IDS 運用の効率化に関する研究 環境情報学部4年 水谷正慶 親 : true / サブ親 : minami.

Slides:



Advertisements
Similar presentations
Snort: Overview Chris Copeland What is an Intrusion Detection System (IDS)? An intrusion detection system is any system which can identify a network.
Advertisements

Fusing Intrusion Data for Pro-Active Detection and Containment Mallikarjun (Arjun) Shankar, Ph.D. (Joint work with Nageswara Rao and Stephen Batsell)
ヴァウドットコム株式会社 ObjectIN 取引先一括メンテナンス. Biz Rule: データ入力チェック B iz Apply: データベース連携 COM +イベントによる 代替オペレーション ポーリング方式でなく アプリケーション監視による 最新データの同期機能 Biz Exchange (注.
物理演算を利用したビデオエフェクタの 作成 浅野益弘. 研究内容 経緯 NiVE ( Nico Visual Effects )用のエフェ クトプラグインの作成 本プラグインにより動画作成にかかる 時間と手間の短縮と省力化を目指す.
ヴァウドットコム株式会社 ObjectIN 見積書作成. Biz Rule: データ入力チェック B iz Apply: データベース連携 COM +イベントによる 代替オペレーション ポーリング方式でなく アプリケーション監視による 最新データの同期機能 Biz Exchange (注 1 ) :
マルチスレッド GUI モデル 小笠原啓 有限会社 IT プランニング. Page 2 ゴール  マルチスレッドな GUI ライブラリを OCaml で。  動きのある UI は近頃必須なので、アニメーションを容易にする仕組みを導 入。  GUI 部品のイベント、見かけを自由にカスタマイズできるように。
知能制御システム 電気電子・情報工学科 (電気電子工学コース)3年 自動制御 物理工学科 (応用物理・量子エネルギーコース)4年
東京工科大学 コンピュータサイエンス 亀田弘之
9.線形写像.
神戸大学 大学院 理学研究科 地球惑星科学専攻 地球および惑星大気科学研究室 M 2 島津 通. Index ITPASSとは 目的 目標 活動内容 勉強会 計算機管理 その他の活動 環境 まとめ.
情報処理A 第10回 Excelの使い方 その3.
麻雀ゲーム 和島研究室 ソ 小林巧人
5.連立一次方程式.
ノイズ. 雑音とも呼ばれる。(音でなくても、雑 音という) 入力データに含まれる、本来ほしくない 成分.
広告付き価格サービ ス 小園一正. はじめに 世の中には様々な表現方法の広告があり ます。その中でも私たち学生にとって身 近にあるものを広告媒体として取り入れ られている。 価格サービス(無料配布のルーズリー フ)を体験したことにより興味を惹かれ るきっかけとなった。主な目的は、これ.
Internet Application/Presentation Layer 岡村耕二. Application and Presentation Layer Application 層 – データ通信を利用した様々なサービスを人間 や他のプログラムに提供する。 Presentation 層 –
1 6.低次の行列式とその応用. 2 行列式とは 行列式とは、正方行列の特徴を表す一つのスカ ラーである。すなわち、行列式は正方行列からスカ ラーに写す写像の一種とみなすこともできる。 正方行列 スカラー(実数) の行列に対する行列式を、 次の行列式という。 行列 の行列式を とも表す。 行列式と行列の記号.
線形符号(10章).
1 0章 数学基礎. 2 ( 定義)集合 集合については、 3セメスタ開講の「離散数学」で詳しく扱う。 集合 大学では、高校より厳密に議論を行う。そのために、議論の 対象を明確にする必要がある。 ある “ もの ” (基本的な対象、概念)の集まりを、 集合という。 集合に含まれる “ もの ” を、集合の要素または元という。
1 0章 数学基礎. 2 ( 定義)集合 集合については、 3セメスタ開講の「離散数学」で詳しく扱う。 集合 大学では、高校より厳密に議論を行う。そのために、議論の 対象を明確にする必要がある。 ある “ もの ” (基本的な対象、概念)の集まりを、 集合という。 集合に含まれる “ もの ” を、集合の要素または元という。
信号測定. 正弦波 多くの場合正弦波は 0V の上下で振動する しかし、これでは AD 変換器に入れら れないので、オフ セットを調整して データを取った.
1 9.線形写像. 2 ここでは、行列の積によって、写像を 定義できることをみていく。 また、行列の積によって定義される写 像の性質を調べていく。
1 情報理論 2008 年度 4 セメスター. 2 履修にあたって 担当 – 草苅 良至(部屋GI511、内線209 5 ) 教科書 平田廣則著「情報理論のエッセンス」 昭晃堂、 \2,700- ・参考書 今井秀樹著「情報理論」 昭晃堂、 \2,900-
