YÜKSEK L SANS TEZ Müh. Muhammed Ali AYDIN
Anabilim Dal : B LG SAYAR MÜHEND SL " Program : B LG SAYAR MÜHEND SL "
OCAK 2005
B LG SAYAR A"LARINDA SALDIRI TESP T Ç N STAT ST KSEL YÖNTEM KULLANILMASI
STANBUL TEKN K ÜN VERS TES FEN B L MLER ENST TÜSÜ
B LG SAYAR A"LARINDA SALDIRI TESP T Ç N STAT ST KSEL YÖNTEM KULLANILMASI
YÜKSEK L SANS TEZ Müh. Muhammed Ali AYDIN
(504011399)
OCAK 2005
Tezin Enstitüye Verildi;i Tarih : 27 Aral k 2004 Tezin Savunuldu;u Tarih : 07 Ocak 2005
Tez Dan @man : Prof. Dr. Bülent ÖRENC K
Di;er Jüri Üyeleri Prof. Dr. lhami YAVUZ (Maltepe Ü.) Yrd. Doç. Dr. A. Eima ETANER-UYAR
ÖNSÖZ
Tez çal malar m boyunca gösterdi i her türlü destek ve yard mdan dolay çok de erli hocam Prof.Dr. Bülent ÖRENC'K’e, desteklerini ve gayretlerini esirgemeyen oda arkada m Ara .Gör.Korkut Gökhan CEYLAN’a en içten dileklerimle te ekkür ederim.
Bu çal ma boyunca manevi deste ini esirgemeyen Ara .Gör. G.Zeynep GÜRKA2’a, de erli hocam Prof.Dr. 'lhami YAVUZ’a ve tüm arkada lar ma te ekkürü bir borç bilirim.
Ayr ca e itim hayat m boyunca maddi ve manevi desteklerini esirgemeyen ve her zaman yan mda olan aileme de çok te ekkür ederim.
Ç NDEK LER
KISALTMALAR vii
TABLO L STES viii
EEK L L STES ix
SEMBOL L STES x
ÖZET xi SUMMARY xiii
1. G R E 1
2. SALDIRI TESP T S STEMLER NE GENEL BAKIE 3
2.1 A ve Bilgi Güvenli i 3
2.1.1 Tehdit (Tehlike) 3
2.1.2 Zay fl k (Hassasiyet) 4 2.2 A ve Bilgi Güvenli inde Sald r Tespit Sistemlerinin Yeri 4
2.2.1 Sald r Tespitinin Tan m 4
2.2.2 Sald r Tespit Sistemlerinin Kullan lma Gerekçeleri 5 2.2.3 Güvenlik Duvarlar (Firewall) ve STS Aras ndaki Farklar 5 2.2.4 Sald r Tespit Sistemlerinin Avantaj ve Dezavantajlar 6 3. SALDIRI TESP T S STEMLER N N SINIFLANDIRILMASI 9
3.1 Zamana Göre STS’lerin S n fland r lmas 9
3.1.1 Aral klarla-Çal an STS’ler 9
3.1.2 Gerçek-Zamanl Çal an STS’ler 9
3.2 Bilgi Kaynaklar na Göre STS’lerin S n fland r lmas 9
3.2.1 A -Temelli STS’ler 9
3.2.2 Da t k-Temelli STS’ler 11
3.2.3 Sunucu-Temelli STS’ler 12
3.2.4 Uygulama-Temelli STS’ler 13
3.3 Analiz Yakla mlar na Göre STS’lerin S n fland r lmas 14 3.3.1 'mza Temelli Sald r Tespit Sistemleri 14 3.3.2 Anormallik Temelli Sald r Tespit Sistemleri 15 3.3.2.1 'statistiksel-Temelli Sald r Tespit Sistemleri 16 3.3.2.2 Veri Madencili i-Temelli Sald r Tespit Sistemleri 21
3.3.2.3 Yapay Sinir A -Temelli Sald r Tespit Sistemleri 22 3.3.2.4 Genetik Algoritmalar Kullanan Sald r Tespit Sistemleri 22 3.3.2.5 Ba kl k Sistemi-Temelli Sald r Tespit Sistemi 23 3.4 Sald r lara Verdikleri Yan tlara Göre STS’lerin S n fland r lmas 24
3.4.1 Aktif Yan tlar 24
3.4.2 Pasif Yan tlar 26
4. MZA TEMELL B R SALDIRI TESP T S STEM : SNORT 27
4.1 Snort’un Özellikleri 28
4.2 Snort’un Kötüye Kullan m Tespit Dili 29
4.3 Snort Mimarisi 30
4.4 A Trafi inin 'zlenmesi 32
4.5 Paketlerin Yakalanmas 33
4.5.1 Bir A Kart n n Kar k Modda Çal t r lmas 34
4.5.2 libpcap Kütüphanesi 34
4.5.3 Snort’un libpcap Kütüphanesine Ba lanmas 35
4.6 Paketlerin Çözümlenmesi 35
4.7 Paketlerin Depolanmas 36
4.8 Paketlerin ' lenmesi 38
4.8.1 Öni lemciler 38
4.8.2 Öni lemcilerden _decode Ailesi 39
4.8.3 frag2 Öni lemcisi 39
4.8.4 stream4 Öni lemcisi 40
4.8.5 Öni lemcilerden portscan Ailesi 41
4.8.6 Gizli Port Taramas 42
4.8.7 portscan Ç kt s 43
4.8.8 Di er Öni lemciler 43 4.9 Kurallar n Ayr t r lmas ve Tespit Motorlar 44
4.9.1 Kural Olu turucu 44
4.9.2 3B Ba l Liste Yap s 45
4.9.3 Snort Kural A ac n n Bile enleri 45
4.9.4 Paketlerin E le tirilmesi 46
4.10 Geçi Kurallar 48
4.11 Günlük Kurallar 48
4.12 Dinamik ve Aktivasyon Kurallar 49
4.13 Tespit Eklenti Yaz l mlar 49
4.14 Ç k ve Günlük Dosyas 50
4.14.1 Snort’u H zl Bir Paket Yakalay c s Olarak Kullan lmas 51
4.14.3 Diske Günlük Tutulmas 52
4.14.4 pcap Biçiminde Günlük Tutulmas 53
4.15 Sald r Tespit Modu 54
4.15.1 Alarm Modu 54
4.15.2 Günlük Modu 55
4.15.3 Günlük Biçimleri 55
4.15.4 Veritaban na Günlük Tutulmas 56
4.15.5 Snort Uç Nokta Raporlamas 57
5. STAT ST KSEL YAKLAEIMLA ANORMALL K TEMELL STS: PHAD 59
5.1 PHAD: Paket Ba l klar na Bak larak Anormallik Tespiti 59
5.1.1 Protokol Modeli 59
5.1.2 Zaman-Temelli Model 60
5.1.3 PHAD’ n Anormallik Tespitinde Kulland Özellikler 62
5.1.4 PHAD’ n Anormallik Tespitinde Getirdi i Yenilikler 63
5.1.5 Modelin 'yile tirilmesi 64
6. DENEYSEL ÇALIEMALAR 65
6.1 1998 ve 1999 Darpa Lincoln STS De erlendirmesi 65
6.1.1 IDEVAL De erlendirme Verisi 65
6.1.2 IDEVAL Verisinin Olu turuldu u A Topolojisi ve Simülasyonun
Detaylar 66
6.2 PHAD ile 'lgili Yap lan Çal malar n De erlendirilmesi 67 6.3 PHAD’ n Öni lemci Olarak Snort’a Eklenmesi 71
6.3.1 PHAD’ n Snort’a Eklenmesi 72
6.3.2 EVAL’in Snort’a Ç k Ek-Yaz l m Olarak Eklenmesi 73 6.4 Snort’un Anormallik Tespiti Öni lemcileri Eklenmeden Önceki Ba ar m 77 6.5 Öni lemci Olarak PHAD Eklenmi Snort’un Ba ar m 79 6.5.1 Afil’siz PHAD Eklenmi Snort’un Ba ar m 80 6.5.2 Afil’li PHAD Eklenmi Snort’un Ba ar m 83
7. SONUÇLAR VE YORUM 85
KAYNAKLAR 88 EKLER 92
EK A. SALDIRILARIN SINIFLANDIRILMASI 92
EK C. KARMA S'STEM'N ÇALI2MASI SONUCU ELDE ED'LEN AF'L’L'
PHAD( t3n/r)’IN EVAL ÇIKI2 DOSYASI 100
KISALTMALAR
STS : Sald r Tespit Sistemi
PHAD : Packet Header Anomaly Detection IDEVAL : Intrusion Detection Evaluation
DARPA : The Defense Advanced Research Projects Agency
EVAL : Evaluation
AFIL : Alarm Filter FA : False Alarms
