ワーム感染ホスト特定処理における最適値設定方法および最適値設定システム
【課題】新規に出現したワームに対するパッチやワクチンが開発されるまでの間、アクティブな感染ホスト数の全脆弱ホスト数に対する比率が事前に定めた上限値以下となるように、測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を設計する。
【解決手段】フローサンプリングによって得られた統計データのみを用いて、ワーム感染ホストを特定し、規制するワーム感染ホスト特定処理に必要となる測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を最適値に設定するワーム感染ホスト特定処理における最適値設定方法であって、全ホスト数をN、任意のスキャンレートηを有するワームの出現が検出された時刻をk=0、前記ワームに対するパッチやワクチンの生成に要する時間をTとしたとき、0≦k≦K(K=T/φ)の任意時点におけるアクティブ感染ホスト数比率(Ik/N)が許容値ε以下となる制約条件下での前記測定期間長φに対する制約式を満足する値の中で、最大の値を前記測定期間長φとして設定する。
【解決手段】フローサンプリングによって得られた統計データのみを用いて、ワーム感染ホストを特定し、規制するワーム感染ホスト特定処理に必要となる測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を最適値に設定するワーム感染ホスト特定処理における最適値設定方法であって、全ホスト数をN、任意のスキャンレートηを有するワームの出現が検出された時刻をk=0、前記ワームに対するパッチやワクチンの生成に要する時間をTとしたとき、0≦k≦K(K=T/φ)の任意時点におけるアクティブ感染ホスト数比率(Ik/N)が許容値ε以下となる制約条件下での前記測定期間長φに対する制約式を満足する値の中で、最大の値を前記測定期間長φとして設定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワーム感染ホスト特定処理における最適値設定方法および最適値設定システムに係り、特に、フロー計測から得られたデータを用いて、ワームに感染したホストを特定し、規制する処理に関する。
【背景技術】
【0002】
近年インターネットでは、ワームの感染拡大が問題となっている。ワームに感染したホストは次に感染させる脆弱なホストを探すため、ランダムやシーケンシャルに生成したアドレスに対してスキャンのためのパケットを送付する。
中でも、Bandwidth limited型と呼ばれるワームに感染したホストは、使用可能なネットワークの伝送帯域とホストのCPU能力を最大限用いてスキャンを行うため、感染が爆発的に拡大する特徴がある。例えば、代表的なBandwidth limited型のワームであるSlammerの場合、感染ホストは平均で4000回ものスキャンを1秒間に行い、わずか10分程度でネットワーク全体に感染が拡大したことが報告されている。
これまでの新種のワームの出現に対しては、OSやアプリケーションソフトの脆弱性を修復するためのパッチや、感染プログラムを除去するためのワクチンプログラムを開発し、一般利用者に配布するとこで対策がとられてきた。
しかし、Bandwidth limited型といった感染レートの高いワームは、パッチやワクチンが開発されるまでにネットワークの大部分に感染が拡大するために、このような対策だけでは十分でない。
Bandwidth limited型のような感染レートの高いワームに対しては、ワームの出現を可能な限り早期に検知し、自動的にワーム感染ホストを特定し、感染ホストのパケット送出レート規制等によりワームの感染が拡大する速度を抑え、パッチやワクチンが開発されるまでの時間を稼ぐことが重要となる。
【0003】
ワームの出現を検知する手法としては、トラヒック量の変化から検知するもの、無効アドレス空間にパケットを送出したホストの発生間隔の変化から検知するもの、スキャン数の増加傾向から検知するものなどが提案されている。
一方、ワーム感染ホストを特定する手法として、以前、本発明者らは、短時間に大量のフローを生成するホストをSuperspreaderとして特定する方法を提案した。以後、本方式をSuperspreader特定法と表記する。
本方式は、長さがφ秒の任意の測定期間Φ内に測定ポイントで観測されたフロー数mが明示的に定めた閾値m*以上のホストをSuperspreaderと定義し、m=m*のホストが特定される確率Η*を明示的に与える。本方式を用いることで、限られたメモリを最大限に活用してSuperspreaderを高精度に特定することが可能となる。
Superspreaderにはワーム感染ホストに加え、DNSサーバといった正常なホストで大量のフローを生成するホストも含まれる。DNSサーバといった正常なホストで大量のフローを生成するホストは、連続した複数の測定期間でSuperspreaderとなる傾向がある。そこで、本発明者らは、正常期間中には特定されたホストのIPアドレスをホワイトリスト(WL)に収容し、ワーム出現検知後は、特定されたホストをホワイトリスト(WL)と照合することで、ワーム感染ホストを絞り込む方法を提案した。以後、Superspreader特定法とホワイトリスト(WL)を用いた感染ホスト法絞込み法を組合せて用いる方法を、ワーム感染ホスト特定法と表記する。
【0004】
なお、本願発明に関連する先行技術文献としては以下のものがある。
【非特許文献1】N.Kamiyama,T.Mori,and R.Kawahara,“Simple and Adaptive Identification of Superspreaders by Flow Sampling,”INFOCOM 2007 Minisymposium.
【非特許文献2】上山,森,川原,原田,吉野,“ホワイトリストを用いたワーム感染ホスト特定法,”信学技報IN,2007-6.
【発明の開示】
【発明が解決しようとする課題】
【0005】
ワーム感染ホスト特定法をアクセスルータ等に実装することにより、ワーム感染ホストを高精度でリアルタイムに特定することが可能となる。特定されたホストに対してフローやパケットの送出レートを規制することにより、ワーム感染が拡大する速度を抑えることができる。そのため、Bandwidth limited型のワームに対してパッチやワクチンの開発に要する時間を稼ぐことが期待できる。
しかし、三つのパラメタφ,m*,Η*をどのように設計するかが問題である。一般に、未知のワームのスキャンレートを事前に予測することはできず、また測定周期は実装コストや特定精度に影響を与えることから、これらパラメタを事前に適切に設定することは容易でない。
ところで、ワーム感染ホストのスキャンによって生じる異常トラヒックの総量を抑え、ワームの感染が拡大する速度を抑えるためには、アクティブな(未特定の)感染ホスト数を抑えることが重要である。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、ワーム感染ホスト特定処理における最適値設定方法および最適値設定システムにおいて、新規に出現したワームに対するパッチやワクチンが開発されるまでの間、アクティブな感染ホスト数の全脆弱ホスト数に対する比率が事前に定めた上限値以下となるように、測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を最適に設計することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
【課題を解決するための手段】
【0006】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)フローサンプリングによって得られた統計データのみを用いて、ワーム感染ホストを特定し、規制するワーム感染ホスト特定処理に必要となる測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を最適値に設定するワーム感染ホスト特定処理における最適値設定方法であって、全ホスト数をN、任意のスキャンレートηを有するワームの出現が検出された時刻をk=0、前記ワームに対するパッチやワクチンの生成に要する時間をTとしたとき、0≦k≦K(K=T/φ)の任意時点におけるアクティブ感染ホスト数比率(Ik/N)が許容値ε以下となる制約条件下での前記測定期間長φに対する制約式を満足する値の中で、最大の値を前記測定期間長φとして設定する。
(2)(1)において、前記設定した測定期間長φに基づき、前記特定閾値η*に対する制約式から、前記特定閾値η*を設定する。
(3)(2)において、前記設定した測定期間長φ、および前記設定した特定閾値η*に基づき、前記特定確率Η*に対する制約式を満足する値の中で、最小の値を前記特定確率Η*として設定する。
【発明の効果】
【0007】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、新規に出現したワームに対するパッチやワクチンが開発されるまでの間、アクティブな感染ホスト数の全脆弱ホスト数に対する比率が事前に定めた上限値以下となるように、測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を最適に設計することが可能となる。
【発明を実施するための最良の形態】
【0008】
