高トラフィック観測・分析法に関する技術調査

(1)

15 情経第 1632 号

高トラフィック観測・分析法に関する技術調査

2004 年 4 月

(2)

1. はじめに...1 2. トラフィックモデリングとネットワーク管理 ...3 2.1. トラフィックモデリングの問題点...4 2.1.1. ポアソン過程の限界...4 2.2. 新しいトラフィックモデリングの方向性 ...6 2.2.1. 自己相似性...6 2.2.2. ウェーブレット変換の活用...8 2.3. トラフィックモデリングとネットワーク管理...9 3. インターネット計測... 11 3.1. アクティブ計測とパッシブ計測 ... 12 3.2. 計測点とその特性... 13 3.3. インターネット計測技術の現状 ... 15 3.3.1. PC によるパケットキャプチャ... 15 3.3.2. サンプリング技術 ... 17 3.3.3. 高精度監視技術... 18 3.3.4. 集約トラフィックの計測技術 ... 20 3.3.5. IPv6 への対応状況 ... 20 3.4. 計測技術の課題 ... 22 4. トラフィック分析技術 ... 24 4.1. ネットワークの不正なトラフィック特性 ... 25 4.2. 様々な DoS 関連分析技術... 26 4.2.1. DoS トラフィック分析の概要 ... 26 4.2.2. DDoS の世界的傾向分析技術 ... 27 4.3. ニューラルネットワークによるアプローチ ... 30 4.3.1. ニューラルネットワーク ... 30 4.3.2. ニューラルネットワークを用いた IDS... 31 4.3.3. ニューラルネットの IDS への応用の可能性... 32 4.4. ネットワークベース IDS の Anomaly 検知... 33 4.4.1. 確率ベースのアプローチ ... 33 4.4.2. 多変量アプローチ ... 34 4.4.3. 状態ベースアプローチ ... 35 4.4.4. データマイニングアプローチ ... 35 4.4.5. Anomaly 検知技術の今後の方向性... 35 4.5. 経路情報とリンクした計測と分析... 36

(3)

4.6. トラフィック変動の抽出 ... 37 4.6.1. LPF のネットワークトラフィックへの応用... 38 4.6.2. IPv6 IX トラフィックによる検証... 38 4.7. インシデント情報の共有 ... 39 4.8. 最新の不正アクセスの動向 ... 39 4.8.1. Reflector 攻撃... 39 4.8.2. Pulsing DoS 攻撃 ... 42 4.9. 分析技術の現状と課題... 43 5. 実用的なトラフィック監視と詳細検査 ... 46 5.1. 対象ネットワークの LAN の構成... 46 5.2. アプリケーション異常の検知... 48 5.3. ネットワーク帯域占有の検知... 49 5.4. 分散観測による異常診断 ... 50 5.5. トラフィックの波形と発生イベントの関連性... 52 6. シンプルなイベント生成とそれに連動した詳細分析... 56 6.1. トラフィックの安定性... 56 6.1.1. 特定トラフィックの支配率... 57 6.1.2. 支配的な N... 58 6.1.3. 支配的な N の安定性 ... 59 6.1.4. 安定性の評価基準 ... 61 6.1.5. スロット化方式... 62 6.1.6. スロットサイズ... 63 6.1.7. スロット数... 64 6.1.8. 統計性について... 66 6.2. 監視項目による安定性の違い... 69 6.2.1. 小規模ネットワークでの各監視項目の安定性 ... 70 6.2.2. 大規模ネットワークでの各監視項目の安定性 ... 78 6.3. 安定性の監視への応用... 84 6.4. 詳細分析 ... 85 6.4.1. 支配的 N 内の順位の安定性分析... 86 6.4.2. アクティブ計測との協調 ... 89 7. ネットワークプロセッサの可能性 ... 91 8. ネットワーク観測環境 ... 93 謝辞... 95 ツール... 95 参考文献... 96

(4)

1. はじめに

ネットワークシステムは、巨大化、高度化の一途をたどっており、システムの管理という観点からは、他の大規模システム、工業プラント、原子力発電システム等と同様に系統的なシステム診断技術に基づく異常の検出と予知が必要となる。また、システムの巨大化が進行すると、そのシステムの障害によってもたらされる危険の及ぼす影響が増大する。このため、障害や事故を防ぎ、発生時に迅速に対処することの意義がより重いものとなる。社会基盤の重要な役割を担う大規模システムは、このような環境を反映し、システム全体の信頼性・安全性の向上に資するため、異常検出の高度化・インテリジェント化を伴う傾向にある。ネットワークシステムの社会基盤としての重要性は益々増大しており、この大規模システムに対する「安全・安心」はとりわけ重要な課題となっている。ネットワークシステムを脅かす行為として、従来知られているDoS 攻撃、および最近着目されているより巧妙なDoS 攻撃が存在する。こうした脅威は、基本的にはネットワークトラフィックの流量に対する不正な操作に起因する。このため、このような脅威への対処方策は、トラフィック量を管理する機構における制御対象量（ここではトラフィック）の検出と診断の問題に帰着される。本報告では、急速に発展しつつある本技術（トラフィックの計測･分析）分野の理論的な背景にもとづき、実証実験および事例研究成果を踏まえた展望を述べる。図 1 に、本調査研究における各要素の位置づけを示す。トラフィック監視を異常や不正の情報を知るための道具であると位置づけ、計測、分析、異常通知を基本的な要素とする。図 1 本調査研究の概要ネットワーク計測情報分析異常通知理論モデル

(5)

第 2 章においては、主にトラフィックのモデル化に関する最新の技術動向を検証する。ネットワークへの攻撃に対処するためには、攻撃の有無の判定、攻撃の質、攻撃の程度、等を定量的に「評価」するための指標が必ず必要となる。最新のトラフィック理論の研究においては、特にこの観点からトラフィックの性質を分類することが重要となっている。トラフィック理論の基礎となるモデルは、ポアソン到着過程という確率過程であり、広大なネットワーク研究がこれを利用してなされてきた。本章では、攻撃や障害の検知という観点から有用であると考えられる最新のネットワークモデル研究の動向をできるだけ平易に解説する。また、このようなモデル化は、実証的な運用管理の手法、特に攻撃への対処方策と密接に関連している。そこで、第 3 章以下では、こうしたモデル化を踏まえた過去の実証研究の事例を紹介する。さらに、そうした事例から攻撃への対処方策を体系付ける分類のあり方などに言及する。第 4 章では、計測されたトラフィックを分析する技術について、特に不正アクセスに関連する部分を重点的に調査研究する。大きな問題となっているDoS 攻撃を分析する技術は世界中で広く研究が行われている。未知の攻撃を検知するための有力な技術として、ニューラルネットワークを用いたアプローチの他、多様な統計的アプローチを調査研究する。また、分析技術の今後の方向性として、ネットワーク構成を考慮した分析のほか、広域にわたるインシデントの分析のための情報交換、近年の新しいDoS 攻撃の動向についても調査検討する。第 5 章では、ネットワークで起こっている問題について、実際のネットワーク監視結果を元にしたケーススタディを行う。ネットワーク管理の現場では、IDS 等で検知できるような明らかな不正アクセスよりも、トラフィックの増減や特定のアプリケーションの異常、といった問題の方が、現実的な問題となっていることを示し、適切な監視体制が不可欠であることを実際の事例を通して検証する。第6 章では、これまでの議論を踏まえ、監視すべきトラフィック情報とその分析について、具体的な監視方法を検討する。近年注目されているトラフィックの安定性に関する特性の不正アクセス監視への応用の可能性を、実ネットワークのトラフィックを通して検証する。今後のネットワーク監視で、実施すべき監視と分析の可能性を明らかにする。第 7 章では、今後ますます大容量化がすすむであろうネットワークトラフィックを処理する汎用的な手法として注目されているネットワークプロセッサの最新動向を調査研究する。

