すすんだ異常トラフィック監視装置である GenieATM 6000 [Gen 05] [Qua] の機能を参考にして,IP ネットワークにおける異常トラフィック監視の機能についてのべる.
概要
インターネットと接続された IP ネットワークに対しては DoS 攻撃 (サービス妨害攻撃), DDoS 攻撃 (分散サービス妨害攻撃) をはじめとして多種多様な攻撃がくわえられる. また,そうした故意の異常トラフィックだけでなく,プログラムのバグや意図されていない使用などによって発生する破壊されたパケットや大量のトラフィックなどがネットワークにながれこむこともある. ネットワークを正常な状態にたもつには,これらのトラフィックを検知して廃棄するなどの処置をとることが必要である. そのためには,監視システムにおいてまず異常を検知して分析し,自動的に原因がつきとめられれば自動的に対策をとり,原因がわからなければオペレータに警告を発するなどの措置が必要である. また,オペレータが異状を発見しやすいようにネットワークの状況が直観的に把握しやすいようにユーザ・インタフェースに表示することがのぞましい. ここでは異常検知機能,トラフィック分析機能,ユーザ・インタフェースについて順にのべる.
異常検知 (anomaly detection) 機能
つぎのような異常検知機能が重要である.
- トラフィック・ベースの検知
-
ルータやスイッチのようなネットワーク・ノードを通過するすべてのトラフィックをミラー (複写) して監視装置におくるのは,オーバヘッドがおおきいため通常は現実的な解ではない.
そのため,通常はネットワーク・フローごとにパケットの標本を収集し (サンプリングし),必要なときは統計量を計算する.
着目するフローに対して複数の基準 (視点) をもとにフィルタリングを施した後,設定した項目,パラメータに関するトラフィックをランクづけする.
このランキングにおいて使用される代表的な基準としては,指定したネットワーク範囲 (サブネットワークなど) におけるつぎのような項目がある.
- IP ブロック
- プロトコル + ポート
- インタフェース
- TCP F フラグ
- ToS 値 (DSCP 値)
- シグネチャ・ベースの検知
- フロー・シグネチャのシステム既定値をもつとともにユーザ指定を可能にすることがのぞましい. プロトコルの誤用やアプリケーションの異常に関する検知モデルがシステムにくみこまれていれば,ワームや TCP フラディング,Land 攻撃 (ランド攻撃),SQL slammer, Code Red, Sasser 攻撃 (サッサー攻撃) などの DoS / DDoS を検知することができる.
- ルーティング異常検知
- BGP ルーティングのふるまいを継続的に監視し,また BGP ハイジャックやルート更新の頻発などの異常なルーティングのふるまいを適宜,警告する機能である.
- 異常の報告
- 異常を検知したときには,詳細情報を含む異常レポートを異常監視システムが生成すれば,ユーザは効率よく対処することができ,ほとんどの異常問題を検知することができるとともに緊急時に迅速に対応することができる.
- 異常からの回復
- 異常状態から回復させるためのコマンドを自動生成することによって,ユーザは回復操作をタイムリーにとることができる.
- アラーム通知
- 異常通知のためのアラームの発生をパラメタによって制御することによって,柔軟な通知が実現できる. パラメタの例としては 「しきい値」 や 「顧客重要度」 がある. また,アラーム通知の方法も,Email の送信,ネットワーク管理システムへの SNMP トラップ送信,システム・ログへの保存など,さまざまな方法のなかから選択できるようにするとよい.
トラフィック分析機能
つぎのようなトラフィック分析機能が重要である.
- ネットワーク全体を可視化
- 物理的なリンクに制約されずにネットワーク全体のトラフィックを監視・分析する.
- 知的なネットワーク・トラフィック・モデリング
- インターネット全体,近傍の AS (自律システム),バックボーン,サブ・ネットワークなどのネットワーク・トラフィック・モデリングをくみこむことによって,容易に解析の設定,トラフィックの分類,自動分類や事前に定義された報告が可能になる.
