Uma camada de segurança sobre o GridSim Resumidamente, o objetivo do meu trabalho é evitar a corrupção nas grades. Para tanto, é proposto um modelo de diagnóstico que verifica a integridade dos processos e elimina os nós de má conduta.

6 Diagnóstico em Nível de Sistema
Estratégia de tolerância a falhas Quais unidades falhas Uma ou mais unidades responsáveis pelos testes Diagnóstico em grades Natureza heterogênea e dinâmica das grades Grades abertas e fechadas Testadores também podem ser maliciosos O modelo proposto aplica técnicas comuns à área de tolerância a falhas dentro do domínio da segurança. Para isso, se utiliza de uma abordagem baseada em diagnóstico. A estratégia de diagnóstico aplica uma série de testes, onde, no final, através dos resultados (síndrome) é possível conhecer quais as unidades que estão falhas e quais estão em pleno funcionamento. Normalmente, esses testes são aplicados por várias ou todas as unidades do sistema, chamadas nós testadores. No entanto, em um sistema amplamente distribuído e dinâmico como o de grades, é preciso considerar que os nós testadores também ser maliciosos, manipulando, inclusive, os resultados dos testes por eles aplicados, ou seja, “mentindo” sobre o estado de um determinado nó testado.

7 Modelo de Diagnóstico Proposto
Abordagem Distribuída Diagnóstico é realizado por todos os nós que possuem o nível mínimo de confiabilidade requerido Abordagem Hierárquica Papéis dos nós são atribuídos de acordo com a sua reputação adquirida através do comportamento no ambiente Para tratar diagnóstico é grades, o modelo proposto segue uma abordagem distribuída e hierárquica.

8 Componentes Nós executores Nós testadores Nós ultra-confiáveis (UC)
Unidades fornecedoras de recursos Nós testadores Unidades que aplicam testes junto aos nós executores Nó testador é também um executor, mas a recíproca não é verdadeira Nós ultra-confiáveis (UC) Cada UC é responsável por um único conjunto de nós (cluster) Aplicar testes, validar os resultados dos nós testadores e elevar o status dos nós de seu cluster

9 Exemplo Nó UC (gatekeeper) Cluster Nó UC (gatekeeper) Cluster
Cluster A Nó UC (gatekeeper) Testador B Cluster B Testador A Nó UC Testador B

10 Procedimento de Diagnóstico
Nós testadores enviam dois test jobs diferentes para o mesmo nó executor O nó executor devolve os respectivos resultados para testadores avaliarem sua validade Nós testadores enviam suas percepções sobre o nó executor para o nó UC daquele cluster avaliar o seu comportamento Processo se repete até que todos os nós do cluster tenham sido testados A B C D Nó Testador Nó UC Nó Executor Percepção de A sobre C Percepção de B Resultado do Test job x do Test job y Test job x Test job y

11 Avaliação do Modelo Estudo dos Simuladores
GridSim v 3.3 Modificações introduzidas na ferramenta Dois cenários  sem reputação e com reputação 200 nós executores Nós maliciosos detectados  blacklist Entrada de novos nós após cada rodada Percentagem de nós maliciosos na grade Freqüência das rodadas de testes Em cada experimento, 100 simulações Pq o GridSim? 11

12 Jobs processados corretamente
Métricas Quantidade de rodadas de testes necessárias Nível de detecção Número de nós maliciosos detectados Acurácia Jobs processados corretamente Total de jobs Custo Número de test-jobs 12

13 Detecção de Nós Maliciosos
Quanto maior a quantidade de rodadas, maior o número de maliciosos detectados O número de maliciosos detectados tende a ser o mesmo Não basta conhecer somente a totalidade nós detectados Pior caso 13

14 Nós Maliciosos Remanescentes
Sempre restam nós maliciosos com 3 rodadas Testes menos freqüentes Limpeza é adiada 5 rodadas a cada 6h ou 8 rodadas a cada 12h 8 rodadas: 4° dia 10% da quantidade inicial 8 rodadas: 2º dia 14

15 Custo 8 rodadas apresenta melhor trade-off: 4,7%
Overhead menor do que no primeiro cenário (15%) Diagnóstico baseado em reputação capaz de sanar um ambiente infectado com mais da metade dos nós agindo maliciosamente a um baixo custo 17% 12,3% 15

