Sicherheit in komplexen, vernetzten Umgebungen



Ähnliche Dokumente
Einsatz der graphbasierten Meldungsstrukturanalyse in

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Komponenten für kooperative Intrusion Detection in dynamischen Koalitionsumgebungen

Mobile Commerce Anwendung und Perspektiven

Software-Engineering SS03. Zustandsautomat

Echtzeitanomalieerkennung für Internetdienste (Abschlussvortrag)

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Physik & Musik. Stimmgabeln. 1 Auftrag

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

ISA 2004 Netzwerkerstellung von Marc Grote

Inventur / Jahresabschluss

GeoPilot (Android) die App

Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken

FlowFact Alle Versionen

Netzlaufwerke der Domäne von zu Hause/extern verbinden

BSI Technische Richtlinie

Anbindung des eibport an das Internet

Unterrichtsmaterialien in digitaler und in gedruckter Form. Auszug aus: Übungsbuch für den Grundkurs mit Tipps und Lösungen: Analysis

Windows Small Business Server (SBS) 2008

Modellierung betrieblicher Informationssysteme MobIS 2002

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Übungspraktikum 3 Physik II

GEVITAS Farben-Reaktionstest

Reporting Services und SharePoint 2010 Teil 1

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Powermanager Server- Client- Installation

SEPA Lastschriften. Ergänzung zur Dokumentation vom Workshop Software GmbH Siemensstr Kleve / /

Bundesverband Flachglas Großhandel Isolierglasherstellung Veredlung e.v. U g -Werte-Tabellen nach DIN EN 673. Flachglasbranche.

DAUERHAFTE ÄNDERUNG VON SCHRIFTART, SCHRIFTGRÖßE

Strategische Beratung und IT-orientierte Beratung im Vergleich

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Lizenzen auschecken. Was ist zu tun?

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Die Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?

2. Psychologische Fragen. Nicht genannt.

Cisco Security Monitoring, Analysis & Response System (MARS)

geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen

Unterschiede bei den Produktionsfunktionen zurückzuführen und können sich auf partielle Produktivitäten (Arbeitsproduktivität, Kapitalproduktivität,

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

Task: Nmap Skripte ausführen

WIE WIRKLICH IST DIE WIRKLICHKEIT WIE SCHNELL WERDEN SMART GRIDS WIRKLICH BENÖTIGT? DI Dr.techn. Thomas Karl Schuster Wien Energie Stromnetz GmbH

Easy-Monitoring Universelle Sensor Kommunikations und Monitoring Plattform

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Konzepte der Informatik

Änderung des IFRS 2 Anteilsbasierte Vergütung

Ein einfaches Modell zur Fehlerfortpflanzung

EINE PLATTFORM

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

1 Einleitung. 1.1 Motivation und Zielsetzung der Untersuchung

WIE SMI-UNTERNEHMEN SOCIAL MEDIA NUTZEN

-Konten für Studierende und Zugriffswege auf die Mail-Systeme der Hochschule Rhein-Waal

Data Mining: Einige Grundlagen aus der Stochastik

Benutzeranleitung Service Desk Tool Erizone

Erfolg und Vermögensrückgänge angefertigt im Rahmen der Lehrveranstaltung Nachrichtentechnik von: Eric Hansen, am:

50. Mathematik-Olympiade 2. Stufe (Regionalrunde) Klasse Lösung 10 Punkte

Windows Server 2008 (R2): Anwendungsplattform

EU-Verordnung Nr. 1907/2006 (REACH)

5.2 Neue Projekte erstellen

Proxyeinstellungen für Agenda-Anwendungen

Mean Time Between Failures (MTBF)

Serien- mit oder ohne Anhang

Binäre Bäume. 1. Allgemeines. 2. Funktionsweise. 2.1 Eintragen

Erklärung zum Internet-Bestellschein

ISA Server 2004 Einzelner Netzwerkadapater

Workshop: Eigenes Image ohne VMware-Programme erstellen

AZK 1- Freistil. Der Dialog "Arbeitszeitkonten" Grundsätzliches zum Dialog "Arbeitszeitkonten"

