2010年6月9~11日に幕張メッセ(千葉市美浜区)で開催中の「Interop Tokyo 2010」展示会において、アラクサラネットワークスが10Gビット/秒のトラフィックを構成するパケットを全数走査・解析するネットワーク監視装置の試作機「Aggregated Flow Mining AF1」を参考出展している(写真1)。Gビット/秒クラスの回線を監視するにはパケットを一部抽出して統計処理を施すのが一般的だが、AF1では全パケットをリアルタイムに解析。従来は検知・可視化が難しかった問題や不正アクセスを把握できるようにした。
AF1では、パケットのヘッダ部にあるIPアドレスとポート番号について、1対多の関係にあるパケットを判別して順次マイニングする。例えば、一つのIPアドレスから大量のIPアドレスとポート番号に対するアクセスが記録された場合は、あるホストがあるIPアドレス空間にあるホストをポートスキャンしたことが分かる。2秒程度のバーストトラフィックであっても、検知・解析が可能だ。統計処理による推定が最終出力となる監視技術のsFlowやNetFlowでは、1対多の関係把握やバーストトラフィックの発見は難しい。
AF1の構成は、ネットワークプロセッサとメモリーを搭載した処理部と10Gビット/秒のスイッチの組み合わせで、大きさは2U程度。10Gビット/秒トラフィックの全数走査を省リソースで実現するために、マイニング処理に工夫をこらしている。具体的には、1対1の通信など少数ホストに対するアクセスは、マイニング対象の一時データベースから消していく。1対多の関係が極端なパケットのみを解析対象とすることで、一般的なネットワークプロセッサとメモリー容量で10Gビット/秒の全数パケット走査を可能にしている。
ブースでは、解析した情報の利用例として、IPアドレスやポート数を軸にした点グラフを基にした可視化ツールを展示(写真2)。大量のIPアドレスに対して広帯域のトラフィックが発生した場合はホストスキャン、といった情報を点描の位置や密度で直感的に把握できる。
製品化の時期は未定。「アプライアンスとしての製品化や、ネットワーク機器の拡張モジュールとしての提供を検討している」(説明員)という。
