[Back]


Talks and Poster Presentations (with Proceedings-Entry):

T. Toth, C. Krügel:
"Connection-history based anomaly detection";
Talk: Information Assurance Workshop, West Point, New York, USA; 06-17-2002 - 06-19-2002; in: "Proceedings of the 3rd Annual IEEE Information Assurance Workshop", (2002), ISBN: 0-7803-9850-5; 241 - 246.



English abstract:
In the past few years, many vulnerabilities of wide-spread software
services, often running on of publicly accessible hosts, have been
discovered. These vulnerabilities allow hackers to gain access to
those machines, thereby compromising their security.

When a vulnerable service is deployed on large numbers of publicly
accessible hosts, software tools (called worms) can
automate the task of intruding a machine and spreading to new
locations. These worms consume a large amount of bandwidth by
attempting to find and infect other vulnerable machines and
compromise the security and confidentiality of these hosts.

Because of the fact that worms are most of the time implemented as
directly executable code, they are processed at very high speed.
This allows a worm to quickly spread over a network. Usually, it is
too late when one manually detects the presence of a worm -- in most
cases the whole network has already been infected. This makes an
automated response mechanism imperative. In this paper, we present
an approach to automatically identify worms and perform damage
limitation by firewall rule modification.

German abstract:
Während der letzten Jahre wurden viele Verwundbarkeiten von
weitverbreiteter Software, welche auf öffentlich zugänglichen
Rechnern läuft, entdeckt. Diese Verwundbarkeiten erlauben es
Angreifern Zugang zu diesen Maschinen zu erhalten, wodurch die
Sicherheit dieser Maschinen nicht mehr gegeben ist.

Wenn ein verwundbarer Dienst auf einer grossen Menge von öffentlich
zugänglichen Rechnern eingesetzt wird, dann können Würmer diese
Aufgabe automatisiert ausführen und sich auf diese Rechner
verbreiten. Würmer konsumieren eine große Bandbreite durch den
eingebauten Mechanismus zur Suche neuer, noch nicht infizierter
Rechner.

Würmer werden meist als direkt exekutierbarer Code realisiert, was
eine ungeheuer schnelle Ausführungs- und Verbreitungsgeschwindigkeit
bewirkt. Für gewöhnlich ist es zu spät wenn man einen Wurm per
Beobachtung entdeckt, da bereits das gesamte Netzwerk infiziert
worden ist. Das macht einen automatischen Verteidigungsmechanismus
notwendig.

In diesem Artikel wird ein Ansatz zur automatischen Identifikation
und von Würmern und deren Isolation mittels Firewall Änderungen
vorgestellt.


Electronic version of the publication:
http://www.infosys.tuwien.ac.at/reports/repository/TUV-1841-2002-34.ps


Created from the Publication Database of the Vienna University of Technology.