|
本研究では、ネットワーク管理・運営の補助のため過去に蓄積したトラヒックを解析することで異常トラヒックを検出することを目的とする。過去に蓄積したフロー情報を解析し、周期性を抽出し、その周期に基づいた統計処理により確率分布を算出する。フロー情報を用いることによりトラヒック量だけでなく特定ホストに対する解析といった、これまでにない柔軟なトラヒック解析が可能となる。本システムを用いることで、明示的な閾値の設定なしに「転送バイト量・パケット数の変化から通信障害・帯域の圧迫」「平均転送量のホストごとの分散の変化から一部のユーザによる帯域の独占」「平均パケット長の変化からDDoS攻撃の発生」「単位時間当たりのユニークな通信相手先数の変化からワームによる攻撃の発生」と言った事を検出することが可能となる。
平成18年度では平成17年度で構築されたシステムを実際の運用サイトに適用し、評価を行った。また、ネットワークに流れるトラヒックからデータを収集し、蓄積・解析・視覚化の一連のデータの流れを構築した。さらに、異なる複数の解析アルゴリズムを実装し、それらの比較評価を行った。これらを以下のような手順で推進した。
1.実際のサイトに適用する
本学(九州工業大学)のキャンパスネットワークに本提案システムを適用し、実環境において提案システムの有用性を評価した。
2.解析アルゴリズムの評価
複数の解析アルゴリズムをモジュールとして実装し、それらの比較評価を行った。評価方法に関しては、実運用と連携し、最もfalse positiveの低いアルゴリズムが何であるかを検討した。
|
