2015 Fiscal Year Research-status Report
ネットワークロギングシステムの異常検知アーキテクチャの設計と構築
| Project/Area Number |
26330110
|
|---|
| Research Institution | Tohoku Institute of Technology |
|---|
Principal Investigator |
角田 裕 東北工業大学, 工学部, 准教授 (30400302)
|
|---|
| Project Period (FY) |
2014-04-01 – 2017-03-31
|
| Keywords | ロギング / セキュア・ネットワーク / ネットワーク管理 / 情報システム |
|---|
| Outline of Annual Research Achievements |
ログを収集するロギングシステムはネットワーク管理の基盤であり,ロギングシステム自身の異常は容易にログの収集漏れを発生させる.その結果,他の情報システムの障害管理やセキュリティ管理に支障をきたす.本研究では,ロギングシステム自身に発生した異常の検知を実現し,ログの収集漏れの未然防止や早期の対策を可能にするアーキテクチャの設計・開発を目指している.
平成27年度は,当初の予定通りログ転送をパケットレベルで観測する体制を構築し,ロギングシステムにおけるログ送受信の挙動を精密に観測した.具体的には,ログの送信元と宛先においてローカルファイルへのログの保存,パケットキャプチャによるログを含んだパケットの記録を行う仕組みを整備し,ログ損失の把握と原因分析が可能なロギング管理システムの要件を示した.
そして,ロギングデーモンのシステムコールに着目してトレースすることで,ログの出力数などを計測できる汎用的な仕組みを提案した.これにより,ログの出力数などの統計情報を出力する仕組みを有する一部のロギングデーモンを使用していない環境でも,ログ出力数の監視とその異常検知への活用が可能となった.
また,計測したログ出力数の統計情報をインターネット標準のネットワーク管理プロトコルSNMPによって管理情報として収集可能とするために,管理情報ベースSyslog MIBを設計し標準化提案としてインターネットの標準化団体に提案した.
|
| Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
当初の計画では,インターネット標準のネットワーク管理プロトコルSNMPを利用したログ転送の挙動を監視するシステムのプロトタイプ開発を目標としていたが,管理情報ベースの設計に時間を要し,設計した管理情報ベースの実装に至っていない状況にあるため,やや遅れていると判断する.
|
| Strategy for Future Research Activity |
管理情報ベースの実装を優先的に実施し,ロギングシステムの状態およびログ転送の挙動の監視をSNMPを通じて行えるようにする.そして,監視によって得られた情報を可視化するシステムを開発し,ロギングシステムの異常検知アーキテクチャの総合評価を行う.
|
| Causes of Carryover |
実験システムの構築と管理のために謝金を計上していたが,既存の実運用ネットワークの組み換えにより実験環境を構築できたことで謝金支出の抑制が可能となった.また,その抑制分を実験内容の充実を目指してモバイル端末からのログ収集実験のための機材購入に活用したため,誤差として次年度使用額が生じた.
|
| Expenditure Plan for Carryover Budget |
次年度使用額については,研究成果の公開のための学会参加費として活用する予定である.
|
Research Products
(3 results)
