Bu tezde YSA kullanılarak STS’ler oluşturulmuştur. Kullanılan YSA çok katmanlı algılayıcıları kullanmaktadır. MATLAB programının NN bileşeni ile oluşturulan YSA modeli LM algoritmalarını kullanmaktadır.
YSA oluşturulurken iki yöntem kullanılmıştır. Birinci yöntem tüm saldırıların tek bir YSA ile bulunması yöntemidir. İkinci yöntem ise her saldırı için farklı eğitim setleri ile eğitilmiş YSA’ların kullanılması yöntemidir. Her iki yöntemde kurulan YSA’lardan önceden bilinen ve bilinmeyen saldırıları yakalamaları beklenmiştir.
Birinci yöntemde hem bilinen hem de bilinmeyen saldırıların yakalanmasında yüksek başarım sağlanmıştır. Bilinen saldırıların bulunması deneylerinde normal, Neptune ve Pod saldırılarının başarım oranları sırası ile % 99.92, % 100 ve % 99.83’dür. Bilinen saldırıların bulunması deneylerinde ortalama başarım oranı % 99.91’dir. Benzer şekilde bilinmeyen saldırıların bulunması deneylerinde normal, Neptune, Pod ve SATAN saldırılarının başarım oranları sırası ile % 99.19, % 83.5, % 98 ve % 100’dür.
Bilinemeyen saldırıların bulunması deneylerinin ortalama başarım oranı ise % 98.40’dır. Birinci yönteme göre yapılan deneylerin sonuçları Çizelge 7.1’de özet halinde verilmiştir.
Çizelge 7.1 Ortalama Başarım Oranları
YSA Yapısı
İşlem Eleman
Sayısı
Veri
Seti Özellik Sayısı
Bilinen Saldırıların
Bulunması Ortalama
Başarım Oranı(%)
Bilinmeyen Saldırıların Bulunması
Ortalama Başarım Oranı(%)
ÇKA [12 40 40 1] Darpa’98 5 99.91 98.40
İkinci yöntemde ayrı ayrı oluşturulan YSA’lar bilinen saldırıyı veya normal trafiği yakalamalarına rağmen, bilinmeyen saldırıların bulunması deneylerinde farklı saldırı trafik değerlerini, önceden öğrendikleri saldırıların değerlerine yakınsamışlardır. Bu nedenle ikinci yöntem başarılı olmamıştır.
Normal ve tüm saldırıların bilgilerini tek bir eğitim setinden öğrenen YSA’lar çalışmamızda başarılı olmuştur. Bunun nedeni YSA’nın ağın tümünü öğrenmesindeki başarısıdır. Ağın tümünü öğrenen bir YSA karşılaştırmalı olarak ağdaki ağırlıkları özenle değiştirmekte ve olabildiğince ayırt edici olmaktadır.
Bir sinir ağının tek bir saldırıyı öğrenmesi daha kolaydır. Tüm eğitim seti içerisinde öğrenmesi gereken sadece bir saldırı veya normal trafik motifi olduğundan YSA kısa süre içerisinde eğitimini tamamlayacaktır. Bunu yapmak için YSA hedef (goal) değerine ulaşmak için birkaç yineleme (iterasyon) yapması gerekmektedir. Eğitilmiş YSA aslında test ortamında sadece kendisine öğretilen bir motifi bulmaya çalışacaktır.
Örneğin Neptune saldırısını öğrenen bir YSA test veri seti içerisindeki Pod ve normal saldırıları bir grup olarak algılarken Neptune saldırısını farklı bir grup olarak görecektir.
Ek 5’te verilen test veri setinde saldırı motiflerinin bir birlerine çok benzediği görülecektir. Dolayısı ile sadece öğrendiği saldırıyı diğer gruplardan ayırabilme yeteneğine sahip bir YSA bilinmeyen bir saldırı motifi ile karşılaştığında bu saldırıyı sadece kendisinden farklı olan gruba ait olduğunu düşünecektir. Sonuç olarak YSA eğitimini aldığı saldırı motifi dışında kalan tüm saldırıları ve normal trafiği tek bir değere yakınsamaktadır. Bu nedenle yaptığımız deneylerde tek tek saldırıları öğrenen ağlar başarısız olmuş ve tüm saldırılar aynı değerlere yakınsanmıştır.
