Detecting obfuscated malware using reduced opcode set and optimised runtime trace

The research presented, investigates the optimal set of operational codes (opcodes) that create a robust indicator of malicious software (malware) and also determines a program’s execution duration for accurate classification of benign and malicious software. The features extracted from the dataset are opcode density histograms, extracted during the program execution. The classifier used is a support vector machine and is configured to select those features to produce the optimal classification of malware over different program run lengths. The findings demonstrate that malware can be detected using dynamic analysis with relatively few opcodes.

Reliable and energy efficient routing for ad hoc networks

In Mobile Ad hoc NETworks (MANETs), where cooperative behaviour is mandatory, there is a high probability for some nodes to become overloaded with packet forwarding operations in order to support neighbor data exchange. This altruistic behaviour leads to an unbalanced load in the network in terms of traffic and energy consumption. In such scenarios, mobile nodes can benefit from the use of energy efficient and traffic fitting routing protocol that better suits the limited battery capacity and throughput limitation of the network. This PhD work focuses on proposing energy efficient and load balanced routing protocols for ad hoc networks. Where most of the existing routing protocols simply consider the path length metric when choosing the best route between a source and a destination node, in our proposed mechanism, nodes are able to find several routes for each pair of source and destination nodes and select the best route according to energy and traffic parameters, effectively extending the lifespan of the network. Our results show that by applying this novel mechanism, current flat ad hoc routing protocols can achieve higher energy efficiency and load balancing. Also, due to the broadcast nature of the wireless channels in ad hoc networks, other technique such as Network Coding (NC) looks promising for energy efficiency. NC can reduce the number of transmissions, number of re-transmissions, and increase the data transfer rate that directly translates to energy efficiency. However, due to the need to access foreign nodes for coding and forwarding packets, NC needs a mitigation technique against unauthorized accesses and packet corruption. Therefore, we proposed different mechanisms for handling these security attacks by, in particular by serially concatenating codes to support reliability in ad hoc network. As a solution to this problem, we explored a new security framework that proposes an additional degree of protection against eavesdropping attackers based on using concatenated encoding. Therefore, malicious intermediate nodes will find it computationally intractable to decode the transitive packets. We also adopted another code that uses Luby Transform (LT) as a pre-coding code for NC. Primarily being designed for security applications, this code enables the sink nodes to recover corrupted packets even in the presence of byzantine attacks.

An intelligent clustering scheme for distributed intrusion detection in vehicular cloud computing

In recent years, vehicular cloud computing (VCC) has emerged as a new technology which is being used in wide range of applications in the area of multimedia-based healthcare applications. In VCC, vehicles act as the intelligent machines which can be used to collect and transfer the healthcare data to the local, or global sites for storage, and computation purposes, as vehicles are having comparatively limited storage and computation power for handling the multimedia files. However, due to the dynamic changes in topology, and lack of centralized monitoring points, this information can be altered, or misused. These security breaches can result in disastrous consequences such as-loss of life or financial frauds. Therefore, to address these issues, a learning automata-assisted distributive intrusion detection system is designed based on clustering. Although there exist a number of applications where the proposed scheme can be applied but, we have taken multimedia-based healthcare application for illustration of the proposed scheme. In the proposed scheme, learning automata (LA) are assumed to be stationed on the vehicles which take clustering decisions intelligently and select one of the members of the group as a cluster-head. The cluster-heads then assist in efficient storage and dissemination of information through a cloud-based infrastructure. To secure the proposed scheme from malicious activities, standard cryptographic technique is used in which the auotmaton learns from the environment and takes adaptive decisions for identification of any malicious activity in the network. A reward and penalty is given by the stochastic environment where an automaton performs its actions so that it updates its action probability vector after getting the reinforcement signal from the environment. The proposed scheme was evaluated using extensive simulations on ns-2 with SUMO. The results obtained indicate that the proposed scheme yields an improvement of 10 % in detection rate of malicious nodes when compared with the existing schemes.