Virtual Private Network

teischl.com Software Design & Services e.u. office@teischl.com

HowTo: Ereigniseinrichtung

104 WebUntis -Dokumentation

Dokumentation zur Versendung der Statistik Daten

Theoretische Grundlagen der Informatik

Zusammenfassende Beurteilung der Unterrichtsbeispiele für Wirtschaft und Recht

Kommunikations-Management

Konfiguration eines DNS-Servers

AUTOMATISCHE -ARCHIVIERUNG. 10/07/28 BMD Systemhaus GmbH, Steyr Vervielfältigung bedarf der ausdrücklichen Genehmigung durch BMD!

FTP-Leitfaden RZ. Benutzerleitfaden

Markus Demary / Michael Voigtländer

PTV VISWALK TIPPS UND TRICKS PTV VISWALK TIPPS UND TRICKS: VERWENDUNG DICHTEBASIERTER TEILROUTEN

Anleitung für Kunden zum Umgang mit verschlüsselten s von der LASA Brandenburg GmbH

Abamsoft Finos im Zusammenspiel mit shop to date von DATA BECKER

Tutorial: Homogenitätstest

5.12. Variable Temperaturgradienten über dem Scheibenzwischenraum

Unternehmensname Straße PLZ/Ort Branche Mitarbeiterzahl in Deutschland Projektverantwortlicher Funktion/Bereich * Telefon

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Presseinformation. Ihre Maschine spricht! Mai GLAESS Software & Automation Wir machen industrielle Optimierung möglich.

my.ohm Content Services Autorenansicht Rechte

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

oder ein Account einer teilnehmenden Einrichtung also

ISA Server 2004 Protokollierung - Von Marc Grote. Die Informationen in diesem Artikel beziehen sich auf:

Transkript:

Armin B. Cremers, Rainer Manthey, Peter Martini, Volker Steinhage (Hrsg.) Sicherheit in komplexen, vernetzten Umgebungen Workshop im Rahmen der Jahrestagung 2005 der Gesellschaft für Informatik Informatik LIVE! 19.-22. September 2005 in Bonn, Deutschland Gesellschaft für Informatik 2005

Lecture Notes in Informatics (LNI) Proceedings Series of the Gesellschaft für Informatik (GI) Volume P-68 ISBN 3-88579-397-0 ISSN 1617-5468 Volume Editors Prof. Dr. Armin B. Cremers Universität Bonn, Institut für Informatik III Email: abc@cs.uni-bonn.de Prof. Dr. Rainer Manthey Universität Bonn, Institut für Informatik III Email: manthey@cs.uni-bonn.de Prof. Dr. Peter Martini Universität Bonn, Institut für Informatik IV Email: martini@cs.uni-bonn.de Privatdozent Dr. Volker Steinhage Universität Bonn, Institut für Informatik III Email: steinhage@cs.uni-bonn.de Series Editorial Board Heinrich C. Mayr, Universität Klagenfurt, Austria (Chairman, mayr@ifit.uni-klu.ac.at) Jörg Becker, Universität Münster, Germany Ulrich Furbach, Universität Koblenz, Germany Axel Lehmann, Universität der Bundeswehr München, Germany Peter Liggesmeyer, TU Kaiserslautern und Fraunhofer IESE, Germany Ernst W. Mayr, Technische Universität München, Germany Heinrich Müller, Universität Dortmund, Germany Heinrich Reinermann, Hochschule für Verwaltungswissenschaften Speyer, Germany Karl-Heinz Rödiger, Universität Bremen, Germany Sigrid Schubert, Universität Siegen, Germany Dissertations Dorothea Wagner, Universität Karlsruhe, Germany Seminars Reinhard Wilhelm, Universität des Saarlandes, Germany Gesellschaft für Informatik, Bonn 2005 printed by Köllen Druck+Verlag GmbH, Bonn

