| Item type |
Journal(1) |
| 公開日 |
2022-01-15 |
| タイトル |
|
|
タイトル |
マネージドセキュリティサービスのための受動的なログを用いたネットワーク構成情報検証方法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Validation Method for Network Structure Information using Passive Logs in Managed Security Services |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[一般論文(推薦論文)] マネージドセキュリティサービス,解集合プログラミング,セキュリティログ,ネットワーク構成 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| ID登録 |
|
|
ID登録 |
10.20729/00215730 |
|
ID登録タイプ |
JaLC |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所(投稿時) |
| 著者所属 |
|
|
|
NTTセキュリティ・ジャパン株式会社 |
| 著者所属 |
|
|
|
NTT社会情報研究所 |
| 著者所属 |
|
|
|
NTT社会情報研究所 |
| 著者所属 |
|
|
|
NTT社会情報研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories (when submitted) |
| 著者所属(英) |
|
|
|
en |
|
|
NTT security (Japan) KK |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
| 著者名 |
上川, 先之
尾上, 勉
塩治, 榮太朗
芝原, 俊樹
秋山, 満昭
|
| 著者名(英) |
Hiroyuki, Uekawa
Tsutomu, Ogami
Eitaro, Shioji
Toshiki, Shibahara
Mitsuaki, Akiyama
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
潜在的なセキュリティ脅威などを発見するために,マネージドセキュリティサービスでは,顧客からプロキシログやIDSログに代表されるセキュリティログを受け取り高度な分析を行っている.我々が実施したSOCに対するフィールドワークでは,分析官が顧客のネットワーク構成に関して誤った情報を持っていることが多く,そのことが分析の効率や正確性を低下させる要因となっていることを明らかにした.そこで,受動的かつ不完全な情報であるセキュリティログのみを基に,分析官の想定するネットワーク構成を検証する手法を提案する.検証のアイディアは,セキュリティログの情報を正しいものとして論理による推論を行い,分析官の想定情報に含まれる間違いをセキュリティログとの矛盾として導き出すことである.提案手法では,不完全な情報を扱うこと,および推論規則を柔軟に表現する必要があることから,解集合プログラミングによって推論を行う.また,提案手法の応用により,ネットワーク構成情報の間違いを見つけられるだけでなく,ネットワーク構成の変化を検知することも可能になる.提案手法を検証システムとして実現するにあたって,基本的な実現可能性の検証のために実ログデータを用いた評価を行い,その結果について報告する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
To identify hidden security threats, Managed Security Service analyzes security logs received from a client's network. Our fieldwork with SOCs identified that analysts often have incorrect information about the client's network structure, which reduces the efficiency and accuracy of their analysis. To solve this problem, we propose a novel method for validating the network structure assumed by an analyst, solely based on incomplete and passive security logs. Its key idea is to conduct logical inference based on the assumption that security logs are correct, and derive errors in the assumed network structure as contradictions against security logs. To meet the requirements for handling incomplete information and expressing flexible inference rules, we adopt answer set programming. Our method enables the discovery of not only errors, but also temporal changes, in network structure. Towards implementing our proposed method as a validation system, we conduct a basic feasibility evaluation using real logs and report its results. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 63,
号 1,
p. 194-204,
発行日 2022-01-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL6301028.pdf (988.7 kB)
