outline
play

Outline Core Concept and Goal Expressiveness vs - PowerPoint PPT Presentation

Jan 04, 2024 •257 likes •526 views

Outline Core Concept and Goal Expressiveness vs Representa6on Towards a Behavioral Dic6onary Example Behavior: Fumbling What is Fumbling? Why

  2. Outline ¡ • Core ¡Concept ¡and ¡Goal ¡ – Expressiveness ¡ vs ¡Representa6on ¡ • Towards ¡a ¡Behavioral ¡Dic6onary ¡ • Example ¡Behavior: ¡Fumbling ¡ – What ¡is ¡Fumbling? ¡ – Why ¡Fumbling? ¡ – Who ¡Fumbles? ¡ • Current ¡Study: ¡ID ¡Crawlers ¡Via ¡Fumbling ¡

  3. CORE ¡CONCEPTS ¡

  4. Expressiveness ¡Vs. ¡Representa6on ¡ • “If ¡I ¡just ¡had ¡ TCPDUMP ¡OF ¡ EVERYTHING ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ all ¡my ¡problems ¡ would ¡be ¡ solved” ¡ • Most ¡traffic, ¡on ¡ a ¡flow-­‑by-­‑flow ¡ basis ¡is ¡either ¡ garbage ¡or ¡ Record ¡ Coverage ¡ uninteres6ng ¡ Access ¡ Footprint ¡ Time ¡

  5. Goal ¡ • Develop ¡narra6ves ¡which ¡describe ¡ac6vity ¡ between ¡hosts ¡in ¡a ¡more ¡abstract ¡fashion ¡ – “This ¡is ¡fumbly” ¡ – “This ¡is ¡chaRy” ¡ • Ideally, ¡these ¡aRributes ¡will ¡be ¡ ¡ – Intui6ve ¡(an ¡analyst ¡can ¡grasp ¡them ¡by ¡looking ¡at ¡ a ¡log) ¡ – Rigorous ¡(derived ¡from ¡some ¡model ¡of ¡behavior) ¡ • Partly ¡iden6fica6on ¡applica6ons ¡by ¡behavior ¡

  6. A ¡Crude ¡Picture ¡ SMTP Servers Scanners Webcrawlers Normal Browsers 100 80 Connec6on ¡Failure ¡ Fumbling Parameter 60 40 20 0 0 20 40 60 80 100 Probability ¡of ¡Novelty ¡ Wandering Parameter

  7. ARributes ¡For ¡Narra6ves… ¡ • This ¡is ¡clustering, ¡just ¡on ¡different ¡axes ¡ • Possible ¡aRributes: ¡ – Probability ¡of ¡connec6on ¡failure ¡ – Locality ¡ – Probability ¡of ¡file ¡transfer ¡ – Packet ¡size ¡

  8. CASE ¡STUDY: ¡FUMBLING ¡

  9. What ¡is ¡Fumbling? ¡ • Intui6vely, ¡fumbling ¡is ¡a ¡ consistent ¡failure ¡to ¡ connect ¡with ¡a ¡host ¡ – Previously ¡used ¡to ¡iden6fy ¡BitTorrent ¡ [Collins06,BartleR07] ¡ • Challenge: ¡differen6a6ng ¡fumbling ¡ – From ¡scanning, ¡where ¡clients ¡probe ¡‘a ¡ lot’ ¡[Jung04] ¡ – From ¡normal ¡surfing, ¡where ¡clients ¡get ¡bored ¡and ¡ move ¡on ¡

  10. What ¡Fumbles? ¡ • Routed/automated ¡ • Scanners ¡don’t ¡ lookup ¡ fumble ¡– ¡they ¡seek ¡ out ¡everything ¡ – SMTP ¡ • Users ¡don’t ¡fumble ¡– ¡ – P2P ¡ they ¡lose ¡pa6ence ¡ – NNTP ¡ • Search ¡bots ¡

  11. Why ¡Care ¡About ¡Fumbling? ¡ • Scanning ¡false ¡posi6ves ¡ – Uncleanliness ¡Data ¡– ¡don’t ¡mark ¡yahoo ¡unclean ¡ – Differen6ate ¡scanners ¡in ¡a ¡naturally ¡noisy ¡set ¡-­‑-­‑ ¡ SMTP ¡ • Iden6fy ¡applica6ons ¡that ¡require ¡blind ¡lookup ¡ – Internal ¡p2p ¡applica6ons ¡(unknown ¡ports) ¡ – Google ¡doesn’t ¡publish ¡crawler ¡IP ¡addresses ¡

