(セッション表へ)

マルチメディア,分散,協調とモバイル(DICOMO2007)シンポジウム

セッション 4H  ネットワーク管理1(DSM)
日時: 2007年7月5日(木) 8:30 - 10:10
部屋: 回転スカイラウンジ
座長: 北口 善明 (インテック・ネットコア)

4H-1 (時間: 8:30 - 8:55)
題名イベントスコアリングによるネットワーク管理の効率化手法に関する研究
著者*佐藤 彰洋, 長尾 真宏, 小出 和秀 (東北大学大学院 情報科学研究科), Glenn Mansfield Keeni (サイバー・ソリューションズ), 白鳥 則郎 (東北大学大学院 情報科学研究科)
Pagepp. 840 - 845
Keywordイベント, 異常検出手法, スコアリング, 独立成分分析
Abstract本稿では,ネットワーク管理において,それぞれ異なる指標によって検出されたn 個のイベントに対し優先順位を付けるスコアリングを行うための指標を提案する.これによって,複数の手法により検出されたイベントに対し,優先順位を付けた迅速な対応が期待できる. ネットワーク管理において「ネットワーク状態の計測によって捉える事ができる,管理上重要と考えられる出来事」をネットワークイベント(イベント)と定義する.異常検出に基づくネットワーク管理では,通常,対象となるネットワークのトラフィックを監視することにより得られる情報(トラフィック情報)から指標となる値を計算し,その変化を基にイベントを「検出」する.さらにそのイベントの発生原因を「分析」することが行われる.現在,これらを実現する多種多様な手法が研究されており,検出精度の向上や調査・分析の効率化,自動化が進められている.それらの手法の多くは独自の指標に基づいた異常検出を行っているため,検出可能なイベントの種類・性質がそれぞれ異なる.また分析の面においても,対象とする指標に特化した手法を採らざるを得ない.従って,実際の運用においては1 つの異常検出手法のみを利用するという状況は稀れであり,管理目的に応じて,複数の異常検出手法を同時に利用することが多いと考えられる.これにより,より多様なイベントに対応することが可能となり,検出もれの低減などが期待できる. しかしながら,複数の異常検出手法を同時に利用する場合,利用する手法の数や監視するネットワークの規模によって,イベントの数が非常に多くなると考えられる.管理者がこのような膨大な量のイベントに対応するため,発生原因が同じと想定されるイベントの集約や,優先順位を付けたイベントへの対処が必要になる.しかし,複数の異常検出手法によって検出されたそれぞれのイベントは,別々の指標に基づいて検出されているため,それらイベント間の重要度を単純に比較することはできない.これらの要因により,イベントの原因を調査することによる管理負担の増大や,重要なイベントに対する対処が遅れるなど深刻な問題が発生する.よって,複数の異常検出の利用を考慮した場合,手法の違いに依存せずに,イベントに優先順位を付加するスコアリングを行うための統一的な指標が必要不可欠であると言える. そこで,本稿では複数の異常検出手法によって検出されたイベントに対し,スコアリングを行うための指標として,情報理論におけるエントロピーの概念を拡張しイベント解析に適用した,「イベントエントロピー」を提案する.イベントエントロピーは次のように決定する.まず,トラフィック情報から,送信元や受信先のアドレス,各ポートへのアクセス頻度をそれぞれ計測する.それらのアクセスを事象の発生確率とすると,検出されたイベントに対する4 つの離散確率分布を得ることができる.これらの確率分布を解析することによって,イベントの特徴を把握することができる.提案するイベントエントロピーでは,イベントにおける(i) アクセスの複雑さ,(ii) イベントの発生頻度,および(iii) それらの値の時間的変動の3 つの点に着目する.すなわち,イベントを質,量,変化の3 つの側面から解析し,これらの指標を統合するとこによって,そのイベントが有する情報量を導出する.この情報量が低い場合,発生頻度が高いイベント,発生原因が明確なイベント,また時間的変動の無いイベントであると推測できる.例えば,各ホストの特定のサービスに対してアクセスが集中している状況下では,各分布間の相関が高く,イベントの発生原因が明確であると言える.また,頻繁に発生するイベントは,その内容や原因が既知であることが多い.そのような場合,イベントが持っている情報量は低く,優先順位の低いイベントであると判断できる.逆に情報量が多い場合,送信元や受信先アドレス,各ポートへのアクセスが均等に分布しているイベント,すなわち過去に例の無いイベントの発生など,未知の情報を多く含んでいる注目すべきイベントであると判断できる. 本稿では,イベントエントロピーについて詳細に述べた後,イベントエントロピーがイベントの重要度を表すのに適した値であることを示す.加えて,複数の異常検出手法から検出されるイベントのスコアリングに適用可能であることと,その有効性を予備実験によって明らかにする.また,現在プロトタイプを作成し,それを実ネットワーク上で運用することで,提案手法の評価とシステムの改善を進めている.

