Лекція 2.

Аналіз
аномальної поведінки.
Безпека програм та даних
Модель моніторингу безпеки
на основі алгоритму
найбільших статистичних
аномалій
Безпека програм та даних
Моніторинг безпеки.
Незважаючи на те, що багато атак і спроби несанкціонованого
доступу до інформації є пасивними (тобто вони не проявляють
себе), проте сучасні системи захисту і виявлення вторгнень можуть
виявити навіть такого потенційного порушника, який тільки
готуватися до активної атаці або готує її для іншого.

«Моніторинг» означає певний всеосяжний контроль певного стану

середовища і дій суб'єктів в середовищі. Обов'язково
передбачається, що в системі моніторингу є, як засобу контролю,
так і управління, наприклад, підтримки прийняття рішення щодо
введення додаткових засобів захисту в залежності від ситуації.
Вектор лічильників можливих небезпечних
дій
Потенційний порушник, перш за все, намагається використовувати
деякі пасивні спроби несанкціонованого доступу, які при досить
детальному аналізі експертами зводяться в спеціальну таблицю
можливих небезпечних дій, пов'язаних з вторгненням або
підготовкою до вторгнення.
В системі моніторингу для кожного s-того користувача формується
вектор - вектор лічильників можливих небезпечних дій s-того
користувача як потенційного порушника

X s  ( X i ,s )
Перелік небезпечних подій
- спроба підбору пароля інших користувачів, тобто багаторазові спроби
входу з неправильним паролем в ін. середовища;
- всі спроби звернення користувача до системних таблиць або засобам
ОС;
- спроби перехоплення переривань програмами користувачів 13h або
21h;
- спроби зміни прав доступу або звернення до матриці прав доступу;
- підозрілим є відкриття захищених файлів і тривалий час не
використаної інформації;
- підозрілим є затримки в передачі інформації, зокрема, по локальних і
корпоративних мереж.
- небезпечним вважається спроба зміни показань системних годин;
- спроби звернення до зашифрованих файлів без відповідного ключа і
т.п.
- всі відмови в доступі з тих чи інших причин.
Лічильники
Лічильники формують загальну кількість конкретних небезпечних
дій, в тому числі, невдалих спроб по відповідному параметру.
Засоби моніторингу безпеки базуються на статистичних даних по
використанню небезпечних факторів в режимі нормальної роботи.
Визначаються максимальні значення (частоти) для цих факторів в
режимі нормальної роботи:
max
X  (X i
max
)
і середні значення (частоти) для таких чинників:.
ср
X  ( X iср )
Вектор Бернуллі 1
Ці дані, в наслідку, обробляються за допомогою так званого алгоритму
найбільших статистичних аномалій (алгоритм НАСА), який передбачає, в
свою чергу, формування бітового вектора індикації аномальних дій для
кожного s-того користувача:
B s  (bi ,s ) i  1, n
bi,s  1 , Якщо, xi,s  K н  xi
max

bi ,s  0 , Інакше.
де Kн - коефіцієнт нормування Kн = (0,8 - 1,2)
Такий бітовий вектор індикації аномалій іноді називається вектором
Бернуллі. Він формується для виявлення відхилень профілів
нормального і аномального поведінки.
Вектор Бернуллі 2. Рівень загрози.
З використанням вектора можна вже сформувати деяку оцінку, що
характеризує "потенційну небезпеку" дій користувача. До такої оцінки
можна віднести рівень загрози того, що в j-му сеансі s-ий користувач міг
зробити НСД:

n
U s , j  bi ,s  wi
i 1

wi - вагові коефіцієнти, які відображають небезпеку або ймовірність

використання відповідного i-го фактора при реалізації
несанкціонованого доступу.
Вектор Бернуллі 3. Ваговий вектор.
Ваговій вектор формується експертами на основі аналізу
статистичних даних і вже відомих спроб несанкціонованого
доступу: W  (w )
i

Крім рівня загрози виконання НСД s-им користувачем в j-му сеансі,

які можуть мати часто суб'єктивний характер (помилкові, тобто
коли людина хвора), в процесі моніторингу використовуються і
більш загальні оцінки дій користувачів.
Вектор Бернуллі 3. Сеанси роботи.
На підставі одного сеансу адміністратор безпеки не може робити
висновки і тому формується узагальнений показник D - ступінь
небезпеки дій s-ого користувача за m- сеансів роботи:
Ds,
m
Ds  U s , j
j 1

