Post on 04-Jan-2016
description
Universidade Federal do Ceará – UFCPrograma de Pós-Graduação em Engenharia de Teleinformática
Um Modelo de Diagnóstico Distribuído e Hierárquico para Tolerância a Ataques de Manipulação de
Resultados em Grades Computacionais
Felipe Sampaio Martins
Orientador:Co-orientadores:
Prof. José Neuman de Souza Profa. Rossana M. de C. Andrade Prof. Aldri Luiz dos Santos
2
Grades Computacionais
Agregação, seleção e compartilhamento de recursos computacionais distribuídos entre os vários domínios de redes Heterogeneidade Dispersão geográfica Acesso transparente aos recursos
Soluções de segurança existentes Controle de acesso aos recursos Confidencialidade e integridade na comunicação
Ausência de mecanismos de verificação de integridade de processamento Comprometimento das aplicações Recomputação e alto custo em termos de desempenho
3
Resultados dos jobs não devem sofrer alteração
Necessidade de requisito de integridade de processamento Certificar-se de que as máquinas não são maliciosas
Mecanismo de detecção de manipulação maliciosa dos resultados para impedir ataques ou subversão dos recursos
Motivação
4
Nós com Mau Comportamento
Inativos Não cooperam com a grade, recusam-se a processar,
omitem informações
Egoístas Apenas consomem recursos
Maliciosos Subvertem os recursos, difundem vírus, manipulam os
resultados dos processos Tolos, comuns e inteligentes
5
Objetivo e Contribuição
Evitar a corrupção nas Grades Verificar a integridade de processamento Excluir hosts (nós) de má conduta
Contribuição Um modelo de diagnóstico
para tolerância a falhas de
processamento em grades Uma camada de segurança
sobre o GridSim
6
Diagnóstico em Nível de Sistema
Estratégia de tolerância a falhasQuais unidades falhasUma ou mais unidades responsáveis pelos testes
Diagnóstico em gradesNatureza heterogênea e dinâmica das gradesGrades abertas e fechadasTestadores também podem ser maliciosos
7
Modelo de Diagnóstico Proposto
Abordagem Distribuída Diagnóstico é realizado por todos os nós que
possuem o nível mínimo de confiabilidade requerido
Abordagem Hierárquica Papéis dos nós são atribuídos de acordo com a
sua reputação adquirida através do comportamento no ambiente
8
Nós executoresUnidades fornecedoras de recursos
Nós testadores Unidades que aplicam testes junto aos nós executoresNó testador é também um executor, mas a recíproca não é
verdadeira
Nós ultra-confiáveis (UC)Cada UC é responsável por um único conjunto de nós
(cluster)Aplicar testes, validar os resultados dos nós testadores e
elevar o status dos nós de seu cluster
Componentes
9
Exemplo
Nó UC(gatekeeper)
Cluster
Nó UC(gatekeeper)
Cluster
Testador B
Testador A
Nó UC(gatekeeper)
Testador B
Nó UC
Cluster B
Cluster A
10
Procedimento de Diagnóstico
Nós testadores enviam dois test jobs diferentes para o mesmo nó executor
O nó executor devolve os respectivos resultados para testadores avaliarem sua validade
Nós testadores enviam suas percepções sobre o nó executor para o nó UC daquele cluster avaliar o seu comportamento
Processo se repete até que todos os nós do cluster tenham sido testados
Nó Testador
Nó Testador
Nó UC
Nó Executor
Test job x
Test job y
Resultadodo Test job x
Resultadodo Test job y
Percepção de Asobre C
Percepção de Bsobre C
1111
Avaliação do Modelo
Estudo dos Simuladores GridSim v 3.3 Modificações introduzidas na ferramenta
Dois cenários sem reputação e com reputação 200 nós executores Nós maliciosos detectados blacklist Entrada de novos nós após cada rodada Percentagem de nós maliciosos na grade Freqüência das rodadas de testes Em cada experimento, 100 simulações
1212
Métricas
Quantidade de rodadas de testes necessárias
Nível de detecçãoNúmero de nós maliciosos detectados
AcuráciaJobs processados corretamente
Total de jobs
Custo Número de test-jobs
Total de jobs
1313
Detecção de Nós Maliciosos
Pior caso
