研究背景・目的
インターネットバックボーンには、正常な通信トラフィックの他に正常とは理解しがたい異常なトラフィックが同様に観測されています。それらはウィルスやワーム、DDoSなどのサービスを停止させるような攻撃、機器の設定間違いや故障等明らかに異常なものや、人気のあるコンテンツへの急激なアクセス増加のように正常な通信ではあるがネットワーク管理者にとって好ましくないものなどがあります。管理者はこのようなネットワーク異常を早期に検出し、適切な対処を行うことが求められていますが、現状ではネットワークの高速化や異常の多様性により十分な対処を行うことは容易ではありません。私たちは、インターネットトラフィックの定量化、効率の良い異常イベントの検出に取り組んでいます。
研究内容
取り組んでいる研究の一つ目は各種バックボーントラフィック異常検出器の開発です。これまでに、主成分分析、KL統計量、マルチスケールガンマモデル、画像認識モデル、ウェーブレットモデルなどの異なる信号処理技術を用いた検出器を開発し、公開トラフィックデータを用いた評価を行っています。さらに、これら検出器の出力を組み合わせることで、より高精度な異常検出器の開発を行っています。私たちの評価では、検出器による検出異常タイプには偏りが大きく、組み合わせによるアプローチの妥当性が示されています。二つ目は公開トラフィックデータにこれらの検出器を適用し、検出した異常イベントをトラフィックデータにラベル付けし、研究者向けの異常データベースを構築・公開することです(http://www.fukuda-lab.org/mawilab)。これは、従来研究での問題点である同一のデータセットを用いた検出器群の性能評価を可能とするものです。
インターネットトラフィック異常検出アーキテクチャ
コミュニティマイニングによる検出異常イベントの例
産業応用の可能性
- ハードウエアサポートを含めた異常検出器のルータ等のミドルボックス上への適用
- 複数ルータから構成される自律分散協調型異常検出システムへの発展
- クラウド環境における異常検出システムへの発展
研究者の発明
- 特願2012-108848(共願):データ配送システム及びデータ配送装置及び方法
- 特願2012-108849(共願):データの分散管理システム及び装置及び方法及びプログラム
- 特願2011-198881(共願):ネットワーク情報蓄積装置及び方法及びプログラム ほか
連絡先
福田 健介[アーキテクチャ科学研究系 准教授]
kensuke[at]nii.ac.jp ※[at]を@に変換してください
