高機能主要機能
- インターネット・トラフィック分析
- 隣接ASトラフィック分析(SPモデルのみ)
- バックボーン・トラフィック分析
- ルータ・トラフィック分析
- インターフェース・トラフィック分析
- サブネットワーク分析
- ルールベースレポート
- スナップショット
- 不正トラフィック検出
- 不正トラフィックのレポート、追跡
- DDoS攻撃の緩和(Mitigation)(SPモデルのみ)
インターネット・トラフィック分析
ユーザがネットワークのトポロジーに応じてインターネットとの境界をいったん定義すると、インターネット・トラフィック・モデリング機能がインターネットからのトラフィック、インターネットへのトラフィックを自動的に分類し、サマリー・レポート、詳細レポート、属性レポートといった各種レポートを自動的に生成します。サマリー・レポートでは、ホーム・ネットワークへ流入するトラフィック、ホーム・ネットワークから流出するトラフィック、といった大局的な各種データを提供します。詳細レポートは、さらに詳細なデータ、例えば、それぞれのサブネットワークから(もしくはサブネットワークへ)のインターネット・トラフィック、Origin ASまたはPeer AS毎のトラフィック、といった情報を提供します(AS関連レポートはSPモデルのみ)。属性レポートでは、アプリケーション、プロトコル、ポート番号、ToS、パケットサイズなどについての分析結果を表示します。
隣接ASトラフィック分析(SPモデルのみ)
ユーザがネットワークトポロジーに応じて隣接ASを定義すると、隣接ASトラフィック・モデリング機能が隣接ASを経由してホーム・ネットワークに流入するトラフィック、ホーム・ネットワークから流出するトラフィックを自動的に分類し、サマリー・レポート、詳細レポート、属性レポートといった各種レポートを自動的に生成します。サマリー・レポートは、ホーム・ネットワークと各隣接ASとの間のトラフィックの比較、および、各隣接ASに関する詳細な分析結果を表示します。詳細レポートは、隣接ASに関するさらなる詳細データ、例えば、特定の隣接ASと各サブネットワークや他の隣接AS間のトラフィック、ASパス長、BGPメッセージの分析、といった情報を提供します。属性レポートでは、アプリケーション、プロトコル、ポート番号、ToS、パケットサイズなどについての分析結果を表示します。
バックボーン・トラフィック分析
ユーザがネットワークトポロジーに応じてバックボーン境界を定義すると、バックボーン・トラフィック・モデリング機能がバックボーン・トラフィックを自動的に分類し、サマリー・レポート、コア・ルータ・レポートといったレポートを自動的に生成します。サマリー・レポートでは、ホーム・ネットワークからホーム・ネットワークへのトラフィック(On-Netトラフィックと呼ばれる)、インターネットからホーム・ネットワークへの流入トラフィック(インターネットからバックボーンを経由してホーム・ネットワークに流入するトラフィック; Off-Net Inトラフィックとも呼ばれる)、ホーム・ネットワークからインターネットへ流出するトラフィック(ホーム・ネットワークからバックボーンを経由してインターネットに流出するトラフィック; Off-Net Outトラフィックとも呼ばれる)、といったバックボーンの流入・流出トラフィックについてレポートします。コア・ルータ・レポートでは、コア・ルータ毎のトラフィックのサマリー、および、それぞれのコア・ルータのトラフィックの詳細情報を提供します。
ルータ・トラフィック分析
ルータ・トラフィック分析は、システムに登録されたすべてのルータのトラフィックとステータスを監視するものです。ルータがシステムに登録されると、自動的にそのルータのモニタリングが開始され、トラフィックやCPU、メモリの使用率、BGPメッセージ、BGP Next Hop分析結果がレポートされます。またMPLSに関するレポートも生成されます。(BGP、MPLS関連レポートはSPモデルのみ)。
インターフェース・トラフィック分析
