Applicability of Emergence Engineering to Distributed Systems Scenarios

Genetic Programming can be effectively used to create emergent behavior for a group of autonomous agents. In the process we call Offline Emergence Engineering, the behavior is at first bred in a Genetic Programming environment and then deployed to the agents in the real environment. In this article we shortly describe our approach, introduce an extended behavioral rule syntax, and discuss the impact of the expressiveness of the behavioral description to the generation success, using two scenarios in comparison: the election problem and the distributed critical section problem. We evaluate the results, formulating criteria for the applicability of our approach.

Adaptive Real-time Anomaly-based Intrusion Detection using Data Mining and Machine Learning Techniques

Die zunehmende Vernetzung der Informations- und Kommunikationssysteme führt zu einer weiteren Erhöhung der Komplexität und damit auch zu einer weiteren Zunahme von Sicherheitslücken. Klassische Schutzmechanismen wie Firewall-Systeme und Anti-Malware-Lösungen bieten schon lange keinen Schutz mehr vor Eindringversuchen in IT-Infrastrukturen. Als ein sehr wirkungsvolles Instrument zum Schutz gegenüber Cyber-Attacken haben sich hierbei die Intrusion Detection Systeme (IDS) etabliert. Solche Systeme sammeln und analysieren Informationen von Netzwerkkomponenten und Rechnern, um ungewöhnliches Verhalten und Sicherheitsverletzungen automatisiert festzustellen. Während signatur-basierte Ansätze nur bereits bekannte Angriffsmuster detektieren können, sind anomalie-basierte IDS auch in der Lage, neue bisher unbekannte Angriffe (Zero-Day-Attacks) frühzeitig zu erkennen. Das Kernproblem von Intrusion Detection Systeme besteht jedoch in der optimalen Verarbeitung der gewaltigen Netzdaten und der Entwicklung eines in Echtzeit arbeitenden adaptiven Erkennungsmodells. Um diese Herausforderungen lösen zu können, stellt diese Dissertation ein Framework bereit, das aus zwei Hauptteilen besteht. Der erste Teil, OptiFilter genannt, verwendet ein dynamisches "Queuing Concept", um die zahlreich anfallenden Netzdaten weiter zu verarbeiten, baut fortlaufend Netzverbindungen auf, und exportiert strukturierte Input-Daten für das IDS. Den zweiten Teil stellt ein adaptiver Klassifikator dar, der ein Klassifikator-Modell basierend auf "Enhanced Growing Hierarchical Self Organizing Map" (EGHSOM), ein Modell für Netzwerk Normalzustand (NNB) und ein "Update Model" umfasst. In dem OptiFilter werden Tcpdump und SNMP traps benutzt, um die Netzwerkpakete und Hostereignisse fortlaufend zu aggregieren. Diese aggregierten Netzwerkpackete und Hostereignisse werden weiter analysiert und in Verbindungsvektoren umgewandelt. Zur Verbesserung der Erkennungsrate des adaptiven Klassifikators wird das künstliche neuronale Netz GHSOM intensiv untersucht und wesentlich weiterentwickelt. In dieser Dissertation werden unterschiedliche Ansätze vorgeschlagen und diskutiert. So wird eine classification-confidence margin threshold definiert, um die unbekannten bösartigen Verbindungen aufzudecken, die Stabilität der Wachstumstopologie durch neuartige Ansätze für die Initialisierung der Gewichtvektoren und durch die Stärkung der Winner Neuronen erhöht, und ein selbst-adaptives Verfahren eingeführt, um das Modell ständig aktualisieren zu können. Darüber hinaus besteht die Hauptaufgabe des NNB-Modells in der weiteren Untersuchung der erkannten unbekannten Verbindungen von der EGHSOM und der Überprüfung, ob sie normal sind. Jedoch, ändern sich die Netzverkehrsdaten wegen des Concept drif Phänomens ständig, was in Echtzeit zur Erzeugung nicht stationärer Netzdaten führt. Dieses Phänomen wird von dem Update-Modell besser kontrolliert. Das EGHSOM-Modell kann die neuen Anomalien effektiv erkennen und das NNB-Model passt die Änderungen in Netzdaten optimal an. Bei den experimentellen Untersuchungen hat das Framework erfolgversprechende Ergebnisse gezeigt. Im ersten Experiment wurde das Framework in Offline-Betriebsmodus evaluiert. Der OptiFilter wurde mit offline-, synthetischen- und realistischen Daten ausgewertet. Der adaptive Klassifikator wurde mit dem 10-Fold Cross Validation Verfahren evaluiert, um dessen Genauigkeit abzuschätzen. Im zweiten Experiment wurde das Framework auf einer 1 bis 10 GB Netzwerkstrecke installiert und im Online-Betriebsmodus in Echtzeit ausgewertet. Der OptiFilter hat erfolgreich die gewaltige Menge von Netzdaten in die strukturierten Verbindungsvektoren umgewandelt und der adaptive Klassifikator hat sie präzise klassifiziert. Die Vergleichsstudie zwischen dem entwickelten Framework und anderen bekannten IDS-Ansätzen zeigt, dass der vorgeschlagene IDSFramework alle anderen Ansätze übertrifft. Dies lässt sich auf folgende Kernpunkte zurückführen: Bearbeitung der gesammelten Netzdaten, Erreichung der besten Performanz (wie die Gesamtgenauigkeit), Detektieren unbekannter Verbindungen und Entwicklung des in Echtzeit arbeitenden Erkennungsmodells von Eindringversuchen.