ビット. 十進数と二進数 十進数  0から9までの数字を使って 0、1、2、3、4、5、6、7、8、9、 10、11、12 と数える 二進数  0と1を使って 0、1、10、11、100、101、11 0、111 と数える.
研究会 “Harmonies and Surprises on the Lattice” 地域社会と連携した大学教育と 研究プロセスの類似性 ~松本大学での帰納的教育手法の展開~ 報告者: Matsumoto University 松本大学/松本大学松商短期大学部 Hiroyuki Sumiyoshi.
平成22年度予算の国立大学法人関連要望事項に係るパブリックコメント説明会
ダンジョンRPG 和島研究室 ソ 田村 亮
安心・安全な高齢者用電動いす ナビゲーションシステムの開発 首都大学東京大学院 理工学研究科数理情報科学専攻 福永 力 都施策提案発表会 電動イスナビゲーションシス テム.
学習者の意欲を高める音読指導の 一時例 1 Speak を使った 音読指導 鈴木政浩(西武文理大学)
論理回路 第1回. 今日の内容 論理回路とは? 本講義の位置づけ,達成目標 講義スケジュールと内容 受講時の注意事項 成績の評価方法.
卒業研究テーマ発表 a6p21035 加藤 雅典. 目次  テーマ  研究方法  問題点 卒業研究テーマ 「天気予報を評価する手法の提案 」 「東京と地方の天気予報の精度の違い」 「神奈川県内での天気の差」
クロスバリデーションを用いた ベイズ基準によるコンテキストクラスタリング
実装の流れと 今後のスケジュール 03k0014 岸原 大祐. システム概要 天気データをもとに、前向き推論をし ていき、親の代わりに子供に服装、持 ち物、気をつけることなどを教える。
モービル広域ネットワークプロジ ェクト 研究概要 インターネットに関わるあらゆる 研究 技術から社会まで.
Li 系化合物の結晶育成と電気的性質の測定 - LabVIEW を用いた計測制御システムの開発 - 矢萩研究室 ソ 佐藤 蓉子
Automatic Language Acquisition, an Interactive Approach † Robert J. Martin † 大西昇 ‡ 山村毅 † 名古屋大学 ‡ 愛知県立大学.
ノベルゲームシステムとネット ワークの連携について 1104081 下元 悠嗣. 研究内容 ノベルゲーム専用のスクリプトエンジン 吉里吉里 /KAG にネットワーク機能を追加 することで従来にない特色を持ったシス テムの開発.
Science of Synthesis 有機および有機金属化合物の合成方法 包括的最新リソース
子供の判断支援システム 03k0014 岸原大祐. システム概要 天気データと個人データの二つから、 条件に応じて服装、行動等に対し、親 の代わりに子供に対してアドバイスを 行う。
機械情報工学科 光来研究室 中村孝介.  IDS は攻撃者の侵入を検知するシステム ◦ 監視対象  ディスク、メモリ、ネットワーク  攻撃者により改竄・停止させられる可能性がある ◦ 侵入を検知できなくなる IDS 攻撃者 検知 停止 ディスク メモリ ネットワーク ディスク.
○ 田口 元健 1) 、竹内 昭博 2) 、 廣瀬 稔 1) 、 渡辺 敏 1) 、 池田 憲昭 2) 北里大学 医療衛生学部 臨床工学 1) 、医療情報学 2) 背景・目的: 心電図不整脈の成立ち、および人工 ペースメーカとの関わりについて、生理学的立場から 理論的に解説を示すことを目的に、 1)医学部・医療系の学部学生を対象として、
移動エージェントプログラムの 動作表示のためのアニメーション言 語 名古屋大学情報工学コース 坂部研究室 高岸 健.
物体識別のための Adaboost を用いた入力特徴の評価 物体識別のための Adaboost を用いた 入力特徴の評価 情報工学科 藤吉研究室 EP02132 土屋成光.
可視化( Visualization ) シミュレーション結果の数値などの目 に見えない情報を、人間の把握しやす い図形やイメージなどの形式に変換し て出力すること。 ショートレポート シミュレーション結果の可視化の例を 一つ挙げ、その役割について簡単に述 べよ。
コンピュータ活用 第9 週 制作技術ー3 : 双方向通信 CGI システムと環境変数. クライアントとサーバーとの間の双方向通信の考え方 URL を送信し て HTML 文書返信 データ送信 (cgi) 入力に対する応答 データ入力 閲覧ソフトか ら 応答内容表示 クライアン ト サーバー データ受.
最近の ICD の動向について (WHO 公表資料より抜粋). HIS および IT を用いた WHO 分類 国の保健業務 出生 死亡 疾病 障害 リスク要因 電子保健 記録システム ICD ICF ICHI 分類 マッピング 専門用語 臨床業務 意思決定支援 ケアの統合 結果 管理業務 日程計画.
卒業研究テーマ発表 a6p21035 加藤 雅典. 目次  テーマ  研究方法  問題点 卒業研究テーマ 「天気予報を評価する手法の提案 」
ネットワークの基礎技術と TCP/IP 曹 暁達 ( そう ぎょうたつ ) 国際産業情報学科 2 年 10 月 28 日.
