Flow Inspection
■ Flow Inspection Projectとは?
IP Networkの高速化、大容量データ時代を迎え、インターネットはもとより、企業内を流れるトラフィックを高度に分析することは難しくなってきています。一方、JSOX,コーポレートガバナンスなど、IP Networkを流れるトラフィックを管理し、ネットワーク全体の情報統制を求める声は高まる一方です。
この様な背景の中、Flow Inspection Projectは、高速・大容量となったネットワークの中で、より効率の良い情報収集技術、情報分析技術を研究し、日々状況が変化するネットワークの状況を的確にとらえ、その結果をビジネスに役立たせることに主眼を置いた、企業横断型プロジェクトです。
まほろば工房では、このプロジェクトの重要性に鑑み、技術的・ビジネス的側面からサポートしています。
■ Flow Inspectionとは?
Flow Inspectionとは、ネットワークの中を流れる様々なトラフィックをフロー(Flow)というトラフィックの個々の流れに着目して、ネットワーク全体のトラフィック状況を分析するというものです。フローとは、送受信端点のアプリケーション間の通信そのものをさしますから、まさにアプリケーション重視のトラフィック分析手法といえます。
FlowをInspectionするには様々な要素技術が必要となります。特に大容量化したネットワークでは、フローの情報を集めるだけでも至難の業であり、そのほとんどが流れるパケットを間引いて(Sampling)情報を収集しているのが現状であり、さらには、集めた情報も膨大な量となり、十分な分析ができていないことが問題なのです。
そこで、Flow Inspection Projectでは、次の4つにフォーカスを置き、これに沿って様々な研究・開発活動を続けているのです。
- パケットを間引かないFlow収集技術の確立
- 収集した情報の効率の良い保管技術の確立
- パケット情報収集のための効率の良い転送技術の確立
- ビジネス視点からの有用な情報を得るための分析技術の確立
この目標とFlow Inspection全体のモデルを図示したものが下記の図になります。
■ Projectの形態
この様な目標の元、Flow Inspection Projectでは、より具体的に活動を進めるために図のような体制で研究・開発活動を実施しています。
■ まほろば工房の貢献
まほろば工房では、事務局機能だけではなく、技術的にもより積極的に協力するために、ソフトウエア開発という側面で協力しています。以下に、これまで作成した測定ツールについて紹介させていただきます。
DoS Check 特定のセグメントに対するフロー情報を監視し、1フローごとのトラフィックを定期的に観測し、指定されたトラフィックを超えた段階でアラームを発するソフトウエアです。1フローに対するトラフィックは、終点インタフェースが持つインタフェース能力(たとえば100Base-Tであれば100Mbps)を超えることができません。ここのインタフェースでトラフィックを観測した場合、このインタフェースの上限値までのトラフィックしか観測できませんが、DoS攻撃が行われているような状況では、この上限値を越えてトラフィックが押し寄せます。これを上流の高帯域インタフェース部分で検知することで、DoSアタックをリアルタイムに検知するというものです。
Download Tool:doscheck-beta0.04.tar.gzxPF Detect 当プロジェクトの研究のなかで、いくつか不審なトラフィックが観測されるようになりました。その中の一つに1パケットのみで形成されるフローです。通常のTCP/IPの通信では、絶対にあり得ないこのフローは、何らかの攻撃などの可能性があります。しかし、現状のフロー情報の収集システムではサンプリングによる情報収集が主体であるため、このような1パケットのフローを検知できませんでした。xPF Detectでは、この1パケットのみのフローを検知して、そのフロー情報をリスト表示するものです。
■ Project参加企業
プロジェクトチェア 伊賀野 康生 事務局 株式会社まほろば工房 プロジェクトメンバー イッツ・コミュニケーションズ株式会社 株式会社倉敷ケーブルテレビ 東京電力株式会社 日本電信電話株式会社 ファイブ・フロント株式会社 楽天株式会社 ユーテン・ネットワークス株式会社 (五十音順)