Using root cause analysis to handle intrusion detection alarms

Aufgrund einer kontinuierlich steigenden Anzahl von Hacker-Angriffen auf die Informationssysteme von Firmen und Institutionen haben Intrusion Detection Systeme als eine neue Sicherheitstechnologie an Bedeutung gewonnen. Diese Systeme überwachen Computer, Netzwerke sowie andere Ressourcen und erzeugen Alarme, wenn Sicherheitsverletzungen entdeckt werden. Leider erzeugen die heutigen Intrusion Detection Systeme im Allgemeinen sehr viele zumeist falsche Alarme. Dies wirft das Problem auf, wie mit dieser Flut falscher Alarme umzugehen ist. Die vorliegende Dissertation präsentiert einen neuen Lösungsansatz für dieses Problem.Von zentraler Bedeutung für diesen Lösungsansatz ist die Vorstellung, dass jeder Alarm eine eindeutige Ursache besitzt. Diese Dissertation macht die Beobachtung, dass ein paar Dutzend Ursachen für über 90% der Alarme verantwortlich sind. Auf diese Beobachtung aufbauend, wird folgende zweistufige Methode für den Umgang mit Intrusion Detection Alarmen vorgeschlagen: Der erste Schritt identifiziert Ursachen, die viele Alarme erzeugen, und der zweite Schritt entfernt diese Ursachen, wodurch die zukünftige Alarmlast zumeist stark gesenkt wird.Alternativ können Alarme, die eine nicht sicherheitsrelevante Ursache besitzen, durch Filter automatisch entfernt werden. Um das Aufdecken von Alarmursachen zu unterstützen, stellen wir eine neue Data Mining Methode zum Clustern von Alarmen vor. Die Grundlage für diese Methode besteht darin, dass sich die meisten Ursachen in Alarmgruppen mit charakteristischen strukturellen Eigenschaften manifestieren. Wir formalisieren diese strukturellen Eigenschaften und stellen eine Clustering Methode vor, die Alarmgruppen mit diesen Eigenschaften findet. Im Allgemeinen ermöglichen es solche Alarmgruppen, die zugrunde liegenden Alarmursachen zu identifizieren. Daran anschließend können die identifizierten Ursachen eliminiert oder falsche Alarme herausgefiltert werden. In beiden Fällen sinkt die Zahl der Alarme, die in Zukunft noch ausgewertet werden müssen.Die vorgestellte Methode zum Umgang mit Alarmen wird in Experimenten mit Alarmen aus 16 verschiedenen Intrusion Detection Installationen getestet. Diese Experimente bestätigen, dass es die beschriebene Alarm Clustering Methode sehr einfach macht Ursachen aufzudecken. Außerdem zeigen die Experimente, dass die Alarmlast um durchschnittlich 70% gesenkt werden kann, wenn auf die identifizierten Alarmursachen in angemessener Weise reagiert wird

Detecting Malicious Code by Model Checking

Abstract. The ease of compiling malicious code from source code in higher programming languages has increased the volatility of malicious programs: The first appearance of a new worm in the wild is usually followed by modified versions in quick succession. As demonstrated by Christodorescu and Jha, however, classical detection software relies on static patterns, and is easily outsmarted. In this paper, we present a flexible method to detect malicious code patterns in executables by model checking. While model checking was originally developed to verify the correctness of systems against specifications, we argue that it lends itself equally well to the specification of malicious code patterns. To this end, we introduce the specification language CTPL (Computation Tree Predicate Logic) which extends the well-known logic CTL, and describe an efficient model checking algorithm. Our practical experiments demonstrate that we are able to detect a large number of worm variants with a single specification. Key words: Model Checking, Malware Detection.

Idea-caution before exploitation:the use of cybersecurity domain knowledge to educate software engineers against software vulnerabilities

The transfer of cybersecurity domain knowledge from security experts (‘Ethical Hackers’) to software engineers is discussed in terms of desirability and feasibility. Possible mechanisms for the transfer are critically examined. Software engineering methodologies do not make use of security domain knowledge in its form of vulnerability databases (e.g. CWE, CVE, Exploit DB), which are therefore not appropriate for this purpose. An approach based upon the improved use of pattern languages that encompasses security domain knowledge is proposed

Assessment of pipe components based on statistically distributed material properties