  12. CHARACTERIZING ¡FUMBLING ¡

  13. Source ¡Data ¡ • Task: ¡differen6ate ¡crawlers ¡by ¡quan6fying ¡ fumbling ¡ • 4 ¡days ¡of ¡crawling ¡data ¡ • Crawlers ¡iden6fied ¡by ¡IP ¡space ¡ – Cuil: ¡Google ¡“compe6tor”, ¡embarrassing ¡launch ¡last ¡ year ¡ – Ye6: ¡Naver.com ¡(Korean ¡search ¡engine) ¡ – “Twiceler”: ¡Some ¡searchbots ¡use ¡twiceler ¡as ¡an ¡ID, ¡ refers ¡to ¡twiceler ¡from ¡domains ¡cuil ¡says ¡are ¡not ¡its ¡ domains ¡ – Voila: ¡Voila.fr ¡search ¡engine ¡(French) ¡

  14. Basic ¡Numbers ¡ Engine ¡ ID# ¡ Flows ¡ IPs ¡ Failed ¡ Failed ¡IP ¡ Flow ¡ Cuil ¡ 1 ¡ 3760 ¡ 189 ¡ 504 ¡ 45 ¡ 2 ¡ 4945 ¡ 170 ¡ 195 ¡ 42 ¡ 3 ¡ 3128 ¡ 204 ¡ 1033 ¡ 43 ¡ Ye6 ¡ 4 ¡ 2635 ¡ 247 ¡ 84 ¡ 28 ¡ “Twiceler” ¡ 5 ¡ 5338 ¡ 185 ¡ 829 ¡ 51 ¡ Voila ¡ 6 ¡ 12808 ¡ 680 ¡ 2745 ¡ 75 ¡ 7 ¡ 12506 ¡ 679 ¡ 2306 ¡ 73 ¡ “Twiceler” ¡ 8 ¡ 2252 ¡ 172 ¡ 101 ¡ 45 ¡

  15. Consecu6ve ¡Failure ¡Rate ¡ • Number ¡of ¡6mes ¡that ¡a ¡failure ¡occurs ¡ repeatedly ¡ • Used ¡in ¡darkspace ¡analysis ¡– ¡scans ¡are ¡marked ¡ as ¡such ¡when ¡> ¡3-­‑5 ¡consecu6ve ¡failures ¡[Jung, ¡ 2004] ¡ • Fumblers ¡are ¡different ¡because ¡they ¡have ¡a ¡ nontrivial ¡success ¡rate ¡

  16. Visualizing ¡Sequen6al ¡Hypothesis ¡ Tes6ng ¡ Further ¡Informa6on ¡ Needed ¡ Category ¡1 ¡ Category ¡2 ¡

  17. Some ¡Failure ¡Plots ¡ 50 7 6 40 5 Consecutive Successes Consecutive Successes 30 4 3 20 2 10 1 0 0 0 0 100 100 200 200 300 300 400 400 500 500 Number of tests Number of tests

  18. Why ¡The ¡Mountains? ¡ Engine ¡ ID# ¡ FPR ¡(4 ¡failures) ¡ ¡ • In ¡the ¡long ¡run, ¡high ¡ success ¡rate: ¡ Cuil ¡ 1 ¡ 9.10% ¡ – 0.5% ¡failure ¡to ¡70% ¡in ¡ 2 ¡ 1.50% ¡ the ¡worst ¡case ¡ 3 ¡ 34.4% ¡ – Vs. ¡99.95% ¡failure ¡rate ¡ Ye6 ¡ 4 ¡ 10.3% ¡ for ¡scanners ¡ “Twiceler” ¡ 5 ¡ 17.9% ¡ • However, ¡failures ¡are ¡ common ¡mode ¡ Voila ¡ 6 ¡ 13.9% ¡ – IP ¡address ¡X ¡is ¡down ¡ 7 ¡ 1.00% ¡ – IP ¡address ¡X ¡is ¡hit ¡ “Twiceler” ¡ 8 ¡ 1.00% ¡ repeatedly ¡ ¡

  19. Permu6ng ¡Addresses ¡ 50 40 Consecutive Successes 30 20 10 0 0 100 200 300 400 500 Number of tests 20 15 Consecutive Successes 10 5 0 0 100 200 300 400 500 Number of tests

