ネットワークアクセス制御(Ver.1)
あるサーバが特定ポートに通信を許可するネットワークアクセス制御設定にしてあるとき、本モデル上ではサーバ上のL4ノードには1本のリンクが存在することになります。一方、複数のポートに通信を許可している設定では、その数だけのL4ノード数とL4リンク数が存在します。また複数のサーバが同一セグメントに存在していて、それぞれがネットワークアクセス制御をしていない場合、IPのレベルでは各サーバ間は通信可能となり、本モデルではそれらサーバのL3ノード間がすべてリンクで結ばれるように表現されます。このように、ネットワークスのアクセス制御が異なると、ノードから出るリンクの本数(次数)が変わってきます。ここでは、ネットワークシステム(NS)のアクセス制御状態の特性の解析を、各ノードから出るリンク数の分布(次数分布)を対象に行いました。
次数分布
対象としたNS群は、NSの典型的機能構成としてインターネット、フロントWebサーバ、アプリケーションサーバ、データベースの、4つのL5ノードを持つものとしました。データはデータセットのものを利用しています。
アクセス制御アルゴリズムによる特徴変化
LooseケースとEfficientケースの次数分布を比較したところ、リンク数3を持つノード数が最大となり、リンク数4以上のノード数が段階的に減っているという共通点がありました。しかしEfficientケースではリンク数4以降の分布がなだらかなのに比較して、Looseケースでは値が上下しています。また、LooseケースはEfficientケースと比較して低いピーク値を持ち、ピーク値以外ではEfficientケースよりも大きな値を持つなど、Efficientケースと比較して平坦な分布になっています。これらの差は、L3やL4での部分完全グラフにより、リンク数の多いノードがEfficientケースに比べて多く存在することが影響していると考えられます。
モジュールの有無による特徴変化
L1Rの有無による次数分布を比較すると、LooseケースとEfficientケースに変化が見られました。まずLooseケースでは、L1Rを持つNSの次数分布は、L1Rを持たないNSの次数分布と比較してより平坦になっているのが分かります。これはL1Rの存在が、L2において部分完全グラフを生成させることにより、L2ノードの平均次数が上がり、さらにそれがL3以降にも影響しているものと考えられます。一方、EfficientケースではL1Rの有無による次数分布の差はほとんど見られません。
次に、L3Rについても同様に、L3Rの有無による次数分布の差を比較すると、LooseケースではL3Rを持たないNSの次数分布が、L3Rを持つNSの次数分布と比べて平坦になっており、L3Rの存在が次数分布の平たん化を抑える効果を持たせ、全体の次数を抑えていることが分かります。しかしEfficientケースではL3Rの有無による次数分布の差はほとんど見られません。
双方の結果から、Looseケースではモジュールの有無による分布の差が表れている一方で、それぞれのEfficientケースではモジュールの有無による次数分布の差がほとんど見られていないことがわかります。これは、アクセス制御として効率的な設計を行うことで、その次数分布が一定に抑えられることを伺える結果となっています。そこで我々は「最適なアクセス制御状態にあるネットワークシステムは、モデル上の次数分布において一定の分布形状を持つ」という仮説を得ました。
次数分布の関数近似
上記の仮設を基に、次数分布の関数近似を行いました。複雑ネットワークやグラフ理論の分野における近似の多くは指数分布やべき乗則分布ですが、NSQモデルによるNSの次数分布では、縦/横を意識したその形状からこれら2つの分布は当てはまりません。そこで、統計において用いられているいくつかの分布タイプを用いて次数分布の近似を試みました。
分布タイプ
6種類の分布タイプを関数近似の対象としました。まずType AはF分布に近い形のものであり、Type Bは指数exp(χ)とベキχαで決まるタイプのものです。そして最後に離散値の分布としてType Cを挙げました。各タイプは、ポワソン分布やカイ2乗分布など統計学においてよく知られている分布を基としていますが、そのものではなく、それらに似た構成でよりパラメータの自由度を高めました。
近似方法
近似は遺伝的アルゴリズム(GA)を用いて行いました。GAは各個体を評価関数により評価し、選択・交叉・突然変異を確率的に行うものです。評価関数には平均2乗誤差などが用いられますが、平均2乗誤差はノード数に依存します。ここでは依存を排除した右のSを評価関数として用いました。各個体のパラメータは、各タイプに依存したものとスケール(NSの規模=ノード数に依存)係数Θにより構成されます。例えば、Type Aの個体はg=(Θ, α, β, γ)となります。GAによる各近似のS値の平均を以下に示します。
近似結果
GAによる近似関数パラメータ取得は、各分布タイプにおいて行いました。また各タイプでのパラメータ取得においても、あるNSの特徴ごとで分布に特徴が著しく異なる場合を考慮して、ここではすべてのNSをノード数ごとに分割したグループに対してそれぞれ行いました。具体的には、54のグループ数と7種の対象分布より合計378回のGAによる近似を行いました。結果比較にあたり、まずNS数が少ないノード数35以下のケースを除きました。次に、S値がほかグループの結果と比較して大きくはずれているものをGA近似の失敗として除きました。得られたS値を右に、またまたその時の平均を下の表に示します。
| Avg.(> 35) | |
| Type A | 0.0133 |
| Type B-1 | 0.0166 |
| Type B-2 | 0.0232 |
| Type B-3 | 0.0161 |
| Type B-4 | 0.3102 |
| Type C-1 | 0.3963 |
| Type C-2 | 0.0476 |
S=0であるとき、次数分布は近似関数に一致することを示しているため、S値は0に近いほど良い近似結果を示していることになります。上の表から、Type Aが良い近似を示していることが分かります。
次に、グループごとでの分布の差を固定パラメータで吸収されるかを調べるため、近似パラメータをグループにより固定した近似結果を調査しました。ただし、スケール係数したーはノード数の変化に対応させるために固定しません。固定パラメータは、上記近似で得た各パラメータを平均することで得ました。この際、近似制度の低かったType B-4、C-1、C-2は対象から除きました。
スケール係数Θは、ノード数により決定されます。それぞれの次数で最大値を取る次数3のb時、それぞれの値はNSのノード数Nと関係があることを示します。右図は、次数3を持つノード数のNに対する割合を示したグラフであり、平均の割合は0.43859となります。Θは下の式を解くことで得られます。
右図は固定パラメータで近似をした時のS値を示したものであり、下の表はその平均を示したものです。この結果より、Type Aが固定パラメータでも最も良い近似を示していることが分かります。固定パラメータの値は以下の通りです。
- α=29.526
- β=0.518
- γ=50.019
| Avg. | Avg.(> 35) | |
| Type A | 0.0212 | 0.0143 |
| Type B-1 | 0.0268 | 0.0182 |
| Type B-2 | 0.0317 | 0.0238 |
| Type B-3 | 0.0269 | 0.0238 |
近似実験の結果、右のような近似関数が得られました。実際のデータセットと、近似関数の比較を下図に示します。近似関数の存在は、アクセス制御が適切であるNSが一定の性質を持つことをあらためて示すものであり、固定パラメータを利用することで、任意のNSのアクセス制御状態の適切性の判断指標が得られると考えられます。
