Universidade Federal do Ceará – UFC Programa de Pós-Graduação em Engenharia de Teleinformática

1. Orientador: Co-orientadores: Prof. José Neuman de Souza Profa. Rossana M. de C. Andrade Prof. Aldri Luiz dos Santos Universidade Federal do Ceará – UFCPrograma de Pós-Graduação em Engenharia de Teleinformática Um Modelo de Diagnóstico Distribuído e Hierárquico para Tolerância a Ataques de Manipulação de Resultados em Grades Computacionais Felipe Sampaio Martins

2. Grades Computacionais • Agregação, seleção e compartilhamento de recursos computacionais distribuídos entre os vários domínios de redes • Heterogeneidade • Dispersão geográfica • Acesso transparente aos recursos • Soluções de segurança existentes • Controle de acesso aos recursos • Confidencialidade e integridade na comunicação • Ausência de mecanismos de verificação de integridade de processamento • Comprometimento das aplicações • Recomputação e alto custo em termos de desempenho

3. Motivação • Resultados dos jobs não devem sofrer alteração • Necessidade de requisito de integridade de processamento • Certificar-se de que as máquinas não são maliciosas • Mecanismo de detecção de manipulação maliciosa dos resultados para impedir ataques ou subversão dos recursos

4. Nós com Mau Comportamento • Inativos • Não cooperam com a grade, recusam-se a processar, omitem informações • Egoístas • Apenas consomem recursos • Maliciosos • Subvertem os recursos, difundem vírus, manipulam os resultados dos processos • Tolos, comuns e inteligentes

5. Objetivo e Contribuição • Evitar a corrupção nas Grades • Verificar a integridade de processamento • Excluir hosts(nós) de má conduta • Contribuição • Um modelo de diagnóstico para tolerância a falhas de processamento em grades • Uma camada de segurança sobre o GridSim

6. Diagnóstico em Nível de Sistema • Estratégia de tolerância a falhas • Quais unidades falhas • Uma ou mais unidades responsáveis pelos testes • Diagnóstico em grades • Natureza heterogênea e dinâmica das grades • Grades abertas e fechadas • Testadores também podem ser maliciosos

7. Modelo de Diagnóstico Proposto • Abordagem Distribuída • Diagnóstico é realizado por todos os nós que possuem o nível mínimo de confiabilidade requerido • Abordagem Hierárquica • Papéis dos nós são atribuídos de acordo com a sua reputação adquirida através do comportamento no ambiente

8. Componentes • Nósexecutores • Unidades fornecedoras de recursos • Nós testadores • Unidades que aplicam testes junto aos nós executores • Nó testador é também um executor, mas a recíproca não é verdadeira • Nós ultra-confiáveis (UC) • Cada UC é responsável por um único conjunto de nós (cluster) • Aplicar testes, validar os resultados dos nós testadores e elevar o status dos nós de seu cluster

9. Cluster A Nó UC (gatekeeper) Nó UC (gatekeeper) Nó UC (gatekeeper) Testador B Cluster Cluster B Cluster Exemplo Testador A Nó UC Testador B

10. Nó Testador Percepção de A sobre C Resultado do Test job x Test job x Nó UC Nó Executor A C D B Test job y Resultado do Test job y Percepçãode B sobre C Nó Testador Procedimento de Diagnóstico • Nós testadores enviam dois test jobs diferentes para o mesmo nó executor • O nó executor devolve os respectivos resultados para testadores avaliarem sua validade • Nós testadores enviam suas percepções sobre o nó executor para o nó UC daquele cluster avaliar o seu comportamento • Processo se repete até que todos os nós do cluster tenham sido testados

11. Avaliação do Modelo Estudo dos Simuladores GridSim v 3.3 Modificações introduzidas na ferramenta Dois cenários  sem reputação e com reputação 200 nós executores Nós maliciosos detectados  blacklist Entrada de novos nós após cada rodada Percentagem de nós maliciosos na grade Freqüência das rodadas de testes Em cada experimento, 100 simulações 11

12. Métricas Quantidade de rodadas de testes necessárias Nível de detecção Número de nós maliciosos detectados Acurácia Jobs processados corretamente Total de jobs Custo Número de test-jobs Total de jobs 12

13. Detecção de Nós Maliciosos Quanto maior a quantidade de rodadas, maior o número de maliciosos detectados O número de maliciosos detectados tende a ser o mesmo Não basta conhecer somente a totalidade nós detectados Pior caso 13

