卒業論文要旨

SDNによるポートスキャン検知

中村 千晃 (2020年2月)

昨今の日本において、企業や組織における端末の数が増え続けている。そのため、セキュリティの確保がより一層叫ばれる一方で、端末1つ1つに対するセキュリティ対策が追い付かないという問題がある。侵入検知などのセキュリティ確保は、従来であれば、計算機ホストおよび、インターネットの接続口であるファイアウォールや無線ルータにておこなわれている。従来の技術に対し、さまざまな攻撃から端末を守るためのセキュリティ確保を、例えばネットワークにおける中継ルータでおこなう研究、すなわちトラフィック上流でおこなう研究が始まっている。トラフィック上流にてセキュリティ確保をすることにより、1つ1つの端末に対して必ずセキュリティパッチを当てることが可能となる。また、端末とトラフィック上流でのセキュリティ確保を二重にすることにより、より強固なセキュリティ対策が可能になる。

トラフィック上流にて検疫をする手段として、SDN(Software Defined Network)を用いた仕掛けが考えられる。SDNはデータプレーンを制御するコントロールプレーンと、データの転送をするデータプレーンが分離している。従来のネットワークは、コントロールプレーンとデータプレーンが一体となっており、設定変更は、1箇所の設定を変更した場合、それ以外の箇所の設定を、管理者が手動で変更する必要があった。SDNでは、設定はコントローラがおこなうため、管理者がコントローラが設定を変更さえすれば、ネットワーク全体の設定を変更可能となる。つまり、SDNでは動的かつ一括設定が可能である。以上の利点を持つSDNに、トラフィック制御をおこなう仕掛けを組み込むことができれば、トラフィック上流において異常なトラフィックを検知することが可能となると考えた。

また、ネットワークでのセキュリティ対策として、DDoS(Distributed Denial of Service)攻撃対策や、ポートスキャン対策などが挙げられる。どちらの攻撃も、サービスに甚大な影響が出るため、対策が必須となる。複数の端末から大量のデータを特定のサーバに対して送りつけるDDoS攻撃をSDNで検知し、対策するには、エントロピーやカイ二乗などの統計に基づいたものや、機械学習に基づいたものが報告されており、SDNによってトラフィック上流でのセキュリティ対策が有効であることが示された。一方で、SDNでのポートスキャン対策については、取り組まれている研究がほとんどなく、未解決に等しい分野と言えるため、本研究では、SDN を用いたポートスキャン検知に取り組んだ。そして、実装し実験をおこない、本研究における提案手法の有効性を示した。