07.02.2013 | Security Engineering Group | Prof. Dr. Katzenbeisser Verhaltens-basierte Computerwurm-Erkennung.

Slides:



Advertisements
Ähnliche Präsentationen
Excel – Kurs Philip Clasen
Advertisements

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Implementierung eines BPSK (De)Modulators auf einem Spartan 3E FPGA
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil3.
Echtzeit-Ethernet - eine Potentialanalyse -
What do you get marks for?
CPCP Institute of Clinical Pharmacology AGAH Annual Meeting, 29. Februar 2004, Berlin, Praktischer Umgang mit den Genehmigungsanträgen gemäß 12. AMG Novelle.
Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.
Modelle und Methoden der Linearen und Nichtlinearen Optimierung (Ausgewählte Methoden und Fallstudien) U N I V E R S I T Ä T H A M B U R G November 2011.
Scratch Der Einstieg in das Programmieren. Scatch: Entwicklungsumgebung Prof. Dr. Haftendorn, Leuphana Universität Lüneburg,
Klicke Dich mit der linken Maustaste durch das Übungsprogramm! Vereinfachung von Termen Ein Übungsprogramm der IGS - Hamm/Sieg © IGS-Hamm/Sieg 2006 Dietmar.
WS Algorithmentheorie 02 - Polynomprodukt und Fast Fourier Transformation Prof. Dr. Th. Ottmann.
Grundkurs Theoretische Informatik, Folie 2.1 © 2006 G. Vossen,K.-U. Witt Grundkurs Theoretische Informatik Kapitel 2 Gottfried Vossen Kurt-Ulrich Witt.
Vorlesung: 1 Betriebssysteme 2007 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebssysteme Hochverfügbarkeit (Einführung) 3. Quartal.
Vorlesung: 1 Betriebssysteme 2008 Prof. Dr. G. Hellberg Studiengang Mechatronik FHDW Vorlesung: Betriebssysteme Hochverfügbarkeit (Einführung) 2. Quartal.
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.
PKJ 2005/1 Stefan Dissmann Rückblick auf 2005 Was zuletzt in 2005 vorgestellt wurde: Klassen mit Attributen, Methoden und Konstruktoren Referenzen auf.
Betreuerin: Kathleen Jerchel
Modelchecker – RED Tool: Region-Encoding Diagram Stefan Neumann.
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Differentieller Stromverstärker
Routingverfahren in Content Delivery Networks
Physik in elementaren Portionen, Karlsruhe,
Vortragender Messung des Erfolgs einer Website Subjektive Attraktivität Besuchsintensität Produktivität Finanzielle Maße
Ralf KüstersDagstuhl 2008/11/30 2 Ralf KüstersDagstuhl 2008/11/30 3.
Distanzbasierte Sprachkommunikation für Peer-to-Peer-Spiele
2 Distanzbasierte Sprachkommunikation für Peer-to-Peer-Spiele.
1. 2 Schreibprojekt Zeitung 3 Überblick 1. Vorstellung ComputerLernWerkstatt 2. Schreibprojekt: Zeitung 2.1 Konzeption des Kurses 2.2 Projektverlauf.
Bild 1.1 Copyright © Alfred Mertins | Signaltheorie, 2. Auflage Vieweg+Teubner PLUS Zusatzmaterialien Vieweg+Teubner Verlag | Wiesbaden.
Intrusion Detection Systems
20:00.
Datenverteilung in Ad-hoc Netzen 1/24 Adaptive Datenverteilung in mobilen Ad-hoc Netzen unter Verwendung des Area Graph basierten Bewegungsmodells S. Bittner,
SK / , , in Hochkössen und der Wildschönau flow Ski- und Snowboardschule Intersport Menzel.
© it & tel – E-Werk Wels AG 1 Das Problem. © it & tel – E-Werk Wels AG 2 Ausbreitung von Malware Sanfte Migration von nach Web Vector Web.
TWS/Graph HORIZONT Produkt-Präsentation Software für Rechenzentren
