高トラフィック観測・分析法に関する技術調査 - ipa...15情経第1632号...
TRANSCRIPT
15 情経第 1632 号
高トラフィック観測・分析法に関する技術調査
2004 年 4 月
情報セキュリティ対策研究開発評価等事業
Contents
1. はじめに...........................................................................................................................1 2. トラフィックモデリングとネットワーク管理 .................................................................3
2.1. トラフィックモデリングの問題点.............................................................................4 2.1.1. ポアソン過程の限界............................................................................................4
2.2. 新しいトラフィックモデリングの方向性 ..................................................................6 2.2.1. 自己相似性 ..........................................................................................................6 2.2.2. ウェーブレット変換の活用 .................................................................................8
2.3. トラフィックモデリングとネットワーク管理 ...........................................................9 3. インターネット計測....................................................................................................... 11
3.1. アクティブ計測とパッシブ計測 ..............................................................................12 3.2. 計測点とその特性....................................................................................................13 3.3. インターネット計測技術の現状 ..............................................................................15
3.3.1. PC によるパケットキャプチャ..........................................................................15 3.3.2. サンプリング技術 .............................................................................................17 3.3.3. 高精度監視技術.................................................................................................18 3.3.4. 集約トラフィックの計測技術 ...........................................................................20 3.3.5. IPv6 への対応状況 ............................................................................................20
3.4. 計測技術の課題 .......................................................................................................22 4. トラフィック分析技術 ...................................................................................................24
4.1. ネットワークの不正なトラフィック特性 ................................................................25 4.2. 様々な DoS 関連分析技術........................................................................................26
4.2.1. DoS トラフィック分析の概要 ...........................................................................26 4.2.2. DDoS の世界的傾向分析技術 ............................................................................27
4.3. ニューラルネットワークによるアプローチ ............................................................30 4.3.1. ニューラルネットワーク ..................................................................................30 4.3.2. ニューラルネットワークを用いた IDS.............................................................31 4.3.3. ニューラルネットの IDS への応用の可能性.....................................................32
4.4. ネットワークベース IDS の Anomaly 検知.............................................................33 4.4.1. 確率ベースのアプローチ ..................................................................................33 4.4.2. 多変量アプローチ .............................................................................................34 4.4.3. 状態ベースアプローチ ......................................................................................35 4.4.4. データマイニングアプローチ ...........................................................................35 4.4.5. Anomaly 検知技術の今後の方向性....................................................................35
4.5. 経路情報とリンクした計測と分析...........................................................................36
4.6. トラフィック変動の抽出 .........................................................................................37 4.6.1. LPF のネットワークトラフィックへの応用......................................................38 4.6.2. IPv6 IX トラフィックによる検証......................................................................38
4.7. インシデント情報の共有 .........................................................................................39 4.8. 最新の不正アクセスの動向 .....................................................................................39
4.8.1. Reflector 攻撃....................................................................................................39 4.8.2. Pulsing DoS 攻撃 ..............................................................................................42
4.9. 分析技術の現状と課題.............................................................................................43 5. 実用的なトラフィック監視と詳細検査 ..........................................................................46
5.1. 対象ネットワークの LAN の構成............................................................................46 5.2. アプリケーション異常の検知 ..................................................................................48 5.3. ネットワーク帯域占有の検知 ..................................................................................49 5.4. 分散観測による異常診断 .........................................................................................50 5.5. トラフィックの波形と発生イベントの関連性 .........................................................52
6. シンプルなイベント生成とそれに連動した詳細分析.....................................................56 6.1. トラフィックの安定性.............................................................................................56
6.1.1. 特定トラフィックの支配率 ...............................................................................57 6.1.2. 支配的な N........................................................................................................58 6.1.3. 支配的な N の安定性 ........................................................................................59 6.1.4. 安定性の評価基準 .............................................................................................61 6.1.5. スロット化方式.................................................................................................62 6.1.6. スロットサイズ.................................................................................................63 6.1.7. スロット数 ........................................................................................................64 6.1.8. 統計性について.................................................................................................66
6.2. 監視項目による安定性の違い ..................................................................................69 6.2.1. 小規模ネットワークでの各監視項目の安定性 ..................................................70 6.2.2. 大規模ネットワークでの各監視項目の安定性 ..................................................78
6.3. 安定性の監視への応用.............................................................................................84 6.4. 詳細分析 ..................................................................................................................85
6.4.1. 支配的 N 内の順位の安定性分析.......................................................................86 6.4.2. アクティブ計測との協調 ..................................................................................89
7. ネットワークプロセッサの可能性 .................................................................................91 8. ネットワーク観測環境 ...................................................................................................93 謝辞 ....................................................................................................................................95 ツール .................................................................................................................................95 参考文献 .............................................................................................................................96
- 1 -
1. はじめに
ネットワークシステムは、巨大化、高度化の一途をたどっており、システムの管理という
観点からは、他の大規模システム、工業プラント、原子力発電システム等と同様に系統的
なシステム診断技術に基づく異常の検出と予知が必要となる。
また、システムの巨大化が進行すると、そのシステムの障害によってもたらされる危険の
及ぼす影響が増大する。このため、障害や事故を防ぎ、発生時に迅速に対処することの意
義がより重いものとなる。
社会基盤の重要な役割を担う大規模システムは、このような環境を反映し、システム全体
の信頼性・安全性の向上に資するため、異常検出の高度化・インテリジェント化を伴う傾
向にある。
ネットワークシステムの社会基盤としての重要性は益々増大しており、この大規模システ
ムに対する「安全・安心」はとりわけ重要な課題となっている。
ネットワークシステムを脅かす行為として、従来知られている DoS 攻撃、および最近着目
されているより巧妙な DoS 攻撃が存在する。こうした脅威は、基本的にはネットワークト
ラフィックの流量に対する不正な操作に起因する。このため、このような脅威への対処方
策は、トラフィック量を管理する機構における制御対象量(ここではトラフィック)の検
出と診断の問題に帰着される。
本報告では、急速に発展しつつある本技術(トラフィックの計測・分析)分野の理論的な背
景にもとづき、実証実験および事例研究成果を踏まえた展望を述べる。
図 1 に、本調査研究における各要素の位置づけを示す。トラフィック監視を異常や不正の
情報を知るための道具であると位置づけ、計測、分析、異常通知を基本的な要素とする。
図 1 本調査研究の概要
ネットワーク計測 情報分析 異常通知
理論モデル
- 2 -
第 2 章においては、主にトラフィックのモデル化に関する最新の技術動向を検証する。ネ
ットワークへの攻撃に対処するためには、攻撃の有無の判定、攻撃の質、攻撃の程度、等
を定量的に「評価」するための指標が必ず必要となる。最新のトラフィック理論の研究に
おいては、特にこの観点からトラフィックの性質を分類することが重要となっている。
トラフィック理論の基礎となるモデルは、ポアソン到着過程という確率過程であり、広大
なネットワーク研究がこれを利用してなされてきた。本章では、攻撃や障害の検知という
観点から有用であると考えられる最新のネットワークモデル研究の動向をできるだけ平易
に解説する。
また、このようなモデル化は、実証的な運用管理の手法、特に攻撃への対処方策と密接に
関連している。そこで、第 3 章以下では、こうしたモデル化を踏まえた過去の実証研究の
事例を紹介する。さらに、そうした事例から攻撃への対処方策を体系付ける分類のあり方
などに言及する。
第 4 章では、計測されたトラフィックを分析する技術について、特に不正アクセスに関連
する部分を重点的に調査研究する。大きな問題となっている DoS 攻撃を分析する技術は世
界中で広く研究が行われている。未知の攻撃を検知するための有力な技術として、ニュー
ラルネットワークを用いたアプローチの他、多様な統計的アプローチを調査研究する。ま
た、分析技術の今後の方向性として、ネットワーク構成を考慮した分析のほか、広域にわ
たるインシデントの分析のための情報交換、近年の新しい DoS 攻撃の動向についても調査
検討する。
第 5 章では、ネットワークで起こっている問題について、実際のネットワーク監視結果を
元にしたケーススタディを行う。ネットワーク管理の現場では、IDS 等で検知できるよう
な明らかな不正アクセスよりも、トラフィックの増減や特定のアプリケーションの異常、
といった問題の方が、現実的な問題となっていることを示し、適切な監視体制が不可欠で
あることを実際の事例を通して検証する。
第 6 章では、これまでの議論を踏まえ、監視すべきトラフィック情報とその分析について、
具体的な監視方法を検討する。近年注目されているトラフィックの安定性に関する特性の
不正アクセス監視への応用の可能性を、実ネットワークのトラフィックを通して検証する。
今後のネットワーク監視で、実施すべき監視と分析の可能性を明らかにする。
第 7 章では、今後ますます大容量化がすすむであろうネットワークトラフィックを処理す
る汎用的な手法として注目されているネットワークプロセッサの最新動向を調査研究する。
- 3 -
2. トラフィックモデリングとネットワーク管理
インターネットトラフィックのモデリング研究では、通常状態だけではなく、障害やセキュリティイン
シデントを含む一般的なインターネットトラフィックを扱うことができるモデルが重要であり、その構
築は非常に困難な課題となっている。また現実のネットワークにおいて障害やセキュリティインシ
デントの検知・診断に応用するには、大局的なトラフィックの振る舞いだけではなく、実現可能な観
測体制を考慮し、局所的な振る舞いを扱える小回りの効く道具としてのモデルが必要とされてい
る。本調査研究では、現実のトラフィック監視および分析に適用可能なモデルとしてトラフィックの
安定性に注目した手法について、6 章でその適用可能性を実地に調査した。
トラフィックのモデリングは、ネットワーク上で起こる様々な現象を理解し、予測するた
めの道具として電話網の設計からインターネットの管理まで幅広く利用されている。特に
近年、ネットワークアプリケーションの多様化と広帯域アプリケーションの利用増大によ
り、インターネットトラフィックに関しては、モデルの構成に対する考え方が大きく変遷
している。
本章では、現在の先端的研究の調査研究に基づき、インターネットトラフィックの振る舞
いを効果的に記述するモデルとそれを性格付けるパラメータに関する可能性の検討を行う。
図 2 インターネットトラフィックのモデリング
まず、通信工学上の基本的な考え方として、「ポアソン過程」によるトラフィックのモデリ
ングがある。これは、利用者が全体的にはランダムに通信を行うことを想定しており、幅
広く用いられてきた。
トラフィックの状態が異常か否か、ということを判断するためには、本質的にはネットワ
ークの振る舞いが「こうあるべき」というモデルが必要になる。本章では、高トラフィッ
