This dissertation deals with the following problems. The performance of current intrusion detection systems decreases when more signatures are used for detection. This is caused by the serial way of comparing events to signatures. In the first part of this dissertation we present an improved approach for handling invoming events which employs clustering algorithms to make the processing faster by parallelizing this task. The approach has been implemented for the open-source system Snort and evaluated on publicly available network traffic. In the second part we introduce the concept of abstract signatures. Signature based systems can only detect attacks for which they have a signature for, therefore unknown attacks remain undetected. Abstract signatures implement the commonalities of whole attack classes, therefore they can detect variations of known attacks. The development, implementation and evaluation of two abstract signatures is discussed. In the thirs part of this dissertation a method of estimating the effects of response actions on the usability of a network are discussed. Current systems use very simple methods for choosing response methods and for evaluating their effects, they do not take the mission of a network into accout. We present a method for specifying the mission and the dependencies within an network which enables the system to calculate the exact effects of responses on the use of a network.
en
dc.description.abstract
Die vorliegende Dissertation beschaeftigt sich mit der Loesung folgender Probleme. Gaengige Intrusion Detection Systeme koennen bei einer steigenden Anzahl von verwendeten Szenarien nicht mehr mit der Geschwindigkeit mithalten, mit der Daten geliefert werden. Dies ist durch die serielle Verarbeitung von Angriffsszenarien bedingt. Im ersten Teil dieser Dissertation praesentieren wir einen verbesserten Ansatz zur Verarbeitung von Aktionen, welcher mit Hilfe von Clustering-Algorithmen eine parallelisierte, schnellere Verarbeitung erreicht. Der Ansatz wird experimentell anhand des Open-Source Systems Snort gezeigt und evaluiert. Im zweiten Teil wird das Konzept von Abstrakten Signaturen eingefuehrt. Damit soll das Problem von signaturbasierten Intrusion Detection Systemen geloest werden, dass diese nur im vorhinein definierte Angriffe entdecken koennen, also unbekannte Attacken unentdeckt bleiben. Abstrakte Signaturen charakterisieren ganze Klassen von Attacken indem die Gemeinsamkeiten aller Instanzen einer Angriffsklasse repraesentieren, wodurch Variationen von bekannten Attacken entdeckt werden koennen. Die Entwicklung, Realisierung und die Effektivitaet von zwei Abstrakten Signaturen wird besprochen und evaluiert. Im dritten Teil dieser Dissertation wird eine Methode zur Abschaetzung der Effekte von automatischen Verteidigungsmechanismen erlaeutert. Gaengige Systeme verwenden nur sehr einfache Methoden um anhand von festgestellten Attacken adequate Verteidigungsmechanismen auszuwaehlen. Sie beruecksichtigen dabei die Abhaengigkeiten innerhalb eines Netzwerkes nicht. So kann es dazu kommen, dass durch Auswahl von ungeeigneten Verteidigungsmechanismen ein hoeherer Schaden entsteht als durch den Angreifer. Wir stellen eine Methode vor, mit der sich die Abhaengigkeiten innerhalb eines Netzwerkes modellieren lassen, und mit der die Effekte von potentiellen Verteidigungsmechanismen simulieren und genau errechnen lassen.