HTTP : Hypertext Transfer Protocol ICMP : Internet Control Message Protocol IP : Internet Protocol
TCP : Transmission Control Protocol UDP : User Datagram Protocol DOS : Denial of Service R2L : Remote-to-local Attack
SNMP : Simple Network Management Protocol U2R : User-to-root Attack
TABLO L STES
Sayfa No
Tablo 4.1. Kullan l r Durumda Olan Di er Snort Öni lemcileri... 44
Tablo 6.1. Anormallik Skoru Hesab nda t1/2için Tespit Edilen Sald r Adedi ... 67
Tablo 6.2. Anormallik Skoru Hesab nda t için Tespit Edilen Sald r Adedi... 68
Tablo 6.3. Anormallik Skoru Hesab nda t2 için Tespit Edilen Sald r Adedi ... 69
Tablo 6.3. Anormallik Skoru Hesab nda t3 için Tespit Edilen Sald r Adedi ... 69
Tablo 6.4. Anormallik Skoru Hesab nda t4 için Tespit Edilen Sald r Adedi ... 70
Tablo 6.5. Anormallik Skoru Hesab nda t5 için Tespit Edilen Sald r Adedi ... 71
Tablo 6.6. PHAD( t3n/r)’ n EVAL’den Geçirilmi Ç kt s ... 74
Tablo 6.7. PHAD( tn / )’ n EVAL’den Geçirilmi Ç kt s ... 75 r Tablo 6.8. PHAD( tn / )’ n EVAL’den Geçirilmi Ç kt s (Afil’li) ... 76 r Tablo 6.9. PHAD( t3n/r)’ n EVAL’den Geçirilmi Ç kt s (Afil’li)... 76
Tablo 6.10. IDEVAL Veri Setinde Yer Alan 4. ve 5. Hafta tcpdump Dosyalar ve Ait Olduklar Günler. ... 77
Tablo 6.11. Snort Taraf ndan Tespit Edilen Sald r lar ... 78
Tablo 6.12. IDEVAL Veri Setinde Yer Alan 3. Hafta tcpdump Dosyalar ve Ait Olduklar Günler ... 80
Tablo 6.13. Sadece PHAD( t3n/r)’ n Tespit Etti i Sald r lar... 81
Tablo 6.14. Afil’li PHAD’ n, Afil’siz Snort+PHAD’dan Farkl Olarak Tespit Etti i Sald r lar... 84
EEK L L STES
Sayfa No
Eekil 3.1 : A -Temelli STS Kullan lan A Topolojisi ... 10
Eekil 3.2 : Da t k-Temelli STS A Topolojisi... 11
Eekil 3.3 : Sunucu-Temelli STS Kullan lan A Topolojisi ... 12
Eekil 4.1 : Snort Kural Yap s ... 29
Eekil 4.2 : Snort Bile enleri ... 31
Eekil 4.3 : Snort’un Paketleri ' leme Döngüsü... 32
Eekil 4.4 : Örnek A Yap s ... 33
Eekil 4.5 : TCP Oturumu ... 40
Eekil 4.6 : TCP Ba l ... 42
Eekil 6.1 : IDEVAL De erlendirme Verisinin 1999 Test Ortam Blok Diyagram .. 66
Eekil 6.2 : t1/2için Tespit Edilen Sald r Adedi-FA Da l m ... 68
Eekil 6.3 : t için Tespit Edilen Sald r Adedi-FA Da l m ... 68
Eekil 6.4 : t2 için Tespit Edilen Sald r Adedi-FA Da l m ... 69
Eekil 6.4 : t3 için Tespit Edilen Sald r Adedi-FA Da l m ... 70
Eekil 6.5 : t4 için Tespit Edilen Sald r Adedi-FA Da l m ... 70
Eekil 6.6 : t5 için Tespit Edilen Sald r Adedi-FA Da l m ... 71
Eekil 6.7 : Snort ile Tespit Edilen Sald r lar n Günlere Göre Da l m ... 78
Eekil 6.8 : Snort+PHAD ile Tespit Edilen Sald r lar n Günlere Göre Da l m (Afil’siz) ... 81
Eekil 6.9 : Snort+PHAD ile Tespit Edilen Sald r lar n Günlere Göre Da l m (Afil’li)83 Eekil 7.1 : t-FA De i imine Göre Tespit Edilen Sald r Adedi Da l m ... 85
Eekil 7.2 : Geli tirilen Karma Sistemin Günlere Göre Tespit Etti i Sald r lar (Afil’siz)... 86 Eekil 7.3 : Geli tirilen Karma Sistemin Günlere Göre Tespit Etti i Sald r lar (Afil’li)87
SEMBOL L STES
t : En son anormalli in görüldü ü zaman üzerinden geçen süre n : Herbir alan için uygun türden paketlerin say s
r : E itim süresi boyunca normal de erlerin say s
C : Küme say s
B LG SAYAR A"LARINDA SALDIRI TESP T Ç N STAT ST KSEL YÖNTEM KULLANILMASI
ÖZET
Bilgisayarlar n kritik sistemlerde kullan m n n artmas n n bir sonucu olarak, verileri ve bilgisayar sistemlerini kas tl ve kötü niyetli müdahalelerden koruma sanat ve bilimi olan bilgisayar güvenli i giderek daha çok ilgi çeken bir konu haline gelmektedir. Bu amaçla parolalar, güvenlik duvarlar , ifreleme ve say sal imza gibi pek çok savunma yöntemi zaten mevcuttur. Ancak sald rganlar n er geç sistemlere girmelerini engellemek hala çok zordur. 2u anda güvenlik ihlallerini tamamen engellemek imkans z gözükmektedir. Fakat sistemlere girme giri imlerinin veya ba ar l s zmalar n yakalanmaya çal lmas biraz daha fazla güvenlik sa lanmas na katk da bulunabilir. Bu amaca yönelik ara t rma konusuna Sald r Tespiti (ST) ad verilir.
Sald r Tespit Sistemleri (STS’ler), bilgisayar sistemlerinde veya bilgisayar a lar nda olu an olaylar otomatik olarak görüntüleyerek güvenlik sorunlar olu turabilecek durumlar analiz eden yaz l m veya donan m sistemleridir.
Son y llarda bilgisayar a lar nda olu an sald r lar n say s n n ve ciddiyetinin artmas ndan dolay , sald r tespit sistemleri organizasyonlar n güvenlik altyap lar n n tamamlay c bir unsuru olarak ön plana ç kmaya ba lam lard r. Bilgisayar a lar na yetkisiz eri imler, sald r olarak nitelendirilmektedir ve bunlar güvenlik mekanizmalar n geçerek gizlilik, bütünlük, eri ilebilirlik üçlüsüyle sa lanan güvenli ortam tehdit etmektedirler.
STS’ler imza-temelli ve anormallik-temelli olarak tasarlanabilir. 'mza-temelli sistemler, yaln zca önceden bilinen sald r lar tespit ederken, anormallik-temelli sistemler ç kar msal yöntemler kullanmalar itibariyle henüz bilinmeyen sald r lar da tespit edebilmektedirler.
Bu çal mada bilgisayar a lar na yap lan sald r lar tespit eden bir STS geli tirilmi tir. Bunun için yukar da bahsi geçen yöntem kullan lm t r. Sistemin imza-temelli tespit yapan k sm , aç k kaynak kodlu olarak geli en Snort program d r.
Bu programa anormallik-temelli yakla mlar n bir uygulamas olan istatistiksel yöntem geli tirilip eklenerek karma bir sistem olu turulmas hedeflenmi tir.
