2016 Fiscal Year Annual Research Report
Design and development of the network architecture for detecting anomalies in network logging system
| Project/Area Number |
26330110
|
|---|
| Research Institution | Tohoku Institute of Technology |
|---|
Principal Investigator |
角田 裕 東北工業大学, 工学部, 准教授 (30400302)
|
|---|
| Project Period (FY) |
2014-04-01 – 2017-03-31
|
| Keywords | ロギング / セキュア・ネットワーク / ネットワーク管理 / 情報システム |
|---|
| Outline of Annual Research Achievements |
ホストのOSやアプリケーションが出力するログはネットワーク管理における生命線であり,そのログを収集するロギングシステムはネットワーク管理の基盤といえる.すなわちロギングシステム自体に異常が発生しログの収集漏れが起これば,ネットワークのあらゆる管理項目に支障をきたす.本研究では,ロギングシステム自身に発生した異常の検知を実現し,ログの収集漏れの未然防止や早期の対策に寄与するアーキテクチャの設計・開発を目指した.
平成28年度は,前年度に提案したログの統計情報を計測する汎用的な仕組みを拡張し,複数のホストの統計情報を一元的な監視を実現する方式を提案した.従来手法は,ロギングデーモンのシステムコールをトレースしてログの入出力イベントを判定し統計情報を出力するものであり,今年度はその出力をインターネット標準のネットワーク管理プロトコルであるSimple Network Management Protocol (SNMP) を介して収集する仕組みを提案し,その有効性を実験により確認した.また,これまでに提案していたログの出力数の推移に着目したシステムの異常検出方式との組み合わせにより,ログの大量発生などのシステムの異常を遠隔から検出できることを確認した.
なお,SNMPで使用するための管理情報ベース (MIB: Management Information Base) Syslog MIB の標準化提案についても引き続き推進しており,本研究期間終了後も継続して標準化を目指す.また本助成で行った実験について,まだ未公表の知見が残っており,検討を進めた上で成果の公開を進める.
|