Evaluation of Machine Learning Classifiers for Mobile Network Intrusion Detection Systems

Mobile malwares are increasing with the growing number of Mobile users. Mobile malwares can perform several operations which lead to cybersecurity threats such as, stealing financial or personal information, installing malicious applications, sending premium SMS, creating backdoors, keylogging and crypto-ransomware attacks. Knowing the fact that there are many illegitimate Applications available on the App stores, most of the mobile users remain careless about the security of their Mobile devices and become the potential victim of these threats. Previous studies have shown that not every antivirus is capable of detecting all the threats; due to the fact that Mobile malwares use advance techniques to avoid detection. A Network-based IDS at the operator side will bring an extra layer of security to the subscribers and can detect many advanced threats by analyzing their traffic patterns. Machine Learning(ML) will provide the ability to these systems to detect unknown threats for which signatures are not yet known. This research is focused on the evaluation of Machine Learning classifiers in Network-based Intrusion detection systems for Mobile Networks. In this study, different techniques of Network-based intrusion detection with their advantages, disadvantages and state of the art in Hybrid solutions are discussed. Finally, a ML based NIDS is proposed which will work as a subsystem, to Network-based IDS deployed by Mobile Operators, that can help in detecting unknown threats and reducing false positives. In this research, several ML classifiers were implemented and evaluated. This study is focused on Android-based malwares, as Android is the most popular OS among users, hence most targeted by cyber criminals. Supervised ML algorithms based classifiers were built using the dataset which contained the labeled instances of relevant features. These features were extracted from the traffic generated by samples of several malware families and benign applications. These classifiers were able to detect malicious traffic patterns with the TPR upto 99.6% during Cross-validation test. Also, several experiments were conducted to detect unknown malware traffic and to detect false positives. These classifiers were able to detect unknown threats with the Accuracy of 97.5%. These classifiers could be integrated with current NIDS', which use signatures, statistical or knowledge-based techniques to detect malicious traffic. Technique to integrate the output from ML classifier with traditional NIDS is discussed and proposed for future work.

Détection de la retransmission sélective sur les réseaux de capteurs

L'attaque de retransmission sélective est une menace sérieuse dans les réseaux de capteurs sans fil (WSN), en particulier dans les systèmes de surveillance. Les noeuds peuvent supprimer de manière malicieuse certains paquets de données sensibles, ce qui risque de détruire la valeur des données assemblées dans le réseau et de diminuer la disponibilité des services des capteurs. Nous présentons un système de sécurité léger basé sur l'envoi de faux rapports pour identifier les attaques de retransmission sélective après avoir montré les inconvénients des systèmes existants. Le grand avantage de notre approche est que la station de base attend une séquence de faux paquets à un moment précis sans avoir communiqué avec les noeuds du réseau. Par conséquent, elle sera capable de détecter une perte de paquets. L'analyse théorique montre que le système proposé peut identifier ce type d'attaque et peut alors améliorer la robustesse du réseau dans des conditions d'un bon compromis entre la fiabilité de la sécurité et le coût de transmission. Notre système peut atteindre un taux de réussite élevé d‟identification face à un grand nombre de noeuds malicieux, tandis que le coût de transmission peut être contrôlé dans des limites raisonnables.

Les pratiques rhétoriques associées à une stratégie de wedge politics : une analyse du débat public portant sur le projet de loi C-391

Ce mémoire étudie le phénomène de wedge politics sous un angle communicationnel, en proposant d’identifier et décrire les principales pratiques rhétoriques associées au déploiement d’une stratégie de wedge politics par les nombreux acteurs du débat public sur le projet de loi C-391, intitulé Loi modifiant le Code criminel et la Loi sur les armes à feu (abrogation du registre des armes d’épaule). La posture rhétorique que nous adoptons se traduit par une démarche méthodologique et des analyses imbriquées en quatre étapes: 1) l’élaboration d’une mise en perspective historique relativement élargie du débat public entourant le projet de loi C-391, 2) la recension des principaux acteurs et des discours qu’ils ont produits à un moment fort de ce débat, entre mai 2009 et mai 2011, 3) une première analyse et description générale de la dynamique rhétorique entre les acteurs du débat pendant cette période, et enfin, 4) une analyse systématique des discours échangés entre le 1er août 2010 et le 22 septembre 2010 nous permettant d’identifier et de décrire les principales pratiques rhétoriques employées par les acteurs. Les dix pratiques que nous avons relevées sont: l’appel à l’action, le scapegoating, le ciblage, la personnalisation du débat, le blâme, la dérision, l’attribution d’intentions malveillantes, la menace de représailles de la part des électeurs, l’exploitation des clivages et le contraste. En conclusion, nous discutons en quoi ces pratiques rhétoriques peuvent contribuer à l’atteinte des objectifs d’une stratégie de wedge politics.

