| dc.contributor.advisor | Fu, Xiaoming Prof. Dr. | de |
| dc.contributor.author | Tegeler, Florian | de |
| dc.date.accessioned | 2012-07-04T15:50:46Z | de |
| dc.date.accessioned | 2013-01-18T13:23:17Z | de |
| dc.date.available | 2013-01-30T23:50:59Z | de |
| dc.date.issued | 2012-07-04 | de |
| dc.identifier.uri | http://hdl.handle.net/11858/00-1735-0000-000D-F068-1 | de |
| dc.identifier.uri | http://dx.doi.org/10.53846/goediss-2542 | |
| dc.identifier.uri | http://dx.doi.org/10.53846/goediss-2542 | |
| dc.description.abstract | Bots sind verantwortlich für viele Sicherheitsprobleme im Internet - sie versenden Spam, stehlen Informationen von infizierten Rechnern und führen verteilte Denial-of-Service-Attacken aus. In Anbetracht ihrer Sicherheitsauswirkungen ist es nicht verwunderlich, dass eine große Anzahl von Techniken zur Boterkennung und Einflussminderung vorgeschlagen wurden. Hierzu zählen sowohl Netzwerk- als auch Endhost-basierte Ansätze.
Bots auf dem Netzwerk-Level zu erkennen ist vorteilhaft gegenüber Host-basierten Lösungen, da hierdurch die effiziente Analyse vieler Hosts ohne die Notwendigkeit von Endhost-Installationen ermöglicht wird. Derzeitige Netzwerk-basierte Botnet-Nachweisverfahren zielen darauf ab, den Command-and-Control-Traffic zwischen den Bots und ihrem Botmaster auszunutzen. Die deutliche Mehrheit dieser Verfahren basiert hierbei auf der Analyse von Paketnutzlasten, wobei die vorgeschlagenen Ansätze von der einfachen signaturbasierten Mustererkennung bis hin zur strukturellen Analyse von Command-and-Control-Traffic reichen. Leider wird die verwendete Inspektion der Paketnutzlasten zunehmend wirkungslos, da Schadsoftware-Autoren begonnen haben, die Kommunikation zu verschleiern oder zu verschlüsseln.
Diese Arbeit stellt BotFinder vor - ein neuartiges System, das individuelle Schadsoftware-infizierte Rechner in einem Netzwerk erkennen kann und ausschließlich auf den statistischen Mustern ihres Netzwerkverkehrs arbeitet ohne Paketinhalte zu analysieren. BotFinder nutzt Techniken des maschinellen Lernens um die wesentlichen Merkmale von Command-and-Control-Kommunikation zu abzuleiten. Das Lernen erfolgt dabei auf vorab beobachtetem Netzwerkverkehr des Bots innerhalb einer kontrollierten Umgebung. Als Ergebnis erzeugt BotFinder Modelle, die auf Edge-Routern zur Identifikation infizierter Hosts im Netzwerk eingesetzt werden können. Das System wurde auf verschiedenen Bot-Familien trainiert und die Erkennungsrate für Bots auf realem Netzwerkverkehr getestet. Erwähnenswert ist hierbei insbesondere die Analyse auf den NetFlow-Daten eines großen Internet-Service-Providers, die mehr als 25 Milliarden Verbindungen enthalten, was circa einem halben Petabyte Netzwerknutzlast entspricht. Die Ergebnisse zeigen, dass BotFinder hohe Erkennungsraten bei gleichzeitig sehr niedriger Fehlerrate erreicht. | de |
| dc.format.mimetype | application/pdf | de |
| dc.language.iso | eng | de |
| dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/3.0/ | de |
| dc.title | Content Agnostic Malware Detection in Networks | de |
| dc.type | doctoralThesis | de |
| dc.title.translated | Paketinhaltsunabhängige Schadsoftwareerkennung in Netzwerken | de |
| dc.contributor.referee | Fu, Xiaoming Prof. Dr. | de |
| dc.date.examination | 2012-05-08 | de |
| dc.subject.dnb | 004 Informatik | de |
| dc.subject.gok | AH | de |
| dc.description.abstracteng | Bots are the root cause of many security
problems on the Internet - they send spam, steal information from
infected machines, and perform distributed denial of service
attacks. Given their security impact, it is not surprising that a
large number of techniques have been proposed that aim to detect
and mitigate bots, both network-based and host-based approaches.
Detecting bots at the network-level has a number of advantages over
host based solutions, as it allows for the efficient analysis of a
large number of hosts without the need for any end point
installation. Currently, network-based botnet detection techniques
often target the command and control traffic between the bots and
their botmaster. Moreover, a significant majority of these
techniques are based on the analysis of packet payloads. The
proposed approaches range from simple pattern matching against
signatures to structural analysis of command and control
communication. Unfortunately, deep packet inspection is rendered
increasingly ineffective as malware authors start to use obfuscated
or encrypted command and control connections. This thesis presents
BotFinder, a novel system that can detect individual,
malware-infected hosts in a network, based solely on the
statistical patterns of the network traffic they generate, without
relying on content analysis. BotFinder uses machine learning
techniques to identify the key features of command and control
communications, based on observing traffic that bots produce in a
controlled environment. Using these features, BotFinder creates
models that can be deployed at edge routers to identify infected
hosts. The system was trained on several different bot families and
evaluated on real-worldtraffic datasets - most notably, the NetFlow
information of a large ISP that contains more than 25 billion
flows, which correspond to approximately half a Petabyte of network
traffic. The results show that BotFinder achieves high detection
rates with very low false positives. | de |
| dc.contributor.coReferee | Kruegel, Christopher Prof. Dr. | de |
| dc.subject.topic | Mathematics and Computer Science | de |
| dc.subject.ger | Sicherheit | de |
| dc.subject.ger | Schadsoftware Erkennung | de |
| dc.subject.ger | NetFlow Analyse | de |
| dc.subject.ger | BotFinder | de |
| dc.subject.ger | Bots | de |
| dc.subject.eng | Security | de |
| dc.subject.eng | Malware Detection | de |
| dc.subject.eng | NetFlow Analysis | de |
| dc.subject.eng | BotFinder | de |
| dc.subject.eng | Bots | de |
| dc.subject.bk | 54.38 | de |
| dc.identifier.urn | urn:nbn:de:gbv:7-webdoc-3592-1 | de |
| dc.identifier.purl | webdoc-3592 | de |
| dc.affiliation.institute | Mathematisch-Naturwissenschaftliche Fakultäten | de |
| dc.identifier.ppn | 722229186 | de |