2003/7/23 学術情報発信に関する懇談会 1 学術情報発信の推進について 附属図書館. 2003/7/23 学術情報発信に関する懇談会 2 背景 科学技術・学術審議会『学術情報の流通 基盤の充実について(審議のまとめ)』 (平成 14 年 3 月 12 日) – 「大学等から発信される様々な学術情報が簡.
図書館における 個人対応検索システム                03k1001 赤塚 拓巳.
日本の開発援助と法情報理論 国際的な比較法研究基盤の整備 2004 年度「アジア法整備支援」全体会議 名古屋大学大学院法学研究科 松浦好治 2004/12/05.
LabVIEWを用いた計測制御システムの構築1 - 電気抵抗率算出プログラムの作成 -
小島 肇  Windows ではアンチウイルスソフトウェアは 必須だが、「入れれば安心」というものでは ない  Mac, Linux における費用対効果はかなり低い  現時点ではマルウェアは流行っていないから  Windows を併用している場合は別.
音の変化を視覚化する サウンドプレイヤーの作成
Self-efficacy(自己効力感)について
1 オペレーティングシステム #7 計算機工学 III オペレーティングシステム #7 主記憶管理:主記憶管理基礎 2006/05/26 津邑 公暁.
東北大学 情報科学研究科 システム情報科学専攻 TOKUYAMA Lab. 1 左順序付き柔軟ラベリングの実 装 Implementation of Left-part ordered Flexible Labeling 東北大学大学院 情報科学研究科 ◎小池 敦 徳山 豪.
Network Forensics Networking Basics Collecting Network-Based Evidence (NBE) Collection of Packets using Tools Windows Intrusion UNIX Intrusion.
Information Visualization for Intrusion Detection Analysis: A Needs Assessment of Security Experts John Goodall, Anita Komlodi, Wayne G. Lutters UMBC Workshop.
名人の知とコンピュータの知 北陸先端科学技術大学院大学 情報科学研究科 寄附講座「思考の可視化」 米長邦雄 飯田弘之 中川武夫.
Seasonal Estimation of Water Deficit for Irrigation and Introduction of CREST project What is CREST? Research Background Results and Discussion AGATA,
ASP.NET 2.0 Provider Model 概 要. Agenda ASP.NET 2.0 Provider Model とは カスタムプロバイダ の実装 まとめ.
Reducing false positives in intrusion detection systems by means of frequent episodes Lars Olav Gigstad.
Mobile IP 九州大学大学院システム情報科学 情報工学専攻 荒木研究室 朝長 康介. Mobile IP とは何か? Internet 上でホスト移動性 (Mobility) を透過的に サポートするプロトコル 特徴 サブネット間のローミングをサポート → 移動しても同一のIPアドレスを使用でき.
情報工学特別講義(第1回目) 2007年4月11日 担当 石原 HCI研究分野の紹介. Interaction Human Computer Interaction ヒューマンコンピュータイン タラクション HCI - Human Computer Interaction 人と計算機の間でやり取りが行われるシステムの設計、
An Adaptive Collective Communication Suppressing Contention Taura Lab. M2 Shota Yoshitomi.
Rails Chat! Rails 関西 Rails Chat の歴史.
1 J-AIUEO (Japanese IUE Committee). 2 The Image Understanding Environment F 画像理解の計算モデルの確立 w データ構造、アルゴリズム F 研究の効率化:研究成果の交換、評価を促進 w ベンチマーキング F 技術の蓄積、技術移転のプラットフォーム.
英語勉強会 名手⇒詫間 2015/10/22. 原文 This study says acquiring motor skills support system. There is how to acquire moor skills that coach advises learner. Motor.
教養的教育パッケージ別科目 「産業と技術」 制度と生活世界 自然の視角 LSI と産業 広島大学 ナノデバイス・システム研究センター 平成 14 年度前期 横山 新 後期 吉川公麿 HIROSHIMA UNIVERSITY 平成 14 年 5 月 28 日.
Presentation transcript:

IDS 運用の効率化に関する研究 環境情報学部4年 水谷正慶 親 : true / サブ親 : minami

Background Intrusion Detection System (IDS) outputs; too much log Ex) RG-Net by Snort 2005/1/1 ~ 7/26 Max: 720,679 /day Average: 66,408 /day

Issues Operator IDS Event Log It ’ s too difficult to find intrusion by operator What’s Happened? How Much Risk? Amount of Events Intrusion Infected Take Time Human Error Critical Incident

Focus(1/2) : Risk of events False Positive Low Risk Event High Risk Event Versatile Signature Low Quality Signature Failure Attack Non-effective Attack Blaster

Focus (2/2): Event Assessment Timeline Event-5 Event-6 Event-7 Event-8 Event-1 Event-2 Event-3 Event-4 From Host-A From Host-B

System overview Session-based IDS IDS Log Visualizer Target-based IDS Operator Event Log Important Event Log Event Log Network Traffic Conventional IDS Attack ResultEvent RatingAggregate

(1) Session-based IDS Session-based IDS Conventional IDS Attacker Target Exploit Code Error Message Exploit Code Unknown Response Attack Attack is succeeded Attack is failure

(2) Target-based IDS Target-based IDS Attacker Target (Windows) Target (Linux) Exploit Code For Windows Exploit Code For Windows Attack is Risky Attack is No Risk

(3) Log Visualizer EVENT LOG 00:13 Port Scan 00:15 Version Scan 00:17 Exploit Attempt 00:27 Port Scan 00:28 Version Scan 00:55 Exploit Attempt 00:0001:00 Port Scan Version Scan Exploit Code Correlation(?)

System design Session-based IDS Target-based IDS & Log Visualizer Event Log DB Operator Host DB + DHCP based OS Fingerprinting Static IP Address

Implementation: Session-based IDS

Implementation: Log Visualizer ﻪ Demo

Implementation: Log Visualizer Correlation From Some IP Address

Researches & Activities ﻪ Papers ﻩ 「 IDS のログ視覚化システムの構築」 ﻯ 情報処理学会 分散システム/インターネット運用技術シンポジウム 2003 ﻩ 「 Session Based IDS の設計と実装」 ﻯ 電子情報通信学会 2005 年 次世代インターネットソフトウェア論文特集 ﻩ 「セッション追跡によるプロトコルアノーマリ型防御手法の提案 と実装」 ﻯ 情報処理学会 第 12 回マルチメディア通信と分散処理ワークショップ 2004 ﻩ 「 The Design and Implementation of Session Based IDS 」 ﻯ Technical Typesetters: “Electronics and Communications in Japan, Part I” ﻪ Software ﻩ Session-based IDS “ROOK” ﻯ ﻩ Log Visualizer “BISHOP” ﻯ

Dec -Submit Paper Dec -Submit Paper Aug -Integration Aug -Integration Oct -Evaluation Oct -Evaluation Schedule Jan Final Presentation Nov -Write Paper Nov -Write Paper Sep -Integration -Evaluation Sep -Integration -Evaluation To Do - Integration - Evaluation - Paper

Evaluation ﻪ Quantitative Evaluation ﻩ Event reduction ﻩ Compare Other IDS Implementation ﻩ Performance ﻩ Properness of Event ﻪ Qualitative Evaluation ﻩ Compare Traditional Log Analyzing Tools

Conclusion ﻪ Issues ﻪ Approach ﻩ Session-based IDS ﻩ Target-based IDS ﻩ Log Visualizer ﻪ To Do ﻩ Integration ﻩ Reevaluation ﻩ Paper

Thank you.