Psychologie des leaders narcissiques organisationnels

Résumé Le premier article de la thèse se veut une revue systématique des données empiriques mettant en lumière les antécédents à la base de l’émergence du leadership narcissique dans les organisations, ses composantes psychologiques ainsi que ses incidences tant pour les organisations que pour leurs membres. Conséquemment, cette étude brosse initialement une recension détaillée des principaux facteurs idiosyncrasiques, culturels, environnementaux et structurels participant à la manifestation du leadership narcissique dans les organisations. Par la suite, elle en sonde la teneur en isolant l’existence de cinq composantes psychologiques, soit le charisme, l’influence intéressée, la motivation fallacieuse, l’inhibition intellectuelle et la considération simulée. Enfin, elle souligne les conséquences négatives de son actualisation dont les principales sont : la production de prises de décisions volatiles et risquées; la création d’un climat organisationnel toxique; la destruction de la confiance des subordonnés; la détérioration de l’efficacité organisationnelle; l’émergence d’une gestion dysfonctionnelle; et la manifestation de comportements non-éthiques. Le deuxième article s’avère une analyse comparative de deux types de leadership se révélant, de prime abord, trompeusement analogues. Ces deux types sont le leadership transformationnel et le leadership narcissique. Quoique se situant aux antipodes en matière de satisfaction de besoins (influence idéalisée versus influence intéressée), de promotion de visions (motivation inspirationnelle versus motivation fallacieuse), de réceptivité à la rétroaction d’autrui (stimulation intellectuelle versus inhibition intellectuelle) et de traitement des relations interpersonnelles (considération individualisée versus considération simulée), les leaderships transformationnel et narcissique partagent entre eux un élément commun : le charisme du leader. C’est précisément cette dernière caractéristique, conférant à son détenteur un puissant halo magnétisant, qui se révèle le creuset de la spéciosité du leadership narcissique opérant essentiellement lors des tout premiers contacts avec le leader. En fait, le charisme du leader narcissique sert en quelque sorte de fard, composé de charme et de fascination, masquant une décevante réalité psychologique et dont les propriétés captieuses s’étiolent rapidement. Le troisième article de la thèse est une étude conceptuelle examinant la structuration idiosyncrasique des criminels en col blanc ayant commis des fraudes financières se chiffrant à plusieurs dizaines de millions de dollars. Exploitant le croisement des deux dimensions fondamentales de l’agression, soit sa fonction (proactive ou réactive) et sa forme (directe ou indirecte), cette étude propose une taxonomie archétypique de différents types de psychopathie susceptible de mieux cerner la psychologie du criminel en col blanc d’envergure. L’agression est dite proactive lorsqu’elle est motivée par des impératifs de prédation indépendants de l’état émotionnel de l’individu. L’action de l’individu prédateur est intentionnelle et instrumentale. Elle vise l’atteinte d’objectifs préétablis avant l’actualisation de l’agression. Par contre, elle est considérée réactive lorsque la préservation de l’intégrité physique ou psychologique de l’individu est l’objet d’une menace émergeant de son environnement externe immédiat. Dans ce cas, la réaction agressive de