データ分析手法を取り入れた新しいアプローチによるネットワークセキュリティ対策を、本書では紹介しています。従来の場当たり的な侵入検知やログファイル解析といった手法では、ネットワークのセキュリティを確保するのが不十分であるとの認識から、さまざまなデータを系統的に収集し多元的に分析した上で、適切な対策を講じようという、いままでにない視点で書かれています。ネットワークを監視し、分析し、その結果からネットワークセキュリティを強化、改善して、安全なネットワーク環境の実現を図るための基本的な知識を解説し、SiLK、R、Pythonによるスクリプトなどの役立つツールを紹介します。系統立ったセキュリティ手法を身に付けることにより、場当たり的ではなく、継続的かつ計画的なセキュリティ対策を取ることが可能となります。
データ分析によるネットワークセキュリティ
Michael Collins 著、中田 秀基 監訳、木下 哲也 訳
- TOPICS
- Database , Security , System/Network
- 発行年月日
- 2016年06月
- PRINT LENGTH
- 376
- ISBN
- 978-4-87311-700-3
- 原書
- Network Security Through Data Analysis
- FORMAT
- Print PDF
目次
目次 はじめに 第Ⅰ部 データ 1章 センサーと検出器:入門 1.1 配置:センサーの設置位置がデータ収集に与える影響 1.2 データ種別:センサー型ごとに異なる収集できるデータの種類 1.3 アクション:センサーによるデータの処理 1.4 結論 2章 ネットワーク型センサー 2.1 ネットワーク階層とセンサー 2.1.1 ネットワーク階層と観測範囲 2.1.2 ネットワーク階層とアドレス指定 2.2 パケットデータ 2.2.1 パケットとフレームフォーマット 2.2.2 循環バッファ 2.2.3 記録するパケット長の制限 2.2.4 パケットのフィルタ 2.2.5 イーサネットではない場合 2.3 NetFlow 2.3.1 NetFlow v5のフォーマットと領域 2.3.2 NetFlowの生成と収集 2.4 参考文献 3章 ホスト型センサーとサービス型センサー:データの生成元でログに記録する 3.1 ログファイルのアクセスと操作 3.2 ログファイルの内容 3.2.1 優れたログメッセージの特徴 3.2.2 既存のログファイルとその操作方法 3.3 代表的なログファイルフォーマット 3.3.1 HTTP:CLFとELF48 3.3.2 SMTP 3.3.3 Microsoft Exchange:メッセージ追跡ログ 3.4 ログファイル転送:転送、Syslog、メッセージキュー 3.4.1 転送とログファイルローテーション 3.4.2 syslog 3.5 参考文献 4章 分析のためのデータ記録:リレーショナルデータベース、ビッグデータ、その他の選択肢 4.1 ログデータとCRUDパラダイム 4.1.1 適切に構成されたフラットファイルシステムの作成:SiLKからの教訓 4.2 NoSQLシステムの簡単な紹介 4.3 どのストレージを使うべきか? 4.3.1 記録階層、問い合わせ時間、エージング 第Ⅱ部 ツール 5章 SiLKスイート 5.1 SiLKとその機能 5.2 SiLKの入手とインストール 5.2.1 データファイル 5.3 出力フィールドの選択およびフォーマット操作:rwcut 5.4 基本的なフィールド操作:rwfilter 5.4.1 ポートとプロトコル 5.4.2 サイズ 5.4.3 IPアドレス 5.4.4 時間 5.4.5 TCPオプション 5.4.6 ヘルパーオプション 5.4.7 他のフィルタオプションとテクニック 5.5 rwfileinfoとデータの起源 5.6 情報フローの結合: rwcount91 5.7 rwsetとIPセット 5.8 rwuniq 5.9 rwbag 5.10 高度なSiLK機能 5.10.1 PMAP99 5.11 SiLKデータの収集 5.11.1 YAF 5.11.2 rwptoflow 5.11.3 rwtuc 5.12 参考文献 6章 セキュリティ分析のためのR入門 6.1 インストールと設定 6.2 R言語の基礎 6.2.1 Rプロンプト 6.2.2 R変数 6.2.3 関数 6.2.4 条件句と反復 6.3 Rのワークスペース 6.4 データフレームを使った分析 6.5 可視化 6.5.1 可視化コマンド 6.5.2 可視化のパラメータ 6.5.3 注釈を追加する 6.5.4 可視化した画像のエクスポート 6.6 分析:統計的仮説検定 6.6.1 仮説検定 6.6.2 データの検定 6.7 参考文献 7章 分類およびイベントツール:IDS、AV、SEM137 7.1 