Show simple item record

AuthorLukaseder, Thomasdc.contributor.author
Date of accession2020-09-23T13:47:17Zdc.date.accessioned
Available in OPARU since2020-09-23T13:47:17Zdc.date.available
Year of creation2020dc.date.created
Date of first publication2020-09-23dc.date.issued
AbstractEver-increasing bandwidth in networks presents a challenge to security mechanisms as the amount of traffic following Gilder's law) increases faster than the computational power (following Moore's law). This continuous increase in the amount of data not only impedes the effort to analyze the data in firewalls or Intrusion Detection Systems, but it can also be exploited by attackers to achieve ever stronger attacks. Moreover, testing network security mechanisms in high-bandwidth networks presents a challenge in itself as common testing tools are neither designed to produce nor to analyze such a vast amount of traffic. In this thesis, firstly, we look into testing of network applications, devices, and algorithms in high-bandwidth networks as a challenge in and of itself. We analyze traffic, build a network testing framework, and provide test data sets as groundwork for the other parts of this thesis. Following these insights, we work on improving security mechanisms to tackle the challenges of high-bandwidth networks. Hereby, we focus on two commonly used security mechanisms found in today's networks: Intrusion Detection Systems (IDS) and Mitigation Systems for Distributed Denial-of-Service (DDoS) attacks and investigate the impact of rising network traffic on their performance. We look into ways to raise IDS throughput through hardware-supported parallelization of regular expression matching. Matching regular expressions is a key component of the payload analysis in IDS and presents a major bottleneck for their throughput. Moreover, we present a framework able to detect DDoS attacks, identify attacking clients, and defend successfully against attacks. The system entails improvements in these areas with a particular focus on identifying slow DDoS attackers and defense against reflective attacks. The software developed, the data sets produced, and the insights gained in this work can help researchers, network administrators, and developers improve network security mechanisms and defend their networks more reliably against attacks.dc.description.abstract
AbstractDie ständig wachsende Bandbreite in Netzen stellt eine Herausforderung für die Sicherheitsmechanismen dar, da die Menge des Datenverkehrs nach Gilder's Gesetz schneller steigt als die Rechenleistung nach Moore's Gesetz. Diese kontinuierliche Zunahme der Datenmenge erhöht nicht nur den Aufwand zur Analyse der Daten in Firewalls oder Intrusion Detection Systemen, sondern kann auch von Angreifern genutzt werden, um immer stärkere Angriffe zu erzielen. Darüber hinaus stellt das Testen von Sicherheitsmechanismen in Netzen mit hoher Bandbreite eine Herausforderung an sich dar, da Testwerkzeuge weder dazu ausgelegt sind, eine so große Menge an Datenverkehr zu produzieren noch zu analysieren. In dieser Arbeit untersuchen wir zunächst das Testen von Anwendungen, Geräten und Algorithmen in Netze mit hoher Bandbreite als eine Herausforderung an sich. Wir analysieren den Datenverkehr, bauen ein Netzwerk Testframework und stellen Testdatensätze zur Verfügung die uns im weiteren Verlauf der Arbeit nützen. Folgend den erlangten Erkenntnissen arbeiten wir an der Verbesserung der Sicherheitsmechanismen, um die Herausforderungen von Netzen mit hoher Bandbreite zu bewältigen. Dabei konzentrieren wir uns auf zwei häufig verwendete Sicherheitsmechanismen, die in heutigen Netzwerken zu finden sind: Intrusion Detection Systeme (IDS) und Abwehrsysteme von Distributed Denial of Service (DDoS) Angriffen und untersuchen die Auswirkungen des steigenden Netzwerkverkehrs auf ihre Leistung. Wir untersuchen Möglichkeiten, den IDS-Durchsatz durch die Parallelisierung von Regular Expression Matching durch Hardwareunterstüzung zu erhöhen. Das Matching von regulären Ausdrücken ist eine Schlüsselkomponente der Payload-Analyse im IDS und stellt einen großen Engpass für deren Durchsatz dar. Darüber hinaus stellen wir ein Framework vor, das in der Lage ist, DDoS-Angriffe zu erkennen, Angreifer zu identifizieren und sich erfolgreich gegen Angriffe zu verteidigen. Das System bringt Verbesserungen in diesen Bereichen mit sich, mit besonderem Fokus auf die Identifizierung von slow DDoS-Angreifern und die Abwehr von Reflective Angriffen. Die entwickelte Software, die produzierten Datensätze und die dabei gewonnenen Erkenntnisse können Forschern, Aministratoren und Entwicklern helfen, ihre Sicherheitsmechanismen in Netzen zu verbessern und ihre Netze zuverlässiger gegen Angriffe zu schützen.dc.description.abstract
Languageen_USdc.language.iso
PublisherUniversität Ulmdc.publisher
LicenseStandarddc.rights
Link to license texthttps://oparu.uni-ulm.de/xmlui/license_v3dc.rights.uri
KeywordDDoSdc.subject
Dewey Decimal GroupDDC 004 / Data processing & computer sciencedc.subject.ddc
LCSHSecurity systemsdc.subject.lcsh
LCSHNetwork analysis (Planning) Computer programsdc.subject.lcsh
LCSHDenial of service attacksdc.subject.lcsh
TitleSecurity in high-bandwidth networksdc.title
Resource typeDissertationdc.type
Date of acceptance2020-06-05dcterms.dateAccepted
RefereeKargl, Frankdc.contributor.referee
RefereePras, Aikodc.contributor.referee
RefereeWesner, Stefandc.contributor.referee
DOIhttp://dx.doi.org/10.18725/OPARU-33154dc.identifier.doi
PPN1733728821dc.identifier.ppn
URNhttp://nbn-resolving.de/urn:nbn:de:bsz:289-oparu-33216-2dc.identifier.urn
GNDComputersicherheitdc.subject.gnd
GNDSicherheitdc.subject.gnd
GNDNetzwerkdc.subject.gnd
GNDDoS-Attackedc.subject.gnd
FacultyFakultät für Ingenieurwissenschaften, Informatik und Psychologieuulm.affiliationGeneral
InstitutionInstitut für Verteilte Systemeuulm.affiliationSpecific
InstitutionInstitut für Organisation und Management von Informationssystemenuulm.affiliationSpecific
Grantor of degreeFakultät für Ingenieurwissenschaften, Informatik und Psychologieuulm.thesisGrantor
DCMI TypeTextuulm.typeDCMI
CategoryPublikationenuulm.category
Bibliographyuulmuulm.bibliographie


Files in this item

Thumbnail

This item appears in the following Collection(s)

Show simple item record