Quanto maior a quantidade de rodadas, maior o número de maliciosos detectados
O número de maliciosos detectados tende a
ser o mesmo
Não basta conhecersomente a totalidadenós detectados
1414
Nós Maliciosos Remanescentes
Sempre restam nós maliciosos
com 3 rodadas Testes menos freqüentes
Limpeza é adiada 5 rodadas a cada 6h ou
8 rodadas a cada 12h
8 rodadas: 2º dia
10% da quantidade inicial
8 rodadas: 4° dia
1515
Custo
12,3%
17%
8 rodadas apresenta melhor trade-off: 4,7% Overhead menor do que no primeiro cenário (15%)
Diagnóstico baseado emreputação capaz de sanar um ambienteinfectado com mais dametade dos nós agindo maliciosamentea um baixo custo
1616
Acurácia
Acurácia sofre com mais maliciosos e menor freqüência de testes
Melhor que o primeiro cenário 83,2% sem blacklist 89,2% com blacklist
99,7%
86,7%
94%(pior caso)
1717
Sumário da Avaliação
8 rodadas de teste
1° cenário Grau de detecção: 90% Acurácia: 98% Custo: 15%
2° cenário Grau de detecção: 100% Acurácia : 99,7% Custo: 12,3%
Modelo mostra-se eficiente, robusto e escalável
18
Conclusões
Diagnóstico mostra-se como uma solução eficaz Natureza heterogênea e dinâmica das grades Grades abertas e fechadas
Modelo de diagnóstico proposto Abordagem hierárquica, distribuída e baseada em reputação Contempla requisitos de segurança para grades Não requer infra-estrutura adicional, como chaves criptográficas Redução de desperdício de recursos em relação a mecanismos
tradicionais, como votação por maioria Incorporado à plataformas de grades existentes
1919
Trabalhos Futuros
Avaliação mais extensiva de métricas e cenários
Interface para monitoria do ambiente
Detecção de nós maliciosos inteligentes
Implementação de uma ferramenta baseada no modelo para ser incorporado ao OurGrid
2020
Publicações Desafios para Provisão de Integridade de Processamento em
Grades Computacionais WCGA 2006 - IV Workshop de Computação em Grids e Aplicações
(SBRC 2006), Curitiba, Maio de 2006
Detecting Malicious Manipulation in Grid Environments SBAC-PAD'06 - The 18th International Symposium on Computer
Architecture and High Performance Computing, Ouro Preto, Outubro de 2006
A Grid Computing Diagnosis Model for Tolerating Manipulation Attacks SOAS’2006 - International Conference on Self-Organization and
Autonomous Systems in Computing and Communications, Erfurt, Alemanha, Setembro de 2006
Journal: International Transactions on Systems Science and Applications
21
Obrigado
Perguntas?Felipe Sampaio Martins
felipe@cenapadne.br
2222
Trabalhos Relacionados
Anti-Doping Testes executados por cada nó Resultados dos testes em XML Abordagem centralizada Específica para o OurGrid Não foi validada
Esquema baseado em Credibilidade Cálculos probabilísticos e combinação de técnicas de tolerância a
falhas Majority voting Replicação Desperdício de recursos Spot-checking Testes Custo sobre nó gerente
2323
Soluções de Segurança em Grades
Globus OurGrid GSI (Globus Security
Infrastructure) Não-Repúdio
Assinatura Digital Autenticação e
autorizaçãoCertificados X.509CA (Certificate Authority)
Confidencialidade e integridadeTúnel SSLTroca de chaves
Autenticação e Comunicação SeguraCertificados X.509SSL Troca de chaves
Proteção dos recursosUsuários e códigos
desconhecidosSwan
Sandboxing
24
Avaliação do Modelo
Simuladores de Grades OptorSim, GridNet, MicroGrid, SimGrid e GridSim
25
Procedimento de Diagnóstico
Se o nó D Ultra-Confiável verificar que ambas as respostas dos testes aplicados por A e B estão corretas Nó C executor considerado sem-falha
Se ambas as respostas diferem do esperado Nó C considerado falho (possivelmente malicioso)
Se apenas uma das respostas coletadas estiver incorreta Ou o nó C tornou-se eventualmente falho Ou um dos nós testadores invalidou o resultado de C (e, portanto, um
deles é malicioso) O nó D Ultra-Confiável analisa o histórico de comportamento dos
