search

yu-bonn / Searching-for-a-research-topic

0 stars 0 forks source link

9/8 To Do #2

Open yu-bonn opened 1 month ago

yu-bonn commented 1 month ago

今週のTo Do

yu-bonn commented 3 weeks ago

SIEM (Security Information and Event Management) CASB (Cloud Access Security Broker) SOAR (Security Orchestration, Automation, and Response) wireguard carnaボットネット セキュアブート VFI

yu-bonn commented 1 week ago

SIEM (Security Information and Event Management)

ファイアウォールやIDS/IPS、プロキシーなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことで、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組み。 SIEMが果たす役割は、サイバー攻撃や異常などの発生を未然に防ぐだけではありません。発生後のインシデントをできるだけ迅速に検出し、その後のすばやい対応をサポートする役割があります。 image

SPEAR SIEM: A Security Information and Event Management system for the Smart Grid

著者・URL

Panagiotis Radoglou-Grammatikis Panagiotis Sarigiannidis Eider Iturbe

Published :Computer Networks Volume 193, 5 July 2021, 108008

Department of Electrical and Computer Engineering, University of Western Macedonia, Kozani, Greece TECNALIA, Basque Research and Technology Alliance (BRTA), Derio, Spain

https://www.sciencedirect.com/science/article/pii/S1389128621001237 ## ①どんなもの?(目的は?) スマートテクノロジーの技術的飛躍により、従来の電力網はスマートグリッド (SG) と呼ばれる新しいデジタル時代を迎え、双方向通信、広範囲にわたる制御、自己修復などのさまざまな利点がもたらされている。SG は、サイバーセキュリティを考慮して実装されていないレガシー通信プロトコルに依存している。さらに、IoT の出現により、深刻なサイバーセキュリティの課題が生じている。 セキュリティ情報およびイベント管理 (SIEM) システムは、サイバーセキュリティ分野の新興技術であり、膨大な量のセキュリティイベントを検出、正規化、相関させる機能を備えている。これらのシステムは、SG などのスマートエコシステムのセキュリティ全体を調整できる。ただし、現在の SIEM システムでは、レガシー通信プロトコルのような SG 固有の特殊性や特性が考慮されていない。 SG に重点を置いた Secure and PrivatE smArt gRid (SPEAR) SIEM を紹介。 ## ②先行研究と比べてどこがすごい?(メリットは?) 研究の主な貢献は、多数の SG アプリケーション層プロトコルに対するサイバー攻撃と異常を検出、正規化、相関付けできる SIEM システムの設計と実装。注目すべきは、SPEAR SIEM の検出パフォーマンスが、実際の SG 使用事例 (a)水力発電所、(b)変電所、(c) 発電所、(d)スマート ホームから取得した実際のデータで実証されていること。 ## ③技術や手法のキモはどこ? - SG 専用に設計された SIEM システムの提供: 提案された SIEM は、複数の SG アプリケーション層サイバー攻撃に関連するセキュリティ イベントを検出し、正規化し、相関させることができます。 - 運用データに基づく異常検出モデルのセットを提供する: 特定のモデルは、(a) 水力発電所、(b) 変電所、(c) 発電所、(d) スマートホームの 4 つの SG ユースケースの運用データ (つまり、時系列電力データ) に基づいて異常を検出できます。 - ML/DL dimensionality reduction techniquesによる視覚ベースの検出メカニズムの実装: VIDS を通じて、セキュリティ管理者は潜在的な未検出のセキュリティ問題を特定できます。 - 各 SG 資産の信頼値を反映するレピュテーション メカニズムの実装: GTM (グリッドトラステッドモジュール)は、受信したセキュリティ イベントとアラートに基づいて、各 SG 資産のレピュテーション値を計算できます。 - 2 つの新しいディープ ニューラル ネットワーク(DNN)、すなわち SPEAR Stacked Denoising Autoencoder (SDAE) と Payload Text CNN(畳み込みニューラルネットワーク) Classifier の開発: 提案された DNN は BDAC (ビッグデータ分析コンポーネント)の一部であり、それぞれ特定のサイバー攻撃と異常を検出します。 - 4 つの SG ユース ケースでさまざまなサイバー攻撃を検出するための多数の ML/DL 手法の評価: BDAC と VIDS のさまざまなMLおよびDL手法が、(a) 水力発電所、(b) 変電所、(c) 発電所、(d) スマート ホームの 4 つの SG ユース ケースで評価されます。 - ## ④どうやって有効だと検証した? ## ⑤議論はある?(結果や課題は?) ## ⑥次に読むべき論文は? <論文名> ## Bibtex ## フリースペース
yu-bonn commented 1 week ago

GDPR

GDPR(General Data Protection Regulation)とは、EU(欧州連合)が定める個人情報保護のための規則で、日本語では「EU一般データ保護規則」と呼ばれます

IDS(Intrusion Detection System)/ IPS(Intrusion Prevention System)

通信の監視と管理者への警告を行うIDSは「不正侵入検知システム」と呼ばれる。対してIDSの機能に加えて、通信の遮断までを行うIPSは「不正侵入防止システム」と呼ばれる。しかし、昨今では通信の遮断を行えるIDS製品も登場しているため、ほぼ同義で語られることもあります。

IPSは通信の異常を通知することに加え、ワーム※やDoS※などのパケットが持つ特徴を検知した直後に、人手を介することなく自動的に通信を遮断するところまでの対応を行います。IPSはIDSと比べ、迅速なインシデント対応が実現できるメリットがある反面、業務に大きな影響が出やすいというデメリットもあります。万一、設定が不正な場合など誤検知を行ってしまうと、即時にシステムが停止してしまうケースが想定される。

IPS/IDSが攻撃を検知する方法には、「不正検出(シグネチャ型)」と、「異常検出(アノマリ型)」の2つがあります。攻撃パターンをシグネチャに登録し、一致する通信を攻撃と見なす方法が「不正検出」です。正常な通信の挙動をあらかじめ学習した上で、そこから逸脱した通信を異常として検知する方法が「異常検出」です。

IDSとIPSは通信の監視方法、不正なデータの検知方法が「ネットワーク型」と、「ホスト型」、「クラウド型」の3つに分類されます。ネットワーク型は、ネットワークを流れる通信パケットを監視します。一方でホスト型は、監視対象のサーバー上にソフトウェアとしてインストールされ、通信の結果生成されたサーバー上の受信データやログを監視します。クラウド型はこれらの仕組みを、クラウドサービスとして提供する形式です。 image

CASB(キャスビー・Cloud Access Security Broker)

クラウドサービスへのアクセスの可視化や不正アクセスやデータ流出の阻止、適切なクラウドサービス利用のための監視や制御、送受信するデータの暗号化。

クラウドサービスの利活用に対する情報セキュリティのコンセプトにもとづいた、適切なセキュリティ対策を行うソリューションです。クラウドサービスアクセス時のハブとして導入することで、クラウドサービスの利用状況を可視化して監視し、各種制御を実現します。 一般的にCASBでは4つの機能を提供します。

yu-bonn commented 1 week ago

興味がある特殊なシステムを一般的な手法が試せるか=>試せるように改良する 一個の大きなシステムにファイアーウォールやips/idsを一つにする流れ エンドポイントはできない=>まとめられないものも解析できるのがsiemの利点 DHCP アラートの量が多い時に1次振り分けしたりする siemは教育が必要