データ分析によるネットワークセキュリティ

データ分析によるネットワークセキュリティ

by Michael Collins, 中田 秀基, 木下 哲也
Released June 2016
Publisher(s): O'Reilly Japan, Inc.
ISBN: 9784873117003

Read it now on the O’Reilly learning platform with a 10-day free trial.

O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Book description

従来の場当たり的な侵入検知やログファイル解析といった手法では、ネットワークのセキュリティを確保するのが不十分であるとの認識から、さまざまなデータを系統的に収集し多元的に分析した上で、適切な対策を講じようという、いままでにない視点で書かれています。ネットワークを監視し、分析し、その結果からネットワークセキュリティを強化、改善して、安全なネットワーク環境の実現を図るための基本的な知識を解説し、SiLK、R、Pythonによるスクリプトなどの役立つツールを紹介します。系統立ったセキュリティ手法を身に付けることにより、場当たり的ではなく、継続的かつ計画的なセキュリティ対策を取ることが可能となります。

Table of contents

  1. はじめに (1/4)
  2. はじめに (2/4)
  3. はじめに (3/4)
  4. はじめに (4/4)
  5. 第Ⅰ部 データ
    1. 1章 センサーと検出器:入門
      1. 1.1 配置:センサーの設置位置がデータ収集に与える影響
      2. 1.2 データ種別:センサー型ごとに異なる収集できるデータの種類
      3. 1.3 アクション:センサーによるデータの処理
      4. 1.4 結論
    2. 2章 ネットワーク型センサー
      1. 2.1 ネットワーク階層とセンサー (1/2)
      2. 2.1 ネットワーク階層とセンサー (2/2)
        1. 2.1.1 ネットワーク階層と観測範囲
        2. 2.1.2 ネットワーク階層とアドレス指定
      3. 2.2 パケットデータ (1/2)
      4. 2.2 パケットデータ (2/2)
        1. 2.2.1 パケットとフレームフォーマット
        2. 2.2.2 循環バッファ
        3. 2.2.3 記録するパケット長の制限
        4. 2.2.4 パケットのフィルタ
        5. 2.2.5 イーサネットではない場合
      5. 2.3 NetFlow
        1. 2.3.1 NetFlow v5のフォーマットと領域
        2. 2.3.2 NetFlowの生成と収集
      6. 2.4 参考文献
    3. 3章 ホスト型センサーとサービス型センサー:データの生成元でログに記録する
      1. 3.1 ログファイルのアクセスと操作
      2. 3.2 ログファイルの内容 (1/2)
      3. 3.2 ログファイルの内容 (2/2)
        1. 3.2.1 優れたログメッセージの特徴
        2. 3.2.2 既存のログファイルとその操作方法
      4. 3.3 代表的なログファイルフォーマット (1/2)
      5. 3.3 代表的なログファイルフォーマット (2/2)
        1. 3.3.1 HTTP:CLFとELF
        2. 3.3.2 SMTP
        3. 3.3.3 Microsoft Exchange:メッセージ追跡ログ
      6. 3.4 ログファイル転送:転送、Syslog、メッセージキュー
        1. 3.4.1 転送とログファイルローテーション
        2. 3.4.2 syslog
      7. 3.5 参考文献
    4. 4章 分析のためのデータ記録: リレーショナルデータベース、 ビッグデータ、その他の選択肢
      1. 4.1 ログデータとCRUDパラダイム
        1. 4.1.1 適切に構成されたフラットファイルシステムの作成:SiLKからの教訓
      2. 4.2 NoSQLシステムの簡単な紹介
      3. 4.3 どのストレージを使うべきか?
        1. 4.3.1 記録階層、問い合わせ時間、エージング
  6. 第Ⅱ部 ツール
    1. 5章 SiLKスイート
      1. 5.1 SiLKとその機能
      2. 5.2 SiLKの入手とインストール
        1. 5.2.1 データファイル
      3. 5.3 出力フィールドの選択およびフォーマット操作:rwcut
      4. 5.4 基本的なフィールド操作:rwfilter (1/2)
      5. 5.4 基本的なフィールド操作:rwfilter (2/2)
        1. 5.4.1 ポートとプロトコル
        2. 5.4.2 サイズ
        3. 5.4.3 IPアドレス
