Transcript ppt - 荒木・岡村・日下部研究室

ネットワークの将来設計のための
フローデータの細分化解析に関する研究
九州大学 システム情報科学府
情報工学専攻 修士2年
岡村研究室
原田 義明
1
発表内容

背景


研究目的




インターネット上の通信
インターネットトラフィックの細分化解析の有益性
解析手法
事例解析結果
まとめ
2
背景(1/2) – インターネットプロトコル

インターネットプロトコル
 ネットワーク機器間で通信を行うために，様々な規約（プロトコル）
が定められている．
 データの前後に通信の内容や目的地のIPアドレス等を示すデータ
部分（ヘッダ）を付加

IPアドレスやポート番号を利用して、利用端末とプログラムを判別
ポート番号
プロトコル名
TCP/UDP
通信用途
20
FTP
TCP
FTP転送
22
SSH
TCP
SSH(リモート)
25
SMTP
TCP
メール転送
53
DNS
UDP
DNSアクセス
80
HTTP
TCP
WWW
3
背景(2/2) – AS（Autonomous System）

AS（Autonomou System）

インターネット上の通信を効率化するため、IPアドレスの集合をASという単位で分割している




各種大学機関（九州大学や京都大学）、ISPなどが一つのASとなる
一意の番号(16bit)が割り振られている
30000を超えるASが存在
インターネット上の通信はASごとに管理されており、また一定の指向性を持つIPアドレス群
が一つのASとなるため、トラフィックに一定の傾向がある
AS：200
フローデータ
• 送信元(先)IPアドレス
• 利用ポート
• 通信パケット数
・・・
AS：300
AS：100
AS
ルータ
ホスト
4
研究目的(1/2)

安定したインターネット環境を提供するには、ネットワークトラ
フィックの把握が必要



ネットワーク資源の有効活用が可能
トラフィックの増加・減少傾向を知ることで、将来的なネットワーク構成の
指標となる
通常時のトラフィックを把握しておくことで、異常が起きた際に検出する
ための指標となる
ネットワークの補強が必要
通信量増加
通信量増加
通信量減少
AS
5
研究目的(2/2)

インターネットフローは様々な用途の通信が複雑に絡み合って
いるため、トラフィック変化の把握が困難

トラフィックの増加しているASと減少しているASがあったら、全体
から見るとフローに変化が現れない
全フロー
全体のトラフィックからは通信傾向を見出しにくい
フローの通信用途や通信地域に細分化してみる
と、複雑なトラフィック変化も把握できるのでは？
フ
ロ
ー
数
トラフィックを各種パラメータに細分化し、
変化をミクロに見ていく解析手法を提案
時間
6
解析手法(1/3) – フローデータの収集

フローデータとは？
 インターネットフローの集合


フロー：単方向通信において同じ目的で使われているパケット
ルータの提供する情報で、通信元・先のIPアドレス、ポート番
号、流れたパケットの個数などの情報を含む
7
解析手法(2/3)

フローデータのパラメータによりフローを細分化して解析

国・AS・地域に対する解析


ポート番号に対する解析


通信地域ごとに一定の指向性があるため、トラフィックパターンを確定しやすい
通信用途に対して解析を行うことができる
通信の方向に対する解析

何かイベントが起こった際のトラフィック変化を把握しやすい
障害やイベント
AS:1
通信
AS:3
AS:2
通信
8
解析手法(3/3)


各種ＩＰアドレス管理機関からＩＰアドレス、ＡＳ、国、地域の対応表を作成
各種データベースを組み合わせることで、通信量データベースを作成
通信量データベースの作成
APNIC
RIPE NCC
地域情報
国情報
ARIN
AS：2523
QGPOP
LACNIC
ＡＳと国情報の対応表
ＡＳ情報
経路情報
AS：2508
九州大学
フローデータ
ポート番号
通信の方向
9
事例解析

韓国の秋夕（日本でいうお盆）というイベントについて、
九州大学のフローから傾向を把握できるか解析
 韓国のお盆（秋夕）を中心に前後2週間分のフローを
収集
9月

フローデータは…


1時間毎に収集
10分の1にサンプリング
データ収集期間： 9月17～10月3日
秋夕：
9月24～26日
日 月 火 水 木 金 土
2
9
16
23
30
3
10
17
24
1
4
11
18
25
2
5
12
19
26
3
6
13
20
27
4
7
14
21
28
5
1
8
15
22
29
6
データ収集を行った日
秋夕
10
事例解析 – 九州大学の通信フロー数変化
九州大学の通信フロー数に
ついて、全てのフローの変
化を示している
韓国のお盆
お盆期間中の23日にフロー
数の増加傾向が見える
フロー全体の変化を見ても、
通信傾向はわからない
日
月
火
水
木
金
土
11
事例解析
– 九州大学の韓国との通信フロー数変化
九州大学の通信フロー数に
ついて、韓国のフローを抽出
して表示
韓国のお盆
9月24日に、通常時の10倍
程度のフローが流れていて、
通信傾向の把握ができない
24日のフロー数増加は
AS4766（Korea Telecom）
によるもので、ポート22番を
使った不正アクセスだと考え
られる
日
月
火
水
木
金
土
12
事例解析
– 九州大学の韓国とのポート80の通信フロー数変化
九州大学の通信フロー数に
ついて、韓国のフローを抽出
して表示
ポート80番の通信（HTTP）
のみを抽出
全体的に、フローは一日周
期で変化している
日
月
火
水
木
金
土
24日の異常なフロー数増加
の雑音を除去して解析を行
うことができる
13
事例解析
– 九州大学と、韓国の大学との通信フロー数変化
九州大学と韓国の大学との
通信フローについて、ポート
80番の通信のみを抽出
お盆期間中にはほとんど
ポート80のフローが流れていない
九州大学側のポート番号が80
番の通信フローのみを抽出
（韓国から九州大学への通信）
お盆期間中には、各種大学
からのwebアクセスの通信フ
ローは流れていない
日
月
火
水
木
金
土
14
まとめ

解析の目的


細分化解析の結果



インターネットトラフィックを各種パラメータに細分化して解析することで、マ
クロな解析では把握できなかった変化をも把握する
フローデータ全体の通信フロー数変化を見ても、お盆のトラフィックへの影
響等は見えなかった
 ポート22番（SSH）を用いた異常な通信等の影響
いくつかの細分化手法を組み合わせて解析を行うことで、通常では把握で
きないフロー変化・傾向を把握することができた
 ASを学術・研究機関とそれ以外に細分化
 TCP通信の方向を細分化して解析
結論

細分化解析を行うことで、マクロな解析ではわからなかったトラフィック
変化をも把握することが可能
15