Как «башня» превращается в «пирамиду» — на примере темы анализа и фильтрации DNS
В предыдущей статье мы рассмотрели как преподнести учащимся курсовой/дипломный проект или строим «башню» со второго этажа. Построим вместе «башню» на примере не теряющей актуальности темы анализа и фильтрации DNS трафика, проследим как «башня», расширяясь в нижних этажах, превращается в «пирамиду» и как это помогает преподавателю.
Что мы уже знаем из предыдущей статьи
Сведем в виде таблицы этапы подготовки и презентации, распределим их по этажам будущей «башни». Напомним, что в данной методологии:
- работа преподавателя начинается со второго этажа подготовки (левая колонка таблицы);
- пятый, четвертый, а иногда и третий этажи могут быть использованы практически без изменений для целого ряда курсовых/дипломных проектов.
| Подготовка и проработка темы (снизу вверх) |
«этажи» | Презентация темы (сверху вниз) |
|---|---|---|
| Подборка актуальных компаний, которые [скорее всего] используют схожие бизнес-задачи | 5 | Бизнес-задача с примерами востребованности на рынке |
| Обобщение отдельной бизнес-функции до крупной бизнес-задачи | 4 | Декомпозиция бизнес-задачи, она разбивается на отдельные простые бизнес-функции, как правило доступные одному специалисту/разработчику |
| Проекция на бизнес-функцию | 3 | Формализация [с необходимым упрощением] бизнес-функции как переход к учебному/изучаемому материалу |
| Основная учебная задача | 2 | Получение формализованной задачи (и ограничений для неё) |
| Набор простых задач | 1 | Декомпозиция задачи в набор простых [под]задач |
| [предполагаемые] знания учащегося | 0 фундамент |
Обсуждение и вопросы на понимание материала |
Когда «башня» построена
5 этаж
На рынке средств защиты информации востребованы решения по защите сетей предприятий и организация, в т.ч. сетей провайдеров. Многие из представленных решений имеют функционал по мониторингу, анализу и фильтрации DNS-трафика. Востребованы не только коробочные программные решения, которые заказчик размещает у себя, но и услуга, когда DNS-трафик обрабатывается на внешних серверах.
Примеры сервисов
Очевидно, что провайдеры услуги фильтрации DNS-трафика, особенно предоставляющие её бесплатно, могут преследовать и другие цели, помимо бескорыстной помощи в борьбе с нежелательной активностью в сети.
Comodo Secure DNS
Norton DNS
OpenDNS
Rejector.ru
SkyDNS
Яндекс.DNS
Comodo Secure DNS
Norton DNS
OpenDNS
Rejector.ru
SkyDNS
Яндекс.DNS
4 этаж
Мониторинг необходимо осуществлять «на лету», так чтобы это не отражалось на скорости работы потребителей. Это означает, что решение и том «хороший» или «плохой» запрос поступил и как на него реагировать должно приниматься системой сразу, без задержек, т.к. потом повлиять на ситуацию уже практически невозможно (кэш на клиентах, на систему мониторинга может попадать только DNS, а не весь трафик).
Система должна быть производительной, масштабируемой, отказоустойчивой. При этом необходимо иметь возможность использовать различные методики фильтрации — пользовательские списки, собственные списки и классификации, требования регуляторов, выявлять аномальную активность (dns-tunneling, перебор имен в поисках C&C-серверов).
3 этаж
Использовать только black/white списки невозможно, т.к. они слишком быстро устаревают и требуют колоссальных усилий для постоянной актуализации, необходимы эвристические методы. Например, комбинация нескольких простых методов, при том что каждый из них по отдельности не дает надежного ответа.
2 этаж
Каждый домен имеет ряд характеристик, например, дата создания, хостинг, владелец, схожесть с доменами из black/white списков, длина, статистика использования и т.д. Очевидно, что некоторые характеристики принадлежат конкретному домену, а некоторые другим объектам — доменной зоне, клиентам (статистика, типовое использование), хостингам/регистраторам/владельцам, получаемым IP адресам/диапазонам и т.д.
Необходимо выбрать некоторый набор подобных характеристик, ввести по ним метрики (насколько старый для даты создания, репутация для хостинга или зоны, владелец физ.лицо или крупная компания) и рассчитать влияние, например, через весовые коэффициенты на конечную интегральную оценку домена, установить пороговое значение.
Варианты решения могут быть различные, от нейронных сетей, до набора пересчитываемых на отдельном кластере таблиц.
2 этаж ver 2.0
Нет, не будем спускаться на 1 этаж и углубляться сейчас в отдельные подзадачи, это делается в привязке к читаемому курсу (больше уклона к математике или программированию или администрированию). К тому же необходимо учитывать интересы, увлечения, сильные и слабые стороны учащихся.
Обратим внимание на то, что решений может быть несколько, точнее даже так — вариантов решений много, а возможных реализаций — ещё больше.
Эти решения можно и нужно сравнивать между собой:
- по выбранному алгоритму;
- по производительности;
- по ошибкам первого и второго рода;
- по сложности поддержки, по масштабирумости, по стоимости владения и др.
Таким образом ранее выполненные работы не теряют актуальности — они могут быть использованы в сравнениях, могут выступать заданиями для оптимизации, могут служить эталоном по каким-то критериям (скорость, ошибки и др.).
Сами задачи сравнения — это выбор критерия и обоснование методики, подготовка и реализация сравнения (оценки сложности, нагрузочное тестирование, актуальные материалы для выявления ошибок первого и второго рода) — тоже могут стать отдельными проектами.
Вместо заключения
ИТ и ИБ специалистам часто приходится выбирать на рынке один из схожих по функционалу продуктов и опыт осмысленного сравнения, когда есть не только табличка от поставщика, нужен и полезен.
Многократно используя наработанный материал можно улучшать результат, а не скатываться к REPETITIO EST MATER STUDIORUM. Так «башня» и превращается в «пирамиду».
Конструктивные предложения и критика приветствуются.