Як «вежа» перетворюється на «піраміду» - на прикладі теми аналізу і фільтрації DNS

У попередній статті ми розглянули як піднести учням курсовий/дипломний проект або будуємо «вежу» з другого поверху. Побудуємо разом «вежу» на прикладі не втрачає актуальності теми аналізу і фільтрації DNS трафіку, простежимо як «вежа», розширюючись у нижніх поверхах, перетворюється на «піраміду» і як це допомагає викладачеві.

Що ми вже знаємо з попередньої статті

Зведемо у вигляді таблиці етапи підготовки та презентації, розподілимо їх по поверхах майбутньої «вежі». Нагадаємо, що в цій методології:

  • робота викладача починається з другого поверху підготовки (ліва колонка таблиці);
  • п'ятий, четвертий, а іноді і третій поверхи можуть бути використані практично без змін для цілого ряду курсових/дипломних проектів.

Підготовка та опрацювання теми

(знизу вгору)

«поверхи»

Презентація теми

(зверху вниз)

Добірка актуальних компаній, які [швидше за все] використовують схожі бізнес-завдання

5

Бізнес-завдання з прикладами затребуваності на ринку

Узагальнення окремої бізнес-функції до великого бізнес-завдання

4

Декомпозиція бізнес-завдання, вона розбивається на окремі прості бізнес-функції, як правило доступні одному фахівцеві/розробнику

Проекція на бізнес-функцію

3

Формалізація [з необхідним спрощенням] бізнес-функції як перехід до навчального/матеріалу, що вивчається

Основне навчальне завдання

2

Отримання формалізованого завдання (і обмежень для нього)

Набір простих завдань

1

Декомпозиція завдання в набір простих [під] завдань

[передбачувані] знання учня

0

фундамент

Обговорення та питання на розуміння матеріалу

Коли «башта» побудована

5 поверх

На ринку засобів захисту інформації затребувані рішення щодо захисту мереж підприємств і організація, в т. ч. мереж провайдерів. Багато з представлених рішень мають функціонал з моніторингу, аналізу та фільтрації DNS-трафіку. Затребувані не тільки коробкові програмні рішення, які замовник розміщує у себе, але і послуга, коли DNS-трафік обробляється на зовнішніх серверах.

Приклади сервісів

Очевидно, що провайдери послуги фільтрації DNS-трафіку, особливо надають її безкоштовно, можуть переслідувати й інші цілі, крім безкорисливої допомоги в боротьбі з небажаною активністю в мережі.

Comodo Secure DNS

Norton DNS

OpenDNS

Rejector.ru

SkyDNS

Яндекс.DNS

4 поверх

Моніторинг необхідно здійснювати «на льоту», так щоб це не відбивалося на швидкості роботи споживачів. Це означає, що рішення і тому «хороший» або «поганий» запит надійшов і як на нього реагувати повинно прийматися системою відразу, без затримок, тому що потім вплинути на ситуацію вже практично неможливо (кеш на клієнтах, на систему моніторингу може потрапляти тільки DNS, а не весь трафік).

Система повинна бути продуктивною, масштабованою, відмовостійкою. При цьому необхідно мати можливість використовувати різні методики фільтрації - списки користувача, власні списки і класифікації, вимоги регуляторів, виявляти аномальну активність (dns-tunneling, перебір імен у пошуках C & C-серверів).

3 поверх

Використовувати тільки black/white списки неможливо, оскільки вони занадто швидко застарівають і вимагають колосальних зусиль для постійної актуалізації, необхідні евристичні методи. Наприклад, комбінація декількох простих методів, при тому що кожен з них окремо не дає надійної відповіді.

2 поверх

Кожен домен має ряд характеристик, наприклад, дата створення, хостинг, власник, схожість з доменами з black/white списків, довжина, статистика використання тощо. Очевидно, що деякі характеристики належать конкретному домену, а деякі інші об'єкти - доменній зоні, клієнтам (статистика, типове використання), хостингам/реєстраторам/власникам, одержуваним IP адресам/діапазонам тощо.

Необхідно вибрати деякий набір подібних характеристик, ввести за ними метрики (наскільки старий для дати створення, репутація для хостингу або зони, власник фіз.особа або велика компанія) і розрахувати вплив, наприклад, через вагові коефіцієнти на кінцеву інтегральну оцінку домену, встановити порогове значення.

Варіанти вирішення можуть бути різні, від нейронних мереж, до набору перераховуваних на окремому кластері таблиць.

2 поверх ver 2.0

Ні, не будемо спускатися на 1 поверх і заглиблюватися зараз в окремі підзадачі, це робиться в прив'язці до читаного курсу (більше ухилу до математики або програмування або адміністрування). До того ж необхідно враховувати інтереси, захоплення, сильні і слабкі сторони учнів.

Звернемо увагу на те, що рішень може бути кілька, точніше навіть так - варіантів рішень багато, а можливих реалізацій - ще більше.

Ці рішення можна і потрібно порівнювати між собою:

  • за обраним алгоритмом;
  • з продуктивності;
  • помилково першого і другого роду;
  • за складністю підтримки, за масштабуванням, за вартістю володіння та ін.

Таким чином раніше виконані роботи не втрачають актуальності - вони можуть бути використані в порівняннях, можуть виступати завданнями для оптимізації, можуть служити еталоном за якимись критеріями (швидкість, помилки та ін.).

Самі завдання порівняння - це вибір критерію та обґрунтування методики, підготовка та реалізація порівняння (оцінки складності, навантажувальне тестування, актуальні матеріали для виявлення помилок першого та другого роду) - теж можуть стати окремими проектами.

Замість ув'язнення

ІТ і ІБ фахівцям часто доводиться вибирати на ринку один зі схожих за функціоналом продуктів і досвід осмисленого порівняння, коли є не тільки табличка від постачальника, потрібен і корисний.

Багато разів використовуючи напрацьований матеріал можна покращувати результат, а не скочуватися до REPETITIO EST MATER STUDIORUM. Так «вежа» і перетворюється на «піраміду».

Конструктивні пропозиції і критика вітаються.