新トレースバック方式InterTrackとは
InterTrackとは?
筆者の所属している奈良先端科学技術大学院大学(以下、NAIST)では、情報通信研究機構(NICT)の委託研究「インターネットにおけるトレースバック技術に関する研究」にて産学連携の委託研究コンソーシアムを結成し、平成17年度からインターネットにおけるトレースバックの実用化に関して技術面、運用面、法律面の課題に対しさまざまな角度から研究開発を行っています(詳細は参考文献1を参照)。
NAISTでは「現実的なトレースバックアーキテクチャ」としてInterTrackの研究開発を行ってきました。InterTrackは「トレースバックシステムを運用ドメインごとに個別で分割統治し、悪用されにくい形で相互接続を実現すれば、現実的なトレースバック網が構築できる」という基本思想から設計されています(図2)。
InterTrackのキーコンセプトは以下の3点になります。
・段階的トレースバック
・トレースバックシステムのモジュール化
・パケットハッシュによるトレースバック技術の相互接続
以降は上記の3つの設計コンセプトに関して順に説明していきます。
InterTrackの3つのキーコンセプト
まず、段階的トレースバックを解説しましょう。
段階的トレースバックは、まず探索するネットワークの範囲を絞り込む「初動調査」を実施し、続いて必要に応じて発信源ホストや詳細経路の特定する「詳細調査」を行う、というように2段階でトレースバックを実施するものです。
「初動調査」では端点に位置する運用ドメインが特定できれば十分です。最初から「詳細調査」は行わないので短時間で終了します。一方、時間のかかる「詳細調査」は「初動調査」でつきとめた発信源と絞り込まれた運用ドメインのみ対象とします。また、機密情報を含む「詳細調査」の結果がトレースバック網を介して容易に入手できることは情報セキュリティーの観点から好ましくないので、「詳細調査」を「初動調査」とは別に、対象のネットワークで個別に実施するようにしています。このように、段階的トレースバックにより効率の向上とセキュリティー面の不安の両方を解消できるのです。
続いて、トレースバックシステムのモジュール化について説明します。
トレースバックを実現するにあたって想定できる要求として「コアはフローサンプリング方式、エッジはハッシュ方式という複数のトレースバックシステムを併用したい」、あるいは「新技術を取り入れたプローブに即座に入れ替えたい」というものがあります。そのためにはプローブやトレースバックシステム全体のモジュール化が必要です。
InterTrackでは管理マネージャでプローブを管理し、管理マネージャ間ではXMLを用いた標準メッセージを用いてプローブやトレースバックシステム全体のモジュール化を実現しています。この形式だと、管理マネージャとプローブの間は独自プロトコルでも問題ありません。
最後に、パケットハッシュによるトレースバック技術の相互接続です。
前述した4つのトレースバック方式は、パケットを収集し、解析結果や「指紋」を残す点ではどれも同じです。そこで、InterTrackでは「ハッシュ方式」を応用し、使用するハッシュ関数とハッシュ関数への入力フォーマットを標準化することでトレースバック技術間の相互接続を実現しています。
InterTrackが相互接続可能なトレースバック技術は「パケットハッシュを作成し、保持することができるトレースバック技術」のみに限定してしまいますが、前述の4つのトレースバック技術ではどれでもパケットハッシュを作成可能です。
パケットハッシュなら外部に渡しても原情報であるパケットの復元はほぼ不可能となります。プローブ側でもパケットハッシュをメモリにキャッシュし、一定時間経過後消去するという実装ならば、ペイロードに含まれていた情報の悪用を避けられますし、プローブでの検索の高速化と必要な記憶領域も削減できます。