Papers
Permanent URI for this collection
Browse
Recent Submissions
Item Foundations for Intrusion Prevention(Gesellschaft für Informatik, 2004-07) Alderman, Ian D.; Parter, David W.; Rubin, Shai; Vernon, Mary K.We propose an infrastructure that helps a system administrator to identify a newly published vulnerability on the site hosts and to evaluate the vulnerability’s threat with respect to the administrator’s security priorities. The infrastructure foundation is the vulnerability semantics, a small set of attributes for vulnerability definition. We demonstrate that with a few attributes it is possible to define the majority of the known vulnerabilities in a way that (i) facilitates their accurate identification, and (ii) enables the administrator to rank the vulnerabilities found according to the organization’s security priorities. A large scale experiment demonstrates that our infrastructure can find significant vulnerabilities even in a site with a high security awareness.Item Risiken der Nichterkennung von Malware in komprimierter Form(Gesellschaft für Informatik, 2004-07) Fangmeier, Heiko; Messerschmidt, Michel; Müller, Fabian; Seedorf, JanMaliziöse Software (Malware) gefährdet die Vertraulichkeit, Integrität und die Verfügbarkeit von Informatiksystemen auf verschiedene Art und Weise. In diesem Beitrag wird der Frage nachgegangen, inwiefern durch Malware in komprimierter Form Risiken entstehen. Ausgewählte Risiken werden anhand eines Szenarios veranschaulicht und analysiert. Ein Standard-Schutzmechanismus vor Malware ist Anti-Malware-Software. Es wird eine Testmethodik vorgestellt, mit der systematisch die Güte der Erkennung von Malware in komprimierter Form durch Anti-Malware Software getestet werden kann. Abschließend werden mit dieser Methodik erlangte Testergebnisse vorgestellt.Item LIV - The Linux Integrated Viruswall(Gesellschaft für Informatik, 2004-07) Dantas de Medeiros, Teobaldo A.; Motta Pires, Paulo S.This paper presents a system developed in Linux aiming the protection of local area networks containing Windows workstations against malicious agents. The developed solution, named LIV - Linux Integrated Viruswall, besides filtering SMTP, HTTP and FTP traffic destined to the protected network, is capable of detecting malicious agents propagation in the local area network using a technique that we call "sharing-trap". Compromised workstations are isolated from the network and their users are notified, stopping the malicious agent's spread. Results collected from a network protected by LIV, containing thousands of Windows workstations, are presented and discussed. This paper includes information about the recent incident caused by MyDoom worm.Item Anti-Patterns in JDK Security and Refactorings(Gesellschaft für Informatik, 2004-07) Schönefeld, MarcThis paper underlines the importance of security awareness whilst programming Java applications. Several problems in current JDK implementations are demonstrated that allow to undermine the security of Java applications. Coding errors and quality problems in current Java distributions create possibilities to create covert channels, cause resource blocking and denial-of-service attacks. To make things worse Java components are often deployed according to the AllPermissions antipattern with non-restrictive security settings, which allows bugs on the system layer to be exploited by attackers. Coping with this antipattern from the user side is connected with the definition of adequate permission sets. A tool that automates this time consuming task is presented as a refactoring for the AllPermission antipattern.Item Structural Comparison of Executable Objects(Gesellschaft für Informatik, 2004-07) Flake, HalvarA method to heuristically construct an isomorphism between the sets of functions in two similar but differing versions of the same executable file is presented. Such an isomorphism has multiple practical applications, specifically the ability to detect programmatic changes between the two executable versions. Moreover, information (function names) which is available for one of the two versions can also be made available for the other . A framework implementing the described methods is presented, along with empirical data about its performance when used to analyze patches to recent security vulnerabilities. As a more practical example, a security update which fixes a critical vulnerability in an H.323 parsing component is analyzed, the relevant vulnerability extracted and the implications of the vulnerability and the fix discussed.Item Ermittlung von Verwundbarkeitenmit elektronischen Ködern(Gesellschaft für Informatik, 2004-07) Dornseif, Maximillian; Gärtner, Felix C.; Holz, ThorstenAls elektronische Köder (honeypots) bezeichnet man Netzwerkressourcen, deren Wert darin besteht, angegriffen und kompromittiert zu werden. Oft sind dies Computer, die keine spezielle Aufgabe im Netzwerk haben, aber ansonsten nicht von regulären Rechnern zu unterscheiden sind. Köder können zu Köder-Netzwerken (honeynets) zusammengeschlossen werden. Sie sind mit spezieller Software ausgestattet, die die Forensik einer eingetretenen Schutzzielverletzung erleichtert. Durch die Vielfalt an mitgeschnittenen Daten kann man deutlich mehr über das Verhalten von Angreifern in Netzwerken lernen als mit herkömmlichen forensischen Methoden. Dieser Beitrag stellt die Philosophie der Köder-Netzwerke vor und beschreibt die ersten Erfahrungen, die mit einem solchen Netzwerk an der RWTH Aachen gemacht wurden.Item A Honeynet within the German Research Network – Experiences and Results(Gesellschaft für Informatik, 2004-07) Reiser, Helmut; Volker, GereonA honeynet is a special prepared network which is not used in normal business. It is a kind of playground to watch and learn the tactics of crackers. The only purpose of a honeynet is to be probed, attacked or compromised. During the operation other systems may not be harmed by an attack originated within the honeynet. In this paper the design, realization and operation of a honeynet built within the German Research Network (DFN) will be described. Concepts for continuously monitoring and securing the honeynet are introduced. A selection of the results of the operation phase will be presented as well.Item Aktive Strategien zur Schutzzielverletzungerkennung durch eine kontrollierte Machtteilung in der Zugriffskontrollarchitektur(Gesellschaft für Informatik, 2004-07) Abendroth, JörgZugangskontrolle und Intrusion Detection werden oft separat behandelt. Zur Erkennung von Schutzzielverletzungen wird hauptsächlich der Datenverkehr eines Netzwerkes ausgewertet - dies geschieht in einer passiven Weise. Aktive Strategien zum Erkennen von Angriffen sind nur durch neue Zugriffskontrollsysteme und kontrollierte Machtteilung möglich. In dem vorliegenden Beitrag wird eine neue Kategorisierung von Zugriffskontrollsysteme vorgestellt und insbesondere auf die kontrollierte Machtteilung eingegangen. Es wird gezeigt wie neue aktive Strategien zur Schutzzielverletzungserkennung möglich werden. Diese Strategien erlauben auch den Missbrauch berechtigter Benutzer, die ihre Befugnisse missbrauchen, zu erkennen. Ebenso können nun bekannte Ideen aus der SPAM Bekämpfung in die Zugangskontrolle übernommen werden. Ein Prototyp wurde mittels der ASCap Architektur implementiert und zeigt, dass die vorgestellten Techniken einsetzbar sind.Item Sensors for Detection of Misbehaving Nodes in MANETs(Gesellschaft für Informatik, 2004-07) Klenk, Andreas; Kragl, Frank; Schlott, Stefan; Weber, MichaelThe fact that security is a critical problem when implementing mobile ad hoc networks (MANETs) is widely acknowledged. One of the different kinds of misbehavior a node may exhibit is selfishness. A selfish node wants to preserve its resources while using the services of others and consuming their resources. One way of preventing selfishness in a MANET is a detection and exclusion mechanism. In this paper, we focus on the detection and present different kinds of sensors that will find selfish nodes. First we present simulations that show the negative effects which selfish nodes cause in MANET. In the related work section we will analyze the detection mechanisms proposed by others. Our new detection mechanisms that we describe in this paper are called activity-based overhearing, iterative probing, and unambiguous probing. Simulation-based analysis of these mechanisms show that they are highly effective and can reliably detect a multitude of selfish behaviors.Item Intrusion detection in unlabeled data with quarter-sphere Support Vector Machines(Gesellschaft für Informatik, 2004-07) Kotenko, Igor; Laskov, Pavel; Schäfer, ChristinPractical application of data mining and machine learning techniques to intrusion detection is often hindered by the difficulty to produce clean data for the training. To address this problem a geometric framework for unsupervised anomaly detection has been recently proposed. In this framework, the data is mapped into a feature space, and anomalies are detected as the entries in sparsely populated regions. In this contribution we propose a novel formulation of a one-class Support Vector Machine (SVM) specially designed for typical IDS data features. The key idea of our ”quarter-sphere” algorithm is to encompass the data with a hypersphere anchored at the center of mass of the data in feature space. The proposed method and its behavior on varying percentages of attacks in the data is evaluated on the KDDCup 1999 dataset.Item Vertrauensbasierte Laufzeitüberwachung verteilter komponentenstrukturierter E-Commerce-Software(Gesellschaft für Informatik, 2004-07) Herrmann, Peter; Krumm, Heiko; Wiebusch, LarsDie Entwicklung komponentenstrukturierter E-Commerce-Software ist kostengünstig und schnell, da man die Systeme recht einfach aus wiederverwendbaren Softwarekomponenten zusammensetzt. Allerdings führt diese Entwurfsmethode zu einer neuen Art an Problemen für die Datensicherheit dieser Systeme. Insbesondere besteht die Gefahr, dass eine