内容紹介
データ分析という新しいアプローチによるセキュリティ手法を解説!
従来の侵入検知やログファイル解析といった手法では、ネットワークのセキュリティを確保するのが不十分であるとの認識から、さまざまなデータを集めて多方面から多元的に分析した上で、適切な対策を講じようという、いままでになかった視点で書かれた画期的な内容です。順序立って理解し、系統立ったセキュリティ手法を身に付けることにより、場当たり的な対策ではなく継続的・計画的なセキュリティ対策を取ることが可能となります。
このような方におすすめ
ネットワーク管理者、運用セキュリティアナリスト、ネットワークに関わる人すべて
目次
詳細目次
はじめに
第Ⅰ部 データ
1章 センサーと検出器:入門
1.1 配置:センサーの設置位置がデータ収集に与える影響
1.2 データ種別:センサー型ごとに異なる収集できるデータの種類
1.3 アクション:センサーによるデータの処理
1.4 結論
2章 ネットワーク型センサー
2.1 ネットワーク階層とセンサー
2.1.1 ネットワーク階層と観測範囲
2.1.2 ネットワーク階層とアドレス指定
2.2 パケットデータ
2.2.1 パケットとフレームフォーマット
2.2.2 循環バッファ
2.2.3 記録するパケット長の制限
2.2.4 パケットのフィルタ
2.2.5 イーサネットではない場合
2.3 NetFlow
2.3.1 NetFlow v5のフォーマットと領域
2.3.2 NetFlowの生成と収集
2.4 参考文献
3章 ホスト型センサーとサービス型センサー:データの生成元でログに記録する
3.1 ログファイルのアクセスと操作
3.2 ログファイルの内容
3.2.1 優れたログメッセージの特徴
3.2.2 既存のログファイルとその操作方法
3.3 代表的なログファイルフォーマット
3.3.1 HTTP:CLFとELF48
3.3.2 SMTP
3.3.3 Microsoft Exchange:メッセージ追跡ログ
3.4 ログファイル転送:転送、Syslog、メッセージキュー
3.4.1 転送とログファイルローテーション
3.4.2 syslog
3.5 参考文献
4章 分析のためのデータ記録:リレーショナルデータベース、ビッグデータ、その他の選択肢
4.1 ログデータとCRUDパラダイム
4.1.1 適切に構成されたフラットファイルシステムの作成:SiLKからの教訓
4.2 NoSQLシステムの簡単な紹介
4.3 どのストレージを使うべきか?
4.3.1 記録階層、問い合わせ時間、エージング
第Ⅱ部 ツール
5章 SiLKスイート
5.1 SiLKとその機能
5.2 SiLKの入手とインストール
5.2.1 データファイル
5.3 出力フィールドの選択およびフォーマット操作:rwcut
5.4 基本的なフィールド操作:rwfilter
5.4.1 ポートとプロトコル
5.4.2 サイズ
5.4.3 IPアドレス
5.4.4 時間
5.4.5 TCPオプション
5.4.6 ヘルパーオプション
5.4.7 他のフィルタオプションとテクニック
5.5 rwfileinfoとデータの起源
5.6 情報フローの結合: rwcount91
5.7 rwsetとIPセット
5.8 rwuniq
5.9 rwbag
5.10 高度なSiLK機能
5.10.1 PMAP99
5.11 SiLKデータの収集
5.11.1 YAF
5.11.2 rwptoflow
5.11.3 rwtuc
5.12 参考文献
6章 セキュリティ分析のためのR入門
6.1 インストールと設定
6.2 R言語の基礎
6.2.1 Rプロンプト
6.2.2 R変数
6.2.3 関数
6.2.4 条件句と反復
6.3 Rのワークスペース
6.4 データフレームを使った分析
6.5 可視化
6.5.1 可視化コマンド
6.5.2 可視化のパラメータ
6.5.3 注釈を追加する
6.5.4 可視化した画像のエクスポート
6.6 分析:統計的仮説検定
6.6.1 仮説検定
6.6.2 データの検定
6.7 参考文献
7章 分類およびイベントツール:IDS、AV、SEM137
7.1 IDSの機能
7.1.1 基本用語
7.1.2 分類失敗率:基準率錯誤の理解
7.1.3 分類の適用
7.2 IDS性能の改善
7.2.1 IDS検知の向上
7.2.2 IDSへの対応の改善
7.2.3 データの事前取得
7.3 参考資料
8章 参照と検索:身元を確認するツール
8.1 MACアドレスとハードウェアアドレス
