[Zurück]


Vorträge und Posterpräsentationen (mit Tagungsband-Eintrag):

C. Krügel, T. Toth, E. Kirda:
"Service Specific Anomaly Detection for Network Intrusion Detection";
Vortrag: Symposium on Applied Computing (SAC), Madrid, Spain; 11.03.2002 - 14.03.2002; in: "Symposium on Applied Computing", (2002), S. 244.



Kurzfassung deutsch:
Ständig finden mehr und mehr Attacken gegen Netzwerke und deren
Ressourcen statt, wie z.B. kürzlich durch den CodeRed Wurm
demonstriert, welche deshalb geschützt werden müssen. Firewalls
werden als erste Instanz eingesetzt um Intrusions zu verhindern.
Intrusion Detection Systems (IDSs) versuchen hingegen bösartige
Aktivitäten zu erkennen anstatt diese zu verhindern, und stellen
eine weitere Sicherheitsmassnahme dar, falls Firewalls versagt
haben. IDSs versuchen einerseits Zeichen einer Attacke direkt zu
erkennen (Misuse Based) oder versuchen das Verhalten von Benutzern
zu modellieren (Anomaly Based). Anomaly Based IDSs haben den Vorteil
dass sie unbekannte Attacken erkennen können, leiden aber unter dem
Problem dass legale Situationen als Attacken erkannt werden (False
Positive). Wie präsentieren einen Ansatz zur Angriffserkennung, der
applikationsspezifisches Wissen von Diensten benutzt. Dieses Wissen
ermöglicht die Erweiterung der gängigen Sensoren um bösartige,
versteckte Daten in einzelnen Netzwerkpaketen zu finden. Wir
beschreiben die Möglichkeiten des vorgeschlagenen Modells und
präsentieren experimentell gesammelte Daten, welche die Effizienz
unseres Systems untermauern.

Kurzfassung englisch:
The constant increase of attacks against networks and their
resources (as recently shown by the CodeRed worm) causes a necessity
to protect these valuable assets. Firewalls are now a common
installation to repel intrusion attempts in the first place.
Intrusion detection systems (IDS), which try to detect malicious
activities instead of preventing them, offer additional protection
when the first defense perimeter has been penetrated. ID systems
attempt to pin down attacks by comparing collected data to
predefined signatures known to be malicious (signature based) or to
a model of legal behavior (anomaly based). Anomaly based systems
have the advantage of being able to detect previously unknown
attacks but they suffer from the difficulty to build a solid model
of acceptable behavior and the high number of alarms caused by
unusual but authorized activities. We present an approach that
utilizes application specific knowledge of the network services that
should be protected. This information helps to extend current,
simple network traffic models to form an application model that
allows to detect malicious content hidden in single network packets.
We describe the features of our proposed model and present
experimental data that underlines the efficiency of our systems.


Elektronische Version der Publikation:
http://www.infosys.tuwien.ac.at/reports/repository/TUV-1841-2002-28.ps


Erstellt aus der Publikationsdatenbank der Technischen Universität Wien.