Geli tirilen istatistiksel yöntemin ve olu turulan karma sistemin performans , MIT Lincoln Laboratuarlar ndaki STS de erlendirmesinde kullan lan a trafik verisi üzerinde(IDEVAL) test edilmi tir. Bu test; yöntemlerin iyile tirilmesini, yaln zca imza-temellide tespit edilen sald r lara ek olarak karma sistemle tespit edilebilen sald r lar n say s n bulmay ve bu sayede karma STS’lerin daha iyi tespit yapt n göstermeyi hedeflemektedir.
USE OF STATISTICAL METHOD FOR COMPUTER NETWORK INTRUSION DETECTION
SUMMARY
As a consequence of the increased use of computers for critical systems, computer security, which is the art and science of protecting data and computer systems from intentional, malicious intervention, is attracting increasing attention. Many methods of defence already exist such as passwords, firewalls, encryption and digital signatures. However, it is still very difficult to keep the attackers away from entering the systems eventually. Currently, completely preventing breaches of security seems to be impossible. However, trying to detect intrusion attempts or possible intrusions to the systems may be useful to achieve a higher level of security. This field of research is called Intrusion Detection (ID).
Intrusion Detection Systems (IDS) are hardware and software systems that monitor computer networks and systems for violations of security policy.
Nowadays IDS has become a complementary element for security infrastructures of the organizations as the number of attacks committed to computer networks and their threats grew amazingly. Intrusions to computer networks are considered as attacks and these pass through security mechanisms and threaten the secure place that is provided by confidentiality, integrity, and availability.
IDS can be designed as signature-based or anomaly-based. Signature-based systems can only detect attacks that are known before whereas anomaly-based systems can detect unknown attacks as they use heuristic methods.
In this study an IDS is developed in order to detect attacks that has been committed to computer networks. The method mentioned above are used in order to develop the desired hybrid-IDS. Snort is chosen as the signature-based element of the newly developed system because it is open-source software. Statistical method of anomaly detection approach is improved and built into this open-source software and the hybrid system is obtained.
Newly developed statistical method and hybrid system’s performance is tested on the network traffic data (IDEVAL) that is used in MIT Lincoln Laboratories IDS evaluation in 1999. This test purposes to improve methods and to find how many attacks are additionally detected with newly developed hybrid system compared to signature-based system on its own.
1. G R E
Günümüzde 'nternet’in yayg nla mas ve güvenlik gerektiren i lerin 'nternet kanal yla yürütülmesi sebebiyle bilgisayar a lar n n güvenli inin sa lanmas hayati önem arzeden bir durum haline gelmi tir. Yaz l mlar n gün geçtikçe daha büyük boyutlara ula mas sonucunda yaz l msal hatalar ba ta olmak üzere çe itli sebeplerle bilgisayar güvenli inin tehdit edilerek de erli ve ki iye özel bilgilerin yetkisiz ki ilerin eline geçmesi ve kötüye kullan lmas tehlikesi ba göstermi tir.
Bilgisayar a lar na yap lan sald r lar önlemek için kullan lan donan msal veya yaz l msal bir sistem olan güvenlik duvarlar bir ya da daha fazla a aras na yerle tirilen ve bu a lar aras nda belirlenen bir politika çerçevesinde izolasyon sa layarak onlar birbirinden yal tan bir a bile enidir. Ancak güvenlik duvarlar yerel a d ndan gelen sald r lar önlemesine ra men, sald r lar n ço unun a içerisinden düzenlendi i göz önüne al nd nda yetersiz kald aç kça görülmektedir.
Bunlar n önüne geçmek, en az zararla kurtarmak ya da güvenlik sorunlar n bularak ayn hatalar n tekrarlanmas n önlemek için Sald r Tespit Sistemleri (Intrusion Detection Systems) kullan lmaktad r. Sald r Tespit Sistemleri (STS’ler), bilgisayar sistemlerinde veya bilgisayar a lar nda olu an olaylar otomatik olarak görüntüleyerek güvenlik sorunlar olu turabilecek durumlar analiz eden yaz l m veya donan m sistemleridir.
“2003 CSI/FBI Computer Crime And Security Survey” incelemesinde 1999 y l itibariyle STS kullan m %42 iken, 2003 y l nda bu oran %73’lere ula m t r. Bu da STS’lerin güvenlik teknolojileri aras ndaki yerinin ne derece önemli oldu unu göstermektedir. Bu önem göz önüne al nd nda bir STS geli tirmeye karar verildi. STS’ler analiz yakla mlar na göre kural-temelli(imza-temelli) ve temelli(davran -temelli) olmak üzere ikiye ayr lmaktad r. Bu çal mada anormallik-temelli yakla mlar n bir uygulamas olan istatistiksel yöntem incelenerek deneysel olarak geli tirilmi tir. Ve ayn zamanda her iki sistemin(imza-temelli ve anormallik-temelli) avantajlar n birle tirerek daha iyi bir sistem elde edilmeye (karma STS) çal lm t r.
Bölüm 2’de bilgisayar güvenli inin tan m yap larak Sald r Tespiti, Sald r Tespit Sistemleri(STS), a ve bilgi güvenli inde STS’lerin yeri anlat lm t r.
Bölüm 3’te zamana göre, bilgi kaynaklar na göre, analiz yakla mlar na göre STS’lerin s n fland r lmas , analiz yakla mlar ndan anormallik tespiti yakla mlar ve bunlar n s n fland r lmas üzerinde durulmu tur.
Bölüm 4’te imza temelli bir sald r tespit sistemi olan Snort’un yap s incelenerek Snort mimarisi anlat lm t r.
Bölüm 5’de bilgisayar a lar nda sald r tespiti için istatistiksel temelli yakla mlardan PHAD incelenmi ve bu modellerin iyile tirilmesi çal malar üzerinde durulmu tur. Bölüm 6’da MIT Lincoln Laboratuarlar ’nda STS’lerin birbirleriyle kar la t r larak de erlendirilebilmesi için olu turulan IDEVAL veri seti anlat lm t r. Model(PHAD) üzerinde yap lan çal malar n veri seti üzerindeki ba ar m incelenmi ve bunlar n 'mza-temelli Snort’a öni lemci olarak eklenmesine de inilmi tir. IDEVAL veri seti üzerinde yaln zca Snort ve Snort+PHAD için de erlendirme yap larak elde edilen ç k lar, Alarm Filtresinden(Afil) geçirilmeden ve geçirilerek tespit edilen sald r lar ç kar lm t r. Bunlar n performans ba ar mlar grafiklerle verilerek sonuçlar verilmi tir.
Bölüm 7’de, istatistiksel temelli STS olan PHAD’ n deneysel olarak iyile tirilmesinin de erlendirilmesi yap lm ve geli tirilen karma sistem (Snort+PHAD) sayesinde tespit edilen sald r adedinin hem Alarm Filtreli(Afil’li) hem de Alarm Filtresiz(Afil’siz) durumlar için grafikleri ç kar lm t r. Anormallik tespiti için eklenen öni lemcinin Snort’a katk s de erlendirilerek sonuçlar yorumlanm t r.
2. SALDIRI TESP T S STEMLER NE GENEL BAKIE
2.1 A; ve Bilgi Güvenli;i
Bilgisayar Güvenli i formal olarak; gizlilik, bütünlük ve eri ilebilirlik üçlüsüyle tan mlan r [1]. Bunlardan birinin bile eksik olmas güvenli in tehlikeye girmesi demektir.
Gizlilik : Giri için kullan c lar n yetkilendirilmesini s n rlayan bilgiye giri iste idir.
Bütünlük : De i imden korunmu olan bilgi iste idir. Bilinen ço u Web sitesi sald r lar n n sebebi bütünlü ün bozulmas d r.
Eri ilebilirlik : Bilgi ve sistem kaynaklar n n i e devam etme iste idir. Yetkili kullan c lar kaynaklara gerek duydu unda sisteme giri yapabilmelidir.
