ネットワークの将来設計のための フローデータの細分化解析に関する研究 九州大学 システム情報科学府 情報工学専攻 修士2年 岡村研究室 原田 義明 1 発表内容 背景 研究目的 インターネット上の通信 インターネットトラフィックの細分化解析の有益性 解析手法 事例解析結果 まとめ 2 背景(1/2) – インターネットプロトコル インターネットプロトコル ネットワーク機器間で通信を行うために,様々な規約(プロトコル) が定められている. データの前後に通信の内容や目的地のIPアドレス等を示すデータ 部分(ヘッダ)を付加 IPアドレスやポート番号を利用して、利用端末とプログラムを判別 ポート番号 プロトコル名 TCP/UDP 通信用途 20 FTP TCP FTP転送 22 SSH TCP SSH(リモート) 25 SMTP TCP メール転送 53 DNS UDP DNSアクセス 80 HTTP TCP WWW 3 背景(2/2) – AS(Autonomous System) AS(Autonomou System) インターネット上の通信を効率化するため、IPアドレスの集合をASという単位で分割している 各種大学機関(九州大学や京都大学)、ISPなどが一つのASとなる 一意の番号(16bit)が割り振られている 30000を超えるASが存在 インターネット上の通信はASごとに管理されており、また一定の指向性を持つIPアドレス群 が一つのASとなるため、トラフィックに一定の傾向がある AS:200 フローデータ • 送信元(先)IPアドレス • 利用ポート • 通信パケット数 ・・・ AS:300 AS:100 AS ルータ ホスト 4 研究目的(1/2) 安定したインターネット環境を提供するには、ネットワークトラ フィックの把握が必要 ネットワーク資源の有効活用が可能 トラフィックの増加・減少傾向を知ることで、将来的なネットワーク構成の 指標となる 通常時のトラフィックを把握しておくことで、異常が起きた際に検出する ための指標となる ネットワークの補強が必要 通信量増加 通信量増加 通信量減少 AS 5 研究目的(2/2) インターネットフローは様々な用途の通信が複雑に絡み合って いるため、トラフィック変化の把握が困難 トラフィックの増加しているASと減少しているASがあったら、全体 から見るとフローに変化が現れない 全フロー 全体のトラフィックからは通信傾向を見出しにくい フローの通信用途や通信地域に細分化してみる と、複雑なトラフィック変化も把握できるのでは? フ ロ ー 数 トラフィックを各種パラメータに細分化し、 変化をミクロに見ていく解析手法を提案 時間 6 解析手法(1/3) – フローデータの収集 フローデータとは? インターネットフローの集合 フロー:単方向通信において同じ目的で使われているパケット ルータの提供する情報で、通信元・先のIPアドレス、ポート番 号、流れたパケットの個数などの情報を含む 7 解析手法(2/3) フローデータのパラメータによりフローを細分化して解析 国・AS・地域に対する解析 ポート番号に対する解析 通信地域ごとに一定の指向性があるため、トラフィックパターンを確定しやすい 通信用途に対して解析を行うことができる 通信の方向に対する解析 何かイベントが起こった際のトラフィック変化を把握しやすい 障害やイベント AS:1 通信 AS:3 AS:2 通信 8 解析手法(3/3) 各種IPアドレス管理機関からIPアドレス、AS、国、地域の対応表を作成 各種データベースを組み合わせることで、通信量データベースを作成 通信量データベースの作成 APNIC RIPE NCC 地域情報 国情報 ARIN AS:2523 QGPOP LACNIC ASと国情報の対応表 AS情報 経路情報 AS:2508 九州大学 フローデータ ポート番号 通信の方向 9 事例解析 韓国の秋夕(日本でいうお盆)というイベントについて、 九州大学のフローから傾向を把握できるか解析 韓国のお盆(秋夕)を中心に前後2週間分のフローを 収集 9月 フローデータは… 1時間毎に収集 10分の1にサンプリング データ収集期間: 9月17~10月3日 秋夕: 9月24~26日 日 月 火 水 木 金 土 2 9 16 23 30 3 10 17 24 1 4 11 18 25 2 5 12 19 26 3 6 13 20 27 4 7 14 21 28 5 1 8 15 22 29 6 データ収集を行った日 秋夕 10 事例解析 – 九州大学の通信フロー数変化 九州大学の通信フロー数に ついて、全てのフローの変 化を示している 韓国のお盆 お盆期間中の23日にフロー 数の増加傾向が見える フロー全体の変化を見ても、 通信傾向はわからない 日 月 火 水 木 金 土 11 事例解析 – 九州大学の韓国との通信フロー数変化 九州大学の通信フロー数に ついて、韓国のフローを抽出 して表示 韓国のお盆 9月24日に、通常時の10倍 程度のフローが流れていて、 通信傾向の把握ができない 24日のフロー数増加は AS4766(Korea Telecom) によるもので、ポート22番を 使った不正アクセスだと考え られる 日 月 火 水 木 金 土 12 事例解析 – 九州大学の韓国とのポート80の通信フロー数変化 九州大学の通信フロー数に ついて、韓国のフローを抽出 して表示 ポート80番の通信(HTTP) のみを抽出 全体的に、フローは一日周 期で変化している 日 月 火 水 木 金 土 24日の異常なフロー数増加 の雑音を除去して解析を行 うことができる 13 事例解析 – 九州大学と、韓国の大学との通信フロー数変化 九州大学と韓国の大学との 通信フローについて、ポート 80番の通信のみを抽出 お盆期間中にはほとんど ポート80のフローが流れていない 九州大学側のポート番号が80 番の通信フローのみを抽出 (韓国から九州大学への通信) お盆期間中には、各種大学 からのwebアクセスの通信フ ローは流れていない 日 月 火 水 木 金 土 14 まとめ 解析の目的 細分化解析の結果 インターネットトラフィックを各種パラメータに細分化して解析することで、マ クロな解析では把握できなかった変化をも把握する フローデータ全体の通信フロー数変化を見ても、お盆のトラフィックへの影 響等は見えなかった ポート22番(SSH)を用いた異常な通信等の影響 いくつかの細分化手法を組み合わせて解析を行うことで、通常では把握で きないフロー変化・傾向を把握することができた ASを学術・研究機関とそれ以外に細分化 TCP通信の方向を細分化して解析 結論 細分化解析を行うことで、マクロな解析ではわからなかったトラフィック 変化をも把握することが可能 15
© Copyright 2024 ExpyDoc
