Transcript ppt

研究の進捗状況と
今後の課題
九州大学院
システム情報科学府
情報工学専攻
原田 義明
1
研究進捗

先週の課題


ポート53番と関連するフローに対して、利用ポート番
号のうち分けを見てみる
プログラムを作成し、ポート53番を利用したIPアドレス
の利用ポートを解析
port:??
port:53
DNSサーバ
port:80
port:??
観測ホスト
Webサーバ
各種サービス
2
ポート25番とポート53番の通信フロー数
の分布
2007年1月04日から2ヶ月、
水曜日のデータ収集（１時間毎）
ポート25番にアクセスした
IPアドレスを持つホストに対して、
ポート番号が53へのフローを抽出
横軸にポート25番のフロー数
縦軸にポート53番のフロー数
ポート25番のフロー数が増加すると
ポート53番のフロー数も増加している
（正の相関があると考えられる）
全ポート25番のフローと
全ポート53番のフローとの分布より、
顕著に正の相関が見られた
3
ポート80番とポート53番の通信フロー数
の分布
2007年1月04日から2ヶ月、
水曜日のデータ収集（１時間毎）
横軸にポート53番のフロー数
縦軸にポート80番のフロー数
ポート53番のフロー数が増加すると
ポート80番のフロー数も増加している
（正の相関があると考えられる）
ポート25番に比べて、分散している
→DNSキャッシュにより、
複数回アクセスした際のフローが
ばらつきとなっているのでは？
4
ポート番号の打ち分けプログラム

ポート番号53と関連のあるフローの利用ポート分布の解析

プログラムは作成完了


現在プログラムが動いている最中
DNSサーバにアクセスしたIPアドレスが、他のIPアドレスにアクセスした際の
相手側のポート番号を解析
データベース
port:??
port:53
port:XX
port:??
観測ホスト
DNSサーバ
port num
20
22
25
53
80
443
well –
known
registrated
private
and
dynamic
2007/0104
504
76
21757
27179
25066
1294
51077
15011
3519
・・・
・・・
・・・
・・・
・・・
・・・
・・・
・・・
・・・
・・・
5
研究進捗

変化の自動検知について
 Holt-Winters法を用いて解析を行う予定だったが、Netflowに適用し
た論文を発見
 これまでの解析手法と比べて、いくつかのデータを比較しながら解析
を行っていく部分にオリジナリティがあるのでは？


これまでの解析は、フロー、またはパケットに関して、データ加工を行って
いる
フローデータを細分化し、またそれらの解析結果を組み合わせて変化検
知できればいい


現在、Holt-Winters法を適応した結果を算出するプログラム作成中



何と何のデータを組み合わせて結果を導くかは、検討中
1月4日から2ヶ月間、毎週水曜日に収集したデータに適用してみる
停電などの物理障害に関して、異常検知が可能か実験する
一週間分のデータ解析について

先にHolt-Winters法のプログラムを優先
6
ポート80番のフロー数時間変化
ポート80番のフロー数時間変化
2007年1月04日から2ヶ月、
水曜日のデータ収集（１時間毎）
25000
フロー数
20000
15000
10000
ポート80番に関しても、
全フローと同様の傾向
（多少フロー数の増減が激しい）
5000
0
0
12 24
00101/0402501/11
04901/1807301/2509702/0112102/0814502/22169
時間
フローデータ
自体が少なかった
7