IPA


IPAトップ





2004年度未踏ソフトウェア創造事業(未踏ユース)  採択案件評価書


 



1.担当PM


 筧 捷彦   (早稲田大学教授)



2.採択者氏名


 代表者

江端 真行  (電気通信大学大学院情報システム学研究科 )

共同開発者

なし



3.プロジェクト管理組織


  株式会社オープンテクノロジーズ



4.委託支払金額


 2,949,505円



5.テーマ名


  時系列視覚化による計算機監視システム



6.関連Webサイト


  なし



7.プロジェクト概要


 リアルタイムでログの視覚化を行うことによって計算機監視を支援する「時系列視覚化による計算機監視システム」を開発した。このシステムでは,ログの時系列を螺旋によって視覚化することで,比較的長期から短期,そしてログの詳細までの調査を瞬時に行うことができる。各ログの読込み部をモジュール化してあり,種々のログに対応していけるものとなっている。





8.採択理由


  system log, IDS log, Firewall log, network snipher logを同時に表示する,というもの。ここまでの分はすでにある。
 本人の「売り」としては,それらをリアルタイムに表示できるようにすることだという。管理ツールとして有用性あふれるものであるし,採択数との兼ね合いもあるが、是非採択プロジェクトに付け加えたいものの一つ。




9.成果概要

 システムのセキュリティを監視する 3 種類のセキュリティツール ? IPtables, Snort, Sebek ? が吐き出すログ情報を対象として,過去 1 週間にわたっての状況を帯状に螺旋に表示するツールを仕上げた。この表示は,実時間に刻々と動いていく(下図参照)

 

 この螺旋の帯の上に,それぞれの時刻に発生したログの量に比例した高さの短冊が並ぶ。短冊は,対象ログの種類によって色分けして表示されるとともに,そのログ量が多ければ多いほど濃い色に表示される。この工夫によって,一目でログ発生の状況を把握することを可能としている。

 

 常時表示されている螺旋は,1日を1周分として7周分,つまり,現時点から過去に向かって1週間分である。1日を1周分としているから,同じ時間帯が上下に揃って表示されている。この螺旋を回転して表示させたり,一部分を選択して拡大して表示させたりもすることができる。また,この短期間の拡大表示と,もともとの長期間の表示とを同時にマルチビューとして画面表示することも可能としている。

 

 システムは, Java 言語を用い, mySQL をデータベースエンジンとして開発してあり,さまざまなプラットホーム(計算機・ OS )の上に移植することが可能である。また,表示対象として取り込むデータ(ログ)を取り替えたり追加したりする変更が用意に行えるよう配慮した構成に仕上げてある。



江端図



 



10. PM評価とコメント


 

 開発者の 江端真行さんは,大学院修士課程の 1 年生。卒業論文の研究の中で開発した 「時系列視覚化による計算機監視システム」を,より便利な計算機システムの実時間表示を行う監視ツールとして仕上げたい,と未踏ユースに応募してきた。ヒアリングのときにデモで見せてもらったこのシステムは,蓄積された複数のログ情報をするすると閲覧できる,なかなか工夫されたものであった。これを実時間で表示する形に発展させるとともに,日周期,週周期での比較閲覧ができるようにするのだという。

 

 江端さんは,計算機システムのセキュリティ対策を研究テーマとしている。とりわけ,外界からの侵入の検出・遮断・防止に焦点を置いていて,わざわざ外界からの侵入を受け入れてその侵入者の挙動を記録するためのおとりの計算機(これを蜂蜜の壺,  honey pot ,と呼ぶのだそうである)を設けてデータを収集してもいる。その蜂蜜の壺を監視したり,得られたデータを解析したりする道具として自ら便利に使いたい,というのをひそかな目的として,でき上がるシステム自身を,システム監視ツールとして広く使ってもらうことを開発目標としての応募であった。

 

 開発のポイントは,実時間表示することと,日周期,週周期での現象が生じていれば一目でわかる形で長期間分のデータを表示することの 2 点にあった。実時間表示については,応募時から,データベースを利用してデータ蓄積を行いながら実時間で再表示を繰り返す,という方針がたっていた。あとは,ごく標準的な性能のPCでこの再表示が円滑に行えるようにシステムのチューンアップを重ねることでいけそうだという見通しであった。

 

 長時間分のデータをどのように視覚化すればいいかについては,なかなかアイディアが浮かばなかったようである。中間発表の時点では,まだ方針が固まっていなかった。他の参加者との議論の中で, “螺旋”というヒントを得て工夫を始め,最終的には前節の図に見る形の表示に落ち着いた。

 

 螺旋というのは,いい着想である。しかし,なお工夫が必要である。螺旋のピッチと螺旋を眺める視点位置・視線方向の関係をどうとると最適であるか,各データを螺旋に載せて表示するのに短冊形よりも適したものがほかにないのか,などなど,何人かの人に使ってもらって(モルモットになってもらって)そのフィードバックをもらいながら工夫を重ねて洗練していってほしい。

 

 目標の中にあった,“異常検知を支援する”ための適切な自動解析アルゴリズムの開発には手がまわらなかった。残念といえば残念であるが,それだけ可視化の工夫には手間ひまを掛けたということであり,可視化という多くの人に使ってもらうための一番の売りになる部分がそれなりのレベルに仕上がったことでよしとしたい。自動解析アルゴリズムは,今後,江端さん自身の研究の中で見いだしていって欲しいと思う。


 当初の目標のうち,実時間での表示,長期分の日周期・週周期の振る舞いが一覧できる表示,という重要な部分はでき上がった。これを当初からの予定通りに多くの人に使ってもらえるようにするには,なお幾つかの工程が必要になる。それらを早めに仕上げて,広く使ってもらえるように公開にこぎ着けて欲しい。

 

 公開して利用者ができれば,そこからのフィードバックで否が応でもさらに改良を重ねたくなるし,自動解析アルゴリズムを作り込みたくもなる。そうしていっそう磨きのかかったシステムに洗練していってくれることを期待する。



  ページトップへ   






  Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2004