人為ミスによるネットワーク障害検知方法の設計
7
0
0
全文
(2) . . 大学のネットワーク環境は図 1 といったように,ネッ. . 環境には適さない.. トワーク管理者は FW でのウイルスチェックやトラ. ネットワーク障害の原因を人為ミスとして特定す. フィックログ,ルータのログチェックといった管理・運. るための事後対策の技術としては侵入検知システム. 営はネットワーク管理者が行っている.このような環. (IDS)3) が考えられる.これは Swatch4) といった監. 境の利用者はデータやパソコンを管理しているという. 視対象のサーバに直接導入するホスト型 IDS と監視対. 意識は薄く,ネットワークに関する知識が不足してい. 象のネットワーク上に設置して Snort5) といったネット. ても各自がパソコンのネットワーク設定を行ったりす. ワーク上を流れるパケットを見るネットワーク型 IDS. る.これは末端のパソコン管理・運用は利用者に委任. がある.. しているという現状があるからである.その使い方も. ホスト型 IDS はサーバに対する侵入検知システム. ゆるく,気軽に USB メモリでデータを持ち運びした. であり,末端のパソコンは監視対象としない.ネット. り個人のパソコンを持ち込んだりする.. ワーク型 IDS はシグネチャと呼ばれる既存の不正アク. このようなことからネットワーク障害の原因として. セスパターンの一致やネットワークトラフィックの急. は悪質な目的によるものは少なく,ネットワーク設定. 激増加といったネットワークの異常を手がかりとして. のミスといった人為ミスによるものが多くを占める.. 検知する.しかし,ネットワークの設定ミスによって. ネットワーク管理者は障害に対する対応も通信不良と. 間違った IP アドレスが流れたり,ファイル共有によ. いった障害報告があってから調査をするという事後対. る特定のポート番号が流れてもアラートをだす.これ. 策の形をとらざるえない.. では攻撃や侵入によるアラートなのか人為ミスによる. そこで本研究では大学のネットワークを対象として,. アラートなのか調査が必要で,少人数の管理者でネッ. 本来は一致すべきネットワーク管理者が管理している. トワークを運営している環境には適さない.また,シ. 情報とネットワークを流れる情報とが一致しないと,. グネチャはカスタマイズを行わないと誤検知をしてし. エージェントを動かすことで自動的に人為ミスを検知. まうので日々シグネチャの管理は少人数体勢のネット. する方法を設計した.. ワークにとっては現実的でない.. 2. 関 連 技 術. 3. 人為ミスとネットワーク障害. 人為ミスによるネットワーク障害を防ぐ事前対策の 技術として検疫ネットワーク2) が考えられる.. 本研究では大学のネットワークを対象として考える.. Web サーバと Mail サーバは委託しており,大学の情. 検疫ネットワークとはネットワークに接続されると. 報センターが管理しているのは,図 1 の FW とルー. きのパソコンは信用しないとしてまず,一度「隔離」. タ,IP アドレスだけである.ルータの下に配置されて. してウイルスチェックやセキュリティパッチの適用状. いる研究室のネットワークについては,各研究室に管. 況を「検査」する. 「検査」に引っかからなければそこ. 理を任せている.FW と各パソコンでアンチウイルス. で初めてネットワークの利用が可能となる. 「検査」か. ソフトウェアが動作しているので,メールと Web だ. らウイルス感染やセキュリティパッチ未適応といった. けの利用ならばセキュリティはある程度確保されてい. 問題が見つかった場合は「治療」としてウイルス駆除. る.ただし,各研究室にネットワーク管理を任せてい. やセキュリティパッチの適応を行う.. るので,次のようなことが起こりうる.. このように「隔離」 「検査」 「治療」という 3 つのス. (1). アンチウイルスソフトのアップデートを忘れて. (2). Windows などの基本ソフトウェアのアップデー. テップを行うことで未然に脅威を防ぐ技術である.. いる,または有効期限が切れている.. 人為ミスを含んだパソコンがネットワークに接続す るときに検査されるので人為ミスによってネットワー. トを忘れている.. (3). 不適切なネットワーク設定のノートパソコンを. イルがある程度管理されている必要がある.安全が確. (4). USB メモリなどを介して,ウイルスを持ち込む.. 認された後にウイルスに感染したファイルを使われる. (5). Linux を搭載したパソコンの多くはアンチウイ. ク障害を防ぐ技術としては理想といえる.しかし,こ のシステムを導入するには利用されるパソコンやファ. 大学のネットワークに接続する.. と検疫ネットワークの効果がなくなるからである.つ. ルスソフトを導入していない.. まり持ち運びできるパソコンやファイルは決められた. (6). パソコンのネットワーク設定が間違っている.. ものだけで,自由にパソコンをネットワークにつない. (7). ルータのネットワーク設定が間違っている.. だりファイルを持ち運んだりする大学のネットワーク. −16−. これらは人為ミスと考えられる.1∼5 からウイル.