bösartige Komponente die gesamte Anwendung, in die sie eingebunden ist, bedroht. Zur Abwehr dieser Gefahr verwenden wir Security Wrapper, die das Verhalten von Komponenten zur Laufzeit überwachen und die Sicherheitsanforderungen der Anwendung durchsetzen. Ein Security Wrapper beobachtet das Verhalten an der Schnittstelle einer Komponenten und vergleicht es mit den vom Komponentenentwickler garantierten Sicherheitspolicies, die in der Komponentenspezifikation formal beschrieben werden. Wir stellen vor, wie man die Sicherheitspolicies zustandsbasiert beschreibt und führen eine Sammlung an Spezifikationsmustern ein, aus denen man die Modelle der Sicherheitspolicies für eine Komponente ableitet. Schließlich zeigen wir den Einsatz der Security Wrapper anhand eines E-Procurement- Beispiels. Darüberhinaus erläutern wir, wie man unter Berücksichtigung der Erfahrungen anderer Nutzer mit einer Komponente den Aufwand der Laufzeittests reduzieren kann. Dazu verwenden wir einen speziellen Vertrauensmanagement-Service, der gute und schlechte Erfahrungen unterschiedlicher Benutzer mit Komponenten verwaltet. Abhängig von diesen Erfahrungsberichten können die Security Wrapper das Ausmaß der Überwachung absenken, indem sie anstatt einer vollständigen Überwachung nur Stichproben durchführen oder die Überwachung sogar abbrechen.Item Komponenten für kooperative Intrusion-Detection in dynamischen Koalitionsumgebungen(Gesellschaft für Informatik, 2004-07) Bussmann, Michael; Henkel, Sven; Jahnke, Marko; Lies, Martin; Tölle, JensKoalitionsumgebungen sollen für alle miteinander kooperierenden Mitglieder einen Vorteil bei der Verfolgung eines gemeinsamen Ziels erbringen. Dies gilt für die verschiedensten Anwendungsbereiche, etwa bei kooperierenden Strafverfolgungsbehörden, Wirtschaftsunternehmen oder Streitkräfte. Auch bei der Erkennung von sicherheitsrelevanten Vorgängen in vernetzten Computersystemen erhofft man sich von der Zusammenarbeit eine verbesserte Erkennungsfähigkeit sowie eine schnelle und koordinierte Reaktion auf Einbruchsversuche. Dieser Beitrag stellt verschiedene praxisorientierte Werkzeuge für die koalitionsweite Vernetzung von Ereignismeldungs-produzierenden Sicherheitswerkzeugen vor, die wesentliche Probleme des Anwendungsszenarios lösen helfen: Frühzeitige Anomaliewarnung – ein graphbasierter Anomaliedetektor wird als adaptives Frühwarnmodul für großflächige und koordinierte Angriffe, z.B. Internet-Würmer, eingesetzt. Informationsfilterung – Meldungen werden beim Verlassen der lokalen Domäne entsprechend der domänenspezifischen Richtlinien zur Informationsweitergabe modifiziert (d.h. insbesondere anonymisiert bzw. pseudonymisiert). Datenreduktion – zusätzliche Filter zur Datenreduzierung auf der Basis von vordefinierten Abhängigkeitsregeln steigern die Handhabbarkeit des Datenflusses. Die Funktionsfähigkeit der genannten Komponenten wird derzeit in Form einer prototypischen Implementierung eines Meta-IDS für dynamische Koalitionsumgebungen nachgewiesen.Item Alert Verification Determining the Success of Intrusion Attempts(Gesellschaft für Informatik, 2004-07) Kruegel, Christopher; Robertson, WilliamItem Alarm Reduction and Correlation in Intrusion Detection Systems(Gesellschaft für Informatik, 2004-07) Burbeck, Kalle; Burschka, Stefan; Chyssler, Tobias; Lingvall, Tomas; Semling, MichaelLarge Critical Complex Infrastructures are increasingly dependent on IP networks. Reliability by redundancy and tolerance are an imperative for such dependable networks. In order to achieve the desired reliability, the detection of faults, misuse, and attacks is essential. This can be achieved by applying methods of intrusion detection. However, in large systems, these methods produce an uncontrollable vast amount of data which overwhelms human operators. This paper studies the role of alarm reduction and correlation in existing networks for building more intelligent safeguards that support and complement the decisions by the operator. We present an architecture that incorporates Intrusion Detection Systems as sensors, and provides quantitatively and qualitatively improved alarms to the human operator. Alarm reduction via static and adaptive filtering, aggregation, and correlation is demonstrated using realistic data from sensors such as Snort, Samhain, and Syslog.Item Proceedings of the International GI Workshop on Detection of Intrusions and Malware & Vulnerability Assessment(Köllen Verlag, 2004-07) Flegel, Ulrich; Meier, MichaelThis volume contains the proceedings of the GI special interest group SIDAR workshop DIMVA 2004 which took place in Dortmund, Germany July 6-7 2004. DIMVA 2004 was the workshop in the German-speaking area that was dedicated to the topics Intrusion Detection, Malicious Agents (Malware), and Vulnerability Assessment. The workshop program comprised new theoretical and practical approaches and results from research as well as experience reports on the principal topic Intrusion Detection and on the topics Honeypots, Vulnerabilities and Malware.