Universidade Federal do Ceará – UFCPrograma de Pós-Graduação em Engenharia de Teleinformática

Um Modelo de Diagnóstico Distribuído e Hierárquico para Tolerância a Ataques de Manipulação de

Resultados em Grades Computacionais

Felipe Sampaio Martins

Orientador:Co-orientadores:

Prof. José Neuman de Souza Profa. Rossana M. de C. Andrade Prof. Aldri Luiz dos Santos

2

Grades Computacionais

Agregação, seleção e compartilhamento de recursos computacionais distribuídos entre os vários domínios de redes Heterogeneidade Dispersão geográfica Acesso transparente aos recursos

Soluções de segurança existentes Controle de acesso aos recursos Confidencialidade e integridade na comunicação

Ausência de mecanismos de verificação de integridade de processamento Comprometimento das aplicações Recomputação e alto custo em termos de desempenho

3

Resultados dos jobs não devem sofrer alteração

Necessidade de requisito de integridade de processamento Certificar-se de que as máquinas não são maliciosas

Mecanismo de detecção de manipulação maliciosa dos resultados para impedir ataques ou subversão dos recursos

Motivação

4

Nós com Mau Comportamento

Inativos Não cooperam com a grade, recusam-se a processar,

omitem informações

Egoístas Apenas consomem recursos

Maliciosos Subvertem os recursos, difundem vírus, manipulam os

resultados dos processos Tolos, comuns e inteligentes

5

Objetivo e Contribuição

Evitar a corrupção nas Grades Verificar a integridade de processamento Excluir hosts (nós) de má conduta

Contribuição Um modelo de diagnóstico

para tolerância a falhas de

processamento em grades Uma camada de segurança

sobre o GridSim

6

Diagnóstico em Nível de Sistema

Estratégia de tolerância a falhasQuais unidades falhasUma ou mais unidades responsáveis pelos testes

Diagnóstico em gradesNatureza heterogênea e dinâmica das gradesGrades abertas e fechadasTestadores também podem ser maliciosos

7

Modelo de Diagnóstico Proposto

Abordagem Distribuída Diagnóstico é realizado por todos os nós que

possuem o nível mínimo de confiabilidade requerido

Abordagem Hierárquica Papéis dos nós são atribuídos de acordo com a

sua reputação adquirida através do comportamento no ambiente

8

Nós executoresUnidades fornecedoras de recursos

Nós testadores Unidades que aplicam testes junto aos nós executoresNó testador é também um executor, mas a recíproca não é

verdadeira

Nós ultra-confiáveis (UC)Cada UC é responsável por um único conjunto de nós

(cluster)Aplicar testes, validar os resultados dos nós testadores e

elevar o status dos nós de seu cluster

Componentes

9

Exemplo

Nó UC(gatekeeper)

Cluster

Nó UC(gatekeeper)

Cluster

Testador B

Testador A

Nó UC(gatekeeper)

Testador B

Nó UC

Cluster B

Cluster A

10

Procedimento de Diagnóstico

Nós testadores enviam dois test jobs diferentes para o mesmo nó executor

O nó executor devolve os respectivos resultados para testadores avaliarem sua validade

Nós testadores enviam suas percepções sobre o nó executor para o nó UC daquele cluster avaliar o seu comportamento

Processo se repete até que todos os nós do cluster tenham sido testados

Nó Testador

Nó Testador

Nó UC

Nó Executor

Test job x

Test job y

Resultadodo Test job x

Resultadodo Test job y

Percepção de Asobre C

Percepção de Bsobre C

1111

Avaliação do Modelo

Estudo dos Simuladores GridSim v 3.3 Modificações introduzidas na ferramenta

Dois cenários sem reputação e com reputação 200 nós executores Nós maliciosos detectados blacklist Entrada de novos nós após cada rodada Percentagem de nós maliciosos na grade Freqüência das rodadas de testes Em cada experimento, 100 simulações