2.1.1 Tehdit (Tehlike)
Bir tehdit herhangi bir durum veya verinin, bir sisteme potansiyel olarak zarar vermesi olarak tan mlan r. Bu zarar açma, y k m biçiminde veya verinin de i tirilmesi, veri giri inin engellenmesi biçiminde olabilir. Önemli tehdit kategorileri; bilgisayar sald rganlar (hacker), virüsler, yang n, sel, y ld r m dü mesi…..vb. olarak say labilir. Sisteme yap lan tehditler dahili ve harici, kas tl veya tesadüfi olabilir. Tehditleri s n fland rman n ve baz tehdit kaynaklar n s n fland rman n çe itli yollar vard r. 'lk model 3 kategori ile gösterilir [1]:
Dahili Deliciler: Sistemin yetkisiz kullan c lar d r. Harici Deliciler: Sistemin yetkili kullan c lar d r.
Maskeleyiciler: Kimlik no’sunu benimserler ve di erlerinin güven belgesine yetki verirler.
Gizli Kullan c lar: Denetim ve Gözetleme önlemlerinden ba ar l olarak kaçarlar.
Misfeasor: Kendi ayr cal klar n a an yetkili kullan c lard r.
Tehdit, bir sistemin güvenlik yönetiminin herhangi bir kas tla ihlalidir. Bu tan m Anderson [2,3] modeli içindeki tehditleri kapsar. Bu tehditler unlar içerir:
Bir veriyi elde etmeye veya sisteme giri yapmay deneyen insanlar,
Programlanm tehditler (yaz l m sald r lar ,virüsler, truva atlar , java appletleri),
Bir sonraki sald r da sömürebildikleri hassasiyetin ara t rmas içindeki sistemi tarayan ve ara t ran insanlar.
2.1.2 Zay fl k (Hassasiyet)
Bilgisayar sistemlerinde olu an güvenlik problemleri varolan zay fl klardan kaynaklan r. Bu zay fl klar bazen teknik hassasiyetler olarak adland r l r. Di er zay fl klar; güvenlik yönetiminde, prosedürlerde, kontrollerde, yap land rmada veya yönetim hassasiyetinin sahas ndad r. Tehdit ve zay fl k olu umda akraba olmalar na ra men ayn de ildirler. Tehdit bir veya daha fazla zay fl n sömürülmesinin sonucudur. STS’ler her ikisini te his etmek ve kar l k vermek için tasarlanm t r [1]. 2.2 A; ve Bilgi Güvenli;inde Sald r Tespit Sistemlerinin Yeri
2.2.1 Sald r Tespitinin Tan m
Sald r Tespit Sistemleri (STS’ler), bilgisayar sistemlerinde veya bilgisayar a lar nda olu an olaylar otomatik olarak görüntüleyerek güvenlik sorunlar olu turabilecek durumlar analiz eden yaz l m veya donan m sistemleridir. Son y llarda bilgisayar a lar nda olu an sald r lar n say s n n ve ciddiyetinin artmas ndan dolay , sald r tespit sistemleri organizasyonlar n güvenlik altyap lar n n tamamlay c bir unsuru olarak ön plana ç kmaya ba lam lard r [4].
Bilgisayar a lar na yetkisiz eri imler, sald r olarak nitelendirilmektedir ve bunlar güvenlik mekanizmalar n geçerek gizlilik, bütünlük, eri ilebilirlik üçlüsüyle sa lanan güvenli ortam tehdit etmektedirler. Sald r lar 'nternet üzerinden eri en sald rganlar taraf ndan, sistemde oturum açmaya hakk olup da daha yüksek haklara sahip olmak isteyen kullan c lar taraf ndan ve kendilerine verilen haklar kötüye kullanan kullan c lar taraf ndan gerçekle tirilebilir. Sald r Tespit Sistemleri(STS), bu izleme ve analiz i lemlerini otomatikle tiren yaz l m veya donan m ürünleridir [4].
2.2.2 Sald r Tespit Sistemlerinin Kullan lma Gerekçeleri
Sald r Tespiti, organizasyonlara sistemlerini artan a ba lant s ve bilgi sistemlerine olan gereksinimler sonucu meydana gelebilecek tehditlerden korur. Günümüzde gelinen noktada Sald r Tespit Sistemlerinin kullan l p kullan lmamas de il bunlar n aras ndan hangisinin seçilip kullan laca tart l r olmu tur. STS’lerin kullan lmas için birçok hakl neden bulunmaktad r [5]:
1. Organizasyonlar n güvenlik yönetimini bozanlar için kayda de er ve cayd r c bir özelli i vard r. Sald rganlar aç kça halka duyurulan teknikleri kullanarak ço u yetkisiz giri leri kazanabilirler. Özellikle devletle ilgili a lara ba lan rlar. Bu, bilinen do rulu u ispatlanmam sald r ya aç k sistemlerde s kl kla olur.
2. Di er güvenlik mekanizmalar nca korunamayan güvenlik ihlallerini ve sald r lar tespit eder.
3. Sald r öncesi gerçekle en analiz safhas na kar l k verir ve analizi tespit eder. Sald r n n ilk an nda bir sistem veya a genellikle ara t r l r veya s namaya tabi tutulur. STS bulunmayan a larda sald rgan, tespit veya misillemenin küçük riski ile tam sistem tefti i için serbesttir.
4. Organizasyona yönelmi tehditlerin kayd n tutar. Organizasyon a na hem içerden hem de d ardan gelen tehditleri do rular, ayr nt lar ile yazar ve karakterize eder.
5. Büyük ve karma k organizasyonlarda güvenlik altyap s n n tasar m n ve yönetim kalitesini kontrol eder.
6. Meydana gelen sald r lar hakk nda bilgi vererek bu sayede sald r analizi, sistem onar m ve sald r ya neden olan etmenlerin düzeltilmesine olanak tan r. STS’ler sald r lar bloke edemedi inde olay idaresini ve iyile me çabalar n destekleyen sald r larla ilgili amaca uygun, ayr nt l ve güvenilir bilgi toplayabilirler.
2.2.3 Güvenlik Duvarlar (Firewall) ve STS Aras ndaki Farklar
A güvenli i ile ili kili teknolojilere göz at ld nda, bu alanda en yayg n uygulamas bulunan teknolojinin güvenlik duvarlar oldu u görülür. Temel olarak bir güvenlik duvar , bir ya da daha fazla a aras na yerle tirilen ve bu a lar aras nda belirlenen bir politika çerçevesinde izolasyon sa layarak onlar birbirinden yal tan bir a
bile enidir. Güvenlik duvarlar , yayg n kanaatin aksine, tek ba lar na eksiksiz bir güvenlik çözümü olu turamamaktad r. 'nternet’e aç k Web hizmeti veren bir sistemi korumak üzere kurulan bir “paket filtreleyen güvenlik duvar sistemi” kaç n lmaz olarak bu sisteme do ru gelen tüm Web isteklerini geçirmek zorundad r. Bu yüzden sald rganlar n Web üzerinden yapabilecekleri sald r lar için herhangi bir koruma sa lanamam olur. Güvenlik Duvarlar sistem için kap önündeki koruyucudur ve içerde olup biten ile ilgilenmez. STS’lerin çoklu-sensör video inceleme özellikleri ve sald rgan alarmlar vard r. Gördü ü davran , üpheli bir durum te kil ediyorsa, bunu gerekli güvenlik birimlerine bildirir ya da problemle ba etmeye çal r.
Genelde kay plara yol açan sald r lar, a içinde gerçekle en sald r lard r ve bunlar ile güvenlik duvarlar de il, STS’ler ba edebilir. Güvenlik duvarlar n n ilgilendi i çe itli sald r tipleri vard r. Bunlardan ikisi tünelleme sald r lar ve uygulama-temelli sald r lard r.
Tünelleme sald r lar a protokollerinin yetersiz özelliklerinden ötürü olu ur. Güvenlik duvarlar a protokollerine uygun olarak paketleri filtreler ve bir paketi ald nda, geçirip geçirmeyece ini anlamak için veritaban n kontrol etmesi gerekir. Ancak bu k s m problem te kil eder çünkü sald rgan bu s rada göndermek istedi i veriyi, ba ka bir veri içinde gizlemi olarak gönderebilir. Uygulama-temelli sald r ; uygulamalarla direk ba lant kurabilen paketler göndererek, uygulaman n hassasiyetlerini ö renme ve bundan faydalanma yollar n arar. Örne in bir web yaz l m na sürekli http komutlar göndererek tampon belle in ta mas na neden oldu unda, e er Firewall “http trafi ini geçir” eklinde yap land r lm sa, sald r unsuru ta yan paket geçi i gerçekle tirebilir.
