ネットワークイベント検出と分析に基づく 大規模ネットワークの管理技術 小出和秀 菅沼拓夫 Glenn Mansfield Keeni 白鳥則郎 東北RC 東北RC/東北大学 東北RC/(株)サイバー・ソリューションズ 東北RC/東北大学 東北RCの研究概要 アプリケーション指向型運用管理プラットフォームの研究開発 (高次ネットワーク情報提供のためのプラットフォーム技術) J GN アプリケーション指向型運用管理 技術とセキュリティ技術の開発 利用者 運用管理 システム 複数の 情報ビュー 高次ネットワーク情報 Ⅱ 侵入検知 広帯域 アプリケーション 広帯域アプリケーション 運用管理プラットフォーム アプリケーション 制御 監視要求 アプリケーション指向型運用管理ミドルウェア エージェント フレキシブルネットワークミドルウェ ア技術の開発 ・要求駆動型分析 ・異なった視点での情報管理 ・協調型解析による高次情報提供 Event Detection by Network Traffic Data Analysis ネットワーク情報 の収集 [リンクレイヤ(VLAN,etc.)] ネットワーク情報 の収集 [ネットワークレイヤ (IPv4/IPv6,etc.)] パッシブモニタ 超高速大規模ネットワーク向き ネットワーク計測・解析技術の 開発 [アプリケーションレイヤ] パッシブモニタ 超高速大規模ネットワーク 1. 超高速大規模ネットワーク向きN/W計測・解析技術の開発 超高速大規模ネットワークにおけるネットワーク計測・解析の課題 ネットワーク 管理情報 膨大な量の ネットワーク管理情報 の蓄積 プローブ (ネットワーク管理情報収集デバイス) ネットワーク 管理情報 DB ネットワーク 管理情報 ネットワーク 管理端末 ネットワーク 管理情報 大量のデータから 有用な情報を見つ けるのは困難 ネットワーク管理者 ネットワーク管理情報: トラフィック(量の分布、プロトコル分布、回線使用状況など)、 故障、障害、スループット、遅延時間など 本研究開発の目的 ネットワーク 管理情報 プローブ (ネットワーク管理情報 収集デバイス) ネットワーク 管理情報 ネットワーク イベント ネットワーク 管理情報DB ネットワークイベントの 検出 ネットワークイベントの 詳細な解析,可視化表示 管理作業負担 の大幅な軽減 ネットワーク管理者 超高速大規模ネットワーク向きネットワーク計測・解析技術の開発 問題点 – ネットワークの広域・高速化,管理対象となる機 器の増大 – ネットワーク情報の大量の蓄積 – 管理に必要な部分のみを抜き出して,効果的か つ詳細に分析する必要性 目的 – ネットワークトラフィック計測によるイベント検出・ 解析アルゴリズムの構成 – イベント検出・解析作業支援ソフトウェアの開発 イベント検出・解析支援システム構成 検出 EventRule definition Event List Generator Network Information Warehouse IODEF Event List Event Based Management Intelligent Detailed data Collection Intelligent Data Collector 診断 イベント検出・診断支援システム (通常の グラフ 表示) Graph Generator ネットワーク「イベント」検出 「イベント」の定義 ⇒ネットワーク管理者が興味を持つトラフィックパターン – 障害 (トラフィック消失) 等 – DoS (トラフィック急増) 等 – セキュリティインシデント(特定のパケット検出) 等 イベントの検知と記録 – (時系列的)トラフィック情報 – アプリケーションログ等 イベントに基づく「データの詳細化」 イベント関連情報の提供 – イベント検出をトリガとした詳細トラフィック情報収集 イベントコンソールから詳細なグラフ等の情報にアクセスする – アドレス・ポート毎の上位Top-Nトラフィック表示 トラフィック量だけでなく,組成を明らかにする 3. イベント検出基盤技術 - (1) CpMonitor – ネットワークタップ型計測ソフトウェア ■パケットヘッダ情報による分類 ■累積値 / 差分値 / ピーク値 ■アドレス数カウンタ ■テナント毎集計 ■tcpdump 互換機能(パケットダンプファイル入出力 ) IP Address / VLAN ID / Traffic Class Port / IP address トラフィックカウンタ IPv4 TCP UDP ICMP Other Pkt.数 ( Cumulative, Peak hold, Delta ) Oct.数 TCP Other Pkt.数 ( Cumulative, Peak hold, Delta ) Oct.数 IPv4 Source Addr.数 IPv4 Destination Addr.数 IPv6 UDP ICMP アドレスカウンタ イベント検出基盤技術 - (2) Category Transform – カテゴリ毎のトレンド+カテゴリ数そのものの変化に注目 ⇒より詳細なトラフィック変動の把握が可能 – 例:トラフィック量増大+IPアドレスカテゴリ数増大⇒DoS? Case(1): Only Addresses increases Case(2): Only Octets increases Case(3): There is a DoS attack? 研究結果 これまでの成果 – ネットワークイベント検出モデル(Ver.0.5)の詳細設計を行い、実トラフィックデータを 用いた実験によりその有効性を確認した – 広域ネットワーク環境におけるトラフィック情報のリアルタイム分析を支援する「Top-N トラフィック分析支援システム」を完成.Winny等による異常トラフィックの検出・分析を 効果的に支援することが可能となった Top-N traffic sources/consumers with Protocol-wise details Events displayed on Integrated Console for Events (ICE ) 4. 今後の方向性 今年度の研究予定 – ネットワークイベントの分析、可視化を支援するツールとして 広域ネットワーク環境における「イベント追跡システム」 の完成 東北リサーチセンタ Event Management Technology Event! セキュリティ情報の分析と共有システムの開発 Wide-area information sharing 定点観測システム IODEF IODEF 観測データ IPA-MUSTAN 広域インシデント情報共有および分析技術の開発 今年度の開発目標(抜粋) イベントの送受信 – 従来:SNMP trapを利用 – これから:IODEF(Incident Object Description and Exchange Format) を利用 – 電子メールによるXMLベースでのイベントトランスポート – トラフィック・ログ情報を添付したイベントの送受信 ⇒イベント情報の広域共有につなげていきたい イベントに基づく詳細情報出力をより高度化 – イベントの性質にあわせた情報の出力 – イベント毎のカスタマイズ機能,計測知識の導入 5. おわりに 超高速大規模ネットワーク向きネットワーク計 測・解析技術の開発 イベントの検出と分析に基づく効率的なネット ワーク計測・解析アプリケーションの開発 JGNをはじめとした大規模ネットワークの計 測を効率化することを目指していく
© Copyright 2024 Paperzz