ネットワークイベント検出と分析に基づく大規模ネットワークの管理技術

ネットワークイベント検出と分析に基づく
大規模ネットワークの管理技術
小出和秀
菅沼拓夫
Glenn Mansfield Keeni
白鳥則郎
東北RC
東北RC/東北大学
東北RC/(株)サイバー・ソリューションズ
東北RC/東北大学
東北RCの研究概要
アプリケーション指向型運用管理プラットフォームの研究開発
(高次ネットワーク情報提供のためのプラットフォーム技術)
J GN
アプリケーション指向型運用管理
技術とセキュリティ技術の開発
利用者
運用管理
システム
複数の
情報ビュー
高次ネットワーク情報
Ⅱ
侵入検知
広帯域
アプリケーション
広帯域アプリケーション
運用管理プラットフォーム
アプリケーション
制御
監視要求
アプリケーション指向型運用管理ミドルウェア
エージェント
フレキシブルネットワークミドルウェ
ア技術の開発
・要求駆動型分析
・異なった視点での情報管理
・協調型解析による高次情報提供
Event Detection by Network Traffic Data Analysis
ネットワーク情報
の収集
[リンクレイヤ(VLAN,etc.)]
ネットワーク情報
の収集
[ネットワークレイヤ
(IPv4/IPv6,etc.)]
パッシブモニタ
超高速大規模ネットワーク向き
ネットワーク計測・解析技術の
開発
[アプリケーションレイヤ]
パッシブモニタ
超高速大規模ネットワーク
1. 超高速大規模ネットワーク向きN/W計測・解析技術の開発
超高速大規模ネットワークにおけるネットワーク計測・解析の課題
ネットワーク
管理情報
膨大な量の
ネットワーク管理情報
の蓄積
プローブ
(ネットワーク管理情報収集デバイス)
ネットワーク
管理情報
DB
ネットワーク
管理情報
ネットワーク
管理端末
ネットワーク
管理情報
大量のデータから
有用な情報を見つ
けるのは困難
ネットワーク管理者
ネットワーク管理情報:
トラフィック(量の分布、プロトコル分布、回線使用状況など)、
故障、障害、スループット、遅延時間など
本研究開発の目的
ネットワーク
管理情報
プローブ
(ネットワーク管理情報
収集デバイス)
ネットワーク
管理情報
ネットワーク
イベント
ネットワーク
管理情報DB
ネットワークイベントの
検出
ネットワークイベントの
詳細な解析,可視化表示
管理作業負担
の大幅な軽減
ネットワーク管理者
超高速大規模ネットワーク向きネットワーク計測・解析技術の開発
„問題点
– ネットワークの広域・高速化,管理対象となる機
器の増大
– ネットワーク情報の大量の蓄積
– 管理に必要な部分のみを抜き出して,効果的か
つ詳細に分析する必要性
„目的
– ネットワークトラフィック計測によるイベント検出・
解析アルゴリズムの構成
– イベント検出・解析作業支援ソフトウェアの開発
イベント検出・解析支援システム構成
検出
EventRule
definition
Event List
Generator
Network Information
Warehouse
IODEF
Event List
Event Based
Management
Intelligent
Detailed data
Collection
Intelligent Data Collector
診断
イベント検出・診断支援システム
(通常の
グラフ
表示)
Graph Generator
ネットワーク「イベント」検出
„ 「イベント」の定義
⇒ネットワーク管理者が興味を持つトラフィックパターン
– 障害 (トラフィック消失) 等
– DoS (トラフィック急増) 等
– セキュリティインシデント(特定のパケット検出) 等
„ イベントの検知と記録
– (時系列的)トラフィック情報
– アプリケーションログ等
イベントに基づく「データの詳細化」
„ イベント関連情報の提供
– イベント検出をトリガとした詳細トラフィック情報収集
„ イベントコンソールから詳細なグラフ等の情報にアクセスする
– アドレス・ポート毎の上位Top-Nトラフィック表示
„ トラフィック量だけでなく,組成を明らかにする
3. イベント検出基盤技術 - (1)
„ CpMonitor
– ネットワークタップ型計測ソフトウェア
■パケットヘッダ情報による分類
■累積値 / 差分値 / ピーク値
■アドレス数カウンタ
■テナント毎集計
■tcpdump 互換機能(パケットダンプファイル入出力 )
IP Address / VLAN ID / Traffic Class
Port / IP address
トラフィックカウンタ
IPv4
TCP
UDP
ICMP
Other
Pkt.数
( Cumulative, Peak hold, Delta )
Oct.数
TCP
Other
Pkt.数
( Cumulative, Peak hold, Delta )
Oct.数
IPv4
Source
Addr.数
IPv4
Destination
Addr.数
IPv6
UDP
ICMP
アドレスカウンタ
イベント検出基盤技術 - (2)
„ Category Transform
– カテゴリ毎のトレンド+カテゴリ数そのものの変化に注目
⇒より詳細なトラフィック変動の把握が可能
– 例:トラフィック量増大+IPアドレスカテゴリ数増大⇒DoS?
Case(1): Only Addresses increases
Case(2): Only Octets increases
Case(3): There is a DoS attack?
研究結果
„ これまでの成果
– ネットワークイベント検出モデル(Ver.0.5)の詳細設計を行い、実トラフィックデータを
用いた実験によりその有効性を確認した
– 広域ネットワーク環境におけるトラフィック情報のリアルタイム分析を支援する「Top-N
トラフィック分析支援システム」を完成.Winny等による異常トラフィックの検出・分析を
効果的に支援することが可能となった
Top-N traffic sources/consumers with
Protocol-wise details
Events displayed on
Integrated Console for Events (ICE )
4. 今後の方向性
„ 今年度の研究予定
– ネットワークイベントの分析、可視化を支援するツールとして
広域ネットワーク環境における「イベント追跡システム」 の完成
東北リサーチセンタ
Event Management
Technology
Event!
セキュリティ情報の分析と共有システムの開発
Wide-area information sharing
定点観測システム
IODEF
IODEF
観測データ
IPA-MUSTAN
広域インシデント情報共有および分析技術の開発
今年度の開発目標(抜粋)
„ イベントの送受信
– 従来:SNMP trapを利用
– これから:IODEF(Incident Object Description and
Exchange Format) を利用
– 電子メールによるXMLベースでのイベントトランスポート
– トラフィック・ログ情報を添付したイベントの送受信
⇒イベント情報の広域共有につなげていきたい
„ イベントに基づく詳細情報出力をより高度化
– イベントの性質にあわせた情報の出力
– イベント毎のカスタマイズ機能,計測知識の導入
5. おわりに
„超高速大規模ネットワーク向きネットワーク計
測・解析技術の開発
„イベントの検出と分析に基づく効率的なネット
ワーク計測・解析アプリケーションの開発
„JGNをはじめとした大規模ネットワークの計
測を効率化することを目指していく