インターフェース・トラフィック分析では、登録された各インターフェースのトラフィック比較、特定インターフェースのフローおよびSNMPでのトラフィックレポートなどがレポートされます。また、各インターフェースで、どのIPアドレスが最も多くのトラフィックをやりとりしたかを示す「トップトーカー・レポート」も出力されます。属性レポートとして各インターフェースのアプリケーション、プロトコル、ポート番号、ToS、パケットサイズ毎のトラフィックレポートも出力されます。各インターフェースについてNetFlow / sFlowで見た場合のトラフィックとSNMPで見た場合のトラフィックが同一のグラフ上に描画されるため、NetFlow / sFlow関係の設定ミスなどを容易に発見することができます。
サブネットワーク分析
ユーザがネットワークトポロジーに応じてサブネットワークを定義をすると、サブネットワーク・トラフィック・モデリング機能がサブネットワークを通過するトラフィックを自動的に分類し、サマリー・レポート、詳細レポート、属性レポートを自動的に生成します。サマリー・レポートからは、各サブネットワークのトラフィックの比較、および、ホーム・ネットワークもしくはインターネットからの特定のサブネットへのトラフィックといった、各サブネットごとの詳細なトラフィック分析レポートが得られます。詳細レポートは、特定のサブネットワークや他の隣接ASに関するトラフィックといったサブネットワーク関連の更なる詳細な分析結果を提供します。インターフェースレポートと同様、各サブネットについてトップトーカー分析も行われます。属性レポートでは、アプリケーション、プロトコル、ポート番号、ToS、パケットサイズなどについての分析結果を表示します。
ルールベースレポート
GenieATM 6000のルールベースレポート機能は、ユーザが自由に指定して各種レポートを作成できるカスタム・レポーティング機能です。レポートしたいトラフィックをAcess Control List (ACL)的に記述することができるため、ユーザが興味関心のあるトラフィックをピンポイントで指定することができます。また、ACLにマッチしたトラフィックについて、何をキーに分析するかもユーザが自由に指定することができるため、ユーザが欲しているレポートを簡単に作成することができます。
スナップショット
「スナップショット」機能は、指定されたエリアにおけるリアルタイムなトラフィックに関するさまざまな分析を行うもので、Top-Nスナップショット・レポートが円グラフや表形式で瞬時に表示されます。
スナップショットは、「IPブロック」、「プロトコル+ポート」、「インターフェース」、「Peer AS」、「Origin AS」、「BGPコミュニティー」、「TCPフラグ」、「ToS値」やトラフィックのスコープなどを条件に指定することもできます。Top-Nレポートは、その瞬間におけるトラフィック量(bps)、パケット数(pps)、セッション数(fps)ごとに順位付けされて表示されます。この順位付けされたレポートにより、ユーザはネットワークの最新の状態を把握することができ、異常トラフィックの送信元アドレス、送信先アドレス、トラフィックの特徴といった情報も瞬時に得ることができます。また、過去に蓄積されたフローデータ(生データ)を対象にスナップショット分析が行えるため、過去にさかのぼってさまざまな分析を何度でも行うことができます。
不正トラフィック検出
GenieATM 6000はネットワーク全体でのトラフィック分析を行うだけでなく、高精度な不正トラフィック検知機能を持っています。ネットワークに影響が出たりパフォーマンスに劣化が生じたりする前にDoS / DDoS攻撃や誤ったルーティング設定などをタイムリーに発見することができ、更なる被害の拡大などが起きないよう、すばやくネットワークオペレータに通知をすることができます。GenieATM 6000にはさまざまな不正 トラフィック検出メカニズムが用意されており、トラフィックのスコープに関しては、トラフィック不正検出、プロトコル不正使用検出、アプリケーション不正使用検出メカニズムの3つが用意されています。また、ネットワーク機器(ルータ)に関しては、インターフェース・トラフィック不正検出、および、BGPアップデート・メッセージによる不正検出、BGPハイジャック分析による検出などがサポートされています。これらの不正検出メカニズムにより、既知・未知にかかわらず、不正トラフィックを効率的に検出することが可能です。
- トラフィック不正検出は、通常時のネットワーク・トラフィックからベースラインを動的に学習し、このベースラインをもとに、いかなるタイプの攻撃でも異常トラフィックとして検出をすることができます。