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[Superspreader特定法の概要]
始めに、Superspreader特定法の概要について説明する。
大量フロー生成ホストを特定するには、パケット単位ではなく、フローを単位にサンプリングを行い、ホスト毎に生成フロー数を集計することが有効である。Superspreader特定法では、サンプルフロー数が、特定判断閾値Y以上の大量フロー生成ホストを、Superspreaderとして特定する。
フローを、発着IPアドレス、発着ポート番号が共通のパケットの集合と定義する。そして、長さがφ(s)の任意の測定期間Φを定め、各ホストに対して測定期間Φ内に着目リンクに到着したフロー数をmとするとき、任意に定めた閾値m*に対して、m≧m*のホストを大量フロー生成ホストと定義し、着目リンクにおいて、大量フロー生成ホストを測定期間Φ内で特定することを考える。
【0009】
今、測定期間Φ内に着目リンクを流れたフロー数がmのホストに着目する。
測定期間Φ内で着目ホストのm本のフローからd本のフローがサンプルされる確率fdは、フローサンプルレートrを用いて、下記(1)式で表される。
【数1】
よって、サンプルフロー数が、Y以上のホストを特定するとき、このホストが特定される確率Hは、下記(2)式で得られる。
また、下記(2)式に、m=m*を代入することによって得られる、下記(3)式を数値的に解くことによって、m*とH*が与えられたときに、Yかrの任意の一方を定めたときに対応するもう一方のパラメタを設定することができる。
【0010】
【数2】
【数3】
【0011】
[ワーム感染ホスト特定法の概要]
ネットワークの状態として、(1)正常状態、(2)ワーム出現状態、の二つを定義する。
ユーザ自身がワームの感染に気がつかない場合や、気がついてもパッチやワクチンを用いるなどの対処を取らない場合もあり、インターネットには、常時、様々な種類のワームが観測されており、その意味では常にワーム出現状態にあると言える。
ここでは、Slammerといった非常に感染レートが高く、短時間にネットワーク全体に蔓延する可能性の高いワームが新規に出現し、急激に感染ホストが増加している状態をワーム出現状態と定義する。そして、このような被害の大きいワームに対してパッチやワクチンを開発するまでの時間を稼ぐため、自動的にワーム感染ホストを特定し規制を行うことを最終的な目標とする。
前述した方法により、測定期間長φ、大量フロー生成ホストを定義する生成フロー数の閾値m*、そしてm=m*のホストが特定される確率H*を与え、ネットワークの状態とは無関係に、常時、連続した各測定期間Φの各々において大量フロー生成ホストの特定処理を実施する。
【0012】
新種のワーム検出後、ワームの解析によりパッチやワクチンが作成されワームに対する根本的な解決が可能になった段階で、再度、ネットワークは正常状態に移行する。
正常状態において特定された大量フロー生成ホストは全てホワイトリスト(WL)に収容される。
一方、ワーム出現状態の間は、ホワイトリスト(WL)の更新は行わず、特定された大量フロー生成ホストを直前の正常状態において作成されたホワイトリスト(WL)と比較し、ホワイトリスト(WL)に存在しない場合にのみワーム感染ホストと見なしてレート規制等を行う。
ワーム出現状態中に大量フロー生成ホストとして特定されたホストのうち正常なものは、直前の正常状態においても大量フロー生成ホストとして特定されている可能性が高い。一方、ワームに感染したホストは、感染以後、大量フロー生成ホストとなるため、ワームが検知された時点で既に感染しているホストを除きホワイトリスト(WL)には存在しない。
そのため、ホワイトリスト(WL)を用いることで、特定された大量フロー生成ホストから、効果的にワーム感染ホストを絞り込むことが可能となる。
【0013】
[実施例]
図1は、本発明の実施例のワーム感染ホスト特定処理における最適値設定システムの概略構成を示すブロック図である。図1において、101は設定条件入力装置、102はパラメタ設計装置、103はワーム感染ホスト特定装置、104はワーム感染ホストリスト、105はパケットフィルタ装置である。
設定条件入力装置101により設定条件が入力され、パラメタ設計装置102によりパラメタが設計される。そして設計されたパラメタを用いてワーム感染ホスト特定装置103がワーム感染ホストを特定し、ワーム感染ホストリスト104に特定されたホストのIDが出力される。本リストに基づき、パケットフィルタ装置105がパケットのフィルタリングを実施する。
【0014】
次に、本発明の実施の形態に係るワーム感染ホスト特定処理における最適値設定方法について、最適パラメタ設計、数値評価をそれぞれ説明する。
[最適パラメタ設計の概要]
新しいワームが活動を開始した後、ある時刻(この時刻をt=0とする)に、このワームの出現が検知され、ワーム感染ホストの検出・規制処理が開始される。このワームに対するパッチやワクチンが開発され、根源的な対応が可能となるまでに要する時間をTとする。
0≦t≦Tにおいて、アクティブなワーム感染ホスト(スキャンによる異常トラヒックの生成源となる)数の上限が、このワームに対して脆弱な全ホスト数Nのε倍(εは0<ε<1の任意の実数)に抑えられるよう、ワーム感染ホストの特定・規制処理を行うことを目指す。すなわち、時刻tにおけるアクティブ感染ホスト数をItとすると、0≦t≦Tの任意のtに対して、It≦εNを制約条件に考える。
感染ホストのスキャンレートηは、ワームの種別に依存するが、スキャンレートηが低いワームは感染力が弱く、特定・規制処理を行わなくてもパッチやワクチンの開発を十分に行えるだけの時間的余裕がある。スキャンレートηが高いワームは感染力が強く、特定・規制処理が必要となる。
【0015】
このような観点から、どのようなスキャンレートηを有するワームが出現した場合にも、0≦t≦Tにおいて、It≦εNが満たされるよう、パラメタφ,m*,Η*を設計することを考える(η=m/φであり、m*に対応するη*も同時に設計される)。
特定閾値η*に対して、m*=φη*より定まる整数m*を用いて特定処理が行われる。すなわち、特定閾値は1/φの粒度で丸め込まれるため、測定周期長φが大きなほど特定されるホストのスキャンレートηにおける粒度が細かくなり、ワーム感性ホストの特定・規制処理の精度が向上する。また、φ,m*,Η*以外のパラメタは測定周期ごとに算出されるが、φが大きなほど、パラメタ更新に許容される計算時間の余裕が大きくなる。よって制約条件を満たすφの最大値をφに設定する。
また、システム全体で使用可能なメモリ量Bが一定であるため、ホワイトリスト(WL)のために要するメモリ量Bwlが小さなほど、Superspreader特定処理に使用できるメモリ量が増加し特定精度が向上する。
特定閾値η*が大きなほど、特定対象となるホスト数が減少するためメモリ量Bwlが減少する。さらに、特定閾値η*が大きなほど特定・規制対象となるホストが少数に限定されることから、正常ホストの誤特定による影響を抑えることができる。
以上のことから、特定閾値η*は大きなほど望ましい。−方で、特定閾値η*の増加は、見逃されるホスト数が増加することを意味するため、Itの増加速度が高まる。よって、やはり制約条件を満たすη*の最大値をη*に設定する。
また、Η*が小さなほど、特定されるホスト数が減少するためメモリ量Bwlが減少するが、一方、やはり見逃されるホスト数が増加するためItの増加速度が高まる。よって制約条件を満たすΗ*の最小値をΗ*に設定する。
【0016】
[仮定]
(1)着目するワームに感染したホストは、すべて、同一のスキャンレートηでスキャンを行う。ホストの処理能力を最大限、利用してスキャンを行うBandwidth limited型のワームのスキャンレートηが想定されるηの最大値となるが、ηの想定最大値をηmaxと表記し、η≦ηmaxの任意のスキャンレートηを有するワームを対象とする。
(2)ネットワークの状態として、正常状態とワーム出現状態の二つを考える。ワーム感染ホスト特定法を、双方の状態において常時、適用する。任意のワーム検知方式によってワームの出現がネットワーク全体で検知された際に、正常状態からワーム出現状態に移行する。そして出現したワームに対するパッチやワクチンが開発された段階で、正常状態に復帰する。
(3)ワーム出現状態において特定された感染ホストに対しては、全パケットをフィルタリングする(quarantine)。ワーム検出時点(t=0)で既に感染しているI0個のホストはホワイトリスト(WL)に収容されているため、以後、感染ホストとしての特定対象には含めない。
【0017】
(4)時間を、長さがφの測定周期Фで離散化する。ある測定周期内で新たに感染したホストは、次の測定周期の開始点からスキャンを開始する。また、ある測定周期内で特定されたワーム感染ホストは、次の測定周期の開始点から規制される。
(5)ワームの出現が検知された後の最初の測定周期を測定周期0とし、その開始点における感染ホスト数をI0とし、以後、制御周期kの開始時点における感染ホスト数をJk、さらにアクティブな感染ホスト(未特定でスキャンによる異常トラヒックを生成)数をIkとする。K≡T/φと定義すると、0≦k≦Kの任意のkに対してIk<εNを満たすことを考える。
