トラフィックプロファイラAGURIの設計と実装慶應義塾大学政策・メディア研究科海崎良 [email protected] 目的  短期的から長期に渡り利用可能なトラフィックプロファイラの作成  通信機器における特徴的なフローの抽出  特徴的    データ量が多いパケット数が多いフロー   （一般的）ip_addrペア + その他のフィールド（本研究）集約されたip_addrグループ + その他のフィールド AGURIに要求される仕様  データの集約   データ量の多いフローの抽出     計算機資源の節約集約されたデータからの抽出抽出するフロー数を出来るだけ少なくする複数の視点からの視覚化異なる時間粒度での視覚化 IPアドレス空間   class A-E CIDR(Classless InterDomain Routing)  現状のツール    10.0.0.0/29 10.0.0.0/30 AS番号とbind 予めの設定 10.0.0.4/30 IPアドレス空間は binary treeで表現することが可能 10.0.0.0 .1 .2 .3 .4 .5 .6 .7 IPアドレス空間   class A-E CIDR(Classless InterDomain Routing)  現状のツール    10.0.0.0/29 600 360 AS番号とbind 予めの設定 IPアドレス空間は binary treeで表現することが可能 160 100 10.0.0.0 10.0.0.0/30 240 200 60 0 .1 .2 10.0.0.4/30 40 200 .3 200 0 40 .4 .5 100 .6 100 .7 設計概要  パトリシア木アルゴリズムを使用    不要な中間ノードが作成されない LRU(Least Recently Used)でノード数を管理  (リーフ数) = N  (ノード数) = 2N - 1 閾値を用いて最終的な刈り込み設計概要（時間粒度）   集約されたネットワーク情報を記述したものを「サマリ」と定義する。最も時間幅の短いサマリ（この場合5分サマリ）から時間粒度の粗いサマリを算出する。 1ヶ月サマリ 1日サマリ 1時間サマリ 5分サマリ設計概要（データを保持する対象）     src_ip_address dst_ip_address protocol + src_port protocol + dst_port   tcp80 udp42 AGURIによって実現される事  管理者がネットワーク運用を行うことを支援  特定のパケットを優先   特定のパケットを制限する     Layer4スイッチによる負荷分散 DoS-attackの検知アドレス空間に対するport-scan 優先、制限の判断材料を提供する優先、制限が実際に意図通りに行われているか確認する。 WIDEインターネットにおける使用例    対象：東京<->LosAngelsの国際線期間： 2001年2月～回線帯域： 11Mbps WIDEインターネットにおける使用例 WIDEインターネットにおける使用例    7/13-7/17にかけて特定のホストに対するトラフィック量が急増した。この期間断続的にtcpのコネクションが切れるなど、通信が困難な状況になった。国際線に直接接続しているルータでパケットフィルタリングを行うことによって、通信が困難な状況を緩和した。データサイズ  7月におけるデータサイズ  AGURI: 4.3MB  tcpdump: 47.6GB (サンプリングデータからの推定値) tcpdumpと比較して、約11000倍のデータ効率まとめ  トラフィックプロファイラAGURIを作成した       効率的に集約トラフィック量の多いフローを動的に検知異なる時間粒度で視覚化異なる視点で視覚化短期から長期に渡って利用可能実際のネットワーク運用を支援している