本章では,管理者の目視モニタリングを機械化の観点から分析し,その技術課題を明確 化する.目視モニタリングは人が識別可能な安定的なパターンを持つトラヒックを対象と する.そのため、本研究も同様のトラヒックを対象とする.
5.1.1 目視モニタリングの分析
ここではパターン認識の観点から目視モニタリングを分析する.クライアントのみで 構成される集合住宅向けブロードバンド(RBB:Residential broad band)とサーバのみで 構成されるサーバファーム(SVF:Server farm)が接続された通信事業者のネットワーク
(図5.1)を例として目視モニタリングの手順を説明する.
図5.1 ネットワーク環境
(1) トラヒック観測
境界ルータrrbb, rsvf から周期的に取得したトラヒックデータを蓄積する.
(2) 状態把握
ここでは,最新の観測データから集約トラヒックのグラフが作成され,経験知識との比 較により観測時点におけるネットワークの状態を把握する.ここで,経験知識は継続的な モニタリングの結果として獲得される.そこで,まず,経験知識が獲得される過程を説明 する.図5.2は管理者が観測したトラヒックパターンを2次元特徴空間上に表現した概 念図である*1.図中の点はルータrrbbとrsvf で観測された一日分の正常トラヒックを表 す.日々のモニタリングを継続する事で特徴点が蓄積されてゆく.図5.2はモニタリング 初期における特徴空間であり,特徴点がまばらである.RBBとSVFのトラヒックパター ンは異なるため,ルータrrbbとrsvf の特徴点はそれぞれ離れて分布し,平日と休日のト ラヒックパターンは異なるため,それらの特徴点も離れて分布する.類似したパターンの 特徴点は互いに近くに分布する.集約トラヒックは日々多様に変化するが定常状態では人 が識別可能な程度の安定性を持つため,蓄積された特徴点の分布も同様に安定的であり,
それらの集合はクラスタを形成する.そのため,管理者はルータrrbbとrsvf の特徴点が それぞれクラスタを形成する事を認識し,図5.3が示すトラヒックパターンの分布を把握 する.この図では,ルータrrbbとrsvfの特徴点には分類ラベルPRBBとPSV F が付与さ れている.そのため,それらの特徴点のクラスタにも同一ラベルが付与されている.
次に,管理者はこれらの蓄積された特徴点の分類ラベルを集約し,ネットワークの状態 評価基準ポリシーを形成する.図5.4の表にポリシーの例を示す.この表は正常トラヒッ クの特徴点の分布を組織種別毎に集約した表であり,ルータrrbbとrsvfの特徴点がそれ ぞれクラスタPRBB とPSV F に帰属すればネットワークが正常である事を示している.
また,この表は蓄積された経験知識(特徴点)に基づいてトラヒックをパターン分類した
*1管理者は頭の中で暗黙のうちにこの様な特徴空間を構成している.特徴空間の軸が何であるかも意識しな い事が多い
図5.2 経験知識の蓄積 図5.3 トラヒックパターン
組織種別によるポリシー ルータ クラスタ
rrbb PRBB
rsvf PSV F 図5.4 組織種別によるポリシーの形成
ポリシーと分類結果の比較 分類結果 ポリシー 比較 ルータ クラスタ 結果
rrbb 未定義 PRBB 異常
rsvf PRBB PSV F 異常 図5.5 組織種別によるポリシーにおける異常検出の例
結果も表している.つまり,ポリシーとは蓄積された経験知識に基づいて管理者が想定し たトラヒックの分類結果である.ポリシーを含めた図5.4の経験知識が形成されると状態 把握が実施可能になる.
管理者は蓄積された経験知識に基づいてトラヒックを分類し,ポリシーと比較する事で ネットワークの状態を把握する.図5.5に過去と異なるパターンのトラヒックが観測され た例を示す.この場合,トラヒックの分類結果とポリシーを比較する事で,ルータrrbbの PRBB, PSV F 以外への帰属と,ルータrsvf のPRBB への帰属が異常として検出される.
これらは管理者の経験知識にない新パターンである.
(3) 学習
状態把握にはネットワークの実態を正しく反映した経験知識とポリシーが必要であり,
管理者にはトラヒックパターンの変化に応じた経験知識とポリシーの更新が要求される.
そのため、管理者は状態把握で検出された新パターンの発生原因を調査して新たな経験知 識を獲得する.ここで,管理者は主に次の2種類の調査を実施する.