(6)

2. トラフィックモデリングとネットワーク管理

インターネットトラフィックのモデリング研究では、通常状態だけではなく、障害やセキュリティインシデントを含む一般的なインターネットトラフィックを扱うことができるモデルが重要であり、その構築は非常に困難な課題となっている。また現実のネットワークにおいて障害やセキュリティインシデントの検知・診断に応用するには、大局的なトラフィックの振る舞いだけではなく、実現可能な観測体制を考慮し、局所的な振る舞いを扱える小回りの効く道具としてのモデルが必要とされている。本調査研究では、現実のトラフィック監視および分析に適用可能なモデルとしてトラフィックの安定性に注目した手法について、6 章でその適用可能性を実地に調査した。トラフィックのモデリングは、ネットワーク上で起こる様々な現象を理解し、予測するための道具として電話網の設計からインターネットの管理まで幅広く利用されている。特に近年、ネットワークアプリケーションの多様化と広帯域アプリケーションの利用増大により、インターネットトラフィックに関しては、モデルの構成に対する考え方が大きく変遷している。本章では、現在の先端的研究の調査研究に基づき、インターネットトラフィックの振る舞いを効果的に記述するモデルとそれを性格付けるパラメータに関する可能性の検討を行う。図 2 インターネットトラフィックのモデリングまず、通信工学上の基本的な考え方として、「ポアソン過程」によるトラフィックのモデリングがある。これは、利用者が全体的にはランダムに通信を行うことを想定しており、幅広く用いられてきた。トラフィックの状態が異常か否か、ということを判断するためには、本質的にはネットワークの振る舞いが「こうあるべき」というモデルが必要になる。本章では、高トラフィック時におけるトラフィックモデルに関する限界と最新の研究動向を調査した上で、そのセキュリティ管理機構等への応用を検討する。モデルパラメータトラフィック情報トラフィック予測

(7)

ポアソン過程はその数学的な扱いが容易であることからもネットワーク設計の基礎として適していた。ATM 通信のような高トラフィックの環境を議論する場合でも、基本的には通信量の振舞いは、比較的単純な確率過程で記述できるとして議論することが一般的である。しかし、インターネットの利用形態を考えてみると、サービスや利用形態の多様化が、そうした仮定から大きく外れる特性をネットワークにもたらしている。こうした状況を反映して、1995 年には Vern Paxson らによってポアソン過程をインターネットトラフィックのモデリングに利用することの限界を示す論文[1]が発表された。彼らは、実際のトラフィックトレースを詳細に分析した結果、ポアソン到着過程によりモデリングできる場合とそうでない場合の詳細な分析を行っている。ネットワークの利用形態の多様化とコンテンツのマルチメディア化、自動化された通信を背景とする大規模トラフィックに関しては、従来のトラフィック理論の適用が困難であることを明らかにしている。本調査では[1][2][3] 等を調査した結果をまとめるとともに、ネットワーク障害検知等の管理制御において有効な数理モデルの方向性を検討する。 2.1. トラフィックモデリングの問題点 文献[1]では、従来のネットワーク理論で基本的に用いられてきたポアソンモデルをインターネットトラフィックには適用できないという研究報告がなされている。このことは従来のトラフィック理論の適用が困難であることを意味しており、インターネットトラフィックに対するネットワーク設計の面で極めて大きな意味を持っている。以下では、まずこの点を詳細に検討する。 2.1.1. ポアソン過程の限界 ポアソン到着は、モデルが簡便であるため、到着間隔が必ずしも指数分布ではない状況でも、多くのトラフィックモデルに利用されてきた。例えば、トラフィックのバースト性が現れるATM 通信のような環境における、装置や網の設計に際しても、研究としてはある程度解析的に取り扱えることが求められるため、ポアソン到着の拡張が利用されてきた。以下では、文献[1]の調査に基づき、インターネットの IP パケットの到着過程に関する詳細な分析結果について報告する。分析は、実データを対象とした事例分析に基づいており、以下ではその概要を述べる。

(8)

2.1.1.1 事例分析結果の例

分析事例は、Tcplib [Danzig et al、 1992][2]というライブラリを調査することによって実施している。分析のために、あるネットワーク管理部門において、相当量の２４のトラフィックトレースを扱った。これをもとに従来モデルと提案モデルの比較検討を行った。概要としては、ユーザが発呼するTCP セッションの到着過程はポアソン到着モデルによく合う。しかし、TELNET などのセッション内でのパケット到着率をみると、高到着率の場合にはランダム性がある場合よりも、現実にはバースト性が高いトラフィックの割合が増大するため、高トラフィックの状態における到着間隔をポアソン過程でモデル化するとバースト性の影響を過小評価してしまうことが分かった。ここで、バースト性とは、短期間にトラフィックやセッションの到着が集中することである。分析の結果バースト性は、幅広いタイムスケール上で保存されることが分かった。これは、トラフィックを観測する時間間隔を細かく区切る場合と大きく区切る場合の両方に関して、確率過程として類似の性質であるバースト性が見受けられるということである。すなわち、トラフィック観測によりある時間間隔における「平均到着率」が確率過程として計算できたとしても、その影響を予測するモデルとしてポアソン過程を利用すると、トラフィックの悪影響を過小評価する可能性があるということである。いま、「バースト性」を問題にし、この性質が幅広いタイムスケールにわたって観測できることを述べた。この性質は、バースト性に関してトラフィックが「自己相似性」を持つということである。「自己相似性」とは、バースト性に限らず、後述する「波動性」など特性に関しても成り立つ可能性がある。以下では、このような幅広いタイムスケールに関して現れるバースト性や波動性などの「自己相似性」に着目する。 TCP 等のコネクションの確立の過程等、高トラフィック時のネットワークの特性を決定付けるネットワークサービスの確率過程に関して次のようにまとめられる。 ① ＴＣＰ等のコネクションの到着間隔：ポアソン到着で比較的良く記述できる。 ② ＴＥＬＮＥＴのパケット到着間隔：コネクション内のパケットの到着間隔は、ポアソンのモデルがあてはまる領域とそうでない領域が存在する。 ③ 大規模の相関性と自己相似性に関して：特にバースト性に関して異なるタイムスケールをまたがって発生するものに関しては、ポアソン到着によるモデル化では、その影響を過小評価してしまうという。次に、FTP セッション中の FTP コネクションに着目してみよう。この機能も、「コネクシ

(9)