14. Nós Maliciosos Remanescentes Sempre restam nós maliciosos com 3 rodadas Testes menos freqüentes Limpeza é adiada 5 rodadas a cada 6h ou 8 rodadas a cada 12h 8 rodadas: 4° dia 10% da quantidade inicial 8 rodadas: 2º dia 14

15. Custo 8 rodadas apresenta melhor trade-off: 4,7% Overhead menor do que no primeiro cenário (15%) Diagnóstico baseado em reputação capaz de sanar um ambiente infectado com mais da metade dos nós agindo maliciosamente a um baixo custo 17% 12,3% 15

16. Acurácia Acurácia sofre com mais maliciosos e menor freqüência de testes Melhor que o primeiro cenário 83,2% sem blacklist 89,2% com blacklist 94% (pior caso) 99,7% 86,7% 16

17. Sumário da Avaliação 8 rodadas de teste 1° cenário Grau de detecção: 90% Acurácia: 98% Custo: 15% 2° cenário Grau de detecção: 100% Acurácia : 99,7% Custo: 12,3% Modelo mostra-se eficiente, robusto e escalável 17

18. Conclusões • Diagnóstico mostra-se como uma solução eficaz • Natureza heterogênea e dinâmica das grades • Grades abertas e fechadas • Modelo de diagnóstico proposto • Abordagem hierárquica, distribuída e baseada em reputação • Contempla requisitos de segurança para grades • Não requer infra-estrutura adicional, como chaves criptográficas • Redução de desperdício de recursos em relação a mecanismos tradicionais, como votação por maioria • Incorporado à plataformas de grades existentes

19. Trabalhos Futuros Avaliação mais extensiva de métricas e cenários Interface para monitoria do ambiente Detecção de nós maliciosos inteligentes Implementação de uma ferramenta baseada no modelo para ser incorporado ao OurGrid 19

20. Publicações Desafios para Provisão de Integridade de Processamento em Grades Computacionais WCGA 2006 - IV Workshop de Computação em Grids e Aplicações (SBRC 2006), Curitiba, Maio de 2006 Detecting Malicious Manipulation in Grid Environments SBAC-PAD'06 - The 18th International Symposium on Computer Architecture and High Performance Computing, Ouro Preto, Outubro de 2006 A Grid Computing Diagnosis Model for Tolerating Manipulation Attacks SOAS’2006 - International Conference on Self-Organization and Autonomous Systems in Computing and Communications, Erfurt, Alemanha, Setembro de 2006 Journal: International Transactions on Systems Science and Applications 20

21. Obrigado Perguntas? Felipe Sampaio Martins felipe@cenapadne.br

22. Trabalhos Relacionados Anti-Doping Testes executados por cada nó Resultados dos testes em XML Abordagem centralizada Específica para o OurGrid Não foi validada Esquema baseado em Credibilidade Cálculos probabilísticos e combinação de técnicas de tolerância a falhas Majority voting Replicação  Desperdício de recursos Spot-checking Testes  Custo sobre nó gerente 22

23. Soluções de Segurança em Grades Globus OurGrid • GSI (Globus Security Infrastructure) • Não-Repúdio • Assinatura Digital • Autenticação e autorização • Certificados X.509 • CA (Certificate Authority) • Confidencialidade e integridade • Túnel SSL • Troca de chaves • Autenticação e Comunicação Segura • Certificados X.509 • SSL • Troca de chaves • Proteção dos recursos • Usuários e códigos desconhecidos • Swan • Sandboxing 23

24. Avaliação do Modelo • Simuladores de Grades • OptorSim, GridNet, MicroGrid, SimGrid e GridSim

25. Procedimento de Diagnóstico • Se o nó D Ultra-Confiável verificar que ambas as respostas dos testes aplicados por A e B estão corretas • Nó C executor considerado sem-falha • Se ambas as respostas diferem do esperado • Nó C considerado falho (possivelmente malicioso) • Se apenas uma das respostas coletadas estiver incorreta • Ou o nó C tornou-se eventualmente falho • Ou um dos nós testadores invalidou o resultado de C (e, portanto, um deles é malicioso) • O nó D Ultra-Confiável analisa o histórico de comportamento dos testadores à procura de um padrão • O nó A tem reprovado os resultados dos últimos testes por ele aplicados • O nó A tem reprovado somente os resultados dos testes em C • Se testadores não apresentarem um padrão suspeito de comportamento • Nó C é considerado como falho e poderá ser excluído da grade

