背景

トレーサブルネットワークグループでは、サービス運用妨害などのサイバーテロ攻撃に立ち向かうため、IPトレースバック技術の研究開発を進めています。IPトレースバック技術は、従来は不可能であった送信元IPアドレスを偽装した攻撃の追跡を、インターネットの各組織の連携をスムーズに行うことによって実現する技術です。しかし、IPトレースバックの実施は、追跡サーバ、ネットワーク回線容量に負担を発生させ、ユーザネットワークの性能に影響を及ぼします。そのため、攻撃を受けている端末のユーザが「攻撃である」状態と正しく判別する必要があります。そこで、IPトレースバックの正当性と有効性の向上のため、攻撃識別、異常状態検知機能を有する、IPトレースバックを起動するシステムであるTBNAN（Trace Back Network ANalyzer）の研究を進めています。

一方、ネットワーク監視と解析システムとしてのTBNANシステムは、コンピュータネットワークの性能低下や障害の定期的な監視結果を、知的な手法で解析し、ネットワーク攻撃、異常が発生した時にネットワーク管理者に警報を通知する機能も有します。ネットワークトラフィックの監視と解析は、ネットワークに悪影響を及ぼす脅威からの防御、重要なインターネットリソースの悪用もしくはソフトウェアによって生じる危険及び損害の最小化に役立ちます。また、インターネットで発生した様々なサイバーテロ攻撃に対して、以下の実用例として活用されます。（1）ネットワーク・サーバ負荷監視・管理システム（2）外部からの侵入を監視する侵入検知システム（3）IPアドレスを偽装している攻撃を追跡するIPトレースバックシステム（4）ウィルスの伝播、マルウェア*1の活動、ボットネット*2の動作を把握する監視システム。

TBNANの仕組み

TBNANは高速ネットワークと複雑なプロトコルに対応したトラフィック解析システムとして開発されています。TBNANシステムは、パケットプロセッサ、計算サーバ、データベースとウェブサーバから構成されています（図1）。

（1）パケットプロセッサ

アクセスポイントを経由したトラフィックをキャプチャーして、獲得した統計情報などを計算サーバに転送します。データリンク層、ネットワーク層、トランスポート層の情報を利用することにより、パケットの各情報の取得が可能で、時間、空間、流量の統計量を抽出することができます。ユーザプライバシーを保護するために、トラフィックのペイロード情報*3の解読や、暗号化した後のペイロード情報のリバース・エンジニアリング*4を行わず、広帯域な新世代ネットワークリアルタイム監視要求に対応できます。

（2）計算サーバ

受信したデータにデータマイニング技術を適用し、予測モデルを構築します。

【統計分類】各ネットワークストリームに固有の統計特性に基づいて、ネットワーク接続をグループ分けする統計的手続です。図2では、ホストに関連する全てのトラフィックに基づいて、このホストがP2Pノードであるかどうかを分類しています。分類は2つの特徴（ア）ホストが保持されているコネクション数（イ）単位時間中に累計されたパケットの流量に基づいています。図2の白い点線で示した分類関数（点線の右側がP2Pノード）によって、P2Pホストの測定をすることができます。

【異常検出】ネットワークストリームの集合から異常状態に対するデータを検出する手法です。図3ではホストと送信元IPの間の全ての通信を監視することにより、ホストに対するポートスキャンを異常検出アルゴリズムにより分析しています。検出は2つの特徴（ア）単位時間中に現れた送信元ポートの数（イ）単位時間中に現れたTCPフラグの種類に基づいています。図3の閾値平面で示した決定関数（平面の下側が通常トラフィック、上側はポートスキャン）によって、ポートスキャンにより発生した異常を検出できます。

その他、統計分析やクラスタリング*5分析など様々な知的分析手法を積極的に取り込んでいます。

（3）データベースとウェブサーバ

計算サーバから格納された情報のインデックスと可視化サービスを提供します。

今後の展望

クラウドコンピューティング時代には、コンピュータアプリケーションはネットワークに依存すると共に、ネットワークの構造やプロトコル構成はより複雑になることが予想され、ネットワーク監視と分析は大きな挑戦的課題であるといえます。より安定し、安心して利用することができる新世代ネットワークの実現を目指して、高速のネットワークに対する応答を可能とするため、次の段階としてはデータマイニングと機械学習などそれぞれの理論分野の最新の成果と、並列計算、ハードウェア化、GPGPUコンピューティングなどの実用技術もTBNANに取り入れる予定です。