Ulrich Flegel, Michael Meier (Eds.) Detection of Intrusions and Malware & Vulnerability Assessment GI Special Interest Group SIDAR Workshop, DIMVA 2004 Dortmund, Germany, July 6-7, 2004 Proceedings DIMVA 2004 Gesellschaft für Informatik 2004
Lecture Notes in Informatics (LNI) - Proceedings Series of the Gesellschaft für Informatik (GI) Volume P-46 ISBN 3-88579-375-X ISSN 1617-5468 Volume Editors Ulrich Flegel University of Dortmund, Computer Science Department, Chair VI, ISSI D-44221 Dortmund, Germany ulrich.flegel{at}udo.edu Michael Meier Brandenburg University of Technology Cottbus, Computer Science Department, Chair Computer Networks P.O. Box 10 13 44, D-03013 Cottbus, Germany mm{at}informatik.tu-cottbus.de Series Editorial Board Heinrich C. Mayr, Universität Klagenfurt, Austria (Chairman, mayr@ifit.uni-klu.ac.at) Jörg Becker, Universität Münster, Germany Ulrich Furbach, Universität Koblenz, Germany Axel Lehmann, Universität der Bundeswehr München, Germany Peter Liggesmeyer, Universität Potsdam, Germany Ernst W. Mayr, Technische Universität München, Germany Heinrich Müller, Universität Dortmund, Germany Heinrich Reinermann, Hochschule für Verwaltungswissenschaften Speyer, Germany Karl-Heinz Rödiger, Universität Bremen, Germany Sigrid Schubert, Universität Siegen, Germany Dissertations Dorothea Wagner, Universität Karlsruhe, Germany Seminars Reinhard Wilhelm, Universität des Saarlandes, Germany Gesellschaft für Informatik, Bonn 2004 printed by Köllen Druck+Verlag GmbH, Bonn
Vorwort Mit der wachsenden Abhängigkeit unserer Gesellschaft von der Zuverlässigkeit informationstechnischer Systeme (IT) gewinnen Fragen der IT-Sicherheit an Bedeutung. Während bisher vorrangig präventive Maßnahmen und Mechanismen im Vordergrund standen, wird zunehmend deutlich, dass IT-Sicherheit nicht allein durch Prävention erreichbar ist. Vielmehr stellt Prävention einen Grundpfeiler dar, neben dem ergänzend die reaktiven Aspekte der IT-Sicherheit stehen. Die Fachgruppe SIDAR (Security - Intrusion Detection and Response) des Fachbereichs Sicherheit der Gesellschaft für Informatik e.v. fokussiert die reaktiven Aspekte der IT- Sicherheit sowie deren Umfeld. Mit dem Workshop DIMVA 2004 veranstaltet die FG SIDAR erstmals im deutschsprachigen Raum einen Workshop, der die Themen Intrusion Detection, Malware-Bekämpfung und Verwundbarkeitsanalyse in den Mittelpunkt stellt. Der Workshop richtet sich an Personen und Organisationen, die in diesen Themenbereichen in Industrie, Dienstleistung, Verwaltung und Wissenschaft tätig sind. Ziel des Workshops ist es, sowohl den kommunikativen Austausch zu fördern, als auch reaktive Aspekte der IT-Sicherheit stärker in das Blickfeld der Öffentlichkeit zu rücken. Dieser Band enthält ausgewählte Beiträge, die von den Autoren auf dem Workshop am 6. und 7. Juli in Dortmund (Deutschland) präsentiert wurden. Das Programmkomitee erhielt 41 Beiträge von Autoren aus zwölf Ländern und drei Kontinenten. 78% der Beiträge stammen von Autoren aus Europa. Die meisten Beiträge wurden von Autoren aus den folgenden Ländern eingereicht: Deutschland (26), USA (4), Vereinigte Arabische Emirate (3), Iran (2) und Schweiz (2). Jeder Beitrag wurde sorgfältig von mindestens drei Mitgliedern des Programmkomitees oder zusätzlichen Experten begutachtet und nach den folgenden Kriterien bewertet: wissenschaftliche Neuheit, Bedeutung für das Gebiet und technische Qualität. Das Programmkomitee hat insgesamt 19 Beiträge zur Präsentation auf dem Workshop ausgewählt (46%). Davon wurden 14 Beiträge zur Veröffentlichung in diesem Band akzeptiert (34%) und fünf Kurzbeiträge werden auf der Web-Seite des Workshops veröffentlicht (12%). Die akzeptierten Beiträge wurden von den Autoren vor der Veröffentlichung überarbeitet. Die überarbeiteten Beiträge wurden keiner