ョンバースト」が集約されるため、ネットワークの中でFTP のデータ量を取り出した場合に、ある状態でネットワークの制御に関して支配的な振る舞いを示す。分析の結果、FTP コネクションの到着過程においても、広域トラフィックの自己相似性との関連が現れる。また、短時間間隔に加えて、長時間のタイムスケールのモデルにもとづいて分析した。その結果多くのタイムスケールの上で、バースト性が予想より大きいことが分かった。さらに、バックボーンネットワークの場合など広域のリンクには、1 時間に１∼2 回のバーストしか発生しなくても、それらは、強くその時間のFTP トラフィックを支配する傾向がある。これらの分析の結果から、TELNET 等のコネクションおよびその上での応答のモデル化は、大規模ネットワーク環境、高トラフィックの環境下では重要な問題である。今後通信アプリケーションが多様化する状況が予想される。これは、コネクションの到着過程、その上でのパケットの現れ方に、複雑な様相をもたらす可能性がある。今後の一層の研究が求められている。 2.1.1.2 ポアソンによるモデリングの有効性と限界 文献[3]では、このような分析結果を受けて、特にバックボーンを構成する大規模ネットワークのトラフィックを観測している。分析事例をもとにして、トラフィックを記述する新しい数理的モデルを提案し、その有効性を検証している。特に、大規模なトラフィックの変動には、複雑系システムで観測されるフラクタル構造に類似の「自己相似性」が観測できることがわかる。以下に、いくつかの新しいモデル化の可能性をまとめる。 2.2. 新しいトラフィックモデリングの方向性 ８０年代以降、物質のフラクタル構造に関する研究や複雑系に関する研究が活発となり、様々な分野で、複雑系のもつ数理的な特性が明らかになってきた。複雑系に対する研究成果は、情報ネットワークのトラフィックを分析する視点にも少なからぬ貢献をしている。以下では、こうした数理的な観点からの、トラフィック研究の最近の動向を概観する。 2.2.1. 自己相似性 有力なモデリング手法として、トラフィックの自己相似性に注目した研究[3]がなされている。自己相似性とは、フラクタル図形のように部分を拡大しても、もとの図形と同様の構

(10)

造が観測される状態を指す。トラフィックを対象とする場合は、トラフィックの変動を長い時間間隔で観測していた場合に現れるバーストなどの現象が、同じ時間帯において、短い時間間隔による測定によっても現れることを指す。いくつかの研究では、実際のトラフィック観測データをもとに自己相似性の存在の有無が分析されている。分析の一例 • 自己相似モデルを扱うことにおける一つの問題点は、いかに効率的に、自己相似性を持つトラフィックトレースを（人為的に）合成するかということである。これが重要な理由は、合成できるということは、実トラフィックを仮定しているパラメータによって特徴づけることができるということである。ここでは、FFT を利用した手法を提案し、その性能と正当性を評価している。FFT は、Fast Fourier Transform であり、時系列変化するデータに含まれる周期性の種類を分離する。

• FFT を利用して、分析すると供に、周波数パラメータを利用してトラフィックモデルを構成する。そのとき、自己相似性を示す「Fractional Gaussian Noise」と呼ばれるモデルで表されるトラフィックを利用して、自己相似性のある実トラフィックを近似する手法を提案している。 • 提案する近似法の有効性を検証するにあたって、そのスピードアップ率を FFT における Whittle の評価パラメータである H(Hurst)パラメータと呼ばれる指標によって評価した。このような分析から得られる重要な視点としては、これを、人為的に合成するトラフィックのモデルに適用させた場合に、いかに現実の複雑系の振る舞いを模倣できるかという点にある。文献[3]においては、ネットワーク・シミュレーションに合成したトレースを使用するとき、次の3 点が重要であるとしている。（１）実際のトラフィックの「マージンの分散」値をモデルに対応させるためには、擬似トラフィックを合致させる手法が有効であるとしている。伝送可能なトラフィック量を想定して、平均的な・定常的なトラフィックに対してある量の安全マージンをとる。トラフィックの変動によるこのマージンの消費を擬似トラフィックを用いて行うわけであるが、その際、自己相似性を内在する雑音トラフィックを利用している。（２）イベントシミュレーションにおける「到着回数」を、実際のネットワーク管理における「到着間隔」に対応付けることの重要性を指摘している。これは、イベントシ

(11)

ミュレーションプログラム上で、タイムスタンプ更新を行う for ループの一回の動作が、実時間上に何に対応しているのかを明確に定めることといえよう。（３）短い時間間隔で現れる相互依存性のあるトラフィックを合成し、これをトラフィックトレースのモデルの構築に組み入れることが、モデルによるより正確な近似の観点から重要である点を指摘している。これらの問題を取り扱いながら、自己相似性を加味したネットワークモデルが構成できる。こうした手法を利用して、攻撃など特殊事象のよりきめ細かい分離が可能となるであろう。 2.2.2. ウェーブレット変換の活用 トラフィック上で観測される自己相似性を言い換えると、トラフィックの観測軸を小刻みにしていっても、同じ波形が繰り返されるという現象である。これは、自然界に多く観察されるフラクタル現象と類似の現象である。人工物である情報ネットワークでも、大規模になることによって、このような現象が現れる。こうした性質を解析する手法のひとつに、フーリエ級数（解析）が考えられ、その発展的拡張がウェーブレット変換である。通常、データの時系列が自己相似的な構造を持っている場合、フーリエ解析によって得られるスペクトルの形はべき関数となる。すなわち、周波数領域で現れる多様な周波数スペクトルの出現頻度は対数グラフにすると直線に乗る。しかしながら、いつもフーリエ解析が有効なわけではない。フーリエスペクトルはフーリエ変換の位相部分を消去した量で時刻に関する情報を失っているため、スペクトルと局所事象との対応関係を見出す事ができない。そこで、ウェーブレット変換（解析）は、データの持つ局所相似性の解析には最適であると考えられる。特に、スペクトルのべき則を伴う現象の解析やデータ関数の各点毎の特異性強度の検出には非常に有効といえる。ネットワークのトラフィックをこうした周波数領域での詳細な振る舞いを分析する目的で取り扱う場合は、ウェーブレット変換に基づく手法が有効であるとされている。文献[4]では、著者らは 4 つのクラスのネットワークトラフィックに関して、例外状況における信号分析の結果を報告している。分析対象となったデータは 6 カ月の期間にわたって大規模大学の境界ルータで集められた IP フローと SNMP 測定結果にもとづいている。分析の結果、フラッシュ、攻撃、および測定失敗等の現象をウェーブレット解析の手法によって扱っている。ウェーブレットを利用する際は、トラフィックに対する閾値を利用した単純な検知を実施

(12)