        4. 5.4.4 時間
        5. 5.4.5 TCPオプション
        6. 5.4.6 ヘルパーオプション
        7. 5.4.7 他のフィルタオプションとテクニック
      6. 5.5 rwfileinfoとデータの起源
      7. 5.6 情報フローの結合:rwcount
      8. 5.7 rwsetとIPセット
      9. 5.8 rwuniq
      10. 5.9 rwbag
      11. 5.10 高度なSiLK機能
        1. 5.10.1 PMAP
      12. 5.11 SiLKデータの収集
        1. 5.11.1 YAF
        2. 5.11.2 rwptoflow
        3. 5.11.3 rwtuc
      13. 5.12 参考文献
    2. 6章 セキュリティ分析のためのR入門
      1. 6.1 インストールと設定
      2. 6.2 R言語の基礎 (1/3)
      3. 6.2 R言語の基礎 (2/3)
      4. 6.2 R言語の基礎 (3/3)
        1. 6.2.1 Rプロンプト
        2. 6.2.2 R変数
        3. 6.2.3 関数
        4. 6.2.4 条件句と反復
      5. 6.3 Rのワークスペース
      6. 6.4 データフレームを使った分析
      7. 6.5 可視化 (1/2)
      8. 6.5 可視化 (2/2)
        1. 6.5.1 可視化コマンド
        2. 6.5.2 可視化のパラメータ
        3. 6.5.3 注釈を追加する
        4. 6.5.4 可視化した画像のエクスポート
      9. 6.6 分析:統計的仮説検定
        1. 6.6.1 仮説検定
        2. 6.6.2 データの検定
      10. 6.7 参考文献
    3. 7章 分類およびイベントツール: IDS、AV、SEM
      1. 7.1 IDSの機能 (1/2)
      2. 7.1 IDSの機能 (2/2)
        1. 7.1.1 基本用語
        2. 7.1.2 分類失敗率:基準率錯誤の理解
        3. 7.1.3 分類の適用
      3. 7.2 IDS性能の改善 (1/2)
      4. 7.2 IDS性能の改善 (2/2)
        1. 7.2.1 IDS検知の向上
        2. 7.2.2 IDSへの対応の改善
        3. 7.2.3 データの事前取得
      5. 7.3 参考資料
    4. 8章 参照と検索:身元を確認するツール
      1. 8.1 MACアドレスとハードウェアアドレス
      2. 8.2 IPアドレス指定 (1/2)
      3. 8.2 IPアドレス指定 (2/2)
        1. 8.2.1 IPv4アドレスとその構造および重要なアドレス
        2. 8.2.2 IPv6アドレスとその構造および重要なアドレス
        3. 8.2.3 接続性の検査:pingを使ったアドレスへの接続
        4. 8.2.4 traceroute
        5. 8.2.5 IP調査情報:位置情報と人口情報
      4. 8.3 DNS (1/3)
      5. 8.3 DNS (2/3)
      6. 8.3 DNS (3/3)
        1. 8.3.1 DNS名の構造
        2. 8.3.2 digを使ったフォワードDNS問い合わせ
        3. 8.3.3 DNSリバースルックアップ
        4. 8.3.4 whoisを使って所有者を探す
      7. 8.4 他の参照ツール
        1. 8.4.1 DNSBL
    5. 9章 他のツール
      1. 9.1 可視化
        1. 9.1.1 Graphviz
      2. 9.2 通信と探査 (1/2)
      3. 9.2 通信と探査 (2/2)
        1. 9.2.1 netcat
        2. 9.2.2 nmap
        3. 9.2.3 Scapy
      4. 9.3 パケットの検査と参照
        1. 9.3.1 Wireshark
        2. 9.3.2 GeoIP
        3. 9.3.3 NVD、マルウェアサイト、C*E
        4. 9.3.4 個人的コミュニケーションによる情報の入手
      5. 9.4 参考文献
  7. 第Ⅲ部 分析
    1. 10章 探索的データ分析と可視化
      1. 10.1 EDAの目的:分析の適用
      2. 10.2 EDAワークフロー
      3. 10.3 変数と可視化
      4. 10.4 一変量の可視化:ヒストグラム、QQプロット、箱ひげ図、順位プロット (1/2)
      5. 10.4 一変量の可視化:ヒストグラム、QQプロット、箱ひげ図、順位プロット (2/2)