Für sicherheitstechnisch relevante Bauteile ist zu gewährleisten, dass Versagen un-ter allen Bedingungen, auch bei Vorhandensein von Materialfehlern oder Rissen, si-cher ausgeschlossen werden kann. Dazu sind zuverlässige bruchmechanische Be-rechnungsmethoden sowie zerstörungsfreie Prüfverfahren notwendig. Der Einsatz bruchmechanischer Berechnungsmethoden erfordert die vertrauenswürdige Kenntnis der Werkstoffkennwerte wie auch der Abmaße der geometrischen Verhältnisse des entsprechenden Bauteils. Um Informationen über die Lage und Geometrie eventuell vorhandener Risse zu bekommen, werden Methoden der zerstörungsfreien Werk-stoffprüfung eingesetzt. Das übergeordnete Ziel dieser Arbeit war es, die statistische Verteilungsfunktion der erforderlichen Werkstoffkennwerte bzw. geometrischen Abmessungen zu bestimmen und mit Hilfe von probabilistischen Methoden die Auswirkungen auf bruchmechani-sche Berechnungen darzustellen. Für die bruchmechanischen Berechnungen wurde die R6-Methode eingesetzt. Um die statistische Streuung der material- und geomet-riespezifischen Einflussgrößen für Bauteilberechnungen zu berücksichtigen, wurde die R6-Methode in einen Monte-Carlo-Algorithmus implementiert. Zur Validierung der Berechnungen wurden begleitende Bauteilversuche an Geradrohren mit Umfangsfehler an der Rohrinnenseite unter Innendruck und überlagerter äußerer Biegung durchgeführt. Die Bedeutung zerstörungsfreier Prüfmethoden für den Bewertungsprozess soll in diesem Zusammenhang dargestellt werden. Zunächst wurden umfangreiche empirische Untersuchungen zur statistischen Verteilung von werkstoffmechanischen Kennwerten mit Relevanz für bruchmechanische Untersuchungen einiger ausgesuchter Stähle vorgenommen. Teilweise wurden ergänzend die geometrischen Abmaßen von Rohrleitungskomponenten statistisch er-fasst. Jeder Einflussgröße der bruchmechanischen Berechnung wurde so eine expe-rimentell, systematisch bestätigte statistische Verteilung zugeordnet. In den meisten Fällen stimmte diese mit einer allgemeinen Empfehlung aus der Literatur überein. Mit Hilfe der für das R6-Verfahren benötigten Einflussgrößen wurden die Rissinitiierungsbiegemomente von 15 ausgewählten austenitischen Geradrohren mit Umfangsriss unter Innendruck und überlagerter äußerer Biegung deterministisch berechnet und mit den experimentell ermittelten Lasten verglichen, um so die Genauigkeit in Bezug auf die vorliegenden Geradrohre zu testen. Es ergaben sich teilweise merkliche Abweichungen. Bei einer großen Anzahl von Vorhersagen wird das Versuchsergebnis ungefähr so häufig über- wie unterschätzt. In guter Näherung ist die rechnerische Vorhersage des Initiierungsmomentes jedoch erwartungstreu. Es wurden Sensitivitätsanalysen unter Berücksichtigung der Streuung der jeweiligen Einflussgrößen durchgeführt, um die Auswirkung auf die Initiierungswahrscheinlichkeit darzustellen. Von den Werkstoffkennwerten hat die Streckgrenze vor dem KIJ-Wert und der Zugfestigkeit den größten Einfluss. Bei den geometrischen Einflussgrößen wirkt sich die Wanddicke sensitiver als der Durchmesser aus. Die Rissinitiierungswahrscheinlichkeit nimmt stark mit steigender Fehlerlänge und Fehlertiefe zu. Die Fehlertiefe ist sensitiver als die Fehlerlänge. Die zerstörungsfreie Prüfung wurde anhand von mehreren Ultraschallverfahren durchgeführt. Es wurden Fehlerdetektionsraten (POD-Kurven) mit Hilfe von Arbeitsproben erstellt. Die POD-Kurven wurden für die Bewertung einer Auswahl der 15 Geradrohre verwendet, um auf diese Weise Aussagen über die Leistungsfähigkeit der Verfahren zu machen. Eine allgemeine Empfehlung zur Auswahl und Beurteilung des für einen bestimmten Anwendungsfall optimalen ZfP-Verfahrens war im Rahmen der Arbeit nicht darstellbar, an einigen Anwendungsfällen konnten jedoch wichtige Teilaspekte diskutiert werden. Ergänzend dazu wurden im Rahmen dieser Arbeit Korrelationen zwischen verschiedenen bruchmechanischen Kennwerten untereinander sowie zwischen Kennwerten der Bruchmechanik, des Zug- und des Kerbschlagbiegeversuchs ermittelt. Die in der Regel aufwändig zu ermittelnden bruchmechanischen Werkstoffkennwerte sollten durch einfacher zu bestimmende Kennwerte aus dem Zugversuch bzw. dem Kerbschlagbiegeversuch abgeschätzt werden. Es konnte über eine detaillierte Auswertung umfangreicher Versuchsserien gezeigt werden, in welcher Weise die Ji-Werte mit den JIc-Werten korrelieren. Für niedriglegierte Stähle war es möglich, eine sehr gute Vorhersage der Ji- sowie der JIc-Werte aus der Kerbschlagarbeit und der lokalen Bruchdehnung zu erhalten.Safety-relevant components have to be properly protected against failure by all means, even in the presence of material failures or cracks. Therefore, reliable fracture mechanics methods as well as non-destructive testing procedures (NDT) are re-quired. Using methods