IDSの機能 7.1.1 基本用語 7.1.2 分類失敗率:基準率錯誤の理解 7.1.3 分類の適用 7.2 IDS性能の改善 7.2.1 IDS検知の向上 7.2.2 IDSへの対応の改善 7.2.3 データの事前取得 7.3 参考資料 8章 参照と検索:身元を確認するツール 8.1 MACアドレスとハードウェアアドレス 8.2 IPアドレス指定 8.2.1 IPv4アドレスとその構造および重要なアドレス 8.2.2 IPv6アドレスとその構造および重要なアドレス 8.2.3 接続性の検査:pingを使ったアドレスへの接続 8.2.4 traceroute 8.2.5 IP調査情報:位置情報と人口情報 8.3 DNS 8.3.1 DNS名の構造 8.3.2 digを使ったフォワードDNS問い合わせ 8.3.3 DNSリバースルックアップ 8.3.4 whoisを使って所有者を探す 8.4 他の参照ツール 8.4.1 DNSBL 9章 他のツール 9.1 可視化 9.1.1 Graphviz 9.2 通信と探査 9.2.1 netcat 9.2.2 nmap 9.2.3 Scapy 9.3 パケットの検査と参照 9.3.1 Wireshark 9.3.2 GeoIP 9.3.3 NVD、マルウェアサイト、C*E 9.3.4 個人的コミュニケーションによる情報の入手 9.4 参考文献 第Ⅲ部 分析 10章 探索的データ分析と可視化 10.1 EDAの目的:分析の適用 10.2 EDAワークフロー 10.3 変数と可視化 10.4 一変量の可視化:ヒストグラム、QQプロット、箱ひげ図、順位プロット 10.4.1 ヒストグラム 10.4.2 棒グラフ(円グラフではなく) 10.4.3 QQプロット 10.4.4 5数要約と箱ひげ図 10.4.5 箱ひげ図の作成 10.5 二変量の表現 10.5.1 散布図 10.5.2 分割表 10.6 多変量の可視化 10.6.1 セキュリティ可視化の運用 10.7 参考文献 11章 ファンブルの処理 11.1 攻撃モデル 11.2 ファンブル:設定ミス、自動化、スキャン 11.2.1 ルックアップの失敗 11.2.2 自動化 11.2.3 スキャン 11.3 ファンブルの特定 11.3.1 TCPファンブル:ステートマシン 11.3.2 ICMPメッセージとファンブル 11.3.3 UDPファンブルの特定 11.4 サービスレベルでのファンブル 11.4.1 HTTPファンブル 11.4.2 SMTPファンブル 11.5 ファンブルの分析 11.5.1 ファンブル警告の作成 11.5.2 ファンブルのフォレンジック分析 11.5.3 ファンブルを活用するためのネットワーク運用 11.6 参考文献 12章 ボリュームと時間の分析 12.1 就業時間のネットワークトラフィック量に対する影響 12.2 ビーコニング 12.3 ファイル転送/略奪 12.4 局所性 12.4.1 DDoS、フラッシュクラウド、資源枯渇 12.4.2 DDoSとルーティングインフラ 12.5 ボリューム分析と局所性分析の適用 12.5.1 データ選択 12.5.2 警告としてのボリュームの利用 12.5.3 警告としてのビーコニングの利用 12.5.4 警告としての局所性の利用 12.5.5 解決策の設計 12.6 参考文献 13章 グラフ分析 13.1 グラフの属性:グラフとは何か 13.2 ラベル付け、重み、経路 13.3 成分と連結性 13.4 クラスタ係数 13.5 グラフの分析 13.5.1 警告としての成分分析の利用 13.5.2 フォレンジック分析での中心性分析の利用 13.5.3 フォレンジック分析での幅優先探索の利用 13.5.4 エンジニアリングでの中心性分析の利用 13.6 参考文献 14章 アプリケーション識別 14.1 アプリケーション識別のメカニズム 14.1.1 ポート番号 14.1.2 バナー取得によるアプリケーション識別 14.1.3 挙動によるアプリケーション識別 14.1.4 補助サイトによるアプリケーション識別 14.2 アプリケーションバナー:識別と分類 14.2.1 Web以外のバナー 14.2.2 Webクライアントバナー:User-Agent文字列 14.3 参考文献 15章 ネットワークマッピング 15.1 最初のネットワークインベントリとマップの作成 15.1.1 インベントリの作成:データ、範囲、ファイル 15.1.2 フェーズI:最初の3つの質問 15.1.3 フェーズII:IP空間の調査 15.1.4 フェーズⅢ:死角になったトラフィックと紛らわしいトラフィックの特定 15.1.5 フェーズIV:クライアントとサーバの特定 15.1.6 検知および阻止インフラの特定 15.2 インベントリの更新:継続的な監査に向けて 15.3 参考文献 索引