Tüm ağı öğrenen YSA’lar başarım oranları yüksek olmalarına karşı ağın büyüklüğüne göre öğrenme süreleri daha fazla olduğu yapılan deneylerimizde gözlenmiştir. Tüm ağı öğrenen YSA’lar tek tek saldırıları öğrenen ağlara göre % 2.56 oranında daha uzun sürede eğitimlerini tamamlamaktadırlar. Ancak tüm saldırıları tek bir YSA ile öğrenme yönteminin başarım oranlarının yüksek olması nedeni ile bu zaman farkı önemli değildir.
Logaritmik sigmoid aktivasyon fonksiyonları kullanan YSA’lar bilinen saldırıları yakalamada başarılı olmalarına rağmen bilinmeyen saldırıları yakalamada başarılı olmadıkları gözlenmiştir. Altun vd. (2007) çalışmalarında belirttiği gibi hiperbolik tanjant sigmoid (tansig) ve doğrusal aktivasyon (purelin) fonksiyonlarını kullanan YSA’ların sınıflandırma problemlerindeki yüksek başarımları bu çalışmada da gözlenmiştir.
Bu çalışmanın benzer önceki çalışmalar ile karşılaştırılması aşağıda yapılmıştır.
Literatür incelemesinde YSA kullanılarak yapılan çalışmalardan bazılarının başarım oranları elde edilmiş ve Çizelge 7.2’de verilmiştir.
Çizelge 7.2 Önceki Çalışmaların Başarım Oranları Çalışmayı
Yapan
YSA Yapısı
İşlem Eleman Sayısı
Veri Seti Özellik Sayısı
Başarım Oranları(%)
Güven (2007) ÇKA [41 6 8 1] KDD'99 41 92,5
Cannady (1998) ÇKA [9 * * 1]
Cannady'in Oluşturduğu
Veri Seti 10 91
Ryan (1998) ÇKA [100 30 10] Kendi veri seti 100 96 Mukkamala (2002) ÇKA, DVM [41 40 40 1] KDD'99 41 99,25 Sammany (2007) ÇKA [50 30 3] DARPA '99 35 93,43
Çizelge 7.1’de verilen bu çalışmaya ait başarım oranlarının Çizelge 7.2’deki çalışmaların başarım oranlarından yüksek olduğu görülmüştür. Mukkamala et al. (2002) çalışmalarında elde ettiği % 99,25’lik başarım oranının ise çok sayıda özelliğin kullanılması ve ÇKA / DVM’nin birlikte çalıştırılmasından kaynaklandığı görülmüştür.
Çalışmada DARPA veri setinin farklı bir şekilde düzenlenerek kullanılması literatürde
edici özelliği olmayan DARPA veri seti özellikleri kullanılmamıştır. Özelliklerin azaltılması eğitim süresini azaltmasına karşın, oluşturulan YSA’ların daha fazla katman ve işlem elemanı kullanılmalarına neden olmuştur. Ancak bu çalışmada kullanılan veri setlerindeki IP adresleri bir özellik yerine dört adet özellik olarak tanıtılarak bu olumsuzluk giderilmeye çalışılmıştır. Veri setlerindeki IP adresleri 4 adet sekizliden (octet) oluştuğu için her sekizli 4 ayrı özellik olarak değerlendirilmiştir. Kaplantzis and Mani (2006), Güven (2007) ve Öksüz’ün (2007) çalışmalarından farklı olarak bu tez çalışmasında ilk kez IP adresi parçalanarak 4 ayrı özellik olarak YSA’ya öğretilmiştir.
Çalışmanın diğer farklı yönü ise bilgisayar ağlarının güvenliği için pratik bir çözüm üretmesidir. DARPA veri setleri ile eğitilen YSA’lar TCPdump programı ile gerçek internet ortamında toplanan verilerin test edilmesine olanak sağlamaktadır. Çünkü internet ortamında toplanan TCPdump veri paketleri düzenlenmiş DARPA veri setleri ile aynı yapıya sahiptir.
Çalışma boyunca karşılaşılan sıkıntılar ve bu sıkıntıları giderecek görüşlerimiz aşağıda sıralanmıştır.
Çalışmada oluşturulan YSA’ların eğitim sürelerinin uzun veya kısa olmaları kullanılan bilgisayarlara bağlıdır. İşlemci sayısı fazla olan bilgisayarlar ile yapılan denemelerde deney sürelerinin kısaldığı gözlenmiştir.
