| Item type |
Symposium(1) |
| 公開日 |
2020-10-19 |
| タイトル |
|
|
タイトル |
受動的かつ不完全なセキュリティログ情報を用いたネットワーク構成情報検証手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Validation Method for Network Structure Information Using Passive and Incomplete Security Logs |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
マネージドセキュリティサービス,解集合プログラミング,セキュリティログ,ネットワーク構成 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュリティ・ジャパン株式会社 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Security (Japan) KK |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者名 |
上川, 先之
尾上, 勉
塩治, 榮太朗
芝原, 俊樹
秋山, 満昭
|
| 著者名(英) |
Hiroyuki, Uekawa
Tsutomu, Ogami
Eitaro, Shioji
Toshiki, Shibahara
Mitsuaki, Akiyama
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マネージドセキュリティサービスは,顧客からIDSログに代表されるセキュリティログを受け取り,高度な分析により,その中に潜むセキュリティ脅威等を発見するサービスである.しかし,分析官が顧客のネットワーク構成に関して誤った情報を持っていることが多く,そのことが分析の効率や正確性を低下させる要因となっている.そこで,本稿では,受動的かつ不完全な情報であるセキュリティログのみを基に,分析官の想定するネットワーク構成を検証する手法を提案する.検証のアイディアは,セキュリティログの情報を正しいものとして論理による推論を行い,分析官の想定情報に含まれる間違いをセキュリティログとの矛盾として導き出すことである.提案手法では,不完全な情報を扱うこと,および推論規則を柔軟に表現する必要があることから,解集合プログラミングによって推論を行う.また,提案手法の応用により,ネットワーク構成情報の間違いを見つけられるだけでなく,ネットワーク構成の変化を検知することも可能になる.提案手法を検証システムとして実現するにあたって,基本的な実現可能性の検証のために実ログデータを用いた評価を行い,その結果について報告する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Managed Security Service analyzes security logs received from a client's network to search for hidden security threats. However, an analyst often makes incorrect assumptions about a client's network structure, negatively impacting the efficiency and accuracy of analysis. To solve this problem, we propose a novel method for validating the network structure assumed by an analyst, solely based on incomplete and passive security logs. Its key idea is to conduct logical inference based on the assumption that security logs are correct, and derive errors in the assumed network structure as contradictions against security logs. To meet the requirements for handling incomplete information and expressing flexible inference rules, we adopt answer set programming. Our method enables the discovery of not only errors, but also temporal changes, in network structure. Towards implementing our proposed method as a validation system, we conduct a basic feasibility evaluation using real logs and report its results. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2020論文集
p. 456-463,
発行日 2020-10-19
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2020064.pdf (1.3 MB)
