Large-Scale Detection and Measurement of Malicious Content


Göbel, Jan Gerrit


[img]
Preview
PDF
goebel2.pdf - Published

Download (7MB)

URL: http://ub-madoc.bib.uni-mannheim.de/3156
URN: urn:nbn:de:bsz:180-madoc-31564
Document Type: Doctoral dissertation
Year of publication: 2011
The title of a journal, publication series: None
Publishing house: Universität Mannheim
Evaluator: Freiling, Felix C.
Date of oral examination: 27 April 2011
Publication language: English
Institution: School of Business Informatics and Mathematics > Praktische Informatik I (Freiling 2005-2010)
Subject: 420 English
Classification: CCS: Security a ,
Subject headings (SWD): Malware , Eindringerkennung , Analyse
Individual keywords (German): Netzwerksicherheit , Schadsoftware
Keywords (English): Honeypot , Botnet , Network Security
Abstract: Many different network and host-based security solutions have been developed in the past to counter the threat of autonomously spreading malware. Among the most common detection techniques for such attacks are network traffic analysis and the so-called honeypots. In this thesis, we introduce two new malware detection sensors that make use of the above mentioned techniques. The first sensor called Rishi, passively monitors network traffic to automatically detect bot infected machines. The second sensor called Amun follows the concept of honeypots and detects malware through the emulation of vulnerabilities in network services that are commonly exploited. Both sensors were operated for two years and collected valuable data on autonomously spreading malware in the Internet. From this data we were able to, for example, study the change in exploit behavior and derive predictions about preferred targets of todays’ malware.
Translation of the title: Großflächige Erkennung und Auswertung von bösartigem Inhalt (German)
Translation of the abstract: In der Vergangenheit wurden viele Sicherheitslösungen zur Bekämpfung von sich autonom verbreitenden Schadprogrammen entwickelt. Einige von diesen Lösungen setzen lokal an einem Rechner an, andere hingegen an Netzen und deren Datenverkehr. Zu den bekanntesten Erkennungstechniken gehören die Analyse des Netzverkehrs und sogenannte Honeypots. In dieser Arbeit stellen wir zwei neue Sensoren zur Erkennung von Schadprogrammen vor, die die eben genannte Techniken verwenden. Der erste Sensor, genannt Rishi, lauscht passiv an einem Netz und erkennt durch die Analyse des Datenverkehrs Rechner, die mit einem Bot infiziert sind. Der zweite Sensor ist Amun. Dies ist ein Honeypot und erkennt Schadprogramme durch die Emulation von oft ausgenutzten Schwachstellen in Netzwerkdiensten. Beide Sensoren wurden über zwei Jahre hinweg betrieben und haben in dieser Zeit wertvolle Informationen über sich autonom verbreitende Schadprogramme im Internet gesammelt. Zum Beispiel konnten wir Veränderungen im Exploit-Verhalten feststellen und Aussagen über zukünftige Angriffsziele ableiten. (German)
Additional information:




Das Dokument wird vom Publikationsserver der Universitätsbibliothek Mannheim bereitgestellt.




Metadata export


Citation


+ Search Authors in

+ Download Statistics

Downloads per month over past year

View more statistics



You have found an error? Please let us know about your desired correction here: E-Mail


Actions (login required)

Show item Show item