Pull to refresh

Как «башня» превращается в «пирамиду» — на примере темы анализа и фильтрации DNS

Reading time 4 min
Views 1.9K
В предыдущей статье мы рассмотрели как преподнести учащимся курсовой/дипломный проект или строим «башню» со второго этажа. Построим вместе «башню» на примере не теряющей актуальности темы анализа и фильтрации DNS трафика, проследим как «башня», расширяясь в нижних этажах, превращается в «пирамиду» и как это помогает преподавателю.

Что мы уже знаем из предыдущей статьи


Сведем в виде таблицы этапы подготовки и презентации, распределим их по этажам будущей «башни». Напомним, что в данной методологии:

  • работа преподавателя начинается со второго этажа подготовки (левая колонка таблицы);
  • пятый, четвертый, а иногда и третий этажи могут быть использованы практически без изменений для целого ряда курсовых/дипломных проектов.

Подготовка и проработка темы
(снизу вверх)
«этажи» Презентация темы
(сверху вниз)
Подборка актуальных компаний, которые [скорее всего] используют схожие бизнес-задачи 5 Бизнес-задача с примерами востребованности на рынке
Обобщение отдельной бизнес-функции до крупной бизнес-задачи 4 Декомпозиция бизнес-задачи, она разбивается на отдельные простые бизнес-функции, как правило доступные одному специалисту/разработчику
Проекция на бизнес-функцию 3 Формализация [с необходимым упрощением] бизнес-функции как переход к учебному/изучаемому материалу
Основная учебная задача 2 Получение формализованной задачи (и ограничений для неё)
Набор простых задач 1 Декомпозиция задачи в набор простых [под]задач
[предполагаемые] знания учащегося 0
фундамент
Обсуждение и вопросы на понимание материала

Когда «башня» построена


5 этаж


На рынке средств защиты информации востребованы решения по защите сетей предприятий и организация, в т.ч. сетей провайдеров. Многие из представленных решений имеют функционал по мониторингу, анализу и фильтрации DNS-трафика. Востребованы не только коробочные программные решения, которые заказчик размещает у себя, но и услуга, когда DNS-трафик обрабатывается на внешних серверах.

Примеры сервисов
Очевидно, что провайдеры услуги фильтрации DNS-трафика, особенно предоставляющие её бесплатно, могут преследовать и другие цели, помимо бескорыстной помощи в борьбе с нежелательной активностью в сети.
Comodo Secure DNS
Norton DNS
OpenDNS
Rejector.ru
SkyDNS
Яндекс.DNS

4 этаж


Мониторинг необходимо осуществлять «на лету», так чтобы это не отражалось на скорости работы потребителей. Это означает, что решение и том «хороший» или «плохой» запрос поступил и как на него реагировать должно приниматься системой сразу, без задержек, т.к. потом повлиять на ситуацию уже практически невозможно (кэш на клиентах, на систему мониторинга может попадать только DNS, а не весь трафик).

Система должна быть производительной, масштабируемой, отказоустойчивой. При этом необходимо иметь возможность использовать различные методики фильтрации — пользовательские списки, собственные списки и классификации, требования регуляторов, выявлять аномальную активность (dns-tunneling, перебор имен в поисках C&C-серверов).

3 этаж


Использовать только black/white списки невозможно, т.к. они слишком быстро устаревают и требуют колоссальных усилий для постоянной актуализации, необходимы эвристические методы. Например, комбинация нескольких простых методов, при том что каждый из них по отдельности не дает надежного ответа.

2 этаж


Каждый домен имеет ряд характеристик, например, дата создания, хостинг, владелец, схожесть с доменами из black/white списков, длина, статистика использования и т.д. Очевидно, что некоторые характеристики принадлежат конкретному домену, а некоторые другим объектам — доменной зоне, клиентам (статистика, типовое использование), хостингам/регистраторам/владельцам, получаемым IP адресам/диапазонам и т.д.

Необходимо выбрать некоторый набор подобных характеристик, ввести по ним метрики (насколько старый для даты создания, репутация для хостинга или зоны, владелец физ.лицо или крупная компания) и рассчитать влияние, например, через весовые коэффициенты на конечную интегральную оценку домена, установить пороговое значение.

Варианты решения могут быть различные, от нейронных сетей, до набора пересчитываемых на отдельном кластере таблиц.

2 этаж ver 2.0


Нет, не будем спускаться на 1 этаж и углубляться сейчас в отдельные подзадачи, это делается в привязке к читаемому курсу (больше уклона к математике или программированию или администрированию). К тому же необходимо учитывать интересы, увлечения, сильные и слабые стороны учащихся.

Обратим внимание на то, что решений может быть несколько, точнее даже так — вариантов решений много, а возможных реализаций — ещё больше.

Эти решения можно и нужно сравнивать между собой:
  • по выбранному алгоритму;
  • по производительности;
  • по ошибкам первого и второго рода;
  • по сложности поддержки, по масштабирумости, по стоимости владения и др.

Таким образом ранее выполненные работы не теряют актуальности — они могут быть использованы в сравнениях, могут выступать заданиями для оптимизации, могут служить эталоном по каким-то критериям (скорость, ошибки и др.).

Сами задачи сравнения — это выбор критерия и обоснование методики, подготовка и реализация сравнения (оценки сложности, нагрузочное тестирование, актуальные материалы для выявления ошибок первого и второго рода) — тоже могут стать отдельными проектами.

Вместо заключения


ИТ и ИБ специалистам часто приходится выбирать на рынке один из схожих по функционалу продуктов и опыт осмысленного сравнения, когда есть не только табличка от поставщика, нужен и полезен.

Многократно используя наработанный материал можно улучшать результат, а не скатываться к REPETITIO EST MATER STUDIORUM. Так «башня» и превращается в «пирамиду».

Конструктивные предложения и критика приветствуются.
Tags:
Hubs:
+3
Comments 0
Comments Leave a comment

Articles