16 Acurácia Acurácia sofre com mais maliciosos e menor freqüência de testes Melhor que o primeiro cenário 83,2% sem blacklist 89,2% com blacklist 94% (pior caso) 99,7% 86,7% 16

17 Sumário da Avaliação 8 rodadas de teste 1° cenário
Grau de detecção: 90% Acurácia: 98% Custo: 15% 2° cenário Grau de detecção: 100% Acurácia : 99,7% Custo: 12,3% Modelo mostra-se eficiente, robusto e escalável 17

18 Conclusões Diagnóstico mostra-se como uma solução eficaz
Natureza heterogênea e dinâmica das grades Grades abertas e fechadas Modelo de diagnóstico proposto Abordagem hierárquica, distribuída e baseada em reputação Contempla requisitos de segurança para grades Não requer infra-estrutura adicional, como chaves criptográficas Redução de desperdício de recursos em relação a mecanismos tradicionais, como votação por maioria Incorporado à plataformas de grades existentes

19 Trabalhos Futuros Avaliação mais extensiva de métricas e cenários
Interface para monitoria do ambiente Detecção de nós maliciosos inteligentes Implementação de uma ferramenta baseada no modelo para ser incorporado ao OurGrid OurGrid já conta com um esquema de reputação 19

20 Publicações Desafios para Provisão de Integridade de Processamento em Grades Computacionais WCGA IV Workshop de Computação em Grids e Aplicações (SBRC 2006), Curitiba, Maio de 2006 Detecting Malicious Manipulation in Grid Environments SBAC-PAD'06 - The 18th International Symposium on Computer Architecture and High Performance Computing, Ouro Preto, Outubro de 2006 A Grid Computing Diagnosis Model for Tolerating Manipulation Attacks SOAS’ International Conference on Self-Organization and Autonomous Systems in Computing and Communications, Erfurt, Alemanha, Setembro de 2006 Journal: International Transactions on Systems Science and Applications 20

21 Felipe Sampaio Martins
Obrigado Perguntas? Felipe Sampaio Martins

22 Trabalhos Relacionados
Anti-Doping Testes executados por cada nó Resultados dos testes em XML Abordagem centralizada Específica para o OurGrid Não foi validada Esquema baseado em Credibilidade Cálculos probabilísticos e combinação de técnicas de tolerância a falhas Majority voting  Replicação  Desperdício de recursos Spot-checking  Testes  Custo sobre nó gerente 22 22

23 Soluções de Segurança em Grades
GSI (Globus Security Infrastructure) Não-Repúdio Assinatura Digital Autenticação e autorização Certificados X.509 CA (Certificate Authority) Confidencialidade e integridade Túnel SSL Troca de chaves Globus OurGrid Autenticação e Comunicação Segura Certificados X.509 SSL Troca de chaves Proteção dos recursos Usuários e códigos desconhecidos Swan Sandboxing 23 23

24 Avaliação do Modelo Simuladores de Grades
OptorSim, GridNet, MicroGrid, SimGrid e GridSim

25 Procedimento de Diagnóstico
Se o nó D Ultra-Confiável verificar que ambas as respostas dos testes aplicados por A e B estão corretas Nó C executor considerado sem-falha Se ambas as respostas diferem do esperado Nó C considerado falho (possivelmente malicioso) Se apenas uma das respostas coletadas estiver incorreta Ou o nó C tornou-se eventualmente falho Ou um dos nós testadores invalidou o resultado de C (e, portanto, um deles é malicioso) O nó D Ultra-Confiável analisa o histórico de comportamento dos testadores à procura de um padrão O nó A tem reprovado os resultados dos últimos testes por ele aplicados O nó A tem reprovado somente os resultados dos testes em C Se testadores não apresentarem um padrão suspeito de comportamento Nó C é considerado como falho e poderá ser excluído da grade

