Алексей Качалин / Андрей Шукайло, 3 курс, sec-sem

На этом форуме публикуются и уточняются постановки задач студентам, а также отслеживается ход их выполнения

Модератор: staff

Закрыто
Бычков Иван
Аспирант
Сообщения: 179
Зарегистрирован: 23 сен 2008 01:19 pm

Алексей Качалин / Андрей Шукайло, 3 курс, sec-sem

Сообщение Бычков Иван »

Тема
Сценарии крупномасштабных инцидентов в ГМГС.
(Составная часть в проекте Гибридной модели глобальной сети (ГМГС))

В ряде имевших место инцидентов, повлекших значительный ущерб произошло наложение ряда событий (начало эпидемии ВПО, сбой оборудования, авария и т.п.).

С другой стороны, меры реагирования, в ходе серьезных инцидентов безопасности могут включать: частичное/полное отключение отдельных сервисов или сегментов сети, смену конфигураций систем защиты и т.д.

Студенту предстоит провести обзор, по результатам которого можно будет описать классы таких "внешних" по отношению к логике работы модели событий, а в дальнейшем заняться разработкой сценариев моделирования.

Цели
Исследование и систематизация крупномасштабных инцидентов ИБ
Исследование подходов к моделированию трафика, основанных на типизации трафика

Задачи
1
Изучение проблематики крупномасштабных инцидентов безопасности. Причины, последствия, способы борьбы, институты и организации по борьбе с глобальными информационными угрозами.

Провести обзор подходов к моделированию трафика различных типов (ВПО, мультимедиа, p2p, www)

Сформулировать требования к учитываемым характеристикам трафика в модели (ГМГС) для описания различных типов трафика.

* Выбрать и описать примеры сценариев инцидентов безопасности.

* Собрать (с участников проекта ГМГС) и обобщить требования и предложения по описанию сценариев в ГМГС
2
Разработать прототип механизма сценариев в ГМГС

Разработать сценарии для ГМГС (из описанных в 1-м семестре) и генераторы трафика для них.

(* - частично в 1-м)
[Исследования/Реализация 60/40]
Алексей Качалин
Сотрудник
Сообщения: 136
Зарегистрирован: 07 сен 2004 04:38 pm

Re: Алексей Качалин / Андрей Шукайло, 3 курс, sec-sem

Сообщение Алексей Качалин »

Тема
Сценарии крупномасштабных инцидентов в ГМГС.
(Составная часть в проекте Гибридной модели глобальной сети (ГМГС))

В ряде имевших место инцидентов, повлекших значительный ущерб произошло наложение ряда событий (начало эпидемии ВПО, сбой оборудования, авария и т.п.).

С другой стороны, меры реагирования, в ходе серьезных инцидентов безопасности могут включать: частичное/полное отключение отдельных сервисов или сегментов сети, смену конфигураций систем защиты и т.д.

Студенту предстоит провести обзор, по результатам которого можно будет описать классы таких "внешних" по отношению к логике работы модели событий, а в дальнейшем заняться разработкой сценариев моделирования.

Цели
Исследование и систематизация крупномасштабных инцидентов ИБ
Разработка средства описания сценариев экспериментов ГМГС

Задачи
1
Изучить принципы и протоколы функционирования сетей. Изучить проблематику крупномасштабных инцидентов безопасности в сетях.

Причины, последствия, способы борьбы, институты и организации по борьбе с глобальными информационными угрозами.

Сформулировать требования к учитываемым характеристикам трафика в модели (ГМГС) для описания различных типов трафика.

* Выбрать и описать примеры сценариев инцидентов безопасности.

* Собрать (с участников проекта ГМГС) и обобщить требования и предложения по описанию сценариев в ГМГС
2
Разработать прототип механизма сценариев в ГМГС

Разработать сценарии для ГМГС (из описанных в 1-м семестре) и генераторы трафика для них.

(* - частично в 1-м)
[Исследования/Реализация 60/40]
Андрей Шукайло
Выпускник
Сообщения: 3
Зарегистрирован: 16 дек 2008 02:29 pm

Сообщение Андрей Шукайло »

Отчет о работе над курсовой в осеннем семестре.

Студент: Шукайло Андрей,3 курс.

Научный руководитель: Качалин Алексей Игоревич.

Тема:
Сценарии крупномасштабных инцидентов в ГМГС (составная часть в проекте Гибридной Модели Глобальной Сети).
Цели:
Исследование и систематизация крупномасштабных инцидентов ИБ в ГМГС.
Разработка средства описания сценариев экспериментов ГМГС.