Çalışmada YSA’ların aynı eğitim veri setini kullanmalarına rağmen farklı zamanlarda eğitilmeleri halinde başarım oranlarının farklı olduğu gözlenmiştir. Başarım oranlarındaki bu farklılığın nedeni ise YSA’ların her yeni eğitimde saldırı motiflerini farklı ağırlıklar ile öğrenmeleridir. Bu yüzden çok sayıda deneme yapılarak başarım oranı yüksek YSA’ların tespit edilmesi ve bu eğitilmiş YSA’ların pratik uygulamalarda kullanılması gerekmektedir.
YSA’ların eğitimlerinde kullanılan veri setlerinin oluşturulması ve güncellenmesinde zorluklar yaşanmaktadır. Çok hızlı artan saldırıların tespiti ve bu saldırıların bulunduğu
veri setlerinin oluşturulması oldukça güç ve pahalıdır. Bu nedenle veri setleri günümüzde gönüllülerin ve ağ güvenlik şirketlerinin oluşturduğu kara listelerden (black list) temin edilmektedir. Hibrit bir yapıda oluşturulan STS’lerde bu veri setleri hem YSA’larda hem de imza tabanlı saldırı tespit mekanizmalarında kullanılmaktadır.
YSA’lar bilinmeyen saldırıların bulunmasında yüksek başarım sağlarken imza tabanlı saldırı tespit yöntemleri ise bilinen saldırıları yakalamada yüksek başarım sağlamaktadırlar.
KAYNAKLAR
Altun, H., Eminoğlu, U. ve Tezekici, B.S. 2002. MLP Yapay Sinir Ağlarında Öğrenme Sürecinin Aktivasyon Fonksiyonu ve İstatiksel Değişim Gösteren Giriş Verilerine Bağımlılığı. Eleco’2002 Bildiriler Kitabı, s.310-314, Bursa.
Anderson, D. and McNeill, G. 1992. Artificial Neural Networks Technology. A DACS State-of-the-Art Report, pp. 31, New York.
Anderson, J.P. 1980. Computer security threat monitoring and surveillance. Technical Report, Fort Washington, Pennsylvania, pp. 5-8, Washington.
Anonymous. MIT Lincoln Lab. 2008. Web Sitesi :
http://www.ll.mit.edu/mission/communications/ist/index.html, Erişim Tarihi : 10/04/2008.
Atabey, O. 2007. Temel Saldırı Teknikleri,
http://www.tcpsecurity.com/doc/genel/temelsaldiriteknikleri.html. Erişim Tarihi : 23/ 11/ 2007.
Bolat, S. ve Kalenderli, Ö. 2003. Levenberg-Marquardt Algoritması Kullanılan Yapay ve Sinir Ağı ile Elektrot Biçim Optimizasyonu. International XII. Turkish Symposium on Artificial Intelligence and Neural Networks – TAINN 2003, 18 Mart Üniversitesi, Çanakkale.
Cannady, J. 1998. Artificial neural networks for misuse detection. Proceedings of the 1998 National Information Systems Security Conference (NISSC'98), pp. 2-4, Arlington, VA.
Erol, M. 2005. Saldırı Tespit Sistemlerinde İstatistiksel Anormallik Belirleme Kullanımı. İTÜ Bilgisayar Müh. Bölümü, İstanbul.
Ghosh, A.K., Schwartzbard, A. and Schatz, A. 1999. Learning Program Behaviour for Intrusion Detection. USENIX Proceedings of the Workshop on Intrusion Detection and Network Monitoring, Santa Clara, California.
Ghosh, A.K. and Schwartzbard, A. 1999. A study in using neural networks for anomaly and misuse detection. USENIX Security Symposium, Proceedings of the 8th conference on USENIX Security Symposium - Volume 8, pp. 12, Washington, D.C.
Güven, E.N. 2007. Zeki Saldırı Tespit Sistemlerinin İncelenmesi, Tasarımı ve Gerçekleştirilmesi. Yüksek Lisans Tezi, Gazi Üniversitesi, Ankara.
Haykin, S. 1999. Neural Networks : A Comprehensive Foundation, Macmillan College Publishing Company, pp. 24, New York.
Ilgun, K., Kemmerer, R.A and Porras, A.P. 1995. State Transition Analysis: A Rule-Based Intrusion Detection Approach. IEEE Transactions on Software Engineering, Vol. 20.
Kaplantzis, S. and Mani, N. 2006. A Study on Classfication Techniques for Network Intrusion Detection. Monash University, Australia.
Kemmerer, R.A. and Vigna, G. 2002. Intrusion Detection: A Brief History and Overview, Security and Privacy, pp. 27-30.