  20. Results ¡of ¡Permuta6on ¡ Engine ¡ ID Norm ¡ Random ¡ • Drops ¡expected ¡ # ¡ FPR ¡ FPR ¡ values ¡down ¡ Cuil ¡ 1 ¡ 9.10% ¡ 0.00% ¡ • “real6me” ¡ 2 ¡ 1.50% ¡ 0.00% ¡ detec6on ¡is ¡no ¡ 3 ¡ 34.4% ¡ 15.5% ¡ longer ¡valid ¡ ¡ Ye6 ¡ 4 ¡ 10.3% ¡ 0.00% ¡ • Fumbling ¡ “Twiceler” ¡ 5 ¡ 17.9% ¡ 0.00% ¡ requires ¡both ¡a ¡ Voila ¡ 6 ¡ 13.9% ¡ 0.00% ¡ presence ¡and ¡ 7 ¡ 1.00% ¡ 0.00% ¡ absence… ¡ “Twiceler” ¡ 8 ¡ 1.00% ¡ 0.00% ¡

  21. Locality ¡ • Propensity ¡of ¡users ¡to ¡sit ¡around ¡a ¡set ¡of ¡ common ¡hosts ¡[McHugh03] ¡ • Modeled ¡using ¡a ¡working ¡set: ¡ – LRU ¡stack, ¡fixed ¡size ¡ – Locality ¡is ¡then ¡the ¡probability, ¡when ¡an ¡address ¡is ¡ presented, ¡of ¡not ¡replacing ¡an ¡address ¡in ¡the ¡ working ¡set ¡

  22. Searchbots ¡Are ¡Local ¡ 1 0.9 0.8 Probability of Novelty (1 = Certainty) 0.7 0.6 0.5 0.4 0.3 0.2 0.1 0 • Searchbots ¡are ¡actually ¡fairly ¡local ¡ 0 20 40 60 80 100 Working Set Size (# of Elements) – Slightly ¡ more ¡localized ¡than ¡humans, ¡it ¡turns ¡out ¡ – CDNs? ¡ ¡Single-­‑page ¡sites? ¡ • Much ¡ more ¡local ¡than ¡scanners ¡

  23. Start ¡Classifying ¡ Local? ¡ Connects? ¡ Yes ¡ No ¡ Yes ¡ Surfer ¡ Searchbot ¡ No ¡ Hitlist ¡Scanner? ¡ Scanner ¡

  24. Leading ¡Us ¡Back ¡To ¡This ¡Picture… ¡ SMTP Servers Scanners Webcrawlers Normal Browsers 100 80 Connec6on ¡Failure ¡ Fumbling Parameter 60 40 20 0 0 20 40 60 80 100 Probability ¡of ¡Novelty ¡ Wandering Parameter

  25. Conclusions ¡ • Combining ¡locality ¡with ¡detec6on ¡failure ¡may ¡ provide ¡an ¡indicator ¡of ¡fumbling ¡ – Have ¡to ¡develop ¡a ¡suitable ¡ n ¡(working ¡set ¡size) ¡ – N ¡also ¡changes ¡over ¡6me ¡ • A ¡false ¡posi6ve ¡is ¡an ¡indicator ¡your ¡IDS ¡isn’t ¡done ¡ yet ¡ ¡ – We ¡can ¡differen6ate ¡searchbots ¡from ¡scanners ¡with ¡ more ¡informa6on, ¡but ¡it ¡may ¡cost ¡us ¡‘real6me’ ¡ – Whatever ¡‘real6me ¡scan ¡detec6on’ ¡is ¡worth… ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Ins Domingues Breast Cancer Workshop April 7th 2015 Outline Outline Outline Outline

Ins Domingues Breast Cancer Workshop April 7th 2015 Outline Outline Outline Outline

An automatic mammogram system: from screening to diagnosis Ins Domingues Breast Cancer Workshop April 7th 2015 Outline Outline Outline Outline Outline Outline Outline Outline Outline Outline Outline Outline Pectoral muscle

589 views • 45 slides
Presentation Preparation Outline Speech Outline Template ***Use this outline to guide you in

Presentation Preparation Outline Speech Outline Template ***Use this outline to guide you in

Presentation Preparation Outline Speech Outline Template ***Use this outline to guide you in preparing for your presentation; this outline is required. Title: I. Introduction (The speech actually starts here.) A. Attention Getter:

479 views • 3 slides
PT1 TMP Presentation Outline 1 Group Members: ___________________________________ Use this outline

PT1 TMP Presentation Outline 1 Group Members: ___________________________________ Use this outline

PT1 TMP Presentation Outline 1 Group Members: ___________________________________ Use this outline to organize your argument to create a logical flow of information and plan your presentation layout. This outline is worth a group grade (one copy

506 views • 3 slides
1 Web Application Development 2 3 Web Application Development CSS Outline An outline is a