Описание и актуальность работы:

Главной целью проекта Гибридной Модели Глобальной Сети (ГМГС) является моделирование компьютерных сетей большого масштаба. Основной класс задач, на которые рассчитано применение ГМГС – моделирование различных глобальных сетевых процессов. При этом упор сделан на рассмотрении процессов, связанных с глобальными инцидентами информационной безопасности.
Две основные задачи, выполняемые сценариями инцидентов в ГМГС: запуск эксперимента и управление этим экспериментом. Запуск эксперимента включает в себя расстановку генераторов и обработчиков трафика, задание их параметров, инициализация каналов связи между ними, а также загрузку моделей сетевых протоколов. Управление экспериментом заключается в моделировании событий, которые невозможно реализовать на основе моделей сетевых протоколов, например, восстановление роутеров и хостов сети после атаки, отключение сегментов сети, блокировка каналов связи между автономными системами и т.д. Без решения этих задач невозможно осуществить моделирование крупномасштабных инцидентов безопасности и реакции на них.

Задачи, выполняемые в осеннем семестре:

1. Изучение предметной области:
1.1. Принципы построения и функционирования сетей, сетевые протоколы TCP/IP и протокол маршрутизации BGP.
1.2. Основы дискретно-событийного моделирования.
1.3. Основные типы угроз информационной безопасности. Институты и организации по борьбе с глобальными информационными угрозами.
1.4. Сетевой трафик. Представление сетевого трафика в виде потоков.
2. Описать структуру и представление сценариев атак в ГМГС.
2.1. Описать структуру и основные компоненты сценария атак в ГМГС.
2.2. Выбрать и описать типы атак и вредоносного воздействия, моделируемых в ГМГС.
2.3. На основе составленных описаний разработать схему представления атак в модели, а также основные принципы взаимодействия атак и вредоносного воздействия с системами безопасности.

Проделанная работа:

Конечной целью работы в осеннем семестре было описание структуры и базовых компонент сценариев инцидентов в ГМГС, а также выбор и описание основных типов атак, моделируемых в ГМГС.

Описание сценариев атак
Были изучены принципы функционирования компьютерных сетей, а также сетевые протоколы (TCP, IP, DNS, BGP) [1,2]. Для решения задачи описания структуры сценария были изучены основы дискретно-событийного моделирования.[3,4]
На следующем шаге была выделена информация о ряде организаций по борьбе с глобальными информационными угрозами, а именно: CERT (CERT Coordination Center), CCRC (Computer Crime Research Center), AHTCC (Australian High Tech Crime Center), CCIPS (The Computer Crime and Intellectual Property Section). При дальнейшей работе предполагается изучить их влияние на развитие глобальных инцидентов информационной безопасности в сети.

На основе изученной информации была описана структура сценариев инцидентов в ГМГС, выявлены взаимосвязи между компонентами
сценария.

Выбор и описание атак, моделируемых в ГМГС

Для решения задачи построения генераторов трафика были изучены несколько аналитических моделей сетевого трафика[6,8,9], а также рассмотрены свойства самоподобия и обратной зависимости трафика[7].
Для моделирования в ГМГС были выбраны следующие типы атак: эпидемии сетевых червей, атаки отказа в доступе, рассылка спама и атаки на BGP-маршрутизацию. Была проведена классификация каждого типа атаки в отдельности по различным параметрам, таким как векторы распространения (сетевые черви), основные типы активации (сетевые черви), способы обхода систем защиты, известные прецеденты и т.д. [10-16]. Начато решение задачи построения модельного представления этих типов атак в ГМГС.

Также, вместе с Виталием Антоненко, разработчиком модели систем безопасности в ГМГС, было сделано описание схемы взаимодействия моделей систем безопасности и вредоносного трафика.

Изучение SSFnet:

Для реализации инструментальных средств задания параметров сценария в модели идет изучение применения языка DML для описания сценариев на основе документов и кода сходной ГМГС модели SSFnet.
Также после изучения статей по SSFnet и статей по моделированию трафика была выработана схема маршрутизации потоков трафика между АС с помощью обмена сообщениями между процессами, реализующими АС.[17-20]

План дальнейшей работы:

1. Доработка описания и структуры сценариев инцидентов. Описание взаимосвязей между основными компонентами сценария.
2. Разработка примеров сценариев инцидентов.
3. Разработка средств задания параметров сценариев в модели.
4. Доработка описания моделируемых атак.
5. Построение модели взаимодействия атак и систем безопасности в ГМГС. Типизация представления вредоносного трафика.
6. Дальнейшее изучение SSFnet.