(6)ワーム感染ホストはランダムに生成したIPアドレスに対してスキャンを行う。該当ホストが実際に存在し、かつ着目ワームに対して脆弱であり、かつ未感染である場合にのみ、一つのスキャンに対して感染ホストが一つ増加する。一つのスキャンにおけるホストの感染確率をβとし、IPV4を想定すると、β=(N−Jk)/232となるが、感染初期ではJkがNと比較して十分に小さいので、β=N/232と近似する。
【0018】
流体モデルを用いて、ワーム感染ホストによって生成されるスキャンの異常トラヒックをモデル化する。これは、伝染病の拡大といった感染が拡大する現象をモデル化する際によく用いられる手法であり、感染パターンに地理的依存性のない均一性が成立する場合にはよい近似を与える。必ずしも全てのワームがランダムに生成したアドレスに対してスキャンを行うとは限らないが、ランダムに行う場合には地理的依存性を無視することができ、ワーム感染ホストの拡大についても本モデルでモデル化が可能である。
ワーム感染ホストを特定・規制しない場合、ワーム感染拡大の初期段階における感染ホスト数Ikの離散時間モデルはIk=(1+βηφ)Ik−1で与えられる。
スキャンレートがηのワーム感染ホストが一つの測定周期Φ内で特定される確率をΗ(η)とする。時刻k=0において特定されたI0個のワーム感染ホストはホワイトリスト(WL)に登録されるため、感染ホスト特定処理期間中は特定されない。よって、Ikは、下記(4)式で表される。
【数4】
この(4)式を解くと、Η(η)≠βηφのとき、Ikは、下記(5)式となり、Η(η)=βηφのとき、Ikは、下記(6)式となる。
【0019】
【数5】
【数6】
【0020】
Superspreader特定方式では、η*=m*/φのホストが、確率Η*で特定されるよう、フローサンプルレートrと特定判断閾値Yを設計する。Yは、1≦Y≦m*の範囲の整数値をとるが、実装メモリ量から特定精度が最適化するようYが自動的に設計される。
以下、η≧η*と、η<η*の場合にわけて考える。
[η≧η*の場合]
(5)、(6)式より、H(η)が最小値をとるとき、k≧0の任意のkに対して、Ikは最大となる。Superspreader特定方式は、実装メモリ量とトラヒック量に応じて、η≧η*のホストの見逃し確率を最小化するように、Yとrを動的に設定する。
Η(η)はYに依存するが、η≧η*のときΗ(η)はYの増加に伴い単調に増加するため、Y=1の場合に制約式を満たせば、任意のYに対しても制約式を満たす。よって、Y=1の場合を考える。
Η(η)は、mを下記(7)として、下記(8)式で与えられる。
【0021】
【数7】
【0022】
よって、Y=1のとき、H(η)=1−(1−r)mとなるが、η=η*のホストに対して、H=H*となるようにパラメタ設計を行うため、1−r=(1−H*)1/m*である。したがって、下記(9)式が得られる。
【数8】
Η(η)=βηφのとき、(6)式に(9)式を代入して、下記(10)式が得られる。
【数9】
よって、ηが最大値ηmaxをとるとき、Ikは最大となるので、η=ηmaxの場合のみ考えればよい。
一方、Η(η)≠βηφのとき、(5)式に(9)式を代入して、下記(11)式が得られる。
但し、z≡βηφ+(1−Η*)η/η*である。Η(η)≠βηφを想定しているので、z≠1であるが、0≦z<1のとき、kの増加に伴いIkは減少するため、k=0のときIkは最大値I0をとる。よって、I0≦εNであれば制約条件を満足する。
【0023】
【数10】
【0024】
次に、z>1の場合について考える。f(η)≡βηφ,g(z)≡(zk−1)/(z−1)とすると、f(η)はη=ηmaxのとき最大値をとる。次に、g(z)について考える。明らかに、g(z)はzが最大値をとるときに最大となる。
【0025】
【数11】
【0026】
∂z/∂ηは、(12)式となるが、0<Η*<1なので、ηの増加に対して、∂z/∂ηは単調に増加する。よって、zはηに対して下に凸であり、η*≦η≦ηmaxの範囲において、zは、η=η*もしくはη=ηmaxにおいて最大値を取りえる。
以上のことから、η=η*とη=ηmaxの二つの場合を各々調べればよい。
[η=η*における制約式]
Η*≠βη*φであり、z=βη*φ+1−Η*>1の場合を考えているので、(5)式より、Ikはkの増加に伴い単調に増加するため、k=Kにおいて制約式を満たせばよい。 (5)式にη=η*,Η(η)=Η*,k=Kを代入して、下記(13)式の制約式が得られる。
【0027】
【数12】
【0028】
[η=ηmaxにおける制約式]
η=ηmaxのとき、ηはη*と比較して十分に大きいので、十分に小さい正の値δを用いて、Η(η)≧1−δと考えることができる。
但し、このとき、(9)式より、Η*は、下記(14)式を満たす必要がある。
【0029】
【数13】
【0030】
以後、Ikの上限を与えるΗ(η)=1−δの場合を考える。βηmaxφ+δ≠1のとき、(5)式に、η=ηmaxとΗ(η)=1−δを代入して、下記(15)式が得られる。
【0031】
【数14】
【0032】
Ikは、kの増加に対して単調に増加するので、k=Kにおいて、IK≦εNを満たすことを考えればよい。よって、φに対する制約式が下記(16)式で得られる。
【数15】
【0033】
一方、βηmaxφ+δ=1のとき、(6)式に、η=ηmaxと、Η(η)=1−δを代入して、下記(17)式が得られる。
【数16】
やはり、Ikはkの増加に対して単調に増加するので、k=KにおいてIK≦εNを満たすことを考えればよい。
K=T/φ=βηmaxT/(1−δ)に注意すると、下記(18)式の制約式が得られる。
【数17】
(16)式を、φに関して数値的に解くことにより、与えられたδに対してφの許容最大値を得ることができる。(18)式を満たすI0の最大値をI*0とすると、β=N/232より、下記(19)式が得られる。
【0034】
【数18】
【0035】
(15)式より、Ikはφの増加に対して単調に増加する。I0>I*0のとき、βηmaxφ+δ≧1の範囲でφを設定すると、η*やΗ*の設定値とは無関係に、Ikが許容値εNを超えるため、βηmaxφ+δ<1となるように、φを設定する必要がある。
βηmaxφ+δ≧1のとき、感染レートが、η=ηmaxのワームによって、測定周期内で新たに増加する感染ホスト数が、感染ホストの特定・規制により減少する数よりも平均的に大きいが、そのような状況でもIk≦εNを満たせるI0の臨界値がI*0であると解釈することができる。
以上まとめると、φ*≡(1−δ)/(βηmax)と定義すると、I0>I*0のとき、(16)式を満たすφの最大値をφ<φ*の範囲で解き、I0≦I*0のとき、(16)式を満たすφの最大値をφ>φ*の範囲で解くことによりφが設計できる。
【0036】
[η<η*の場合]
η<η*のとき、Yの増加に伴い特定確率Η(η)は減少する。よって、Yが最大値m*(ただしη*=m*/φ)のとき、Ikは最大となるため、Y=m*の場合のみ考えれば十分である。
以下、[η≦(m*−1)/φ]と、[(m*−1)/φ<η<η*]の二つの場合に分けて考える。
[η≦(m*−1)/φの場合]
Y=m*のとき、Η(η)は、η=η*において不連続な単位ステップ関数に近く、η≦(m*−1)/φのとき、Η(η)=0と近似できる。よって、(5)式より、下記(20)式が得られる。
【数19】
Ikは、ηの増加に伴い単調に増加するため、η=(m*−1)/φについてのみ考えればよい。また、Ikはkの増加に対しても単調に増加するので、k=Kについてのみ考えればよい。
m*は整数値のみをとることから、Ik≦εNと、(20)式より、m*の許容最大値が下記(21)式で得られる。
【0037】
【数20】
【0038】
[(m*−1)/φ<η<η*の場合]
便宜上、0<ρ<1/φの範囲の値をとるパラメタρを導入すると、η=(m*−1)/φ+ρと表すことができる。近似的に、ワーム感染ホストは一定の間隔1/ηでスキャンを行うと考えると、感染ホストは各測定期間Φ内に(m*−1)回もしくはm*回のスキャンを行う。
m*回のスキャンが実施される測定期間がx個の連続する測定周期ごとに出現すると考えると、下記(22)式が成立する。
【0039】
【数21】
【0040】
(22)式を、xについて解くと、x=1/(φρ)が得られる。よって、着目ホストは、φρの割合の測定周期内で、m*回のスキャンを、(1−φρ)の割合の測定周期内で(m*−1)回のスキャンを行うと考えることができる。
着目ホストは、m*回のスキャンを行った測定周期内で、確率Η*で特定され、(m*−1)回のスキャンを行った測定周期内では全く特定されない。よって、長い時間で見たときの特定確率は、Η(η)=φρΗ*となる。
(5)式に、η=(m*−1)/φ+ρ、Η(η)=φρΗ*を代入すると、下記(23)式が得られる。
【0041】
【数22】
【0042】
但し、X≡1−Η(η)+βηφ=1+β(m*−1)+(β−Η*)φρである。
X>1なので、Ikはkの増加に伴い単調に増加する。よってk=Kの場合のみを考える。k=Kのとき、下記(24)式が得られ、(24)式を、ρについて偏微分すると、下記(25)式が得られる。
【0043】
【数23】
【数24】
【0044】
よって、β≧Η*のとき、0<ρ<1/φの範囲の任意のρに対して、∂IK/∂ρ>0となり、ρ→1/φのときIKは最大となる。
一方、β<Η*のとき、∂IK/∂ρは、ρの増加に対して単調に減少するが、∂IK/∂ρ=0を満たすρの解は、下記(26)式となるため、0<ρ<1/φの範囲の任意のρに対しては、∂IK/∂ρ<0となる。よって、ρ→0のときIKは最大となる。