(3) . . . 障害の要因. . 表 1 人為ミスとその発生時期. 人為ミスの内容 時 期 セキュリティパッチの適用 特定のサービスが攻撃され るのはセキュリティパッチ セキュリティパッチの未適用 を忘れていた. のアナウンスがある時期に 起こりやすい. ネットワークの設定をする 設定ミスは主にネットワー ときにIPアドレス,ゲート クの使用申請を行う時期, ウェイアドレス,DNSサーバ 学生が研究室に配属される ネットワーク設定のミス のアドレスを間違えた. 時期に起こりやすい. パソコンの購入時,初期設 新しいパソコンを購入した 定でパソコンを使用して気 ときに起こりやすい. づかずにファイル共有の設 定が有効だった. ノートPCを自宅と大学の両 ウイルスの感染は新種のウ 方で使っていて,自宅でウ イルスや流行のウイルスの 亜種が登場した時期や,自 学外でのウイルス感染 イルスを感染させたまま大 学のネットワークに接続し 宅からノートPCを大学に持 てしまった. ち込む月曜日や長期出張の 後に起こりやすい.. 起こりうる障害 特定のサービスが使うポートを利用 した攻撃により,ネットワークやコ ンピュータの動作が遅くなる. 他のクライアントとIPアドレスが重 なっていると互いに通信不良になる. 気づかずに他人のファイルを削除し てしまったり,ファイル領域に書き 込んでしまう. 感染したPCが大量のメールを送信し てネットワークトラフィックが増加 し、メールサーバやネットワークに 負荷がかかる.結果,通信不良に なったり,メールサーバがダウンし たりする.. スが持ち込まれることがある.6,7 からネットワーク. が,起こりうる時期を予測することでネットワーク管. 障害が起こることがある.ネットワーク障害にはネッ. 理者はこれらの障害に備えることができる.. トワークが利用できないといった直接的障害だけでな. 4. エージェントによるネットワーク障害検知 方法. く,ネットワークは利用できるがネットワークの設定 は間違っている,他の人がネットワークを利用できな くなる,あるいはネットワークが遅くなるといった障. 4.1 人為ミス検知に必要な情報. 害も含まれる.. 人為ミス検知に必要な情報を表 2 に示すように大き. また表 1 に示すように人為ミスによって起こる障害. く 4 つに分類した.このうち,ネットワーク管理情報. があり,人為ミスが発生する時期がある.そして,そ. と利用者情報,セキュリティ情報は普段のネットワー. の時期はある程度予測できる.. ク管理においてネットワーク管理者が管理している情. 新しいセキュリティパッチのアナウンスがあった後,. 報であり人為ミスを見つける手がかりになる情報であ. そのセキュリティパッチの適用を忘れていると脆弱性. る.比較対象となるネットワークログ情報は日々ネッ. を狙ったポートを使われてネットワークやコンピュー. トワークに流れている情報であり,本来は管理者が管. タの動作が遅くなる.. 理している情報とこのネットワークログ情報とが同じ. 新しいパソコンを購入したときにネットワークを初. でなければならないが,人為ミスが起こると違いが生. 期設定のままにして,有効になっていたファイル共有 に気づかずに他人のファイルを削除してしまったり,. ネットワークを流れる情報 ネットワークログ情報. ファイル領域に書き込んでしまったりする. 新しいウイルスや流行のウイルスの亜種が登場した 時期に,ノートパソコンを自宅で使っていてウイルス に感染し,そのまま大学のネットワークに接続して場. エージェントで情報 の違いを見つける. 合によってウイルスが大量のメールを送信してしまう. これらのことから人為ミスの発生する時期を手がか りにすれば障害の原因を人為ミスとして分離できると 考えた.ネットワークの設定ミスによる間違った IP アドレスの使用や誤ったルーティングやウイルス感染 による大量のメール送信といったものを人為ミスとし て検知し,柔軟なネットワークの運営を行えるように するのが本研究の目的である. 人為ミスを完全に検知することは非常に困難である. −17−. ネットワーク管理情報. 利用者情報. セキュリティ情報. ネットワーク管理者が管理している情報 = エージェント = データ 図 2 人為ミス検知の方法.
