サンプリングレートによる解析結果の変化
2024年11月01日
はじめに
昨今、コンピュータ性能向上や利用目的の多様化、接続されるホスト数の増加により、ネットワークトラフィックは日々増大しています。ネットワーク監視やトラフィック解析のニーズも相まって、ネットワーク全体のトラフィックを可視化するためには大規模なストレージが求められるようになってきています。HDDの価格は一昔前に比べればはるかに安価となっていますし、またNetFlowの情報はパケットのヘッダー情報のみを参照する為、パケットキャプチャに比べればはるかにデータ量は少ないですが、有限なストレージを有効活用する為、Flowmonのお客様でもFlow生成時のパケットサンプリングを検討されることがあります。パケットサンプリングは一般的な技術として広く認知されていますが、信頼性はサンプリングレートの設定に大きく依存しており、適切な設定を行わないと解析結果が大きく変わってしまう可能性があります。パケットサンプリングについては、お客様からしばしばお問合せがありますが、適切な回答が難しく、改めて弊社環境を用いて検証しました。
※あくまでも弊社検証環境における結果であり、お客様の環境によっては異なる結果となる可能性があります。
サンプリングレートとは
まずサンプリングレートについて説明します。NetFlow界隈におけるパケットサンプリングとはトラフィックとして流れるパケットをどのような粒度で収集するかを決定するパラメータです。例えば、1:1000のサンプリングレートは、1000パケットに1つ、1:4000のサンプリングレートでは4000パケットに1つのパケットを収集しFlow化することを意味します。つまり、サンプリングレートが高いほど、参照されないパケットが増え、ネットワークの詳細情報は少なくなります。これにより、生成されるFlow数が少なくなりFlowを保存するストレージが節約できます。一方、サンプリングレートが低いと、詳細な情報が得られる代わりにFlow数が増え、大容量のストレージが必要になります。
検証内容及び前提
-
以下の前提で弊社環境でのデータをもとに、異なるサンプリングレートが解析結果に与える影響を検証します。
- 本検証では同一のトラフィックを、異なるサンプリングレートでFlow生成しA(サンプリングなし)とB(サンプリングレートを動的に変更)の差分を比較し百分率で表示する。
- A、B共にサンプリングレート0の場合の差分は0として扱う。 (補足)FlowmonでサンプリングされたFlowを受信した際の処理について
トラフィック量にパケット数にサンプリングレートの倍率を乗算することで実際に流れたトラフィック量として出力します。
検証結果・解釈
今回の検証ではサンプリングレートが高くなるほど誤差が大きくなり、事前に想定していた通りの結果となりました。低いサンプリングレートでは、比較的正確なトラフィックパターンを出力します。反対にサンプリングレートが高いと誤差は増加傾向となります。全体的なトレンドや傾向把握では大きな問題にはなりませんが、異常トラフィックを見逃す可能性が増加します。
サンプリングレートを設定する際には、ネットワークの規模、トラフィック量、必要な解析の詳細度、システムの処理能力などを総合的に考慮する必要があります。小規模ネットワークであれば、そもそも流れるパケットが少ないため、サンプリングなしが望ましいです。反対に大規模ネットワークでは、ある程度高いサンプリングレートでサンプリングをおこなってもパケット数が多いためさほど影響ないことが想定されます。とはいえ、バーストトラフィックを可視化したいという場合には、サンプリングレートを下げるなどの工夫が求められます。長期的なトレンド分析等には高サンプリングレート、セキュリティ監視や異常検知を主目的とする場合は、低サンプリングレートに設定することが良いでしょう。このように分析目的によってサンプリングレート使い分けることが望ましいと考えられます。
実際の事例
某企業では、初期設定でサンプリングレートを1:8000にしていたため、トラフィックの一部が見逃され、異常なトラフィックパターンの検出が遅れてしまうという問題が発生しました。その後、サンプリングレートを1:1000に調整したところ、セキュリティインシデントの迅速な対応とストレートコストの増加を最小限に抑制することができました。まとめ
ノンサンプリングが最も正確なトラフィックになるということは言うまでもないですが、サンプリングが必須な場合にそのレートは、ネットワーク解析の精度と効率のバランスを取る上で極めて重要な要素です。ネットワーク管理者には、自社のネットワーク環境に応じて最適なサンプリングレートを評価し、適切なトラフィック解析が行えるように調整することが求められます。これにより、高度なセキュリティ対策と効率的なネットワーク運用が実現できると考えられます。なおFlowmonは秒間最大で40万フローを受信でき、データは集約されずに生データで保存するため、ノンサンプリングでフローを収集したいというニーズにマッチしています。Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
関連情報
コラム記事:
Flowmon製品のお客様評価
ランサムウエア検知でのADSのシナリオ
ランサムウェア脅威への対策
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)