以上のことから、ρ=0とρ=1/φについて調べれば十分であるが、ρ=0はη=(m*−1)/φに相当し既に調べた。またρ=1/φはη=η*に相当し、やはり既に調べた。
【0045】
【数25】
【0046】
以上の考察から、ηmax以下の任意のスキャンレートηを有するワームの出現が検出された時刻(k=0)の感染ホスト数がI0であり、このワームに対するパッチやワクチンの生成に要する時間がTであるとき、0≦k≦K(K=T/φ)の任意時点におけるアクティブ感染ホスト数比率(Ik/N)を許容値ε以下に抑えるためには、以下の手順でφ,m*,Η*の三パラメタを設計すればよい。
(1)φの設定
I0>I*0のとき、φ<φ*の範囲で、I0≦I*0のとき、φ>φ*の範囲で、(16)式を満たすφの最大値をφに設定
(2)m*の設定
φの設定値を、(21)式に代入して、m*を設定(また、η*=m*/φに設定)
(3)Η*の設定
φとη*の設定値を、(13)式と(14)式に代入して得られる不等式を満たすΗ*の最小値をΗ*に設定
【0047】
[パラメタ設計例]
以下、具体的なパラメタ設計例を示し、どのように三つのパラメタが設計されるかについて考察する。
Slammerのスキャンレートが約4000/秒、脆弱な総ホスト数が約75000台であるとして、ηmax=4000、N=105とした。また、パッチやワクチンの開発に要する時間をT=86400秒(24時間)とし、アクティブ感染ホスト数比率の許容値をε=0.1とした。
三つのパラメタを設計するためには、η=ηmaxのホストの特定確率を定めるパラメタδを事前に与える必要がある。そこでまず、δが三つのパラメタの設計値に与える影響を調べる。
図2に、初期感染ホスト数I0を10もしくは100とした場合の各々について、δを変化させたときの三つのパラメタの設計値を示す。ワームの感染レートが、η=ηmaxの場合に感染ホストの増加と規制による減少が釣合うφの値がφ*=(1−δ)/(βηmax)であるが、φの設定値はδの全領域でφ*に近い。
そのため、δが1に近づくとφは急減するが、δが0.1程度より小さい場合にはほとんど一定となる。また、δの全領域で、δがη*に与える影響は小さい。
一方、Η*は、(14)の制約式によりδの減少に伴い減少するが、δの全領域で小さな値をとるためSuperspreader特定処理にδが与える影響は小さい。
φは大きな方が望ましいためδを0.1程度より小さく設定するのが望ましいが、δ<0.1の領域ではδの影響は無視できるといえる。そこで以後はδ=0.01に設定する。
【0048】
【0049】
このことから、できるだけ早期にワームの出現が検知でき、I0を小さく抑えられるほど、規制対象とすべきワームの感染レートを大きくでき、正常ホストを誤って規制対象とするリスクを抑えることができる。
ところで、I0がεNに近い場合、m*=1となるが、それ以上、m*を小さくすることができず、一方でφが急減するため、η*=m*/φであることからη*は急増する。またNが大きなほどβが増加するため、ワームの感染速度が増大し、m*とη*は減少する。
Η*を定める2つの制約式のうち(13)式は、η=η*のワームに対する制約条件から導出されたが、η=η*−1/φのワームに対してはΗ(η)=0として制約式を導出しているため、この制約式から定まるΗ*の下限値もゼロに近くなる。よって、Η*はほとんど(14)式の第2の制約式で決まり、η*と同じ傾向を示す。
【0050】
【0051】
図5に、Y=1もしくはY=7と強制的にYを設定しワーム感染ホスト特定方式を適用した場合の、アクティブ感染ホスト数Ikの時系列を示す(With I&Q)。ただし、η=3.5(左図)とη=100(右図)とした。比較のため、特定・規制処理を行わない場合(Without I&Q)についても示す。
提案パラメタ設定法を用いることで、Yやηの値にかかわらずIkを低い値に抑え、0≦k≦Kの任意のkに対してIk≦εNが満たされている。
また、図6に、特定されたホストも含めた総感染ホスト数Jkの時系列を同様に示す。感染ホストの多くを規制する結果、新たに感染するホスト数を抑えることができ、総感染ホスト数も大幅に抑えられることが確認できる。
以上説明したように、本発明によれば、フロー計測から得られたデータを用いて、ワームに感染したホストを特定し、規制することにより、ワームの感染拡大を抑えるという効果がある。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本
発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【図面の簡単な説明】
【0052】
【図1】本発明の実施例のワーム感染ホスト特定処理における最適値設定システムの概略構成を示すブロック図である。
【図2】本発明の実施例のワーム感染ホスト特定処理における最適値設定方法において、パラメタδが与える影響を示す特性図である。
【図3】本発明の実施例のワーム感染ホスト特定処理における最適値設定方法のパラメタ設計値の一例を示す図である。
【図4】本発明の実施例のワーム感染ホスト特定処理における最適値設定方法の特定曲線と感染ホスト数の時系列を示す図である。
【図5】本発明の実施例のワーム感染ホスト特定処理における最適値設定方法のアクティブ感染ホスト数の時系列を示す図である。
【図6】本発明の実施例のワーム感染ホスト特定処理における最適値設定方法の感染ホスト数の時系列を示す図である。
【符号の説明】
【0053】
101 設定条件入力装置
102 パラメタ設計装置
103 ワーム感染ホスト特定装置
104 ワーム感染ホストリスト
105 パケットフィルタ装置
【技術分野】
【0001】
本発明は、ワーム感染ホスト特定処理における最適値設定方法および最適値設定システムに係り、特に、フロー計測から得られたデータを用いて、ワームに感染したホストを特定し、規制する処理に関する。
【背景技術】
【0002】
近年インターネットでは、ワームの感染拡大が問題となっている。ワームに感染したホストは次に感染させる脆弱なホストを探すため、ランダムやシーケンシャルに生成したアドレスに対してスキャンのためのパケットを送付する。
中でも、Bandwidth limited型と呼ばれるワームに感染したホストは、使用可能なネットワークの伝送帯域とホストのCPU能力を最大限用いてスキャンを行うため、感染が爆発的に拡大する特徴がある。例えば、代表的なBandwidth limited型のワームであるSlammerの場合、感染ホストは平均で4000回ものスキャンを1秒間に行い、わずか10分程度でネットワーク全体に感染が拡大したことが報告されている。
これまでの新種のワームの出現に対しては、OSやアプリケーションソフトの脆弱性を修復するためのパッチや、感染プログラムを除去するためのワクチンプログラムを開発し、一般利用者に配布するとこで対策がとられてきた。
しかし、Bandwidth limited型といった感染レートの高いワームは、パッチやワクチンが開発されるまでにネットワークの大部分に感染が拡大するために、このような対策だけでは十分でない。
Bandwidth limited型のような感染レートの高いワームに対しては、ワームの出現を可能な限り早期に検知し、自動的にワーム感染ホストを特定し、感染ホストのパケット送出レート規制等によりワームの感染が拡大する速度を抑え、パッチやワクチンが開発されるまでの時間を稼ぐことが重要となる。
【0003】
ワームの出現を検知する手法としては、トラヒック量の変化から検知するもの、無効アドレス空間にパケットを送出したホストの発生間隔の変化から検知するもの、スキャン数の増加傾向から検知するものなどが提案されている。
一方、ワーム感染ホストを特定する手法として、以前、本発明者らは、短時間に大量のフローを生成するホストをSuperspreaderとして特定する方法を提案した。以後、本方式をSuperspreader特定法と表記する。
本方式は、長さがφ秒の任意の測定期間Φ内に測定ポイントで観測されたフロー数mが明示的に定めた閾値m*以上のホストをSuperspreaderと定義し、m=m*のホストが特定される確率Η*を明示的に与える。本方式を用いることで、限られたメモリを最大限に活用してSuperspreaderを高精度に特定することが可能となる。
Superspreaderにはワーム感染ホストに加え、DNSサーバといった正常なホストで大量のフローを生成するホストも含まれる。DNSサーバといった正常なホストで大量のフローを生成するホストは、連続した複数の測定期間でSuperspreaderとなる傾向がある。そこで、本発明者らは、正常期間中には特定されたホストのIPアドレスをホワイトリスト(WL)に収容し、ワーム出現検知後は、特定されたホストをホワイトリスト(WL)と照合することで、ワーム感染ホストを絞り込む方法を提案した。以後、Superspreader特定法とホワイトリスト(WL)を用いた感染ホスト法絞込み法を組合せて用いる方法を、ワーム感染ホスト特定法と表記する。
【0004】
なお、本願発明に関連する先行技術文献としては以下のものがある。
【非特許文献1】N.Kamiyama,T.Mori,and R.Kawahara,“Simple and Adaptive Identification of Superspreaders by Flow Sampling,”INFOCOM 2007 Minisymposium.
