研究内容

データセンターネットワークアーキテクチャ

ネットワークを介したサービスが多様化し、データセンター内で処理されるデータ量が増加している。 データ量の増加に伴い、それを処理するデータセンター内のサーバー数も増加しており、1 箇所のデータセンターで数万台から数十万台のサーバーが収容されるように なってきている。データセンターでは、サーバー間の通信性能がデータセンターの処理性能に大きな影響を与えるため、データセンターに適したネットワークを構築・制御する手法に 注目が集まっている。データセンターネットワークは、データセンター内の処理のボトルネックにならないように、十分な帯域をサーバ間に確保する必要がある。また、大規模なデータセンターでは機器の故障は頻繁に発生するため、一部の機器が故障した際にもデータセンターで提供しているサービスを維持することが必要となる。 さらに、ネットワークを構成する機器数が大きくなるにつれ、データセンターネットワークの消費電力も大きくなっており、消費電力の削減もデータセンターネットワークにとって大きな課題である。

本研究では、上述の目標を達成にむけて、光通信機器を効率的に用いることにより、低消費電力、耐故障性を持ちつつ、十分な帯域を確保可能なネットワーク構成や、データセンターネットワークの消費電力を削減するための、仮想ネットワーク制御手法の検討を行っている。

主要関連論文

  1. Yuya Tarutani, Yuichi Ohsita, and Masayuki Murata, "A Virtual Network to Achieve Low Energy Consumption in Optical Large-scale Datacenter," in Proceedings of IEEE International Conference on Communication Systems, Nov. 2012.
  2. Yuichi Ohsita, and Masayuki Murata, "Data Center Network Topologies using Optical Packet Switches," in Proceedings of DCPerf 2012, Jun. 2012. [IEEE]
  3. Yuichi Ohsita, "Trends in Research on Data Center Networks," Tutorial Talk, APNOMS, Sep. 2012.

大規模ネットワークにおけるトラヒックエンジニアリング手法

近年、Peer-to-Peer、Video-on-Demand、SaaS やPaaS などのネットワークを介した様々なアプリケーションが普及するにつれ、ネットワークを流れるトラヒックの時間変動が大きくなっている。ネットワークの管理者は、大きなトラヒック変動が生じた場合でも、輻輳を生じることなく、全トラヒックを収容する必要がある。経路変更を行うことなく、起こりうるすべてのトラヒック変動に対応するような経路を設計することもできるものの、各時刻のトラヒックに合わせて経路設計をした場合の2 倍以上の帯域が必要となる。

トラヒック変動に効率的に対応する方法としては、ネットワーク内の経路やトポロジを、各時刻のトラヒックに合わせて動的に変更することが有効である。ネットワーク内の経路を動的に変更す る手法は、トラヒックエンジニアリングと呼ばれ、さまざまな手法が提案されている。トラヒックエンジニアリングでは、各時刻のネットワーク内のトラヒック観測情報に基づいて、各時刻のトラヒックを収用するのに適切な経路やトポロジを設計する。しかしながら、ネットワークの規模が大規模になると、制御に必要なトラヒック観測情報の頻繁な収集にかかる負荷や、適切な経路・トポロジの計算にかかる時間の問題があり、従来型トラヒックエンジニアリングで頻繁に発生する環境変動に追随することは困難である。

本研究では、上記の問題を解決するため、トラヒック観測と連携したトラヒックエンジニアリング手法や、制御範囲を階層化することにより、計算時間を削減したトラヒックエンジニアリング手法の検討を行っている。

主要関連論文

  1. Yuya Tarutani, Yuichi Ohsita, Shin'ichi Arakawa, and Masayuki Murata, "Optical-Layer Traffic Engineering with Link Load Estimation for Large-Scale Optical Networks," IEEE/OSA Journal of Optical Communications and Networking, Vol.4, No.1, pp. 38-52, Jan 2012. [OSA] [IEEE]
  2. Yuichi Ohsita, Takashi Miyamura, Shin'ichi Arakawa, Shingo Ata, Eiji Oki, Kohei Shiomoto, and Masayuki Murata , "Gradually Reconfiguring Virtual Network Topologies based on Estimated Traffic Matrices," IEEE/ACM Transactions on Networking, Vol.18, No.1, pp. 177-189, Feb 2010. [IEEE] [ACM]
  3. Yuichi Ohsita, Takashi Miyamura, Shin'ichi Arakawa, Kohei Shiomoto, and Masayuki Murata , "Hierarchical dynamic traffic engineering considering the upper bounds of link utilizations," in Proceedings of IEEE Globecom, Dec. 2011.[IEEE]