l’individu est émotionnellement conditionnée. Par ailleurs, nonobstant la nature de sa fonction, l’agression peut s’exprimer directement ou indirectement. Elle est considérée directe lorsqu’elle a pour cible l’agressé en tant que tel. La forme physique d’agression peut être physique (sévices corporels) ou verbale (menaces et insultes). Par contre, lorsqu’elle emprunte des modes d’expression plus subtils, tels les rumeurs, l’humour malicieux et la tromperie, l’agression est dite indirecte. Le pairage des deux dimensions fondamentales de l’agression permet la construction d’un modèle d’analyse bidimensionnelle englobant quatre types de psychopathie, à savoir les psychopathies parasitique (préservation indirecte), colérique (préservation directe), cynégétique (prédation directe) et sympathique (prédation indirecte). C’est précisément cette dernière forme de psychopathie, le type sympathique caractérisé par un étaiement idiosyncrasique narcissico-machiavélique, qui traduit le mieux la psychologie des criminels en col blanc d’envergure. Enfin, le quatrième et dernier article de la présente thèse se propose d’explorer une problématique de recherche n’ayant reçu que très peu d’attention de la part des membres de la communauté scientifique, à savoir l’examen de l’adéquation d’un modèle dimensionnel du narcissisme pathologique inspiré du modèle développé par Roche, Pincus, Lukowitsky, Ménard et Conroy (2013). Au moyen d’une étude de cas exploratoire, il a été possible d’associer la vulnérabilité narcissique au segment décompensatoire (échec des stratégies inadaptées d’agrandissement de soi) du modèle théorique inspiré de celui de Roche et al. (2013) et ce, conformément à ses prescriptions. En effet, la comparaison des résultats de l’un des deux participants de l’étude, madame H, obtenus lors des deux saisies de données espacées d’un intervalle d’une année, indique une diminution de la vulnérabilité narcissique lors de la période de re-compensation. En outre, cette diminution est accompagnée de celle de la grandiosité narcissique. En somme, la relation positive entre les deux dimensions du narcissisme pathologique se révèle, sur un plan longitudinal, constante dans les deux segments – compensatoire (recours à des stratégies inadaptées d’agrandissement de soi) et décompensatoire – du modèle théorique inspiré de celui de Roche et al. (2013). Par ailleurs, les résultats obtenus auprès des deux participants à l’étude de cas, monsieur B et de madame H, s’avèrent éclairants eu égard à la prépondérance respective de chacune des dimensions (grandiosité et vulnérabilité) narcissiques en fonction des segments compensatoire et décompensatoire du modèle théorique inspiré de celui de Roche et al. (2013). Se trouvant en mode de compensation narcissique lors des deux saisies de données, monsieur B affiche une grandiosité narcissique supérieure à sa vulnérabilité narcissique. Cette constatation respecte en tous points les prescriptions théoriques du modèle. Quant à madame H, qu’elle soit en mode de compensation ou de décompensation narcissique (postulat non démontré eu égard aux prescriptions du modèle théorique utilisé), sa vulnérabilité narcissique demeure constamment plus élevée que sa grandiosité narcissique. Théoriquement, selon les prescriptions du modèle, la prépondérance devrait être observée chez la dimension « grandiosité narcissique » en période de compensation. De toute évidence, les données obtenues auprès de madame H s’écartent de ces prescriptions.

