1. 可擴充式安全伺服器交替系統 一種兼具容錯與負載平衡的容侵架構 Lei Wang 1/08/2010

2. Outline  起源  GMU 的 SCIT  伺服器交替的價值  可擴充式安全伺服器交替系統  目前的焦點與展望

3. 起源  2006 的 George Mason University 訪問  GMU 的 Pentagon White Book 1. 國防資料庫的防恐方案 2. Sun Microsystems 的支持  SCIT-Self Cleansing Intrusion Tolerance 1. 新的容侵思考與實踐模式 2. 運用 Virtual Machine 的軟體技術

4. GMU 的 SCIT  網路攻擊與入侵 攻擊為入侵的必要手段 入侵不必然為攻擊的最終目的  網路的入侵與防禦

5. GMU 的 SCIT  被入侵的損失曲線  SCIT 的目標 以自毀的方式強迫性清除入侵 入侵者居留時 間 低損失 端 高損失 端 圖 2 損失曲線

6. GMU 的 SCIT  與外界隔離的中央控制器 (Central Controller)  Virtual Machine 建構的 Cleansing 與 Reboot

7. GMU 的 SCIT  Firewall 的 SCIT  Stateless Web 的 SCIT  DNS 的 SCIT Web box1 Web box2 SCIT WEB server (a) WEB server1 使用 中 (b) WEB server 2 使用中 共享的 儲存裝置 ( 唯讀或 非揮發 ) HTTP 回覆 HTTP 要求 顧客 Web box2 Web box1 SCIT WEB server HTTP 回覆 HTTP 要求 顧客 從儲存裝置 獲得網頁內 容 共享的 儲存裝置 ( 唯讀或 非揮發 )

8. GMU 的 SCIT  SCIT-DNS Centralized Solution

9. GMU 的 SCIT  SCIT-DNS Distributed Solution

10. GMU 的 SCIT  SCIT-DNS Distributed Solution

11. GMU 的 SCIT  SCIT 的理論分析 State Transition Transient states –Good (G): system is functioning normally –Vulnerable (V): system has vulnerabilities that a hacker is trying to study –Attacked (A): system is under attack, as vulnerabilities are exploited Absorbing state –Fail (F): system is in failure mode A G VF

12. GMU 的 SCIT  SCIT 的理論分析 Exposure Window and MTTSF(Mean Time To Security Failure)

13. 伺服器交替的價值  一般的網路供擊 / 入侵方法 1. 竄改資料 (Data Diddling) ：當資料被輸入電腦之前或正在輸入中被竄改， 由於電腦所獲得的輸入資料已不準確，其輸出當然不準確。 2. 木馬藏身 (Trojan Horse) ：入侵者雖已將指令藏入作業程式中，但使得 電腦仍看起來正常運作，即使是在它播下或收成自身的破壞種子時。 3. 積少成多 (Salami) ：入侵者進入系統後只由每一個來源中拿取一點點東 西，使其入侵所造成的損失不易被察覺。 4. 超級指令 (Superzapping) ：超級指令此一名稱來自 IBM 大型主機所使用 的一個工具程式。不幸的是，入侵者將此一合法的工具運用到非法的 方面，利用此一工具非法的去修改、銷毀、洩露資料。 5. 建立陷阱 (Trapdoors) ：程式中常常有一些內建的中斷點，可以在執行的 當時便檢查輸出結果。這些程式後門原意是為了方便除錯，但它們卻 容易遭到誤用。

14. 伺服器交替的價值  一般的網路供擊 / 入侵方法 6. 邏輯炸彈 (Logic Bombs) ：邏輯炸彈乃是利用特洛伊木馬的方式將所謂 的「炸彈」放入電腦中。大部份電腦病毒的發作時都是因邏輯炸彈引 爆而起。 7. 異步攻擊 (Asynchronous Attack) ：主機或伺服器必須隨時準備好同時處 理數項工作。為了使使用者的資料不致相互混淆，這些系統乃被設計 成一次處理一項要求。異步攻擊者則破壞分隔機制後以獲得存取其他 人作業的權力。 8. 清道夫 (Scavenging) ：入侵者運用其合法的權限檢視系統棄置的資料與 檔案，再進而取得系統或其他使用者的私密資訊以進行入侵與破壞。 9. 線路竊聽 (Wiretapping) ：駭客可利用通訊線路劫取被傳送的未加密密碼， 藉著劫取到的密碼，駭客可偽裝成一個合法的使用者。 10. 模擬 (Simulation and Modeling) ：入侵者建立了一個對真實程式的電子 模擬，然後以他的版本換到實物。

15. 伺服器交替的價值  一般的網路供擊 / 入侵方法 11. 偽裝ＩＰ：駭客可以偽裝他的電腦ＩＰ位址成為可信賴的主機位址， 這讓他可執行系統命令削弱系統安全防護。 12. 通話劫取：搶奪已經建立的可信賴連線上的資訊。 13. 取消服務 (Denial-of- Service) ：發出大量的封包，使主機為了回應目標 電腦的要求而將所有記憶體空間和時間都用來處理回應訊號，這會使 主機無法處理來自其他使用者傳送來的封包。

16. 可擴充式安全伺服器交替系統 To achieve servers’ reliability by connecting several servers to a central controller. Special Feature Several host machines connected by a hardware central controller (Pool Controller) to achieve: –Fault Tolerance by Redundancy. –Security by periodically switch services among host. –Workload balance by monitoring and switch from pool controller.

17. 可擴充式安全伺服器交替系統

19. Composed of –Host Operating System –Guest Operating Systems –Host Daemon VMM Functions –Isolated OS –Snapshot: Fast Intrusion Elimination

20. 可擴充式安全伺服器交替系統

21.  Environment  500 clients in one second  Each client sends 10 requests  Result  Prototype 99% => 17ms 1% => 227ms  Enhancement 99% => 9ms 1% => 37ms

22. 目前的焦點與展望  目前的研究焦點 Boundary of Exposure Window Strategy for Workload Balance Handoff for Transactions Connection among Pools  展望 Pool Controller 的實體化 異質性 (Heterogeneous) Server 的引入

23. THE END