[Zurück]


Vorträge und Posterpräsentationen (mit Tagungsband-Eintrag):

C. Krügel, T. Toth:
"Distributed Pattern Detection for Intrusion Detection";
Vortrag: Network and Distributed System Security Symposium (NDSS), San Diego, CA, USA; 06.02.2002 - 08.02.2002; in: "Proceedings of Network and Distributed System Security Symposium (NDSS)", (2002), S. 51 - 63.



Kurzfassung deutsch:
Die Beweise für Netzwerke und deren Ressourcesn sind oft über
mehrere Hosts verteilt. Intrusion Detection Systeme (IDS) müssen die
Informationen daher von mehreren Quellen sammeln und miteinander in
Verbindung bringen. Zu diesem Zweck werden die einzelnen Fakten zu
bestimmten Hosts geschickt, wo diese weiterverarbeitet werden.
Leider ist diese Method anfällig gegen Attacken, die die zentralen
Hosts ausschalten. Mit wachsendem Netzwerkaufkommen können die
zentralen Einheiten die Information nicht mehr schnell genug
verarbeiten.

Wir stellen einen komplett dezentralisierten Ansatz vor, der Fakten
von unterschiedlichen Rechnern miteinander korrelliert, jedoch ohne
zentrale Rechner auskommt. Wir präsentieren eine
Beschreibungssprache für die zu suchenden Muster und einen
verteilten Algorithmus um diese zu suchen. Die theoretischen
Eigenschaften unseres Ansatzes werden untersucht und experimentell
verifiziert.

Kurzfassung englisch:
Evidence of attacks against a network and its resources is often
scattered over several hosts. Intrusion detection systems therefore
have to collect and correlate information from different sources.
For this purpose, distributed data is forwarded to dedicated hosts
where it is further processed. Such a design renders the whole ID
system vulnerable to attacks against these special nodes. As
networks and traffic grow, they also become performance bottlenecks.
We propose a completely decentralized approach that models an
intrusion as a pattern of events that occur at different hosts and
which does not rely on dedicated correlation entities to detect
them. We present a specification language for these patterns and a
distributed algorithm to find events that satisfy them. The
theoretical properties of our solution are reviewed and experimental
data is provided.


Elektronische Version der Publikation:
http://www.infosys.tuwien.ac.at/reports/repository/TUV-1841-2002-25.ps


Erstellt aus der Publikationsdatenbank der Technischen Universitšt Wien.