ク時におけるトラフィックモデルに関する限界と最新の研究動向を調査した上で、そのセ
キュリティ管理機構等への応用を検討する。
モデル
パラメータ
トラフィック情報
トラフィック予測
- 4 -
ポアソン過程はその数学的な扱いが容易であることからもネットワーク設計の基礎として
適していた。ATM 通信のような高トラフィックの環境を議論する場合でも、基本的には通
信量の振舞いは、比較的単純な確率過程で記述できるとして議論することが一般的である。
しかし、インターネットの利用形態を考えてみると、サービスや利用形態の多様化が、そ
うした仮定から大きく外れる特性をネットワークにもたらしている。
こうした状況を反映して、1995 年には Vern Paxson らによってポアソン過程をインターネ
ットトラフィックのモデリングに利用することの限界を示す論文[1]が発表された。彼らは、
実際のトラフィックトレースを詳細に分析した結果、ポアソン到着過程によりモデリング
できる場合とそうでない場合の詳細な分析を行っている。ネットワークの利用形態の多様
化とコンテンツのマルチメディア化、自動化された通信を背景とする大規模トラフィック
に関しては、従来のトラフィック理論の適用が困難であることを明らかにしている。
本調査では[1][2][3] 等を調査した結果をまとめるとともに、ネットワーク障害検知等の管
理制御において有効な数理モデルの方向性を検討する。
2.1. トラフィックモデリングの問題点
文献[1]では、従来のネットワーク理論で基本的に用いられてきたポアソンモデルをインタ
ーネットトラフィックには適用できないという研究報告がなされている。このことは従来
のトラフィック理論の適用が困難であることを意味しており、インターネットトラフィッ
クに対するネットワーク設計の面で極めて大きな意味を持っている。以下では、まずこの
点を詳細に検討する。
2.1.1. ポアソン過程の限界
ポアソン到着は、モデルが簡便であるため、到着間隔が必ずしも指数分布ではない状況で
も、多くのトラフィックモデルに利用されてきた。例えば、トラフィックのバースト性が
現れる ATM 通信のような環境における、装置や網の設計に際しても、研究としてはある程
度解析的に取り扱えることが求められるため、ポアソン到着の拡張が利用されてきた。
以下では、文献[1]の調査に基づき、インターネットの IP パケットの到着過程に関する詳細
な分析結果について報告する。分析は、実データを対象とした事例分析に基づいており、
以下ではその概要を述べる。
- 5 -
2.1.1.1 事例分析結果の例
分析事例は、Tcplib [Danzig et al、 1992][2]というライブラリを調査することによって実
施している。分析のために、あるネットワーク管理部門において、相当量の24のトラフ
ィックトレースを扱った。これをもとに従来モデルと提案モデルの比較検討を行った。
概要としては、ユーザが発呼する TCP セッションの到着過程はポアソン到着モデルによく
合う。しかし、TELNET などのセッション内でのパケット到着率をみると、高到着率の場
合にはランダム性がある場合よりも、現実にはバースト性が高いトラフィックの割合が増
大するため、高トラフィックの状態における到着間隔をポアソン過程でモデル化するとバ
ースト性の影響を過小評価してしまうことが分かった。ここで、バースト性とは、短期間
にトラフィックやセッションの到着が集中することである。
分析の結果バースト性は、幅広いタイムスケール上で保存されることが分かった。これは、
トラフィックを観測する時間間隔を細かく区切る場合と大きく区切る場合の両方に関して、
確率過程として類似の性質であるバースト性が見受けられるということである。
すなわち、トラフィック観測によりある時間間隔における「平均到着率」が確率過程とし
て計算できたとしても、その影響を予測するモデルとしてポアソン過程を利用すると、ト
ラフィックの悪影響を過小評価する可能性があるということである。
いま、「バースト性」を問題にし、この性質が幅広いタイムスケールにわたって観測できる
ことを述べた。この性質は、バースト性に関してトラフィックが「自己相似性」を持つと
いうことである。「自己相似性」とは、バースト性に限らず、後述する「波動性」など特性
に関しても成り立つ可能性がある。以下では、このような幅広いタイムスケールに関して
現れるバースト性や波動性などの「自己相似性」に着目する。
TCP 等のコネクションの確立の過程等、高トラフィック時のネットワークの特性を決定付
けるネットワークサービスの確率過程に関して次のようにまとめられる。
① TCP等のコネクションの到着間隔:ポアソン到着で比較的良く記述できる。 ② TELNETのパケット到着間隔:コネクション内のパケットの到着間隔は、ポ
アソンのモデルがあてはまる領域とそうでない領域が存在する。 ③ 大規模の相関性と自己相似性に関して:特にバースト性に関して異なるタイムス
ケールをまたがって発生するものに関しては、ポアソン到着によるモデル化では、
その影響を過小評価してしまうという。
次に、FTP セッション中の FTP コネクションに着目してみよう。この機能も、「コネクシ
- 6 -
ョンバースト」が集約されるため、ネットワークの中で FTP のデータ量を取り出した場合
に、ある状態でネットワークの制御に関して支配的な振る舞いを示す。分析の結果、FTPコネクションの到着過程においても、広域トラフィックの自己相似性との関連が現れる。
また、短時間間隔に加えて、長時間のタイムスケールのモデルにもとづいて分析した。そ
の結果多くのタイムスケールの上で、バースト性が予想より大きいことが分かった。
さらに、バックボーンネットワークの場合など広域のリンクには、1 時間に1~2 回のバー
ストしか発生しなくても、それらは、強くその時間の FTP トラフィックを支配する傾向が
ある。
これらの分析の結果から、TELNET 等のコネクションおよびその上での応答のモデル化は、
大規模ネットワーク環境、高トラフィックの環境下では重要な問題である。今後通信アプ
リケーションが多様化する状況が予想される。これは、コネクションの到着過程、その上
でのパケットの現れ方に、複雑な様相をもたらす可能性がある。今後の一層の研究が求め
られている。
2.1.1.2 ポアソンによるモデリングの有効性と限界
文献[3]では、このような分析結果を受けて、特にバックボーンを構成する大規模ネットワ
ークのトラフィックを観測している。分析事例をもとにして、トラフィックを記述する新
しい数理的モデルを提案し、その有効性を検証している。
特に、大規模なトラフィックの変動には、複雑系システムで観測されるフラクタル構造に
類似の「自己相似性」が観測できることがわかる。以下に、いくつかの新しいモデル化の
可能性をまとめる。
2.2. 新しいトラフィックモデリングの方向性
80年代以降、物質のフラクタル構造に関する研究や複雑系に関する研究が活発となり、
様々な分野で、複雑系のもつ数理的な特性が明らかになってきた。複雑系に対する研究成
果は、情報ネットワークのトラフィックを分析する視点にも少なからぬ貢献をしている。
以下では、こうした数理的な観点からの、トラフィック研究の最近の動向を概観する。
2.2.1. 自己相似性
有力なモデリング手法として、トラフィックの自己相似性に注目した研究[3]がなされてい
る。自己相似性とは、フラクタル図形のように部分を拡大しても、もとの図形と同様の構
- 7 -
造が観測される状態を指す。トラフィックを対象とする場合は、トラフィックの変動を長
い時間間隔で観測していた場合に現れるバーストなどの現象が、同じ時間帯において、短
い時間間隔による測定によっても現れることを指す。
いくつかの研究では、実際のトラフィック観測データをもとに自己相似性の存在の有無が
分析されている。
分析の一例
• 自己相似モデルを扱うことにおける一つの問題点は、いかに効率的に、自己相似性を持つ
トラフィックトレースを(人為的に)合成するかということである。これが重要な理由は、
合成できるということは、実トラフィックを仮定しているパラメータによって特徴づける
ことができるということである。ここでは、FFT を利用した手法を提案し、その性能と
正当性を評価している。FFT は、Fast Fourier Transform であり、時系列変化するデー
タに含まれる周期性の種類を分離する。 • FFT を利用して、分析すると供に、周波数パラメータを利用してトラフィックモデルを
構成する。そのとき、自己相似性を示す「Fractional Gaussian Noise」と呼ばれるモデ
ルで表されるトラフィックを利用して、自己相似性のある実トラフィックを近似する手法
を提案している。 • 提案する近似法の有効性を検証するにあたって、そのスピードアップ率を FFT における
Whittle の評価パラメータである H(Hurst)パラメータと呼ばれる指標によって評価した。
このような分析から得られる重要な視点としては、これを、人為的に合成するトラフィッ
クのモデルに適用させた場合に、いかに現実の複雑系の振る舞いを模倣できるかという点
にある。
文献[3]においては、ネットワーク・シミュレーションに合成したトレースを使用するとき、
次の 3 点が重要であるとしている。
(1) 実際のトラフィックの「マージンの分散」値をモデルに対応させるためには、擬似
トラフィックを合致させる手法が有効であるとしている。伝送可能なトラフィック
量を想定して、平均的な・定常的なトラフィックに対してある量の安全マージンを
とる。トラフィックの変動によるこのマージンの消費を擬似トラフィックを用いて
行うわけであるが、その際、自己相似性を内在する雑音トラフィックを利用してい
る。 (2) イベントシミュレーションにおける「到着回数」を、実際のネットワーク管理にお
ける「到着間隔」に対応付けることの重要性を指摘している。これは、イベントシ
- 8 -
ミュレーションプログラム上で、タイムスタンプ更新を行う for ループの一回の動
作が、実時間上に何に対応しているのかを明確に定めることといえよう。 (3) 短い時間間隔で現れる相互依存性のあるトラフィックを合成し、これをトラフィッ
クトレースのモデルの構築に組み入れることが、モデルによるより正確な近似の観
点から重要である点を指摘している。
これらの問題を取り扱いながら、自己相似性を加味したネットワークモデルが構成できる。
こうした手法を利用して、攻撃など特殊事象のよりきめ細かい分離が可能となるであろう。
2.2.2. ウェーブレット変換の活用
トラフィック上で観測される自己相似性を言い換えると、トラフィックの観測軸を小刻み
にしていっても、同じ波形が繰り返されるという現象である。これは、自然界に多く観察
されるフラクタル現象と類似の現象である。人工物である情報ネットワークでも、大規模
になることによって、このような現象が現れる。こうした性質を解析する手法のひとつに、
フーリエ級数(解析)が考えられ、その発展的拡張がウェーブレット変換である。
通常、データの時系列が自己相似的な構造を持っている場合、フーリエ解析によって得ら
れるスペクトルの形はべき関数となる。すなわち、周波数領域で現れる多様な周波数スペ
クトルの出現頻度は対数グラフにすると直線に乗る。
しかしながら、いつもフーリエ解析が有効なわけではない。フーリエスペクトルはフーリ
エ変換の位相部分を消去した量で時刻に関する情報を失っているため、スペクトルと局所
事象との対応関係を見出す事ができない。そこで、ウェーブレット変換(解析)は、デー
タの持つ局所相似性の解析には最適であると考えられる。特に、スペクトルのべき則を伴
う現象の解析やデータ関数の各点毎の特異性強度の検出には非常に有効といえる。ネット
ワークのトラフィックをこうした周波数領域での詳細な振る舞いを分析する目的で取り扱
う場合は、ウェーブレット変換に基づく手法が有効であるとされている。
文献[4]では、著者らは 4 つのクラスのネットワークトラフィックに関して、例外状況にお
ける信号分析の結果を報告している。
分析対象となったデータは 6 カ月の期間にわたって大規模大学の境界ルータで集められた
IP フローと SNMP 測定結果にもとづいている。分析の結果、フラッシュ、攻撃、および測
定失敗等の現象をウェーブレット解析の手法によって扱っている。
ウェーブレットを利用する際は、トラフィックに対する閾値を利用した単純な検知を実施
する場合が考えられる。しかし、この原理を利用する際は、より洗練された機構をとる場
- 9 -
合が一般的である。つまり、何らかの異常検出アルゴリズムを設計する場合に、フィルタ
のパラメータを測定値からフィードバックして設定するなどの発展形態が考えられる。い
ずれにしても、重要なことは、時間軸と周波数軸における分析のパラメータを「局所化」
することである。すなわち、解析対象としているデータセットから、解析の対象となる現
象を効果的に取り出すためのパラメータ設定が不可欠であるということである。この点は、
前節で述べたように、人為的にトラフィックを合成する場合のパラメータの設定と呼応す
る問題であり、周波数領域でネットワークトラフィックを詳細分析する場合の重要な検討
事項である。
2.3. トラフィックモデリングとネットワーク管理
長年の間トラフィックモデリングの重要なツールであったポアソン過程がインターネット
トラフィックに対してはうまく適用できないことが示されて以来、インターネットトラフ
ィックの解析的な分析は大きな困難にぶつかっている。その後もインターネットの利用形
態は大きく変化し続けており、そのモデリングはますます困難な方向に向かっているよう
に思われる。
そのような中で、トラフィックの自己相似性に関する考察は有力な方向性として注目され
ており、一定の成果を挙げつつある。しかし、それらの具体的な応用先の一つとして期待
されている、ネットワーク管理、特にセキュリティ管理方面で実効的な成果を挙げるには
その精密さの点でまだまだ不十分といわざるを得ない。
トラフィックをモデリングすることで、そのモデルの中の特定のケース、あるいはモデル
から大きくはずれるケースをなんらかの異常と捉えて、分析さらには対策に役立てること
が期待されているが、現在のトラフィックモデルの理論は全体としてトラフィックをとら
えるマクロ的な視点からのものであり、特定の個々の現象を捉えることができるような精
度を持つには至っていない。
またモデルを生かすためには、通常ある程度の規模をもち、十分な統計性が成り立ってい
ることが前提となるが、一般的な組織内ネットワークでは利用者数、利用時間帯、利用目
的等によってそれらが大きく変動することから、必要な統計性が得られないことが多い。
ポアソン過程は、その数学的な扱いの容易さから、実システムへの応用も比較的容易であ
るが、インターネットトラフィックを扱うには向いていない。
自己相似性は、インターネットトラフィックをある程度扱うことができる見込みがあるが、
数学的な複雑さ、リアルタイム処理の難しさがあり、すぐには応用できない。
- 10 -
いくつかのの具体的なネットワークにおける先駆的な分析では、そうした困難さと共に、
新しい研究領域の展開の可能性が示唆されている。自己相似性をもつ関数を導入すること
により、近年の大規模・複雑かつ高トラフィックをもつシステムの振る舞いをよりよく記
述できる可能性が生まれている。
他にもさまざまな手法が研究されているが、現時点で現実の問題に応用でき、実用に耐え
る段階にある手法はないと思われる。特に現在研究されているトラフィックモデルの多く
は、大規模なバックボーンでのトラフィックの振る舞いに焦点をあてたものがほとんどで
あり、一般のネットワーク管理者が通常監視するようなネットワークでの再現性は期待で
きないケースが多い。
モデルは、トラフィック監視に生かされなければならない。ついては、その監視場所、監
視対象、さらには分析法が重要となり、それぞれ長所短所があるが、本調査研究では特に
障害やセキュリティインシデントの観測と分析に焦点をあてて次章で述べる。
また局所的に観測される様々なトラフィックの振る舞いについて、異なる観測結果同士を
ある程度共通に認識し得る標準的な語彙や特性についてのコンセンサスを築いていくこと
が重要である。このようなコンセンサスの必要性は近年特に重要性が増しておりその研究
も進んでいることから、このための試みについては別途述べる。
- 11 -
3. インターネット計測
ネットワーク計測技術は、あらゆるネットワークアプリケーション、セキュリティアプリケーションの
基盤となる技術である。しかしその技術基盤はまだ整備途上であり、インターネットの発展とともに
新たな計測技術が次々と必要となっている。本調査研究では、大容量・大規模ネットワークがより
一般的になることを踏まえ、以下の点に注目して計測技術の調査検討を実施する。
• ネットワーク計測の共通な基盤技術であるパケット処理機能の効率化と最適化
• 高トラフィックに対応できる軽量で効率的な計測処理技術
• 広域ネットワークで汎用的に活用できる標準化された高精度情報収集技術
セキュリティ管理を含むネットワーク管理では、対象となるネットワークを「計測」する
ことがその第一歩である。計測によってネットワークの状況を得ることができ、得られた
結果を分析することで、ネットワーク上で起こりえる様々な現象を診断する。
ネットワークの高速・大容量化によって計測すべきトラフィックが膨大になっていること
から、計測の結果は単なる「データ」ではなく、ネットワーク管理、セキュリティ管理な
どの目的別に、ネットワーク機器の障害、あるいは不正アクセス、といった具体的な意味
をもった「情報」として出力されることが期待されている。例えば一定量以上のトラフィ
ックが観測された、特定のヘッダを持つパケットが観測された、等がそのような「情報」
であり、前者は通常閾値を利用したネットワーク管理などで使われ、後者は Firewall ある
いは IDS 等が該当する。
高トラフィック環境では、簡単な処理であっても全体として大きな負荷になり得ることか
らリアルタイム処理に関する要求は非常に厳しいものとなり、軽量で効率的な計測技術が
求められている。
図 3 にネットワーク計測技術に求められている技術の位置づけを示す。本報告書では、リ
アルタイム処理にかかわる部分をネットワーク計測、オフライン処理にかかわる部分を情
報分析とし、本章では、特にリアルタイム処理に関する技術動向および課題について述べ
る。
- 12 -
図 3 ネットワーク計測技術の役割
3.1. アクティブ計測とパッシブ計測
計測には大きくわけて 2 種類の方法があり、積極的に計測用の通信を行って実測するアク
ティブ(能動)計測と、計測用の通信を行わないパッシブ(受動)計測に分類される(図 4)。
アクティブ計測は、到達性のチェックや応答時間、さらには実効的な帯域の計測等の性能
計測によく用いられている。アクティブ計測では任意の時点での実測値を得られることが
その大きな利点だが、反面本来は必要のない計測用のトラフィックを発生させてしまう。
中には正確な計測のために非常に多くの計測トラフィックを要するものもある。
一方で、パッシブ計測はネットワークに影響を与えないことから定常的な計測に広く活用
されている。インターネット標準のネットワーク管理プロトコル(SNMP: Simple Network Management Protocol )で利用されている管理情報ベース( MIB: Management Information Base)でよく活用されるトラフィック量に関する統計情報でもパッシブにカ
ウントされたパケット数等が有益な情報として活用されている。
ネットワーク計測 情報分析 異常通知
学習型分析 長期傾向分析
パケットキャプチャ
高精度計測 サンプリング IPv6 対応
高機能分析
リアルタイム オンライン/オフライン
集約計測
- 13 -
図 4 ネットワーク監視と計測技術
典型的なシナリオでは、通常の正常な状態ではネットワークに負荷をかけないパッシブ計
測によってトラフィックを計測し、問題発生時に必要に応じてアクティブ計測を行う。す
べての通信の詳細な監視が事実上不可能であることから、高トラフィックの監視にはパッ
シブ計測を基本とした効率的な使い分けが重要な課題となる。
3.2. 計測点とその特性
同じ計測対象に対して同じ計測方法で計測を行う場合でも対象となるネットワークの特性
によっては大きく異なる結果が得られる。本節では、計測点によって得られる情報の違い
について述べる。
文献[5]および[6]では、ネットワークを監視する場所によって異なる検知および対策の際の
メリット、デメリットについても考察しており、実践的な計測・監視システムの構築方法
について、次のような原則を指摘している。本報告書で検証するような観測システムにつ
いても、基本的にはこの原則が適用できる。
① 分散型の攻撃には、分散型の対処を実施する。 ② 攻撃への対処が、通常トラフィックのサービスを低下させないこと。 ③ 検知システムは、内外双方からのそこへの攻撃に対して頑強でなければならない。 ④ 現実的な解を実現するために、現実可能な対処策から実践していく。 ⑤ 攻撃検知・対処システムの構築は、小規模の部分から段階的に、完全なあるべき姿を
展望しながら構築する。
特に、①の視点に関しては、攻撃の性質上次のような問題が指摘できる。(図 5)
インターネット計測技術 アクティブ計測
パッシブ計測
到達製計測
性能・帯域計測
トラフィック統計計測
パケットコンテンツ計測
- 14 -
図 5 計測点による利点と欠点の特性
a) 被害者のネットワーク 被害者の綿密な観測が実施でき、特に DDoS 攻撃などの大量のパケットによる攻撃は
被害者側では計測が比較的容易である。しかし対策としての防御の及ぶ範囲は小さく、
大規模な攻撃を緩和するのは不可能である。また、定常トラフィックと攻撃トラフィ
ックの分離は困難な作業である。 b) 中間のネットワーク
これは、コアルータによって接続されるネットワーク領域で、このネットワークでは、
大量のトラフィックが収容されているため、攻撃を検知するのは一層困難である。す
なわち、この部分では、正常トラフィックと分離を行うのが困難なので、何らかの対
処を行った場合、先に述べた原則の②を侵し、攻撃への対処が正常サービスの低下を
招く危険性もある。 c) 攻撃者のネットワーク
一方、攻撃のソースとなるネットワークが特定できれば、正当なトラフィックと攻撃
トラフィックの分離が比較的容易であることから、攻撃者を特定し、抜本的な対策を
採ることができる可能性がある。一方で、特に DDoS 攻撃の場合は個々の攻撃者から
発生されるトラフィックは顕著な例を示さないことが多いため、単純な閾値法などを
使った検知では十分な性能を得られないことが多い。
上記のような検討から、ネットワーク攻撃の検知とその防御は、それぞれのネットワーク
が攻撃イベントにおいて果たす役割によって使い分けられる手法であることが有効である
ことが理解できる。このことは 4.7 節で述べる情報交換の必要性が議論される基盤となって
いる。
本調査研究では、中間のネットワークにあたる大規模バックボーンを想定し、WIDE ネッ
トワークの海外リンクという定常の大容量のトラフィックがあるネットワークを対象とし
て検討する。また、被害者側、あるいは攻撃者側に相当するネットワークとして、東北大
