Gerhard Münz

An efficient waterfilling algorithm for multiple access OFDM

In this paper we present a novel and computationally efficient waterfilling algorithm for multiuser OFDM. This algorithm is based on the multiuser waterfilling theorem and determines the subcarrier allocation for a multiple access OFDM system. This approach maximizes the total bitrate under the constraints of user-individual power budgets. Once the subcarrier allocation has been established, the bit and power allocation for each user can be determined with a single-user bitloading algorithm, for which several implementations can be found in the literature. The presented iterative algorithm performs well, also with a high number of subchannels.

Real-time Analysis of Flow Data for Network Attack Detection

With the wide deployment of flow monitoring in IP networks, the analysis of the exported flow data has become an important research area. It has been shown that flow data can be used to detect traffic anomalies, DoS attacks, and the propagation of worms. In practice, anomalies and attacks should be detected as fast as possible in order to allow taking appropriate countermeasures. We describe the necessary steps from the raw flow data to the detection result in a systematic way. Furthermore, we present TOPAS, a system and framework for real-time analysis of flow data, that has been developed in order to meet these requirements. Performance measurements and various application examples point out the capabilities and benefits of our approach.

Packet sampling for worm and botnet detection in TCP connections

Malware and botnets pose a steady and growing threat to network security. Therefore, packet analysis systems examine network traffic to detect active botnets and spreading worms. However, with the advent of multi-gigabit link speeds, capturing and analysing header and payload of every packet requires enormous amounts of computational resources and is therefore not feasible in many situations. We address this problem by presenting an efficient packet sampling algorithm that picks a small number of packets from the beginning of every TCP connection. Bloom filters are used to store the required connection state information with constant amount of memory. Our analysis of worm and botnet traffic shows that the large majority of attack signatures is actually found in these packets. Thus, our sampling algorithm can be deployed in front of a detection system to reduce the amount of inspected packets without degrading the detection results significantly.

Flexible Flow Aggregation for Adaptive Network Monitoring

Network monitoring is a major building block for many domains in communication networks. Besides typical accounting mechanisms and the emerging area of charging in next generation networks, especially network security solutions rely on efficient and optimized monitoring. Network monitoring in high-speed networks is usually based on flow accounting and aggregation techniques represent a necessary enhancement in order to cope with increasing amounts of monitoring data that accrue with the ever-growing network capacities. In this paper, we propose a flexible flow aggregation mechanism that can be directly employed on a monitoring probe to reduce the memory and processing demands. Alternatively, it can work as a concentrator that collects flow data from multiple monitoring probes, combines and aggregates them and forwards the results to an analyzer. We verified and evaluated the aggregation mechanism by integrating it into our monitoring probe Vermont. Our approach opens new prospects for high-speed network monitoring and allows coping with special situations that cannot be treated satisfyingly by traditional flow accounting, such as distributed denial-of-service attacks causing very high numbers of flows. Aggregated flow data are an easy-to-handle form of packet information especially for anomaly detection and accounting issues

TCP traffic classification using markov models

This paper presents a novel traffic classification approach which classifies TCP connections with help of observable Markov models. As traffic properties, payload length, direction, and position of the first packets of a TCP connection are considered. We evaluate the accuracy of the classification approach with help of packet traces captured in a real network, achieving higher accuracies than the cluster-based classification approach of Bernaille [1]. As another advantage, the complexity of the proposed Markov classifier is low for both training and classification. Furthermore, the classification approach provides a certain level of robustness against changed usage of applications.

Distributed Network Analysis Using TOPAS and Wireshark

Distributed network analysis deals with the inspection of traffic observed at various locations in the network. The conventional approach is to deploy a full-fledged network analyzer at every observation point, which allows exhaustive examinations, but at the same time is a very costly solution. In this paper, we present an alternative approach using packet data exported by PSAMP and Flexible Netflow devices, such as routers, switches, and monitoring probes. Exported packet records are received by the real-time network analysis framework TOPAS and examined by the open-source network analyzer Wireshark. Monitoring devices are configured with a Monitor Manager in order to export only data needed to achieve the analysis goal. Apart from an architectural description, this paper contains the results of experimental performance evaluations and a discussion on the advantages and limitations of our approach.

Using Netconf for Configuring Monitoring Probes

Netconf is a new protocol for configuration and management of network devices, based on a flexible XML-encoded message format. Netconf aims to overcome the shortcomings of SNMP and CLIs that are predominantly used for configuration tasks. We demonstrate that Netconf is highly suitable for the configuration of IPFIX/PSAMP monitoring probes, as required in order to dynamically and remotely adapt to the varying needs of applications that receive and process monitoring data. In this regard, we present an XML-based data model covering all common configurable parameters for flow metering and aggregation, packet sampling, and data export. Finally, we describe how we implemented the Netconf-based configuration approach based on Web services and SOAP

TCP-Verkehrsklassifizierung mit Markov-Modellen

Zusammenfassung Die Klassifizierung von Verkehrsströmen anhand von Portnummern ermöglicht heutzutage keine zuverlässigen Aussagen bezüglich der ursächlichen Anwendungen. Auch die Verwendung von anwendungsspezifischen Signaturen stößt an ihre Grenzen, sobald der Verkehr verschlüsselt ist. Ein aktuelles Forschungsgebiet beschäftigt sich daher mit Verfahren, die es ermöglichen, Verkehrsströme mit Hilfe von alternativen Flow- und Paketeigenschaften einer Anwendung zuordnen zu können. In diesem Kontext stellen wir ein Klassifizierungsverfahren vor, welches die Abfolge von gesetzten TCP-Flags und Paketgrößen innerhalb einer TCP-Verbindung mit Hilfe von Markov-Modellen modelliert. Stehen Markov-Modelle für verschiedene Anwendungen zur Verfügung, kann eine neue TCP-Verbindung durch Bestimmung der maximalen Aposteriori-Wahrscheinlichkeit einer dieser Anwendungen zugeordnet werden. Ein Vergleich des Verfahrens mit dem viel zitierten Ansatz von Bernaille [Teixeira and Salamatian, Early application identification: 2006] zeigt, dass sich mit unserem Ansatz ähnlich gute und bei geeigneter Parametrisierung sogar bessere Klassifikationsergebnisse erzielen lassen.