2.2.4 Sald r Tespit Sistemlerinin Avantaj ve Dezavantajlar
STS’ler a a dakileri gerçekle tirebilir [5]:
Sistemin güvenlik altyap s na, yüksek derecede bütünlük katar. Çünkü STS güvenlik duvarlar n , ifreleyici yönlendiricilerini(router), anahtarlama yönetim sunucular n , kritik dosyalar gözlemler ve bunlar için ek koruyucu katman olarak çal r.
Anla l r olmayan, sistem kaynaklar ndan elde edilen bilgileri anla l r hale getirir. Örne in i letim sisteminin tuttu u günlük dosyalar , sistemde neler olup bitti i hakk nda bilgi verebilir. Fakat bu bilgiler genelde uzman sistem
yöneticileri ve güvenlik elemanlar için anla lmaz yap dad r. STS bunlar alg layarak gerekli yerlere bildirir ve ço u zaman problem, kay plara yol açmadan önce sald r aç a ç kart l r.
Kullan c aktivitelerini, sisteme giri ten ç k a kadar takip edebilirler ve bu aktiviteleri etkileyebilirler.
Veri dosyalar na yap lan de i ikleri alg layabilir ve bunlar raporlayabilirler. Güvenli i etkileyebilecek olan sistem konfigürasyon hatalar n bulup, seçer ve bazen kullan c isterse bu hatalar düzeltir.
Sistemin hangi tarz sald r lara maruz kalabilece i bulur.(Bunu daha çok Zay fl k De erlendirme - Vulnerability Assesment ürünleri yapar)
'nternet’ten en yeni sald r tiplerini ara t r r ve bu do rultuda yönetim birimlerini iyile tirir.
Güvenlik hakk nda uzman olmayan elemanlar n da güvenlik yönetimini yapabilece i kullan c dostu arayüzler sunar.
Bilgisayar sistemimiz için bir güvenlik ilkesi tesis ederken, meselemizin ana noktalar nda bize yard mc olur, yol göstericilik yapar, amac m z ve önemli noktalar aç kça görüp, belirtmemiz için bizi te vik eder.
STS’ler a a dakileri gerçekle tirmez [5]:
Zay f kimlik tan ma ve do rulama mekanizmalar için herhangi bir telafi yapamaz. Her ne kadar ara t rmalar n sonucu STS’nin, kullan c lar n davran lar n n kompleks istatistiksel analizlerinin, kullan c y tan mada yard m etti ini söylese de bu kan tlanamam t r.
Sald r ara t rmalar n insan müdahalesi olmadan yapamazlar. Sisteme ait güvenlik politikas n sezemezler.
A protokolünün zay fl klar n telafi edemezler. TCP/IP de dahil olmak üzere birçok a protokolü, sunucu kaynak/hedef adresleri için güçlü bir do rulama yapamazlar. Bunun anlam sald r unsuru ta yan paketlerin üzerindeki kaynak adreslerin bize sald r n n kaynakland adresi vermeyebilece idir. Bu yüzden sald r n n kimden ve nereden kaynakland n bulmak güçtür.
Bütünlü ü bozulmu , birtak m problemli özellikleri olan veriler hakk nda bir ey yapamazlar. Bu bozulmu veriler sistemin herhangi bir noktas ndan elde edilmi olabilir. Bu kaynaklar n ço u yaz l m bazl d r ve bir sald r sonucu de i ikli e u rat lm olabilir. Örne in sald rgan, sistemin kay t dosyalar n hedef al r, bunlarda de i iklik yapar ve sald r zaman n n kay tlar ile sistemde kalan sald r izlerini siler.
Çok me gul bir a üzerindeki tüm trafi i analiz edemezler.
Paket seviyesindeki sald r lar ile her zaman ba edemezler: bilgili bir dü man sistemden kaçan paketleri parçalay p yönünü de i tirerek gerçek hedefe sald r da bulunabilir, ya da daha kötüsü STS için ayr lan belle e sürekli bir
eyler göndererek tampon bellekte ta malara neden olurken, kendi sald r s n gizlemeye çal r.
Modern a donan mlar yla ba edemezler. Bu sorun daha çok kendini parçalanm paketlerde gösterir. Bant geni li ini optimum kullanabilmek için paket parçalama tekni ini kullanan yüksek h zl ATM a lar nda ise bu sorun iyice dallan p budaklanm t r.
3. SALDIRI TESP T S STEMLER N N SINIFLANDIRILMASI 3.1 Zamana Göre STS’lerin S n fland r lmas
Zamandan kastedilen, izlenen olaylar n olma an ile bu olaylar n analiz edilmesi an aras nda geçen süredir. Zamana göre STS’ler ikiye ayr l r [4]:
3.1.1 Aral klarla-Çal @an STS’ler
'zleme noktalar ndan, analiz motorlar na bilgi ak sürekli de ildir. Bilgi önce depolan r ve sonra analiz için ilgili birime gönderilir. 'lk sunucu-temelli STS’ler, i letim sistemi günlük dosyalar n kulland için bu zamanlama modelini kullanmaktayd . Aral klarla-çal an STS’ler, sald r lara aktif cevap üretemezler.
3.1.2 Gerçek-Zamanl Çal @an STS’ler
Bilgi kaynaklar ndan sürekli bilgi ak mevcuttur. A -temelli STS’ler için en çok kullan lan zamanlama modelidir. Gerçek-zamanl çal an STS’ler tespit ettikleri sald r lara aktif cevaplar üretebilirler.
3.2 Bilgi Kaynaklar na Göre STS’lerin S n fland r lmas 3.2.1 A;-Temelli STS’ler
Ticari STS’lerin ço u a -temellidir. Bu STS’ler a paketlerini yakalay p bunlar analiz ederek sald r tespiti yaparlar. A -temelli bir STS, üzerinde çal t a da bulunan bilgisayarlar aras ndaki haberle meyi dinleyebildi i için a daki tüm bilgisayarlar korumaktad r.
A -temelli STS’ler 2ekil 3.1’de gösterildi i gibi bir a daki çe itli noktalarda tek amaçl sensörler veya yerle mi sunucular n bir dizisinden olu ur [6]. Sensörler STS’nin çal mas n s n rland r r. Bu STS’lerin ço u gizlilik modunda çal mak için tasarlanm t r [4].
Eekil 3.1 : A -Temelli STS Kullan lan A Topolojisi
Avantajlar :
'yi yerle tirilmi olanlar geni bir a denetleyebilir,
Bu STS’ler genellikle pasif ayg tlard r. Bunlar, bir a n normal i leyi i ile kar mayan bir a hatt n dinlerler.
Sald r lara kar çok gizli olabilirler ve ço u sald rganlar taraf ndan görülmezler.
Dezavantajlar :
Geni veya me gul a içinde tüm paketlerin i lenmesi zorlu una sahiptirler. Yüksek trafikte gerçekle en bir sald r y tespit etmekte ba ar s z olabilirler. Anahtarlar(Switch), a lar küçük bölümlere ay r r. Ço u anahtarlar evrensel port denetimini sa layamaz.
2ifrelenmi bilgiyi analiz edemezler.
Bu STS’lerin ço u sald r lar n ba ar l olmad n bildiremez. Sadece ba lat lan sald r y farkedebilirler.
Baz STS’ler parçalanm a paketlerini içeren a tabanl sald r lar tespit edemez. Parçalanm paketler, STS’lerin kararl l n bozarak hizmet d kalmalar na sebep olabilir [4].
3.2.2 Da; t k-Temelli STS’ler
A -temelli STS’ler uzaktan eri im noktalar na yerle tirilmi tir ve bir merkezi yönetim istasyonuna rapor gönderir. Sald r kay tlar aral klarla veya sürekli olarak yönetim istasyonundaki merkezi veri taban nda depolanmak üzere yüklenir. 2ekil 3.2’de dört sensör ve bir merkezi yönetim istasyonundan olu an da t k-temelli bir STS a topolojisi görülmektedir [6].