(4) . . . 表 2 人為ミス検知に必要な情報. ネットワーク管理情報. ネットワーク使用申請書 申請者,IPアドレス,MACアドレス,使用期限といった情報が 含まれる.ネットワークを流れるIPアドレスが発行された正し いIPアドレスかどうかを確認するのに用いる. 過去の障害情報 障害を起こしたIPアドレス,MACアドレス,日時,場所といっ た情報が含まれる.障害が起こったときやその疑いがある場合 に過去の事例と合わせることで判断材料とするのに用いる. セキュリティポリシー 管理者の連絡先,無許可のポート番号を得るのに用いる. IP・MACアドレス管理表 ネットワークに流れ,かつ確認済みであるIPアドレスとMACア ドレスのペアが記録されている.ネットワーク設定のミスを見 つけるのに用いる. 利 用 者 情 報 出張情報 出張の期間が含まれている.ネットワークを利用しない時間帯 を知るのに用いる. 年間予定表 年間のトラフィック数がどう変るかを知ることに用いる. 時間割 出張情報と同様に時間が含まれ,ネットワークを利用しない時 間帯を知るのに用いる. セキュリティ情報 脆弱性 インターネットから得られる脆弱性の情報.障害が起こった場 合に発生時期の前後の脆弱性情報を調べることで原因を特定す るのに用いる. ウイルス インターネットから得られるウイルスの情報.障害が起こった 場合に発生時期の前後の脆弱性情報を調べることで原因を特定 するのに用いる. 不具合 インターネットから得られる不具合の情報.障害が起こった場 合に発生時期の前後の不具合情報を調べることで原因を特定す るのに用いる. ネットワークログ情報 Etherealのトラフィックログ トラフィック数,IPアドレス,MACアドレス,ポート番号が含 まれている.ネットワークを流れるパケットを知るのに用いる. FW(ファイアフォール)のログ インターネット側のトラフィック数を知るのに用いる. 人為ミス検知に 必要な情報 Agent1. C3. B3 B1. Agent2. C1. Agent3. A1. B2. C2. 人為ミス検知に必要な情報 をXMLに変換して記録する エージェント. ネットワークを流れる情報とネットワーク 管理者が管理している情報を比較して, その違いを記録するエージェント. 違いを見つけたエージェントによっ て指示されて動くエージェント. タイプ1. タイプ2. タイプ3. 図 3 3 タイプのエージェント. じる.この違いを図 2 のようにエージェントが見つ. に記録されている IP アドレスの情報と違うことにな. け,さらにエージェントを動かすことで人為ミスを検. り,人為ミスを検知することができる.. 4.2 エージェントとデータベースの関係. 知する. 例えば,利用者がネットワーク管理者の発行した IP. エージェントは表 2 に示した情報が含まれたデータ. アドレスを間違った値に設定してしまえば,ネットワー. ベースを使って人為ミスを検知する.エージェントと. クには間違った値の IP アドレスが流れるのでネット. データベースの関係は図 3 に示すように 3 タイプと. ワーク管理者の管理しているネットワーク使用申請書. した.. −18−.