of fracture mechanics confidential knowledge of material properties and geometry dimensions of the considered component are required alike. Methodes of NDT provide information about actual crack size and geometry. The overall objective of this thesis was to determine the statistical distribution of the required material properties and dimensions and supported by methods of probabilistic calculus to view the influence on calculations of fracture mechanics. For calculations of fracture mechanics the R6-method was used. To take into account the statistical scattering of either material and geometry, the R6-method has been supported by a Monte-Carlo module. In order to corroborate these calculations, they have been attended by component tests on straight pipes under internal pressure and superim-posed external bending moment. As a result of the tests, among others, it was planned to state minimum demands on non destructive testing methods. Another issue in this context is to show in how far interaction between NDT and fracture mechanics is actually possible. In a first step extensive empirical investigations have been conducted in order to assign all material properties of selected steels relevant to be used in methods of fracture mechanics a statistical distribution. In parts statistical tests of component dimensions have aditionally been carried out. Thus every parameter of fracture mechanics calculus has been classified in terms of statistical distributions. In most cases these distributions match a recommendation from literature. Based on the required parameters bending moments for crack initiation of 15 selected straight austenitic pipes with circumferential flaws under internal pressure und superimposed external bending moment have been calculated and compared with the results of experimental tests in order to test the quality of R6-predictions with re-spect to the examined pipes. In some cases there where obvious discrepancies but anyhow it could be shown that the calculated moments were approximately unbiased. Taking into account the scattering of each parameter, sensitivity studies on the probability of initiation have been performed. It was shown which parameters are significantly correlated with the probability of initiation and which ones can be considered to be constant, as they don't have dominant influence. Considering the material properties only, the yield stress has the most dominant influence followed by the KIJ-value and the tensile strength. When comparing the geometrical parameters, the wall thickness appears to be more sensitive on the probability of initiation than the outer diameter of the pipes. The Crack depth is more sensitive than the crack length. Non destructive testings were conducted by a couple of ultrasonic testing methods. Due to test coupons, POD-diagrams have been created which were used in the evaluation of some of the straight pipes in order to quantify the efficiency of the ultra-sonic testing methods. A general recommendation of how to select the best method of investigation in a special testing situation could not be given within the thesis, however it was possible to discuss some important aspects. Another objective of this thesis was to examine in how far correlations exist between the different material properties of fracture mechanics and between material properties of fracture mechanics, tensile testing and charpy impact testing. The purpose was to estimate material properties of fracture mechanics by means of those from charpy impact tests and tensile tests which can be determined by far less effort. Concerning low-alloyed steels, a promising correlation between the Ji - as well as the JIc - values on the one side and the charpy energy and the local contraction at frac-ture on the other side, could be proved

Mining Alarm Clusters to Improve Alarm Handling Efficiency

It is a well-known problem that intrusion detection systems overload their human operators by triggering thousands of alarms per day. As a matter of fact, we have been asked by one of our service divisions to help them deal with this problem. This paper presents the results of our research, validated thanks to a large set of operational data. We show that alarms should be managed by identifying and resolving their root causes. Alarm clustering is introduced as a method that supports the discovery of root causes. The general alarm clustering problem is proved to be NP-complete, an approximation algorithm is proposed, and experiments are presented

Beitrag zur Bestimmung des Tragverhaltens fehlerbehafteter, ferritischer Schweisskonstruktionen mit Hilfe von Grossplatten-Zugversuchen

Available from TIB Hannover: DW 3050 / FIZ - Fachinformationszzentrum Karlsruhe / TIB - Technische InformationsbibliothekSIGLEDEGerman