Eekil 3.2 : Da t k-Temelli STS A Topolojisi
A -STS 1 ve A -STS 2 sensörleri gizli kar k modda çal maktad r ve herkesce eri ilebilen sunucular korumaktad rlar. A -STS 3 ve A -STS 4 sensörleri güvenli bölgedeki sunucu sistemlerini korumaktad rlar. Sensörler ve yönetici sistem aras ndaki haberle me ekilde gösterilene benzer biçimde özel bir a üzerinden yap labilece i gibi varolan a altyap s n da kullanabilir.
3.2.3 Sunucu-Temelli STS’ler
Sunucu-temelli STS’ler bir bilgisayar sistemi içerisinde toplanan bilgi üzerinde çal r. Bu sayede i letim sistemine yönelmi tüm sald r lar için hangi sistem ça r lar n n ve kullan c lar n sorumlu oldu u yüksek do ruluk ve güvenilirlikle tespit edilebilir. Sunucu-temelli STS’ler iki tür bilgi kayna kullan r: i letim sistemi izleme seçenekleri ve sistem günlük dosyalar . Bu kaynaklardan daha güvenilir ve ayr nt l olan i letim sistemi izleme seçenekleridir çünkü bunlar do rudan i letim sistemi çekirde inde olu turulmaktad r. Bununla birlikte sistem günlük dosyalar daha küçüktür ve yorumlanmalar daha kolayd r [4]. 2ekil 3.3’de baz sunucu bilgisayarlar üzerinde sunucu-temelli STS’lerin kullan ld bir a topolojisi görülmektedir [6].
Eekil 3.3 : Sunucu-Temelli STS Kullan lan A Topolojisi
Avantajlar :
Olaylar n oldu u yerel sunucuyu izleme yetenekleri sayesinde a -temelli STS’lerin yakalayamayaca sald r lar tespit edebilirler.
Anahtarlamal a lar üzerinde de iyi çal rlar.
' letim sistemi izleme seçenekleri üzerinde i lem yapanlar truva atlar n veya yaz l m eksikliklerinden dolay gerçekle tirilen sald r lar tespit edebilirler. Dezavantajlar :
Yönetimi zordur. Bilgi her sunucu denetimi için yap land r labilir ve yönetilebilir olmal d r.
STS, üzerinde çal t sunucuya yap lan sald r lara maruz kal p devre d b rak lma tehdidi alt ndad r.
A üzerinde tarama biçiminde yap lan sald r lardan haberdar olamazlar çünkü yaln zca üzerinde i ledikleri sunucuya gelen paketlere eri imleri mevcuttur. Baz Hizmet Engelleme (DoS) sald r lar taraf ndan devre d b rak labilirler. ' letim sistemi izleme seçeneklerini bilgi kayna olarak kulland klar nda bilginin miktar çok büyük olabilir. Bu da yerel sistem üzerinde fazladan depolama alan na ihtiyaç do urur.
Sunucu-temelli STS’ler, üzerinde i lemekte olduklar sunucunun sistem kaynaklar n kulland klar ndan dolay izledikleri sistemlere performans aç s ndan yük olmaktad rlar.
3.2.4 Uygulama-Temelli STS’ler
Bu STS’ler bir yaz l m uygulamas ile meydana gelen olaylar analiz eden sunucu-temelli STS’lerin özel bir türüdür. Uygulama-sunucu-temelli STS’lerde bilgi kayna olarak genellikle uygulamaya ait günlük dosyalar kullan l r. Analiz-motoruna belirli uygulamalar için o uygulamalara has özellikler bildirildi i taktirde, yetkisini a an kullan c lar n gerçekle tirdi i sald r lar uygulama-temelli STS’lerce tespit edilebilir [4].
Avantajlar :
Kullan c ve uygulamalar n birbirlerini etkilemelerini denetleyerek bireysel kullan c lar n yetkilerini a an davran lar n tespit edebilirler.
Uygulaman n giri -ç k noktalar nda çal t klar için ifrelenmi veri, çal maya engel de ildir.
Dezavantajlar :
Uygulama günlük dosyalar , i letim sistemi izleme seçenekleri kadar korunakl olmad ndan, sunucu-temelli STS’lere oranla sald r lara daha fazla aç kt rlar.
Truva Atlar veya di er yaz l msal sald r lar sezemezler. Bundan dolay bir uygulama-temelli STS’yi, sunucu ve/veya a temelli STS’nin birle imi olarak kullanmak daha do ru olur.
3.3 Analiz Yakla@ mlar na Göre STS’lerin S n fland r lmas
Sald r tespitinde olaylar n analizi için iki temel yakla m kullan lmaktad r: kötüye kullan m tespiti ve anormallik tespiti. Kötüye kullan m tespiti, genellikle ticari sistemlerde kullan l r ve analizin hedefi “kötü” olarak adland r lan olaylar ay klamakt r. Anormallik tespiti ise üzerinde hala çal lan bir yakla md r ve anormal aktiviteler s ras n analiz ederek sald r lar tespit etmeyi hedefler. Her iki yakla m n da birbirlerine üstün olan yönleri mevcuttur. Ancak iyi STS’lerde genellikle, anormallik tespit yöntemleri ile kuvvetlendirilmi olan kötüye kullan m tespit yakla m kullan l r[4].
3.3.1 mza Temelli Sald r Tespit Sistemleri
Kötüye kullan m dedektörleri sistem aktivitesini analiz eder, olaylar veya bilinen bir sald r y tan mlayan olaylar n önceden tan mlanm modeliyle benze en olaylar dizisini arar. Bilinen sald r lar modelleyen ablona imza ad verildi inden dolay bu yönteme “imza-temelli tespit” de denir [4, 7].
Avantajlar :
Kötüye kullan m dedektörleri, çok say da yanl alarm üretmeden sald r lar n tespitinde etkilidir.
Bu dedektörler özel bir sald r arac veya tekni ini güvenli ve çabuk olarak te his edebilir.
Bu dedektörler sistem yöneticilerine, güvenlik konusunda uzman düzeyinde bilgi sahibi olmalar na gerek duymaks z n, sistemlerini izleme olana verir.
Dezavantajlar :
Dedektörler sadece bilinen sald r lar sezebilir. Bu yüzden sistem, yeni sald r lar n imzalar eklenerek sürekli olarak güncellenmelidir.
Ço u dedektörler tan mlanm imzalar n dar kapsaml kullan m için tasarlanm t r ve çok rastlanan sald r lar n ufak de i ikliklerle tekrarlanmas halinde bunlar tespit edememektedirler.
3.3.2 Anormallik Temelli Sald r Tespit Sistemleri
Anormallik dedektörleri bir sunucu veya a üzerindeki normal olmayan genel davran lar tespit eder. Bu yakla ma göre sald r lar, “normal” olarak tan mlanan davran lardan farkl l k gösterir ve bu farklar hesaplayabilen sistemlerce sald r lar tespit edilebilir. Anormallik dedektörleri; kullan c lar n, sunucular n veya a ba lant lar n n temsil edilen normal davran lar n n profillerini in a ederler. Bu profiller, normal çal ma zaman süresince toplanan veri kullan larak ç kar l r. Dedektörler bu profillerin eldesinden sonra, olay verisini toplar ve izlenen aktivitelerin normalden sapma oldu u durumlar tespit eder. [4]’e göre anormallik tespiti için kullan lan ölçüler ve teknikler unlard r:
Kullan c n n ve sistem davran n n say larak belli bir de ere kadar izin verilmesi durumu olarak tan mlanan e ik de er tespiti. Buna örnek olarak belirli bir süre için bir kullan c n n eri ebilece i en fazla dosya say s , hatal
ifre girilme say s verilebilir.
Parametrik veya parametrik olmayan istatistiksel ölçüler. Kural-temelli ölçüler.
Di er ölçüler, yapay sinir a lar n , genetik algoritmalar ve ba kl k sistemi modellerini içerir.
Ticari STS’lerde yaln zca ilk iki ölçü kullan l r. Maalesef anormallik detektörleri ve bunlar temel alan STS’ler çok fazla say da hatal alarm üretmektedir. Ayr ca baz anormallik detektörlerinin ç k , kötüye kullan m dedektörleri için bilgi kayna olarak kullan labilmektedir. Say lan bu özelliklerine ra men ticari STS’lerde tek ba na kullan lmayan anormallik dedektörleri, çokça ara t rmalara konu olmaktad r [4,7].