Attacker Back bone
Victim
被害者側の観測点 中間ネットワークの観測点
攻撃者の観測点
- 15 -
学の 2 つの異なる規模の組織を対象として実証的な実験を実施する。
3.3. インターネット計測技術の現状
この分野では、近年非常に活発に研究が進められており、以下のような研究機関および国
際会議がこの分野を専門的に扱った著名なものとして知られている。
米国の研究組織 NLANR (National Laboratory for Applied Network Research)[7]では、高
性能ネットワークをサポートできるトラフィック計測・分析技術についての先端的な研究
開発を推進しており、高速ネットワークサービスである vBNS (very high performance Backbone Network Service)等を対象として多くの実績を残している。
米国の研究組織 CAIDA (the Cooperative Association for Internet Data Analysis)[8]では、
インターネットデータの分析技術についての先端的な研究開発を推進しており、特にその
可視化技術は Skitter[9]と呼ばれるソフトウェアとして開発されている。
国内の研究者組織 WIDE の MAWI (Measurement and Analysis on the WIDE Internet) WG[10]では IP アドレス構造に基づくトラフィック情報のカテゴリ化とその可視化を実現
する AGURI[11][12]と呼ばれる技術およびそれを実装したソフトウェアを開発している。
近年インターネットの計測に焦点をあてた国際会議が注目されており、PAM (Passive and Active measurement Workshop) (最新[13])、ACM SIGCOMM Internet measurement conference (Special Interest Group on Data Communications) (最新[14])等では多くの
研究成果が発表されている。
以下に特に今後重要な領域となると考えられるいくつかの研究について述べる。
3.3.1. PC によるパケットキャプチャ
現在、一般的なアーキテクチャの PC も高性能化しており、トラフィック計測にも広く用い
られている。しかし、ネットワークの高速化・大容量化にともなって適切なチューニング
等を行わなければ期待した性能が発揮できないケースも明らかになってきている。
ここでは、UNIX をベースとした OS、libpcap[15]によるドライバレベルのパケットキャプ
チャ、tcpdump[16]によるアプリケーションレベルでのパケットハンドリングという典型的
な構成における性能特性を実験的に調査した。
実験は以下のプラットフォーム上の libpcap+tcpdump で実施し、高負荷状態を想定して
Agilent 社のインターネットアドバイザによって 64 バイトの UDP パケット 50,000 個を
- 16 -
様々なレートで生成した。
CPU VIA C3 797.97MHz Memory 512M OS FreeBSD 4.8 Release
パケットキャプチャと分析性能
0
10000
20000
30000
40000
50000
60000
2000
0
3000
0
3500
0
4000
0
4500
0
5000
0
5500
0
6000
0
6500
0
7000
0
7500
0
8000
0
8500
0
9000
0
1000
00
1050
00
1100
00
1150
00
1200
00
1250
00
1300
00
1350
00
1400
00
1450
00
1500
00
1550
00
1600
00
1644
74
パケット数/秒
パケ
ット
数
tcpdump counts dropped by kernel
図 6 パケットキャプチャと分析性能
グラフは pcap レベルでのカウントを表す tcpdump count とアプリケーションである
tcpdump 本体にキャプチャされたパケット情報を受け渡すときのパケット落ちである
dropped by kernel の値の推移を示している。
Pcap レベルでの性能はパケットの送信レートが高くなるにつれて落ち込んでいるというシ
ンプルな特性を示しているが、一方で dropped by kernel の値は送信レートが最大になるよ
りも早い段階からパケット落ちをみせている。このことは単純なパケットキャプチャ性能
よりもそれを OS のアプリケーションレベルに伝える性能にボトルネックがあることを示
している。
このボトルネックは、パケットキャプチャによる割り込み処理とそれをアプリケーション
に受け渡す処理に適切なリソース配分が行われていないことに起因しており、最大の性能
を発揮するには最適化が必要となる。
- 17 -
CPUの性能が高速になればグラフの山は右に移動するが、パケットキャプチャとアプリケ
ーションレベルの負荷のバランスの問題はやはり存在する。
上記のようにパケットキャプチャとその上位層での処理の負荷には適切な最適化が必要で
あるが、このようなパケットキャプチャの機能はネットワーク計測の基本であり、多くの
アプリケーションで共通に必要とされている。例えば、ルータやスイッチなどのネットワ
ーク機器、ファイアウォールや IDS などのアプリケーションはどれもパケット情報取得が
必要である。このことは各機器、およびアプリケーションに一定の共通な負荷があること
を示している。
近年、これらの共通な処理を外部のデバイスに分担することで負荷の軽減とコストの削減
を狙う動きが顕著になってきており、そのようなデバイスとしてネットワークプロセッサ
が注目されている。ネットワークプロセッサはパケットヘッダの処理に特化し、それを並
列化することで基本的な処理性能を高めている。ネットワークプロセッサの可能性につい
ては別途 8 章で述べる。
3.3.2. サンプリング技術
ネットワークの高速化・大容量化に伴う観測コストの増大はインターネット普及のかなり
早い段階から懸念されており、トラフィック計測をサンプリングによって行う手法として
はやくも 1993 年には体系的な研究が発表[17][18]されている。
上記の文献では、3 種類のサンプリング方法、2 種類の駆動方式等の違いがパケットサイズ
とパケット到着間隔の統計に与える影響をχ2分布の検定によって評価している。文献では、
統計情報のためには systematic サンプリングがよい結果を挙げていることを示した後、図 7 で示したサンプリング方式の間隔(駆動方式)を時間でとるか、パケット数でとるかにつ
いて比較している。時間駆動は観測されるパケットの数と関係なく一定時間間隔、とする
方式であり、パケット駆動は要する時間と関係なく、一定パケット数間隔とする方式であ
る。文献ではパケット駆動が良いサンプリングが行えたことを示している。
- 18 -
図 7 文献[17]で比較検討されたサンプリング方式
上記の研究は 10 年前に実施されたものであり、現在のインターネットトラフィックに対し
てすぐに適用できるものではないが、本調査研究でフィージビリティを検証している方式
でも同様の傾向が見られる。
また、IETF の PSAMP (Packet Sampling) WG[19]ではパケットをサンプリングする標準
的な方式とそれを遠隔に実行・管理するためのフレームワークおよび管理情報ベース
(MIB)を新たに策定し RFC としてまとめることをめざしている。
3.3.3. 高精度監視技術
観測対象が高速化・大容量化されるにつれて、観測精度が大きな問題となってきている。
特に、従来から広く用いられている分単位でのトラフィック統計では、ダイナミックに変
化する実際のトラフィック流量に追随することが困難なことが明らかになっている。
このような現象は従来から知られてはいたが、近年では DoS 攻撃の亜種で、巧妙にトラフ
ィックを発生させる攻撃が出現し、長期的な観測では目立ったトラフィックの変化として
捉えることができず、検知が困難な具体的なケースとして対処が必要な問題[6][20]となっ
ている。
図 8 はあるネットワークでの 5 分間隔トラフィック量計測結果を示している。このような
統計は長期的なトラフィック量の傾向をつかむために適しており、日中の時間帯に利用率
が高いことを示している。
- 19 -
34 Hours34 Hours34 Hours34 Hours
図 8 解像度の低いトラフィック統計観測
図 9 は同じ対象に対して図 8 の丸で囲んだ部分を拡大したものである。このグラフに表れ
ているグラフは非常に高い解像度で観測されたトラフィック量の推移を示している。情報
取得間隔は 10ms であり短時間での微細な変化が起こっていることを捉えている。
5 Seconds5 Seconds5 Seconds
図 9 解像度の高いトラフィック統計観測
図 8 と図 9 は同じトラフィックを観測したものであるが、その観測精度によってトラフィ
ック統計としての特性は全く異なるものとなることがわかる。
最新の研究では、さらに微小なサブミリ秒のスケールにおけるトラフィックの振る舞いが、
トラフィック工学上の重要な問題として認識されるようになっている。文献[21]で詳細に分
析されているように、パケット到着間隔の振る舞いは、サブミリ秒という時間幅で観測で
きる。サブミリ秒のスケールで観測されるトラフィックの特性によって現れる影響が、パ
ケットの到着間隔のオーダであることから、これは、スイッチ等におけるパケットバッフ
ァサイズの設計問題や、伝送遅延時間に影響を受けるサービスの構成などに影響するから
である。
トラフィックの特性を1秒程度のスケーリングで見ると、自己相関が観測されるが、サブ
- 20 -
ミリ秒以下では、状態の変化がある。
例えば、バックボーンにおける 1 分間のセグメントでは、タイムスケールにして
(1ms-100ms)間の統計量に関して、かなりよい良い予測をもたらしてくれる。また、1 時間
のセグメントから得られるエネルギープロットを調べると、バックボーントラフィックに
おける 1 分のセグメントにおけるそれとの間に、ほとんど差異がみとめられなかった。
このことは、大規模トラックの統計処理には、サブミリ程度のタイムスケールで1分程度
の観測を実施すればよいことを表している。バックボーンネットワークにおける攻撃や障
害の検知を前提とする場合に、こうした観測の結果が有効であろう。
実際に、上で述べたような精密計測システムをネットワーク中に構築しようとする際には、
遠隔からの情報収集方式についても考慮しなければならない。
このような観測を遠隔で行う際には、観測パケット数等のカウンタ型値を一定間隔毎に管
理プロトコル等を利用して読み出す手法が一般的なものであるが、その間隔をミリ秒以下
のオーダとするには、情報収集のための通信および処理コストが膨大になる。このような
観測は一般的に必要になることから、観測精度の問題を解決するだけでなく、その手法の
標準化が重要な要素となる。
高精度に観測された情報を一定量まとめて集約してから取得するための標準管理プロトコ
ルに沿った手法が提案されている。考案された管理情報取得の効率化のための手法は
Internet-Draft として発行されており、IETF での議論を経て 2003 年 7 月現在第 3 版[22]となっている。
3.3.4. 集約トラフィックの計測技術
文献[11]および[12]で研究されているようなトラフィックを IP アドレスの構造等を利用し
て集約して計測する技術も大きな可能性がある。リアルタイム処理が可能な軽量なアルゴ
リズムで、大きな意味をもつ情報を計測できる。IP アドレス構造は、基本的にサブネット
ワーク構造を反映していることから、同一組織、同一プロバイダといった現実の社会組織
との対応をとりやすく、不正アクセス等を対象とする場合でも組織単位での監視が可能と
なる。
3.3.5. IPv6 への対応状況
次世代ネットワーク技術として期待されている IPv6 の普及が現実味を帯びるとともに、そ
の管理・計測技術の重要さも増大する。本調査研究では、ネットワーク監視技術の IPv6 対
- 21 -
応について調査する。
[SNORT] ネットワークベースの侵入検知システムとして広く普及している SNORT の
IPv6 対応状況について、IPv6 に関わる不正アクセス検知機能、およびアラート通知機能の
IPv6 通信に注目する。
一般的に Snort に代表される IDS は対象となる全トラフィックを計測し、特定の条件(不
正なパケット)を満たすパケットを抽出するためのツールといえる。今後普及するにつれ
IPv6 トラフィックの計測技術が重要となってくる。
しかし、現時点では新しい 128 ビットの IP アドレスに代表されるようなヘッダ部分が主に
検討されているのみで、IPv6 に特化した不正なパケットを計測・分析するための機能は十
分に検討されていない。
現在の Snort の IPv6 対応状況は、検知した IPv6 パケットの統計情報を提供するだけに留
まっている。これは、Snort 内部では IPv4 アドレスを単に 32 ビットの非負整数型として
扱っているため、128 ビット長である IPv6 アドレスにそのまま対応することはできない。
Snort を IPv6 に係わる不正アクセス検知機能を実装するためには、以下の機能を IPv6 に
対応する必要がある。
• ルールに記述された IPv6 アドレスを解釈する機能 • パケット検知機能の IPv6 対応化 (detection plug-in、 preprocessor も含む) • 出力機能の IPv6 対応 (output plug-in)
Snort が対応している IP を用いたアラート通知機能には、syslog を用いる方法、外部デー
タベースへ保存する方法、ネットワーク管理プロトコル SNMP Trap を用いる方法がある。
Syslog は、基本的に文字列により IP アドレスを扱い、また syslog による通信が既に IPv6に対応していることから、IPv6 への対応は容易である。外部データベースに関しては、Snortが対応しているデータベースの一つ PostgreSQL は 7.4 より IPv6 の接続性と IPv6 アド
レスデータ型に対応している。SNMP Trap に関しても、snort が定義するアラート管理情
報のアドレス定義が IPv6 対応済み[23]であり、後述の通り IPv6 に対応した SNMP の実装
が普及しているため、IPv6 によるアラート通知の実装は容易である。
[SNMP] インターネット標準のネットワーク管理プロトコル SNMP の IPv6 対応状況につ
いて、IPv6 管理情報への対応、および管理用通信機能の IPv6 対応に注目する。
IPv6 管理情報に対しては現在、IETF の IPv6 分科会 において標準化作業がなされ、現
在は RFC 化されている[24][25][26][27][28]。また、この管理情報の定義は更新作業が進行
- 22 -
中であり、現在 Internet-Drafts が提出されている。
またその実装についても作業が進んでいる。しかし現在進行中のものは IPv6 プロトコルの
コアにあたるもののみであり、派生する Mobile IPv6 や IPSec、さらには IPv6 を活用する
ネットワークアプリケーションの管理情報ベースの標準化と実装は十分進んでいるとはい
えない。このことは IPv6 の普及が接続技術を中心としたものであり、その管理のための技
術が遅れていることを意味している。
現在、管理用通信機能の IPv6 対応については各ベンダからも対応機器が出荷されており、
NETWORLD + INTEROP 2003 TOKYO の IPv6 Show Case [29] では SNMP IPv6 対応
機器によるデモンストレーションが行なわれた。
また、この Show Case を管理するアプリケーションも SNMP IPv6 に対応していた。一方、
オープンソースによる SNMP 実装 net-snmp [30] も通信機能は IPv6 対応し、一部の IPv6管理情報の提供を行なっている。
3.4. 計測技術の課題
現実的なネットワーク監視では、リアルタイムかつ高精度な情報を提供できる計測技術が
要求されており、ネットワークの高速・大容量化によって、高トラフィックを扱える計測
技術の重要性はますます高まっている。
従来から研究されてきた各種の高トラフィック環境での軽量で効率的な計測技術の必要性
の高まりから、研究だけではなくそれらの標準化も議論されており、特にサンプリングお
よび高精度監視分野では具体的な動きが見られる。
一方で、高精度な分析のためには複雑な演算、ネットワーク構成などの付加的な情報など
を考慮した分析も試みられているが、分析対象となるトラフィックの増大につれてその処
理コストが大きな問題になっている。高トラフィック環境でのトラフィック計測技術に求
められる技術の現在の動向を図 10 に示す。
- 23 -
図 10 高トラフィック環境下でのネットワーク計測技術の動向
ネットワーク計測の基盤となるパケットキャプチャ技術は、現在広く普及しているシステ
ムでは性能的限界が見えてきていることが明らかになっており、なんらかの新しい手段が
求められている。
軽量で効率的な計測処理技術として、サンプリング技術や集約計測技術が注目されている。
また高トラフィックの適切な計測のために高精度計測技術の重要性が指摘されている。
また、実際のネットワークでの計測環境の構築には、遠隔から計測情報を取得できる標準
化された手法が不可欠である。
計測
パケットキャプチャ
サンプリング、高精度計測、集約計測…… 標準化
遠隔情報収集
- 24 -
4. トラフィック分析技術
計測されたデータから、不正アクセスやネットワーク障害の有無を知るには、適切な分析技術が
必要であるが、そのような分析技術に共通の課題が、検知精度の向上である。本調査研究では
不正アクセスを抽出するための分析技術について、以下の点に重点を置いて最新動向を調査す
る。
• DoS トラフィックの分析
• ニューラルネットワークおよび各種統計分析による Anomaly 検知の現状
• ネットワーク管理システムと連携した統合的な情報活用
• 多組織と連携した広範囲なインシデント情報の共有
トラフィック分析は、ネットワーク計測技術によって得られた情報を分析し、なんらかの
通知として管理者に提示する役割を担っており、トラフィックの監視システムの中で最も
重い責任を担っている。一方で、高度な分析は、分析対象が膨大になる高トラフィック環
境では、大きな負荷を伴うことも多く、全体として、非常に大きな責任と制約をうけてい
る。本章では、トラフィック分析技術の現状と本報告での実証実験で扱う分析技術アーキ
テクチャについて検討する。
図 11 にトラフィック分析技術に求められている技術の位置づけを示す。トラフィック分析
技術として、学習型分析、長期傾向分析等の技術動向を調査し、主にオフラインでの分析
技術の現状と課題を示す。また今後のオンライン分析に必要な考え方について述べる。
図 11 トラフィック分析技術の役割
ネットワーク計測 情報分析 異常通知
学習型分析 長期傾向分析
パケットキャプチャ
高精度計測 サンプリング IPv6 対応
高機能分析
リアルタイム オンライン/オフライン
集約計測
- 25 -
4.1. ネットワークの不正なトラフィック特性
文献[31]では、異なる二点から DDoS とワームによる攻撃の解析を行った。悪意のあるトラ
フィックの存在下では、DNS 要求の遅延は、約 230%増大することが観測されている。ウ
ェブアクセスの遅延も、帯域が潤沢な場合でも 30%増大するとしている。またワームにつ
いても調査している。収集データとシミュレーションによる分析によると、ワームが DDoSの引き金となるときは、特に悲惨な結果が現れるとしている。
文献では DDoS 攻撃の強度がどうバックグラウンドトラフィックに影響するかを理解する
ために、90 の攻撃事例を収集し、12 個を代表として分析している。DNS とウェブの平均
遅延時間が攻撃トラフィックのパケット送信レートに関する関数として増加し、以下のよ
うな知見が示されている。
1.DDOS トラフィックに関する分析 攻撃とみなされる状態を調査した結果、まず、攻撃トラフィックの大きさはパケッ
トに関する正常なバックグラウンドトラフィックのおよそ 3 倍であることが分かった。 また、RTT の値に関して、RTT の値が小さく、攻撃トラフィックが急速にそのピーク
レートに達するのが可能となることがわかった。 観測された攻撃では、すべての攻撃が米国内の異なる大学から発せられている。攻撃
トラフィックは、比較的高い帯域幅と低い遅延のリンクを通じて、観測中のネットワ
ーク(USC:南カリフォルニア大学)に接続されるので、攻撃者には、同大学から、比
較的小さい RTT の分散値をもっている。この値は概ね 120ms 程度であった。 2.ワームトラフィックに関する分析
ワームとして CodeRed や NIMDA が蔓延した状況におけるトラフィックを調査し
た。RTT に着目すると、この攻撃の性質上、非常に大きな分散値が現れた。この事実
は、同じ DDoS 型の攻撃であっても、ワームによるものは、トラフィックの RTT 値に
着目した解析では、1と異なり検知が困難であることを表している。
文献では一連の解析により、もしも悪意のあるトラフィックが存在する場合に、バックグ
ランドトラフィックが、どのように変化するかを詳細に分析している。ワームの場合につ
いては、シミュレーションモデルを構築した上で、ネットワーク上での効果を予測する実
験を実施した。これによると特に DNS アクセスの遅延情報と DDoS 攻撃の関係を利用する
ことにより、ワームに感染したゾンビからの攻撃を事前に予測することの可能性が示され
ている。文献では、DNS とウェブへの応答遅延時間の関数を与えており、予測に利用でき
- 26 -
るとしている。
4.2. 様々な DoS 関連分析技術
本節では、特に DoS 攻撃に焦点をあてた分析について調査する。DoS 攻撃に関する研究に
は大きく二つの方向性が認められ、ひとつは従来からある DoS 攻撃の観測および検知に関
するものであるが、もうひとつは新しい攻撃手法、さらにはその攻撃の与える影響の分析
に関するものである。後者の研究の増加は、年々巧妙化する攻撃が、時間的空間的に局所
的な観測では一見して攻撃かどうか判断しかねるような洗練されたものになってきている
ことを示している。
近年では DoS 攻撃そのもののインパクトについて分析した研究も多くなされており、実態
がなかなか明らかではない DoS 攻撃の現状に関する研究も多くなっている。
DoS 攻撃についての分析を行ううえで最も困難な点は通常トラフィックとの違いの判別で
ある。あらゆるパケットを利用した DoS 攻撃が存在しており、パケット単体では不正であ
ることを判断できないことも多い。
4.2.1. DoS トラフィック分析の概要
文献[32]では、ネットワークに対する攻撃を検知する目的で、トラフィックを周波数領域で
の分析(スペクトル分析)を含めて、複合的な手法で分析している。
