小規模ネットワークでの各監視項目の安定性

まず、小規模ネットワークについて、InternetからIntranetに流入するトラフィックを対 象とした調査を行った。統計性を確保するためネットワークの利用率が大きな時間帯を調 査対象としている。

図 35は送信元IPアドレスの支配的なNの平均の変化およびその最大と最小値を示してお り、送信元IPアドレスの安定性を示している。支配的なNの平均は安定して低い値を保っ ていることがわかる。また、その変化の幅も10位程度であり、安定性があることがわかる。

仮に、送信元 IPアドレスの安定性が失われた場合、送信元IPアドレスをランダムに偽造 した(D)DoSなどが行われている可能性が高いと考えられるため、詳細分析を起動するトリ ガのひとつとなり得る。

図 35送信元IPアドレス

図 36はあて先IPアドレスの安定性を示している。送信元IPアドレスと同様、支配的なN の平均は安定して低い値を保っており、安定性を持つことがわかる。あて先IPアドレスの 安定性の崩れは、外部から内部のネットワークを広くスキャンされている可能性を示す。

図 36あて先IPアドレス

図 37 はIPヘッダのTTL フィールドの安定性を示している。TTLフィールドは、その初 期値および送信ホストと受信ホスト間のホップ数より定まる。一般に、TTL フィールドの 初期値はOSによって定まっており、また送信元IPアドレスに安定性があることから、送 信元IPアドレス同様安定性を持つことが予想できる。実際に、TTLの安定性は送信元 IP アドレスと似た傾向を示しており、妥当な結果であるといえる。また、TTL の安定性が崩 れた場合、インターネット上の広範囲のホストを踏み台とした DDoS を受けている可能性 がある。

図 37 TTL

図 38はIPヘッダのIDフィールドの安定性を示している。支配的なNの値は常に1を示 しており、一見安定しているように見える。しかし、実際はTop 1が占める割合は1%を切 っている場合がほとんどであり、IDフィールドに安定性があるとは言えない。これは、他 の多くのフィールドが人間の挙動や通信の状況によって決まるのに対し、IDフィールドは 基本的にランダムに設定されるためである。このような項目は、安定性がない状態が通常 と考えられ、仮に安定性が生じた場合には異常と判断できる。また、この結果は、安定性 を論ずるにはTopNの支配率の値自体も考慮しなければならないことを示している。

図 38 ID

図 39は送信元TCPポート番号の安定性を示している。調査対象のトラフィックが小規模

なIntranetへの流入トラフィックであることから、基本的にこのポート番号はクライアン

トーサーバ型通信におけるサーバ側のポート番号を示していると考えられる。現状では、

内部と外部の通信においては、Web(HTTP)やメール(SMTP)などの特定のサービスの利用 が主であるため、数種のポートが常に支配的なことを示す図のような結果は妥当であると いえる。

図 39 送信元TCPポート番号

図 40はあて先TCPポート番号の安定性を示している。上述のように小規模Intranetへの 流入トラフィックが調査対象であるため、これは基本的にクライアント側のポート番号を 示していると言える。サービスの種類によって決まるサーバ側のポートとは異なり、クラ イアント側のポートは一般に通信開始時にランダムに決定されるため、送信元TCPポート 番号と比較すると安定性を見出しにくい。

図 41はTCPヘッダ中のウインドウサイズを示すフィールドの安定性を示した図である。

このフィールドは、受信側TCP が自身の受信可能データサイズを送信側TCP に通知する ために使用される。この値は基本的に通信と受信側TCPのバッファサイズの状況によって 常に変わり得るため、ランダム性が高く安定性が無いことが予想された。しかし、図から わかるように支配的なN の平均は低い値で推移しており、ウインドウサイズに安定性があ ることを示している。これは、ウインドウサイズの最大値は受信側バッファの最大値によ って制限され、更に受信バッファの最大値はOSの種類によって定まっていることに起因し ていると考えられる。

図 41 ウインドウサイズ

図 42はTCPのシーケンス番号の安定性の調査結果である。IPヘッダのIDフィールドと 同様一見安定しているように見えるが、実際は支配的となる値は存在しておらず、安定性 のない項目の例と言える。これは、シーケンス番号がTCPのセッション開始時にランダム に設定されるためである。これはプロトコルによって規定された動作であり、逆にプロト コルを無視した通信が存在すれば、シーケンス番号が安定性を持つ可能性が出てくるため、

その場合には詳細分析の対象となり得る。

図 42 シーケンス番号

図 43はTCPの通信において出現するフラグの組み合わせの安定性の調査結果である。図 から、少なくとも３種類の組み合わせによって支配されており、安定性があることがわか る。TCPでは基本的なフラグとして6種類のフラグが定義されているため、組み合わせの 数は理論上2⁶ 通りあり得る。しかし、出現するフラグの組み合わせはプロトコルの規定に 従うため、実際に出現する組み合わせは10通りを下回るため、今回検討している監視項目 の中では際立って母集団が小さい項目である。これは、支配的なNのわずかな変動がもつ 意味が最も大きく、安定性に主眼を置いた分析について重要な監視項目となり得る。

図 43 フラグの組み合わせ

図 44は送信元UDPポート番号について安定性を評価した結果である。TCPが全トラフィ ックの大半を占めるという状況から、UDPトラフィックについては全体のパケット数を基 準として駆動するスロット化方式では統計性を確保するのが難しい。その結果、支配的なN の値の取りうる幅が大きく、安定性を見出すのは困難である。

図 44 送信元UDPポート番号

図 45はあて先UDPポート番号について安定性を評価した結果である。前述の通り、統計 性の問題から安定性が見出せない。特に、あて先UDPポート番号は基本的にクライアント 側のポート番号であり、ランダムに決定されるため送信元UDPポート番号以上に安定性が 見られないという結果になっている。

図 45 あて先UDPポート番号