【非特許文献2】上山,森,川原,原田,吉野,“ホワイトリストを用いたワーム感染ホスト特定法,”信学技報IN,2007-6.
【発明の開示】
【発明が解決しようとする課題】
【0005】
ワーム感染ホスト特定法をアクセスルータ等に実装することにより、ワーム感染ホストを高精度でリアルタイムに特定することが可能となる。特定されたホストに対してフローやパケットの送出レートを規制することにより、ワーム感染が拡大する速度を抑えることができる。そのため、Bandwidth limited型のワームに対してパッチやワクチンの開発に要する時間を稼ぐことが期待できる。
しかし、三つのパラメタφ,m*,Η*をどのように設計するかが問題である。一般に、未知のワームのスキャンレートを事前に予測することはできず、また測定周期は実装コストや特定精度に影響を与えることから、これらパラメタを事前に適切に設定することは容易でない。
ところで、ワーム感染ホストのスキャンによって生じる異常トラヒックの総量を抑え、ワームの感染が拡大する速度を抑えるためには、アクティブな(未特定の)感染ホスト数を抑えることが重要である。
本発明は、前記従来技術の問題点を解決するためになされたものであり、本発明の目的は、ワーム感染ホスト特定処理における最適値設定方法および最適値設定システムにおいて、新規に出現したワームに対するパッチやワクチンが開発されるまでの間、アクティブな感染ホスト数の全脆弱ホスト数に対する比率が事前に定めた上限値以下となるように、測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を最適に設計することが可能となる技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面によって明らかにする。
【課題を解決するための手段】
【0006】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
(1)フローサンプリングによって得られた統計データのみを用いて、ワーム感染ホストを特定し、規制するワーム感染ホスト特定処理に必要となる測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を最適値に設定するワーム感染ホスト特定処理における最適値設定方法であって、全ホスト数をN、任意のスキャンレートηを有するワームの出現が検出された時刻をk=0、前記ワームに対するパッチやワクチンの生成に要する時間をTとしたとき、0≦k≦K(K=T/φ)の任意時点におけるアクティブ感染ホスト数比率(Ik/N)が許容値ε以下となる制約条件下での前記測定期間長φに対する制約式を満足する値の中で、最大の値を前記測定期間長φとして設定する。
(2)(1)において、前記設定した測定期間長φに基づき、前記特定閾値η*に対する制約式から、前記特定閾値η*を設定する。
(3)(2)において、前記設定した測定期間長φ、および前記設定した特定閾値η*に基づき、前記特定確率Η*に対する制約式を満足する値の中で、最小の値を前記特定確率Η*として設定する。
【発明の効果】
【0007】
本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば、下記の通りである。
本発明によれば、新規に出現したワームに対するパッチやワクチンが開発されるまでの間、アクティブな感染ホスト数の全脆弱ホスト数に対する比率が事前に定めた上限値以下となるように、測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を最適に設計することが可能となる。
【発明を実施するための最良の形態】
【0008】
以下、図面を参照して本発明の実施例を詳細に説明する。
なお、実施例を説明するための全図において、同一機能を有するものは同一符号を付け、その繰り返しの説明は省略する。
[Superspreader特定法の概要]
始めに、Superspreader特定法の概要について説明する。
大量フロー生成ホストを特定するには、パケット単位ではなく、フローを単位にサンプリングを行い、ホスト毎に生成フロー数を集計することが有効である。Superspreader特定法では、サンプルフロー数が、特定判断閾値Y以上の大量フロー生成ホストを、Superspreaderとして特定する。
フローを、発着IPアドレス、発着ポート番号が共通のパケットの集合と定義する。そして、長さがφ(s)の任意の測定期間Φを定め、各ホストに対して測定期間Φ内に着目リンクに到着したフロー数をmとするとき、任意に定めた閾値m*に対して、m≧m*のホストを大量フロー生成ホストと定義し、着目リンクにおいて、大量フロー生成ホストを測定期間Φ内で特定することを考える。
【0009】
今、測定期間Φ内に着目リンクを流れたフロー数がmのホストに着目する。
測定期間Φ内で着目ホストのm本のフローからd本のフローがサンプルされる確率fdは、フローサンプルレートrを用いて、下記(1)式で表される。
【数1】
よって、サンプルフロー数が、Y以上のホストを特定するとき、このホストが特定される確率Hは、下記(2)式で得られる。
また、下記(2)式に、m=m*を代入することによって得られる、下記(3)式を数値的に解くことによって、m*とH*が与えられたときに、Yかrの任意の一方を定めたときに対応するもう一方のパラメタを設定することができる。
【0010】
【数2】
【数3】
【0011】
[ワーム感染ホスト特定法の概要]
ネットワークの状態として、(1)正常状態、(2)ワーム出現状態、の二つを定義する。
ユーザ自身がワームの感染に気がつかない場合や、気がついてもパッチやワクチンを用いるなどの対処を取らない場合もあり、インターネットには、常時、様々な種類のワームが観測されており、その意味では常にワーム出現状態にあると言える。
ここでは、Slammerといった非常に感染レートが高く、短時間にネットワーク全体に蔓延する可能性の高いワームが新規に出現し、急激に感染ホストが増加している状態をワーム出現状態と定義する。そして、このような被害の大きいワームに対してパッチやワクチンを開発するまでの時間を稼ぐため、自動的にワーム感染ホストを特定し規制を行うことを最終的な目標とする。
前述した方法により、測定期間長φ、大量フロー生成ホストを定義する生成フロー数の閾値m*、そしてm=m*のホストが特定される確率H*を与え、ネットワークの状態とは無関係に、常時、連続した各測定期間Φの各々において大量フロー生成ホストの特定処理を実施する。
【0012】
新種のワーム検出後、ワームの解析によりパッチやワクチンが作成されワームに対する根本的な解決が可能になった段階で、再度、ネットワークは正常状態に移行する。
正常状態において特定された大量フロー生成ホストは全てホワイトリスト(WL)に収容される。
一方、ワーム出現状態の間は、ホワイトリスト(WL)の更新は行わず、特定された大量フロー生成ホストを直前の正常状態において作成されたホワイトリスト(WL)と比較し、ホワイトリスト(WL)に存在しない場合にのみワーム感染ホストと見なしてレート規制等を行う。
ワーム出現状態中に大量フロー生成ホストとして特定されたホストのうち正常なものは、直前の正常状態においても大量フロー生成ホストとして特定されている可能性が高い。一方、ワームに感染したホストは、感染以後、大量フロー生成ホストとなるため、ワームが検知された時点で既に感染しているホストを除きホワイトリスト(WL)には存在しない。
そのため、ホワイトリスト(WL)を用いることで、特定された大量フロー生成ホストから、効果的にワーム感染ホストを絞り込むことが可能となる。
【0013】
[実施例]
図1は、本発明の実施例のワーム感染ホスト特定処理における最適値設定システムの概略構成を示すブロック図である。図1において、101は設定条件入力装置、102はパラメタ設計装置、103はワーム感染ホスト特定装置、104はワーム感染ホストリスト、105はパケットフィルタ装置である。
設定条件入力装置101により設定条件が入力され、パラメタ設計装置102によりパラメタが設計される。そして設計されたパラメタを用いてワーム感染ホスト特定装置103がワーム感染ホストを特定し、ワーム感染ホストリスト104に特定されたホストのIDが出力される。本リストに基づき、パケットフィルタ装置105がパケットのフィルタリングを実施する。
【0014】
次に、本発明の実施の形態に係るワーム感染ホスト特定処理における最適値設定方法について、最適パラメタ設計、数値評価をそれぞれ説明する。
[最適パラメタ設計の概要]