1212

Métricas

Quantidade de rodadas de testes necessárias

Nível de detecçãoNúmero de nós maliciosos detectados

AcuráciaJobs processados corretamente

Total de jobs

Custo Número de test-jobs

Total de jobs

1313

Detecção de Nós Maliciosos

Pior caso

Quanto maior a quantidade de rodadas, maior o número de maliciosos detectados

O número de maliciosos detectados tende a

ser o mesmo

Não basta conhecersomente a totalidadenós detectados

1414

Nós Maliciosos Remanescentes

Sempre restam nós maliciosos

com 3 rodadas Testes menos freqüentes

Limpeza é adiada 5 rodadas a cada 6h ou

8 rodadas a cada 12h

8 rodadas: 2º dia

10% da quantidade inicial

8 rodadas: 4° dia

1515

Custo

12,3%

17%

8 rodadas apresenta melhor trade-off: 4,7% Overhead menor do que no primeiro cenário (15%)

Diagnóstico baseado emreputação capaz de sanar um ambienteinfectado com mais dametade dos nós agindo maliciosamentea um baixo custo

1616

Acurácia

Acurácia sofre com mais maliciosos e menor freqüência de testes

Melhor que o primeiro cenário 83,2% sem blacklist 89,2% com blacklist

99,7%

86,7%

94%(pior caso)

1717

Sumário da Avaliação

8 rodadas de teste

1° cenário Grau de detecção: 90% Acurácia: 98% Custo: 15%

2° cenário Grau de detecção: 100% Acurácia : 99,7% Custo: 12,3%

Modelo mostra-se eficiente, robusto e escalável

18

Conclusões

Diagnóstico mostra-se como uma solução eficaz Natureza heterogênea e dinâmica das grades Grades abertas e fechadas

Modelo de diagnóstico proposto Abordagem hierárquica, distribuída e baseada em reputação Contempla requisitos de segurança para grades Não requer infra-estrutura adicional, como chaves criptográficas Redução de desperdício de recursos em relação a mecanismos

tradicionais, como votação por maioria Incorporado à plataformas de grades existentes

1919

Trabalhos Futuros

Avaliação mais extensiva de métricas e cenários

Interface para monitoria do ambiente

Detecção de nós maliciosos inteligentes

Implementação de uma ferramenta baseada no modelo para ser incorporado ao OurGrid

2020

Publicações Desafios para Provisão de Integridade de Processamento em

Grades Computacionais WCGA 2006 - IV Workshop de Computação em Grids e Aplicações

(SBRC 2006), Curitiba, Maio de 2006

Detecting Malicious Manipulation in Grid Environments SBAC-PAD'06 - The 18th International Symposium on Computer

Architecture and High Performance Computing, Ouro Preto, Outubro de 2006

A Grid Computing Diagnosis Model for Tolerating Manipulation Attacks SOAS’2006 - International Conference on Self-Organization and

Autonomous Systems in Computing and Communications, Erfurt, Alemanha, Setembro de 2006

Journal: International Transactions on Systems Science and Applications

21

Obrigado

Perguntas?Felipe Sampaio Martins

felipe@cenapadne.br

2222

Trabalhos Relacionados

Anti-Doping Testes executados por cada nó Resultados dos testes em XML Abordagem centralizada Específica para o OurGrid Não foi validada

Esquema baseado em Credibilidade Cálculos probabilísticos e combinação de técnicas de tolerância a

falhas Majority voting Replicação Desperdício de recursos Spot-checking Testes Custo sobre nó gerente

2323

Soluções de Segurança em Grades

Globus OurGrid GSI (Globus Security

Infrastructure) Não-Repúdio

Assinatura Digital Autenticação e

autorizaçãoCertificados X.509CA (Certificate Authority)

Confidencialidade e integridadeTúnel SSLTroca de chaves

Autenticação e Comunicação SeguraCertificados X.509SSL Troca de chaves

Proteção dos recursosUsuários e códigos

desconhecidosSwan

Sandboxing

24

Avaliação do Modelo

Simuladores de Grades OptorSim, GridNet, MicroGrid, SimGrid e GridSim

25

Procedimento de Diagnóstico

Se o nó D Ultra-Confiável verificar que ambas as respostas dos testes aplicados por A e B estão corretas Nó C executor considerado sem-falha

Se ambas as respostas diferem do esperado Nó C considerado falho (possivelmente malicioso)

Se apenas uma das respostas coletadas estiver incorreta Ou o nó C tornou-se eventualmente falho Ou um dos nós testadores invalidou o resultado de C (e, portanto, um

deles é malicioso) O nó D Ultra-Confiável analisa o histórico de comportamento dos

testadores à procura de um padrão O nó A tem reprovado os resultados dos últimos testes por ele

aplicados O nó A tem reprovado somente os resultados dos testes em C

Se testadores não apresentarem um padrão suspeito de comportamento Nó C é considerado como falho e poderá ser excluído da grade