1 Web Application Development 2 3 Web Application Development CSS Outline An outline is a

1 Web Application Development 2 3 Web Application Development CSS Outline An outline is a line that is drawn around elements, OUTSIDE the borders, to make the element "stand out". CSS has the following outline properties:

1.76k views • 117 slides
Outline Outline Background of the Network Vision Vision Aims Activities

Outline Outline Background of the Network Vision Vision Aims Activities

Asia Pacific Adaptation Network (APAN)- A k A key regional Initiative i l I iti ti Puja Sawhney Coordinator, APAN , Institute for Global Environmental Strategies Thimpu, Bhutan p 16 th November, 2011 Outline Outline Background of the

441 views • 9 slides
When (Low ) Pow er Really Matters When (Low ) Pow er Really Matters When (Low ) Pow er Really

When (Low ) Pow er Really Matters When (Low ) Pow er Really Matters When (Low ) Pow er Really

When (Low ) Pow er Really Matters When (Low ) Pow er Really Matters When (Low ) Pow er Really Matters When (Low ) Pow er Really Matters Yogesh K. Ramadass, AnanthaGroup Microsystems Technology Laboratory Outline Outline Outline Outline

507 views • 36 slides
Presentation Outline Worksheet You can use part or all of this outline to help you. This is YOUR

Presentation Outline Worksheet You can use part or all of this outline to help you. This is YOUR

Presentation Outline Worksheet You can use part or all of this outline to help you. This is YOUR personal presentation so you can create it however you want. These are just suggestions to help you get started. The purpose is to educate your

618 views • 3 slides
Outline 2 Outline 2 ZSim core simulation techniques Outline 2 ZSim core simulation

Outline 2 Outline 2 ZSim core simulation techniques Outline 2 ZSim core simulation

ZSim Tutorial MICRO 2015 S TATS AND C ONFIGURATION Core Models Po-An Tsai Outline 2 Outline 2 ZSim core simulation techniques Outline 2 ZSim core simulation techniques ZSim core structure I1D I1I Simple IPC 1 core

1.96k views • 120 slides
Outline Outline Motivation Motivation 1 1. Email Speech Acts 2. Modeling textual intention

Outline Outline Motivation Motivation 1 1. Email Speech Acts 2. Modeling textual intention

Modeling Intention in Email : Speech Acts, Information Leaks and User Ranking Methods p g Vitor R. Carvalho Carnegie Mellon University William Cohen Ramnath a at Tom Tom Jon Jon Balasubramanyan Mitchell Elsas Outline Outline

1.09k views • 65 slides
Session Outline Course themes imperative problem solving (think: outline form) C

Session Outline Course themes imperative problem solving (think: outline form) C

Session Outline Course themes imperative problem solving (think: outline form) C programming (close to the machine) storage and processing of data Linux operating system control of robots Demo Course Web site

780 views • 9 slides
Outline : Outline : Our method to perform periodicity search Candidates of the next Geminga The

Outline : Outline : Our method to perform periodicity search Candidates of the next Geminga The

Periodicity Sear Periodicity Search of ch of the the Geming Geminga-lik -like Pulsar e Pulsars Lupin Chun-Che Lin () Institute of Astronomy, National Central University, Taiwan Outline : Outline : Our method to perform periodicity

654 views • 19 slides
Outline for St Outline for St Outline for

Outline for St Outline for St Outline for

Outline for St Outline for St Outline for St Outline for St Francis Participation Francis Participation Francis Participation Francis Participation St Francis Overview Current Work on

120 views • 10 slides
RDF Beyond RDF Beyond Outline Outline RDFa RDFa Microformat Schema.org S h RDFa

RDF Beyond RDF Beyond Outline Outline RDFa RDFa Microformat Schema.org S h RDFa

RDF Beyond RDF Beyond Outline Outline RDFa RDFa Microformat Schema.org S h RDFa RDFa RDFa RDFa RDFa: A collection of attributes and processing p g rules for extending XHTML to support RDF. HTML contains structured data,

768 views • 37 slides
Appendix J: Capstone Presentation Outline Revised Spring 2016 CAPSTONE PRESENTATION OUTLINE This

Appendix J: Capstone Presentation Outline Revised Spring 2016 CAPSTONE PRESENTATION OUTLINE This

Appendix J: Capstone Presentation Outline Revised Spring 2016 CAPSTONE PRESENTATION OUTLINE This is a suggested outline only. Students should work closely with their Faculty Advisors to adapt this format the presentation to the needs of the

418 views • 4 slides
1 Course Outline Course Outline Course Outline Course Outline 3D Graphics Pipeline 3D