新しいワームが活動を開始した後、ある時刻(この時刻をt=0とする)に、このワームの出現が検知され、ワーム感染ホストの検出・規制処理が開始される。このワームに対するパッチやワクチンが開発され、根源的な対応が可能となるまでに要する時間をTとする。
0≦t≦Tにおいて、アクティブなワーム感染ホスト(スキャンによる異常トラヒックの生成源となる)数の上限が、このワームに対して脆弱な全ホスト数Nのε倍(εは0<ε<1の任意の実数)に抑えられるよう、ワーム感染ホストの特定・規制処理を行うことを目指す。すなわち、時刻tにおけるアクティブ感染ホスト数をItとすると、0≦t≦Tの任意のtに対して、It≦εNを制約条件に考える。
感染ホストのスキャンレートηは、ワームの種別に依存するが、スキャンレートηが低いワームは感染力が弱く、特定・規制処理を行わなくてもパッチやワクチンの開発を十分に行えるだけの時間的余裕がある。スキャンレートηが高いワームは感染力が強く、特定・規制処理が必要となる。
【0015】
このような観点から、どのようなスキャンレートηを有するワームが出現した場合にも、0≦t≦Tにおいて、It≦εNが満たされるよう、パラメタφ,m*,Η*を設計することを考える(η=m/φであり、m*に対応するη*も同時に設計される)。
特定閾値η*に対して、m*=φη*より定まる整数m*を用いて特定処理が行われる。すなわち、特定閾値は1/φの粒度で丸め込まれるため、測定周期長φが大きなほど特定されるホストのスキャンレートηにおける粒度が細かくなり、ワーム感性ホストの特定・規制処理の精度が向上する。また、φ,m*,Η*以外のパラメタは測定周期ごとに算出されるが、φが大きなほど、パラメタ更新に許容される計算時間の余裕が大きくなる。よって制約条件を満たすφの最大値をφに設定する。
また、システム全体で使用可能なメモリ量Bが一定であるため、ホワイトリスト(WL)のために要するメモリ量Bwlが小さなほど、Superspreader特定処理に使用できるメモリ量が増加し特定精度が向上する。
特定閾値η*が大きなほど、特定対象となるホスト数が減少するためメモリ量Bwlが減少する。さらに、特定閾値η*が大きなほど特定・規制対象となるホストが少数に限定されることから、正常ホストの誤特定による影響を抑えることができる。
以上のことから、特定閾値η*は大きなほど望ましい。−方で、特定閾値η*の増加は、見逃されるホスト数が増加することを意味するため、Itの増加速度が高まる。よって、やはり制約条件を満たすη*の最大値をη*に設定する。
また、Η*が小さなほど、特定されるホスト数が減少するためメモリ量Bwlが減少するが、一方、やはり見逃されるホスト数が増加するためItの増加速度が高まる。よって制約条件を満たすΗ*の最小値をΗ*に設定する。
【0016】
[仮定]
(1)着目するワームに感染したホストは、すべて、同一のスキャンレートηでスキャンを行う。ホストの処理能力を最大限、利用してスキャンを行うBandwidth limited型のワームのスキャンレートηが想定されるηの最大値となるが、ηの想定最大値をηmaxと表記し、η≦ηmaxの任意のスキャンレートηを有するワームを対象とする。
(2)ネットワークの状態として、正常状態とワーム出現状態の二つを考える。ワーム感染ホスト特定法を、双方の状態において常時、適用する。任意のワーム検知方式によってワームの出現がネットワーク全体で検知された際に、正常状態からワーム出現状態に移行する。そして出現したワームに対するパッチやワクチンが開発された段階で、正常状態に復帰する。
(3)ワーム出現状態において特定された感染ホストに対しては、全パケットをフィルタリングする(quarantine)。ワーム検出時点(t=0)で既に感染しているI0個のホストはホワイトリスト(WL)に収容されているため、以後、感染ホストとしての特定対象には含めない。
【0017】
(4)時間を、長さがφの測定周期Фで離散化する。ある測定周期内で新たに感染したホストは、次の測定周期の開始点からスキャンを開始する。また、ある測定周期内で特定されたワーム感染ホストは、次の測定周期の開始点から規制される。
(5)ワームの出現が検知された後の最初の測定周期を測定周期0とし、その開始点における感染ホスト数をI0とし、以後、制御周期kの開始時点における感染ホスト数をJk、さらにアクティブな感染ホスト(未特定でスキャンによる異常トラヒックを生成)数をIkとする。K≡T/φと定義すると、0≦k≦Kの任意のkに対してIk<εNを満たすことを考える。
(6)ワーム感染ホストはランダムに生成したIPアドレスに対してスキャンを行う。該当ホストが実際に存在し、かつ着目ワームに対して脆弱であり、かつ未感染である場合にのみ、一つのスキャンに対して感染ホストが一つ増加する。一つのスキャンにおけるホストの感染確率をβとし、IPV4を想定すると、β=(N−Jk)/232となるが、感染初期ではJkがNと比較して十分に小さいので、β=N/232と近似する。
【0018】
流体モデルを用いて、ワーム感染ホストによって生成されるスキャンの異常トラヒックをモデル化する。これは、伝染病の拡大といった感染が拡大する現象をモデル化する際によく用いられる手法であり、感染パターンに地理的依存性のない均一性が成立する場合にはよい近似を与える。必ずしも全てのワームがランダムに生成したアドレスに対してスキャンを行うとは限らないが、ランダムに行う場合には地理的依存性を無視することができ、ワーム感染ホストの拡大についても本モデルでモデル化が可能である。
ワーム感染ホストを特定・規制しない場合、ワーム感染拡大の初期段階における感染ホスト数Ikの離散時間モデルはIk=(1+βηφ)Ik−1で与えられる。
スキャンレートがηのワーム感染ホストが一つの測定周期Φ内で特定される確率をΗ(η)とする。時刻k=0において特定されたI0個のワーム感染ホストはホワイトリスト(WL)に登録されるため、感染ホスト特定処理期間中は特定されない。よって、Ikは、下記(4)式で表される。
【数4】
この(4)式を解くと、Η(η)≠βηφのとき、Ikは、下記(5)式となり、Η(η)=βηφのとき、Ikは、下記(6)式となる。
【0019】
【数5】
【数6】
【0020】
Superspreader特定方式では、η*=m*/φのホストが、確率Η*で特定されるよう、フローサンプルレートrと特定判断閾値Yを設計する。Yは、1≦Y≦m*の範囲の整数値をとるが、実装メモリ量から特定精度が最適化するようYが自動的に設計される。
以下、η≧η*と、η<η*の場合にわけて考える。
[η≧η*の場合]
(5)、(6)式より、H(η)が最小値をとるとき、k≧0の任意のkに対して、Ikは最大となる。Superspreader特定方式は、実装メモリ量とトラヒック量に応じて、η≧η*のホストの見逃し確率を最小化するように、Yとrを動的に設定する。
Η(η)はYに依存するが、η≧η*のときΗ(η)はYの増加に伴い単調に増加するため、Y=1の場合に制約式を満たせば、任意のYに対しても制約式を満たす。よって、Y=1の場合を考える。
Η(η)は、mを下記(7)として、下記(8)式で与えられる。
【0021】
【数7】
【0022】
よって、Y=1のとき、H(η)=1−(1−r)mとなるが、η=η*のホストに対して、H=H*となるようにパラメタ設計を行うため、1−r=(1−H*)1/m*である。したがって、下記(9)式が得られる。
【数8】
Η(η)=βηφのとき、(6)式に(9)式を代入して、下記(10)式が得られる。
【数9】
よって、ηが最大値ηmaxをとるとき、Ikは最大となるので、η=ηmaxの場合のみ考えればよい。
一方、Η(η)≠βηφのとき、(5)式に(9)式を代入して、下記(11)式が得られる。
但し、z≡βηφ+(1−Η*)η/η*である。Η(η)≠βηφを想定しているので、z≠1であるが、0≦z<1のとき、kの増加に伴いIkは減少するため、k=0のときIkは最大値I0をとる。よって、I0≦εNであれば制約条件を満足する。
【0023】
【数10】
【0024】
次に、z>1の場合について考える。f(η)≡βηφ,g(z)≡(zk−1)/(z−1)とすると、f(η)はη=ηmaxのとき最大値をとる。次に、g(z)について考える。明らかに、g(z)はzが最大値をとるときに最大となる。
【0025】
【数11】
【0026】
∂z/∂ηは、(12)式となるが、0<Η*<1なので、ηの増加に対して、∂z/∂ηは単調に増加する。よって、zはηに対して下に凸であり、η*≦η≦ηmaxの範囲において、zは、η=η*もしくはη=ηmaxにおいて最大値を取りえる。
以上のことから、η=η*とη=ηmaxの二つの場合を各々調べればよい。
[η=η*における制約式]