Einsatz der graphbasierten Meldungsstrukturanalyse in domänenübergreifenden Meta-IDS Nils gentschen Felde (felde@nm.ifi.lmu.de) Munich Network Management Team Ludwig-Maximilians-Universität München Oettingenstr. 67, D-80538 München Abstract: Diese Arbeit beschreibt den Einsatz der Meldungsstrukturanalyse in einem so genannten Meta-IDS, das Ereignismeldungen mehrerer Partner in Koalitionsumgebungen zusammenführt und auswertet. Es handelt sich um ein graphbasiertes Anomalieerkennungsverfahren, das unabhängig von den zugrunde liegenden Meldungslieferanten und Sicherheitsvorschriften arbeitet. In diesem Beitrag wird die Leistungsfähigkeit des Verfahrens unter praxisrelevanten Bedingungen eines Koalitionsszenarios untersucht. Dabei wird einerseits auf real erfasste Ereignismeldungen, andererseits auf durch eine Simulation der Ausbreitung eines Internet-Wurms entstehende Meldungen zurückgegriffen. Es wird gezeigt, dass ein kooperativer Ansatz zur Anomalieerkennung für einen Teil der kooperierenden Partner einen zeitlichen Vorteil bei der Meldung von Auffälligkeiten mit sich bringt. 1 Einleitung Bei der Betrachtung verteilt arbeitender Intrusion Detection Systeme besteht durch den Zusammenschluss kooperierender Partner die begründete Hoffnung, durch Zusammenführung und kooperative Auswertung von Meldungen über potentiell sicherheitsrelevante Ereignisse (sog. Ereignismeldungen) eine Steigerung der Möglichkeiten zur Erkennung von Vorfällen durch die größere Menge verfügbarer Informationen zu erzielen. Ein so genanntes Meta-Intrusion Detection System (Meta-IDS) verfolgt eben diesen Ansatz der kooperativen Intrusion Detection und hat die Aufgabe, alle anfallenden Meldungen lokaler IT-Sicherheitswerkzeuge (IDS, Paketfilter, Virenscanner, Integritätsprüfprogramme etc.) aus heterogenen Netzwerk- und Sicherheitsstrukturen zusammenzuführen und gemeinsam auszuwerten, wie auch in anderen Arbeiten beschrieben [1] [3]. Dabei werden a priori weder Annahmen über die Beschaffenheit der lokalen Sicherheitsvorkehrungen noch über die von ihnen durchzusetzenden Sicherheitsrichtlinien der teilhabenden Domänen gemacht. Einzige Voraussetzung ist, dass die eintreffenden Meldungen auf ein gemeinsames Datenmodell (z. B. IDMEF [2]) zurückgreifen. Auf Grund der fehlenden Informationen über zugrunde liegende lokale IDS-Installationen sowie über durchzusetzende Sicherheitsrichtlinien kann zur Erkennung verdächtiger Aktivitäten nur ein auf Anomalieerkennung basierender Ansatz verwendet werden. Der vorliegende Beitrag untersucht die Einsatzfähigkeit der so genannten Meldungsstrukturanalyse, insbesondere unter verschiedenen praxisrelevanten Randbedingungen einer Koalitionsumgebung mit mehreren Domänen.

