Large-Scale Detection and Measurement of Malicious Content


Göbel, Jan Gerrit


[img]
Vorschau
PDF
goebel2.pdf - Veröffentlichte Version

Download (7MB)

URL: http://ub-madoc.bib.uni-mannheim.de/3156
URN: urn:nbn:de:bsz:180-madoc-31564
Dokumenttyp: Dissertation
Erscheinungsjahr: 2011
Titel einer Zeitschrift oder einer Reihe: None
Verlag: Universität Mannheim
Gutachter: Freiling, Felix C.
Datum der mündl. Prüfung: 27 April 2011
Sprache der Veröffentlichung: Englisch
Einrichtung: Fakultät für Wirtschaftsinformatik und Wirtschaftsmathematik > Praktische Informatik I (Freiling 2005-2010)
Fachgebiet: 420 Englisch
Fachklassifikation: CCS: Security a ,
Normierte Schlagwörter (SWD): Malware , Eindringerkennung , Analyse
Freie Schlagwörter (Deutsch): Netzwerksicherheit , Schadsoftware
Freie Schlagwörter (Englisch): Honeypot , Botnet , Network Security
Abstract: Many different network and host-based security solutions have been developed in the past to counter the threat of autonomously spreading malware. Among the most common detection techniques for such attacks are network traffic analysis and the so-called honeypots. In this thesis, we introduce two new malware detection sensors that make use of the above mentioned techniques. The first sensor called Rishi, passively monitors network traffic to automatically detect bot infected machines. The second sensor called Amun follows the concept of honeypots and detects malware through the emulation of vulnerabilities in network services that are commonly exploited. Both sensors were operated for two years and collected valuable data on autonomously spreading malware in the Internet. From this data we were able to, for example, study the change in exploit behavior and derive predictions about preferred targets of todays’ malware.
Übersetzter Titel: Großflächige Erkennung und Auswertung von bösartigem Inhalt (Deutsch)
Übersetzung des Abstracts: In der Vergangenheit wurden viele Sicherheitslösungen zur Bekämpfung von sich autonom verbreitenden Schadprogrammen entwickelt. Einige von diesen Lösungen setzen lokal an einem Rechner an, andere hingegen an Netzen und deren Datenverkehr. Zu den bekanntesten Erkennungstechniken gehören die Analyse des Netzverkehrs und sogenannte Honeypots. In dieser Arbeit stellen wir zwei neue Sensoren zur Erkennung von Schadprogrammen vor, die die eben genannte Techniken verwenden. Der erste Sensor, genannt Rishi, lauscht passiv an einem Netz und erkennt durch die Analyse des Datenverkehrs Rechner, die mit einem Bot infiziert sind. Der zweite Sensor ist Amun. Dies ist ein Honeypot und erkennt Schadprogramme durch die Emulation von oft ausgenutzten Schwachstellen in Netzwerkdiensten. Beide Sensoren wurden über zwei Jahre hinweg betrieben und haben in dieser Zeit wertvolle Informationen über sich autonom verbreitende Schadprogramme im Internet gesammelt. Zum Beispiel konnten wir Veränderungen im Exploit-Verhalten feststellen und Aussagen über zukünftige Angriffsziele ableiten. (Deutsch)
Zusätzliche Informationen:




Das Dokument wird vom Publikationsserver der Universitätsbibliothek Mannheim bereitgestellt.




Metadaten-Export


Zitation


+ Suche Autoren in

+ Download-Statistik

Downloads im letzten Jahr

Detaillierte Angaben



Sie haben einen Fehler gefunden? Teilen Sie uns Ihren Korrekturwunsch bitte hier mit: E-Mail


Actions (login required)

Eintrag anzeigen Eintrag anzeigen