2626

Algoritmo de Aplicação de Test Jobs

2727

Algoritmo de Diagnóstico

2828

Parâmetros Utilizados

Ambiente heterogêneo com 200 nós

Quotas de nós maliciosos 1/6, 1/3 e 2/3 dos nós comprometidos

Nem todos os jobs são corrompidos pelos nós maliciosos Probabilidade de 25% retornar um resultado inválido

Nós que superam 3% de erros blacklist

3, 5, 8, 10, 15 e 20 rodadas de testes

2929

Detecção de Nós Maliciosos

Verificação focalizada com blacklist é ineficiente com apenas 3 rodadas

Resultados melhores a partir de 8 rodadas

A percentagem no pior caso aumenta à medida que a grade possui mais nós comprometidos

Quanto maior o número de rodadas e o número de nós maliciosos mais estável é o sistema

3030

Cenário Sem Reputação

10.000 jobs distribuídos entre os 200 nós executores

Apenas um único UC

Temporalidade negligenciada

3131

Cenário Sem Reputação

10.000 jobs distribuídos entre os 200 nós executores

Apenas um único UC

Temporalidade negligenciada

3232

Cenário Sem Reputação

10.000 jobs distribuídos entre os 200 nós executores

Apenas um único UC

Temporalidade negligenciada

XX

3333

Impacto do Uso da Blacklist

Sem blacklist Número de resultados

manipulados permanece igual Dobra o número de nós

maliciosos, dobra o número de resultados manipulados

97,9%

Com blacklist Maior acurácia com mais rodadas Queda de eficiência com maior

número de nós maliciosos Apenas a blacklist não é suficiente

95,3% 89,2%

3434

Curva de detecção tende a crescer com o número de rodadas

Praticamente todos

os nós maliciosos

são encontrados

com 15 rodadas Acima de 15 rodadas

o benefício é irrisório

Detecção de Nós Maliciosos

3535

Custo

8 rodadas Trade-off aceitável 30 dos 33

maliciosos foram detectados

Reputação pode reduzir ainda mais o custo

Mais 25% dos jobs são apenas para testes

Overhead: 15%Detecção: 90%

3636

Cenário Com Reputação

Temporalidade 7 dias de operação da grade Rodadas a cada 6h, 12h e 24h

Entrada de novos nós 50% de chances de serem maliciosos

Máximo de 10 clusters com 6 nós testadores cada

3737

Detecção de Nós Maliciosos ao Dia

Curva de nós maliciosos

detectados tende a zero Maioria é isolada logo no 1º dia

Testes menos freqüentes Mais tempo para deixar de detectar

38

Modelos de Diagnóstico

Estratégia de tolerância a falhas

Seqüência de testes Quais unidades estão falhas e quais estão em pleno funcionamento Síndrome

Modelo centralizado Uma unidade central testa os enlaces e estados das demais unidades do

sistema Fácil implementação Limitação de disponibilidade - Ponto único de falha

Modelo distribuído Várias ou todas as unidades do sistema aplicam testes

Modelos Clássicos PMC, ADSD, Hi-ADSD e modelos baseados em comparações

3939

Modelo Hi-ADSD

Hierarchical ADSD

Nós agrupados em clusters

Um nó executa testes até encontrar outro nó sem-falha ou testar todos os nós falhos

Ao encontrar um nó sem falha Testador obtém diagnóstico sobre todo o cluster ao qual o nó

testado pertence

4040

Modelo MM

Maeng e Malek

Os próprios nós fazem as comparações

Nó Central realiza o diagnóstico

Resultado da Tarefa

Resultado da Comparação

Possibilidade de se ter diversos nós comparadores

Nó comparador deve ser confiável (sem-falhas)

4141

Modelo deComparações Generalizado

Testes realizados através de comparações

Os próprios nós fazem as comparações

Nó Central realiza o diagnóstico

Comparação realizada por um dos nós que executa a tarefa

Resultado da Tarefa

Resultado da Comparação

4242

Modelo Broadcast

Broadcast Confiável Diagnóstico Distribuído - Não possui Nó Central Os próprios nós realizam comparações e

diagnóstico Um dos nós testados faz a comparação

Resultado da Tarefa

Resultado da Comparação