testadores à procura de um padrão O nó A tem reprovado os resultados dos últimos testes por ele
aplicados O nó A tem reprovado somente os resultados dos testes em C
Se testadores não apresentarem um padrão suspeito de comportamento Nó C é considerado como falho e poderá ser excluído da grade
2626
Algoritmo de Aplicação de Test Jobs
2727
Algoritmo de Diagnóstico
2828
Parâmetros Utilizados
Ambiente heterogêneo com 200 nós
Quotas de nós maliciosos 1/6, 1/3 e 2/3 dos nós comprometidos
Nem todos os jobs são corrompidos pelos nós maliciosos Probabilidade de 25% retornar um resultado inválido
Nós que superam 3% de erros blacklist
3, 5, 8, 10, 15 e 20 rodadas de testes
2929
Detecção de Nós Maliciosos
Verificação focalizada com blacklist é ineficiente com apenas 3 rodadas
Resultados melhores a partir de 8 rodadas
A percentagem no pior caso aumenta à medida que a grade possui mais nós comprometidos
Quanto maior o número de rodadas e o número de nós maliciosos mais estável é o sistema
3030
Cenário Sem Reputação
10.000 jobs distribuídos entre os 200 nós executores
Apenas um único UC
Temporalidade negligenciada
3131
Cenário Sem Reputação
10.000 jobs distribuídos entre os 200 nós executores
Apenas um único UC
Temporalidade negligenciada
3232
Cenário Sem Reputação
10.000 jobs distribuídos entre os 200 nós executores
Apenas um único UC
Temporalidade negligenciada
XX
3333
Impacto do Uso da Blacklist
Sem blacklist Número de resultados
manipulados permanece igual Dobra o número de nós
maliciosos, dobra o número de resultados manipulados
97,9%
Com blacklist Maior acurácia com mais rodadas Queda de eficiência com maior
número de nós maliciosos Apenas a blacklist não é suficiente
95,3% 89,2%
3434
Curva de detecção tende a crescer com o número de rodadas
Praticamente todos
os nós maliciosos
são encontrados
com 15 rodadas Acima de 15 rodadas
o benefício é irrisório
Detecção de Nós Maliciosos
3535
Custo
8 rodadas Trade-off aceitável 30 dos 33
maliciosos foram detectados
Reputação pode reduzir ainda mais o custo
Mais 25% dos jobs são apenas para testes
Overhead: 15%Detecção: 90%
3636
Cenário Com Reputação
Temporalidade 7 dias de operação da grade Rodadas a cada 6h, 12h e 24h
Entrada de novos nós 50% de chances de serem maliciosos
Máximo de 10 clusters com 6 nós testadores cada
3737
Detecção de Nós Maliciosos ao Dia
Curva de nós maliciosos
detectados tende a zero Maioria é isolada logo no 1º dia
Testes menos freqüentes Mais tempo para deixar de detectar
38
Modelos de Diagnóstico
Estratégia de tolerância a falhas
Seqüência de testes Quais unidades estão falhas e quais estão em pleno funcionamento Síndrome
Modelo centralizado Uma unidade central testa os enlaces e estados das demais unidades do
sistema Fácil implementação Limitação de disponibilidade - Ponto único de falha
Modelo distribuído Várias ou todas as unidades do sistema aplicam testes
Modelos Clássicos PMC, ADSD, Hi-ADSD e modelos baseados em comparações
3939
Modelo Hi-ADSD
Hierarchical ADSD
Nós agrupados em clusters
Um nó executa testes até encontrar outro nó sem-falha ou testar todos os nós falhos
Ao encontrar um nó sem falha Testador obtém diagnóstico sobre todo o cluster ao qual o nó
testado pertence
4040
Modelo MM
Maeng e Malek
Os próprios nós fazem as comparações
Nó Central realiza o diagnóstico
Resultado da Tarefa
Resultado da Comparação
Possibilidade de se ter diversos nós comparadores
Nó comparador deve ser confiável (sem-falhas)
4141
Modelo deComparações Generalizado
Testes realizados através de comparações
Os próprios nós fazem as comparações
Nó Central realiza o diagnóstico
Comparação realizada por um dos nós que executa a tarefa
Resultado da Tarefa
Resultado da Comparação
4242
Modelo Broadcast
Broadcast Confiável Diagnóstico Distribuído - Não possui Nó Central Os próprios nós realizam comparações e
diagnóstico Um dos nós testados faz a comparação
Resultado da Tarefa
Resultado da Comparação