4H-2 (時間: 8:55 - 9:20)
題名大規模ネットワーク・サーバ運用監視向けITILインシデント管理システムの評価
著者*菅野 幹人 (三菱電機株式会社 情報技術総合研究所), 猪股 義晴, 高井 伸之, 東郷 吉伯 (三菱電機情報ネットワーク株式会社)
Pagepp. 846 - 850
KeywordITIL, MSP

4H-3 (時間: 9:20 - 9:45)
題名セキュリティ脆弱性診断支援システムを用いたセキュリティ対策とその評価
著者*田島 浩一, 岸場 清悟, 西村 浩二, 相原 玲二 (広島大学情報メディア教育研究センター)
Pagepp. 851 - 856
Keywordセキュリティ対策, 脆弱性診断
Abstractネットワーク管理におけるセキュリティ対策として,ネットワークに接続 している情報システムの弱点や脆弱性を診断により発見し,それを改善する ことでセキュリティレベルの維持や向上が期待できる.各種のサーバソフト をはじめとするソフトウェアの不具合等に起因するシステムの脆弱性とそれ を利用したワームや不正アクセスの危険性は絶え間なく増加しており,継続 して被害を防ぐためには診断とその対策を1つのサイクルとして,これを繰り 返し行う事が必要である. 実際に診断を行う方法は,診断サービスを利用する方法と診断システムを 導入する方法とに大きく分けられる.このうち診断システムを導入する方法は, システムを維持するコストは必要であるが,組織内で実施する頻度や 実施日の調整が容易な点と診断の対象とするアドレス範囲やネットワーク 構成変更等に柔軟に追従可能である点で柔軟性に優れた利用が可能であると 考えられる. 試作したシステムは次の2種のサーバを組み合わせて構成した. WWW兼管理サーバ:HTMLやテキストファイル形式の診断結果の閲覧,および オンデマンドに対象アドレスや診断内容を指定して診断を実行するインタフェース としてWWWサーバソフト等を用いて構築した.あわせて定期的な診断のスケジュール 設定や診断サーバの設定管理等の機能追加を行っている. 診断サーバ:脆弱性診断ツールをインストールして作成したサーバで,実際の 診断アクセスを行い,主に学内ネットワークに設置した.学内からでは診断 の困難な学外ネットワークからのHTTP-PROXY等の中継機能のアクセス制限の 適正性等を検証するため組織外の商用ISPに接続する診断サーバも設置した. 診断サーバは,定期的な診断およびオンデマンドでの診断に用いられる. 構築した診断支援システムは学内の約150の部分ネットワークを管理する 述べ250名のネットワーク管理者等に公開しそれぞれの管理者の管理に利用 されている.これについてはDSMシンポジウム(2004)他1件において構築事例 を報告している. あわせて本研究で構築した診断支援システムの効果 について実際の学内での利用結果の比較分析を行い, 診断支援システムの効果としてまとめる.