26. Algoritmo de Aplicação de Test Jobs 26

27. Algoritmo de Diagnóstico 27

28. Parâmetros Utilizados Ambiente heterogêneo com 200 nós Quotas de nós maliciosos 1/6, 1/3 e 2/3 dos nós comprometidos Nem todos os jobs são corrompidos pelos nós maliciosos Probabilidade de 25% retornar um resultado inválido Nós que superam 3% de erros  blacklist 3, 5, 8, 10, 15 e 20 rodadas de testes 28

29. Detecção de Nós Maliciosos Verificação focalizada com blacklist é ineficiente com apenas 3 rodadas Resultados melhores a partir de 8 rodadas A percentagem no pior caso aumenta à medida que a grade possui mais nós comprometidos Quanto maior o número de rodadas e o número de nós maliciosos  mais estável é o sistema 29

30. Cenário Sem Reputação 10.000 jobs distribuídos entre os 200 nós executores Apenas um único UC Temporalidade negligenciada 30

31. Cenário Sem Reputação 10.000 jobs distribuídos entre os 200 nós executores Apenas um único UC Temporalidade negligenciada 31

32. Cenário Sem Reputação 10.000 jobs distribuídos entre os 200 nós executores Apenas um único UC Temporalidade negligenciada X X 32

33. Impacto do Uso da Blacklist Sem blacklist Número de resultados manipulados permanece igual Dobra o número de nós maliciosos, dobra o número de resultados manipulados • Com blacklist • Maior acurácia com mais rodadas • Queda de eficiência com maior número de nós maliciosos • Apenas a blacklist não é suficiente 97,9% 95,3% 89,2% 33

34. Curva de detecção tende a crescer com o número de rodadas Praticamente todos os nós maliciosos são encontrados com 15 rodadas Acima de 15 rodadas o benefício é irrisório Detecção de Nós Maliciosos 34

35. Custo 8 rodadas Trade-off aceitável 30 dos 33 maliciosos foram detectados Reputação pode reduzir ainda mais o custo Mais 25% dos jobs são apenas para testes Overhead: 15% Detecção: 90% 35

36. Cenário Com Reputação Temporalidade 7 dias de operação da grade Rodadas a cada 6h, 12h e 24h Entrada de novos nós 50% de chances de serem maliciosos Máximo de 10 clusters com 6 nós testadores cada 36

37. Detecção de Nós Maliciosos ao Dia Curva de nós maliciosos detectados tende a zero Maioria é isolada logo no 1º dia Testes menos freqüentes Mais tempo para deixar de detectar 37

38. Modelos de Diagnóstico • Estratégia de tolerância a falhas • Seqüência de testes • Quais unidades estão falhas e quais estão em pleno funcionamento • Síndrome • Modelo centralizado • Uma unidade central testa os enlaces e estados das demais unidades do sistema • Fácil implementação • Limitação de disponibilidade - Ponto único de falha • Modelo distribuído • Várias ou todas as unidades do sistema aplicam testes • Modelos Clássicos • PMC, ADSD, Hi-ADSD e modelos baseados em comparações

39. Modelo Hi-ADSD A E B F C G D H • Hierarchical ADSD • Nós agrupados em clusters • Um nó executa testes até encontrar outro nó sem-falha ou testar todos os nós falhos • Ao encontrar um nó sem falha • Testador obtém diagnóstico sobre todo o cluster ao qual o nó testado pertence 39

40. Modelo MM Maeng e Malek Os próprios nós fazem as comparações Nó Central realiza o diagnóstico Nó Central A C B • Possibilidade de se ter diversos nós comparadores • Nó comparador deve ser confiável (sem-falhas) Resultado da Comparação Resultado da Tarefa 40

41. Modelo deComparações Generalizado Testes realizados através de comparações Os próprios nós fazem as comparações Nó Central realiza o diagnóstico Comparação realizada por um dos nós que executa a tarefa Nó Central A B Resultado da Comparação Resultado da Tarefa 41

42. Modelo Broadcast Broadcast Confiável Diagnóstico Distribuído - Não possui Nó Central Os próprios nós realizam comparações e diagnóstico Um dos nós testados faz a comparação A C E D B Resultado da Comparação 42 Resultado da Tarefa