修士論文要旨

SDNコントローラの連携によるネットワーク異常検知

中村 千晃 (2022年2月)

異常検知を行うIDS(Intrusion Detection System)は、ホストにIDSを設置するHIDS(Host-based IDS)と、ネットワークに設置するNIDS(Network-based IDS)に大別される。例えばIoTネットワークやセンサネットワークにおいてIDSを利用する場合、センサ自体の性能の低さを背景に、NIDSの利用が有効とされる。しかし、複数のサブネットにまたがるように広域にセンサが配置される場合は、サブネットごとにNIDSを分散配置し、それぞれ運用する必要がある。もし、これらの分散配置された複数のNIDSを全体で1つの仮想的なIDSとして運用できれば、検知済みの攻撃情報の共有ができ、攻撃を回避ないしは被害を軽減することができるのではないかと考えた。

そこで本研究では、サブネットごとのNIDSの連携を目指し、ネットワークの包括的な管理が可能なSDN(Software Defined Network)を利用する。SDNはネットワーク制御部のコントローラとデータ転送部のスイッチで構成される。SDNでNIDSを構成しようとする場合、スイッチはネットワークの統計情報を収集する役割を、コントローラは統計情報を元にNIDSとしての役割を担う。SDNではコントローラがペイロードを読み込めないが、トラフィック監視により、DoS(Denial of Service)攻撃やポートスキャンに対抗できる。

1つのサブネットを1つのコントローラが管理する場合、1つの仮想的なNIDS構築のためにはコントローラ同士を連携させる必要があるが、SDNによるNIDS構築の研究の多くは、単一のコントローラ上での実装に留まっている。複数コントローラの連携については、コントローラの多重化による障害対策を目的とした研究はあるが、セキュリティの側面から取り組まれたものは少ない。特に広域ネットワークでの運用に向けた複数コントローラの連携方法は未だ確立されていない。

そこで本研究では、異なるサブネットに設置されたコントローラ間での連携手法を提案し、その上で、各サブネット間で連携するNIDSのために各コントローラが保持する異常検知の情報を交換させる手法を提案した。他にもコントローラの持つトポロジ情報など様々な情報を共有すべきだが、本研究では異常検知の情報に絞った。シミュレータでの実験を通し、コントローラ間での情報共有により、提案手法が実現可能であることを確認した。現状では単位時間あたりのパケット数による簡易的なDoS攻撃の検知に留まっており、より精密な検知法を検討する必要がある。さらに、コントローラ間で交換する情報数を増やし、連携を強化する必要がある。