Список литературы:

1. Таненбаум Э.С. Компьютерные сети. Санкт-Петербург: «Питер», 2003. 992 стр. (гл.1-6,8)
2. Сем Хэлеби, Дэнни Мак-Ферсон Принципы маршрутизации в Интернет. «Вильямс», 2001. 448стр. (ч.1-3)
3. Shriber T.J., Brunner T.D. Inside Discrete Event Simulation Software. //2007 Winter Simulation Conference, 2007. Стр:113-123.
4. Sanchez P.J., Fundamentals of Simulation Modeling. //2007 Winter Simulation Conference, 2007. Стр:54-62.
5. Barakat C. ,Thiran P., A Flow Based Model For Internet Backbone Traffic.
6. Crowella M.E., Bestavros A. Self-Similarity in World Wide Web Traffic. Evidence and Possible Causes. //Computer Science Department. Boston University. Стр. 160-169.
7. Zukerman M., Neame T.D. Internet Traffic Modeling And Future Technology Implications. //The University of Melbourne, Australia. 10 стр.
8. Addie R.G., Zukerman M. Broadband Traffic Modeling: Simple Solutions To Hard Problems. //IEEE Communications Magazine, august 1998. Стр. 88-95.
9. Shuba C.L., Krsul I.V. Analysis of Denial Of Service Attacks on TCP. //Department of Computer Sciences, Purdue University. 16 стр.
10. Lau F., Rubin S.H., Smith M.H., Distributed Denial Of Service Attacks. 7 стр.
11. Weaxer N., Paxson V., Staniford S. A Taxonomy of Computer Worms. //WORM’03, October 27, 2003, Washington, USA. 8 стр.
12. Joukov N., Internet Worms as Internet Wide Threat. //Department of Computer Science Stony Brook University. 26 стр.
13. Perumalla K.S., High Fidelity Modeling of Computer Network Worms. //Technical Report GIT-CERCS-04-23, Center for Experimental Research in Computer Science, Georgia Institute of Technology Atlanta, Georgia 30332-0280 June 22, 2004. 11 стр.
14. Shwartz E.I. Spam Wars. //Tecnology Review, 2003. 13 стр.
15. Goodman J. Spam. Tecnologies and Policies. //White Paper, Microsoft Research, 2003. 16 стр.
16. «SSFnet DML 1.3 Reference» // [HTML] http://www.ssfnet.org/InternetDocs/ssfn ... rence.html
17. «Protocol Modeling with SSF.Os» //[HTML] http://www.ssfnet.org/InternetDocs/ssfn ... ocols.html.
18. Iyigun M. DaSSFnet: An Extension to DaSSF for High-Perfomance Network Modeling. Dartmouth College Computer Science Technical Report TR2001-405, 2001. 22 стр.
19. Cowie J.H. SSFapiManual – Scalable Similution Framework API Reference Manual. 1999.16 стр.
Андрей Шукайло
Выпускник
Сообщения: 3
Зарегистрирован: 16 дек 2008 02:29 pm

Сообщение Андрей Шукайло »

Замечания рецензента Дмитрия Козлова:

Здравствуйте, Андрей.
Вот замечания по отчету:

1. "Основной класс задач, на которые рассчитано применение ГМГС – моделирование различных глобальных сетевых процессов" - масло масляное.
2. 2 абзаца актуальности никак не относятся к первой половине цели работы, т.о. актуальность работы не показана.
3. Были изучены принципы... - ну хоть доклад-то об этом сделан, или вообще никаких deliverables?
4. "была описана структура сценариев" - вы ее придумали, вам ее придумали и надиктовали, а вы записали, вы переписали ее из другого источника, иное?
5.


"Выбор и описание атак, моделируемых в ГМГС

Для решения задачи построения генераторов трафика..." как соотносятся между собой эти 2 подряд идущие фразы? Где логика повествования...
6. интересно, а что такое "свойства самоподобия".
7. были выбраны - почему, на основе каких критериев?
8. была выработана - см. 4
9. что-то я не понял, был ли сделан п. "Описать структуру и представление сценариев атак в ГМГС"
10. какие отчуждаемые результаты были получены за семестр?


