サンプルフロー情報を用いた異常トラヒック検出法に関する一考察

摘要

パケットサンプリングを通じて得られるフロー情報を用いて,異常トラヒックを検出する方法について報告する.まず,ネットワークスキャンやSYN floodingのような,小さなフローを大量発生する異常トラヒックはパケットサンプリングすると検出が困難になることを示す.これは,正常フローに比べてこのような異常フローは,個々のフローを構成するパケット数が少ないため,サンプルされにくいことに起因する.次に,この間題への解決法として,監視トラヒックを空間方向に分割して複数グループに分け,各グループのトラヒックについて時系列解析を行うことにより,パケットサンプリング後も異常トラヒックを適切に検出可能であることを実データ分析を通じて示す.