(5) . . . Etherealのログ. タイプ 1 Agent1 は人為ミス検知に必要な情報を. IP・MAC 抽出. XML に変換して A1 に格納する. タイプ 2 Agent2 は他のエージェントが作ったデー. 抽出IP・MAC. タ B1 と基準となるネットワーク管理者が管理し. Etherealのログか らIPとそのMACを 取り出す. ているデータ B3 とを比較して違いを B2 に格納. 申請IP 申請IP確認. 未登録IP. する.また,比較して必要ならば基準データを更. 使われているIPが 申請されたIPか確 認する. 要確認IP. IP・MAC 管理表 重複確認. タイプ 3 Agent3 はネットワークを流れていた情報. 図 5 新しい IP の検出. または基準となるデータとの違いが記録された C1 と基準となるネットワーク管理者が管理している. を更新してもよ いか確認する IP. 重複使用IP. 新する.. 理者に伝える.. データ C3 を比較して違いを見つけた場合,違い. 5.2 新しい IP の検出. を C2 に記録する.また必要ならエージェントに. 教職員からネットワーク使用申請書が提出されると, 情報センターは新しい IP を発行する.しかし,その. 指示する. 次に,これら 3 タイプのエージェントとデータベース. IP アドレスが正しくパソコンに設定され,学内ネッ. を用いた人為ミス検知の例を示す.. トワークに接続されているかどうかを確認することは. 5. エージェントの連携による人為ミスの検知. 難しい.新しい IP を発行したときは,ネットワーク の設定ミスが起こりやすい時期でもある.一時的に間. 5.1 使用禁止ポートの検出. 違った設定をしても間違いに気がつき,その後正しく. NetBIOS(ポート 137 番∼139 番)を使った通信は,. 設定されることも多い.. Windows のファイル共有で使用され,セキュリティー. 申請 IP にない IP を検出するするには,図 5 に示. ホールとなったり,ネットワークの負荷となったりす. すようにエージェントを連携させることによって,IP. る.このため学内ネットワークでは,NetBIOS が使. が使われていることを確認する.. IP・MAC 抽出エージェントは定期的に Ethereal の. 用するポートは使用禁止ポートとしている.しかし, 本人は知らずにファイル共有を設定していたり,ファ. ログからネットワークに流れた IP と MAC のペアを. イル共有を設定したノートパソコンなどを学内ネット. 抽出する.申請 IP 確認エージェントは,抽出した IP. ワークに接続していたりということが起こる.. が申請 IP と一致するものがあるかを確認する.ここ. NetBIOS のような使用禁止ポートを検出するには. で申請 IP にない IP は未登録 IP に記録される.申請. 図 4 にあるようにタイプ 1 とタイプ 3 のエージェント. IP と一致した IP は,重複使用されていないかを確認. を連携させればよい.ポート番号・IP 抽出エージェン. するために,要確認 IP に記録される.. トは定期的に Ethereal6) のログからネットワークに. 重複確認エージェントは要確認 IP から一つの IP を. 流れたポート番号とその IP アドレスを抽出する.そ. 複数の MAC が使っていないかを確認する.重複がな. してポート番号比較エージェントは抽出されたポート. ければ IP・MAC 管理表を更新する.重複があると重. 番号と使用禁止ポート番号を比較して,使用禁止ポー. 複した IP・MAC のペアは重複使用 IP に記録される.. トを使っている IP の一覧を注意 IP として出力し,さ. 重複使用 IP は設定ミスがある可能性が高いので管理. らに他のエージェントと連携する.. 者に伝える. 未登録 IP これは明らかな誤りであり,ネットワー. 連携するエージェントでは,その IP を割り当てら れている研究室名や過去の障害などをネットワーク管. ク設定のミスの可能性が高いとして管理者に伝える.. 5.3 トラフィック異常の検出. Etherealのログ. ポート・IP 抽出. Etherealのログか らポート番号を取 り出す. 抽出ポート・IP = エージェント = データ. 使用禁止 ポート ポート比較. 別のエージェントに ・ウイルス情報と比較 ・セキュリティ情報と比較 を指示する. 使用を禁止している ポートが使われていな いかを確認する. 注意IP. ウイルスはメールを大量に送信したり,特定のポー トを狙って活動することが多い.また特定のポートを 利用する脆弱性もある.ウイルスに感染してしまうと こういった特徴ある動きをすることが予想される.ま たセキュリティパッチを適用していないと特定のポー トが狙われることも考えらえる. トラフィック異常からウイルス感染かといったこと. 図 4 禁止ポート番号使用の検出. を検出するには図 4 に示すように,すべてのタイプの. −19−.