Avantajlar :
Anormallik tespitini temel alan STS’ler s rad davran lar tespit ettikleri için sald r n n ayr nt l bilgisine sahip olmasa da bir sald r oldu unu anlar. Bu dedektörler, kötüye kullanma dedektörleri için tan mlanan imzalar olu turan bilgi üretebilirler.
Dezavantajlar :
Anormallik tespit yakla mlar genellikle çok fazla say da hatal alarm üretir. Bunun nedeni kullan c ve a davran lar n n önceden bilinememesidir.
Anormallik tespit yakla mlar normal davran profilini karakterize etmek için sistem olay kay tlar n n çok büyük e itim verisine ihtiyaç duyar.
3.3.2.1 statistiksel-Temelli Sald r Tespit Sistemleri 3.3.2.1.1 Denning Modeli
Denning Modeline[8] göre STS’de dört farkl istatistiksel model bulunabilir. Her bir model STS’deki belirli bir türdeki ölçüm için uygundur. Bu modeller;
letimsel Model: Bu model belirli zaman aral klar nda ifre hatalar n n say s n bir
ölçü olarak kullan r. Model, ölçümü bir e ik de eriyle kar la t r r. E ik de erini a an ölçümlerde anormallik oldu unu belirtir.
Ortalama ve Standart Sapma Modeli: Bu model klasik olarak verinin ortalama ve
standart sapma karakteristiklerini kullan r. Analistler sistem davran lar n n ölçümlerinin ortalama ve standart sapmas hakk nda k sa sürede karar verecek kadar bilgi sahibidirler. E er güven aral nda olmayan yeni bir davran gözlemlenirse bu, anormal olarak tan mlan r. Güven aral , sistem parametrelerinin ortalamalar ndan ve standart sapmas ndan faydalan larak tan mlanabilir. Bu karakteristikler; olay say c lara, aral k zamanlay c lar na ve kaynak ölçümlerine uygulanabilir.
Çoklu Olas l ksal De i ken Modeli: Bu model ortalama ve standart sapma modelinin
geli mi idir. Model iki ya da daha fazla ölçü aras ndaki korelasyona dayan r.
Markov lem Modeli: Denning modelinin en karma k bölümü olay say c lard r. Bu
model bir durum de i keni olarak her farkl tip olay ve durumlar aras ndaki geçi frekanslar n karakterize eden durum geçi matrisini kullan r. Durum geçi matrisinde bir önceki durum ve de ere bak larak, e er yeni gözlemin olas l çok
dü ükse anormal olarak tan mlan r. Bu, STS’nin sadece tek bir olay de il olay s ralar n ve beklenmeyen komutlar da ay rt etmesine olanak tan r. Böylece olay ak mlar n n durumsal analizleri gerçekle tirilir.
Anormallik tespitinde kullan lan en genel yöntem tespit kurallar n n ve niteliklerinin say sal biçimde gösterildi i nicel analizdir. Denning’in i letimsel modeli bu ölçüm kategorilerini içerir. Bu, basit eklemelerle çok karma k kriptoloji hesaplamalar aras nda de i en baz i lemleri kullanan bir teknik kümesidir. Bu tekniklerin sonuçlar kötüye kullanma ve anormallik tespiti için temel olabilir. Varolan nicel analiz teknikleri unlard r:
E ik Sezme: Nicel analizin en genel biçimi e ik sezmedir. E ik sezmede kesin
kullan c ve sistem davran lar izin verilebilir seviyelerde ve say sal artlarda karakterize edilir. E ik de erinin en genel örne i izin verilen ba ar s z sisteme giri denemelerinin say s d r. Di er e ikler belirli tipteki a ba lant lar n n, dosya ve dizin eri imlerinin ve a sistemine eri imlerin say s d r. Bu e ik de erleri belli zaman aral klar nda göz önüne al n r.
Sezgisel E ik Sezme: Sezgisel e ik sezme basit e ik sezmeleri alarak gözlemlenen
seviyelere adaptasyonunu kontrol eder. Bu i lem, özellikle geni bir kullan c ve hedef ortam kümesinde sezmenin kesinli ini art r r. Örne in sekiz saatlik periyotta hatal giri lerin say s üçü geçti inde alarm veren kural yerine, normal olmayan say da hatal giri oldu unda alarm veren kural kullan labilir. Buradaki “normal olmayan” terimi çe itli formüllerle hesaplanmaktad r.
Hedef-Tabanl Bütünlük Kontrolü: Bu kontrol bir sistem nesnesinde önceden
bildirilemeyen bir de i ikli e ba ml olmayan de i iklikleri kontrol eder. Hedef-tabanl bütünlük kontrolüne en genel örnek bir sistem nesnesinin kriptografik kontrolünü hesaplayan bir mesaj tutma fonksiyonu kullanmakt r. Bu de er güvenli bir ortamda saklan r. Sistem periyodik olarak bu de eri hesaplar ve sakl tutulan de erle kar la t r r. Bir fark olu tu unda alarm verir.
Nicel Analiz ve Veri ndirgeme: Veri indirgeme büyük boyutlu olay bilgilerinden
gereksiz olanlar eleme i lemidir. Bu i lem sisteme yap lan depolamay azalt r ve olay bilgilerine dayal sezmeyi optimize eder.
3.3.2.1.2 statistiksel Ölçümler
Anormallik tespiti sistemlerinin çal an ilk örnekleri istatistiksel ölçümlere dayal d r. Bunlar IDES, NIDES gibi eski sald r sezme sistemleridir [9].
IDES/NIDES: IDES ve NIDES SRI International’da geli tirilen bilinen en eski iki
sald r sezme sistemidir. Bunlar, karma sistemlerdir. Hem kötüye kullanma hem de anormallik tespiti özelliklerini içerir.
IDES ve NIDES için geli tirilen istatistiksel analiz teknikleri her bir kullan c ve sistem nesnesi için yap land r lan istatistiksel profilleri kullan r. Bu profiller zamanla kullan c davran lar nda meydana gelecek de i ikliklere adapte olacak ekilde periyodik olarak güncellenir. Sistemler profilleri içeren istatistiksel bir veri taban na sahiptirler.
Bir ba ka istatistiksel temelli yakla m kullanan STS türü EMERALD(Event Monitoring Enabling Responses to Anomalous Live Disturbances) IDES ve NIDES’in günümüzdeki en geli tirilmi halidir ve yayg n olarak kullan lmaktad r. Ticari bir STS’dir. EMERALD lokal sonuçlar , alarmlar ve uyar lar güçlendiren bir çok detektöre da t lmas n destekleyen bir framework’te bir çok lokal monitör içerir. EMERALD, IDES ve NIDES gibi hem imza analizini hem de istatiksel profil kullanan hibrid bir sistemdir. Merkezi komponenti servis monitörüdür. Servis monitörleri bir fonksiyonu çal t rmak için programlanbilir ve hostlarda konu lanabilir. Servis monitörlerinin yapt baz lokal analizler, rapor sonuçlar ve daha yüksek seviye monitörlerden eklenen bilgilerle hiyerar ik veri indirgemeyi desteklerler [10,11].
Haystack: Haystack Tracor Applied Sciences ve Haystack Laboratuarlar taraf ndan
Amerikan Hava Kuvvetleri için geli tirilmi bir anormallik tespiti sistemidir. Bu sistem iki bölümlü istatistiksel sezme kullan r. 'lk ölçüm; olu turulan bir sald r tipine, bir kullan c oturumunun hangi seviyeye ait oldu una karar verir. Bu ölçümler
u ekilde hesaplan r:
• Sistem kullan c davran ölçümlerinin bir vektörünü içerir.
• Her bir sald r tipi için sistem her bir davran ölçümü ile bir de eri birle tirir, verilen sald r tipine ölçümün de erini yans t r.
• Her bir oturum için kullan c davran ölçümlerinin vektörü hesaplan r ve e ik de er vektörüyle kar la t r l r.
• E ik de erini a an davran ölçümleri belirlenir.
• Toplam, önceki oturumlar n hepsi için toplanm sald r de erleri da t lmas na dayal bir üpheli bölümü oturuma ay rmak için kullan r.
'kincisi; tamamlay c kullan c oturum aktivitelerinde normal kullan c oturum profillerinden sapmalar sezen istatistiksel metottur [12,13].