1 Fachtagung am Seniorenorientiertes Design und Marketing ThyssenKrupp Immobilien Design for all - Anpassungen im Wohnungsbestand 1.Demographie.
Reise-Bilder Ditmar Schädel (DGPh)
TWS/Graph HORIZONT Produktionsüberwachung für “TWS for z/OS”
Auslegung eines Vorschubantriebes
KOMOD Konzeptstudie Mobilitätsdaten Österreich AP3 Erhebungsmethoden und -komponenten Gerd Sammer, Roman Klementschitz Institut für Verkehrswesen, Universität.
Analyse von Ablaufdiagrammen
HORIZONT 1 XINFO ® Das IT - Informationssystem PL/1 Scanner HORIZONT Software für Rechenzentren Garmischer Str. 8 D München Tel ++49(0)89 / 540.
Publikation auf Knopfdruck Judith Riegelnig Michael Grüebler 19. Oktober 2010 / Statistiktage Neuenburg.
Vorlesung Mai 2000 Konstruktion des Voronoi-Diagramms II
Managemententscheidungsunterstützungssysteme (Ausgewählte Methoden und Fallstudien) ( Die Thesen zur Vorlesung 3) Thema der Vorlesung Lösung der linearen.
PARTENARIAT ÉDUCATIF GRUNDTVIG PARTENARIAT ÉDUCATIF GRUNDTVIG REPERES KULTURELLER ZUSAMMENHALT UND AUSDEHNUNG DER IDEEN AUF EUROPÄISCHEM.
Das IT - Informationssystem
1 (C)2006, Hermann Knoll, HTW Chur, FHO Quadratische Reste Definitionen: Quadratischer Rest Quadratwurzel Anwendungen.
Analyseprodukte numerischer Modelle
+21 Konjunkturerwartung Europa Dezember 2013 Indikator > +20 Indikator 0 bis +20 Indikator 0 bis -20 Indikator < -20 Europäische Union gesamt: +14 Indikator.
Pigmentierte Läsionen der Haut
Schutzvermerk nach DIN 34 beachten 20/05/14 Seite 1 Grundlagen XSoft Lösung :Logische Grundschaltung IEC-Grundlagen und logische Verknüpfungen.
© ÖVSVV. 2.1 / Stand vom Oktober Amateurfunk Weltweit Freunde.
Vortrag von Rechtsanwältin Verena Nedden, Fachanwältin für Steuerrecht zur Veranstaltung Wege zum bedingungslosen Grundeinkommen der Piratenpartei Rhein-Hessen.
1 Mathematical Programming Nichtlineare Programmierung.
1 Albert-Ludwigs-Universität Freiburg Rechnernetze und Telematik Prof. Dr. Christian Schindelhauer Peer-to-Peer- Netzwerke Christian Schindelhauer Sommersemester.
Peer-to-Peer-Netzwerke
1 Albert-Ludwigs-Universität Freiburg Rechnernetze und Telematik Prof. Dr. Christian Schindelhauer Informatik III Christian Schindelhauer Wintersemester.
Ertragsteuern, 5. Auflage Christiana Djanani, Gernot Brähler, Christian Lösel, Andreas Krenzin © UVK Verlagsgesellschaft mbH, Konstanz und München 2012.
Titelmasterformat durch Klicken bearbeiten Textmasterformate durch Klicken bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene 1 Rising energy.
Bildergalerie PRESEASON CAMP Juni 2014 Romanshorn Get ready for the Season!
prof. dr. dieter steinmannfachhochschule trier © prof. dr. dieter steinmann Folie 1 vom Montag, 30. März 2015.
Kompetenztraining Jura Martin Zwickel / Eva Julia Lohse / Matthias Schmid ISBN: © 2014 Walter de Gruyter GmbH, Berlin/Boston Abbildungsübersicht.
Was heißt hacken? Referat von Jasmin Woock Universität zu Köln
Das IT - Informationssystem
Registrar-Tag Andreas Papst.at nameservice Wer fragt Wen Was Wann? Datum:
1 Medienpädagogischer Forschungsverbund Südwest KIM-Studie 2014 Landesanstalt für Kommunikation Baden-Württemberg (LFK) Landeszentrale für Medien und Kommunikation.
Monatsbericht Ausgleichsenergiemarkt Gas – Oktober
Monatsbericht Ausgleichsenergiemarkt Gas – November
 Präsentation transkript:

| Security Engineering Group | Prof. Dr. Katzenbeisser Verhaltens-basierte Computerwurm-Erkennung

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 2 Teil 1: Verhaltens-basierte Detektionstechniken 1.Motivation und Fallstudie 2.Überblick über Computerwurmverteidigung 3.Verhaltens-basierte Detektionstechniken mit Beispielen I.Connection Failure (TRW) II.Netzwerk-Teleskope III.Muster in Zieladressen (MRW, RBS, TRW+RBS) IV.Causation (DSC, PGD, SWORD/2) V.Entropie VI.Vergleich der Techniken

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 3 1. Motivation -Netzwerktechnik hat sich weiterentwickelt! -Geschwindigkeit und Anzahl Teilnehmer (Handys,…) Potentieller Wurmschaden - Softwarekomplexität Zero-Day-Lücken Wurmkomplexität und Verschleierungsmaßnahmen z.B. W32.Conficker/W32.StuxNet klassische Verfahren nicht ausreichend

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 4 Wurmverbreitungsstrategien: Naive Würmer: -zufällig, sequentiell, permutierend -mit lokaler Präferenz (Adressen-Präfix) Raffinierte Würmer: -mit Hit-Listen -topologisch (Sammeln von Netzwerkinformationen) 1. Motivation: Fallstudie Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 5 1. Motivation: Fallstudie Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 6 2. Überblick über Computerwurmverteidigung Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 7 2. Überblick über Computerwurmverteidigung Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 8 I.Connection Failure 3. Verhaltens-basierte Detektionstechniken mit Beispielen Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 9 TRW (Treshold Random Walk): -Schechter et al überwacht alle Hosts: -alarmiert bei Grenzwert- überschreitung der Verbindungs- verlustrate eines Hosts I.Connection Failure - TRW 3. Verhaltens-basierte Detektionstechniken mit Beispielen Verbindungs- erfolgsrate Verbindungs- verlustrate Likelihood Threshold

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 10 II.Netzwerk-Teleskop 3. Verhaltens-basierte Detektionstechniken mit Beispielen Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 11 III. Muster in Zieladressen 3. Verhaltens-basierte Detektionstechniken mit Beispielen Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 12 MRW (Multi Resolution Worm Detector): -Sekar et al Detektion über hohe Verbindungsrate zu neuen Zieladressen eines Hosts -essentielles Wurmverhalten: Infektionssättigung konkave Kurve -Beobachtung von Hosts über mehrere Zeitfenster mit mehreren Grenzwerten III. Muster in Zieladressen - MRW 3. Verhaltens-basierte Detektionstechniken mit Beispielen Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 13 RBS (Ratebased Sequential Hypothesis Testing): -Jung et al 2007 = ähnlicher Ansatz wie MRW und TRW -Zwischenankunftszeit neuer Verbindungen wird auf Exponential-Verteilung abgebildet III. Muster in Zieladressen - RBS 3. Verhaltens-basierte Detektionstechniken mit Beispielen Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 14 RBS (Ratebased Sequential Hypothesis Testing): -Alarmierung bei Grenzwertüberschreitung des Likelihood zwischen 2 Hypothesen: III. Muster in Zieladressen - RBS 3. Verhaltens-basierte Detektionstechniken mit Beispielen -H0: Kein Wurmbefall und geringe Rate -H1: Wurmbefall und hohe Rate Quelle: Scannender Wurm Normaler Netzverkehr

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 15 TRW+RBS: -Kombination aus TRW und RBS, Jung et al Einsatz zweier Detektionstechniken: Connection Failure + Muster in Zieladressen III. Muster in Zieladressen – TRW+RBS 3. Verhaltens-basierte Detektionstechniken mit Beispielen Rate neuer Verbindungen bei keinem Wurmbefall Rate neuer Verbindungen bei Wurmbefall Likelihood + Threshold + Verbindungs -erfolgsrate Verbindungs -verlustrate Likelihood TRWRBS

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 16 IV. Causation 3. Verhaltens-basierte Detektionstechniken mit Beispielen Quelle: -Annahme: Verbindung verursacht neue Verbindung/en -älteste Technik (erstmals 1996 Staniford-chen et al.) -Oft basierend auf Graphen (Wurmverbreitung = baumartig) -Korrelation von Verbindungs- attributen(Quelle, Ziel, Ports) oder Payload (Nachteil bei Polymorphie)

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 17 DSC (Destination Source Correlation): -Gu et al setzt ausgehende Verbindungen, auf einen bestimmten Port, eines Hosts, in Beziehung zu eingehenden Verbindungen alarmiert bei Grenzwertüberschreitung ausgehender Verbindungen über einen bestimmten Zeitrahmen IV. Causation - DSC 3. Verhaltens-basierte Detektionstechniken mit Beispielen 25

