分析技術の現状と課題

のトラフィックが最も効果的となる。一度 Queue を埋めてしまうとその後は Queue のサ ービス率l2と等しい送信レートの攻撃で十分な効果を発揮する。l2での攻撃を一定時間継 続することでTCPは回線が輻輳していると判断し送信レートを下げる。このとき一定数異 常のパケットが攻撃によってあふれているQueueで落とされるとTCPはSlow Startとし て知られている輻輳制御プロセスを開始する。

TCP はその性質上輻輳に対して保守的な制御を行うように設計されていることから、一度 深刻な輻輳と判断されSlow Startプロセスを開始すると、再び送信レートを上げることに 対して慎重な制御を行う。攻撃者はこの間T時間攻撃をしなくてもTCPの性能を落とした ままでいられる。結果として図のように定期的に必要最小限のパケットを送信することで TCP通信に大きなダメージを与えることが可能になる。

実際にはこれほどの精密な制御は容易ではないが、文献では大雑把にこれに近い攻撃を実 行するだけでも十分な効果があることが実験を通して示されている。

図 18 効果的なPulsing DoSの例

特に誤検知（False Positive）の対策は重要な課題である。新しい巧妙な攻撃が次々と登場 している以上、現在知られているどのような分析手法を使ってもそれだけでは十分な信頼 性をもった検知は十分ではない可能性がある。またニューラルネットなどの手法は未知の 攻撃を検知できるポテンシャルを持つため将来的な活用が期待できるが、その場合も検知 された現象が真に検知する対象であったかどうかを検証するようなメカニズムは必須とな る。

負荷の観点から見ても、分析技術を無闇に複雑に高負荷なものとするのは妥当な方向性で はない。長期的な傾向分析のような利用方法でない限り、リアルタイム性に関する要求は 高まる一方であり、それに対して分析すべきトラフィックも増大する一方である。

ネットワーク計測技術の章でも述べたが、分析技術にも軽量化、効率化が必要であり、そ れらは将来的なトラフィックの増大にも対応できるようにスケーラブルでなければならな い。

図 19にスケーラビリティを確保し、検知情報を検証するためのトラフィック分析システム の概念を示す。分析負荷を下げることためにアラート生成を簡素化し、一方で精度を補う ために、生成されたアラートの検証を行うモジュールを付加する。これらの二つを分離す ることによって各処理を独立にすることが可能になり、様々な検知技術、分析技術の活用 と精度の向上を図ることができる。

図 19 高いスケーラビリティと信頼性を持つアラート情報の生成

アラート検証機能は、幅広い情報を活用することで高機能化できる。監視対象のネットワ 軽量な分析技術 アラート検証技術 検証済みアラート

ネットワーク構成 サービス構成

セキュリティポリシ 世界的なインシデント傾向 各種Anomaly分析

ニューラルネット 新しいDOS検知技術

ーク構成、サービス構成、セキュリティポリシ等の情報も活用することが重要となる。

また、傾向の予測とすばやい対応のためには全インターネットレベルでのインシデント情 報の共有が有効である。もしどこかで流行の兆しを発見することができれば、予防的措置 をとることが可能となる。このような情報を共有することで検知されるインシデントの重 要性を検証することも現実的になってくるとともに、インシデントの拡大自体も未然に防 ぐことができるようになる。