こうした分析は、大抵以下の大分類に集約される。
① ヘッダによる分析、 ② 到着レートによる分析、 ③ トラフィックの急激な立ち上がりに対する分析、 ④ スペクトルに対する分析、
ヘッダによる分析:
ヘッダによる分析では、TCP / ICMP / UDP その他にパケットの種類を分別し、攻撃のタイ
プとしては、単一ソース攻撃、複数ソース攻撃、反射型攻撃、その他、に関してそれぞれ、
実際の攻撃の有無をあるデータセットに対して実施している。アドレスを不正アドレスに
する稚拙な攻撃が、全体の 90%となる。反射型の攻撃の主なものは、ICMP を利用するも
のであった。しかし真に攻撃の意図を持った攻撃はヘッダ分析だけで検知することはきわ
めて困難である。
- 27 -
到着レートによる分析: 次に、到着レートに基づく分析における留意点を述べる。反射型攻撃によるトラフィック
の特性と複数ソースによる攻撃は、生成されるトラフィックの性質が大きく異なるため、
到着レートに基づいて、それぞれの攻撃を特定することは、困難である。この点は、到着
レートに基づく攻撃をトラフィック閾値のみで実施する場合の精度の限界となる。閾値の
設定に関しては、個別の収集データに基づいたより細かな統計的な処理が必要となる。
トラフィック変化に対する分析: トラフィックの急激な立ち上がりをトリガとする攻撃の検知は単一ソースによる攻撃の場
合は困難であるが、複数ソースによる攻撃の場合はこの点で特徴付けられる。攻撃の場合
は、TTL の値が同一に設定される傾向があるため、ヘッダに基づく検知が困難となるが、
特に複数ソースの攻撃に対しては、一定の効果がある。
スペクトルによる分析: 例えば先にあげた参考論文[32]では、スペクトルによる分析の有効性を検証するために、ま
ず、ヘッダ分析によって攻撃であると特定されているデータセットに対して、周波数成分
の分析を実施している。ICMP ECHO に対する応答など、単一の攻撃は、せいぜい利用者
一回線分のトラフィックによって攻撃を開始するため、必然的に高周波成分を含むことに
なると想定している。一方、複数のソースからの攻撃は、スペクトルが「ぼやける」ため、
検知は困難としている。
いずれの場合も、ネットワークの規模、収集データの規模によって、統計的処理における
パラメータを調整する必要がある。検討からは、異なるタイプの攻撃をそれに見合う方法
で検知するという当然の手法を確立することが重要であることが理解できる。
4.2.2. DDoS の世界的傾向分析技術
以下の論文[33]の調査結果を述べる。本文献では全インターネット規模での DDoS の発生状
況を調査するために、攻撃によって発生する様々な副作用ともいえるトラフィックを監視
する斬新な手法を提案している。
副作用として発生するトラフィックは DoS 攻撃の性質上、実際に攻撃が行われているネッ
トワーク以外の場所でも広く観測される可能性が高く、間接的ながら世界的な傾向の分析
を可能とする有効なアイディアである。
4.2.2.1 攻撃のタイプ
まず、基本的な攻撃の分類として、攻撃に利用される制御パケットの種別から入る手法が
- 28 -
考えられる。制御パケットの応答関係には、具体的に表に示すような関係があり、悪意の
有無は、この関係性を分析することから得られる。
表 1 攻撃の種類の例
送信されるパケットの種別 被害者側からの応答 TCP SYN (to open port) TCP SYN (to closed port) TCP ACK TCP DATA TCP RST TCP NULL ICMP ECHO Request ICMP TS Request UDP pkt (to open port) UDP pkt (to closed port)
TCP SYN/ACK TCP RST (ACK) TCP RST (ACK) TCP RST (ACK) no response TCP RST (ACK) ICMP Echo Reply ICMP TS Reply protocol dependent ICMP Port Unreach
4.2.2.2 分散型攻撃の有無
攻撃のタイプとしては、単独なものに加えて、複数のゾンビソースが関与する反射型の攻
撃があるため、攻撃が分散しているかどうかが一つの分類の軸となる。副作用として発生
するトラフィックは DoS 攻撃の性質上、実際に攻撃が行われているネットワーク以外の場
所でも広く観測される可能性が高い。
4.2.2.3 IP アドレスのなりすましの有無
なりすましについては、ISP がイングレスフィルタリングを実施していると攻撃者が利用す
るアドレス空間の分布が限られるため、攻撃の頻度を低く見積もってしまう可能性がある。
また、「反射型攻撃」では、攻撃パケットの増幅がおきる。また、アドレスがランダムに選
ばれていない場合も分析が困難である。
4.2.2.4 基本的分析手法
次に、本文献では、基本的な分析を次の 2 つの観点から実施している。
A) 後方散乱分析 B) アドレス単一性 (Uniformity)
- 29 -
後方散乱は攻撃の被害者から副作用として発生する反射パケットであり、SYN-flood 攻撃の
ケースでは、それは Syn-ack として発生する。そのときその Syn-ack の送信先は攻撃者に
よって偽装されたアドレスになることから、その送付先では反射型攻撃と同様の現象がお
こり、TCP-RST などが生成される。これらの反射パケットは偽装アドレスがランダムであ
れば、ネットワークのどの地点でも観測可能性があり、ネットワークトポロジ的なサンプ
リングが成り立つ。アドレスの単一性はトポロジ的なサンプリングは、本質的にはアドレ
ス空間のサンプリングであるため、その母集団となるアドレス空間は均質であると仮定し
ている。
その上で、①トラフィックのフローの性質に着目する場合と、②制御パケットのシーケン
スに着目する場合の手法を説明している。
フローベースの分析では、TCP フラグの設定種別や、ICMP ペイロードの種別、アドレス
の単一性を調査する手法が検討されている。これには「Anderson-Darling テスト」と呼ば
れるアルゴリズムによって統計的検証が可能であるとしている。また、フローの関係する
ポートの設定状況、DNS 情報、ルーティング情報(BGP テーブルの特定日時を参照)など
もこの分析に重要な情報を提供する。
イベントベースの分析では、攻撃対象側で一定時間観測された IP アドレスに基づく分析を
実施し、その制御パケットのシーケンスを調べることになる。このためには、一分間隔毎
にイベントを記録するという手法をとっている。
4.2.2.5 分析結果として得られる項目の分類
まず、分析の対象としているトレースの時系列上のきめ細かさが、分析における処理量と
の関係で重要な要因となる。そのうえで、分析により攻撃者の特徴が、①応答プロトコル、
②攻撃プロトコル、③攻撃頻度、④攻撃期間等の観点から分類できる。また、攻撃される
側としては、①攻撃対象のネーム、②トップレベルドメイン、③自律システム(AS)、④繰
り返し攻撃を受ける攻撃対象のホストなどを明確にすることになる。
4.2.2.6 分析の限界
ここまでに述べた手法は、現在、DoS 攻撃を分析するための基本的な手法であるが、本文
献では次のような分析手法の限界について論じている。まず、これらの手法によって分析
が可能であるとする前提は、攻撃では、①アドレスの単一性(単純な構造をもっているこ
と)、追尾を実施している伝送路の信頼性に問題がないこと、これによって、後方散乱方式
が有効に機能するという前提に基づいている。しかし、より巧妙な DoS 攻撃においては、
これらの前提が成り立たない場合も考えられる。また、 また、「要求に基づかない応答
- 30 -
(unsolicited response)」は、攻撃に起因する後方散乱であるという前提で分析しているが、
一般にはそうでない場合もある。
4.3. ニューラルネットワークによるアプローチ
様々な計測結果からネットワークの障害発見や不正アクセスを発見する技術は、何をもっ
て不正とするかの技術とも言える。困難な点は流れているトラフィックの種別、量、その
時間的な変化等の計測対象パラメータは、ネットワークの規模、特性、利用者の振る舞い
に大きく依存しており、明確な基準が与えられないことである。
そこで、そのような基準をネットワークから自動的に学習し、それをもって異常、正常の
基準を与えて検知するようなアプローチのひとつとしてニューラルネットの活用が長年に
わたって研究されてきた。
文献[34]では、異常検知の手法の一つとして注目されているニューラルネットを利用したア
プローチについて調査している。
現在、コンピュータの悪意のあるふるまい、または、異常なふるまいを検知する種々の侵
入検知システム(Intrusion Detection System : IDS)が提案されている。しかし、現在の IDSには多くの誤報を発生するという問題がある。この、誤報を減少させるために実用的です
らないチューニングが行われたり、IDS の不正アクセス検知能力が減少させられたりして
いる。
また、現在主流となっている不正アクセスデータベースとトラフィックの比較による検出
では新しい不正アクセス及び、今までの不正アクセスを変化させた亜種に対して対応する
ことができない。そこでその問題点を改善するために、異常検知システムが提案されてい
る。異常検知システムは通常観測される状態から逸脱した時にアラートを発生させる。し
かし、現在の異常検知システムは誤報の割合が非常に高い。
ニューラルネットワーク(NN)を用いた IDS は、上記の問題を解決する IDS として期待され
ている。
4.3.1. ニューラルネットワーク
ニューラルネットワークは人の神経系をモデルとして作成されたシステムでありニューロ
ンとニューロン間のリンクで形成されている。その形態は複数存在し、大まかに学習の際
の教師の有り、無し、及び、学習のニューラルネットワークに対する適用形式によって分
類することができる。教師有り学習を行うニューラルネットワークには学習に適切なデー
- 31 -
タ及び、そのデータに対する答えが与えられる。そして、与えられたデータを用いてニュ
ーラルネットワークはニューロン間の結合を変更し、データを学習する。
この方式のニューラルネットワークには、シグネチャ方式よりも広い範囲の問題を扱える
という利点がある。そして、ニューラルネットワークを用いた IDS においてこの方式は主
流となっている。
教師無し学習を行うニューラルネットワークでは、多くのデータの中から関連のあるデー
タを探すことができる。この方法はデータの特性が分からない大量の生のデータの関連性
を調べるのに有効である。
学習のニューラルネットワークへの適用方式はデータ出力ニューロンから入力ニューロン
に向かって決まった伝搬路で学習結果を伝搬させるフィードフォワードネットワークと、
途中からのフィードバック経路も持つリカレントネットワークの二種類に大きく分けるこ
とができる。フィードフォワードネットワークはシンプルであり、現在のニューラルネッ
トワークを用いた IDS の主流となっている。リカレントネットワークは学習データの選別
が困難であり、負荷も大きいが、学習データを適切に選択できた場合、高い性能を示すこ
とが可能である。
4.3.2. ニューラルネットワークを用いた IDS
現在ニューラルネットワークを用いた IDS で主流になっているのは、MultiLayer Perceptron(MLP)を用いたニューラルネットワークである。MLP は多くの IDS でさまざま
な用途に用いられている。この研究にはコマンドの入力状況を特徴量として、適正なユー
ザがコンピュータを使用しているか確認する、Jake らの Neural Network Intrusion Detector (NNID)[35]と同様に、ユーザの活動時間、ログインホスト、CPU 使用率等を用い
て適切なユーザの使用を判断する Kymie の The Application Of Neural Networks To UNIX Computer Security[36]がある。これらは、高い精度でユーザを識別することが可能
である。また、プロセスの状態をニューラルネットワークに入力し、異常なプロセスを検
出する Anup K. Ghosh ら の Detecting Anomalous and Unknown Intrusions Against Programs[37]がある。この研究では、特定のプログラムのバッファオーバーフローの検出
が可能であるという結果が得られた。
ネットワーク上を流れるパケットの情報をニューラルネットワークに攻撃毎に入力、学習
し、不正検出のシグネチャのマッチングと同様に検出するという研究に、James Cannadyの Artificial Neural Networks for Misuse Detection[38]がある。この研究では Probe、 DoS等の幾つかの不正アクセスがこの手法で検知可能であったことが報告されている。
- 32 -
ニューラルネットワークに直接トラフィックデータを入力するのではなく、統計処理を行
ってから、ニューラルネットワークに入力する研究として Zheng Zhang ら の HIDE: a Hierarchical Network Intrusion Detection System Using Statistical Preprocessing and Neural Network Classification[39]がある。この手法では UDP Flood が検出可能であるこ
とが報告されている。
最近では、上記の MLP 以外のニューラルネットワークであり、学習に教師を必要としない
Self Organizing Map(SOM)を元とした IDS が出現した。この手法を用いた研究には Peter Lichodzijewski ら の Host-Based Intrusion Detection Using Self-Organizing Maps[40]がある。この手法では通信の始まりから終了までのセッションを単位とし、そこからユー
ザ名、継続時間等を抽出し、SOM を行っている。SOM を行うことにより、セッションの
グループ化を行い、特別な行動をしているユーザを検出可能であった。
また、Anup K. Ghosh ら は 特別なフィードバックニューロンを含む Elman Networks を
用いることにより、MLP を用いた Detecting Anomalous and Unknown Intrusions Against Programs よりも結果を向上させることができたことを Learning Program Behavior Profiles for Intrusion Detection[41]で報告している。
ここまでに述べたニューラルネットワークを元とした IDS と他の手法の結果の統合手法も
考案されている。統合手法には多数の IDS の利点が取り込まれるが学習が複雑になると言
う問題点も存在する。
4.3.3. ニューラルネットの IDS への応用の可能性
現在ニューラルネットワークを元とした IDS に不足しているのは、未知及び亜種の不正ア
クセスに対応する能力の欠如と、低い誤検知率である。現在行われている研究では主に MLPが用いられているが、上記の欠点を克服するため、様々な形態のニューラルネットワーク、
特にリカレントネットワークによる検出が行われ、様々な不正アクセスに対応するために
より多くのレベルから情報を取得するシステムが研究されていくと考えられる。加えて多
くの IDS モジュールが連係し、検知率の向上、誤検知率の減少が行われると考えられる。
ネットワークの複数のレベル(パケット、セッション等)でそれぞれのレベルに特化した IDSモジュールが動作することにより、欠点の克服が行われると考えられる。ニューラルネッ
トワークを用いたモジュールはモジュールの一つとして有望であり、また、他の IDS に入
力するデータの前処理を行うためのエンジンとしても有望である。
しかし、実際にネットワークに適用するときには、学習データをどのようにして得るのか、
という大きな問題がある。ネットワーク毎に異なる特性を学習させるには、不正や異常の
- 33 -
ない「クリーンな」環境で学習させる必要があるが、それは現実的には容易ではない。
ニューラルネットワークはそれ自体で完結する技術ではなく、学習のための技術、得られ
た検知結果の検証のための技術などと組み合わせて活用することで、その真価を発揮する
と考えられる。
4.4. ネットワークベース IDS の Anomaly 検知
現在、IDS(Intrusion Detection System)の分野において異常検知型 IDS が盛んに研究され
ている。それは、異常検知型 IDS では現在主流となっている不正アクセスのデータベース
とのマッチングで不正アクセスを検出する不正検知型 IDS と異なり、通信の状態を統計的
にとらえ、異常なものを不正アクセスとして検出するため、不正アクセスデータベースに
存在しない、未知の不正アクセス、亜種の不正アクセスを検出することが可能なためであ
る。以下にこの異常検知型 IDS の主な種類、特性、研究を示す。
文献[42]では現在の Anomaly ベースの主な手法とその代表的な研究が列挙されている。
現在の異常検知手法には確率ベース、多変数モデル(Multivariate)、ステートベース、デー
タマイニングがある。これらの方法は来たパケットの属性を見ているものが多い。また、
ほとんどが学習を必要とする(SPICE という異常検知手法は除く)。また多変数モデル、デ
ータマイニングでは人の知識を必要とする。これからはハニーポットとの連係が可能にな
ればよりよい異常検出ができるであろう。
4.4.1. 確率ベースのアプローチ
現在、確率ベースの IDS が異常検出型 IDS の主流となっている。確率ベースの IDS ではネ
ットワークのパケットを用いて、パケットのフィールド(例:IP、Port)が取り得る値それぞ
れの確率を求める。その後、パケットを観測し、確率の低い値を持つ、または全く新しい
値を持つフィールドがあれば、そのパケットを異常とし、不正アクセスとして検出する。
確率ベースの IDS はネットワークのどのレベルを観測するかによって、更にネットワーク
レベル、アプリケーションレベル、ネットワーク及びアプリケーションレベルの 3 つに分
類できる。
4.4.1.1 ネットワークレベル
ネットワークレベルの IDS ではネットワーク上を流れるパケットの IP アドレス、宛先ポー
ト、送信ポート等の基本的なフィールドを観測し、確率を求める。この方式の利点にはパ
ケット毎にパケットの基本的なフィールドのみを観測するので、非常に負荷が軽くバック
- 34 -
ボーンでも使用しやすいということがあげられる。この方式を採用している IDS として有
名なものに、Snort のプラグインの SPADE[43]がある。SPADE は IP アドレス、Port を観
測し間隔を開けたスキャン等の検知しにくいスキャンを検出する。
しかしながら、この方式では基本的なフィールドのみしか観測を行わないので、ペイロー
ドに異常を含むようなバッファオーバーフロー等の不正アクセスを検知することが不可能
である。
4.4.1.2 アプリケーションレベル
アプリケーションレベルの IDS ではネットワーク上を流れるパケットを SYN から始まり
FIN で終わるアプリケーションにおける通信の単位であるセッションに再構築し、そのセ
ッションを観測、確率を求める。この方式の利点としては通信をアプリケーションの単位
であるセッションに再構築することにより、通信内容を観測可能であるためネットワーク
レベル IDS では検知不可能な不正アクセスが検知可能である。
この方式を用いている研究としては Krugel ら の Service Specific Anomaly Detection for Network Intrusion Detection[44] がある。 この研究ではセッションを再構築し、GET、HEAD 等のリクエストの値毎の確率を求め、その確率を用いて不正アクセスを検出する。
この方式ではパケットをセッションに再構築するため、負荷が高く大量にパケットが流れ
る場所では適用が困難である。
4.4.1.3 ネットワークおよびアプリケーションレベル
ネットワーク及びアプリケーションレベルは上記二つの方式を統合した方式となる。パケ
ット、セッション等複数のレベルのフィールドを観測し、不正アクセスの検知を行う。こ
の方式では両方のレベルで観測を行うことにより、単一のレベルを観測する場合よりも多
く の か つ 検 知 し に く い 不 正 ア ク セ ス も 検 出 可 能 で あ る 。 こ の 方 式 に
は Matthew C. Mahoney ら の PHAD と ALAD [45]がある。PHAD はネットワークレベ
ルで動作し、ALAD はアプリケーションレベルで動作する。しかし、PHAD、ALAD では
まだ多くの誤検出が発生する。
4.4.2. 多変量アプローチ
多変数モデルでは単位時間のパケット数、セッション数等、多数の変数を入力に取り、そ
の変数を用いて確率を求め、不正アクセス検出を行う。この方式では多くの変数を用いる
ため、種々の不正アクセスを検出できる可能性があるが、計算量も増大する。この方式の
研究には Carol Taylor ら の NATE [46]があるが、その研究では主成分分析を前もって行い、
- 35 -
変数を削減し、その問題を解決し、小さな負荷で不正アクセス検出が可能となっている。
しかし、この NATE ではペイロードを観測していないため、確率モデルのネットワークベ
ースの IDS と同じ問題が発生する。
4.4.3. 状態ベースアプローチ
ステートベース型 IDS では、セッションを再構築し、プロトコル、IP、セッションの状態
遷移を確率として求め、不正アクセス検出を行う。この方法で不正アクセスが検出可能な
のは、通常のセッションは、SYN から始まり、FIN で終了するが、不正アクセスではこの
SYN から FIN までの遷移が通常のセッションとは異なる場合が存在し、同様のことがプロ
トコル、IP についても言えるからである。この方式の利点としては、セッション一つのみ
の確率よりも、以前の状態を考慮して確率を求めるために、不正検知方式と比較しても、
より正確に不正アクセスを検知できることである。しかし、以前の状態を考慮するため、
計 算 量 は増 大 し 、負 荷 は 大き く な って し ま う。 こ の 方式 の 研 究に は Sekarら の Specification-based Anomaly Detection: A New Approach for Detecting Network Intrusion [47]がある。
4.4.4. データマイニングアプローチ
この方法は他の方法とは異なり、何の構造も持たない、時系列データを複数の段階のデー
タマイニングを経て、構造を持つ、解析が行いやすい形にする。そして構造を持った デー
タ を 用 い て 不 正 ア ク セ ス の 検 出 を 行 う 。 こ の 方 式 の 研 究 に は W. Leeら の Mining in a data-flow environment: Experience in network intrusion detection。 [48]がある。この研究では高い精度で不正アクセスが検出できているものの、データマイニ