8.2 IPアドレス指定
8.2.1 IPv4アドレスとその構造および重要なアドレス
8.2.2 IPv6アドレスとその構造および重要なアドレス
8.2.3 接続性の検査:pingを使ったアドレスへの接続
8.2.4 traceroute
8.2.5 IP調査情報:位置情報と人口情報
8.3 DNS
8.3.1 DNS名の構造
8.3.2 digを使ったフォワードDNS問い合わせ
8.3.3 DNSリバースルックアップ
8.3.4 whoisを使って所有者を探す
8.4 他の参照ツール
8.4.1 DNSBL
9章 他のツール
9.1 可視化
9.1.1 Graphviz
9.2 通信と探査
9.2.1 netcat
9.2.2 nmap
9.2.3 Scapy
9.3 パケットの検査と参照
9.3.1 Wireshark
9.3.2 GeoIP
9.3.3 NVD、マルウェアサイト、C*E
9.3.4 個人的コミュニケーションによる情報の入手
9.4 参考文献
第Ⅲ部 分析
10章 探索的データ分析と可視化
10.1 EDAの目的:分析の適用
10.2 EDAワークフロー
10.3 変数と可視化
10.4 一変量の可視化:ヒストグラム、QQプロット、箱ひげ図、順位プロット
10.4.1 ヒストグラム
10.4.2 棒グラフ(円グラフではなく)
10.4.3 QQプロット
10.4.4 5数要約と箱ひげ図
10.4.5 箱ひげ図の作成
10.5 二変量の表現
10.5.1 散布図
10.5.2 分割表
10.6 多変量の可視化
10.6.1 セキュリティ可視化の運用
10.7 参考文献
11章 ファンブルの処理
11.1 攻撃モデル
11.2 ファンブル:設定ミス、自動化、スキャン
11.2.1 ルックアップの失敗
11.2.2 自動化
11.2.3 スキャン
11.3 ファンブルの特定
11.3.1 TCPファンブル:ステートマシン
11.3.2 ICMPメッセージとファンブル
11.3.3 UDPファンブルの特定
11.4 サービスレベルでのファンブル
11.4.1 HTTPファンブル
11.4.2 SMTPファンブル
11.5 ファンブルの分析
11.5.1 ファンブル警告の作成
11.5.2 ファンブルのフォレンジック分析
11.5.3 ファンブルを活用するためのネットワーク運用
11.6 参考文献
12章 ボリュームと時間の分析
12.1 就業時間のネットワークトラフィック量に対する影響
12.2 ビーコニング
12.3 ファイル転送/略奪
12.4 局所性
12.4.1 DDoS、フラッシュクラウド、資源枯渇
12.4.2 DDoSとルーティングインフラ
12.5 ボリューム分析と局所性分析の適用
12.5.1 データ選択
12.5.2 警告としてのボリュームの利用
12.5.3 警告としてのビーコニングの利用
12.5.4 警告としての局所性の利用
12.5.5 解決策の設計
12.6 参考文献
13章 グラフ分析
13.1 グラフの属性:グラフとは何か
13.2 ラベル付け、重み、経路
13.3 成分と連結性
13.4 クラスタ係数
13.5 グラフの分析
13.5.1 警告としての成分分析の利用
13.5.2 フォレンジック分析での中心性分析の利用
13.5.3 フォレンジック分析での幅優先探索の利用
13.5.4 エンジニアリングでの中心性分析の利用
13.6 参考文献
14章 アプリケーション識別
14.1 アプリケーション識別のメカニズム
14.1.1 ポート番号
14.1.2 バナー取得によるアプリケーション識別
14.1.3 挙動によるアプリケーション識別
14.1.4 補助サイトによるアプリケーション識別
14.2 アプリケーションバナー:識別と分類
14.2.1 Web以外のバナー
14.2.2 Webクライアントバナー:User-Agent文字列
14.3 参考文献
15章 ネットワークマッピング
15.1 最初のネットワークインベントリとマップの作成
15.1.1 インベントリの作成:データ、範囲、ファイル
15.1.2 フェーズI:最初の3つの質問
15.1.3 フェーズII:IP空間の調査
15.1.4 フェーズⅢ:死角になったトラフィックと紛らわしいトラフィックの特定
15.1.5 フェーズIV:クライアントとサーバの特定
15.1.6 検知および阻止インフラの特定
15.2 インベントリの更新:継続的な監査に向けて
15.3 参考文献
索引
続きを見る