トラヒックマトリクス推定手法とその応用

ネットワークを管理・運営する上で、各エッジルータ間のトラヒック量を把握することは重要であり、 これらは、ネットワーク設計や、異常検知手法などへ用いることができる。このエッジルータ間のトラヒック量を行列として表現したものを一般的にトラヒックマトリクスと呼ぶ。トラヒックマトリクスを直接取得するためには、各エッジルータ間でフルメッシュのパスを構築し、それらを観測する必要があり、ネットワーク規模が大きくなると実現が非常に困難となる。そこで、各ルータが計測可能な入出力トラヒック量、リンク使用率などの情報を用いることで、エッジ間トラヒックを推定する、トラヒックマトリクス推定に関する研究が行われている。しかしながら、推定されたトラヒックマトリクスには誤差が含まれるため、誤差がそれを入力として用いる手法の性能へ大きな影響を与えることが懸念される。

本研究では、このトラヒックマトリクス推定の適用範囲として、DDoS攻撃の攻撃元特定とトラヒックエンジニアリング手法に焦点を当て、トラヒックマトリクスの推定誤差の影響の評価、誤差の影響の削減方法等の検討を行っている。

主要関連論文

  1. Yuichi Ohsita, Takashi Miyamura, Shin'ichi Arakawa, Shingo Ata, Eiji Oki, Kohei Shiomoto, and Masayuki Murata , "Gradually Reconfiguring Virtual Network Topologies based on Estimated Traffic Matrices," IEEE/ACM Transactions on Networking, Vol.18, No.1, pp. 177-189, Feb 2010. [IEEE] [ACM]
  2. Yuichi Ohsita, Takashi Miyamura, Shin'ichi Arakawa, Eiji Oki, Kohei Shiomoto, and Masayuki Murata "Estimation of current traffic matrices from long-term traffic variations," IEICE Transactions on Communications, Vol.E92-B, No.01, pp. 171-183, Jan 2009. [IEICE]
  3. Yuichi Ohsita, Shingo Ata, and Masayuki Murata, "Identification of Attack Nodes from Traffic Matrix Estimation," IEICE Transactions on Communications, Vol.E90-B, No.10, pp.2854-2864, Oct 2007. [IEICE]
  4. 大下裕一, 荒川伸一, 村田正幸 "交流トラヒック行列推定手法とネットワーク制御への応用," 電子情報通信学会会誌, Vol.93, No.4, pp. 293-297, Apr. 2010. [CiNii]

DDoS 攻撃対策

近年,インターネットの急速な発展により,ネットワークを介した,様々なサービスが提供され,その利便性は増すばかりである.その一方で,悪意を持った第三者がサービスを提供する計算機に攻撃を行い,一般ユーザの利用を妨げる分散サービス拒否 (Distributed Denial of Service; DDoS) 攻撃が深刻な問題となっている.DDoS は,各端末が生成する攻撃トラヒックがさほど影響を与えないものであっても,同時に攻撃を行う端末が非常に多ければ,サーバへの影響は深刻になる。そのような多数の攻撃者からの攻撃パケットを一点で対応するのはスケーラビリティの問題があり、分散した複数個所で攻撃パケットの識別・遮断を行う必要がある。

DDoS攻撃の対策を対策を行うには、早期発見し、攻撃元特定、そして、分散箇所での攻撃パケットの遮断を行う必要がある。しかしながら、攻撃には通常通信に使われるパケットと同種のものが用いられるため、攻撃の検出が難しく、攻撃パケットの遮断も難しい。また、攻撃パケットの多くは送信元が偽装されているために、パケットのヘッダ情報から攻撃元を特定することもできない。

そこで、本研究では、これらの問題点を解決するために、統計情報を元にした攻撃検出手法、トラヒック量の観測情報を用いた攻撃元特定手法、分散箇所での攻撃防御方法について検討をおこなっている。

主要関連論文

  1. Yuichi Ohsita, Shingo Ata, and Masayuki Murata, "Deployable Overlay Network for Defense against Distributed SYN flood Attacks," IEICE Transactions on Communications, Vol.E91-B, No.8, pp. 2618-2630, Aug 2008. [IEICE]
  2. Yuichi Ohsita, Shingo Ata, and Masayuki Murata, "Identification of Attack Nodes from Traffic Matrix Estimation," IEICE Transactions on Communications, Vol.E90-B, No.10, pp.2854-2864, Oct 2007. [IEICE]
  3. Yuichi Ohsita, Shingo Ata,, and Masayuki Murata, "Detecting distributed Denial-of-Service attacks by analyzing TCP SYN packets statistically," IEICE Transactions on Communications, Vol.E89-B, No.10, pp. 2868-2877, Oct 2006. [IEICE]