ングを行う際に繰り返しデータの解析を行う必要があり、また、セッションを用いている
ので不正アクセスが行われてからアラートを発生させるまでに時間差が存在する。
4.4.5. Anomaly 検知技術の今後の方向性
異常検出は未知の不正アクセス、亜種の不正アクセスを検出することが可能であるが、到
着パケットの属性を見ているものが多く、ほとんどが学習を必要とする。この学習の段階
では不正アクセスを含まないデータを学習しなければならないので、そのような理想的な
データを作成するのは困難であり、これからの課題となっている。また、多変数モデル、
データマイニングにおいては IDS の設定、実行時に高度な人の知識を必要とするため、こ
の点においても改善を行わなければならない。現在 IDS は不正アクセスを観測するおとり
システムであるハニーポットと連係していないが、この連係が可能になればよりよい異常
検出ができるであろう。
- 36 -
4.5. 経路情報とリンクした計測と分析
トラフィック情報の効果的な分析には、トラフィックだけではなく外部から得られた他の
情報を活用することも有効である。それがどのような環境、状況で観測されたかの手がか
りとなる情報コンテキストが重要である。情報コンテキストの代表例としてトポロジー情
報が考えられる。サブネットワークレベルやドメインレベルのネットワークマップは、ア
ドレスのドメインやトラフィックの向きを考慮した分析に有用である。文献[49]でのネット
ワークマップと組み合わせたトラフィック情報の可視化の例を図 12 に示す。
図 12 ネットワーク接続のコンテキストを活用したトラフィック情報表示
このような形の可視化によって、ネットワークトラフィックがどのルートに従い、どこか
らどこに流れたのかを理解することができ、これによって、トラフィックエンジニアリン
グやネットワークデザイン、障害検出などの応用が可能となる。
このようなトポロジー情報は、OSPF や BGP といったルーティングプロトコルがやりとり
する情報から生成可能である。これらの情報を獲得するためのアプローチとして、図 13 に
示す以下の3つの手法が考えられる。
1. BGP ルータや OSPF ルータと private peering を確立し、ルーティング情報を受け取っ
てトポロジー情報を構築する。情報がリアルタイムでアップデートできるためもっとも
- 37 -
望ましい。 2. BGP ルータや OSPF ルータと peering する、トポロジー情報サーバを設置し、リモー
トモニタリングの手法を用いて情報を取得する(BGP-MIB、 OSPF-MIB 等を利用可能)。 ポリシー等の理由で peering が不可能な場合、ないし多数の観測点が情報を獲得する場
合に有用と考えられる。 3. モニタリングしているリンクを流れる隣接ルータのルーティング情報をパッシブに観
測し、ルーティング情報を再構築してトポロジー情報を取得する。単独の観測点で機能
するためもっとも構築が容易である。しかしネットワークトポロジの一部しか獲得でき
ない場合が多いことと、マップ情報が徐々に集まることになるため収束時間が長くなる
ことが欠点である。
図 13 コンテキスト情報の注入
4.6. トラフィック変動の抽出
トラフィックの視点から見たネットワークにおけるイベントとは、ある時間帯に、ネット
ワークに流れているトラフィックのボリュームがその時間帯の前後と比べて、はるかに高
い(或は低い)ということである。どの程度のボリュームになったらイベントとして認識
するかはネットワークのポリシーによって違う。現段階では、ネットワーク管理者はネッ
トワークに起こっていたイベントを見つけ出すために、ネットワーク流れてきたトラフィ
- 38 -
ックの情報を分析し、イベントが発生したかどうかを判断している。本研究は、LPF(Low Pass Filter)を用いて、ネットワークに流れてきたトラフィックを処理することによって、
自動的にイベントの発見や記録を行うことを提案する。
4.6.1. LPF のネットワークトラフィックへの応用
本手法の目的はネットワークにおけるイベントを自動的に迅速かつ正確に発見することで
ある。ネットワークから得られる情報は、時間とその時間において発生したトラフィック
の量を対象とする。
従来から広く使われている手法として、ある閾値を予め決めておき、トラフィックの量が
それ以上となる場合にアラームを出すという方式があるが、対象とネットワークおよびト
ラフィックによって閾値は異なるため、汎用性に乏しく、経験豊富な管理者のきめ細かな
チューニングが不可欠となっている。
本手法では、ネットワークから得られた時間ごとに発生したトラフィックの量を LPF の入
力 inv とし、LPF から得られた出力を outv とする。トラフィックが激しく変動しても、LPF
の特徴により、得られた outv がゆっくりと変化する値になる。そして inout vvv −=∆ と予め
決めた閾値と比較する。もし閾値を越えた場合に、イベントが発生したと判断し、アラー
ムを出す。
4.6.2. IPv6 IX トラフィックによる検証
今回実験に用いたのは、JGN-IPv6 ネットワークの外部接続ポイントの一つである
NSPIXP6[50]において収集されたトラフィックデータである。トラフィックデータは IPv6のもので、2003 年 4 月に観測された IPv6 パケットのデータ量(バイト数)を 1 分ごとに記録
したものである。トラフィックとその分析結果を図 14 に示す。青い色の線は実際に得られ
たトラフィックの量である。ピンク色の線は LPF を通して得られた出力の値である。黄色
の線はトラフィックの値と LPF の出力の差の絶対値である。図 14 で示されるとおり、イ
ベントが発生したときに、黄色の線の値がその瞬間に高くなっていることを確認できる。
このことから、本手法はトラフィック情報からリアルタイムでイベントを検出できる可能
性があるといえる。
- 39 -
図 14 IX におけるトラフィックデータ
4.7. インシデント情報の共有
前節までで様々な分析技術の動向および有効性について述べたが、近年の不正アクセスは
全世界規模もめずらしくない広域なインシデントを引き起こすことも多く、いったん効果
のあるものが出現すると、短時間のうちに世界中に蔓延する。しかし、組織のネットワー
ク管理者や一般の利用者は、大規模な問題となり、マスメディア等に登場するまで、それ
を知ることが難しく、計測結果から得られた情報だけでは効果的な分析ができないことも
多い。
各国や大規模な組織では CSIRT (Computer Security Incident Response Team)が組織され、
有効な情報を集積しているが、それらの共有はまだ十分ではない。そのような中、CSIRTレベルの情報交換をスムーズにかつ自動的に進めるための標準化が検討されている。情報
交換によって得られる情報を活用した分析技術の登場が予想される。
IETF の INCH WG[51]では組織間でのインシデント情報交換のための標準フォーマットが
議論されており、これまでに要件[52]、およびフォーマット案が提案されている[53]。
4.8. 最新の不正アクセスの動向
近年ではさらに新しい攻撃についての研究が数多く報告されている。本調査研究ではそれ
らの中でも現時点で決定的な対策がなく、また実際に攻撃としての効果を挙げることが報
告されている 2 つの DoS 攻撃について調査検討する。
4.8.1. Reflector 攻撃
DRDoS(Distributed Reflection DoS)攻撃は様々なシステムおよびアプリケーションが生成
- 40 -
する応答パケットを利用して DoS トラフィックを生成する、反射型の DoS 攻撃である。攻
撃者は Reflector となるノードに向けて Source IP を攻撃目標となるように改竄したなんら
かの要求パケットを送信し、Reflector にそれに対する応答パケットを目標(改竄された
Source IP)に対して送信(返信)させることで成立する[54][55][56]。
図 15 DDoS と反射型 DDoS
例として、reflection SYN flooding attack を挙げる。
1.攻撃者は Source IP を目標の IP アドレスに設定して、大量の SYN パケットを送
出
2.SYN パケットを受信したサーバやルータは、TCP の 3way ハンドシェイクを成立
させるために SYN/ACK パケットを SYN パケットの Source IP(目標)に向けて送
る。
3.Reflector は、3way ハンドシェイクが完了する ACK が返ってくるまで SYN/ACKを送り続ける。
4.しかし SYN/ACK の宛先は元の SYN の送信者とは異なるため、ACK が戻される
ことはなく、再送によって SYN/ACK の量は SYN パケットの 3~4 倍にもなる。
5.結果として、ネットワークが SYN/ACK で溢れ、攻撃者が攻撃を終えたあとでも
数分間は、その効果が持続する。
この攻撃の特徴として、
• インターネットの基本的な伝送プロトコルを利用
• ほとんどのインターネット機器を Reflector として利用可能
- 41 -
• “Reflector”のリストを生成するのは容易
等が挙げられる。これらの中には単独では特に不正ではないパケットも多くあり、単純な
パケットフィルタ等では Reflector 側でも被攻撃側でも防ぐことが困難である。
図 16 に TCP-SYN による反射型攻撃の例を示す。実験環境を図 17 に示す。攻撃者(A)
から反射ノード(R)に TCP-SYN を送信し、R から被害者(V)に SYN-ACK が送信され
る。グラフの赤で示された線が結果的に V に届いた攻撃パケットの量となる。X 軸を A が
生成する TCP-SYN の送信レート(PPS)、Y 軸を V に届いたパケットの量を示している。
図からわかるとおり、攻撃の効果は攻撃パケットに対して線形ではない。これは R が応答
パケットを再送するなどの処理を行うことで増幅されるとともに、VからRに送られるRSTパケットによって通信が終了するケースがあるためである。また A からの送信レートが一
定以上になると R に対する SYN flood となることから効果が落ちてくることがわかる。こ
の特性は、洗練された攻撃では A が送信するパケットの送信レートは大きな値となりにく
いことを示しており、検知の困難さが予想される。実際には反射型攻撃は大量の R を活用
することから V では早い段階で RST を送信することができなくなり、効果はさらに上がる
ことが予想できる。
図 16 TCP-SYN による反射型攻撃の例
- 42 -
図 17 反射型攻撃の実験
また通信プロトコルとしての基本的な機能を利用したものであるため、インターネット上
の多くのノードが Reflector になりえる。このことは多くのノードを使った大規模な DDoSトラフィックを容易に生成し得ることを示しており、今後大きな脅威となり得る。
4.8.2. Pulsing DoS 攻撃
従来の DoS は大量のトラフィックを発生させて目標がサービスを提供できない状態にする
事を目的としている。一方、DeS(Degradation of Service)攻撃はサービスを劣化させるこ
とを目的とした攻撃であり、従来の DoS とは異なり大量のトラフィックを発生させる必要
がないと言われている。DeS 攻撃はサービスを妨害するものではないため、個々の被害者
側では攻撃を受けているという事に気付きにくい。また、攻撃トラフィックが従来の DoSと比べかなり少ないため検知・追跡が困難になる。
このような攻撃を実行するために、通常の DoS 攻撃が大容量のトラフィックを連続的に送
信するのに対して、Pulsing DoS では非常に短い時間で比較的少数のパケットを断続的に送
信する。
この手法は、ネットワークの Queue を埋め尽くすために十分な程度のパケットだけを送信
することによって、他の通常通信のパケットがロスする可能性を効率的に高めることを目
的としている。Queue の長さが 40~50 パケット分程度であることと TCP の輻輳制御アル
ゴリズムの影響で、帯域を埋め尽くすことなく通常通信の TCP の性能を引き下げることが
できる。
文献[57]では、この攻撃に関して詳細な研究を実施している。図 18 に文献中で述べられて
いる効果的な Pulse の生成方法について示す。この攻撃は TCP の輻輳制御アルゴリズムを
悪用することで最も効果を発揮する。
図中の l1はQueueを埋め尽くすために必要な初期の攻撃トラフィックでありインパルス状
V
R A
攻撃
- 43 -
のトラフィックが最も効果的となる。一度 Queue を埋めてしまうとその後は Queue のサ
ービス率 l2 と等しい送信レートの攻撃で十分な効果を発揮する。l2 での攻撃を一定時間継
続することで TCP は回線が輻輳していると判断し送信レートを下げる。このとき一定数異
常のパケットが攻撃によってあふれている Queue で落とされると TCP は Slow Start とし
て知られている輻輳制御プロセスを開始する。
TCP はその性質上輻輳に対して保守的な制御を行うように設計されていることから、一度
深刻な輻輳と判断され Slow Start プロセスを開始すると、再び送信レートを上げることに
対して慎重な制御を行う。攻撃者はこの間 T 時間攻撃をしなくても TCP の性能を落とした
ままでいられる。結果として図のように定期的に必要最小限のパケットを送信することで
TCP 通信に大きなダメージを与えることが可能になる。
実際にはこれほどの精密な制御は容易ではないが、文献では大雑把にこれに近い攻撃を実
行するだけでも十分な効果があることが実験を通して示されている。
図 18 効果的な Pulsing DoS の例
4.9. 分析技術の現状と課題
本章では DoS 攻撃を中心とした不正アクセスおよび未知の攻撃を含む様々な攻撃を検知す
ることができる分析技術について述べた。これらの結果からはネットワークにおける不正
アクセスや異常の検知は困難が多く、近年特に問題になっている DoS 攻撃についてだけを
考えても十分な技術がないことがわかる。
不正アクセス技術として、現在主流であるシグネチャ型の手法では、既知の攻撃に対して
しかシグネチャが用意できないことから、原理的に攻撃に対して後手に回ってしまい、真
に有効な対策のためには十分ではない。ニューラルネットや各種の統計的な手法を使った
異常検知についても多くの研究がなされているが、リアルタイム性や現実のネットワーク
への適用方法、さらには誤検知の発生率の点で克服すべき課題が多い。
- 44 -
特に誤検知(False Positive)の対策は重要な課題である。新しい巧妙な攻撃が次々と登場
している以上、現在知られているどのような分析手法を使ってもそれだけでは十分な信頼
性をもった検知は十分ではない可能性がある。またニューラルネットなどの手法は未知の
攻撃を検知できるポテンシャルを持つため将来的な活用が期待できるが、その場合も検知
された現象が真に検知する対象であったかどうかを検証するようなメカニズムは必須とな
る。
負荷の観点から見ても、分析技術を無闇に複雑に高負荷なものとするのは妥当な方向性で
はない。長期的な傾向分析のような利用方法でない限り、リアルタイム性に関する要求は
高まる一方であり、それに対して分析すべきトラフィックも増大する一方である。
ネットワーク計測技術の章でも述べたが、分析技術にも軽量化、効率化が必要であり、そ
れらは将来的なトラフィックの増大にも対応できるようにスケーラブルでなければならな
い。
図 19 にスケーラビリティを確保し、検知情報を検証するためのトラフィック分析システム
の概念を示す。分析負荷を下げることためにアラート生成を簡素化し、一方で精度を補う
ために、生成されたアラートの検証を行うモジュールを付加する。これらの二つを分離す
ることによって各処理を独立にすることが可能になり、様々な検知技術、分析技術の活用
と精度の向上を図ることができる。
図 19 高いスケーラビリティと信頼性を持つアラート情報の生成
アラート検証機能は、幅広い情報を活用することで高機能化できる。監視対象のネットワ
軽量な分析技術 アラート検証技術 検証済みアラート
ネットワーク構成
サービス構成
セキュリティポリシ
世界的なインシデント傾向
各種 Anomaly 分析
ニューラルネット
新しい DOS 検知技術
- 45 -
ーク構成、サービス構成、セキュリティポリシ等の情報も活用することが重要となる。
また、傾向の予測とすばやい対応のためには全インターネットレベルでのインシデント情
報の共有が有効である。もしどこかで流行の兆しを発見することができれば、予防的措置
をとることが可能となる。このような情報を共有することで検知されるインシデントの重
要性を検証することも現実的になってくるとともに、インシデントの拡大自体も未然に防
ぐことができるようになる。
- 46 -
5. 実用的なトラフィック監視と詳細検査
実際のネットワークから得られたトラフィック情報に基づくケーススタディからトラフィ
ック監視・分析から障害やセキュリティなどのインシデントに対して、シンプルな手法で
その検知に十分効果がある可能性を示す。また人手による詳細分析で自動的に検知された
イベントが実際にネットワークの問題点を捉えていることも確認する。
これらのケーススタディから以下の可能性が示す。
• シンプルな手法で異常の兆候を捉えることができる • 分散した観測点で得られた波形の分析および入出力トラフィックの関係性の分析から
アプリケーションレベルの異常状態の議論が可能である。 • シンプルな手法による異常(候補)の検知と詳細分析の組み合わせによって信頼でき
る高度な情報を得ることができる。 • 分散観測の結果とネットワーク地図など経路情報に即した分析の組み合わせにより、
内部で発生するイベントの発生源とその挙動を特定することができる。
本章では、これまでに述べてきた計測、分析、異常検知の一連の流れを実現できる、より
実践的な手法について、実際に観測されたネットワークトラフィックを基に検証する。
本検証に用いたトラフィック情報については 8 章にまとめる。
ここでは東北大学の大学院経済学研究科のネットワークで実際に観測されたトラフィック
情報を元に、現実の問題として対処していくことが必要なトラフィック現象のケーススタ
ディを行う。
5.1. 対象ネットワークの LAN の構成
観測対象のネットワーク構成(図 20)とトラフィック観測ポイントについて以下に述べる。
- 47 -
2FPD盤
econ-gw
Catalyst3550-12G
Catalyst2950G-24
Catalyst2950G-24
Catalyst2950G-24
Catalyst2950G-24
Catalyst2924LX
Catalyst2924LX
econ-sw6f
chuzai1
econ-sw2f
econ-sw4f
econ-sw5f
econ-sw3f
Corega SW-HUB85W-8L
植物園記念館1F植物園事務
M/C PD
PD付属図書館2号館PD経由
文系合同研究棟
6F
M/C
各教官研究室
各教官研究室
各教官研究室
各演習室
CenterCom FS708XL
3Com SuperStackII SW 3000
5F 各教官研究室
M/C PD
PD
植物園記念館2F
Phbox1
Phbox2
CenterCom FS702FCL
Catalyst4006
Catalyst3512XL
Catalyst3512XL
FS724XJ x10
院生室
図書室FS716TXV2
FS708XL
Catalyst2924実験室
実習室
Catalyst2924サーバ群へ
サーバ室
講義棟
M/C
M/C
ゼミ協
エレベータ室
Cisco7204
Apple Talk
2FPD盤
econ-gw
Catalyst3550-12G
Catalyst2950G-24
Catalyst2950G-24
Catalyst2950G-24
Catalyst2950G-24
Catalyst2924LX
Catalyst2924LX
econ-sw6f
chuzai1
econ-sw2f
econ-sw4f
econ-sw5f
econ-sw3f
Corega SW-HUB85W-8L
植物園記念館1F植物園事務
M/C PDPD
PDPD付属図書館2号館PD経由
文系合同研究棟
6F
M/C
各教官研究室各教官研究室
各教官研究室各教官研究室
各教官研究室各教官研究室
各演習室各演習室
CenterCom FS708XL
3Com SuperStackII SW 3000
5F 各教官研究室各教官研究室
M/C PDPD
PDPD
植物園記念館2F
Phbox1
Phbox2
CenterCom FS702FCL
Catalyst4006
Catalyst3512XL
Catalyst3512XL
FS724XJ x10
院生室
図書室FS716TXV2
FS708XL
Catalyst2924実験室
実習室
Catalyst2924サーバ群へ
サーバ室
講義棟
M/C
M/C
ゼミ協
エレベータ室
Cisco7204
Apple Talk
図 20 東北大学大学院経済学研究科の LAN の構成
ホスト数 430 ユーザ数 1093
(個別ホスト 213 ユーザ、 実習室など共用ホスト 880 ユーザ)
トラフィックの観測ポイント
(1)各 SW-HUB での SNMP によるトラフィックモニタリング(13node)
(2)図の phbox1で LAN の入出のパケットダンピング
(3)phbox2 でのサーバ群の入出のパケットダンピング
東北大学経済学部/経済学研究科はホスト数 430 の比較的中規模な LAN を構成している。
起こりうる様々なインシデントに早期に対処するために、上記の観測点におけるトラフィ
ックモニタリングを行っている。各フロアおよび比較的ユーザ数の多い演習室などのノー
ドごとに設置した SW-HUB およびサーバから SNMP でトラフィックデータを収集する。
この場合、各ノードは基幹側の入出双方のデータと、必要に応じて各 SW-HUB の Ether
- 48 -
Port のデータ収集も行った。観測対象は主に入出力データ量であり、情報収集間隔は 1 分
とした。
大学の広域キャンパスネットワーク基幹からあるいは基幹線への入出パケットの観察は上
記に示した専用のプローブマシン(phbox1)で行い、トラフィックの常時観察を行ってい
るが、必要に応じてパケットの分析を行うこともできる。
5.2. アプリケーション異常の検知
下図は基幹と接続しているゲートウェイのトラフィック(情報収集間隔 5 sec)であるが、
やや定期的なピークが観察されたため、その時間帯のトラフィックを詳細に分析した。
その結果、ゲートウェイの各ポートの調査から2F のサーバ群からの定期的なピークがでて
いることが発見された。
次の図は主に FTP、WWW、Mail などのサーバのトラフィックの集合したものを示してい
る。この図からこれらサーバのいずれかで異常な操作が行われている可能性があることが