• 多様なネットワーク機器やサーバのログファイル分析
異常検知のためのポリシー ルータ クラスタ
rrbb PAnomaly
rsvf PAnomaly 図5.6 異常検出のための学習
• 通常とは異なる使用法に関する利用者への聞き取り調査
ログファイル分析では,ハードウェアとソフトウェアの通常とは異なる動作に関する多様 な情報が得られる.例えば,信号レベルの電送誤りを発生させる複雑な故障やバグ,不正 アクセスの情報である.これらの調査はしばしばトラヒック発生源の組織の管理者と共同 で実施される.そして,例えば,図5.5におけるルータrrbb の未定義クラスタへの帰属
(新パターン)がウイルスを原因とする事が判明した場合,以降のモニタリングではこの 新パターンを異常パターン’Anomaly’として検出する.この異常の検出に必要な経験知 識を図5.6に示す.この図が示す様に,管理者は新たな分類ラベルPAnomalyを定義して このrrbbに付与し,このrrbbだけから成るクラスタPAnomalyと,特徴点のPAnomalyへ の帰属を異常として検出するポリシーを定める.そして,この異常検知のための経験知識
(図5.6)が形成された後は,類似したパターンの特徴点はPAnomalyの一部として蓄積さ れる(図5.7).また,この例とは反対に,原因が実は正常行為である事が判明した場合
(2.2節の図2.3,パターン(c)),管理者は図5.5のrrbbをPRBB の一部として学習する.
図5.7 異常パターンの蓄積
モニタリング目的が異なる場合,必要な経験知識も異なる.例えば,異常検知(図5.6) では,組織種別を把握するための経験知識(図5.4)に対して検出したい異常トラヒック の特徴点とその分類ラベルPAnomalyが追加されている.経験知識は多様な捉え方が可能 であるため,管理者は多様な目的のモニタリングを実施する.ここでは,例として,平日 と休日の区別を目的とするモニタリングを取り上げる.図5.8は平日と休日を区別するた めに図5.3の特徴点のラベル付けとポリシーを変更した経験知識である.平日の特徴点に はラベルQW,休日の特徴点にはラベルQH が付与され,これらの特徴点の分布がポリ シーに集約されている.この経験知識により組織種別による場合と同様にネットワークの
平日と休日のポリシー
平日 休日
ルータ 領域 ルータ クラスタ
rrbb QW rrbb QH
rsvf QW rsvf QH
図5.8 平日と休日の区別を目的とするモニタリング
正常性や異常性を識別できる.例えば,休日パターンが平日に発生する異常は平日トラ ヒックがクラスタQH に帰属する事で検出できる.更に,他の目的のモニタリングも可能 である.例えば,図5.3の4つのクラスタに全て同一の分類ラベルを付与すれば,経験知 識にない未知のパターンだけを識別する事ができ,左上のクラスタの分類ラベルだけを変 更して,平日のRBBのパターンだけを識別する事もできる.ここでは,正常トラヒック の経験知識による状態把握を説明したが,異常トラヒックの経験知識も利用できる.管理 者はモニタリング目的に適した経験知識とポリシーを学習により獲得する.
5.1.2 技術要件
目視モニタリングはトラヒックパターンに関する経験知識に基づくネットワークの状態 把握行為であり,トラヒックの分類基準がトラヒックデータに含まれないモニタリング目 的により変化する非常に複雑なシステムである.例えば,組織種別によるポリシー(図 5.4)と平日と休日のポリシー(図5.8)では分類基準は大きく異なる.モニタリング目的 に応じて基準が変化するため,全てのモニタリング目的に対して状態把握を完全に自動化 する事は極めて困難であるが,特定のモニタリング目的のみを対象として自動化するアプ ローチでは汎用性が失われる.よって,パターン学習を含む目視モニタリング行為全体の マンマシンシステム化により,汎用性と自動化度の高いモニタリング手法の実現が望まれ る.ここでは,5.1.1節で述べた目視モニタリングの手順に沿って要件を分析する.尚,
トラヒック観測は一般に自動化済みであるため省略する.
(1) 状態把握
集約トラヒックは観測地点の組織種別や規模,時期等により多様に変化する.よって,
多様な観測地点で時々刻々と変化するトラヒックをモニタリングするためには,複雑に変 化するトラヒックパターンに対して自律的に適応的するトラヒック分類器が必要である.
しかしながら,従来のモニタリング手法はトラヒックをモデル化する必要があるため,管 理者にトラヒックパターンに関する経験知識を要求する.よって,本研究には適さない.