Η*≠βη*φであり、z=βη*φ+1−Η*>1の場合を考えているので、(5)式より、Ikはkの増加に伴い単調に増加するため、k=Kにおいて制約式を満たせばよい。 (5)式にη=η*,Η(η)=Η*,k=Kを代入して、下記(13)式の制約式が得られる。
【0027】
【数12】
【0028】
[η=ηmaxにおける制約式]
η=ηmaxのとき、ηはη*と比較して十分に大きいので、十分に小さい正の値δを用いて、Η(η)≧1−δと考えることができる。
但し、このとき、(9)式より、Η*は、下記(14)式を満たす必要がある。
【0029】
【数13】
【0030】
以後、Ikの上限を与えるΗ(η)=1−δの場合を考える。βηmaxφ+δ≠1のとき、(5)式に、η=ηmaxとΗ(η)=1−δを代入して、下記(15)式が得られる。
【0031】
【数14】
【0032】
Ikは、kの増加に対して単調に増加するので、k=Kにおいて、IK≦εNを満たすことを考えればよい。よって、φに対する制約式が下記(16)式で得られる。
【数15】
【0033】
一方、βηmaxφ+δ=1のとき、(6)式に、η=ηmaxと、Η(η)=1−δを代入して、下記(17)式が得られる。
【数16】
やはり、Ikはkの増加に対して単調に増加するので、k=KにおいてIK≦εNを満たすことを考えればよい。
K=T/φ=βηmaxT/(1−δ)に注意すると、下記(18)式の制約式が得られる。
【数17】
(16)式を、φに関して数値的に解くことにより、与えられたδに対してφの許容最大値を得ることができる。(18)式を満たすI0の最大値をI*0とすると、β=N/232より、下記(19)式が得られる。
【0034】
【数18】
【0035】
(15)式より、Ikはφの増加に対して単調に増加する。I0>I*0のとき、βηmaxφ+δ≧1の範囲でφを設定すると、η*やΗ*の設定値とは無関係に、Ikが許容値εNを超えるため、βηmaxφ+δ<1となるように、φを設定する必要がある。
βηmaxφ+δ≧1のとき、感染レートが、η=ηmaxのワームによって、測定周期内で新たに増加する感染ホスト数が、感染ホストの特定・規制により減少する数よりも平均的に大きいが、そのような状況でもIk≦εNを満たせるI0の臨界値がI*0であると解釈することができる。
以上まとめると、φ*≡(1−δ)/(βηmax)と定義すると、I0>I*0のとき、(16)式を満たすφの最大値をφ<φ*の範囲で解き、I0≦I*0のとき、(16)式を満たすφの最大値をφ>φ*の範囲で解くことによりφが設計できる。
【0036】
[η<η*の場合]
η<η*のとき、Yの増加に伴い特定確率Η(η)は減少する。よって、Yが最大値m*(ただしη*=m*/φ)のとき、Ikは最大となるため、Y=m*の場合のみ考えれば十分である。
以下、[η≦(m*−1)/φ]と、[(m*−1)/φ<η<η*]の二つの場合に分けて考える。
[η≦(m*−1)/φの場合]
Y=m*のとき、Η(η)は、η=η*において不連続な単位ステップ関数に近く、η≦(m*−1)/φのとき、Η(η)=0と近似できる。よって、(5)式より、下記(20)式が得られる。
【数19】
Ikは、ηの増加に伴い単調に増加するため、η=(m*−1)/φについてのみ考えればよい。また、Ikはkの増加に対しても単調に増加するので、k=Kについてのみ考えればよい。
m*は整数値のみをとることから、Ik≦εNと、(20)式より、m*の許容最大値が下記(21)式で得られる。
【0037】
【数20】
【0038】
[(m*−1)/φ<η<η*の場合]
便宜上、0<ρ<1/φの範囲の値をとるパラメタρを導入すると、η=(m*−1)/φ+ρと表すことができる。近似的に、ワーム感染ホストは一定の間隔1/ηでスキャンを行うと考えると、感染ホストは各測定期間Φ内に(m*−1)回もしくはm*回のスキャンを行う。
m*回のスキャンが実施される測定期間がx個の連続する測定周期ごとに出現すると考えると、下記(22)式が成立する。
【0039】
【数21】
【0040】
(22)式を、xについて解くと、x=1/(φρ)が得られる。よって、着目ホストは、φρの割合の測定周期内で、m*回のスキャンを、(1−φρ)の割合の測定周期内で(m*−1)回のスキャンを行うと考えることができる。
着目ホストは、m*回のスキャンを行った測定周期内で、確率Η*で特定され、(m*−1)回のスキャンを行った測定周期内では全く特定されない。よって、長い時間で見たときの特定確率は、Η(η)=φρΗ*となる。
(5)式に、η=(m*−1)/φ+ρ、Η(η)=φρΗ*を代入すると、下記(23)式が得られる。
【0041】
【数22】
【0042】
但し、X≡1−Η(η)+βηφ=1+β(m*−1)+(β−Η*)φρである。
X>1なので、Ikはkの増加に伴い単調に増加する。よってk=Kの場合のみを考える。k=Kのとき、下記(24)式が得られ、(24)式を、ρについて偏微分すると、下記(25)式が得られる。
【0043】
【数23】
【数24】
【0044】
よって、β≧Η*のとき、0<ρ<1/φの範囲の任意のρに対して、∂IK/∂ρ>0となり、ρ→1/φのときIKは最大となる。
一方、β<Η*のとき、∂IK/∂ρは、ρの増加に対して単調に減少するが、∂IK/∂ρ=0を満たすρの解は、下記(26)式となるため、0<ρ<1/φの範囲の任意のρに対しては、∂IK/∂ρ<0となる。よって、ρ→0のときIKは最大となる。
以上のことから、ρ=0とρ=1/φについて調べれば十分であるが、ρ=0はη=(m*−1)/φに相当し既に調べた。またρ=1/φはη=η*に相当し、やはり既に調べた。
【0045】
【数25】
【0046】
以上の考察から、ηmax以下の任意のスキャンレートηを有するワームの出現が検出された時刻(k=0)の感染ホスト数がI0であり、このワームに対するパッチやワクチンの生成に要する時間がTであるとき、0≦k≦K(K=T/φ)の任意時点におけるアクティブ感染ホスト数比率(Ik/N)を許容値ε以下に抑えるためには、以下の手順でφ,m*,Η*の三パラメタを設計すればよい。
(1)φの設定
I0>I*0のとき、φ<φ*の範囲で、I0≦I*0のとき、φ>φ*の範囲で、(16)式を満たすφの最大値をφに設定
(2)m*の設定
φの設定値を、(21)式に代入して、m*を設定(また、η*=m*/φに設定)
(3)Η*の設定
φとη*の設定値を、(13)式と(14)式に代入して得られる不等式を満たすΗ*の最小値をΗ*に設定
【0047】
[パラメタ設計例]
以下、具体的なパラメタ設計例を示し、どのように三つのパラメタが設計されるかについて考察する。
Slammerのスキャンレートが約4000/秒、脆弱な総ホスト数が約75000台であるとして、ηmax=4000、N=105とした。また、パッチやワクチンの開発に要する時間をT=86400秒(24時間)とし、アクティブ感染ホスト数比率の許容値をε=0.1とした。
三つのパラメタを設計するためには、η=ηmaxのホストの特定確率を定めるパラメタδを事前に与える必要がある。そこでまず、δが三つのパラメタの設計値に与える影響を調べる。
図2に、初期感染ホスト数I0を10もしくは100とした場合の各々について、δを変化させたときの三つのパラメタの設計値を示す。ワームの感染レートが、η=ηmaxの場合に感染ホストの増加と規制による減少が釣合うφの値がφ*=(1−δ)/(βηmax)であるが、φの設定値はδの全領域でφ*に近い。
そのため、δが1に近づくとφは急減するが、δが0.1程度より小さい場合にはほとんど一定となる。また、δの全領域で、δがη*に与える影響は小さい。
一方、Η*は、(14)の制約式によりδの減少に伴い減少するが、δの全領域で小さな値をとるためSuperspreader特定処理にδが与える影響は小さい。
φは大きな方が望ましいためδを0.1程度より小さく設定するのが望ましいが、δ<0.1の領域ではδの影響は無視できるといえる。そこで以後はδ=0.01に設定する。
【0048】
【0049】
このことから、できるだけ早期にワームの出現が検知でき、I0を小さく抑えられるほど、規制対象とすべきワームの感染レートを大きくでき、正常ホストを誤って規制対象とするリスクを抑えることができる。
ところで、I0がεNに近い場合、m*=1となるが、それ以上、m*を小さくすることができず、一方でφが急減するため、η*=m*/φであることからη*は急増する。またNが大きなほどβが増加するため、ワームの感染速度が増大し、m*とη*は減少する。
Η*を定める2つの制約式のうち(13)式は、η=η*のワームに対する制約条件から導出されたが、η=η*−1/φのワームに対してはΗ(η)=0として制約式を導出しているため、この制約式から定まるΗ*の下限値もゼロに近くなる。よって、Η*はほとんど(14)式の第2の制約式で決まり、η*と同じ傾向を示す。