2 Meldungsstrukturanalyse im Meta-IDS Das in dieser Arbeit vorgestellte prototypische System unterstützt die oben genannte Anforderung. Es wurde in einer Multi-Domänen-Konfiguration sowohl im operationellen Einsatz als auch unter Verwendung simulierter Daten einer Internet-Wurmausbreitung untersucht. Die untersuchte Konfiguration beinhaltet lokale IDS-Installationen in einer Forschungseinrichtung, einer Universität und einer Fachhochschule und ist in Abbildung 1 dargestellt. Weitere Details zum untersuchten System finden sich in [3] und [4]. Abbildung 1: Struktur des Meta-IDS Beim hier betrachteten zentralen Analyseverfahren handelt es sich um eine graphbasierte Meldungsstrukturanalyse, die über eine zuvor festzulegende Intervalllänge t (hier: t = 300 Sekunden) alle eintreffenden Ereignismeldungen sammelt und entsprechend der Inhalte dieser Meldungen einen gerichteten Graphen G = (V, E) pro Intervall erstellt. Die Knoten des Graphen sind mit Netzwerkadressen assoziiert. Zwei Knoten v 1, v 2 V sowie eine gerichtete Kante (v 1, v 2 ) E existieren in G genau dann, wenn von der Analyseeinheit innerhalb t eine Meldung erfasst wurde, die ein sicherheitsrelevantes Ereignis repräsentiert, deren (mutmaßliche) Quelle die Adresse v 1 und deren (wahrscheinliches) Ziel die Adresse v 2 ist. Die entsprechende Kante wird durch die in der Meldung angegebene Priorität bzw. den Schweregrad (Severity) gewichtet. Weiter wird ein zusätzlicher Pseudoknoten v 3, der mit dem betroffenen Netzdienst (bzw. der Portnummer) assoziiert ist, und zwei bidirektional gerichtete Kanten (v 1, v 3 ), (v 2, v 3 ) E eingeführt. Dies dient dazu, den Auslöser einer Anomalie besser identifizieren zu können. Jeder Graph wird am Ende des entsprechenden Intervalls mittels Clustering-Algorithmen eindeutig in disjunkte, stark verknüpfte Teilgraphen zerlegt, wobei die mit Adressen und mit Portnummern assoziierte Knoten gleich behandelt werden. Das Clustering eines Graphen repräsentiert die typische Struktur im Meldungsaufkommen des Systems. Plötzliche Änderungen dieser Strukturen werden als Anomalie aufgefasst und gemeldet. Dazu ist eine Metrik erforderlich, die Ähnlichkeiten von aufeinander folgenden Clusterings C i und C i+1 bewertet. Hier eignet sich beispielsweise ein Vergleichsmaß, das die Differenz zwischen zwei Clusterings δ i durch die Anzahl der Elementaroperationen (Abspalten bzw. Hinzufügen eines Knotens aus einem bzw. in ein Cluster) definiert, die notwendig sind, um die Clusterings ineinander zu überführen. Vergleicht man das aktuelle

Clustering mit dem unmittelbar vorhergehenden, so erhält man den Wert δ i für das aktuell betrachtete Zeitfenster (textit timeframe ). Überschreitet δ i ein aus der Historie der Clustering-Differenzen resultierendes Akzeptanzintervall um deren geglätteten Mittelwert δ (d.h. δ i [δ d σ δ, δ+d σ δ ], mit der Standardabweichung σ δ des geglätteten Mittelwerts der Clustering-Differenzen δ), so liegt eine abnormale Struktur im Meldungsaufkommen vor. Der Faktor d (hier: d = 4.5) sowie weitere variable Parameter des Verfahrens (z. B. Alterungsfaktoren für Mittelwert und Standardabweichung) werden heuristisch ermittelt. Alle aktuell ermittelten Clusterdifferenzen, die innerhalb des Akzeptanzintervalls liegen, werden als normale Zustände im zu beobachtenden Netz interpretiert. Ein Verstoß gegen das Akzeptanzintervall hingegen wird als Anomalie gedeutet und berichtet. 3 Einsatz des Verfahrens im domänenübergreifenden Betrieb Das beschriebene Meta-IDS wurde in einem realen Koalitionsszenario mit drei unabhängigen Domänen, die jeweils lokale IDS-Instanzen betreiben, eingesetzt. Die aus den Domänen eintreffenden Ereignismeldungen entstammen unterschiedlichen Quellen: Netzwerk-IDS, Logfile- Analyzer für Paketfilter-Logs sowie für Protokolldateien von Betriebssystemen und Serverapplikationen (SMTP, HTTP, FTP) in der demilitarisierten Zone (DMZ) des Internet- Übergangs. Zur Bewertung der Leistungsfähigkeit des Analyseverfahrens steht die Zeitnähe des Analysevorgangs, d.h. die Zeitdifferenz zwischen Auslösung und Meldung eines abnormalen Systemverhaltens, im Mittelpunkt. diff-value diff-value 800 700 600 500 400 300 200 100 05.01.2005 (21:00) - 07.01.2005 (09:00) calculated value upper bound lower bound smoothed average 0 0 50 100 150 200 250 300 350 400 450 timeframe 1400 1200 1000 800 600 05.01.2005 (21:00) - 07.01.2005 (09:00) calculated value upper bound lower bound smoothed average 400 Die Funktionsfähigkeit des Analyseverfahrens wurde zunächst ausschließlich anhand 200 realer Phänomene untersucht. 0 0 50 100 150 200 250 300 350 400 450 Im aufgezeichneten Meldungsaufkommen des Koalitions- timeframe szenarios im Zeitraum einer Woche verzeichnete die alitionspartner (oben) und drei Koalitionspartnern (unten) Abbildung 2: Vergleich der Erkennungsleistung mit einem Ko- Meldungsstrukturanalyse verschiedene Anomalien, die nach eingehender Untersuchung auf verschiedene tatsächliche Vorgänge zurückgeführt werden