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 18 PGD(Protocol Graph Detector): -Collins und Reiter erstellt protokoll-spezifische Graphen -Knoten = Hosts -Kanten = Verbindungen zwischen Hosts -Alarm bei ungewöhnlich vielen Knoten oder großen Komponenten -erfolgreich bei Würmern mit langsamer/topologischer/Hit-Listen Scanstrategie IV. Causation - PGD 3. Verhaltens-basierte Detektionstechniken mit Beispielen Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 19 IV. Causation – SWORD/2 3. Verhaltens-basierte Detektionstechniken mit Beispielen SWORD/2 (Selfpropagating Worm-Observation and Rapid Detection): -Stafford et al. 2006, verbessert zu SWORD2: Gruppierung von Hosts in Aktivitätsprofile -Kombination aus: -Burst-Analyse -Muster in Zieladressen -Causation Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 20 SWORD/2 (Selfpropagating Worm-Observation and Rapid Detection): -Kombination aus: Burst-Analyse, Muster in Zieladressen, Causation -Misst Verteilung der # Zieladressenbesuche vs. Zieladressen-Rang - lineare Regressions-Analyse: IV. Causation – SWORD/2 3. Verhaltens-basierte Detektionstechniken mit Beispielen Quellehttp://home.eduhi.at/member/j.kliemann/ti83/regr.htm Wurm-Traffic Normaler-Traffic # Besuche von Zieladressen Popularitätsrang der Zieladressen

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 21 IV. Causation – SWORD/2 3. Verhaltens-basierte Detektionstechniken mit Beispielen SWORD/2 (Selfpropagating Worm-Observation and Rapid Detection): -Kombination aus: Burst-Analyse, Muster in Zieladressen, Causation, -Causation beschränkt auf Verbindungen von innen nach außen -kausaler, gerichteter Verbindungsgraph: Knoten = Verbindungen, Kanten = Beziehung zw. Verbind. -Knoten stehen in Beziehung bei Lamport-Bedingung+ gleiche Verbindungsattribute -Wenn Muster von Zieladressen + Burst Analyse Wurmaktivität meldet Sliding Window mit Grenzwert über # verdächtigen Vorgängerverb. Bei Überschreitung Alarm Sliding Window über # Vorgänger

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 22 V. Entropie 3. Verhaltens-basierte Detektionstechniken mit Beispielen

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 23 V. Entropie 3. Verhaltens-basierte Detektionstechniken mit Beispielen Quelle: W32.Blaster (TCP) W32.Witty (UDP)

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 24 VI.Vergleich der Detektionstechniken 3. Verhaltens-basierte Detektionstechniken mit Beispielen Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 25 Teil 2: Evaluation 4.Evaluation der Beispieldetektoren I.Evaluationsmetriken II.Experimentaufbau III.Ergebnisse a)Zufällig b)Lokale Präferenz c)Topologisch d)Vergleich mit SWORD2 5.Fazit und Ausblick

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | Evaluation der Beispieldetektoren -Zu Vergleichende Detektoren: TRW, RBS, TRW+RBS, MRW, DSC, PGD und SWORD2 -Evaluationsframework: Importieren von Traffic-Aufzeichnungen -GLOW-Wurmsimulator (zufällig, lokale Präferenz, topologisch, verschiedene Scanraten) Quelle:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 27 -Erkennungsrate ( F-) -Falschmeldungen (F+) nach Hosts und Zeit -Detektionslatenz -Speicherbedarf/Performance/Wartung/Installation hier nicht relevant Quelle: I. Evaluationsmetriken 4. Evaluation der Beispieldetektoren

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 28 Quelle: II. Experimentaufbau 4. Evaluation der Beispieldetektoren Parameter: 4 verschiedene Netzwerk-Umgebungen (Aufzeichnungen ) 3 verschiedene Scanstrategien: zufällig, lokale Präferenz, topologisch 3 verschiedene topologische Implementierungen (topo100/1000/all) Scanraten von 10 V/s bis 0,005V/s ( = 1V/3,3 min) 7 verschiedene Detektoren : TRW, RBS, TRW+RBS, MRW, DSC, PGD und SWORD2 (SWORD2 Vergleich, zu allen anderen, nur in zufälligem Scanverhalten)

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 29 II. Experimentaufbau 4. Evaluation der Beispieldetektoren Ablauf: 1.Trainieren/Feinjustieren des Detektors mit Traffic der jeweiligen Netzwerk-Umgebung 2.F+ des Detektors, in der jeweiligen Umgebung messen bei normalem Traffic 3.Wurm-Traffic hinzumischen (variable Scanstrategien und Scanraten) 4.F- und Detektionslatenz messen von Detektor anschließend bei Schritt 3 mit anderen Parametern weitermachen oder wenn alle Parameter evaluiert, bei 1 mit nächsten Detektor weitermachen