わかる。
次の図の(1)(2)は同じような機能を持つ2つのサーバのトラフィックであるが、合成
すると前図になるそれぞれのトラフィックである。これらの比較から、明らかに(2)の
サーバに不審な動作が生じていることが発見される。
- 49 -
(1)
(2)
この後、サーバのログを参照するなどの詳細分析により、あて先不明のメールがメールサ
ーバから繰り返し送信されていることが判明し、対処が可能となった。ここでは、各経路
から送られてくるあるいは各経路へ送られるトラフィックの合成されたピークからから必
要なピークを抽出することが可能であれば、異常発見への手がかりとなることがわかる。
本項では、3.3.4、および 4.5 で述べられている技術に基づいて、経路情報から合成された
トラフィックのピークの各成分を割り出していく方法を用いた。この方法は、異常動作抽
出のための特別な操作を必要とせず、短時間に異常動作を発見することが可能である。一
方、合成された基幹経路のトラフィック(ここではゲートウェイ上のトラフィック)のみ
で判断するとすれば、FFT によるトラフィックのスペクトル分析や Wavelet によるフィル
タリングなどによって異常なピークを抽出することが必要となる。
5.3. ネットワーク帯域占有の検知
以下は著作権の侵害問題なので社会的に問題となることが多い P2P トラフィックを発見、
対応した例である。この場合、下図のように多くのホストがアクセスしない夜間・早朝に、
連続的でかつ他を圧倒する大量のトラフィックが観測された。
- 50 -
上記の例では、通常の平日には 8 時過ぎから始まるピークの集合が見られるトラフィック
とは異なるトラフィックがゲートウェイ上で観察されている。この場合、個々の LAN 内部
のタイムスケジュール(休日もしくは業務・学習時間)を考慮した計測および分析によっ
て、より正確な異常状態の検知可能性を示している。
上図は平日の通常の状態を示している。ゲートウェイのトラフィックは 8 時過ぎに緩やか
に上昇していくのがわかる。また、それに伴ってサーバでのピークも出現してくる。夜間
に比較的連続的なアクセスが見られる。業務の開始とともにトラフィックは緩やかに増加
していくが、この立ち上がりの傾き、すなわち日毎および週毎のピーク出現パターンを学
習し、それからの変位を検知するモデルを作ることが可能であれば異常発見、アラートの
生成が可能になる。
5.4. 分散観測による異常診断
前々項ですでに述べたように、経路内に分散する観測点においてトラフィックデータが得
られることによって、障害発生箇所や障害の発生したレイヤも迅速に検知することが可能
である。
下の図はゲートウェイにおける入出力データ量の時系列観察結果を示しているが、図中矢
印で示した部分のトラフィックがすべてなくなっていることで、ゲートウェイから外のリ
ンクがダウンしているため、LAN の経路で障害が発生していることがわかる。
障害発生によるトラフィックの遮断に関しては、ある一定の時間トラフィックが無いこと
を検知できれば、異常状態であると判断できる。この場合はたとえば一週間のサンプリン
- 51 -
グ・分析により、基準値を決定し、一定時間(ここでは数分間のサンプリング期間)それ
以下にトラフィックが低下あるいは低迷する場合異常と判断することが可能である。
一方、下の図では LAN 内の特定の SW-HUB でのみトラフィックの異常がみられるので、
ゲートウェイからこの SW-HUB までの経路で障害が発生していることがわかる。
アプリケーションのレベルでも障害が起こっていることも検知が可能である。下の図(1)
は Proxy サーバのみが何らかの異常でダウンした場合のトラフィックである。しかし、(2)
は、Proxy を経由しないトラフィックは流れていることを示しており、複数の観測点および
レベルの情報を統合することによって不審なトラフィックの挙動および発生箇所などを特
定することが可能である。
(1)
- 52 -
(2)
さらに詳細な診断のためには、複数の観測点で得たトラフィックの相関だけではなく、ア
プリケーションのログなどに対する詳細分析が必要となる。
以上のように、このように、複数の観測点で観測したトラフィックデータを LAN のネット
ワーク地図 にマッピングすることにより、個々のトラフィックとそれらの集積トラフィッ
ク相互の関連性から分析していくことも有用な方法であることがわかる。
5.5. トラフィックの波形と発生イベントの関連性
監視対象ネットワークの日毎あるいは週毎の利用状況が明らかになり、また分散した観測
点による複数箇所での観測が可能な状況では、ピーク分析・波形解析により、さらに発生
イベントの絞り込みが可能となる。
下図(1)(2)は普段トラフィックの少ない早朝のトラフィックである。(1)は定期的
なアクセスがあるが、メールクライアントによる自動的な POP サーバへのアクセスであり
ピークは低い。
(1)
しかし、ゲートウェイでは(2)のように長時間にあたる連続的なトラフィックが観察さ
れた。
- 53 -
(2)
別の SW-HUB の観測点で得られたトラフィックを詳細に分析することにより得られたデ
ータから、イベントを発生しているポートが特定できる。この場合 P2P ソフトのインスト
ールによる動画ファイルのダウンロードの場合があり、ユーザの同定から速やかに排除の
措置をとることができる。
次の図は同じ事例を SW-HUB の該当ポートの入出力のデータ量を観測し、その相関を示し
たものだが、入力と出力の通信の相関から特定のアプリケーションによる通信の挙動を類
推することの可能性を示している。
入力データ量(Byte) 出力データ量(Byte)
- 54 -
このような観察を数日間行った結果、相対的にトラフィックの少ない業務時間外にこのよ
うなバースト波が数日間続くこともあり得るが、以下のようにトラフィックの観察から比
較的速やかな対応が可能であった。対応後は上図のように、トラフィックが比較的安定し
て行く。
次の2つの図も同様に動画などのソフトウェアの使用の場合のトラフィックである。
ユーザを同定し、インストールプログラムを削除した結果、異常なトラフィックは減衰し
た。
- 55 -
一方、下の図は夜間に連続的なダウンロードが行われているが、この場合は比較的安定し
た矩形状のトラフィックが得られている。
たとえばニュースなどの動画を連続的に受信している場合、数分単位のサンプリングでは
安定したダウンロードトラフィックが観察されることになる。従って、矩形状あるいはバ
ーストの安定性など波形分析が可能であれば、さらなる詳細分析への移行のトリガとなり
うる。
- 56 -
6. シンプルなイベント生成とそれに連動した詳細分析
ネットワークで起こっている実際の問題に対して適用できる計測・分析技術を調査研究す
る。トラフィックの安定性という概念に基づくトラフィック分析の可能性を実際のネット
ワークから得られたトラフィック情報に適用することで、実用性を検証する。現在知られ
ている安定性の概念をよりリアルタイムなネットワークの現場に導入するにあたっての改
良、検討を行う。
前節でのケーススタディによってシンプルな手法による異常(候補)の検知とそれに合わ
せた詳細分析の組み合わせが現実的なネットワーク監視に対して有効であることが示され
た。以降では、特にシンプルなイベントの生成法として、トラフィックの安定性に注目し
た検討を行う。ケーススタディでは、定常的なトラフィックは全体としてある程度の規則
性をもち、不正や異常はその規則性が破られたことを検知することで、特定できる可能性
を示している。
本調査報告では、この「定常的なトラフィック」の存在に注目し、軽量なネットワーク計
測、シンプルなイベント生成を実現し、かつ実際のネットワークの診断に有効な指標とし
て「安定性」の考え方について検討する。
6.1. トラフィックの安定性
ネットワークトラフィックの示す特性として、安定性という考え方が示されている[58][59]。これはネットワーク中のトラフィックはある一定の種類のトラフィックが常に支配的にな
っている、とするものである。文献中では通信を行っているノードの IP アドレスが所属す
る AS(Autonomous System)は基本的に一定の範囲に収まっていることを示している。この
ことは一定以上の期間で考えれば通信相手は一定の範囲に収まっていることを示している。
この仮定は特定の範囲の通信は長い目で見ると概ね同じ傾向を持つことと、通信プロトコ
ルと関連するような観測対象は通常特定の範囲の値しかとり得ないことなどがその背景と
して考えられる。
本調査研究では、文献では 1 日および AS というような大きな単位での安定性について述べ
ているこのアイディアをさらに広く適用し、より短い期間、より幅広い監視項目について
の可能性を検討する。
- 57 -
6.1.1. 特定トラフィックの支配率
本調査中での安定性を示す指標のひとつとして、Top N1支配率 D(N)を以下のように定義す
る。
数式 1 Top N 支配率
slotpacketsofNumber
slotgroupTopNinpacketsofNumber
ND =)(
Top N は対象とするトラフィック情報項目の該当するスロットあたりのパケット数が同じ
スロット内での全パケット数に占める割合の順位で定義する。上記の定義に基づいて、各
種パラメータについての安定性を調査する。
この指標は、スロットあたりで全パケットに対する Top N パケットの占める割合を表して
おり、特定の同じ種類の通信で全体のうちのどのくらいを占めるか、をあらわしたもので
ある。指標としてアドレスをとれば、全体に対して特定の人が占める割合を表し、Top 3 で
D(3)が 90%というようケースでは 3 つのアドレスが全通信の 90%を占めている、というこ
とになる。
図 21 にソース IP アドレスの支配率の例を示す。図から Top の 10 種程度のアドレスが全
体の約 50%を占めていることがわかる。
1 N はその支配率であらかじめソートされた値とする
- 58 -
図 21 支配率の例
この考え方は、観測対象として様々な指標が考えられるが、いずれのケースもその出現頻
度はランダムではなく、通常の状態であれば一定の範囲内に収まることを仮定している。
その一定の範囲が維持されているとき安定である、とする。図 22 に安定性の検討モデルを
示す。安定性を Top N の支配率 D(N)の安定度として考える。時刻 T よりさかのぼる TH時
間の DT-(N)が安定しているとき、時刻 T で安定性があるとし、時刻 T 以後にその支配率
DT+(N)が乱れたときは、安定性が失われたとしてなんらかのイベントを生成するとする。
図 22 Stability の検討モデル
6.1.2. 支配的な N
次に D(N)の安定性について検討する。特定の Top N 種類だけで通信の多くが占められる状
況は N の大きさによって、その意味が異なってくる。極端な例として N を 232とすればす
べての IPv4 アドレス空間をカバーできることになり、特定の集団が占有していることには
ならない。
時間 t 時刻 T
時刻 T に対して過去となる時間間隔 TH
DT-(N)は安定 DT+(N)は Stable?
- 59 -
本調査研究では、支配的といえる Top N を以下のように定義する。
数式 2 支配的な N
CNDND <−+ )()1(
これは Top N で占められているトラフィックに N+1位を加えることによって得られる支配
率の拡大が C を超えない、という意味となり、N+1 位以下の順位となるトラフィックは支
配的なグループを形成しない、とする。本調査報告では C を 1%としたケースについて検討
した。
図 23 に図 21 の結果のうち、上記の条件を満たす Top N の例を示す。図中に示した N=14の点を境に支配的なグループとそれ以外をグループ化する。
図 23 支配的な Top N の例
この N で形成するグループが安定であるかどうかを検証する基準を検討し、図 22 で示し
たDT-(N)の期間の数式 2を満たすNが一定の範囲の値をとるかどうかを安定性の指標とす
る。
6.1.3. 支配的な N の安定性
前節までで、一定の期間 DT-(N)における支配的な N の評価について議論した。この特性を
リアルタイムな異常検知に応用する際には、支配的な N を算出するために一定以下の間隔
- 60 -
でこれらの変化を計測し、そこでの通常状態での支配的な N が変化を検知できるような安
定性をもつ必要がある。したがって、現実の計測と分析には、スロット毎の区切られた計
測による支配的な N とその安定性について検討することが重要となる。
安定性を検討するために、DT-(N)の期間を単位時間スロットで分割することで m 個の数式 2 を満たす Ni )1( mi ≤≤ の値を検討する。図 24 は上記の図 21 および図 23 のケース(ス
ロット幅は 50,000 パケット)での Niの時間的推移を示す。X 軸にスロット毎に分割された
タイムスロットをとり Y 軸に支配的となる N の値をとる。図からこのケースでは支配的な
N は 14 前後で安定であることがわかる。
図 24 支配的なグループの安定性の例
考慮する過去である DT-(N)の安定性を議論するとき、スロットサイズの選択が重要な要素
となる。スロットサイズを小さくとることで、安定性の判断を頻繁に行うことが可能とな
ることから、異常検知への応用の観点からは小さくとることが望ましい。
しかし、過度に小さくとると、ダイナミックに変化するネットワーク特性の影響を大きく
うけ、安定性がなくなることが予想される。図 24 においてスロットサイズをより小さく(ス
ロット幅は 10,000 パケット)したものについて図 25 に示す。
- 61 -
図 25 小さなスロット幅での支配的な N の安定性
図から、N の変化の幅が大きくなっていることがわかり、同じ観測対象であってもその計
測方法によって、安定性の程度が変わることがわかる。
以降、安定性を活用するための、計測における基本的なパラメータについて検討し、観測
対象毎の計測手法を検討していく。
6.1.4. 安定性の評価基準
安定性の議論にはある程度の統計性が必要である。ほとんど利用者のいないネットワーク、
あるいは不特定少数の利用者という環境では通信はランダムに近くなるか、安定性を評価
できるまでにかなりの期間の観測を必要とすることが予想される。
本調査研究では評価基準として、図 24 を元に以降で以下のような特性を考える。
過去の m スロットにおける支配的な N のバラツキ、すなわち N の安定性を評価するため
にm個の N の値の平均値、最大値、最小値を用いる。
N の平均値に対して、その最大値と最小値の差が十分小さいとき支配的な N は安定してい
るといえる。
過去のスロット数 m は、考慮する過去の履歴の長さを意味しており、m スロット分の時間
に対して支配的な N の安定性を議論することになる。N が安定となるmが重要なパラメー
- 62 -
タとなる。
このとき 3.3.1 節で述べたサンプリングの場合のようにスロット化の方式も、大きくわけて
時間的なスロット化と通信量的なスロット化が考えられ、どのような単位で観測するかに
よって安定性の議論に大きな影響をもたらすことが予想できる。
またm個の各スロットサイズは異常検知への応用の観点から重要なパラメータとなる。小
さなスロットサイズで安定性が得られる指標ほど変化に対して敏感な指標となりえる。
さらに、統計性の影響を評価するために、小規模ネットワークの出入り口で観測された平
日 24 時間のトラフィックについて調査した。図 26 に観測点で観測された一時間あたりの
パケット数の推移を示す。ネットワークの利用率に時間的な変動が大きいことがわかる。
この日の傾向をさらに 2 種類に分割し、20 時以降の利用量の大きな時間帯とそれ以前の利
用量の小さな時間帯で統計的特性の違いについて検討する。
図 26 観測総 IP パケット数・TCP パケット数の時間的推移
以下、安定性について議論するためのその他の要件であるスロット化方式、スロットサイ
ズ、さらに統計性について検討する。
6.1.5. スロット化方式
リアルタイムなスロット毎の観測は、定期的な観測値の集計によって実現できる。トラフ
ィックの観測にはこのとき 2 種類の方法が考えられる。ひとつは一定時間毎に集計する時
間駆動、もうひとつは観測されるパケット数に対して一定パケット数毎に集計するパケッ
- 63 -
ト駆動である。
トラフィックの安定性は、観測されるトラフィックが特定の安定した傾向を持つこととい
う仮定の下に議論されている。このことは一定期間のトラフィックに安定性があることと
も解釈でき、スロット化には時間駆動方式の適用が自然なように感じられる。しかし、一
方ではネットワークトラフィックの多くの割合がプロトコルの動作によって、自動的に特
定のパケットに引き続いて発生していることからパケット駆動はそのような通信のスロッ
ト化には有効であるといえる。
安定性の議論にはある程度の統計性が不可欠であるため、利用率の低いネットワークにつ
いては時間駆動方式ではスケーラビリティを欠くことが予想される。
一方でパケット駆動では、利用者の振る舞いを的確に反映することが困難となる可能性が
ある。観測されるアドレスの分布等、利用者の人間的な振る舞いと関連の深い観測対象に
ついては、特に高速大容量ネットワークをパケット駆動監視するとその挙動の単位をとら
えきれず十分なサンプルを得られない可能性がある。
駆動方式と統計性については 6.1.8 で議論する。
6.1.6. スロットサイズ
スロットサイズの影響は観測対象に大きく依存することが予想される。図 27 と図 28 にそ
れぞれ大規模および小規模ネットワークにおけるスロットサイズと支配的な N の安定性の
関係を示す。スロットサイズはパケット駆動によるスロット化を前提とし、スロットに含
まれるパケット数で表す。
図 27 と図 28 の双方で一定以上のスロットサイズのとき支配的 N が安定となることを示
している。安定となるサイズはそれぞれのネットワーク規模に依存しているが、このよう
な安定となるサイズが存在することは、安定性という特性を利用した異常検知に可能性が
あることを示している。
- 64 -
図 27 大規模ネットワークにおけるスロットサイズと支配的 N の関係
図 28 小規模ネットワークにおけるスロットサイズと支配的 N の関係
6.1.7. スロット数
スロット数は、安定性を検討するためにどの程度過去にさかのぼるかを意味している。ス
ロット数を多くすることは、より長い期間あるいは多い通信量における安定性を考慮する
ことになり、長期的傾向を判断基準とすることを意味する。逆にスロット数を少なくする
ことは、短期の傾向のみを利用することになり、変化に対して敏感になりえるが、逆に十
- 65 -
分な安定性を見出すことが困難になる。
本調査研究では、上記のような傾向から必要なスロット数について以下に検討する。
図 29 と図 30 はスロット数が安定性に与える影響を、大規模ネットワークと小規模ネット
ワークについてそれぞれ調査した図である。安定性を測る基準を過去 m スロット分の支配
的な N の平均とし、m を 5, 10, 20, 30, 40, 50 と変化させ平均の推移を調べた。監視項目は
送信元 IP アドレスである。大規模ネットワーク、小規模ネットワーク共に m=5 の場合で
は短期の傾向のみに左右されるため、平均の変動が激しく十分な安定性を見出せない。し
かし、m を大きくして長期的傾向を取り入れるにつれて平均の変動が小さくなっているこ
とがわかる。また、m=30 以上では変化の傾向がほぼ似通ったものになっている。これは、
安定性を判断するためには少なくとも過去 30スロット分を考慮する必要があるということ
を示している。
図 29 大規模ネットワークでのスロット数 m と支配的な N の安定性の関係
- 66 -
図 30 小規模ネットワークでのスロット数 m と支配的な N の安定性の関係
6.1.8. 統計性について
図 26 のトラフィックで、通信量の多い時間帯と少ない時間帯で支配的な N の安定性につ
いて比較検討した。
図 32 は図 26 と同じデータで、通信量の多い時間帯(1 分間あたりのパケット数が 1000以上)となるケースを 10 個選択し、それぞれの支配的な N の変化を示したものである。
図 31 もおなじく支配的な N の変化を示しているが、おなじく図 26 と同じデータに対し
て通信量の少ない時間帯(1 分間あたりのパケット数が 1000 未満)となるケースを 10 個
選択している。
通信量が多い時間帯の方が、明らかに支配的な N の変動が抑制されており、安定性が高い
ことがわかる。両者の違いは、安定性に基づく分析には一定以上の通信量が必要である。
- 67 -
図 31 通信量の少ない時間帯(各スロットのパケット数が 1000pkt 未満)の安定性
図 32 通信量の多い時間帯(各スロットのパケット数が 1000pkt 以上)の安定性
上記の結果から、時間駆動のスロット化方式はネットワークの利用状況によって観測され
る安定度に大きな違いをもたらすことがわかる。このことは規模の小さなネットワークほ
ど顕著になる。
一方で同様な傾向は一定のパケット数を前提するパケット駆動のスロット化方式でも確認
できる。パケット駆動方式では時間に関する情報が含まれないため、極端なケースでは通
- 68 -
信がほとんど発生しないとき、適切な統計的特性を示さない。図 33 と図 34 に、小規模ネ
ットワークと大規模ネットワークに対してパケット駆動によるスロット化方式を適用した
場合の各スロットにおける支配的な N をそれぞれ示す。図 33 は図 26 のデータに対応し
ており、ネットワークの利用量が少ない前半部分においては支配的な N が大きく変化して
いる。それに対し、常にある程度の量のトラフィックが流れている大規模ネットワークで
は全体的に支配的な N の変化は小さい。このことから、パケット駆動の場合であっても最
低限のトラフィック量は必要となることがわかる。すなわち、一定時間内に発生するパケ
ット数をパケットの時間密度と考えると、一定以上のパケット密度がなければ安定性が議
論できない。
図 33 小規模ネットワークの時間帯による支配的 N の変化(スロットサイズ 30,000pkts)
- 69 -
図 34 大規模ネットワークの時間帯による支配的 N の変化(スロットサイズ 30,000pkts)
6.2. 監視項目による安定性の違い
本節では、パケットヘッダの各フィールドを元に監視項目を選択し、これまでの検討によ
って得られたパラメータを用いてそれぞれの安定性について検討する。
検討対象の監視項目は以下のとおりである。
IP ヘッダ中のフィールド 送信元 IP アドレス あて先 IP アドレス TTL(Time To Live) ID(Identification)
TCP ヘッダ中のフィールド 送信元ポート番号 あて先ポート番号 ウインドウサイズ シーケンス番号 フラグの組み合わせ
UDP ヘッダ中のフィールド 送信元ポート番号 あて先ポート番号
- 70 -
スロット化方式はパケット駆動方式とし、6.1.6 の検討結果から小規模ネットワークにおけ