Kleinrock, L. 1961. Information Flow in Large Communication Nets Proposal of PhD., MIT, Boston, MA.
Lichodzijewski, P., Zincir-Heywood, A. and Heywood, M. 2002. Dynamic intrusion detection using self organizing maps. Dalhousie University, Halifax, NS.
Lippmann, R., Haines, W.H., Fried, D.J., Korba, J. and Das, K. 2000. The 1999 DARPA Off-Line Intrusion Detection Evaluation. MIT Lincoln Laboratory Technical Report.
Moradi, M. and Zulkernine M. 2004. A Neural Network Based System for Intrusion Detection and Classification of Attacks. Natural Sciences and Eng. Research Council of Canada (NSERC) Reports, 148-04.
Mukkamala, S. 2002. Intrusion Detection Using Neural Networks and Support Vector Machine. Proceedings of the 2002 IEEE International Joint Conference on Neural
Networks (IJCNN). Honolulu, USA.
Öksüz, A. 2007. Unsupervised Intrusion Detection System. Master Thesis, Technical University of Denmark, Lyngby, Denmark.
Öztemel, E. 2006. Yapay Sinir Ağları. Papatya Yayıncılık, 232, İstanbul.
Patcha, A. 2006. Network Anomaly Detection with Incomplete Audit Data. Ph.D., Virginia Polytechnic Institute and State University, Blacksburg, Virginia.
Rosenblatt, F. 1958. Perceptrons . Psychological Review Vol. (65), No:6.
Ryan J., Lin, M. and Miikkulainen, R. 1998. Intrusion Detection with NN. The University of Texas, Austin.
Sammany, M., Sharawi, M., El-Beltagy, M. and Saroit, I. 2007. Artificial Neural Networks Architecture For Intrusion Detection Systems and Classification of Attacks. INFOS 2007 Fifth International Conference, Giza, Egypt.
Sazlı, M. H. ve Tanrıkulu, H. 2007. Saldırı tespit sistemlerinde YSA kullanımı. İnet-tr 2007 Konferansı Bildiri Kitabı, s. 211-216., Ankara.
Vesely, A. and Breclerova, D. 2004. Neural Networks in Intrusion Detection Systms.
Agriculture Economy, 50, 2004 (1), pp. 35-39. Prague, Czech Republic.
Vural, B.B. 2007. Yapay Sinir Ağları ile Finansal Tahmin. Ankara Üniversitesi, Yüksek Lisans Tezi, Ankara.
Wu, N. and Zhang, J. 2003. Factor analysis based anomaly detection. Information Assurance Workshop, pp. 108-115. West Point, New York.
Yurtoğlu, H. 2005. Yapay sinir ağları metodolojisi ile öngörü modellemesi: bazı
makroekonomik değişkenler için Türkiye örneği. Uzmanlık Tezi, Devlet Planlama Teşkilatı, Ekonomik Modeller ve Stratejik Araştırmalar Genel Müdürlüğü, Ankara, s. 3-43.
Zanero, S. 2005. Improving Self Organizing Map Performance for Network Intrusion Detection. International Workshop on Clustering High-Dimensional data and its applications, SDM 05 SIAM Conference On Data Mining, pp. 30-37.
EKLER
(Ekler CD ortamında verilmiştir)
EK 1 Doğrudan Eğitim Yönteminde Kullanılan Eğitim Veri Seti Bilinen ve Bilinmeyen Saldırıların Bulunması.
Deney -1 ve Deney -2 ‘de Kullanılan Eğitim Seti tumun.txt dosyası : 2031*12 Matrix
EK 2 İki Yöntemde Kullanılan Test Veri Seti - Bilinen Saldırıların Bulunması - 180*12 Matrix
Deney -1’de Kullanılan Eğitim Veri Seti test.txt dosyası : 180*12 Matris EK 3 İki Yöntemde de Kullanılan Test Veri Seti - Bilinmeyen Saldırıların bulunması -
180*12 Matrix
Deney -2 ve Deney -4 ’de Kullanılan Test Veri Seti testsatan.txt dosyası : 1324*12 Matris
EK 4 Saldırıları ayrı ayrı tanıyan eğitim yöntemi – Eğitim Veri Setleri
Deney -3 ve Deney -4’de Kullanılan Test Veri Setleri: norm.txt, nept.txt ve pod.txt dosyaları
EK 5 Başarılı Ağın Bulunması İçin Oluşturulan MATLAB Kodları EK 6 Başarılı Sinir Ağının Bulunması İçin Yapılan Testlerin Sonuçları