合が一般的である。つまり、何らかの異常検出アルゴリズムを設計する場合に、フィルタのパラメータを測定値からフィードバックして設定するなどの発展形態が考えられる。いずれにしても、重要なことは、時間軸と周波数軸における分析のパラメータを「局所化」することである。すなわち、解析対象としているデータセットから、解析の対象となる現象を効果的に取り出すためのパラメータ設定が不可欠であるということである。この点は、前節で述べたように、人為的にトラフィックを合成する場合のパラメータの設定と呼応する問題であり、周波数領域でネットワークトラフィックを詳細分析する場合の重要な検討事項である。 2.3. トラフィックモデリングとネットワーク管理 長年の間トラフィックモデリングの重要なツールであったポアソン過程がインターネットトラフィックに対してはうまく適用できないことが示されて以来、インターネットトラフィックの解析的な分析は大きな困難にぶつかっている。その後もインターネットの利用形態は大きく変化し続けており、そのモデリングはますます困難な方向に向かっているように思われる。そのような中で、トラフィックの自己相似性に関する考察は有力な方向性として注目されており、一定の成果を挙げつつある。しかし、それらの具体的な応用先の一つとして期待されている、ネットワーク管理、特にセキュリティ管理方面で実効的な成果を挙げるにはその精密さの点でまだまだ不十分といわざるを得ない。トラフィックをモデリングすることで、そのモデルの中の特定のケース、あるいはモデルから大きくはずれるケースをなんらかの異常と捉えて、分析さらには対策に役立てることが期待されているが、現在のトラフィックモデルの理論は全体としてトラフィックをとらえるマクロ的な視点からのものであり、特定の個々の現象を捉えることができるような精度を持つには至っていない。またモデルを生かすためには、通常ある程度の規模をもち、十分な統計性が成り立っていることが前提となるが、一般的な組織内ネットワークでは利用者数、利用時間帯、利用目的等によってそれらが大きく変動することから、必要な統計性が得られないことが多い。ポアソン過程は、その数学的な扱いの容易さから、実システムへの応用も比較的容易であるが、インターネットトラフィックを扱うには向いていない。自己相似性は、インターネットトラフィックをある程度扱うことができる見込みがあるが、数学的な複雑さ、リアルタイム処理の難しさがあり、すぐには応用できない。

(13)

いくつかのの具体的なネットワークにおける先駆的な分析では、そうした困難さと共に、新しい研究領域の展開の可能性が示唆されている。自己相似性をもつ関数を導入することにより、近年の大規模・複雑かつ高トラフィックをもつシステムの振る舞いをよりよく記述できる可能性が生まれている。他にもさまざまな手法が研究されているが、現時点で現実の問題に応用でき、実用に耐える段階にある手法はないと思われる。特に現在研究されているトラフィックモデルの多くは、大規模なバックボーンでのトラフィックの振る舞いに焦点をあてたものがほとんどであり、一般のネットワーク管理者が通常監視するようなネットワークでの再現性は期待できないケースが多い。モデルは、トラフィック監視に生かされなければならない。ついては、その監視場所、監視対象、さらには分析法が重要となり、それぞれ長所短所があるが、本調査研究では特に障害やセキュリティインシデントの観測と分析に焦点をあてて次章で述べる。また局所的に観測される様々なトラフィックの振る舞いについて、異なる観測結果同士をある程度共通に認識し得る標準的な語彙や特性についてのコンセンサスを築いていくことが重要である。このようなコンセンサスの必要性は近年特に重要性が増しておりその研究も進んでいることから、このための試みについては別途述べる。

(14)

3. インターネット計測

ネットワーク計測技術は、あらゆるネットワークアプリケーション、セキュリティアプリケーションの基盤となる技術である。しかしその技術基盤はまだ整備途上であり、インターネットの発展とともに新たな計測技術が次々と必要となっている。本調査研究では、大容量・大規模ネットワークがより一般的になることを踏まえ、以下の点に注目して計測技術の調査検討を実施する。 • ネットワーク計測の共通な基盤技術であるパケット処理機能の効率化と最適化 • 高トラフィックに対応できる軽量で効率的な計測処理技術 • 広域ネットワークで汎用的に活用できる標準化された高精度情報収集技術セキュリティ管理を含むネットワーク管理では、対象となるネットワークを「計測」することがその第一歩である。計測によってネットワークの状況を得ることができ、得られた結果を分析することで、ネットワーク上で起こりえる様々な現象を診断する。ネットワークの高速・大容量化によって計測すべきトラフィックが膨大になっていることから、計測の結果は単なる「データ」ではなく、ネットワーク管理、セキュリティ管理などの目的別に、ネットワーク機器の障害、あるいは不正アクセス、といった具体的な意味をもった「情報」として出力されることが期待されている。例えば一定量以上のトラフィックが観測された、特定のヘッダを持つパケットが観測された、等がそのような「情報」であり、前者は通常閾値を利用したネットワーク管理などで使われ、後者はFirewall あるいはIDS 等が該当する。高トラフィック環境では、簡単な処理であっても全体として大きな負荷になり得ることからリアルタイム処理に関する要求は非常に厳しいものとなり、軽量で効率的な計測技術が求められている。図 3 にネットワーク計測技術に求められている技術の位置づけを示す。本報告書では、リアルタイム処理にかかわる部分をネットワーク計測、オフライン処理にかかわる部分を情報分析とし、本章では、特にリアルタイム処理に関する技術動向および課題について述べる。

(15)

図 3 ネットワーク計測技術の役割 3.1. アクティブ計測とパッシブ計測 計測には大きくわけて 2 種類の方法があり、積極的に計測用の通信を行って実測するアクティブ（能動）計測と、計測用の通信を行わないパッシブ（受動）計測に分類される（図 4）。アクティブ計測は、到達性のチェックや応答時間、さらには実効的な帯域の計測等の性能計測によく用いられている。アクティブ計測では任意の時点での実測値を得られることがその大きな利点だが、反面本来は必要のない計測用のトラフィックを発生させてしまう。中には正確な計測のために非常に多くの計測トラフィックを要するものもある。一方で、パッシブ計測はネットワークに影響を与えないことから定常的な計測に広く活用されている。インターネット標準のネットワーク管理プロトコル（SNMP: Simple Network Management Protocol ）で利用されている管理情報ベース（ MIB: Management Information Base）でよく活用されるトラフィック量に関する統計情報でもパッシブにカウントされたパケット数等が有益な情報として活用されている。ネットワーク計測情報分析異常通知学習型分析長期傾向分析パケットキャプチャ高精度計測サンプリング IPv6 対応高機能分析リアルタイムオンライン/オフライン集約計測

(16)

図 4 ネットワーク監視と計測技術典型的なシナリオでは、通常の正常な状態ではネットワークに負荷をかけないパッシブ計測によってトラフィックを計測し、問題発生時に必要に応じてアクティブ計測を行う。すべての通信の詳細な監視が事実上不可能であることから、高トラフィックの監視にはパッシブ計測を基本とした効率的な使い分けが重要な課題となる。 3.2. 計測点とその特性 同じ計測対象に対して同じ計測方法で計測を行う場合でも対象となるネットワークの特性によっては大きく異なる結果が得られる。本節では、計測点によって得られる情報の違いについて述べる。文献[5]および[6]では、ネットワークを監視する場所によって異なる検知および対策の際のメリット、デメリットについても考察しており、実践的な計測・監視システムの構築方法について、次のような原則を指摘している。本報告書で検証するような観測システムについても、基本的にはこの原則が適用できる。 ① 分散型の攻撃には、分散型の対処を実施する。 ② 攻撃への対処が、通常トラフィックのサービスを低下させないこと。 ③ 検知システムは、内外双方からのそこへの攻撃に対して頑強でなければならない。 ④ 現実的な解を実現するために、現実可能な対処策から実践していく。 ⑤ 攻撃検知・対処システムの構築は、小規模の部分から段階的に、完全なあるべき姿を展望しながら構築する。特に、①の視点に関しては、攻撃の性質上次のような問題が指摘できる。（図 5）インターネット計測技術アクティブ計測パッシブ計測到達製計測性能・帯域計測トラフィック統計計測パケットコンテンツ計測