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 30 Quelle: III. Ergebnisse: Fehlmeldungen 4. Evaluation der Beispieldetektoren Fehlmeldungen (F+):

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 31 Quelle: III. Ergebnisse: Zufällig 4. Evaluation der Beispieldetektoren Erkennungsrate (F-):

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 32 Quelle: III. Ergebnisse: Zufällig 4. Evaluation der Beispieldetektoren Detektionslatenz:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 33 Quelle: III. Ergebnisse: lokale Präferenz 4. Evaluation der Beispieldetektoren Erkennungsrate (F-): erwartungsgemäß: geringer Unterschied zu zufällig scannenden Wurm PGD zeigt etwas bessere Leistung als beim zufälligen Wurm Detektionslatenz: TRW+RBS,DSC, RBS und MRW etwas schlechtere Latenz als beim zufälligen Wurm, TRW gleich wie beim zufälligen Wurm

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 34 Quelle: III. Ergebnisse: topologisch 4. Evaluation der Beispieldetektoren Erkennungsrate (F-):

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 35 Quelle: III. Ergebnisse: topologisch 4. Evaluation der Beispieldetektoren Detektionslatenz:

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 36 Quelle: III. Ergebnisse: Vergleich mit SWORD2 4. Evaluation der Beispieldetektoren Erkennungsrate (F-):

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 37 SWORD2: Detektor mit bester Performance TRW: bester bei langsamen, naiven Würmern aber sehr schlecht bei topologischen Würmern PGD: erkannte alle Würmer ab 0,5V/s, aber mit hoher Latenz TRW:ähnlich PGD, aber schlechter bei topologischen W., +RBSbester bei schnellen Würmern RBS: gut bei schnellen Würmern, aber sonst schlecht MRW: schlecht bei WLAN DSC:gut, aber erkannte keine Infektionen aus innerem Netzwerk ( keine Erkennung von USB-Stick-Würmern ) 5. Fazit und Ausblick

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 38 SWORD2 ist deutlich besser als alle anderen, dann TRW, PGD, … ABER: SWORD2 zeigt auch keine 100%igen Erkennungsraten! Aufgrund zu vieler Parameter: schwer Detektoren zu evaluieren kein verhaltens-basierter Detektor bietet 100%igen Schutz verhaltens-basierte Detektoren erkennen zuverlässig, essentielles Wurmverhalten und reduzieren potentiellen Schaden (Würmer mit hoher Verbreitungsgeschwindigkeit ) ABER: Sie müssen ergänzt werden durch andere Verfahren!! (welche auch andere Schutzziele verfolgen) raffinierter, topologisch- und langsam scannender Wurm kann alle vorgestellten verhaltens-basierten Detektoren täuschen 5. Fazit und Ausblick

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 39 Fragen ? Autor: Sebastian Funke Vielen Dank für die Aufmerksamkeit

| Security Engineering Group | Sebastian Funke | Verhaltens-basierte Computerwurm-Erkennung | 40 Quellen Arno Wagner: Entropy-Based Worm Detection for Fast IP Networks, Swiss Federal Institute of Technology Zurich, Diss., 2008 John Shadrach Stafford: Behavior-based Worm Detection, University of Oregon, Diss., 2012 Zou, Cliff Changchun und Gao, Lixin und Gong, Weibo und Townsley, Don: Monitoring and early warning for internet worms, Proceedings of the 10th ACM conference on Computer and communications security, 2003 M. P. Collins und M. K. Reiter: Hit-list worm detection and bot identification in large networks using protocol graphs, in Proceedings of the Symposium on Recent Advances in Intrusion Detection. Berlin, Heidelberg: Springer-Verlag, 2007 J. Jung, R. Milito, and V. Paxson: On the adaptive real-time detection of fast-propagating network worms, in Proceedings of the Conference on Detection of Intrusions and Malware and Vulnerability Assessment. Berlin, Heidelberg: Springer-Verlag, 2007 S. Staniford-Chen, S. Cheung, R. Crawford, M. Dilger, J. Frank, J. Hoagland, K. Levitt, C. Wee, R. Yip, and D. Zerkle: GrIDS: A graph based intrusion detection system for large networks, in Proceedings of the National Information Systems Security Conference. New York, NY: ACM Press, 2006 V. Sekar, Y. Xie, M. K. Reiter, and H. Zhang: A multi-resolution approach for worm detection and containment, in Proceedings of the International Conference on Dependable Systems and Networks. Washington, DC: IEEE, Weitere Quellen sind in den Referenzen der zugehörigen Arbeit hinterlegt.

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.