- キャパシティ・プランニングと管理
- 長期にわたるトラフィックのトレンドの解析報告によって,ネットワーク・オペレータは帯域要求の増加を予測し,ネットワークの輻輳を避けるように資源に関する注意ぶかい計画をたてることができる.
- 豊富なレポート形式
- システムは,ネットワーク・モデリングによる分析結果として,包括的なトラフィック分析報告を自動生成する. レポートは,インターネット,隣接ネットワーク,バックボーン,ルータ,サブネットワーク,顧客ネットワークなど,さまざまな視点の分析結果を表示する. また,レポートは,ラインチャート,かさねあわせラインチャート,パイチャート形式などのさまざまな形式で,時間のスケールもさまざまに変化させて (日,週,月,四半期,年ごとなど) 表示させることができる. また,サマリー,比較,詳細,ブレークダウン,属性タイプなどを指定して表示させることもできる.
- ピアリングとトランジット解析
- ピアリングやトランジットの最適な管理を可能にするため,ランキングされたさまざまな解析結果の可視化機能を利用して,AS 間,隣接 AS とのトラフィックの関係を表示する.
- ルーティング管理
- ルーティングの最適化 (計画) のため,AS パス長, ピア / オリジン ASN (AS 番号), BGP メッセージ統計量など,BGP ルーティングに関する情報を分析・表示する.
- ルータ監視
- 重要なルータを SNMP ベースで監視し,CPU やメモリ使用率などデバイスの動作状況に関するレポートや,SNMP とフローの比較,インタフェースごとのトラフィック,廃棄パケット数,CRC エラーなどの統計情報を収集・表示する.
- トラフィック・スナップショット
- 「トラフィック・スナップショット」はトラブルシューティングのための有効なツールである. スナップショットを利用すれば,システム・キャッシュに保存された情報や,履歴生データをリアルタイムにこまかく分析することが可能になる. 調査範囲をしぼりこんで異常原因を精査するために,ランキング結果をチェックして,ターゲットを絞り込んで再度スナップショットを実行すること,すなわちドリルダウンが有効である. インテリジェントな 「ドリルダウン」 分析により,問題の原因箇所をピンポイントで特定することができる. また,異常状態から回復させるための推奨コマンドを自動生成する.
- 履歴生データの分析
- 収集したフローの生データを蓄積し,スナップショット分析を行ったり,トラフィック分析レポートから過去の履歴データを取り出して再現させたりする場合に利用することができる.
ユーザ・インタフェース
- Webベース GUI
- システム GUI は Web ブラウザからネットワーク経由でアクセスし利用できるようにする. セキュアなアクセスを確保するため,HTTPS にも対応する.
- コマンドライン・インタフェース (CLI)
- 構成変更やアップグレードなどのメインテナンス作業を遠隔でおこなえるようにするため Telnet と SSH をサポートする.
- 多言語サポート
- 言語 (画面表示) は日本語,英語,中国語のなかから選択して使用できる.
データソース
- フローデータ
- NetFlow (ネットフロー) または IPFIX と sFlow (エスフロー) による情報収集をおこなう.
- フロー・フォワーディング
- NetFlow などによって受信したフローデータを他のフローコレクタに対して中継転送することができる.
- SNMP ベースのトラフィック監視・分析
- フロー・ベースのトラフィック監視,分析のほかに,SNMP ポーリングによるネットワーク・デバイスのトラフィック監視,分析もできる.
- BGP クライアント・サポート
- BGP クライアントをサポートし,BGP ルーティング情報を収集することができる. また,セキュアな BGP 通信を確保するため,MD5 シグネチャにも対応する.
関連項目
参考文献
- [Gen 05] “GenieATM 6000 Datasheet”, Version 4.1, GenieNRM, September 2005.
- [Qua] “GenieATM6300/6100 > 特長と利点”, http://www.quality-net.co.jp/genie/atm6300_6100_1.html