(17)

図 5 計測点による利点と欠点の特性 a) 被害者のネットワーク被害者の綿密な観測が実施でき、特に DDoS 攻撃などの大量のパケットによる攻撃は被害者側では計測が比較的容易である。しかし対策としての防御の及ぶ範囲は小さく、大規模な攻撃を緩和するのは不可能である。また、定常トラフィックと攻撃トラフィックの分離は困難な作業である。 b) 中間のネットワークこれは、コアルータによって接続されるネットワーク領域で、このネットワークでは、大量のトラフィックが収容されているため、攻撃を検知するのは一層困難である。すなわち、この部分では、正常トラフィックと分離を行うのが困難なので、何らかの対処を行った場合、先に述べた原則の②を侵し、攻撃への対処が正常サービスの低下を招く危険性もある。 c) 攻撃者のネットワーク一方、攻撃のソースとなるネットワークが特定できれば、正当なトラフィックと攻撃トラフィックの分離が比較的容易であることから、攻撃者を特定し、抜本的な対策を採ることができる可能性がある。一方で、特に DDoS 攻撃の場合は個々の攻撃者から発生されるトラフィックは顕著な例を示さないことが多いため、単純な閾値法などを使った検知では十分な性能を得られないことが多い。上記のような検討から、ネットワーク攻撃の検知とその防御は、それぞれのネットワークが攻撃イベントにおいて果たす役割によって使い分けられる手法であることが有効であることが理解できる。このことは4.7 節で述べる情報交換の必要性が議論される基盤となっている。本調査研究では、中間のネットワークにあたる大規模バックボーンを想定し、WIDE ネットワークの海外リンクという定常の大容量のトラフィックがあるネットワークを対象として検討する。また、被害者側、あるいは攻撃者側に相当するネットワークとして、東北大 Attacker Back bone Victim 被害者側の観測点中間ネットワークの観測点攻撃者の観測点

(18)

学の2 つの異なる規模の組織を対象として実証的な実験を実施する。

3.3. インターネット計測技術の現状

この分野では、近年非常に活発に研究が進められており、以下のような研究機関および国際会議がこの分野を専門的に扱った著名なものとして知られている。

米国の研究組織NLANR (National Laboratory for Applied Network Research)[7]では、高性能ネットワークをサポートできるトラフィック計測・分析技術についての先端的な研究開発を推進しており、高速ネットワークサービスである vBNS (very high performance Backbone Network Service)等を対象として多くの実績を残している。

米国の研究組織CAIDA (the Cooperative Association for Internet Data Analysis)[8]では、インターネットデータの分析技術についての先端的な研究開発を推進しており、特にその可視化技術はSkitter[9]と呼ばれるソフトウェアとして開発されている。

国内の研究者組織WIDE の MAWI (Measurement and Analysis on the WIDE Internet) WG[10]では IP アドレス構造に基づくトラフィック情報のカテゴリ化とその可視化を実現するAGURI[11][12]と呼ばれる技術およびそれを実装したソフトウェアを開発している。

近年インターネットの計測に焦点をあてた国際会議が注目されており、PAM (Passive and Active measurement Workshop) （最新[13]）、ACM SIGCOMM Internet measurement conference (Special Interest Group on Data Communications) （最新[14]）等では多くの研究成果が発表されている。以下に特に今後重要な領域となると考えられるいくつかの研究について述べる。 3.3.1. PC によるパケットキャプチャ 現在、一般的なアーキテクチャのPC も高性能化しており、トラフィック計測にも広く用いられている。しかし、ネットワークの高速化・大容量化にともなって適切なチューニング等を行わなければ期待した性能が発揮できないケースも明らかになってきている。ここでは、UNIX をベースとした OS、libpcap[15]によるドライバレベルのパケットキャプチャ、tcpdump[16]によるアプリケーションレベルでのパケットハンドリングという典型的な構成における性能特性を実験的に調査した。実験は以下のプラットフォーム上の libpcap＋tcpdump で実施し、高負荷状態を想定して Agilent 社のインターネットアドバイザによって 64 バイトの UDP パケット 50,000 個を

(19)

様々なレートで生成した。 CPU VIA C3 797.97MHz Memory 512M OS FreeBSD 4.8 Release パケットキャプチャと分析性能 0 10000 20000 30000 40000 50000 60000 20000 30000 35000 40000 45000 50000 55000 60000 65000 70000 75000 80000 85000 90000100000105000110000115000120000125000130000135000140000145000150000155000160000164474 パケット数/秒パケット数

tcpdump counts dropped by kernel

図 6 パケットキャプチャと分析性能

グラフは pcap レベルでのカウントを表す tcpdump count とアプリケーションである tcpdump 本体にキャプチャされたパケット情報を受け渡すときのパケット落ちである dropped by kernel の値の推移を示している。 Pcap レベルでの性能はパケットの送信レートが高くなるにつれて落ち込んでいるというシンプルな特性を示しているが、一方でdropped by kernel の値は送信レートが最大になるよりも早い段階からパケット落ちをみせている。このことは単純なパケットキャプチャ性能よりもそれを OS のアプリケーションレベルに伝える性能にボトルネックがあることを示している。このボトルネックは、パケットキャプチャによる割り込み処理とそれをアプリケーションに受け渡す処理に適切なリソース配分が行われていないことに起因しており、最大の性能を発揮するには最適化が必要となる。

(20)

CＰＵの性能が高速になればグラフの山は右に移動するが、パケットキャプチャとアプリケーションレベルの負荷のバランスの問題はやはり存在する。上記のようにパケットキャプチャとその上位層での処理の負荷には適切な最適化が必要であるが、このようなパケットキャプチャの機能はネットワーク計測の基本であり、多くのアプリケーションで共通に必要とされている。例えば、ルータやスイッチなどのネットワーク機器、ファイアウォールやIDS などのアプリケーションはどれもパケット情報取得が必要である。このことは各機器、およびアプリケーションに一定の共通な負荷があることを示している。近年、これらの共通な処理を外部のデバイスに分担することで負荷の軽減とコストの削減を狙う動きが顕著になってきており、そのようなデバイスとしてネットワークプロセッサが注目されている。ネットワークプロセッサはパケットヘッダの処理に特化し、それを並列化することで基本的な処理性能を高めている。ネットワークプロセッサの可能性については別途8 章で述べる。 3.3.2. サンプリング技術 ネットワークの高速化・大容量化に伴う観測コストの増大はインターネット普及のかなり早い段階から懸念されており、トラフィック計測をサンプリングによって行う手法としてはやくも1993 年には体系的な研究が発表[17][18]されている。上記の文献では、3 種類のサンプリング方法、2 種類の駆動方式等の違いがパケットサイズとパケット到着間隔の統計に与える影響をχ2_{分布の検定によって評価している。}_{文献では、} 統計情報のためにはsystematic サンプリングがよい結果を挙げていることを示した後、図 7 で示したサンプリング方式の間隔（駆動方式）を時間でとるか、パケット数でとるかについて比較している。時間駆動は観測されるパケットの数と関係なく一定時間間隔、とする方式であり、パケット駆動は要する時間と関係なく、一定パケット数間隔とする方式である。文献ではパケット駆動が良いサンプリングが行えたことを示している。

(21)