Sur la dimension éthique de l’argent : les phénomènes de fuite et de blanchiment de capitaux au Maroc

Full Text / Article complet

Framework for middleware executed on mobile devices

Die ubiquitäre Datenverarbeitung ist ein attraktives Forschungsgebiet des vergangenen und aktuellen Jahrzehnts. Es handelt von unaufdringlicher Unterstützung von Menschen in ihren alltäglichen Aufgaben durch Rechner. Diese Unterstützung wird durch die Allgegenwärtigkeit von Rechnern ermöglicht die sich spontan zu verteilten Kommunikationsnetzwerken zusammen finden, um Informationen auszutauschen und zu verarbeiten. Umgebende Intelligenz ist eine Anwendung der ubiquitären Datenverarbeitung und eine strategische Forschungsrichtung der Information Society Technology der Europäischen Union. Das Ziel der umbebenden Intelligenz ist komfortableres und sichereres Leben. Verteilte Kommunikationsnetzwerke für die ubiquitäre Datenverarbeitung charakterisieren sich durch Heterogenität der verwendeten Rechner. Diese reichen von Kleinstrechnern, eingebettet in Gegenstände des täglichen Gebrauchs, bis hin zu leistungsfähigen Großrechnern. Die Rechner verbinden sich spontan über kabellose Netzwerktechnologien wie wireless local area networks (WLAN), Bluetooth, oder UMTS. Die Heterogenität verkompliziert die Entwicklung und den Aufbau von verteilten Kommunikationsnetzwerken. Middleware ist eine Software Technologie um Komplexität durch Abstraktion zu einer homogenen Schicht zu reduzieren. Middleware bietet eine einheitliche Sicht auf die durch sie abstrahierten Ressourcen, Funktionalitäten, und Rechner. Verteilte Kommunikationsnetzwerke für die ubiquitäre Datenverarbeitung sind durch die spontane Verbindung von Rechnern gekennzeichnet. Klassische Middleware geht davon aus, dass Rechner dauerhaft miteinander in Kommunikationsbeziehungen stehen. Das Konzept der dienstorienterten Architektur ermöglicht die Entwicklung von Middleware die auch spontane Verbindungen zwischen Rechnern erlaubt. Die Funktionalität von Middleware ist dabei durch Dienste realisiert, die unabhängige Software-Einheiten darstellen. Das Wireless World Research Forum beschreibt Dienste die zukünftige Middleware beinhalten sollte. Diese Dienste werden von einer Ausführungsumgebung beherbergt. Jedoch gibt es noch keine Definitionen wie sich eine solche Ausführungsumgebung ausprägen und welchen Funktionsumfang sie haben muss. Diese Arbeit trägt zu Aspekten der Middleware-Entwicklung für verteilte Kommunikationsnetzwerke in der ubiquitären Datenverarbeitung bei. Der Schwerpunkt liegt auf Middleware und Grundlagentechnologien. Die Beiträge liegen als Konzepte und Ideen für die Entwicklung von Middleware vor. Sie decken die Bereiche Dienstfindung, Dienstaktualisierung, sowie Verträge zwischen Diensten ab. Sie sind in einem Rahmenwerk bereit gestellt, welches auf die Entwicklung von Middleware optimiert ist. Dieses Rahmenwerk, Framework for Applications in Mobile Environments (FAME²) genannt, beinhaltet Richtlinien, eine Definition einer Ausführungsumgebung, sowie Unterstützung für verschiedene Zugriffskontrollmechanismen um Middleware vor unerlaubter Benutzung zu schützen. Das Leistungsspektrum der Ausführungsumgebung von FAME² umfasst: • minimale Ressourcenbenutzung, um auch auf Rechnern mit wenigen Ressourcen, wie z.B. Mobiltelefone und Kleinstrechnern, nutzbar zu sein • Unterstützung für die Anpassung von Middleware durch Änderung der enthaltenen Dienste während die Middleware ausgeführt wird • eine offene Schnittstelle um praktisch jede existierende Lösung für das Finden von Diensten zu verwenden • und eine Möglichkeit der Aktualisierung von Diensten zu deren Laufzeit um damit Fehlerbereinigende, optimierende, und anpassende Wartungsarbeiten an Diensten durchführen zu können Eine begleitende Arbeit ist das Extensible Constraint Framework (ECF), welches Design by Contract (DbC) im Rahmen von FAME² nutzbar macht. DbC ist eine Technologie um Verträge zwischen Diensten zu formulieren und damit die Qualität von Software zu erhöhen. ECF erlaubt das aushandeln sowie die Optimierung von solchen Verträgen.

1st Kassel Student Workshop on Security in Distributed Systems

With this document, we provide a compilation of in-depth discussions on some of the most current security issues in distributed systems. The six contributions have been collected and presented at the 1st Kassel Student Workshop on Security in Distributed Systems (KaSWoSDS’08). We are pleased to present a collection of papers not only shedding light on the theoretical aspects of their topics, but also being accompanied with elaborate practical examples. In Chapter 1, Stephan Opfer discusses Viruses, one of the oldest threats to system security. For years there has been an arms race between virus producers and anti-virus software providers, with no end in sight. Stefan Triller demonstrates how malicious code can be injected in a target process using a buffer overflow in Chapter 2. Websites usually store their data and user information in data bases. Like buffer overflows, the possibilities of performing SQL injection attacks targeting such data bases are left open by unwary programmers. Stephan Scheuermann gives us a deeper insight into the mechanisms behind such attacks in Chapter 3. Cross-site scripting (XSS) is a method to insert malicious code into websites viewed by other users. Michael Blumenstein explains this issue in Chapter 4. Code can be injected in other websites via XSS attacks in order to spy out data of internet users, spoofing subsumes all methods that directly involve taking on a false identity. In Chapter 5, Till Amma shows us different ways how this can be done and how it is prevented. Last but not least, cryptographic methods are used to encode confidential data in a way that even if it got in the wrong hands, the culprits cannot decode it. Over the centuries, many different ciphers have been developed, applied, and finally broken. Ilhan Glogic sketches this history in Chapter 6.

