[Zurück]


Vorträge und Posterpräsentationen (mit Tagungsband-Eintrag):

C. Krügel, F. Valeur et al.:
"Stateful Intrusion Detection for High-Speed Networks";
Vortrag: IEEE Symposium on Security and Privacy, Oakland, California, USA; 12.05.2002 - 15.05.2002; in: "Proceedings of the 2002 IEEE Symposium on Security and Privacy", (2002), ISBN: 0-7695-1543-6; S. 266 - 274.



Kurzfassung deutsch:
Durch die Erhöhung der Übertragaunsgeschwindigkeiten in Netzwerken
wird die Entwicklung von neuen Sicherheitsmechanismen notwendig, die
mit diesen Geschwindigkeiten mithalten können. Existierende
netzwerkbasierte Intrusion Detection Systeme können kaum mit diesen
Geschwindigkeiten mithalten, welche im Bereich von einigen hundert
Mbps liegen. Systeme, welche höhere Bandbreiten verarbeiten können,
sind unfähig Zustände zwischen den einzelnen Schritten einer Attacke
zu behalten oder analysieren nur die Header-Information von Paketen.
Wir stellen einen verteilte Methode für Netzwerksicherheit vor, der
Zustand zwischen einzelnen Paketen behält und für Netze mit hoher
Bandbreite geeignet ist. Der Ansatz basiert darauf, die gesamte
Netzwerklast auf mehrere Einheiten aufzuteilen, welche von
Standard-Komponenten verarbeitet werden kann. Die Last wird so
aufgeteilt, dass eine sogenannte "slice" die gesamte Information
beinhält, um eine bestimmte Attacke zu erkennen, sodass eine
Kommunikation zwischen Sensoren ausbleiben kann. Dieser Beitrag
beschreibt den Ansatz und präsentiert erste experimentelle
Resultate, welche die Effektivität des Ansatzes bewertet.

Kurzfassung englisch:
As networks become faster there is an emerging need for security
analysis techniques that can keep up with the increased network
throughput. Existing network-based intrusion detection sensors can
barely keep up with bandwidths of a few hundred Mbps. Analysis tools
that can deal with higher throughput are unable to maintain state
between different steps of an attacker or they are limited to the
analysis of packet headers. We propose a partitioning approach to
network security analysis that supports in-depth, stateful intrusion
detection on high-speed links. The approach is centered around a
slicing mechanism that divides the overall network traffic into
subsets of manageable size. The traffic partitioning is done so that
a single slice contains all the evidence necessary to detect a
specific attack, making sensor-to-sensor interactions unnecessary.
This paper descriibes the approach and presents a first experimental
evaluation of its effectiveness.


Elektronische Version der Publikation:
http://www.infosys.tuwien.ac.at/Staff/chris/doc/2002_04.ps


Erstellt aus der Publikationsdatenbank der Technischen Universität Wien.