図 7 文献[17]で比較検討されたサンプリング方式

上記の研究は10 年前に実施されたものであり、現在のインターネットトラフィックに対してすぐに適用できるものではないが、本調査研究でフィージビリティを検証している方式でも同様の傾向が見られる。

また、IETF の PSAMP (Packet Sampling) WG[19]ではパケットをサンプリングする標準的な方式とそれを遠隔に実行・管理するためのフレームワークおよび管理情報ベース（MIB）を新たに策定し RFC としてまとめることをめざしている。 3.3.3. 高精度監視技術 観測対象が高速化・大容量化されるにつれて、観測精度が大きな問題となってきている。特に、従来から広く用いられている分単位でのトラフィック統計では、ダイナミックに変化する実際のトラフィック流量に追随することが困難なことが明らかになっている。このような現象は従来から知られてはいたが、近年ではDoS 攻撃の亜種で、巧妙にトラフィックを発生させる攻撃が出現し、長期的な観測では目立ったトラフィックの変化として捉えることができず、検知が困難な具体的なケースとして対処が必要な問題[6][20]となっている。図 8 はあるネットワークでの 5 分間隔トラフィック量計測結果を示している。このような統計は長期的なトラフィック量の傾向をつかむために適しており、日中の時間帯に利用率が高いことを示している。

(22)

34 Hours

図 8 解像度の低いトラフィック統計観測図 9 は同じ対象に対して図 8 の丸で囲んだ部分を拡大したものである。このグラフに表れているグラフは非常に高い解像度で観測されたトラフィック量の推移を示している。情報取得間隔は10ms であり短時間での微細な変化が起こっていることを捉えている。

5 Seconds

図 9 解像度の高いトラフィック統計観測図 8 と図 9 は同じトラフィックを観測したものであるが、その観測精度によってトラフィック統計としての特性は全く異なるものとなることがわかる。最新の研究では、さらに微小なサブミリ秒のスケールにおけるトラフィックの振る舞いが、トラフィック工学上の重要な問題として認識されるようになっている。文献[21]で詳細に分析されているように、パケット到着間隔の振る舞いは、サブミリ秒という時間幅で観測できる。サブミリ秒のスケールで観測されるトラフィックの特性によって現れる影響が、パケットの到着間隔のオーダであることから、これは、スイッチ等におけるパケットバッファサイズの設計問題や、伝送遅延時間に影響を受けるサービスの構成などに影響するからである。トラフィックの特性を１秒程度のスケーリングで見ると、自己相関が観測されるが、サブ

(23)

ミリ秒以下では、状態の変化がある。例えば、バックボーンにおける 1 分間のセグメントでは、タイムスケールにして (1ms-100ms)間の統計量に関して、かなりよい良い予測をもたらしてくれる。また、1 時間のセグメントから得られるエネルギープロットを調べると、バックボーントラフィックにおける1 分のセグメントにおけるそれとの間に、ほとんど差異がみとめられなかった。このことは、大規模トラックの統計処理には、サブミリ程度のタイムスケールで１分程度の観測を実施すればよいことを表している。バックボーンネットワークにおける攻撃や障害の検知を前提とする場合に、こうした観測の結果が有効であろう。実際に、上で述べたような精密計測システムをネットワーク中に構築しようとする際には、遠隔からの情報収集方式についても考慮しなければならない。このような観測を遠隔で行う際には、観測パケット数等のカウンタ型値を一定間隔毎に管理プロトコル等を利用して読み出す手法が一般的なものであるが、その間隔をミリ秒以下のオーダとするには、情報収集のための通信および処理コストが膨大になる。このような観測は一般的に必要になることから、観測精度の問題を解決するだけでなく、その手法の標準化が重要な要素となる。高精度に観測された情報を一定量まとめて集約してから取得するための標準管理プロトコルに沿った手法が提案されている。考案された管理情報取得の効率化のための手法は Internet-Draft として発行されており、IETF での議論を経て 2003 年 7 月現在第 3 版[22] となっている。 3.3.4. 集約トラフィックの計測技術 文献[11]および[12]で研究されているようなトラフィックを IP アドレスの構造等を利用して集約して計測する技術も大きな可能性がある。リアルタイム処理が可能な軽量なアルゴリズムで、大きな意味をもつ情報を計測できる。IP アドレス構造は、基本的にサブネットワーク構造を反映していることから、同一組織、同一プロバイダといった現実の社会組織との対応をとりやすく、不正アクセス等を対象とする場合でも組織単位での監視が可能となる。 3.3.5. IPv6 への対応状況 次世代ネットワーク技術として期待されているIPv6 の普及が現実味を帯びるとともに、その管理・計測技術の重要さも増大する。本調査研究では、ネットワーク監視技術のIPv6 対

(24)

応について調査する。 [SNORT] ネットワークベースの侵入検知システムとして広く普及している SNORT の IPv6 対応状況について、IPv6 に関わる不正アクセス検知機能、およびアラート通知機能の IPv6 通信に注目する。一般的にSnort に代表される IDS は対象となる全トラフィックを計測し、特定の条件（不正なパケット）を満たすパケットを抽出するためのツールといえる。今後普及するにつれ IPv6 トラフィックの計測技術が重要となってくる。しかし、現時点では新しい128 ビットの IP アドレスに代表されるようなヘッダ部分が主に検討されているのみで、IPv6 に特化した不正なパケットを計測・分析するための機能は十分に検討されていない。

現在のSnort の IPv6 対応状況は、検知した IPv6 パケットの統計情報を提供するだけに留まっている。これは、Snort 内部では IPv4 アドレスを単に 32 ビットの非負整数型として扱っているため、128 ビット長である IPv6 アドレスにそのまま対応することはできない。 Snort を IPv6 に係わる不正アクセス検知機能を実装するためには、以下の機能を IPv6 に対応する必要がある。

• ルールに記述された IPv6 アドレスを解釈する機能

• パケット検知機能の IPv6 対応化 (detection plug-in、 preprocessor も含む) • 出力機能の IPv6 対応 (output plug-in)

Snort が対応している IP を用いたアラート通知機能には、syslog を用いる方法、外部データベースへ保存する方法、ネットワーク管理プロトコルSNMP Trap を用いる方法がある。 Syslog は、基本的に文字列により IP アドレスを扱い、また syslog による通信が既に IPv6 に対応していることから、IPv6 への対応は容易である。外部データベースに関しては、Snort が対応しているデータベースの一つ PostgreSQL は 7.4 より IPv6 の接続性と IPv6 アドレスデータ型に対応している。SNMP Trap に関しても、snort が定義するアラート管理情報のアドレス定義がIPv6 対応済み[23]であり、後述の通り IPv6 に対応した SNMP の実装が普及しているため、IPv6 によるアラート通知の実装は容易である。

[SNMP] インターネット標準のネットワーク管理プロトコル SNMP の IPv6 対応状況について、IPv6 管理情報への対応、および管理用通信機能の IPv6 対応に注目する。

IPv6 管理情報に対しては現在、IETF の IPv6 分科会において標準化作業がなされ、現在はRFC 化されている[24][25][26][27][28]。また、この管理情報の定義は更新作業が進行

(25)

