Professional Documents
Culture Documents
SEC Presentation2 0
SEC Presentation2 0
Аналіз
аномальної поведінки.
Безпека програм та даних
Модель моніторингу безпеки
на основі алгоритму
найбільших статистичних
аномалій
Безпека програм та даних
Моніторинг безпеки.
Незважаючи на те, що багато атак і спроби несанкціонованого
доступу до інформації є пасивними (тобто вони не проявляють
себе), проте сучасні системи захисту і виявлення вторгнень можуть
виявити навіть такого потенційного порушника, який тільки
готуватися до активної атаці або готує її для іншого.
X s ( X i ,s )
Перелік небезпечних подій
- спроба підбору пароля інших користувачів, тобто багаторазові спроби
входу з неправильним паролем в ін. середовища;
- всі спроби звернення користувача до системних таблиць або засобам
ОС;
- спроби перехоплення переривань програмами користувачів 13h або
21h;
- спроби зміни прав доступу або звернення до матриці прав доступу;
- підозрілим є відкриття захищених файлів і тривалий час не
використаної інформації;
- підозрілим є затримки в передачі інформації, зокрема, по локальних і
корпоративних мереж.
- небезпечним вважається спроба зміни показань системних годин;
- спроби звернення до зашифрованих файлів без відповідного ключа і
т.п.
- всі відмови в доступі з тих чи інших причин.
Лічильники
Лічильники формують загальну кількість конкретних небезпечних
дій, в тому числі, невдалих спроб по відповідному параметру.
Засоби моніторингу безпеки базуються на статистичних даних по
використанню небезпечних факторів в режимі нормальної роботи.
Визначаються максимальні значення (частоти) для цих факторів в
режимі нормальної роботи:
max
X (X i
max
)
і середні значення (частоти) для таких чинників:.
ср
X ( X iср )
Вектор Бернуллі 1
Ці дані, в наслідку, обробляються за допомогою так званого алгоритму
найбільших статистичних аномалій (алгоритм НАСА), який передбачає, в
свою чергу, формування бітового вектора індикації аномальних дій для
кожного s-того користувача:
B s (bi ,s ) i 1, n
bi,s 1 , Якщо, xi,s K н xi
max
bi ,s 0 , Інакше.
де Kн - коефіцієнт нормування Kн = (0,8 - 1,2)
Такий бітовий вектор індикації аномалій іноді називається вектором
Бернуллі. Він формується для виявлення відхилень профілів
нормального і аномального поведінки.
Вектор Бернуллі 2. Рівень загрози.
З використанням вектора можна вже сформувати деяку оцінку, що
характеризує "потенційну небезпеку" дій користувача. До такої оцінки
можна віднести рівень загрози того, що в j-му сеансі s-ий користувач міг
зробити НСД:
n
U s , j bi ,s wi
i 1
Топологія Dragonfly з
параметрами h=2 (p=2,
a=4), 36 маршрутизаторів
і 72 процесорних вузла.
Суперкомп’ютер Trinity - Cray XC40. 3.
• Особливістю топологічної організації Dragonfly є використання
повнозв’язних кластерів, кожен елемент якого має зв’язки з
декількома дзеркальними елементами інших кластерів. Таким
чином, між кластерна організація теж є повнозв’язною.
• В якості системи зв’язку точка-точка використовується технологія
Aries interconnect. Кожен адаптер може з’єднати 8
обчислювальних вузлів з іншими 40 мережевими адаптерами.
• При цьому, швидкість передачі буде складати до 5.25 GB/s на
кожен порт. Кожен маршрутизатор підтримує зв’язки всередині і
між кластерами.
Суперкомп’ютер Summit – IBM. 1.
Станом на листопад 2019
року на першому місці
рейтингу знаходиться
американський
суперкомп’ютер Summit -
IBM Power System AC922,
який знаходиться в
національній лабораторії
Oak Ridge міністерства
енергетики США (Теннесі,
США).
Суперкомп’ютер Summit - IBM. 2.
• Суперкомп’ютер складається з 4608 обчислювальних вузлів з
продуктивністю в 42 Терафлопси кожен. Таким чином загальна
продуктивність складає близько 192 Петафлопси.
• Кожен обчислювальний вузол складається з двох 22 ядерних
процесорів IBM Power9, 6 відеопроцесорів Nvidia GV100 та має
512 Гб оперативної пам’яті та 96 Гб відеопам’яті.
• Для зв’язку вузлів в безпосередньо-зв’язану мережу
використовується адаптери зв’язку точка-точка Dual Rail EDR-IB (25
GB/s) фірми Mellanox, які побудовані на технології InfiniBand.
Суперкомп’ютер Summit - IBM. 3.
• В якості топологічної орагнізації використовується Non-blocking Fat
Tree - жирне дерево без блокування. Розглянемо дану топологію
більш детально.