1 Course Outline Course Outline Course Outline Course Outline 3D Graphics Pipeline 3D

Goals Goals Foundations of Computer Graphics Foundations of Computer Graphics Systems: Write complex 3D graphics programs (Spring 2010) (Spring 2010) (real-time in OpenGL, offline raytracer, animation) CS 184, Lecture 1: Overview and

176 views • 5 slides
Outline Outline 1. About Cambodia 1. About Cambodia 2. Overview of disaster Hazards &

Outline Outline 1. About Cambodia 1. About Cambodia 2. Overview of disaster Hazards &

Sophak PHOEUN, National DRR Forum Coordinat or & Executive Assistant to Vice President of NCDM , National Committee for Disaster Management. Outline Outline 1. About Cambodia 1. About Cambodia 2. Overview of disaster Hazards &

346 views • 15 slides
Comparing Navigation Methods With Boe-Botics Alexander Davies, Jessy Gardner, Ethan Hurley, Brad

Comparing Navigation Methods With Boe-Botics Alexander Davies, Jessy Gardner, Ethan Hurley, Brad

Comparing Navigation Methods With Boe-Botics Alexander Davies, Jessy Gardner, Ethan Hurley, Brad Marion, Conor Mauro, Gianna Muto, Alexis Steelman, and Greta Waitz The Impacts of Remote Learning The Impacts of Remote Learning Attending the

208 views • 9 slides
For personal use only FY 2015 Analyst Presentation August 2015 Important Notice and Disclaimer

For personal use only FY 2015 Analyst Presentation August 2015 Important Notice and Disclaimer

For personal use only FY 2015 Analyst Presentation August 2015 Important Notice and Disclaimer For personal use only This presentation includes forward-looking statements. These can be identified by words such as may, should,

427 views • 26 slides
Education Event: Amazon Welcome! Introductions Structure Rules Share & Learn

Education Event: Amazon Welcome! Introductions Structure Rules Share & Learn

+ Education Event: Amazon Welcome! Introductions Structure Rules Share & Learn Ask questions Network Have fun! How GDC is Winning on Amazon Despite Feeling Like This Most Days Its Totally Worth It! PROTECT

641 views • 40 slides
The value of bidding on Edition your brand terms An offensive and defensive strategy for digital

The value of bidding on Edition your brand terms An offensive and defensive strategy for digital

Retail The value of bidding on Edition your brand terms An offensive and defensive strategy for digital marketers There is an ongoing debate about the inclusion of brand name keywords in search marketing campaigns. Performance of brand name

544 views • 37 slides
2016 Business Plan and Budget Presentation to NERC FAC David Godfrey Vice President and Chief

2016 Business Plan and Budget Presentation to NERC FAC David Godfrey Vice President and Chief

2016 Business Plan and Budget Presentation to NERC FAC David Godfrey Vice President and Chief Administrative Officer July 22, 2015 2016 Statutory Budget Overview Total budget increases $1.08 million (4.13%) Assessments No increase

231 views • 10 slides
AHS Board of Trustees Strategy Play Book Key Areas of Focus for Governance Information for Our

AHS Board of Trustees Strategy Play Book Key Areas of Focus for Governance Information for Our

AHS Board of Trustees Strategy Play Book Key Areas of Focus for Governance Information for Our Review CEO Performance Management Given the complexity of what we must oversee, our effective governance depends on keeping a final version of this

339 views • 12 slides
SEO (SEARCH ENGINE OPTIMIZATION) GOOGLE Overview 2 CBRE | VIETNAM MARKETING I Q4 2014 SEO

SEO (SEARCH ENGINE OPTIMIZATION) GOOGLE Overview 2 CBRE | VIETNAM MARKETING I Q4 2014 SEO

SEO (SEARCH ENGINE OPTIMIZATION) GOOGLE Overview 2 CBRE | VIETNAM MARKETING I Q4 2014 SEO OR GOOGLE ADS? 3 CBRE | VIETNAM MARKETING I Q4 2014 THE WAY GOOGLE WORKS They call it GoogleBot Googlebot is Google's web crawling bot

477 views • 19 slides
PART 1 The Speedbumps of Good Faith Effort (Pre-Award and Post-Award) 2016 Statewide DBE

PART 1 The Speedbumps of Good Faith Effort (Pre-Award and Post-Award) 2016 Statewide DBE

PART 1 The Speedbumps of Good Faith Effort (Pre-Award and Post-Award) 2016 Statewide DBE Conference October 13, 2016 Tina Samartinean, Contract Compliance and Training Officer Mayline Wahinepio, DBE Compliance Program Manager 1 Objectives

449 views • 43 slides

More recommend