中であり、現在 Internet-Drafts が提出されている。

またその実装についても作業が進んでいる。しかし現在進行中のものはIPv6 プロトコルのコアにあたるもののみであり、派生するMobile IPv6 や IPSec、さらには IPv6 を活用するネットワークアプリケーションの管理情報ベースの標準化と実装は十分進んでいるとはいえない。このことはIPv6 の普及が接続技術を中心としたものであり、その管理のための技術が遅れていることを意味している。

現在、管理用通信機能の IPv6 対応については各ベンダからも対応機器が出荷されており、 NETWORLD + INTEROP 2003 TOKYO の IPv6 Show Case [29] では SNMP IPv6 対応機器によるデモンストレーションが行なわれた。

また、このShow Case を管理するアプリケーションも SNMP IPv6 に対応していた。一方、オープンソースによるSNMP 実装 net-snmp [30] も通信機能は IPv6 対応し、一部の IPv6 管理情報の提供を行なっている。 3.4. 計測技術の課題 現実的なネットワーク監視では、リアルタイムかつ高精度な情報を提供できる計測技術が要求されており、ネットワークの高速・大容量化によって、高トラフィックを扱える計測技術の重要性はますます高まっている。従来から研究されてきた各種の高トラフィック環境での軽量で効率的な計測技術の必要性の高まりから、研究だけではなくそれらの標準化も議論されており、特にサンプリングおよび高精度監視分野では具体的な動きが見られる。一方で、高精度な分析のためには複雑な演算、ネットワーク構成などの付加的な情報などを考慮した分析も試みられているが、分析対象となるトラフィックの増大につれてその処理コストが大きな問題になっている。高トラフィック環境でのトラフィック計測技術に求められる技術の現在の動向を図 10 に示す。

(26)

図 10 高トラフィック環境下でのネットワーク計測技術の動向ネットワーク計測の基盤となるパケットキャプチャ技術は、現在広く普及しているシステムでは性能的限界が見えてきていることが明らかになっており、なんらかの新しい手段が求められている。軽量で効率的な計測処理技術として、サンプリング技術や集約計測技術が注目されている。また高トラフィックの適切な計測のために高精度計測技術の重要性が指摘されている。また、実際のネットワークでの計測環境の構築には、遠隔から計測情報を取得できる標準化された手法が不可欠である。計測パケットキャプチャサンプリング、高精度計測、集約計測…… 標準化遠隔情報収集

(27)

4. トラフィック分析技術

計測されたデータから、不正アクセスやネットワーク障害の有無を知るには、適切な分析技術が必要であるが、そのような分析技術に共通の課題が、検知精度の向上である。本調査研究では不正アクセスを抽出するための分析技術について、以下の点に重点を置いて最新動向を調査する。 • DoS トラフィックの分析 • ニューラルネットワークおよび各種統計分析による Anomaly 検知の現状 • ネットワーク管理システムと連携した統合的な情報活用 • 多組織と連携した広範囲なインシデント情報の共有トラフィック分析は、ネットワーク計測技術によって得られた情報を分析し、なんらかの通知として管理者に提示する役割を担っており、トラフィックの監視システムの中で最も重い責任を担っている。一方で、高度な分析は、分析対象が膨大になる高トラフィック環境では、大きな負荷を伴うことも多く、全体として、非常に大きな責任と制約をうけている。本章では、トラフィック分析技術の現状と本報告での実証実験で扱う分析技術アーキテクチャについて検討する。図 11 にトラフィック分析技術に求められている技術の位置づけを示す。トラフィック分析技術として、学習型分析、長期傾向分析等の技術動向を調査し、主にオフラインでの分析技術の現状と課題を示す。また今後のオンライン分析に必要な考え方について述べる。図 11 トラフィック分析技術の役割ネットワーク計測情報分析異常通知学習型分析長期傾向分析パケットキャプチャ高精度計測サンプリング IPv6 対応高機能分析リアルタイムオンライン/オフライン集約計測

(28)

4.1. ネットワークの不正なトラフィック特性 文献[31]では、異なる二点から DDoS とワームによる攻撃の解析を行った。悪意のあるトラフィックの存在下では、DNS 要求の遅延は、約 230%増大することが観測されている。ウェブアクセスの遅延も、帯域が潤沢な場合でも 30%増大するとしている。またワームについても調査している。収集データとシミュレーションによる分析によると、ワームがDDoS の引き金となるときは、特に悲惨な結果が現れるとしている。文献では DDoS 攻撃の強度がどうバックグラウンドトラフィックに影響するかを理解するために、90 の攻撃事例を収集し、12 個を代表として分析している。DNS とウェブの平均遅延時間が攻撃トラフィックのパケット送信レートに関する関数として増加し、以下のような知見が示されている。１．DDOS トラフィックに関する分析攻撃とみなされる状態を調査した結果、まず、攻撃トラフィックの大きさはパケットに関する正常なバックグラウンドトラフィックのおよそ3 倍であることが分かった。また、RTT の値に関して、RTT の値が小さく、攻撃トラフィックが急速にそのピークレートに達するのが可能となることがわかった。観測された攻撃では、すべての攻撃が米国内の異なる大学から発せられている。攻撃トラフィックは、比較的高い帯域幅と低い遅延のリンクを通じて、観測中のネットワーク（USC:南カリフォルニア大学）に接続されるので、攻撃者には、同大学から、比較的小さいRTT の分散値をもっている。この値は概ね 120ms 程度であった。２．ワームトラフィックに関する分析ワームとして CodeRed や NIMDA が蔓延した状況におけるトラフィックを調査した。RTT に着目すると、この攻撃の性質上、非常に大きな分散値が現れた。この事実は、同じDDoS 型の攻撃であっても、ワームによるものは、トラフィックの RTT 値に着目した解析では、１と異なり検知が困難であることを表している。文献では一連の解析により、もしも悪意のあるトラフィックが存在する場合に、バックグランドトラフィックが、どのように変化するかを詳細に分析している。ワームの場合については、シミュレーションモデルを構築した上で、ネットワーク上での効果を予測する実験を実施した。これによると特にDNS アクセスの遅延情報と DDoS 攻撃の関係を利用することにより、ワームに感染したゾンビからの攻撃を事前に予測することの可能性が示されている。文献では、DNS とウェブへの応答遅延時間の関数を与えており、予測に利用でき

(29)

るとしている。 4.2. 様々な DoS 関連分析技術 本節では、特にDoS 攻撃に焦点をあてた分析について調査する。DoS 攻撃に関する研究には大きく二つの方向性が認められ、ひとつは従来からあるDoS 攻撃の観測および検知に関するものであるが、もうひとつは新しい攻撃手法、さらにはその攻撃の与える影響の分析に関するものである。後者の研究の増加は、年々巧妙化する攻撃が、時間的空間的に局所的な観測では一見して攻撃かどうか判断しかねるような洗練されたものになってきていることを示している。近年ではDoS 攻撃そのもののインパクトについて分析した研究も多くなされており、実態がなかなか明らかではないDoS 攻撃の現状に関する研究も多くなっている。 DoS 攻撃についての分析を行ううえで最も困難な点は通常トラフィックとの違いの判別である。あらゆるパケットを利用したDoS 攻撃が存在しており、パケット単体では不正であることを判断できないことも多い。 4.2.1. DoS トラフィック分析の概要 文献[32]では、ネットワークに対する攻撃を検知する目的で、トラフィックを周波数領域での分析（スペクトル分析）を含めて、複合的な手法で分析している。こうした分析は、大抵以下の大分類に集約される。 ① ヘッダによる分析、 ② 到着レートによる分析、 ③ トラフィックの急激な立ち上がりに対する分析、 ④ スペクトルに対する分析、ヘッダによる分析：ヘッダによる分析では、TCP / ICMP / UDP その他にパケットの種類を分別し、攻撃のタイプとしては、単一ソース攻撃、複数ソース攻撃、反射型攻撃、その他、に関してそれぞれ、実際の攻撃の有無をあるデータセットに対して実施している。アドレスを不正アドレスにする稚拙な攻撃が、全体の 90%となる。反射型の攻撃の主なものは、ICMP を利用するものであった。しかし真に攻撃の意図を持った攻撃はヘッダ分析だけで検知することはきわめて困難である。