Road to… Master’s Paper “IDS の利用支援 に関する研究 ” “ インシデントレスポンスの 自動化に関する研究 ” Bachelor’s Course Master’s Course 「 Session-based IDS の 設計と実装」 設計と実装」 「 IDS のログ視覚化 システムの構築」 システムの構築」 「ホスト情報をもとにした攻撃情報のリスク評価」「ホスト情報をもとにした攻撃情報のリスク評価」 「セッション追跡によるプロトコルアノーマリ型防御手法の提案と実装」「セッション追跡によるプロトコルアノーマリ型防御手法の提案と実装」 「安全性・利便性を実現する 動的ネットワークアクセス 制御手法の提案」 「安全性・利便性を実現する 動的ネットワークアクセス 制御手法の提案」 Bachelor’s Paper 「複数イベントによるインシデントリスク判別モデルの提案と評価」「複数イベントによるインシデントリスク判別モデルの提案と評価」 「複数環境に対応す るインシデント自動 対応機構の実現」 「インシデントのリ スクに基づいた自動 対応機構の実装」

Approach (1/2) -Add Property to Events- Event-A Event-B Event-C Intrusion Detection Network Forensic Trend Analysis Signature: Exploit Attempt Result: Success Degree of Risk: High Signature: Exploit Attempt Result: Failure Degree of Risk: Low Signature: Scan Event: Success Degree of Risk : Unknown

Implementation: Log Visualizer

A Flow to Incident Response Event Detection Evaluation Risk Evaluation Risk Information Collection Information Collection Handling IDS (Intrusion Detection System) Someone’s Scream Monitoring Tools Operator Host Information -OS -Application Application Log -DHCP -Application at End Host -Firewall Secluding Host Filter from Attacker Surveying Damage

Implementation Session-based IDS “ROOK” Target-based IDS & Log Visualizer “BISHOP” + -Improving Performance -Database Module -Improving Detection Accuracy -Improving Performance -Target-based Engine -Multi-Element Handling Module -Multiple IDS Support

Issues -IDSs are a market failure- Take Time Human Error Intrusion Infected Log Analyzing Critical Incident [**] [1:2003:8] MS-SQL Worm propagation attempt [**] [Classification: Misc Attack] [Priority: 2] 07/01-06:27: :3062 -> :1434 UDP TTL:48 TOS:0x0 ID:64355 IpLen:20 DgmLen:404 Len: 376 [Xref => url vil.nai.com/vil/content/v_99992.htm][Xref => nessus 11214][Xref => cve ][Xref => bugtraq 5311][Xref => bugtraq 5310] [**] [1:2050:8] MS-SQL version overflow attempt [**] [Classification: Misc activity] [Priority: 3] 07/01-06:27: :3062 -> :1434 UDP TTL:48 TOS:0x0 ID:64355 IpLen:20 DgmLen:404 Len: 376 [Xref => nessus 10674][Xref => cve ][Xref => bugtraq 5310] [**] [1:1201:7] ATTACK-RESPONSES 403 Forbidden [**] [Classification: Attempted Information Leak] [Priority: 2] 07/01-06:27: :80 -> :43775 TCP TTL:63 TOS:0x0 ID:41614 IpLen:20 DgmLen:711 DF ***AP*** Seq: 0x640FE4FA Ack: 0xAC9BC693 Win: 0x822B TcpLen: 32 TCP Options (3) => NOP NOP TS: [**] [1:10132:0] SNMP access, public [**] [Priority: 0] 07/01-06:27: :1025 -> :161 UDP TTL:109 TOS:0x0 ID:43374 IpLen:20 DgmLen:106 Len: 78 [**] [1: :8] BLEEDING-EDGE Exploit Suspected PHP Injection Attack [**] [Classification: A Network Trojan was detected] [Priority: 1] 07/01-06:29: : > :80 TCP TTL:52 TOS:0x0 ID:18226 IpLen:20 DgmLen:373 DF ***AP*** Seq: 0xB3C71B54 Ack: 0x98D0F55B Win: 0x1658 TcpLen: 32 TCP Options (3) => NOP NOP TS: [Xref => cve ] ………………………… Huge Log Continue to infinity…

Feedback: Privacy Policy Feedback
Do Not Sell My Personal Information
About project: SlidePlayer Terms of Service

© 2025 SlidePlayer.com. Inc. All rights reserved.