Transcript ppt - 九州大学

ゼミ発表資料(2007/11/20)
九州大学院
システム情報科学府
情報工学専攻
原田 義明
1
研究進捗

ポート番号の参照場所の訂正と考察


全体のフロー解析においては両方のポート番号を見る
 特にTCPに関しては、両方のポート番号を見る
 UDPのみを抽出して解析を行う際は、宛先ポート番号を参
照する
エラーの訂正が終了

特定のポート番号の通信を除去するプログラムの
作成

指定の国のAS番号を抽出、データベースの作成を行う
プログラムの作成
2
研究進捗


外国の祝・休日時には日本のフローにも影響があるのか調査
前後のフローと比較して、日本のフローにどの程度の影響がでている
のかを調査
 祝日なので、大学という学術系へのアクセスは減るのではないか？
9月
日 月 火 水 木 金 土

9月17日から10月3日まで、
韓国のお盆（秋夕）を中心に
前後2週間分のフローを収集

今回は収集期間が長いので、
フローの取得間隔は1時間毎にしている
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
データ収集を行った日
お盆
3
解析結果 – 九州大学の通信フロー数変化
九州大学の通信フロー数に
ついて、全てのフローの変
化を示している
韓国のお盆
全体的に、フローは一日周
期で変化している
お盆期間中の23日にフロー
数の増加傾向が見える
日
月
火
水
木
金
土
4
解析結果 – 九州大学の韓国との通信フロー数変化
九州大学の通信フロー数に
ついて、韓国のフローを抽出
して表示
韓国のお盆
全体的に、フローは一日周
期で変化している
24日のフロー数増加は韓国
によるものだった
- 通常時の10倍程度のフロー
日
月
火
水
木
金
土
5
解析結果 – 9月23日の異常な通信についての調査

AS1237番(KREONET-AS-KR)との通信


IPアドレスと利用ポート番号



韓国科学技術情報研究院 Korea Institute of Science and
Technology Information (KISTI).
韓国側IPアドレス150.183.250.4/16と九州大学側IPアドレスが
ランダムでの通信
ポート番号は、九州大学側が22番、KOREN側が55000～
57000番を利用
フロー傾向


24日08:00～翌25日03:00まで、10000を超えるフローが継続
して流れている
通常時の通信フローは、1時間に10にも満たない
6
解析結果 – 九州大学と勧告の通信フロー数（ポート22）
九州大学と韓国のフローに
ついて、ポート22番の通信を
抽出して表示
ポート22番は他の通信と違い、
周期的に使われているという
より、不正アクセス等で集中
して使われることが多い
日
月
火
水
木
金
土
ポート22番のフローを除去し
て解析
7
解析結果 – 九州大学の通信フロー数変化
（ポート22番のフロー除去）
九州大学の通信フロー変化
について、ポート22番の通
信を除去して表示
23日は韓国のお盆にあたる
が、日本でも祝日であるた
め、通信フロー数が少ない
のではないか。
24日は、一部通信量が少な
い部分があるが、お盆の影
響かはわからない
日
月
火
水
木
金
土
8
解析結果 – 九州大学の韓国との通信フロー数変化
（ポート 22のフロー除去）
九州大学と韓国のフローに
ついて、ポート22番の通信を
除去して表示
韓国のお盆にあたる3日の内、
23日、24日の通信フロー数に
減少傾向が見られた。
25日にフローについては、特
に変化が見られなかった。
日
月
火
水
木
金
土
9
解析内容 – 九州大学の韓国との通信フロー数変化

特定の国について、その国の所属ASと通信フ
ロー数の変化を抽出するプログラムを作成

順序はフロー数の多い順にソートしてデータベース化


解析を行った初日のフロー数でソート
解析の際、ポート番号を指定することで、特定のポー
トについての抽出も可能
10
11
解析結果 – 九州大学と通信を行っている韓国AS

韓国で通信フロー数の多い上位ASについて


AS4766 - Korea Telecom
AS3786 - LG DACOM Corporation


AS9318 - Hanaro Telecom Inc.




LG系固定通信のDacom
AS23576 – NHN


LG系インフラ事業l
韓国のインターネットコンテンツ配信業者（hangame）を運営などし
ている
AS17858 - POWERCOMM
AS10157 - Yahoo! korea
AS18302 - SK Networks co., Ltd
12
解析結果 – 通信フロー数の多いAS(4766)のトラフィック
九州大学とKorea Telecom
のフローを抽出して表示
AS4766の通信を、全ての
ポート番号に対して抽出
これまで見られなかった、通
信フロー数の急増部分が数
箇所見られる
お盆の期間中は、多少通信
フロー数が少ないようにも見
えるが、明確には見えない
日
月
火
水
木
金
土
13
解析結果 – 新たに発見された異常な通信
韓国側
九州大学側
AS番号
日付
IPアドレス
ポート
IPアドレス ポート フロー数
4766
9.19/22:00
125.138.96.19/0
55000～
61000
ランダム
22
10000
9.27/3:00
210.102.175.244/0
1500～
5000
ランダム
1433
4500
9.28/3:00
210.102.175.244/0
1500～
5000
ランダム
1433
2200
9.30/08:00
168.126.133.167/0
1000～
5000
ランダム
21
1800
3786
9.24/02:00 211.171.202.183/16 33000～
ランダム
22
20000
9318
9.23/20:00
123.212.43.233/14
30000～
ランダム
22
4000
10.02/7:00
218.38.55.188/15
35917
ランダム
22
2100
14
解析結果 – 韓国のASについての解析

日本の通信フロー変化について


九州大学と韓国のフロー変化について


22日は日本でも休日であるため、フロー減少傾向が
顕著に現れた
韓国との全フロー解析では変化が見られなかったが、
異常な通信である22番のポートを用いた通信を除去
することで、お盆時（9月23日、24日）に通信フロー数
が減少する傾向が見られた。
韓国のAS情報のみを抽出して解析

お盆の期間中に若干の減少傾向が見られた
15
今後の予定

九州大学の休日に焦点を当てて、フローの変化
を抽出してみる


休日の前後2週程度ずつのフローデータを収集し、休
日のトラフィックパターンを定義する
休日を除く前後の週のフローデータを平滑化し、変化
を見てみる
16