(30)

到着レートによる分析：次に、到着レートに基づく分析における留意点を述べる。反射型攻撃によるトラフィックの特性と複数ソースによる攻撃は、生成されるトラフィックの性質が大きく異なるため、到着レートに基づいて、それぞれの攻撃を特定することは、困難である。この点は、到着レートに基づく攻撃をトラフィック閾値のみで実施する場合の精度の限界となる。閾値の設定に関しては、個別の収集データに基づいたより細かな統計的な処理が必要となる。トラフィック変化に対する分析：トラフィックの急激な立ち上がりをトリガとする攻撃の検知は単一ソースによる攻撃の場合は困難であるが、複数ソースによる攻撃の場合はこの点で特徴付けられる。攻撃の場合は、TTL の値が同一に設定される傾向があるため、ヘッダに基づく検知が困難となるが、特に複数ソースの攻撃に対しては、一定の効果がある。スペクトルによる分析：例えば先にあげた参考論文[32]では、スペクトルによる分析の有効性を検証するために、まず、ヘッダ分析によって攻撃であると特定されているデータセットに対して、周波数成分の分析を実施している。ICMP ECHO に対する応答など、単一の攻撃は、せいぜい利用者一回線分のトラフィックによって攻撃を開始するため、必然的に高周波成分を含むことになると想定している。一方、複数のソースからの攻撃は、スペクトルが「ぼやける」ため、検知は困難としている。いずれの場合も、ネットワークの規模、収集データの規模によって、統計的処理におけるパラメータを調整する必要がある。検討からは、異なるタイプの攻撃をそれに見合う方法で検知するという当然の手法を確立することが重要であることが理解できる。 4.2.2. DDoS の世界的傾向分析技術 以下の論文[33]の調査結果を述べる。本文献では全インターネット規模での DDoS の発生状況を調査するために、攻撃によって発生する様々な副作用ともいえるトラフィックを監視する斬新な手法を提案している。副作用として発生するトラフィックはDoS 攻撃の性質上、実際に攻撃が行われているネットワーク以外の場所でも広く観測される可能性が高く、間接的ながら世界的な傾向の分析を可能とする有効なアイディアである。 4.2.2.1 攻撃のタイプ まず、基本的な攻撃の分類として、攻撃に利用される制御パケットの種別から入る手法が

(31)

考えられる。制御パケットの応答関係には、具体的に表に示すような関係があり、悪意の有無は、この関係性を分析することから得られる。

表 1 攻撃の種類の例

送信されるパケットの種別被害者側からの応答 TCP SYN (to open port)

TCP SYN (to closed port) TCP ACK

TCP DATA TCP RST TCP NULL

ICMP ECHO Request ICMP TS Request UDP pkt (to open port) UDP pkt (to closed port)

TCP SYN/ACK TCP RST (ACK) TCP RST (ACK) TCP RST (ACK) no response TCP RST (ACK) ICMP Echo Reply ICMP TS Reply protocol dependent ICMP Port Unreach

4.2.2.2 分散型攻撃の有無 攻撃のタイプとしては、単独なものに加えて、複数のゾンビソースが関与する反射型の攻撃があるため、攻撃が分散しているかどうかが一つの分類の軸となる。副作用として発生するトラフィックはDoS 攻撃の性質上、実際に攻撃が行われているネットワーク以外の場所でも広く観測される可能性が高い。 4.2.2.3 IP アドレスのなりすましの有無なりすましについては、ISP がイングレスフィルタリングを実施していると攻撃者が利用するアドレス空間の分布が限られるため、攻撃の頻度を低く見積もってしまう可能性がある。また、「反射型攻撃」では、攻撃パケットの増幅がおきる。また、アドレスがランダムに選ばれていない場合も分析が困難である。 4.2.2.4 基本的分析手法 次に、本文献では、基本的な分析を次の2 つの観点から実施している。 A) 後方散乱分析 B) アドレス単一性 (Uniformity)

(32)

後方散乱は攻撃の被害者から副作用として発生する反射パケットであり、SYN-flood 攻撃のケースでは、それはSyn-ack として発生する。そのときその Syn-ack の送信先は攻撃者によって偽装されたアドレスになることから、その送付先では反射型攻撃と同様の現象がおこり、TCP-RST などが生成される。これらの反射パケットは偽装アドレスがランダムであれば、ネットワークのどの地点でも観測可能性があり、ネットワークトポロジ的なサンプリングが成り立つ。アドレスの単一性はトポロジ的なサンプリングは、本質的にはアドレス空間のサンプリングであるため、その母集団となるアドレス空間は均質であると仮定している。その上で、①トラフィックのフローの性質に着目する場合と、②制御パケットのシーケンスに着目する場合の手法を説明している。フローベースの分析では、TCP フラグの設定種別や、ICMP ペイロードの種別、アドレスの単一性を調査する手法が検討されている。これには「Anderson-Darling テスト」と呼ばれるアルゴリズムによって統計的検証が可能であるとしている。また、フローの関係するポートの設定状況、DNS 情報、ルーティング情報（BGP テーブルの特定日時を参照）などもこの分析に重要な情報を提供する。イベントベースの分析では、攻撃対象側で一定時間観測されたIP アドレスに基づく分析を実施し、その制御パケットのシーケンスを調べることになる。このためには、一分間隔毎にイベントを記録するという手法をとっている。 4.2.2.5 分析結果として得られる項目の分類 まず、分析の対象としているトレースの時系列上のきめ細かさが、分析における処理量との関係で重要な要因となる。そのうえで、分析により攻撃者の特徴が、①応答プロトコル、 ②攻撃プロトコル、③攻撃頻度、④攻撃期間等の観点から分類できる。また、攻撃される側としては、①攻撃対象のネーム、②トップレベルドメイン、③自律システム（AS）、④繰り返し攻撃を受ける攻撃対象のホストなどを明確にすることになる。 4.2.2.6 分析の限界 ここまでに述べた手法は、現在、DoS 攻撃を分析するための基本的な手法であるが、本文献では次のような分析手法の限界について論じている。まず、これらの手法によって分析が可能であるとする前提は、攻撃では、①アドレスの単一性（単純な構造をもっていること）、追尾を実施している伝送路の信頼性に問題がないこと、これによって、後方散乱方式が有効に機能するという前提に基づいている。しかし、より巧妙なDoS 攻撃においては、これらの前提が成り立たない場合も考えられる。また、また、「要求に基づかない応答