【0050】
【0051】
図5に、Y=1もしくはY=7と強制的にYを設定しワーム感染ホスト特定方式を適用した場合の、アクティブ感染ホスト数Ikの時系列を示す(With I&Q)。ただし、η=3.5(左図)とη=100(右図)とした。比較のため、特定・規制処理を行わない場合(Without I&Q)についても示す。
提案パラメタ設定法を用いることで、Yやηの値にかかわらずIkを低い値に抑え、0≦k≦Kの任意のkに対してIk≦εNが満たされている。
また、図6に、特定されたホストも含めた総感染ホスト数Jkの時系列を同様に示す。感染ホストの多くを規制する結果、新たに感染するホスト数を抑えることができ、総感染ホスト数も大幅に抑えられることが確認できる。
以上説明したように、本発明によれば、フロー計測から得られたデータを用いて、ワームに感染したホストを特定し、規制することにより、ワームの感染拡大を抑えるという効果がある。
以上、本発明者によってなされた発明を、前記実施例に基づき具体的に説明したが、本
発明は、前記実施例に限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは勿論である。
【図面の簡単な説明】
【0052】
【図1】本発明の実施例のワーム感染ホスト特定処理における最適値設定システムの概略構成を示すブロック図である。
【図2】本発明の実施例のワーム感染ホスト特定処理における最適値設定方法において、パラメタδが与える影響を示す特性図である。
【図3】本発明の実施例のワーム感染ホスト特定処理における最適値設定方法のパラメタ設計値の一例を示す図である。
【図4】本発明の実施例のワーム感染ホスト特定処理における最適値設定方法の特定曲線と感染ホスト数の時系列を示す図である。
【図5】本発明の実施例のワーム感染ホスト特定処理における最適値設定方法のアクティブ感染ホスト数の時系列を示す図である。
【図6】本発明の実施例のワーム感染ホスト特定処理における最適値設定方法の感染ホスト数の時系列を示す図である。
【符号の説明】
【0053】
101 設定条件入力装置
102 パラメタ設計装置
103 ワーム感染ホスト特定装置
104 ワーム感染ホストリスト
105 パケットフィルタ装置
【特許請求の範囲】
【請求項1】
フローサンプリングによって得られた統計データのみを用いて、ワーム感染ホストを特定し、規制するワーム感染ホスト特定処理に必要となる測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を最適値に設定するワーム感染ホスト特定処理における最適値設定方法であって、
全ホスト数をN、任意のスキャンレートηを有するワームの出現が検出された時刻をk=0、前記ワームに対するパッチやワクチンの生成に要する時間をTとしたとき、0≦k≦K(K=T/φ)の任意時点におけるアクティブ感染ホスト数比率(Ik/N)が許容値ε以下となる制約条件下での前記測定期間長φに対する制約式を満足する値の中で、最大の値を前記測定期間長φとして設定することを特徴とするワーム感染ホスト特定処理における最適値設定方法。
【請求項2】
前記設定した測定期間長φに基づき、前記特定閾値η*に対する制約式から、前記特定閾値η*を設定することを特徴とする請求項1に記載のワーム感染ホスト特定処理における最適値設定方法。
【請求項3】
前記設定した測定期間長φ、および前記設定した特定閾値η*に基づき、前記特定確率Η*に対する制約式を満足する値の中で、最小の値を前記特定確率Η*として設定することを特徴とする請求項2に記載のワーム感染ホスト特定処理における最適値設定方法。
【請求項4】
フローサンプリングによって得られた統計データのみを用いて、ワーム感染ホストを特定するワーム感染ホスト特定装置と、
前記ワーム感染ホスト特定装置におけるワーム感染ホスト特定処理に必要となる測定期間長φ、特定閾値η*、特定閾値における特定確率Η*の3つのパラメタを設定するパラメタ設計装置とを有するワーム感染ホスト特定処理における最適値設定システムであって、
全ホスト数をN、任意のスキャンレートηを有するワームの出現が検出された時刻をk=0、このワームに対するパッチやワクチンの生成に要する時間をTとしたとき、前記パラメタ設計装置は、0≦k≦K(K=T/φ)の任意時点におけるアクティブ感染ホスト数比率(Ik/N)が許容値ε以下となる制約条件下での前記測定期間長φに対する制約式を満足する値の中で、最大の値を前記測定期間長φとして設定することを特徴とするワーム感染ホスト特定処理における最適値設定システム。
【請求項5】
前記パラメタ設計装置は、前記設定した測定期間長φに基づき、前記特定閾値η*に対する制約式から、前記特定閾値η*を設定することを特徴とする請求項4に記載のワーム感染ホスト特定処理における最適値設定システム。
【請求項6】
前記パラメタ設計装置は、前記設定した測定期間長φ、および前記設定した特定閾値η*に基づき、前記特定確率Η*に対する制約式を満足する値の中で、最小の値を前記特定確率Η*として設定することを特徴とする請求項5に記載のワーム感染ホスト特定処理における最適値設定システム。
【請求項1】
フローサンプリングによって得られた統計データのみを用いて、ワーム感染ホストを特定し、規制するワーム感染ホスト特定処理に必要となる測定期間長φ、特定閾値η*、特定閾値における特定確率Η*を最適値に設定するワーム感染ホスト特定処理における最適値設定方法であって、
全ホスト数をN、任意のスキャンレートηを有するワームの出現が検出された時刻をk=0、前記ワームに対するパッチやワクチンの生成に要する時間をTとしたとき、0≦k≦K(K=T/φ)の任意時点におけるアクティブ感染ホスト数比率(Ik/N)が許容値ε以下となる制約条件下での前記測定期間長φに対する制約式を満足する値の中で、最大の値を前記測定期間長φとして設定することを特徴とするワーム感染ホスト特定処理における最適値設定方法。
【請求項2】
前記設定した測定期間長φに基づき、前記特定閾値η*に対する制約式から、前記特定閾値η*を設定することを特徴とする請求項1に記載のワーム感染ホスト特定処理における最適値設定方法。
【請求項3】
前記設定した測定期間長φ、および前記設定した特定閾値η*に基づき、前記特定確率Η*に対する制約式を満足する値の中で、最小の値を前記特定確率Η*として設定することを特徴とする請求項2に記載のワーム感染ホスト特定処理における最適値設定方法。
【請求項4】
フローサンプリングによって得られた統計データのみを用いて、ワーム感染ホストを特定するワーム感染ホスト特定装置と、
前記ワーム感染ホスト特定装置におけるワーム感染ホスト特定処理に必要となる測定期間長φ、特定閾値η*、特定閾値における特定確率Η*の3つのパラメタを設定するパラメタ設計装置とを有するワーム感染ホスト特定処理における最適値設定システムであって、
全ホスト数をN、任意のスキャンレートηを有するワームの出現が検出された時刻をk=0、このワームに対するパッチやワクチンの生成に要する時間をTとしたとき、前記パラメタ設計装置は、0≦k≦K(K=T/φ)の任意時点におけるアクティブ感染ホスト数比率(Ik/N)が許容値ε以下となる制約条件下での前記測定期間長φに対する制約式を満足する値の中で、最大の値を前記測定期間長φとして設定することを特徴とするワーム感染ホスト特定処理における最適値設定システム。
【請求項5】
前記パラメタ設計装置は、前記設定した測定期間長φに基づき、前記特定閾値η*に対する制約式から、前記特定閾値η*を設定することを特徴とする請求項4に記載のワーム感染ホスト特定処理における最適値設定システム。
【請求項6】
前記パラメタ設計装置は、前記設定した測定期間長φ、および前記設定した特定閾値η*に基づき、前記特定確率Η*に対する制約式を満足する値の中で、最小の値を前記特定確率Η*として設定することを特徴とする請求項5に記載のワーム感染ホスト特定処理における最適値設定システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2009−15427(P2009−15427A)
【公開日】平成21年1月22日(2009.1.22)
【国際特許分類】
【出願番号】特願2007−174064(P2007−174064)
【出願日】平成19年7月2日(2007.7.2)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成21年1月22日(2009.1.22)
【国際特許分類】
【出願日】平成19年7月2日(2007.7.2)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]