konnten. Dazu gehörte die Ausbreitung verschiedener, im untersuchten Zeitraum aktiver Internet-Würmer (z. B. Beagle/Bagle), aber auch massive Zugriffe auf einzelne Rechner, die offensichtlich auf Fehlkonfigurationen zurückzuführen waren. Außerdem konnten Fehlkonfigurationen der IT-Sicherheitswerkzeuge in den Analyseergebnissen der Meldungsstrukturanalyse identifiziert werden. Weitere Informationen finden sich in [4]. Um die Zeitnähe des Analyseverfahrens zu untersuchen, wurden zusätzlich simulierte Meldungen eines Paketfilters in das Meta-IDS eingebracht, die bei der Ausbreitung eines Internet-Wurmes (hier: CodeRed v.2, Code Red II und Scalper) entstehen würden. Es galt, die Zeitdifferenzen zwischen dem Beginn der Injizierung der simulierten Meldungen und der Indikation eines abnormalen Systemverhaltens in verschiedenen Konstellationen der Kooperation der drei verfügbaren Koalitionspartner unter verschiedenen praxisrelevanten Randbedingungen einer Koalitionsumgebung zu bestimmen. Eine besonders bedeutsame Randbedingung ist das so genannte Rate-Limiting bei der Erzeugung von Meldungen eines Firewall-Paketfilters. Meldungen von Firewalls stellen bei der Untersuchung von Wurmausbreitungen die für den Analysevorgang bedeutsamste Informationsquelle dar. Im hier betrachteten Fall werden Meldungen mit einer maximalen Rate von 1Hz erzeugt, wobei verschiedene Verwerfungsstrategien untersucht wurden. Abbildung 2 (oben) zeigt die Clusterdifferenz für den Meldungsbestand einer einzelnen Domäne bei injizierter Wurmausbreitungsstrategie von CodeRed v.2 und einem Rate- Limiting von 1Hz ( calculated value ), die Grenzen des Akzeptanzintervalls ( upper- /lower bound ) und den geglätteten Mittelwert ( smoothed average ) der Clusterdifferenzen. Der untere Teil von Abbildung 2 hingegen veranschaulicht die gemeinschaftliche Analyse der Meldungen aller drei Koalitionspartner unter gleichen Bedingungen. In beiden gezeigten Fällen ist es eindeutig möglich gewesen, die injizierte Wurmausbreitung, die sich durch die Verstöße der oberen Grenze des Akzeptanzintervalls ausdrückt, zu erkennen (die Wurmausbreitung begann ca. im Timeframe 150 (06.01.05, 9:00 Uhr); eine Anomalie wurde im Timeframe 223 (15:48 Uhr) bzw. 194 (13:20 Uhr) erkannt). Abbildung 3 veranschaulicht Messungen im angesprochenen Szenario mit Meldungen aus drei unabhängigen Domänen. Hier sind die einzelnen Erkennungszeitpunkte einer um 09:00 Uhr beginnenden, simulierten Wurmausbreitung aller möglichen Konstellationen einer Kooperation unter den bereits angesprochenen Bedingungen angeführt. Abbildung 3: Erkennungszeitpunkte bei 1Hz Rate-Limiting 4 Diskussion der Ergebnisse Der Einsatz der graphbasierten Meldungsstrukturanalyse führte zunächst grundsätzlich zur Erkennung von Phänomenen, die beim Einsatz konventioneller Verfahren erst bei der Offline-Auswertung der Meldungs-Datenbank entdeckt worden wären.

