• 検索結果がありません。

モニタリングの課題と解決へのアプローチ

ここでは,従来のモニタリング手法の課題を明らかにし,解決へのアプローチを示す.

そのために,まず,自動モニタリング手法と管理者の目視モニタリングを比較し,次に,

それらの従来手法の課題と解決へのアプローチを示す.

2.4.1 自動モニタリング手法と管理者の目視モニタリングの比較

ここでは、従来の自動モニタリング手法と管理者の目視モニタリングを比較する.下記 で,集約トラヒックの変動分析とホストの振る舞い分析それぞれについて述べる.

(1) 集約トラヒックの変動分析

集約トラヒックの変動を分析する従来手法を管理者の目視モニタリングと比較する.こ のタイプの従来手法は管理者が正常トラヒックに関する十分な経験知識を持つ事を前提 とする.例えば,時間周波数解析[2],時系列解析[23, 24, 26, 27]や教師あり機械学習

[31, 32, 33]による手法は正常トラヒックのモデルから外れた観測データを異常として検

出する.よって,これらの手法には,正常トラヒックについての経験知識やそれに基づく 想定が必要である.

観測データから適応的にモデルを構成する手法[22]では,システムは全てのトラヒック を単一の正常モデルに自動的に集約する.しかし,複数の正常なトラヒックパターンがあ る場合,システムは自動的にそれらを単一モデルに集約してしまうため,正常パターンを 正しく識別できなくなる.よって,その様な場合,管理者は意図的にシステムに複数のモ デルを構築させる必要がある.例えば,この研究においても,管理者はパターンが異なる

平日と休日の正常トラヒックに対して独立したモデルを構築させる必要がある.つまり,

この手法を適切に利用するためには,やはり管理者には正常トラヒックについての経験知 識が要求される.また,教師なし機械学習(主成分分析)[29]による手法では,トラヒッ クの主成分が正常である事が前提であり,観測データから主成分を除いた非主成分から局 所的な異常変動を検出する.従って,この手法を適切に利用するためには,トラヒックの 主成分が正常である事を確かめる必要があり,やはり管理者には正常トラヒックについて の経験知識が要求される.

これらの手法に対し,目視モニタリングは上述した手法が前提とするトラヒックの正常 性に関する知識を含むトラヒックパターンに関する経験知識の獲得と維持管理を担ってい る.よって,このタイプの従来手法に対して,管理者の目視モニタリングは非常に重要な 基盤的役割を果たしている.

(2) ホストの振る舞い分析

個別ホストの振る舞いの分析手法について考察する.このタイプの手法は不正アクセス やP2P等の異常アプリケーションを検出する.しかし,それらのアプリケーションが発 生させた異常トラヒックを評価するためには,やはり正常なトラヒックパターンの経験知 識が必要である.例えば,P2P アプリケーションが異常として検出された場合,観測さ れた集約トラヒックが正常パターンから大きく乖離している場合とそうでない場合とでは P2Pが集約トラヒックに与えた影響の重大性は異なる.更に,観測された集約トラヒック が正常パターンとは大きく異なる事が経験知識から検出できれば,そのP2Pアプリケー ションの活動時間帯も判別できる.よって,このタイプの従来手法においてもトラヒック パターンの経験知識は必要であり,管理者の目視モニタリングは重要な基盤的役割を果た している.

2.4.2 課題と解決へのアプローチ

ここでは、自動モニタリング手法と管理者の目視モニタリングの比較に基づき,これら の従来手法の課題を提起し,解決へのアプローチを示す.従来の自動モニタリング手法は トラヒックパターンに関する経験知識を前提としてモデル化された限定的な異常トラヒッ クの検出手法であるが,当然ながら,ある手法の前提知識をその手法自身により獲得する 事は非常に困難である.つまり,従来のモニタリング手法では,モニタリングの重要基盤 であるトラヒックパターンの経験知識の獲得と維持管理を実施する事が非常に困難であ り,それらを管理者が実施する事を期待している.しかし,目視モニタリングから得られ る経験知識は主に管理者個人の知識として蓄積され,日々のモニタリング作業で更新され る.そのため,経験知識の維持管理が非常に困難である.例えば,管理者個人に蓄積され た経験知識は忘却による消失が避けられず,他の管理者との共有も困難である.また,目 視モニタリングは頻繁に実施されるがグラフ作成を除くほぼ全ての作業が人手に依るた

め,特に多数の集約トラヒックを内包する大規模ネットワークの管理者の負担は大きい.

以上より,現状のモニタリングには次の問題がある事が解った.

モニタリングの重要基盤であるにもかかわらず,管理者の目視モニタリングには機 械的な支援手段が殆ど存在しない

そのため,トラヒックパターンの経験知識の獲得や維持管理が非常に困難である 管理者の目視モニタリングは観測されたトラヒック時系列のパターン分析に基づく経験知 識の蓄積過程である.そこで,本研究では,パターン認識技術を応用して管理者の目視モ ニタリングを機械化し,上述した困難な問題の解決を目指す.トラヒックパターンの経 験知識はモニタリングの重要基盤であるため,本研究はモニタリング全体に広く貢献で きる.

関連するパターン認識技術

本章では,本研究で利用する圧縮性によるパターン表現と,学習機能付き事例データ ベースの2種類のパターン認識技術について説明する.尚,本章の説明は本研究の理解に 必要な部分に留め,詳細は参考文献に譲る.

今ダウンロードする "時系列圧縮性による機械..."

Outline

関連したドキュメント