Lasttransformation durch Rekonstruktion von Auftragslängen anhand von Paketdaten

Zusammenfassung Die Analyse von Verkehrsmessdaten erfolgt heutzutage meist auf der Basis von Statistiken über das Verkehrsaufkommen oder die Verkehrszusammensetzung sowie aufgrund von Eigenschaften einzelner Verkehrsströme oder Pakete. Außer Acht gelassen wird dabei häufig, dass der gemessene Verkehr das Ergebnis einer Interaktion oder eines Datenaustausches auf Anwendungsschicht ist. Dabei ist in vielen Fällen nicht die Analyse des Verkehrs von eigentlichem Interesse, sondern die Untersuchung des Zustands oder des Verhaltens der Anwendung. Durch Modellierung und Transformation von Lasten ist es möglich, den Zusammenhang zwischen Ankunftsprozessen auf der Anwendungsschicht und den resultierenden Ankunftsprozessen auf der Vermittlungsschicht zu beschreiben. Der vorliegende Beitrag beschäftigt sich mit der Umkehrung dieser Transformation und ihrer praktischen Umsetzung bei der Interpretation von Verkehrsmessungen. Ziel ist es, anhand von gemessenen Paketströmen auf Eigenschaften der ursprünglichen Auftragsströme auf Anwendungsschicht schließen zu können. Dazu werden insbesondere Methoden zur Rekonstruktion von Längeneigenschaften nach der Segmentierung bzw. Fragmentierung von Aufträgen vorgestellt und bewertet.

Netzbasierte Angriffs-und Anomalieerkennung mit TOPAS

Die Erkennung von Denial-of-Service(DoS)-Angriffen und Würmern in großen Netzwerken mit hohen Bandbreiten stellt eine besondere Herausforderung dar. Der Einsatz konventioneller IntrusionDetection-Systeme, wie z.B. Snort [MR99], ist dort problematisch, weil diese Netzwerkverkehr nur punktuell und nur bis zu einer gewissen Paketrate beobachten und untersuchen können. Das hier vorgestellte System TOPAS (Traffic flOw and Packet Analysis System) verarbeitet Verkehrsdaten, die von Netzwerkmonitoren über die Standardprotokolle Cisco Netflow [BC04] und IPFIX/PSAMP [BC06a, BC06b] exportiert werden. Die Netzwerkmonitore übernehmen dabei die Selektierung und Vorverarbeitung der Verkehrsdaten durch Paketfilterung, Sampling und Flow Accounting. Da Netzwerkmonitore auch für andere Aufgaben eingesetzt werden, z.B. zur Abrechnung des geflossenen Datenvolumens, lässt sich das System leicht in bestehende Netze integrieren. TOPAS ist in der Lage, sowohl Flow-Daten, als auch Paketdaten zu verarbeiten. Dabei beschreiben die Flow-Daten Verkehrsströme, die in letzter Zeit an einem Netzwerkmonitor beobachtet wurden. Sie können verwendet werden, um Angriffe zu entdecken, die Änderungen in der Zusammensetzung der Flows verursachen. Paketdaten dienen dagegen zur Untersuchung einzelner Pakete und deren Inhalte, z.B. durch signaturbasierte Erkennungsverfahren. Die Verkehrsdaten können von Monitoren stammen, die gleichzeitig verschiedene Stellen des Netzes überwachen. Dadurch können die Verkehrsdaten aus dem gesamten Netz mit einer einzigen Instanz des Systems auf Angriffe und Anomalien hin untersucht werden. In größeren Netzen und bei hohen Bandbreiten kann TOPAS aber auch verteilt betrieben werden, wenn das Verkehrsdatenvolumen die Verarbeitungskapazität einer Instanz übersteigt. TOPAS besteht aus zwei Teilen: Einem Kollektor, der das System mit Netzwerkverkehrsdaten versorgt, sowie einem Modulsystem, das es erlaubt, in getrennten Modulen verschiedene Analysealgorithmen parallel auf die Verkehrsdaten anzuwenden. Die Module sind dabei auf die Erkennung bestimmter Angriffe oder Anomalien spezialisiert, z.B. auf die Erkennung von DoS-Angriffen, PortScans oder gefälschten Absenderadressen. Die Module können dynamisch gestartet werden, was eine ereignisgesteuerte Analyse der vorliegenden Verkehrsdaten ermöglicht. So kann beispielsweise ein permanent aktiviertes Modul eine wenig rechenintensive Erstanalyse der Daten vornehmen und, sobald ein Verdacht auf einen Anomalie vorliegt, eine genauere Analyse durch ein nachgestartetes Modul veranlassen, um die Anomalie zu klassifizieren, weiter gehende Analysen einzuleiten oder die Analyse abzubrechen, wenn sich die Anomalie als ungefährlich herausstellt. TOPAS wird derzeit im Rahmen des EU-Projekts Diadem Firewall entwickelt und eingesetzt.