Beim Einsatz des Verfahrens in einer Koalitionsumgebung ergeben sich verschiedene Konsequenzen. Der Hauptunterschied der Domänen untereinander bezüglich der entstehenden Paketfilter-Meldungen besteht in der Größe der betrachteten IP-Adressbereiche. Daher überrascht es keineswegs, dass bei der kombinierten Betrachtung der Meldungen eine Effizienzsteigerung ausschließlich für Domänen auftritt, die einen kleinen, vom Wurm betroffenen Adressbereich abdecken, wohingegen Domänen mit großem betroffenem Adressbereich einen Verlust bezüglich der Erkennungseffizienz hinnehmen müssen. Daraus folgt, dass eine Kombination von lokaler und kooperativer Auswertung sicherheitsrelevanter Ereignisse die besten Ergebnisse liefert, da so einem etwaigen Zeitverlust bezüglich der Erkennungsleistung des Systems bei der Betrachtung des kombinierten Meldungsaufkommens vorgebeugt werden kann. 5 Zusammenfassung und Schlussfolgerungen Diese Arbeit beschreibt die Untersuchung der Leistungsfähigkeit eines Anomalieerkennungsverfahrens im Einsatz in einem domänenübergreifenden Meta-IDS. Dabei stehen vor allem praxisnahe Randbedingungen im Vordergrund. Zur Bewertung wurden sowohl in der Realität erfasste Meldungen über potentiell sicherheitsrelevante Ereignisse (Ereignismeldungen), als auch Meldungen einer Simulation der Ausbreitung von Internet-Würmern herangezogen. Durch den Vergleich der Analyseergebnisse bei separaten und bei gemeinsamen Meldungsvolumina konnte für den beschriebenen Anwendungsfall eine Steigerung der Erkennungsleistung für den Fall nachgewiesen werden, dass die betrachtete Domäne nur über einen verhältnismäßig kleinen, vom Wurm betroffenen IP-Adressraum verfügt. Einem etwaigen Verlust bei der Erkennungsleistung kann durch kombinierte Betrachtung lokaler und gemeinsamer Auswertungen entgegengewirkt werden. Danksagung: Der Autor dankt den Mitgliedern des Münchener Netzwerk-Management Teams (MNM Team) für hilfreiche Diskussionen und wertvolle Kommentare zu früheren Versionen dieses Artikels. Das MNM Team ist eine Forschungsgruppe der Münchener Universitäten und des Leibniz-Rechenzentrums der Bayerischen Akademie der Wissenschaften unter der Leitung von Prof. Dr. Heinz-Gerd Hegering. Literatur [1] J. Mirkovic, M. Robinson, P. Reiher and G. Kuenning: Alliance Formation for DDoS Defense. Proceedings of the New Security Paradigms Workshop, ACM SIGSAC, 2003. [2] The Internet Engineering Task Force - Intrusion Detection Working Group: The Intrusion Detection Message Exchange Format, 27. Januar 2005. http://www. ietf.org/internet-drafts/draft-ietf-idwg-idmef-xml-14.txt [3] M. Jahnke, M. Lies, S. Henkel, M. Bussmann und J. Tölle. Komponenten für kooperative Intrusion-Detection in dynamischen Koalitionsumgebungen. Proceedings of the GI Workshop on Detection of Intrusions and Malware & Vulnerability Assessment (DIMVA2004), Dortmund, 2004. [4] N. O.v.d. gentschen Felde: Leistungsfähigkeit von Anomalieerkennungsverfahren in domänenübergreifenden Meta-IDS. Diplomarbeit, Universität Bonn, Institut für Informatik, Abt. IV, 2005.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback