В предыдущей статье мы рассмотрели как преподнести учащимся курсовой/дипломный проект или строим «башню» со второго этажа. Построим вместе «башню» на примере не теряющей актуальности темы анализа и фильтрации DNS трафика, проследим как «башня», расширяясь в нижних этажах, превращается в «пирамиду» и как это помогает преподавателю.
Сведем в виде таблицы этапы подготовки и презентации, распределим их по этажам будущей «башни». Напомним, что в данной методологии:
На рынке средств защиты информации востребованы решения по защите сетей предприятий и организация, в т.ч. сетей провайдеров. Многие из представленных решений имеют функционал по мониторингу, анализу и фильтрации DNS-трафика. Востребованы не только коробочные программные решения, которые заказчик размещает у себя, но и услуга, когда DNS-трафик обрабатывается на внешних серверах.
Мониторинг необходимо осуществлять «на лету», так чтобы это не отражалось на скорости работы потребителей. Это означает, что решение и том «хороший» или «плохой» запрос поступил и как на него реагировать должно приниматься системой сразу, без задержек, т.к. потом повлиять на ситуацию уже практически невозможно (кэш на клиентах, на систему мониторинга может попадать только DNS, а не весь трафик).
Система должна быть производительной, масштабируемой, отказоустойчивой. При этом необходимо иметь возможность использовать различные методики фильтрации — пользовательские списки, собственные списки и классификации, требования регуляторов, выявлять аномальную активность (dns-tunneling, перебор имен в поисках C&C-серверов).
Использовать только black/white списки невозможно, т.к. они слишком быстро устаревают и требуют колоссальных усилий для постоянной актуализации, необходимы эвристические методы. Например, комбинация нескольких простых методов, при том что каждый из них по отдельности не дает надежного ответа.
Каждый домен имеет ряд характеристик, например, дата создания, хостинг, владелец, схожесть с доменами из black/white списков, длина, статистика использования и т.д. Очевидно, что некоторые характеристики принадлежат конкретному домену, а некоторые другим объектам — доменной зоне, клиентам (статистика, типовое использование), хостингам/регистраторам/владельцам, получаемым IP адресам/диапазонам и т.д.
Необходимо выбрать некоторый набор подобных характеристик, ввести по ним метрики (насколько старый для даты создания, репутация для хостинга или зоны, владелец физ.лицо или крупная компания) и рассчитать влияние, например, через весовые коэффициенты на конечную интегральную оценку домена, установить пороговое значение.
Варианты решения могут быть различные, от нейронных сетей, до набора пересчитываемых на отдельном кластере таблиц.
Нет, не будем спускаться на 1 этаж и углубляться сейчас в отдельные подзадачи, это делается в привязке к читаемому курсу (больше уклона к математике или программированию или администрированию). К тому же необходимо учитывать интересы, увлечения, сильные и слабые стороны учащихся.
Обратим внимание на то, что решений может быть несколько, точнее даже так — вариантов решений много, а возможных реализаций — ещё больше.
Эти решения можно и нужно сравнивать между собой:
Таким образом ранее выполненные работы не теряют актуальности — они могут быть использованы в сравнениях, могут выступать заданиями для оптимизации, могут служить эталоном по каким-то критериям (скорость, ошибки и др.).
Сами задачи сравнения — это выбор критерия и обоснование методики, подготовка и реализация сравнения (оценки сложности, нагрузочное тестирование, актуальные материалы для выявления ошибок первого и второго рода) — тоже могут стать отдельными проектами.
ИТ и ИБ специалистам часто приходится выбирать на рынке один из схожих по функционалу продуктов и опыт осмысленного сравнения, когда есть не только табличка от поставщика, нужен и полезен.
Многократно используя наработанный материал можно улучшать результат, а не скатываться к REPETITIO EST MATER STUDIORUM. Так «башня» и превращается в «пирамиду».
Конструктивные предложения и критика приветствуются.
Что мы уже знаем из предыдущей статьи
Сведем в виде таблицы этапы подготовки и презентации, распределим их по этажам будущей «башни». Напомним, что в данной методологии:
- работа преподавателя начинается со второго этажа подготовки (левая колонка таблицы);
- пятый, четвертый, а иногда и третий этажи могут быть использованы практически без изменений для целого ряда курсовых/дипломных проектов.