- プロトコルの不正使用検出は、観測されたトラフィックと、プロトコルの誤使用やDoS / DDoS攻撃に関するシステムに組み込まれたルール(シグネチャ)とを照らし合わせることによって 不正トラフィックを検出します。
- アプリケーション不正使用検出は、既知のワームやDoS / DDoS攻撃に関するルールやユーザによって定義されたフローのシグネチャと観測トラフィックを照らし合わせることによって不正トラフィックを検出します。
- インターフェース・トラフィック不正検出は、SNMPポーリングをべースにした検出モデルで、L2ネットワークの分析も可能になっています。インターフェースに関する測定は、スループット、パケット数、インターフェースの使用率、CRCエラー数、廃棄パケット数、マルチキャスト・ブロードキャストパケットのパーセントに対して行われます。
- ダークIP検出は、通常ネットワーク上で使われることはないはずのIPアドレスに関するトラフィックのレポートを行います。多くの場合ダークIPを使ったトラフィックは、送信元アドレスを詐称した攻撃トラフィックであることが多いため、ダークIPレポートでこのような攻撃をいち早く発見することができるようになります。
- BGPアップデート・メッセージによる不正検出は、BGPルータのアップデート・メッセージを分析することにより、極端なアップデート・メッセージがあった場合に不正であると判断し通知を行います。
- BGPハイジャック分析による検出は、BGPルータから受信された経路情報を分析比較し、ネットワークでBGPハイジャックが起こっていないかどうかを調査します。もしハイジャックが行われていると判断された場合は即時に通知を行います。
不正トラフィックのレポート、追跡
GenieATM 6000は詳細な不正トラフィック・レポートを生成するだけでなく、攻撃元を追跡したり、検出された不正トラフィックをどう扱うべきかについての提案も行います。
まず、GenieATM 6000は検出された不正トラフィックを、「不正イベント」と「アラート・イベント」の二つのカテゴリに分類します。不正イベント・アラームは、トラフィック・ベースラインから検出されたすべての不正トラフィックの一覧です。一方、アラート・イベントは、トラフィック・ベースラインから検出されたもの以外のものをさします。システムは、検出された不正を一目でわかるリスト形式で表示し、ユーザが最新のネットワークの全体像を素早く把握できるように配慮されています。
スナップショット機能は、アラーム・システムに統合されており、リアルタイムで不正の追跡を行うことができるようになっています。ユーザは検出された不正トラフィックを特定のスコープでスナップショット分析を行うことができ、不正トラフィックのすべての特徴が完全に明らかになるので、不正トラフィック検出の精度を飛躍的に高めることができます。
トラフィックの問題を確認した後、システムは適切なACLコマンドを自動的に生成することができます。このACLを実際にルータに適用することにより、すばやく、効率的に問題解決を図ることができます。この機能により、ネットワーク・オペレータが通常、必要な情報を収集するのに費やさなければならない時間を大幅に低減することができ、攻撃に対して迅速なアクションを取ることができるようになります。また、通常のセキュリティー監査や危機管理のために必要となる時間も大幅に節約することができます。
DDoS攻撃の緩和(Mitigation)(SPモデルのみ)
GenieATM 6000 は検出したDDoS攻撃を緩和するための以下の2つの機能を持っています。
- Cisco Guard、Radware Defense Proとの連携
- Blackhole Routing / Sinkhole Routing
GenieATM 6000が検出したDDoSに関する情報を、Cisco Guard、Radware Defense Proといった、いわゆる「トラフィック・クリーンアップ装置」に送ることにより、これらの機器が攻撃トラフィックのみを廃棄し、正常トラフィックをネットワークに戻してやることができます。
また、これらの外部機器を使わずに、GenieATM 6000単体でBGPの経路情報を操作することにより、不正トラフィックを廃棄したり(Blackhole Routing)、特定の機器に振り向ける(Sinkhole Routing)ことも可能となっています。