weiteren Begutachtung unterzogen, und die Autoren tragen die Verantwortung für den Inhalt ihrer Beiträge. Das Workshop-Programm umfasste neue theoretische und praktische Ansätze und Resultate aus der Forschung sowie Erfahrungsberichte zum Schwerpunktthema Intrusion Detection und zu den Themen Honeypots, Verwundbarkeiten und Malware- Bekämpfung. Zum Auftakt des Workshop-Programms hielt Hans-Michael Hepp (Intelligent Risk Solutions) den Keynote-Vortrag "Verfahren der Transaktionsanalyse am Beispiel der Missbrauchsfrüherkennung im Kreditkartengeschäft". Die Präsentationen und die Kurzbeiträge sind auf der Web-Seite des Workshops verfügbar: http://www.gi-fg-sidar.de/dimva2004/ Wir danken allen, die zum Gelingen des Workshops beigetragen haben, insbesondere den Autoren, dem eingeladenen Redner, dem Programmkomitee und den Gutachtern. Juli 2004 Ulrich Flegel, Michael Meier
Preface Along with the growing dependency of our society on information technology systems (IT), questions regarding IT security are becoming more urgent. While up to now primarily preventive measures and mechanisms were focused, it becomes more and more apparent that IT security cannot be reached by prevention alone. Rather, preventive measures and reactive aspects need to complement one another. The special interest group SIDAR (Security Intrusion Detection and Response) of the Security and Safety division of the German Informatics Society (GI) focuses on reactive aspects of IT security and closely related topics. The SIG SIDAR Workshop DIMVA 2004 is the first workshop in the German-speaking area that is dedicated to the topics Intrusion Detection, Malicious Agents (Malware) and Vulnerability Assessment. While targeting the active players working in reactive IT security in industry, service, government and research, the DIMVA workshop is intended to further exchange, advances and public awareness of reactive aspects of IT security. These proceedings contain selected papers that were presented by the authors at the workshop on July 6-7 in Dortmund, Germany. The program committee received 41 submissions from authors from twelve countries on three continents. 78% of the papers originate from authors from Europe. Most papers were submitted by authors from the following countries: Germany (26), USA (4), United Arab Emirates (3), Iran (2) and Switzerland (2). Each paper has been carefully reviewed by at least three members of the program committee or external experts and has been evaluated according to the criteria of scientific novelty, importance to the field, and technical quality. The program committee selected a total of 19 papers for presentation at the workshop (46%). Thereof 14 papers have been accepted for publication in these proceedings (34%) and five short papers have been published at the website of the workshop. Accepted papers have been revised by the authors before publishing. The revisions have not been checked for correctness, and the authors bear full responsibility for the contents of their papers. The workshop program comprised new theoretical and practical approaches and results from research as well as experience reports on the principal topic Intrusion Detection and on the topics Honeypots, Vulnerabilities and Malware. Hans-Michael Hepp (Intelligent Risk Solutions) gave an opening keynote on Techniques for transaction analysis for early misuse detection in credit card business. The presentations and short papers are available on the website of the workshop: http://www.gi-fg-sidar.de/dimva2004/ We warmly thank all those who have contributed to the success of the workshop, especially the authors and the invited speaker as well as the members of the program committee and the external reviewers. July 2004 Ulrich Flegel, Michael Meier