итого: отчет сделан старательно, но с недочетами. в общем на 4, если есть отчуждаемые результаты.
Андрей Шукайло
Выпускник
Сообщения: 3
Зарегистрирован: 16 дек 2008 02:29 pm

Сообщение Андрей Шукайло »

Ответ на письмо рецензента Дмитрия Козлова:

Здравствуйте, Дмитрий Дмитриевич.

Постараюсь ответить на возникшие вопросы и замечания:

Dmitry Kozlov пишет:
> Здравствуйте, Андрей.
> Вот замечания по отчету:
>
> 1. "Основной класс задач, на которые рассчитано применение ГМГС – моделирование различных глобальных сетевых процессов" - масло масляное.
> 2. 2 абзаца актуальности никак не относятся к первой половине цели работы, т.о. актуальность работы не показана.
Замечания понял, в ближайшее время пришлю улучшенную версию описания и
актуальности решаемой задачи.
> 3. Были изучены принципы... - ну хоть доклад-то об этом сделан, или вообще никаких deliverables?
> 4. "была описана структура сценариев" - вы ее придумали, вам ее придумали и надиктовали, а вы записали, вы переписали ее из другого источника, иное?
Структура сценариев была описана мной. Сценарий был определен как
последовательность нескольких этапов (подготовительный этап, этап
прогонки эксперимента) с поддействиями внутри. Основной информацией для
построения структуры сценария послужили:
1. материалы по дискретно-событийному моделированию.
2. информация о структуре объектов ГМГС (основные параметры
моделей автономных систем, доменов, узлов связи).
3. изучение различных типов сетевых атак (сетевые эпидемии,
атаки отказа в доступе, атаки на BGP-маршрутизацию).

> 5.
>
>
> "Выбор и описание атак, моделируемых в ГМГС
>
> Для решения задачи построения генераторов трафика..." как соотносятся между собой эти 2 подряд идущие фразы? Где логика повествования...
Да, этот фрагмент отчета следовало поместить в другое место, виноват.
> 6. интересно, а что такое "свойства самоподобия".
Здесь речь идет о свойстве самоподобия сетевого трафика (в найденной
мной литературе - self-similarity notion). Неформально это означает, что
статистические свойства сетевого трафика обладают свойством
масштабирования. Более формальное определение состоит в том, что
автокорреляционная функция для графика распределения интенсивности
трафика инвариантна при изменении степени аггрегируемости этого трафика.
То есть при рассмотрении трассы трафика в масштабе(к примеру)
10,100,1000 сек график интенсивности будет сохранять свой внешний вид.
Свойства самодобия и обратной зависимости трафика (long-range
dependence) используют для обоснования "взрывных" особенностей сетевого
трафика. (burstiness).
> 7. были выбраны - почему, на основе каких критериев?
Основным критерием при выборе была возможность моделировать воздействие
этих атак на объекты модели (АС,домены, каналы связи, системы
безопасности) в масштабе доменов и АС, так как более детальный уровень
моделирования сети (то есть на уровне отдельных хостов) при
проектировании ГМГС не рассматривается.
Пока основной задачей является моделирование такого набора атак.
Впоследствии, как развитие данной работы, возможно рассмотрение других
типов.
> 8. была выработана - см. 4
Схема маршрутизации была описана мной. Описание основывалось на
изучении материалов по SSFnet и полученных знаний о потоковом способе
представления трафика.
> 9. что-то я не понял, был ли сделан п. "Описать структуру и представление сценариев атак в ГМГС"
Да он был сделан. Про него написано в пояснении к пункту 4 замечаний.
> 10. какие отчуждаемые результаты были получены за семестр?
>
Перечень отчуждаемых результатов:
1. Описание структуры и компонентов сценария инцидента безопасности.
2. Описание (классификация) моделируемых типов атак в ГМГС.
3. Схема маршрутизации потоков трафика между АС. (предложение по
способу реализации).
4. Обзор основных организаций по борьбе с глобальными инцидентами
безопасности (упор делается на CERT) и их
влияние на развитие инцидентов. (данный обзор будет
применяться позже, при моделировании действия этих
организаций в сценариях). (в процессе доработки - будет доделано до
нового года).
5. Модельное представление атак в ГМГС (в процессе доработки. Будет
доделано до нового года).
6. Схема взаимодействия атак и моделей систем безопасности в ГМГС.
(нужно согласовать с разработчиком модели систем
безопасности, Антоненко Виталием).
Закрыто