るスロットサイズを 20,000pkt、大規模ネットワークにおけるスロットサイズを 1000pktとした。また、6.1.7 の結果よりスロット数は共通の 30 とした。
6.2.1. 小規模ネットワークでの各監視項目の安定性
まず、小規模ネットワークについて、Internet から Intranet に流入するトラフィックを対
象とした調査を行った。統計性を確保するためネットワークの利用率が大きな時間帯を調
査対象としている。
図 35 は送信元 IP アドレスの支配的な N の平均の変化およびその最大と最小値を示してお
り、送信元 IP アドレスの安定性を示している。支配的な N の平均は安定して低い値を保っ
ていることがわかる。また、その変化の幅も 10 位程度であり、安定性があることがわかる。
仮に、送信元 IP アドレスの安定性が失われた場合、送信元 IP アドレスをランダムに偽造
した(D)DoS などが行われている可能性が高いと考えられるため、詳細分析を起動するトリ
ガのひとつとなり得る。
図 35 送信元 IP アドレス
図 36 はあて先 IP アドレスの安定性を示している。送信元 IP アドレスと同様、支配的な Nの平均は安定して低い値を保っており、安定性を持つことがわかる。あて先 IP アドレスの
安定性の崩れは、外部から内部のネットワークを広くスキャンされている可能性を示す。
- 71 -
図 36 あて先 IP アドレス
図 37 は IP ヘッダの TTL フィールドの安定性を示している。TTL フィールドは、その初
期値および送信ホストと受信ホスト間のホップ数より定まる。一般に、TTL フィールドの
初期値は OS によって定まっており、また送信元 IP アドレスに安定性があることから、送
信元 IP アドレス同様安定性を持つことが予想できる。実際に、TTL の安定性は送信元 IPアドレスと似た傾向を示しており、妥当な結果であるといえる。また、TTL の安定性が崩
れた場合、インターネット上の広範囲のホストを踏み台とした DDoS を受けている可能性
がある。
- 72 -
図 37 TTL
図 38 は IP ヘッダの ID フィールドの安定性を示している。支配的な N の値は常に 1 を示
しており、一見安定しているように見える。しかし、実際は Top 1 が占める割合は 1%を切
っている場合がほとんどであり、ID フィールドに安定性があるとは言えない。これは、他
の多くのフィールドが人間の挙動や通信の状況によって決まるのに対し、ID フィールドは
基本的にランダムに設定されるためである。このような項目は、安定性がない状態が通常
と考えられ、仮に安定性が生じた場合には異常と判断できる。また、この結果は、安定性
を論ずるには TopN の支配率の値自体も考慮しなければならないことを示している。
- 73 -
図 38 ID
図 39 は送信元 TCP ポート番号の安定性を示している。調査対象のトラフィックが小規模
な Intranet への流入トラフィックであることから、基本的にこのポート番号はクライアン
トーサーバ型通信におけるサーバ側のポート番号を示していると考えられる。現状では、
内部と外部の通信においては、Web(HTTP)やメール(SMTP)などの特定のサービスの利用
が主であるため、数種のポートが常に支配的なことを示す図のような結果は妥当であると
いえる。
- 74 -
図 39 送信元 TCP ポート番号
図 40 はあて先 TCP ポート番号の安定性を示している。上述のように小規模 Intranet への
流入トラフィックが調査対象であるため、これは基本的にクライアント側のポート番号を
示していると言える。サービスの種類によって決まるサーバ側のポートとは異なり、クラ
イアント側のポートは一般に通信開始時にランダムに決定されるため、送信元 TCP ポート
番号と比較すると安定性を見出しにくい。
図 40 あて先 TCP ポート番号
- 75 -
図 41 は TCP ヘッダ中のウインドウサイズを示すフィールドの安定性を示した図である。
このフィールドは、受信側 TCP が自身の受信可能データサイズを送信側 TCP に通知する
ために使用される。この値は基本的に通信と受信側 TCP のバッファサイズの状況によって
常に変わり得るため、ランダム性が高く安定性が無いことが予想された。しかし、図から
わかるように支配的な N の平均は低い値で推移しており、ウインドウサイズに安定性があ
ることを示している。これは、ウインドウサイズの最大値は受信側バッファの最大値によ
って制限され、更に受信バッファの最大値は OS の種類によって定まっていることに起因し
ていると考えられる。
図 41 ウインドウサイズ
図 42 は TCP のシーケンス番号の安定性の調査結果である。IP ヘッダの ID フィールドと
同様一見安定しているように見えるが、実際は支配的となる値は存在しておらず、安定性
のない項目の例と言える。これは、シーケンス番号が TCP のセッション開始時にランダム
に設定されるためである。これはプロトコルによって規定された動作であり、逆にプロト
コルを無視した通信が存在すれば、シーケンス番号が安定性を持つ可能性が出てくるため、
その場合には詳細分析の対象となり得る。
- 76 -
図 42 シーケンス番号
図 43 は TCP の通信において出現するフラグの組み合わせの安定性の調査結果である。図
から、少なくとも3種類の組み合わせによって支配されており、安定性があることがわか
る。TCP では基本的なフラグとして 6 種類のフラグが定義されているため、組み合わせの
数は理論上 26 通りあり得る。しかし、出現するフラグの組み合わせはプロトコルの規定に
従うため、実際に出現する組み合わせは 10 通りを下回るため、今回検討している監視項目
の中では際立って母集団が小さい項目である。これは、支配的な N のわずかな変動がもつ
意味が最も大きく、安定性に主眼を置いた分析について重要な監視項目となり得る。
- 77 -
図 43 フラグの組み合わせ
図 44 は送信元 UDP ポート番号について安定性を評価した結果である。TCP が全トラフィ
ックの大半を占めるという状況から、UDP トラフィックについては全体のパケット数を基
準として駆動するスロット化方式では統計性を確保するのが難しい。その結果、支配的な Nの値の取りうる幅が大きく、安定性を見出すのは困難である。
図 44 送信元 UDP ポート番号
- 78 -
図 45 はあて先 UDP ポート番号について安定性を評価した結果である。前述の通り、統計
性の問題から安定性が見出せない。特に、あて先 UDP ポート番号は基本的にクライアント
側のポート番号であり、ランダムに決定されるため送信元 UDP ポート番号以上に安定性が
見られないという結果になっている。
図 45 あて先 UDP ポート番号
6.2.2. 大規模ネットワークでの各監視項目の安定性
次に、大規模ネットワークにおいて各監視項目の安定性を調査する。
図 46 は送信元 IP アドレスの安定性の調査結果である。基本的に安定している様子が見ら
れるが、小規模ネットワークの場合と比較して、支配的な N の平均が大きい。これは、観
測対象が大規模なバックボーン部分であるため、出現し得るアドレスの数が小規模ネット
ワークよりも多いためであると考えられる。
- 79 -
図 46 送信元 IP アドレス
図 47 にあて先 IP アドレスの安定性を示す。送信元 IP アドレスと同様、支配的な N の平
均値は高いが、安定した傾向が見られる。また、ネットワーク規模の変化により、支配的
な N の平均がシフトしている。
図 47 あて先 IP アドレス
- 80 -
図 48 に TTL の安定性の調査結果を示す。また、ネットワーク規模の変化により母集団が
増加するため、支配的な N の平均がシフトしている。
図 48 TTL
図 49 は ID の安定性の調査結果である。小規模ネットワークの場合と同様、一見安定のよ
うに見えるが、支配的となる値は存在せず安定性は見られない。
図 49 ID
- 81 -
図 50 は送信元 TCP ポート番号の安定性を示している。アドレスと比較すると規模の変化
の影響は受けにくく、支配的な N の平均値がシフト量は小さい。
図 50 送信元 TCP ポート番号
図 51 はあて先 TCP ポート番号の安定性である。送信元 TCP ポート番号と同様、支配的な
N の平均値が上側にシフトするが、アドレスと比較すると変化量は小さい。
図 51 あて先 TCP ポート番号
- 82 -
図 52 は TCP のウインドウサイズの安定性を示している。小規模ネットワークと同様の傾
向を示している。
図 52 ウインドウサイズ
図 53 は TCP のシーケンス番号の安定性を示している。一見安定のように見えるが、支配
的となる値は存在せず安定性は見られない。
図 53 シーケンス番号
- 83 -
図 54 に TCP の通信において出現するフラグの組み合わせの安定性の調査結果である。小
規模ネットワークでの結果と同様に一定の安定性が見られる。他の監視項目と異なり、フ
ラグの組み合わせの母集団の大きさはネットワーク規模に左右されることはないため、ネ
ットワーク規模に影響されない監視基準を設定できうる項目であるといえる。
図 54 フラグの組み合わせ
図 55 は送信元 UDP ポート番号の安定性を示している。小規模ネットワークの部分で述べ
たように、全パケット数を基準としたパケット駆動のスロット化方式では統計性の確保が
難しく、安定性は見られない。
- 84 -
図 55 送信元 UDP ポート番号
図 56 はあて先 UDP ポート番号の安定性を示している。送信元 UDP ポート番号と同様に
統計性の問題から安定性は見られない。
図 56 あて先 UDP ポート番号
6.3. 安定性の監視への応用
シンプルなイベント生成を行うために、ネットワークトラフィックの特性のひとつである
- 85 -
安定性に着目した。実際のトラフィックデータを対象とし、幅広い監視項目について調査
した結果,以下の監視項目について安定性があることが明らかになった。
• 送信元 IP アドレス • 宛先 IP アドレス • 送信元 TCP ポート番号 • ウインドウサイズ • TCP フラグの組み合わせ • TTL
また、調査を通じて、数千から数万パケットの幅を持ったスロットを数十個程度分析すれ
ば安定性を見出せることがわかった。これらは、実際のトラフィック分析で十分実用的な
値であり、このイベント生成法が実用的な手法になり得ることを示している。
これらの項目についてもさらに分類することができ、TCP フラグの組み合わせのようにプ
ロトコル等によってとり得る値の範囲が理論的に限定されているものと、送信元アドレス
のようにほぼすべての取り得る値があるものである。とり得る値の範囲が限定されている
ものは、不審な通信に対して敏感に反応する指標になりえる。一方で原理的には広い範囲
の値をとり得るにもかかわらず高い安定性を示す送信元アドレスのような指標は、変化を
検知する指標として適しているため、そのような指標は効果的である。送信元アドレスと
TTL、あるいはウインドウサイズの組み合わせのような指標も検討対象となりえる。
6.4. 詳細分析
生成されたイベントの基づいて詳細な分析を行うことで、そのイベントを異常通知として
実際の処理をするかどうか判断する。
従来は、このプロセスは計測と密接に結びついており、精度を向上させようとする処理は
しばしば負荷の制約をうけてきた。本調査研究で検討されている手法は、イベントとして
あらかじめ前処理されたものだけを扱うため、トラフィック量の増大に対して分析の負荷
が直接影響しない。
本節では、いくつかのイベント生成手法によって生成されたイベントに対して効果的とな
りえる詳細分析手法として、以下のような手法について検討する。
• Stateful inspection:通信のセッション分析、プロトコル解析を行いプロトコル違反とな
る通信を抽出する。TCP の状態遷移を不正利用するようなスキャン、Flooding 等の検
知に効果が期待できる。
- 86 -
• 過去の通信との比較:計測された通信と過去の通信を比較することで、観測されている
現象が必要な通信であるかどうか確認できる。予期していない応答パケットによる攻
撃である反射型攻撃などの検知に効果が期待できる。 • 精密な波形分析:ミリ秒単位等の精密な計測に基づく波形解析によって、微小なトラフ
ィック減少を分析できる。瞬間的なトラフィックによって TCP アルゴリズムの脆弱性
を攻撃する Pulsing DoS に代表される DeS 攻撃に効果が期待できる。 • 支配的 N 内の順位の安定性分析:支配的 Top N グループ内での順位の変動を分析する
ことで、さらに詳細な変動をとらえることができる。TCP のフラグを不正に偽造して
情報を得ようとするような Finger printing の検知等に効果が期待できる。 • アクティブ計測との協調:得られた現象に応じて、アクティブ計測によって情報を取得す
ることで、分析と検証が可能となる。通信量の極端な減少に対して、関係するルータ、
ファイアウォール等の需要なネットワークデバイスの状況を問い合わせることで問題
をより詳細に分析できる効果が期待できる。
本調査研究では上記のうちいくつかについてのケーススタディを示す。
6.4.1. 支配的 N 内の順位の安定性分析
図 57 に小規模ネットワークで観測された TCP フラグパターンの順位変動を示す。正常な
通信では、TCP フラグのとり得る範囲は限られており、その量も ACK が最大となること
が自明であることから、TCP フラグパターンは高い安定性をもつ指標のひとつといえる。
- 87 -
図 57 TCP フラグパターンの順位変動
しかし一方で、TCP フラグは多くの不正アクセスで意図的に偽造され悪用される。したが
って、なんらかの順位変動が不正を示す可能性も高い。図 58 は図 57 の最初のスロットか
ら 50 番目のスロットを拡大したものである。グラフからスロット 44 で AR(Ack-Rst)のパ
ケットが大きく増加していることがわかる。
- 88 -
図 58 拡大図(slot1 から slot50)
これをイベントとして取り出し、その周辺のトラフィック分析を実施した。得られたパケ
ットダンプの一部を以下に示す。Inside は観測対象ネットワーク、Outside は外部ネット
ワークを示している。これらのパケットダンプからわかる通り、AR パケットは特定の相手
に対してのみ観測されている。
07:14:40.118941 Inside.3:80 > Outside.210:2041 .A.R.. (0) ack
07:14:40.149624 Inside.12:80 > Outside.210:2050 .A.R.. (0) ack
07:14:40.161998 Inside.16:80 > Outside.210:2054 .A.R.. (0) ack
07:14:40.175894 Inside.20:80 > Outside.210:2058 .A.R.. (0) ack
07:14:40.179087 Inside.21:80 > Outside.210:2059 .A.R.. (0) ack
07:14:40.188506 Inside.24:80 > Outside.210:2062 .A.R.. (0) ack
07:14:40.191725 Inside.25:80 > Outside.210:2063 .A.R.. (0) ack
07:14:40.198895 Inside.27:80 > Outside.210:2065 .A.R.. (0) ack
得られたなかで出現頻度の高い Outside アドレスを抽出し、逆向きのトラフィックを分析
した。その結果得られたパケットダンプの一部を以下に示す。
07:14:40.118574 Outside.210:2041 > Inside.3:80 ....S. (0) win 16384 (DF)
07:14:40.122740 Outside.210:2042 > Inside.4:80 ....S. (0) win 16384 (DF)
07:14:40.125949 Outside.210:2043 > Inside.5:80 ....S. (0) win 16384 (DF)
07:14:40.129380 Outside.210:2044 > Inside.6:80 ....S. (0) win 16384 (DF)
- 89 -
07:14:40.132578 Outside.210:2045 > Inside.7:80 ....S. (0) win 16384 (DF)
07:14:40.149414 Outside.210:2050 > Inside.12:80 ....S. (0) win 16384 (DF)
07:14:40.152445 Outside.210:2051 > Inside.13:80 ....S. (0) win 16384 (DF)
07:14:40.155731 Outside.210:2052 > Inside.14:80 ....S. (0) win 16384 (DF)
07:14:40.159334 Outside.210:2053 > Inside.15:80 ....S. (0) win 16384 (DF)
07:14:40.161775 Outside.210:2054 > Inside.16:80 ....S. (0) win 16384
上記より、Outside.210 というノードが Inside のアドレスに対して順番にアクセスしてい
ることがわかり、SYN による Half Open スキャンを行っていることが分析できた。
これらの分析過程は以下のようにまとめられる。
1. 前回より順位が 2 つ以上あがった組合せのパケットを抽出 2. 抽出したパケット群の送受信アドレス中で、出現頻度の多いアドレスをチェック 3. そのアドレスをキーとして逆向きのトラフィックをチェック
6.4.2. アクティブ計測との協調
一箇所で観測された異常な現象が他のネットワーク箇所を計測することで、さらに分析で
きるケースを示す。図 59 の○で囲んだ部分で極端にトラフィックが減少している。
図 59 ネットワーク障害の例
一方、下の図 60 では特定の SW-HUB(赤の矢印)でのみトラフィックの異常がみられる
ことからこれらに関連があることが推測できる。このとき、該当するノードに対してアク
- 90 -
ティブ計測で直接問い合わせることで、関連する上位ノードに問題があったことが判明し
た。このケースではアクティブ計測を行う際にネットワーク地図情報もあわせて活用し、
アクティブ計測すべきノードを割り出している。
図 60 関連するノードの異常
このケースは以下ようにまとめられる。
1. 極端に減少したトラフィックを抽出 2. ネットワーク地図により関連する経路上のノードを抽出 3. 抽出された関連ノードにアクティブ計測によって情報を問い合わせ
- 91 -
7. ネットワークプロセッサの可能性
IEEE Network July/August 2003 では特集としてネットワークプロセッサについて採り上
げており、以下の 7 つの記事が収録されている。
近年になってスイッチ、ルータ、トラフィック集約等の通信システムには大きな変化が見
られており、その大きな目的の一つは、システムに柔軟に新機能を追加することを可能に
することである。
これまでは、ベンダはハードウェアにパケット処理機能を実装するために ASIC を利用して
いたが、これは通信媒体の変化や新しいプロトコルへの対応といった面での柔軟性が不足
している。
上記の背景を踏まえ、より高い性能、柔軟性、および経済性を求めて ASIC の代わりとして
出現したのがネットワークプロセッサ(NP)である。NP はプログラム可能であり、その
設計はパケット処理に最適化されている。
しかし、実績のある ASIC を置き換えて NP を利用したネットワークシステムを設計開発す
るには依然として多くのトレードオフや設計上の困難がある。例えば利用する NP のアーキ
テクチャ、NP が複数の異なるアプリケーションからの要求に応えられる能力と余力を備え
ているかどうか、あるいは NP と他のシステムが協調して動作するための設計や構築方法等
の選択、など客観的な基準が必要となっている。
文献[60][61]では NP の設計とアーキテクチャの選択について述べている。NP の効果的な
活用方法については未だ未成熟であり、最適化のためには適切な役割分担に関するノウハ
ウが重要であることがわかる。
文献[62]では NP システムを使ってどのように特定のデータ処理機能を実装できるかにつ
いてより詳細に述べている。
ネットワークプロセッサによるパケット処理は、大きな可能性を秘めているが、現時点で
はこの専用プロセッサを使いこなすことは容易ではない。また、これ単独で完結するよう
な独立性の高い利用方法よりも、これをうまく統合できる総合的なシステムとしての価値
が高く、高度な処理への応用には課題が多い。
IDS 等への適用を考えると、ネットワークプロセッサの持つパケット単位での高効率な処
理機能は大きなアドバンテージになり得るが、複雑な状態を管理するステートフルインス
ペクションあるいは、上位レイヤプロトコルを再現するリアセンブルのプロセスはパケッ
- 92 -
ト単位での並列処理の恩恵を受けにくいことから、それほどの効果が見込めない可能もあ
る。
いずれにしろ、現在の分析機能に対する偏った負荷と責任の集中を計測機能の側に分散で
きるという観点では、パケット単位での処理の委譲が最もその効果を期待できる。
- 93 -
8. ネットワーク観測環境
本調査研究に用いたトラフィック情報は、以下の 3 つのネットワークから得られたもので
ある。
1. 国内を幅広くカバーする大規模な研究用ネットワークである WIDE プロジェクトのバ
ックボーンネットワークの対米接続線 2. 大規模なキャンパスネットワークを持つ東北大学の一部局となる東北大学大学院経済
学研究科の学内基幹ネットワークへの接続線 3. キャンパスネットワークとしてのスタブネットワークとなる東北大学情報科学研究科
根元研究室の学内基幹ネットワークへの接続線
それぞれ大規模、中規模、小規模ネットワークの代表的ネットワークとして検討する。
図 61 に示す小規模ネットワークでは、全体的にトラフィック量が少ない、また利用者につ
いても特定の利用者に限られていることから、利用者個人のネットワーク利用による変化
が顕著に現れている。
図 61 小規模ネットワークの 24 時間のトラフィック量の推移
図 62 に示す中規模ネットワークでは、トラフィック量自体は図 61 に比べて大きな違い見
られないが、利用者の広がりが大きいことからその利用状況により統計性がみられる傾向
がある。
- 94 -
図 62 中規模ネットワークの 24 時間のトラフィック量の推移
図 63 に示す大規模ネットワークでは、トラフィック量が定常的に非常多く、観測装置の記
録容量の問題からすべて記録することができないため、10 分間の記録のみであるが、高い
レベルのトラフィック量であるとともに、常に多くのトラフィックが安定して観測されて
いることがわかる。
図 63 大規模ネットワークの 24 時間のトラフィック量の推移