An inverse method for determining source characteristics for emergency response applications

Following a malicious or accidental atmospheric release in an outdoor environment it is essential for first responders to ensure safety by identifying areas where human life may be in danger. For this to happen quickly, reliable information is needed on the source strength and location, and the type of chemical agent released. We present here an inverse modelling technique that estimates the source strength and location of such a release, together with the uncertainty in those estimates, using a limited number of measurements of concentration from a network of chemical sensors considering a single, steady, ground-level source. The technique is evaluated using data from a set of dispersion experiments conducted in a meteorological wind tunnel, where simultaneous measurements of concentration time series were obtained in the plume from a ground-level point-source emission of a passive tracer. In particular, we analyze the response to the number of sensors deployed and their arrangement, and to sampling and model errors. We find that the inverse algorithm can generate acceptable estimates of the source characteristics with as few as four sensors, providing these are well-placed and that the sampling error is controlled. Configurations with at least three sensors in a profile across the plume were found to be superior to other arrangements examined. Analysis of the influence of sampling error due to the use of short averaging times showed that the uncertainty in the source estimates grew as the sampling time decreased. This demonstrated that averaging times greater than about 5min (full scale time) lead to acceptable accuracy.

A Gradient-Type Method For Real-Time State Estimation Of Water Distribution Networks

Drinking water distribution networks risk exposure to malicious or accidental contamination. Several levels of responses are conceivable. One of them consists to install a sensor network to monitor the system on real time. Once a contamination has been detected, this is also important to take appropriate counter-measures. In the SMaRT-OnlineWDN project, this relies on modeling to predict both hydraulics and water quality. An online model use makes identification of the contaminant source and simulation of the contaminated area possible. The objective of this paper is to present SMaRT-OnlineWDN experience and research results for hydraulic state estimation with sampling frequency of few minutes. A least squares problem with bound constraints is formulated to adjust demand class coefficient to best fit the observed values at a given time. The criterion is a Huber function to limit the influence of outliers. A Tikhonov regularization is introduced for consideration of prior information on the parameter vector. Then the Levenberg-Marquardt algorithm is applied that use derivative information for limiting the number of iterations. Confidence intervals for the state prediction are also given. The results are presented and discussed on real networks in France and Germany.

Malware distributed collection and pre-classification system using honeypot technology

Malware has become a major threat in the last years due to the ease of spread through the Internet. Malware detection has become difficult with the use of compression, polymorphic methods and techniques to detect and disable security software. Those and other obfuscation techniques pose a problem for detection and classification schemes that analyze malware behavior. In this paper we propose a distributed architecture to improve malware collection using different honeypot technologies to increase the variety of malware collected. We also present a daemon tool developed to grab malware distributed through spam and a pre-classification technique that uses antivirus technology to separate malware in generic classes. © 2009 SPIE.

On data-centric misbehavior detection in VANETs

Detecting misbehavior (such as transmissions of false information) in vehicular ad hoc networks (VANETs) is a very important problem with wide range of implications, including safety related and congestion avoidance applications. We discuss several limitations of existing misbehavior detection schemes (MDS) designed for VANETs. Most MDS are concerned with detection of malicious nodes. In most situations, vehicles would send wrong information because of selfish reasons of their owners, e.g. for gaining access to a particular lane. It is therefore more important to detect false information than to identify misbehaving nodes. We introduce the concept of data-centric misbehavior detection and propose algorithms which detect false alert messages and misbehaving nodes by observing their actions after sending out the alert messages. With the data-centric MDS, each node can decide whether an information received is correct or false. The decision is based on the consistency of recent messages and new alerts with reported and estimated vehicle positions. No voting or majority decisions is needed, making our MDS resilient to Sybil attacks. After misbehavior is detected, we do not revoke all the secret credentials of misbehaving nodes, as done in most schemes. Instead, we impose fines on misbehaving nodes (administered by the certification authority), discouraging them to act selfishly. This reduces the computation and communication costs involved in revoking all the secret credentials of misbehaving nodes. © 2011 IEEE.

A malware detection system inspired on the human immune system

Malicious programs (malware) can cause severe damage on computer systems and data. The mechanism that the human immune system uses to detect and protect from organisms that threaten the human body is efficient and can be adapted to detect malware attacks. In this paper we propose a system to perform malware distributed collection, analysis and detection, this last inspired by the human immune system. After collecting malware samples from Internet, they are dynamically analyzed so as to provide execution traces at the operating system level and network flows that are used to create a behavioral model and to generate a detection signature. Those signatures serve as input to a malware detector, acting as the antibodies in the antigen detection process. This allows us to understand the malware attack and aids in the infection removal procedures. © 2012 Springer-Verlag.