(6) . . . Etherealのログ. ポートの平均値 抽出. Etherealのログから トラフィック量として ポート番号ごとの平 均値を取り出す. ポート の平均値. 過去のポート 平均値 平均値比較. 時間割. 出張情報. 平均値を比較して 大きく変化してない かを確認する.大き な変化がなければ 平均値を更新する. 差の大きい ポート = エージェント. IP抽出. ポートを使用している アドレスを取り出す. 時期によるIP の使われ方. =. ウイルス 情報. セキュリティ 情報. IP. 時間帯比較. ポート使用IP. = データ IP. 年間行事 予定. IPアドレス. 注意IP. 通信していた時間帯 で利用者がネット ワークを使える状態 にあったかを調べる. ポート調査 要注意 ポート. 使われたポートがウ イルスや脆弱性で利 用されるか調べる. 図 6 トラフィック異常の検出. エージェントを連携させればよい.. として管理者に伝える.. 5.4 エージェントによる情報収集・分析・対応. ポート番号の平均値抽出エージェントは定期的に. Ethereal のログからポート番号ごとの平均値を出す.. このように障害の検知までは既存の異常検知となる. 平均値比較エージェントはこのポート番号の平均値. が,自動的にネットワークに流れる情報とネットワー. と過去のポート番号のトラフィック量平均値とを比較. ク管理者が管理している情報とを 3 タイプのエージェ. して,大きな変化がないかを確認する.大きな変化が. ントが組み合わせることによって原因を人為ミスと特. なければ平均値比較エージェントは過去のポート番号. 定することができる.また障害を起こした利用者に対. のトラフィック量平均値を更新する.大きな変化があ. して人為ミスを伝えるべきか,後日障害が収まるのを. れば過去のポート番号のトラフィック量平均値を更新. 待つとしてそのときは伝えないかを判断する材料にな. せずに,大きな変化のあったポート番号を記録する.. るので事後対策で運営していかなくては難しい環境に. そして IP 抽出エージェントは大きな変化のあったポー. 適していると言える.初期の段階ではネットワーク管. ト番号を使っている IP アドレスを Ethereal のログか. 理者の補助的な役割として運用し,将来はネットワー. ら抽出して記録する.. ク管理の自動化を見込める.. 時間帯比較エージェントはここで抽出された IP を. 特徴は、エージェントによる情報収集,XML に統. 時期によっての使われ方,例えば長期休業中であるか,. 一された情報をエージェントが比較することで行う分. 出張や講義などで教員がパソコンを使用しない時間で. 析,その結果を受け取ってエージェントが対応する.. はないかといったことを調べる.長期休業中やパソコ. このように各プロセスをエージェントを用いることで. ンを使用しないような時間でトラフィック量が多いこ. 自動化を目指していく.. とを異常としてその IP を注意 IP として記録する.. 6. ま と め. 時間帯比較エージェントは注意 IP を記録の際にポー ト調査エージェントに注意 IP が使っていたポート番 号に関する情報を集めさせ,要注意ポート番号として. 人為ミスを検知することで柔軟な対応を求められる 大学のネットワーク環境を運営する手法を示した.. 記録する.ポート番号に関する情報とはウイルス情報. 今回は大学のネットワークを対象として人為ミス検. やセキュリティ情報からウイルスや脆弱性に利用され. 知に必要な情報を大きくネットワーク管理者が管理し. るポート番号である.. ている情報とネットワークを流れる情報の 2 つに分け. この後,この記録された IP がメール大量に送信. た.その 2 つの情報の違いをイベントとしてエージェ. (SMTP 通信をたくさんしている)であったりする場. ントを動かすことで人為ミスを検知して,柔軟なネッ. 合,ウイルス感染の可能性が高いとして管理者に伝え. トワークに対応できることを提案し設計した.. る.また,セキュリティ情報から特定のポート番号を. 設計したエージェントは 3 タイプでそれらと XML. 利用するような脆弱性がありそのポート番号と一致す. データベースを組み合わせることで人為ミスを検知す. るならばセキュリティパッチの未適用の可能性が高い. ることを示した.連携の例として使用を禁止している. −20−.
