研究の進捗状況と今後の課題（2007/07/24）九州大学院システム情報科学府情報工学専攻原田義明研究進捗 ポート53番の通信と他ポート番号の利用状況の分布について ポート番号53番のフローを利用したホストが、他にどのような通信を利用しているのかを表示するプログラムを作成 Holt-Winters法について 時系列データについて、Holt-Winters法を用いて平滑化を行うプログラムを作成ポート53番に関連するフローの利用ポート分布 20 07 /0 10 4 20 07 /0 11 1 20 07 /0 11 8 20 07 /0 12 5 20 07 /0 20 1 20 07 /0 20 8 20 07 /0 22 2 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% private registrated well-known 443 80 25 22 20 ポート53番を用いた通信の分布  2007年01月04日から、02月25日までを解析 データの収集期間が短すぎて、以上を発見することはできなかった 絶対数は違うが、パーセンテージについては同じという傾向が見られた １日のデータ傾向を見て、ポート53番の通信が増加したら、数分後に何のフローが増加する、等のフロー予測ができる相関を探したい  １日分のデータを細かく収集し、解析していく  絶対数がわからないので、表示すべき 今回、ポート53番のフローが別の用途に使われている際の解析を行ったが、逆にポート53番の通信は行われたが、他の用途に使われなかったホストに注目してみる Holt-Winters法 Time change of num of flows 生のデータ 30000 num of flows 25000 HW法を適用 α= 0.5 β= 0.5 γ= 0.5 20000 15000 HW法を適用 α= 0.8 β= 0.2 γ= 0.3 10000 5000 0 1 25 49 73 97 121 145 α：直前データの重み β：単調増加・減少 γ：周期性 Holt-Winters法 Holt-Winters法を用いて計算するプログラム作成 平滑化の重みを示す、α、β、γが未設定 α：直前データの重み β：単調増加・減少の重み（長期的なデータ変化） γ：周期的なデータの重み これらの重みを変化させて、解析データとの相関係数がもっとも少なくなるような値を計算する 正常なデータの選択と、重み決定のプログラム作成が必要 1日分のフローデータ詳細解析について 未来のデータを予測できるよう、何かデータ変化の前兆としての変化を探す データ変化の前兆が表れ、実際にデータが大きく変化するまでは、それほど長い時間はかからないかもしれない １日分のデータ解析を詳細に行い、解析を行っていく 2007年02月25日のデータを詳細に収集 サンプリングレートは10分の１ サンプリングされたフローデータを、５分ごとに区切って、24時間分か解析を行う 1日分のフローデータ詳細解析について  現在、AS番号を割り振る部分まで終了 AS番号を割り振るプログラムがもっとも時間がかかる部分なので、今後の解析は早くできる  ポート53番の通信と他の通信の相関を解析 ポート53番がどのような用途に使われているのか？  ポート53番を利用したホストの利用分布、また、ポート53番が利用されたが、利用したホストが他のどのホストにもアクセスしなかった際の挙動にも注目 ポート53番の通信量と、他のポート番号の通信量についての解析  ポート53番の通信に追従して、他のポート番号の通信量が増加する、等の傾向があるかもしれない一日分のフローデータの詳細解析今後の課題  プログラムの作成については、ほぼ終了  主要解析プログラムはほぼ完成  今後、必要となる解析が出てきたら、順次開発を行っていく  通信傾向を把握・調査する部分に重点をおいて研究を進める  １日分の解析について  これまでと同様、ポート番号53番と他ポートの利用分布の解析  １週間ごとのデータ解析について  2ヶ月分しかないので、もう2ヶ月分ほどのデータを追加  何かのイベント（停電だったり）を解析していったほうが効率よく見つかると思う