1st Kassel Student Workshop on Security in Distributed Systems

With this document, we provide a compilation of in-depth discussions on some of the most current security issues in distributed systems. The six contributions have been collected and presented at the 1st Kassel Student Workshop on Security in Distributed Systems (KaSWoSDS’08). We are pleased to present a collection of papers not only shedding light on the theoretical aspects of their topics, but also being accompanied with elaborate practical examples. In Chapter 1, Stephan Opfer discusses Viruses, one of the oldest threats to system security. For years there has been an arms race between virus producers and anti-virus software providers, with no end in sight. Stefan Triller demonstrates how malicious code can be injected in a target process using a buffer overflow in Chapter 2. Websites usually store their data and user information in data bases. Like buffer overflows, the possibilities of performing SQL injection attacks targeting such data bases are left open by unwary programmers. Stephan Scheuermann gives us a deeper insight into the mechanisms behind such attacks in Chapter 3. Cross-site scripting (XSS) is a method to insert malicious code into websites viewed by other users. Michael Blumenstein explains this issue in Chapter 4. Code can be injected in other websites via XSS attacks in order to spy out data of internet users, spoofing subsumes all methods that directly involve taking on a false identity. In Chapter 5, Till Amma shows us different ways how this can be done and how it is prevented. Last but not least, cryptographic methods are used to encode confidential data in a way that even if it got in the wrong hands, the culprits cannot decode it. Over the centuries, many different ciphers have been developed, applied, and finally broken. Ilhan Glogic sketches this history in Chapter 6.

Global Optimization Algorithms and their Application to Distributed Systems

In this report, we discuss the application of global optimization and Evolutionary Computation to distributed systems. We therefore selected and classified many publications, giving an insight into the wide variety of optimization problems which arise in distributed systems. Some interesting approaches from different areas will be discussed in greater detail with the use of illustrative examples.

Femtosecond real-time probing of reactions. 12. Vectorial dynamics of transition states

Femtosecond time-resolved techniques with KETOF (kinetic energy time-of-flight) detection in a molecular beam are developed for studies of the vectorial dynamics of transition states. Application to the dissociation reaction of IHgI is presented. For this system, the complex [I---Hg---I](++)* is unstable and, through the symmetric and asymmetric stretch motions, yields different product fragments: [I---Hg---I](++)* -> HgI(X^2/sigma^+) + I(^2P_3/2) [or I*(^2P_l/2)] (1a); [I---Hg---I](++)* -> Hg(^1S_0) + I(^2P_3/2) + I(^2P_3/2) [or I* (^2P_1/2)] (1 b). These two channels, (1a) and (1b), lead to different kinetic energy distributions in the products. It is shown that the motion of the wave packet in the transition-state region can be observed by MPI mass detection; the transient time ranges from 120 to 300 fs depending on the available energy. With polarized pulses, the vectorial properties (transition moments alignment relative to recoil direction) are studied for fragment separations on the femtosecond time scale. The results indicate the nature of the structure (symmetry properties) and the correlation to final products. For 311-nm excitation, no evidence of crossing between the I and I* potentials is found at the internuclear separations studied. (Results for 287-nm excitation are also presented.) Molecular dynamics simulations and studies by laser-induced fluorescence support these findings.

Femtosecond real-time probing of reactions. 13. Multiphoton dynamics of IHgI

Real-time studies of the dynamics were performed on the reaction of HgI_2 in a molecular beam. Excitation was by either one or multi pump photons (311 nm), leading to two separate sets of dynamics, each of which could be investigated by a time-delayed probe laser (622 nm) that ionized the parent molecule and the fragments by REMPI processes. These dynamics were distinguished by combining the information from transients taken at each mass (HgI_2, HgI, I_2, Hg, and I) with the results of pump (and probe) power dependence studies on each mass. A method of plotting the slope of the intensity dependence against the pump-probe time delay proved essential. In the preceding publication, we detailed the dynamics of the reaction initiated by a one photon excitation to the A-continuum. Here, we present studies of higher-energy states. Multiphoton excitation accesses predissociative states of HgI_2, for which there are crossings into the symmetric and asymmetric stretch coordinates. The dynamics of these channels, which lead to atomic (I or Hg) and diatomic (HgI) fragments, are discussed and related to the nature of the intermediates along the reaction pathway.

Femtosecond real-time probing of reactions

Femtosecond reaction dynamics of OClO in a supersonic molecular beam are reported. The system is excited to the A^2A_2 state with a femtosecond pulse, covering a range of excitation in the symmetric stretch between v_1 = 17 to v_1 = 11 (308-352 nm). A time-delayed femtosecond probe pulse ionizes the OClO, and OClO^+ is detected. This ion has not been observed in previous experiments because of its ultrafast fragmentation. Transients are reported for the mass of the parent OClO as well as the mass of the ClO. Apparent biexponential decays are observed and related to the fragmentation dynamics: OClO+hv \rightarrow (OClO)^{(++)*} \rightarrow ClO+O \rightarrow Cl+O_2. Clusters of OClO with water (OClO)_n (H_2 0)_m with n from 1 to 3 and m from 0 to 3 are also observed. The dynamics of the fragmentation reveal the nuclear motions and the electronic coupling between surfaces. The time scale for bond breakage is in the range of 300-500 fs, depending on v_1; surface crossing to form new intermediates is a pathway for the two channels of fragmentation: ClO+O (primary) and Cl+O_2 (minor). Comparisons with results of ab initio calculations are made.