Подготовка и проработка темы (снизу вверх) |
«этажи» | Презентация темы (сверху вниз) |
---|---|---|
Подборка актуальных компаний, которые [скорее всего] используют схожие бизнес-задачи | 5 | Бизнес-задача с примерами востребованности на рынке |
Обобщение отдельной бизнес-функции до крупной бизнес-задачи | 4 | Декомпозиция бизнес-задачи, она разбивается на отдельные простые бизнес-функции, как правило доступные одному специалисту/разработчику |
Проекция на бизнес-функцию | 3 | Формализация [с необходимым упрощением] бизнес-функции как переход к учебному/изучаемому материалу |
Основная учебная задача | 2 | Получение формализованной задачи (и ограничений для неё) |
Набор простых задач | 1 | Декомпозиция задачи в набор простых [под]задач |
[предполагаемые] знания учащегося | 0 фундамент |
Обсуждение и вопросы на понимание материала |
Когда «башня» построена
5 этаж
На рынке средств защиты информации востребованы решения по защите сетей предприятий и организация, в т.ч. сетей провайдеров. Многие из представленных решений имеют функционал по мониторингу, анализу и фильтрации DNS-трафика. Востребованы не только коробочные программные решения, которые заказчик размещает у себя, но и услуга, когда DNS-трафик обрабатывается на внешних серверах.
Примеры сервисов
Очевидно, что провайдеры услуги фильтрации DNS-трафика, особенно предоставляющие её бесплатно, могут преследовать и другие цели, помимо бескорыстной помощи в борьбе с нежелательной активностью в сети.
Comodo Secure DNS
Norton DNS
OpenDNS
Rejector.ru
SkyDNS
Яндекс.DNS
Comodo Secure DNS
Norton DNS
OpenDNS
Rejector.ru
SkyDNS
Яндекс.DNS
4 этаж
Мониторинг необходимо осуществлять «на лету», так чтобы это не отражалось на скорости работы потребителей. Это означает, что решение и том «хороший» или «плохой» запрос поступил и как на него реагировать должно приниматься системой сразу, без задержек, т.к. потом повлиять на ситуацию уже практически невозможно (кэш на клиентах, на систему мониторинга может попадать только DNS, а не весь трафик).
Система должна быть производительной, масштабируемой, отказоустойчивой. При этом необходимо иметь возможность использовать различные методики фильтрации — пользовательские списки, собственные списки и классификации, требования регуляторов, выявлять аномальную активность (dns-tunneling, перебор имен в поисках C&C-серверов).
3 этаж
Использовать только black/white списки невозможно, т.к. они слишком быстро устаревают и требуют колоссальных усилий для постоянной актуализации, необходимы эвристические методы. Например, комбинация нескольких простых методов, при том что каждый из них по отдельности не дает надежного ответа.
2 этаж
Каждый домен имеет ряд характеристик, например, дата создания, хостинг, владелец, схожесть с доменами из black/white списков, длина, статистика использования и т.д. Очевидно, что некоторые характеристики принадлежат конкретному домену, а некоторые другим объектам — доменной зоне, клиентам (статистика, типовое использование), хостингам/регистраторам/владельцам, получаемым IP адресам/диапазонам и т.д.
Необходимо выбрать некоторый набор подобных характеристик, ввести по ним метрики (насколько старый для даты создания, репутация для хостинга или зоны, владелец физ.лицо или крупная компания) и рассчитать влияние, например, через весовые коэффициенты на конечную интегральную оценку домена, установить пороговое значение.
Варианты решения могут быть различные, от нейронных сетей, до набора пересчитываемых на отдельном кластере таблиц.
2 этаж ver 2.0
Нет, не будем спускаться на 1 этаж и углубляться сейчас в отдельные подзадачи, это делается в привязке к читаемому курсу (больше уклона к математике или программированию или администрированию). К тому же необходимо учитывать интересы, увлечения, сильные и слабые стороны учащихся.
Обратим внимание на то, что решений может быть несколько, точнее даже так — вариантов решений много, а возможных реализаций — ещё больше.
Эти решения можно и нужно сравнивать между собой:
- по выбранному алгоритму;
- по производительности;
- по ошибкам первого и второго рода;
- по сложности поддержки, по масштабирумости, по стоимости владения и др.
Таким образом ранее выполненные работы не теряют актуальности — они могут быть использованы в сравнениях, могут выступать заданиями для оптимизации, могут служить эталоном по каким-то критериям (скорость, ошибки и др.).
Сами задачи сравнения — это выбор критерия и обоснование методики, подготовка и реализация сравнения (оценки сложности, нагрузочное тестирование, актуальные материалы для выявления ошибок первого и второго рода) — тоже могут стать отдельными проектами.
Вместо заключения
ИТ и ИБ специалистам часто приходится выбирать на рынке один из схожих по функционалу продуктов и опыт осмысленного сравнения, когда есть не только табличка от поставщика, нужен и полезен.
Многократно используя наработанный материал можно улучшать результат, а не скатываться к REPETITIO EST MATER STUDIORUM. Так «башня» и превращается в «пирамиду».
Конструктивные предложения и критика приветствуются.