(7) . . . ポートの検出,新しく発行した IP アドレスが正しく 使われているかの検出,トラフィックの異常からウイ ルス感染といった原因を検出する手法を示した. 今後は実際にネットワーク管理者が管理している 情報とネットワークを流れる情報の違いを取り出し, エージェントを動かしていく.まず,例に挙げた使用 禁止ポートの検出,新しく発行した IP アドレス使用 の検出,トラフィック異常の検出を柱として実装と検 証をしていく.. 参 考 文. 献. 1) 御木孝亮,冨澤眞樹: 人為ミスによるネットワー ク障害検知方法の提案,社団法人情報処理学会研 究報告, 2005-IS-91(13),pp. 87-94 (2005). 2) 山崎潤一郎: 持ち込み PC を LAN に安全に つなぐ検疫とは? , http://www.atmarkit.co. jp/fnetwork/tokusyuu/27keneki/01.html(2005). 3) 武 内 春 夫 ,福 士 賢 二: 侵 入 検 知 シ ス テ ム , http://www.oki.com/jp/Home/JIS/Books/KE NKAI/n183/pdf/183R23.pdf(2000). 4) SWATCH: The Simple WATCHer of Logfiles: http://swatch.sourceforge.net/ 5) Snort, http://www.snort.org/ (1998). 6) Ethereal: A Network Protocol Analyzer, http://www.ethereal.com/(1998).. −21−. .
(8)
図
関連したドキュメント
Thus, in Section 5, we show in Theorem 5.1 that, in case of even dimension d > 2 of a quadric the bundle of endomorphisms of each indecomposable component of the Swan bundle
In section 2 we present the model in its original form and establish an equivalent formulation using boundary integrals. This is then used to devise a semi-implicit algorithm
Kilbas; Conditions of the existence of a classical solution of a Cauchy type problem for the diffusion equation with the Riemann-Liouville partial derivative, Differential Equations,
The study of the eigenvalue problem when the nonlinear term is placed in the equation, that is when one considers a quasilinear problem of the form −∆ p u = λ|u| p−2 u with
Then it follows immediately from a suitable version of “Hensel’s Lemma” [cf., e.g., the argument of [4], Lemma 2.1] that S may be obtained, as the notation suggests, as the m A
Global transformations of the kind (1) may serve for investigation of oscilatory behavior of solutions from certain classes of linear differential equations because each of
Classical Sturm oscillation theory states that the number of oscillations of the fundamental solutions of a regular Sturm-Liouville equation at energy E and over a (possibly
Q discrep : Predefined empirical constant corresponding to the minimum value of the module of total discrepancy between estimated gas supply volumes, which is of practical