        1. 10.4.1 ヒストグラム
        2. 10.4.2 棒グラフ(円グラフではなく)
        3. 10.4.3 QQプロット
        4. 10.4.4 5数要約と箱ひげ図
        5. 10.4.5 箱ひげ図の作成
      6. 10.5 二変量の表現
        1. 10.5.1 散布図
        2. 10.5.2 分割表
      7. 10.6 多変量の可視化 (1/2)
      8. 10.6 多変量の可視化 (2/2)
        1. 10.6.1 セキュリティ可視化の運用
      9. 10.7 参考文献
    2. 11章 ファンブルの処理
      1. 11.1 攻撃モデル
      2. 11.2 ファンブル:設定ミス、自動化、スキャン
        1. 11.2.1 ルックアップの失敗
        2. 11.2.2 自動化
        3. 11.2.3 スキャン
      3. 11.3 ファンブルの特定
        1. 11.3.1 TCPファンブル:状態マシン
        2. 11.3.2 ICMPメッセージとファンブル
        3. 11.3.3 UDPファンブルの特定
      4. 11.4 サービスレベルでのファンブル
        1. 11.4.1 HTTPファンブル
        2. 11.4.2 SMTPファンブル
      5. 11.5 ファンブルの分析
        1. 11.5.1 ファンブル警告の作成
        2. 11.5.2 ファンブルのフォレンジック分析
        3. 11.5.3 ファンブルを活用するためのネットワーク運用
      6. 11.6 参考文献
    3. 12章 ボリュームと時間の分析
      1. 12.1 就業時間のネットワークトラフィック量に対する影響
      2. 12.2 ビーコニング
      3. 12.3 ファイル転送/略奪
      4. 12.4 局所性 (1/2)
      5. 12.4 局所性 (2/2)
        1. 12.4.1 DDoS、フラッシュクラウド、資源枯渇
        2. 12.4.2 DDoSとルーティングインフラ
      6. 12.5 ボリューム分析と局所性分析の適用
        1. 12.5.1 データ選択
        2. 12.5.2 警告としてのボリュームの利用
        3. 12.5.3 警告としてのビーコニングの利用
        4. 12.5.4 警告としての局所性の利用
        5. 12.5.5 解決策の設計
      7. 12.6 参考文献
    4. 13章 グラフ分析
      1. 13.1 グラフの属性:グラフとは何か
      2. 13.2 ラベル付け、重み、経路 (1/2)
      3. 13.2 ラベル付け、重み、経路 (2/2)
      4. 13.3 成分と連結性
      5. 13.4 クラスタ係数
      6. 13.5 グラフの分析
        1. 13.5.1 警告としての成分分析の利用
        2. 13.5.2 フォレンジック分析での中心性分析の利用
        3. 13.5.3 フォレンジック分析での幅優先探索の利用
        4. 13.5.4 エンジニアリングでの中心性分析の利用
      7. 13.6 参考文献
    5. 14章 アプリケーション識別
      1. 14.1 アプリケーション識別のメカニズム
        1. 14.1.1 ポート番号
        2. 14.1.2 バナー取得によるアプリケーション識別
        3. 14.1.3 挙動によるアプリケーション識別
        4. 14.1.4 補助サイトによるアプリケーション識別
      2. 14.2 アプリケーションバナー:識別と分類
        1. 14.2.1 Web以外のバナー
        2. 14.2.2 Webクライアントバナー:User-Agent文字列
      3. 14.3 参考文献
    6. 15章 ネットワークマッピング
      1. 15.1 最初のネットワークインベントリとマップの作成
        1. 15.1.1 インベントリの作成:データ、範囲、ファイル
        2. 15.1.2 フェーズI:最初の3つの質問
        3. 15.1.3 フェーズII:IP空間の調査
        4. 15.1.4 フェーズⅢ:死角になったトラフィックと紛らわしいトラフィックの特定
        5. 15.1.5 フェーズIV:クライアントとサーバの特定
        6. 15.1.6 検知および阻止インフラの特定
      2. 15.2 インベントリの更新:継続的な監査に向けて
      3. 15.3 参考文献
  8. 索引 (1/5)
  9. 索引 (2/5)
  10. 索引 (3/5)
  11. 索引 (4/5)
  12. 索引 (5/5)