- 95 -
謝辞
本調査研究を実施するにあたって、WIDE Project, 東北大学経済学研究科、および東北大
学情報科学研究科には多大な協力をいただきました。東北大学電気通信研究所の白鳥研究
室、東北大学情報科学研究科の根元研究室には、データ分析、フィージビリティスタディ
等で大きなサポートをいただきました。御礼申し上げます。
ツール
本調査で特にフィージビリティスタディに用いた各種ツールを以下のURLから取得可能で
ある。
http://www.cysol.co.jp/contrib/index_j.html
- 96 -
参考文献
1 V. Paxson and S. Floyd, Wide-Area Traffic: The Failure of Poisson Modeling.IEEE/ACM Transactions on Networking, Vol. 3 No. 3, pp. 226-244, June 1995.
2 P. Danzig and S. Jamin, “tcplib: A Library of TCP Internetwork Traffic Characteristics, “Report CS-SYS-91-01, Computer Science Department, University of Southern California, 1991, Available via FTP to catatina.usc.edu as pub/jamin/tcplib/tcplib.tar.Z
3 V. Paxson, Fast,Approximate Synthesis of Fractional Gaussian Noise for Generating Self-Similar Network Traffic . Computer Communications Review, V. 27 N. 5, October 1997, pp. 5-18.
4 Paul Barford, Jeffery Kline, David Plonka and Amos Ron "A Signal Analysis of Network Traffic Anomalies", Proceedings of ACM SIGCOMMInternet Measurement Workshop 2002
5 M. Robinson, J. Mirkovic, M. Schnaider, S Michel and P. Reiher, Challenges and Principles of DDoS Defense, submitted to SIGCOMM 2003.
6 Rocky K.C. Chang, Hong Kong Polytechnic University, Defending against Flooding-Based Distributed Denial-of-Service Attacks: Tutorial, IEEE Communications Magazine October 2002
7 The National Laboratory for Applied Network Research, http://www.nlanr.net/
8 The Cooperative Association for Internet Data Analysis, http://www.caida.org/
9 Huffaker, B., Fomenkov, M., Moore, D., claffy, k., Macroscopic analyses of the infrastructure: measurement and visualization of Internet connectivity and performance, Proceedings of PAM2001
10 MAWI (Measurement and Analysis on the WIDE Internet), http://www.wide.ad.jp/wg/active/217_MAWI.html
11 Kenjiro Cho, Ryo Kaizaki, Akira Kato, Aguri: An Aggregation-Based Traffic Profiler, Quality of Future Internet Services,Coimbre,Portugal,September,2001
12 Ryo Kaizaki, Osamu Nakamura, Jun Murai, “Characteristics of Denial of Service sttacks on Internet using AGURI”, The International Conference on Information Networking 2003 Proceedings (vol.1),Jeju Korea, Feb 2003
13 PAM2004, April 19-20, 2004, Antibes Juan-les-Pins, France, http://www.pam2004.org/
14 Internet Measurement Conference 2004, Sponsored by ACM SIGCOMM and in cooperation with USENIX, October 25-27, 2004, Taormina, Sicily, Italy, http://www.icir.org/vern/imc/
- 97 -
15 Steve MaCanne, Craig Leres, Van Jacobson, Network Research Group. Packet Capturing Library, Lawrence Berkeley National Laboratory. ftp://www.ee.lbl.gov/libpcap.tar.Z
16 tcpdump, http://www.tcpdump.org/
17 K. C. Claffy, G. C. Polyzos, and H-W Braun. Application of Sampling Methodologies to Network Traffic Characterisation. In Proceedings of ACM SIGCOMM'93, San Francisco, CA, September 1993. (p 65)
18 K.C. Claffy, G.C. Polyzos, and H.-W. Braun. "Application of Sampling Methodologies to Network Traffic Characterization", Computer Communication Review, 23(4):194--203, October 1993.
19 IETF WG, Packet Sampling (psamp), http://www.ietf.org/html.charters/psamp-charter.html
20 Stefan Savage et.al at, “Estimating Global Denial-of-Service Activity” NANOG22, May 20-22, 2001 Scottsdale, AZ
21 Zhi-Li Zhang, Vinay J. Ribeiro, Sue Moon, and Christophe Diot, Small-Time Scaling Behaviors of Internet Backbone Traffic: An Empirical Study”, the Proceedings of IEEE INFOCOM 2003, April 2003.
22 Glenn MANSFIELD Keeni, “The Managed Object Aggregation MIB”, work in progress, July 2003
23 Management Infromation Base for IP Version 6: Textual Convensions and Genral Group, D. Haskin, S. Onishi, Dec. 1998, RFC 2465
24 IP Version 6 Management Information Base for the Transmission Control Protocol, M. Daniele, Dec. 1998, RFC 2452
25 IP Version 6 Management Information Base for the User Datagram Protocol, M. Daniele, Dec. 1998, RFC 2454
26 Management Infromation Base for IP Version 6: Textual Convensions and Genral Group, D. Haskin, S. Onishi, Dec. 1998, RFC 2465
27 Management Infromation Base for IP Version 6: ICMPv6 Group, D. Haskin, S. Onishi, Dec. 1998, RFC 2466
28 IP Version 6 Management Information Base for the Multicast Listener Discovery Protocol, B. Haverman, R. Worzella, Jan. 2001, RFC 3019
29 NETWORLD + INTEROP 2003 TOKYO,IPv6 Show Case, http://www.medialive.jp/events/ni2003/_exhibit/_project/ipv6.html
30 net-snmp, http://www.net-snmp.org/
- 98 -
31 Kun-chan Lan, Alefiya Hussain and Debojyoti Dutta, The Effect of Malicious Traffic on the Network, In the Proceedings of PAM 2003, April 6-8, La Jolla
32 Alefiya Hussain, John Heidemann, and Christos Papadopoulos. A Framework for Classifying Denial of Service Attacks. In Proceedings of the ACM SIGCOMM Conference, Karlsruhe, Germany, ACM. August, 2003.
33 D. Moore, G. Voelker & S. Savage., "Inferring Internet Denial-of-Service Activity", USENIX Security Symp, 2001.
34 Hussam O.mousa ,A Survey and Analysis of Neural Netwrk approaches to Intrusion Detection, SANS institute, 2002/11/12
35 Jake Ryan(1), Meng-Jang Lin(2), and Risto Miikkulainen(1) (2002). Intrusion Detection With Neural Networks, In Jordan, M. I., Kearns, M. J., and Solla, S. A. (editors) Advances in Neural Information Processing Systems 10 (NIPS'97, Denver, CO), 943-949. Cambridge, MA: MIT Press, 1998..
36 Kymie Tan, The Application Of Neural Networks To UNIX Computer Security Proc. Int. Conf. Neural Networks, ICNN 2002
37 Anup K. Ghosh, James Wanken, Frank Charron, Detectiong Anomalous and Unknown Intrusions Against Programs, Reliable Software Technol., Sterling, VA, USA
38 Cannady, J., Artificial Neural Networks for Misuse Detection, Proceedings of the 1998 National Information Systems Security Conference (NISSC'98) October 5-8 1998. Arlington, VA.
39 Zheng Zhang, JunLi C.N. Manikopoulos, Jay Jorgenson, Jose Ucles, HIDE: a Hierarchical Network Intrusion Detection System Using Statistical Preprocessing and Neural Network Classification, Proceedings of the 2001 IEEE, Workshop on Information Assurance and Security, United States Military Academy, West Point, NY, 5-6 June, 2001
40 Peter Lichodzijewski, A. Nur Zincir-Heywood, Malcolm I.Heywood, "Host-Based Intrusion Detection Using Self-Organizing Maps", 14th Annual Canadian Information Technology Security Symposium, May 2002.
41 Anup K. Ghosh, Aaron Schwartzbard, and Michael Schatz, "Learning Program Behavior Profiles for Intrusion Detection", Proceedings 1st USENIX Workshop on Intrusion Detection and Network Monitoring
42 Review of Anomaly-based Network Intrusion Detection Jonathan Werrett, 2003/05/26, http://www.csse.uwa.edu.au/~werrej01/docs/review.pdf
43 Stuart Staniford, James A. Hoagland, and Joseph M. McAlerny. SPADE, Retrieved May 20th 2003 from the World Wide Web: http://www.silicondefense.com/software/spice/
- 99 -
44 Christopher Krugel, Thomas Toth, and Engin Kirda. Service Specific Anomaly Detection for Network Intrusion Detection Proceedings of the ACM Symposium on Applied Computing, 2002
45 Matthew C. Mahoney and Philip K. Chan. Learning Nonstarationary Models of Normal Network Traffic for Detecting Novel Attacks. Proceedings of the Eighth International Conference of Knowledge Discovery and Data Mining, pp376-385, 2002. Retrieved May 21st 2003 from the World Wide Web: http://www.cs.fit.edu/~mmahoney/
46 Carol Taylor and Jim Alves-Foss. NATE - Network Analysis of Anomalous Traffic Events, A Low-Cost Approach. Proceedings of the New Security Paradigms Workshop '01, pp 89-96, September 2001.
47 R. Sekar, A. Gupta, J. Frullo, T. Shanbhad, A. Tiwari, H. Yang, and S. Zhou. Specification-based Anomaly Detection: A New Approach for Detectiong Network Intrusions. Proceedings of the ACM Conference on Computer and Communications Security 2002, November 2002.
48 W. Lee, S. J. Stolfo, and K. W. Mok. Mining in a data-flow environment: Experience in network intrusion detection. Proceedings of the ACM SIGKDD International Conference on Knowledge Discovery & Data Mining (KDD-99), 1999.
49 K.Koide, G.Mansfield Keeni, G.Kitagata and N.Shiratori, ``DCAA: A Dynamic Constrained Adaptive Aggregation method for Effective Network Traffic Information Summarization,'' IEICE Transactions on Communications Special Issue on IPv6 Technology (to be appeared in 2004).
50 NSPIXP6: http://www.wide.ad.jp/nspixp6/
51 Extended Incident Handling (inch) WG, http://www.ietf.org/html.charters/inch-charter.html
52 Yuri Demchenko, Hiroyuki Ohno, Glenn M Keeni, Requirements for Format for INcident information Exchange (FINE), work in progress, October, 2003, http://www.ietf.org/internet-drafts/draft-ietf-inch-requirements-02.txt
53 J. Meijer, R. Danyliw, Y. Demchenko, The Incident Data Exchange Format Data Model and XML Implementation, work in progress, September 29, 2003, http://www.ietf.org/internet-drafts/draft-ietf-inch-iodef-02.txt
54 Steve Gibson, ``DRDoS'', http://grc.com/dos/drdos.htm
55 Vern Paxson, ``An Analysis of Using Reflectors for Distributed Denial-of-Service Attacks'', Computer Communication Review 31(3),July 2001
56 Rodney Denno ``A Next-Generation DoS Attack: Distributed Reflection'', http://www.scmagazine.com/scmagazine/sc-online/2002/article/36/article.html
57 Aleksandar Kuzmanovic, Edward W. Knightly, Low-Rate TCP-Targeted Denial
- 100 -
of Service Attacks, Proceedings of ACM SIGCOMM 2003, August 25-29, 2003
58 S. Uhlig and O. Bonaventure, "Implications of interdomain traffic characteristics on traffic engineering", European Transactions on Telecommunications, special issue on traffic engineering, 2002
59 B. Quoitin, S. Tandel, S. Uhlig, and O. Bonaventure, "Interdomain Traffic Engineering with Redistribution Communities", Preprint submitted to Elsevier Science
60 Mohammad Peyravian, Gordon Davis, and Jean Calvignac, “Search Engine Implications for network Processor Efficiency”, IEEE Network July/August 2003
61 Frank T. Hady, Tony Bock, Mason Cabat, Jim Chu, Jeff Meinecke, Ken Oliver, and Wes Talarek, “Platform Level Support for High Throughput Edge Applications: The Twin Cities Prototype”, IEEE Network July/August 2003
62 Ying-Dar Lin and Yi-Neng Lin, Shun-Chin Yang and Yu-Sheng Lin, “DiffServ Edge Routers over Network Processors: Implementation and Evaluation”, IEEE Network July/August 2003