DIMVA 2004 July 6-7, 2004, Dortmund, Germany Program and General Chairs Ulrich Flegel University of Dortmund, Germany Michael Meier Brandenburg University of Technology Cottbus, Germany Program Committee Thomas Biege Roland Büschkes Toralv Dirro Anja Feldmann Ulrich Flegel Christian Freckmann Oliver Göbel Christian Götz Dirk Häger Marc Heuse Klaus Julisch Oliver Karow Klaus-Peter Kossakowski Hartmut König Heiko Krumm Christopher Krügel Holger Mack Michael Meier Jens Nedon Christian Schmid Morton Swimmer Stefan Strobel Marco Thorbrügge Andreas Wespi Stephen Wolthusen Ralf Zessin External Reviewers Friedemann Bauer Holger Dreger Peter Herrmann Birk Richter Mario Schölzel Robin Sommer SuSE Linux, Germany T-Mobile, Germany Network Associates, Germany Technical University Munich, Germany University of Dortmund, Germany TÜV-IT, Germany RUS-CERT, Germany Cirosec, Germany BSI, Germany n.runs, Germany IBM Research Zurich, Switzerland Symantec, Germany Presecure, Germany BTU Cottbus, Germany University of Dortmund, Germany UC Santa Barbara, USA Secorvo, Germany BTU Cottbus, Germany Consecur, Germany Linz, Austria IBM Research Zurich, Switzerland Cirosec, Germany DFN-CERT, Germany IBM Research Zurich, Switzerland Fraunhofer IGD Darmstadt, Germany Maxpert, Germany RUS-CERT, Germany Technical University Munich, Germany University of Dortmund, Germany secunet, Germany BTU Cottbus, Germany Technical University Munich, Germany
Cooperations IEEE Task Force on Information Assurance German Chapter of the ACM University of Dortmund Support dortmund-project www.dortmund-project.de Horst Görtz Institute for Security in Information Technology www.hgi.ruhr-uni-bochum.de
Contents Intrusion Detection Alarm Reduction and Correlation in Intrusion Detection Systems.............. 9 Tobias Chyssler, Stefan Burschka, Michael Semling, Tomas Lingvall, Kalle Burbeck Alert Verification Determining the Success of Intrusion Attempts............. 25 Christopher Kruegel and William Robertson Komponenten für kooperative Intrusion-Detection in dynamischen Koalitionsumgebungen................................................. 39 Marko Jahnke, Martin Lies, Sven Henkel, Michael Bussmann and Jens Tölle Vertrauensbasierte Laufzeitüberwachung verteilter komponentenstrukturierter E-Commerce-Software.................................... 55 Peter Herrmann, Lars Wiebusch and Heiko Krumm Intrusion detection in unlabeled data with quarter-sphere Support Vector Machines............................................................ 71 Pavel Laskov, Christin Schäfer and Igor Kotenko Sensors for Detection of Misbehaving Nodes in MANETs.................... 83 Frank Kargl, Andreas Klenk, Michael Weber, Stefan Schlott Aktive Strategien zur Schutzzielverletzungerkennung durch eine kontrollierte Machtteilung in der Zugriffskontrollarchitektur................ 99 Joerg Abendroth Honeypots A Honeynet within the German Research Network Experiences and Results.. 113 Helmut Reiser and Gereon Volker Ermittlung von Verwundbarkeiten mit elektronischen Ködern.............. 129 Maximillian Dornseif, Felix C. Gärtner and Thorsten Holz
Vulnerabilities Foundations for Intrusion Prevention................................... 143 Shai Rubin, Ian D. Alderman, David W. Parter, and Mary K. Vernon Structural Comparison of Executable Objects............................ 161 Halvar Flake Anti-Patterns in JDK Security and Refactorings.......................... 175 Marc Schönefeld Malware LIV - The Linux Integrated Viruswall................................... 187 Teobaldo A. Dantas de Medeiros and Paulo S. Motta Pires Risiken der Nichterkennung von Malware in komprimierter Form........... 201 Heiko Fangmeier, Michel Messerschmidt, Fabian Müller and Jan Seedorf Author Index...................................................... 213