Product information

  • Title: データ分析によるネットワークセキュリティ
  • Author(s): Michael Collins, 中田 秀基, 木下 哲也
  • Release date: June 2016
  • Publisher(s): O'Reilly Japan, Inc.
  • ISBN: 9784873117003

You might also like

book

プログラミングRust

by Jim Blandy, Jason Orendorff, 中田 秀基

RustはMozilla財団の支援下で開発が進められており、Mozillaの次世代ブラウザエンジンの実装にも用いられているシステムプログラミング用言語です。C/C++並みのパフォーマンスと低レベルなメモリ操作機能、型システムを用いたメモリとスレッドの安全性を両立し、さらに安全な並列性も実現した、いま最も注目されている言語です。このRustをテーマにした本書は、Rust特有の所有権、移動、借用といった概念だけでなく、生産性と柔軟性を向上させるジェネリックコード、クロージャ、イテレータ、コレクションといった高度な機能についても詳しい説明を加えており、言語仕様から高度なプログラミング技術までを網羅した決定版です。

book

ユーザーストーリーマッピング

by Jeff Patton, 川口 恭伸, 長尾 高弘

本書はユーザーストーリーマッピングの作者、ジェフ・パットンが自ら開発した手法について書き下ろした書籍です。ストーリーマッピングの概要、優れたストーリーマッピングを作るためのコンセプトから、ユーザーストーリーを完全に理解する方法、ストーリーのライフサイクルの認識、イテレーションやライフサイクルごとにストーリーを使う方法まで、手法全体を包括的に解説します。製品開発、UXデザイン、業務要件定義の現場で、関係者が共通理解を持ち、使いやすく・実現可能なサービスや商品を作りたいと考えているすべての人、必携の一冊です。

book

PythonとJavaScriptではじめるデータビジュアライゼーション

by Kyran Dale, 嶋田 健志, 木下 哲也

Webからデータを取得して、効率よく整理、分析を行い効果的な可視化を実現するには、さまざまなツールとテクニックが必要です。 本書ではPythonとJavaScriptを使い分け、それぞれの言語の強みを最大限利用します。 PythonのBeautifulSoupとScrapyでデータを取得、pandas、Matplotlib、Numpyでデータ処理を行い、Flaskフレームワークを使ってデータを配信、JavaScriptのD3.jsを使ってインタラクティブなWeb可視化を実現します。データの収集からアウトプットまでの全体を視野に入れて解説しているので、実際にコードを追いながら、この一冊でデータ分析プロセスの全体像を理解できます。

book

Rではじめるデータサイエンス

by Hadley Wickham, Garrett Grolemund, 黒川 利明, 大橋 真也

ggplot2、dplyrといったRを代表するパッケージやRStudioの開発で知られる「Rの神様」ハドリー・ウィッカムと、『RStudioではじめるRプログラミング入門』の著者ギャレット・グロールマンドによる、Rプログラミングを通してデータサイエンスの理解と知識を深めるための一冊。Rの機能と威力を知り尽くし、また、統計とデータサイエンス教育のプロフェッショナルでもある著者たちによるわかりやすくクリアな説明は、既存のデータサイエンス入門書とは一線を画します。データサイエンティストを目指すなら必読の一冊です。