P046 - DIMVA 2004 - Detection of intrusions and malware & vulnerability assessment, GI SIG SIDAR workshop,
Autor*innen mit den meisten Dokumenten
Neueste Veröffentlichungen
- KonferenzbeitragErmittlung von Verwundbarkeiten mit elektronischen Ködern(Detection of intrusions and malware & vulnerability assessment, GI SIG SIDAR workshop, DIMVA 2004, 2004) Dornseif, Maximillian; Gärtner, Felix C.; Holz, ThorstenAls elektronische Köder (honeypots) bezeichnet man Netzwerkressourcen, deren Wert darin besteht, angegriffen und kompromittiert zu werden. Oft sind dies Computer, die keine spezielle Aufgabe im Netzwerk haben, aber ansonsten nicht von regulären Rechnern zu unterscheiden sind. Köder können zu Köder-Netzwerken (honeynets) zusammengeschlossen werden. Sie sind mit spezieller Software ausgestattet, die die Forensik einer eingetretenen Schutzzielverletzung erleichtert. Durch die Vielfalt an mitgeschnittenen Daten kann man deutlich mehr über das Verhalten von An- greifern in Netzwerken lernen als mit herkömmlichen forensischen Methoden. Dieser Beitrag stellt die Philosophie der Köder-Netzwerke vor und beschreibt die ersten Erfahrungen, die mit einem solchen Netzwerk an der RWTH Aachen gemacht wurden.
- KonferenzbeitragAktive Strategien zur Schutzzielverletzungerkennung durch eine kontrollierte Machtteilung in der Zugriffskontrollarchitektur(Detection of intrusions and malware & vulnerability assessment, GI SIG SIDAR workshop, DIMVA 2004, 2004) Abendroth, JoergZugangskontrolle und Intrusion Detection werden oft separat behandelt. Zur Erkennung von Schutzzielverletzungen wird hauptsächlich der Datenverkehr eines Netzwerkes ausgewertet - dies geschieht in einer passiven Weise. Aktive Strategien zum Erkennen von Angriffen sind nur durch neue Zugriffskontrollsysteme und kontrollierte Machtteilung möglich. In dem vorliegenden Beitrag wird eine neue Kategorisierung von Zugriffskontrollsysteme vorgestellt und insbesondere auf die kontrollierte Machtteilung eingegangen. Es wird gezeigt wie neue aktive Strategien zur Schutzzielverletzungserkennung möglich werden. Diese Strategien erlauben auch den Missbrauch berechtigter Benutzer, die ihre Befugnisse missbrauchen, zu erkennen. Ebenso können nun bekannte Ideen aus der SPAM Bekämpfung in die Zugangskontrolle übernommen werden. Ein Prototyp wurde mittels der ASCap Architektur implementiert und zeigt, dass die vorgestellten Techniken einsetzbar sind.
- KonferenzbeitragSensors for detection of misbehaving nodes in MANETs(Detection of intrusions and malware & vulnerability assessment, GI SIG SIDAR workshop, DIMVA 2004, 2004) Kargl, Frank; Klenk, Andreas; Weber, Michael; Schlott, StefanThe fact that security is a critical problem when implementing mobile ad hoc networks (MANETs) is widely acknowledged. One of the different kinds of misbehavior a node may exhibit is selfishness. A selfish node wants to preserve its resources while using the services of others and consuming their resources. One way of preventing selfishness in a MANET is a detection and exclusion mechanism. In this paper, we focus on the detection and present different kinds of sensors that will find selfish nodes. First we present simulations that show the negative effects which selfish nodes cause in MANET. In the related work section we will analyze the detection mechanisms proposed by others. Our new detection mechanisms that we describe in this paper are called activity-based overhearing, iterative probing, and unambiguous probing. Simulation-based analysis of these mechanisms show that they are highly effective and can reliably detect a multitude of selfish behaviors.
- KonferenzbeitragA honeynet within the German research network – Experiences and results(Detection of intrusions and malware & vulnerability assessment, GI SIG SIDAR workshop, DIMVA 2004, 2004) Reiser, Helmut; Volker, GereonA honeynet is a special prepared network which is not used in normal business. It is a kind of playground to watch and learn the tactics of crackers. The only purpose of a honeynet is to be probed, attacked or compromised. During the operation other systems may not be harmed by an attack originated within the honeynet. In this paper the design, realization and operation of a honeynet built within the German Research Network (DFN) will be described. Concepts for continuously monitoring and securing the honeynet are introduced. A selection of the results of the operation phase will be presented as well.
- KonferenzbeitragIntrusion detection in unlabeled data with quarter-sphere support vector machines(Detection of intrusions and malware & vulnerability assessment, GI SIG SIDAR workshop, DIMVA 2004, 2004) Laskov, Pavel; Christin, Schäfer; Kotenko, IgorPractical application of data mining and machine learning techniques to intrusion detection is often hindered by the difficulty to produce clean data for the training. To address this problem a geometric framework for unsupervised anomaly detection has been recently proposed. In this framework, the data is mapped into a feature space, and anomalies are detected as the entries in sparsely populated regions. In this contribution we propose a novel formulation of a one-class Support Vector Machine (SVM) specially designed for typical IDS data features. The key idea of our "quarter-sphere" algorithm is to encompass the data with a hypersphere anchored at the center of mass of the data in feature space. The proposed method and its behavior on varying percentages of attacks in the data is evaluated on the KDDCup 1999 dataset.
- KonferenzbeitragKomponenten für kooperative Intrusion-Detection in dynamischen Koalitionsumgebungen(Detection of intrusions and malware & vulnerability assessment, GI SIG SIDAR workshop, DIMVA 2004, 2004) Jahnke, Marko; Lies, Martin; Henkel, Sven; Michael, Bussmann; Tölle, JensKoalitionsumgebungen sollen für alle miteinander kooperierenden Mitglieder einen Vorteil bei der Verfolgung eines gemeinsamen Ziels erbringen. Dies gilt für die verschiedensten Anwendungsbereiche, etwa bei kooperierenden Strafverfolgungsbehörden, Wirtschaftsunternehmen oder Streitkräfte. Auch bei der Erkennung von sicherheitsrelevanten Vorgängen in vernetzten Computersystemen erhofft man sich von der Zusammenarbeit eine verbesserte Erkennungsfähigkeit sowie eine schnelle und koordinierte Reaktion auf Einbruchsversuche. Dieser Beitrag stellt verschiedene praxisorientierte Werkzeuge für die koalitionsweite Vernetzung von Ereignismeldungs-produzierenden Sicherheitswerkzeugen vor, die wesentliche Probleme des Anwendungsszenarios lösen helfen: Frühzeitige Anomaliewarnung – ein graphbasierter Anomaliedetektor wird als adaptives Frühwarnmodul für großflächige und koordinierte Angriffe, z.B. Internet-Würmer, eingesetzt. Informationsfilterung – Meldungen werden beim Verlassen der lokalen Domäne entsprechend der domänenspezifischen Richtlinien zur Informationsweitergabe modifiziert (d.h. insbesondere anonymisiert bzw. pseudonymisiert). Datenreduktion – zusätzliche Filter zur Datenreduzierung auf der Basis von vordefinierten Abhängigkeitsregeln steigern die Handhabbarkeit des Datenflusses. Die Funktionsfähigkeit der genannten Komponenten wird derzeit in Form einer prototypischen Implementierung eines Meta-IDS für dynamische Koalitionsumgebungen nachgewiesen.
- KonferenzbeitragAlert verification determining the success of intrusion attempts(Detection of intrusions and malware & vulnerability assessment, GI SIG SIDAR workshop, DIMVA 2004, 2004) Kruegel, Christopher; Robertson, William
- KonferenzbeitragRisiken der Nichterkennung von Malware in komprimierter Form(Detection of intrusions and malware & vulnerability assessment, GI SIG SIDAR workshop, DIMVA 2004, 2004) Fangmeier, Heiko; Messerschmidt, Michel; Müller, Fabian; Seedorf, JanMaliziöse Software (Malware) gefährdet die Vertraulichkeit, Integrität und die Verfügbarkeit von Informatiksystemen auf verschiedene Art und Weise. In diesem Beitrag wird der Frage nachgegangen, inwiefern durch Malware in komprimierter Form Risiken entstehen. Ausgewählte Risiken werden anhand eines Szenarios veranschaulicht und analysiert. Ein Standard-Schutzmechanismus vor Malware ist Anti-Malware-Software. Es wird eine Testmethodik vorgestellt, mit der systematisch die Güte der Erkennung von Malware in komprimierter Form durch Anti-Malware Software getestet werden kann. Abschließend werden mit dieser Methodik erlangte Testergebnisse vorgestellt.
- KonferenzbeitragVertrauensbasierte Laufzeitüberwachung verteilter komponentenstrukturierter E-Commerce-Software(Detection of intrusions and malware & vulnerability assessment, GI SIG SIDAR workshop, DIMVA 2004, 2004) Herrmann, Peter; Lars, Wiebusch; Krumm, HeikoDie Entwicklung komponentenstrukturierter E-Commerce-Software ist kostengünstig und schnell, da man die Systeme recht einfach aus wiederverwendbaren Softwarekomponenten zusammensetzt. Allerdings führt diese Entwurfsmethode zu einer neuen Art an Problemen für die Datensicherheit dieser Systeme. Insbesondere besteht die Gefahr, dass eine bösartige Komponente die gesamte Anwendung, in die sie eingebunden ist, bedroht. Zur Abwehr dieser Gefahr verwenden wir Security Wrapper, die das Verhalten von Komponenten zur Laufzeit überwachen und die Si- cherheitsanforderungen der Anwendung durchsetzen. Ein Security Wrapper beobachtet das Verhalten an der Schnittstelle einer Komponenten und vergleicht es mit den vom Komponentenentwickler garantierten Sicherheitspolicies, die in der Komponentenspezifikation formal beschrieben werden. Wir stellen vor, wie man die Sicherheitspolicies zustandsbasiert beschreibt und führen eine Sammlung an Spezifikationsmustern ein, aus denen man die Modelle der Sicherheitspolicies für eine Komponente ableitet. Schließlich zeigen wir den Einsatz der Security Wrapper anhand eines E-Procurement- Beispiels. Darüberhinaus erläutern wir, wie man unter Berücksichtigung der Erfahrungen anderer Nutzer mit einer Komponente den Aufwand der Laufzeittests reduzieren kann. Dazu verwenden wir einen speziellen Vertrauensmanagement-Service, der gute und schlechte Erfahrungen unterschiedlicher Benutzer mit Komponenten verwaltet. Abhängig von diesen Erfahrungsberichten können die Security Wrapper das Ausmaß der Überwachung absenken, indem sie anstatt einer vollständigen Überwachung nur Stichproben durchführen oder die Überwachung sogar abbrechen.