26 Algoritmo de Aplicação de Test Jobs
26

27 Algoritmo de Diagnóstico
27

28 Parâmetros Utilizados
Ambiente heterogêneo com 200 nós Quotas de nós maliciosos 1/6, 1/3 e 2/3 dos nós comprometidos Nem todos os jobs são corrompidos pelos nós maliciosos Probabilidade de 25% retornar um resultado inválido Nós que superam 3% de erros  blacklist 3, 5, 8, 10, 15 e 20 rodadas de testes 28

29 Detecção de Nós Maliciosos
Verificação focalizada com blacklist é ineficiente com apenas 3 rodadas Resultados melhores a partir de 8 rodadas A percentagem no pior caso aumenta à medida que a grade possui mais nós comprometidos Quanto maior o número de rodadas e o número de nós maliciosos  mais estável é o sistema 29

30 Cenário Sem Reputação jobs distribuídos entre os 200 nós executores Apenas um único UC Temporalidade negligenciada 30

31 Cenário Sem Reputação jobs distribuídos entre os 200 nós executores Apenas um único UC Temporalidade negligenciada 31

32 X X Cenário Sem Reputação
jobs distribuídos entre os 200 nós executores Apenas um único UC Temporalidade negligenciada X X 32

33 Impacto do Uso da Blacklist
Sem blacklist Número de resultados manipulados permanece igual Dobra o número de nós maliciosos, dobra o número de resultados manipulados Com blacklist Maior acurácia com mais rodadas Queda de eficiência com maior número de nós maliciosos Apenas a blacklist não é suficiente 97,9% 95,3% 89,2% 33

34 Detecção de Nós Maliciosos
Curva de detecção tende a crescer com o número de rodadas Praticamente todos os nós maliciosos são encontrados com 15 rodadas Acima de 15 rodadas o benefício é irrisório 34

35 Mais 25% dos jobs são apenas para testes
Custo 8 rodadas Trade-off aceitável 30 dos 33 maliciosos foram detectados Reputação pode reduzir ainda mais o custo Mais 25% dos jobs são apenas para testes Overhead: 15% Detecção: 90% 35

36 Cenário Com Reputação Temporalidade Entrada de novos nós
7 dias de operação da grade Rodadas a cada 6h, 12h e 24h Entrada de novos nós 50% de chances de serem maliciosos Máximo de 10 clusters com 6 nós testadores cada 36

37 Detecção de Nós Maliciosos ao Dia
Curva de nós maliciosos detectados tende a zero Maioria é isolada logo no 1º dia Testes menos freqüentes Mais tempo para deixar de detectar 37

38 Modelos de Diagnóstico
Estratégia de tolerância a falhas Seqüência de testes Quais unidades estão falhas e quais estão em pleno funcionamento Síndrome Modelo centralizado Uma unidade central testa os enlaces e estados das demais unidades do sistema Fácil implementação Limitação de disponibilidade - Ponto único de falha Modelo distribuído Várias ou todas as unidades do sistema aplicam testes Modelos Clássicos PMC, ADSD, Hi-ADSD e modelos baseados em comparações

39 Modelo Hi-ADSD Hierarchical ADSD Nós agrupados em clusters
Um nó executa testes até encontrar outro nó sem-falha ou testar todos os nós falhos Ao encontrar um nó sem falha Testador obtém diagnóstico sobre todo o cluster ao qual o nó testado pertence Definir clusters E G H F A B C D 39 39

40 Modelo MM Maeng e Malek Os próprios nós fazem as comparações
Nó Central realiza o diagnóstico A B Nó Central C Possibilidade de se ter diversos nós comparadores Nó comparador deve ser confiável (sem-falhas) Resultado da Comparação Resultado da Tarefa 40

41 Modelo de Comparações Generalizado
Testes realizados através de comparações Os próprios nós fazem as comparações Nó Central realiza o diagnóstico Comparação realizada por um dos nós que executa a tarefa A B Nó Central Resultado da Comparação Resultado da Tarefa 41

42 Modelo Broadcast Broadcast Confiável
Diagnóstico Distribuído - Não possui Nó Central Os próprios nós realizam comparações e diagnóstico Um dos nós testados faz a comparação A B C E D Resultado da Comparação Resultado da Tarefa 42


Carregar ppt "Felipe Sampaio Martins"

Apresentações semelhantes


Anúncios Google