А потім по спадаючій цього показника всі користувачі видаються в

списках потенційних порушників і формується певний поріг Kvota, як ще
допустима ступінь небезпеки помилкових дій, вище якої «помилки»
будуть сприйматися як неприпустимі, або як підготовка до реалізації
несанкціонованого доступу.
Модель моніторингу безпеки
Модель моніторингу безпеки можна з повним правом назвати моделлю
моніторингу довіри, оскільки його реалізація і впровадження має
важливе психологічне значення для користувачів, які можуть втратити
довіру адміністратора і всього комп'ютерного співтовариства.
Користувачі знають про «всевидючому око» і роблять в своїй роботі
істотно менше помилок або несанкціонованих дій.
Для адміністратора також важливо, що накопичуються дані, за якими
можна відновити картину вторгнення і виявити порушника. З іншого
боку, з'являється можливість оцінити кваліфікацію працівників з точки
зору комп'ютерної грамотності та своєчасно направляти тих, хто більше
помиляється, на курси підвищення кваліфікації або перенавчання.
Лекція 2. Відмовостійкість.
Безпека програм та даних
 Топологічні організації
сучасних суперкомп’ютерів
Безпека програм та даних
Суперкомп’ютер Cray Titan. 1.
Розглянемо
суперкомп’ютер Cray Titan
який займав перше місце
в топ 500 від 2012 року.
Цей суперкомп’ютер
містить 18 тис. вузлів, що
разом складають 552 тис.
процесорів, а його
загальна продуктивність
складає 18 Петафлопсів.
 Суперкомп’ютер Cray Titan. 2.
Titan, як і суперкомп’ютер Summit,
що прийшов йому на зміну,
зібраний в національній
лабораторії Oak Ridge міністерства
енергетики США.
Titan використовує топологічну
організацію 3D Tor Titan
побудований на основі технології
Gemini Network for Cray’s.
Кожен маршрутизатор містить 48
портів, а кожен лінк містить 12
каналів, які дозволяють передавати
дані зі швидкістю до 4.68GB/sec на
кожне підключення.
 Суперкомп’ютер Trinity - Cray XC40. 1.
Суперкомп’ютер Trinity - Cray XC40,
який знаходиться в національній
лабораторії LOS ALAMOS (США) займає
7-е місце в рейтингу топ 500 за
листопад 2019 року.
Trinity складається з 14 тис. вузлів,
кожен з яких має 68 ядер.
Загальна продуктивність
суперкомп’ютера складає 20
Петафлопсів.
 Суперкомп’ютер Trinity - Cray XC40. 2.
Trinity побудований на
основі топології Dragonfly.

Топологія Dragonfly з
параметрами h=2 (p=2,
a=4), 36 маршрутизаторів
і 72 процесорних вузла.
 Суперкомп’ютер Trinity - Cray XC40. 3.
• Особливістю топологічної організації Dragonfly є використання
повнозв’язних кластерів, кожен елемент якого має зв’язки з
декількома дзеркальними елементами інших кластерів. Таким
чином, між кластерна організація теж є повнозв’язною.
• В якості системи зв’язку точка-точка використовується технологія
Aries interconnect. Кожен адаптер може з’єднати 8
обчислювальних вузлів з іншими 40 мережевими адаптерами.
• При цьому, швидкість передачі буде складати до 5.25 GB/s на
кожен порт. Кожен маршрутизатор підтримує зв’язки всередині і
між кластерами.
Суперкомп’ютер Summit – IBM. 1.
Станом на листопад 2019
року на першому місці
рейтингу знаходиться
американський
суперкомп’ютер Summit -
IBM Power System AC922,
який знаходиться в
національній лабораторії
Oak Ridge міністерства
енергетики США (Теннесі,
США).
Суперкомп’ютер Summit - IBM. 2.
• Суперкомп’ютер складається з 4608 обчислювальних вузлів з
продуктивністю в 42 Терафлопси кожен. Таким чином загальна
продуктивність складає близько 192 Петафлопси.
• Кожен обчислювальний вузол складається з двох 22 ядерних
процесорів IBM Power9, 6 відеопроцесорів Nvidia GV100 та має
512 Гб оперативної пам’яті та 96 Гб відеопам’яті.
• Для зв’язку вузлів в безпосередньо-зв’язану мережу
використовується адаптери зв’язку точка-точка Dual Rail EDR-IB (25
GB/s) фірми Mellanox, які побудовані на технології InfiniBand.
Суперкомп’ютер Summit - IBM. 3.
• В якості топологічної орагнізації використовується Non-blocking Fat
Tree - жирне дерево без блокування. Розглянемо дану топологію
більш детально.

Жирне дерево без блокувань

Суперкомп’ютер Summit - IBM. 4.
• Використання топології жирного дерева і комутації на основі
віртуальних каналів дозволяє суперкомп’ютеру показати
результат в 148 Петафлопсів у тесті LINPACK, що складає майже
77% від пікової продуктивності.
• Перевагою топології жирного дерева є багаторазове
резервування всіх наявних зв’язків, що дозволяє майже
гарантовано уникнути повних блокувань при передачі даних,
навіть в умовах відмов компонентів комп’ютерної системи.
 Суперкомп’ютер Fugaku - Fujitsu. 1.
В червні 2020 року перше місце в рейтингу
суперкомп’ютерів зайняла японська машина
виробництва корпорації Fujitsu.

Суперкомп’ютер Fugaku складається з 158976 вузлів

і має швидкість більше 400 Петафлопсів. Для
з’єднання вузлів використовується архітектура Tofu
Interconnect D, яка являє собою 6-просторовий меш
(6D-тор).

Це дозволяє підвищити відмовостійкість зв’язків між

вузлами машини і проектувати суперкомп’ютери з
швидкістю від 10 Петафлопсів
Суперкомп’ютер Fugaku - Fujitsu. 2.
Active From 2021
RIKEN Center for Computational
Location
Science (R-CCS)
•158,976 nodes
•Fujitsu A64FX CPU (48+4 core) per
Architecture
node
•Tofu interconnect D
Operating system Custom Linux-based kernel
Memory HBM2 32 GiB/node
•1.6 TB NVMe SSD/16 nodes (L1)
Storage •150 PB Shared Lustre FS (L2)[1]
•Cloud storage services (L3)
Speed 415 PFLOPS (per TOP500 Rmax)
US$1 billion (total programme
Cost
cost)[2][3]
Ranking TOP500: 1, June 2020
Суперкомп’ютер Fugaku - Fujitsu. 3.
• Розглянемо переваги даної топології більш детальніше.

Дванадцять вузлів, що мають однакові координати xyz,

становлять групу вузлів і з'єднані між собою осями abc
Суперкомп’ютер Fugaku - Fujitsu. 4.

Показано 3 можливі шляхи між вузлами (0,0,0,0,2,0) та

(2,0,0,0,0,1). Всього таких маршрутів може бути 12
Дякую за увагу!