3.3.2.1.3 statistiksel Analizin Etkili Yönleri
'statistiksel anormallik tespiti analizi yasal kullan c lardan faydalanan sald rganlar hedefler. NADIR(Los Alamos National Labaratory) geli tiricileri, bu sistemi kullanarak elde edilen bilgilerin sistemin ve güvenlik i lem hatalar n n bulunmas n sa lad n söylemi lerdir. Network Audit Director and Intrusion Reporter(NADIR), Los Alamos’da Integrated Computing Network(ICN) üzerindeki kullan c lar n aktivitelerini denetlemek için Los Alamos National Laboratory’nin Computing Division taraf ndan geli tirilmi tir. Bu a Los Alamos’un ana bilgisayar a d r. Süper bilgisayarlara, yerel ve uzak terminallere, i istasyonlar na, a servis makinelerine ve veri ba lant arayüzlerine a lan rken 9000’den kullan c ya hizmet eder. SUN ve UNIX i istasyonlar üzerinde çal mak için tasarlanm t r. SQL’de yaz lm t r ve SYBASE veri taban yönetim sistemi üzerinde çal r. 80’lerin ba ar l ve dayan kl IDS’lerindendir. Los Alamos’da ICN üstünde sistemleri denetlemek için yay lm t r. Bu bulgular Los Alamos sistem karma kl n n yönetimini geli tirmelerini sa lam t r [14].
'statistiksel analizin bir ba ka avantaj istatistiksel sistemlerin, kötüye kullan m sezme sistemlerinin yapt sabit güncellemelere ve bak ma gerek duymamas d r. Bunun gerçekle tirilmesi birçok faktöre ba l d r. Metrikler iyi seçilmeli, ayr m yapabilmek için yeterlilik ve davran de i imlerine adaptasyon sa lanmal d r(Kullan c davran lar ndaki de i imlere kar l k gelen metrikte tutarl ve dikkate de er de i imler olu turulmal d r). Bu artlar sa land nda sistemde de i iklik yapmadan istatistiksel analiz güvenli bir ekilde kullan labilir.
3.3.2.1.4 Parametrik Olmayan statistiksel Ölçümler
Önceki istatistiksel yakla mlar kullan c ve di er sistem varl klar n n davran lar n karakterize ederken parametrik yakla mlar kullan yordu. Parametrik yakla mlar analiz edilmi verinin da t lmas na temel olu turan analitik metotlarla ilgiliydi. Buna örnek olarak IDES ve MIDAS’ n ilk versiyonlar verilebilir. Multics Intrusion Detection and Alerting System (MIDAS), National Computer Security Center(NCSC) taraf ndan geli tirilmi tir. NCSC’nin Dockmaster sistemini denetlemek için Honeywell DPS 8/70 çal an Multics, sa lam bir i letim sistemidir.
Dockmaster’ n cevaplama sistemi denetim logundan data al nmas için tasarlanm t r. IDES gibi hibrit analiz stratejisini kullan r.Bu stratejide; uzman sistem kural tabanl yakla mlar ile istatistiksel anormallik-temelli tespit kullan r. MIDAS’ n uzman sistemi forward-chaining algoritmas n kullan r. MIDAS’ n istatistiksel ve kural tabanl analiz parças LISP ile kodlanm t r ve sembolik i istasyonlar üzerinde çal r. MIDAS 1989’da online olarak yer alm t r ve 90’lar n ortalar nda Dockmaster denetlenmi tir [15].
Bu tahminler sistemin yanl alarm oran n n yükselmesine neden olabiliyordu. Ara t rmac lar, sistem kaynak kullan m özelliklerini içeren sistem kullan m ablonu hakk nda bilgi toplamaya ba lad nda da l mlar normal olarak bulunam yordu ve yüksek yanl alarm oran na neden olan ölçümleri içeriyordu.
Tulane Üniversitesi’nden Linda Lankewicz ve Mark Benard bu problemleri ortadan kald rmak için anormallik tespitinde parametrik olmayan teknikleri kulland lar. Bu yakla m n fark , önceden bildirilebilir kullan m ablonuyla kullan c lar ba da t rabilmesi ve parametrik yakla mlar n kolay ba da t ramad sistem ölçümlerini hesaba katabilmesidir.
Bu yakla mda parametrik olmayan veri s n fland rma teknikleri, özellikle kümeleme(clustering) analizi kullan lm t r. Kümeleme analizinde büyük boyutlarda veri toplan r ve baz de erlendirme kriterlerine göre kümelere(clusters) yerle tirilir. Bu de erlendirmeler bir vektör eklinde temsil edilir(Örne in Xi=[f1,f2,...fn]). Vektörleri, davran s n flar na göre grupland rmak için kümeleme algoritmas kullan l r.
Parametrik olmayan istatistiksel anormallik tespitinde, kullan c aktiviteleri verisi iki farkl kümeye al n r. Biri normal olmayanlar , di eri normal aktiviteleri gösterir. Çe itli algoritmalar vard r. Tulane ara t rmac lar kaynak kullan m figürlerini de erlendirme kriteri olarak kullanan algoritman n (k-nearest-neighbor) en iyi oldu unu bulmu lard r. Bu algoritma, vektörü en yak n ndaki kom ular na(k) göre gruplamaktad r. K; vektörlerin say s n n bir fonksiyonudur.
Sonuçlara göre bu algoritma unu göstermi tir. Kümeler, güvenilir olarak grupland r lm basit sistem operasyonlar n ve kullan c ya göre grupland r lm aktiviteleri biçimlendirir.
Parametrik olmayan yakla m n avantaj ; güvenilir olay verisi indirgemeleri yapabilmesi, tespit h z n n artt rmas , parametrik istatistiksel analizdeki do rulu u geli tirmesidir[16].
3.3.2.2 Veri Madencili;i-Temelli Sald r Tespit Sistemleri
Veri madencili i büyük miktarda veri içinden gelecekle ilgili tahmin yapmam z sa layacak ba nt ve kurallar n bilgisayar programlar kullanarak aranmas d r Sald r tespitinde veri madencili i kullan m n n sebepleri unlard r:
• Denetleme verisi üzerinde normal ve sald r etkinlikleri kan t b rak rlar.
• Veri merkezli bak aç s ndan bak ld nda sald r tespiti bir veri analiz i idir.
• 'stisna saptanmas ve hata/alarm yönetimi gibi ba ar l uygulamalarla ayn etki alan içindedir.
Baz kural tabanl anormallik tespiti çal malar n n basitle tirilmi ekli olan bir yakla m sald r tespit modellerinin yap land r lmas nda veri i leme tekniklerini kullan r. Bu yakla m n amac program ve kullan c davran lar n tan mlamada kullan labilecek sistem özelliklerinin tutarl kullan labilir bir ablonunu olu turmakt r. Bu sistem özellikleri kümesi tümevar m metotlar yla i letilerek anormal ve kötüye kullanma senaryolar n tan yabilir. Veri i leme çok büyük boyutlu veriden elde edilen modellerin olu umundan söz eder. Bu modeller veri içinde kolayl kla görülemeyen gerçekleri ç kar rlar.
STS ile ilgili veri madencili i algoritmalar ise, bilginin önceden belirlenmi s n flara ayr ld s n fland rma, veri içindeki nesneler aras nda ili kilerin bulundu u ba lant analizi ve zaman içerisinde meydana gelen birbirine benzer durumlar n analiz edildi i s ral analizdir [17].
S n fland rma Algoritmalar : Bu algoritmalar veri parças n önceden tan mlanm bir
çok kategoriden birine ay r r. S n fland rma algoritmalar n n ç kt lar karar a açlar veya kurallar gibi s n fland r c lard r. Sald r tespitinde optimal bir s n fland r c normal ve anormal kategorilere giren verileri güvenilir olarak tan mlamal d r.
Ba nt Analizi Algoritmalar : Bu algoritmalar veri taban nda bulunan alanlar
aras ndaki ili kileri belirler ve sald r tespiti için do ru sistem özelliklerini seçmeyi sa layan veriler aras ndaki korelasyonu ortaya ç kar r. Sald r tespitinde optimal bir ba lant analizi algoritmas sald r lar aç a ç karan sistem özelliklerini tan mlayabilmelidir.
S ra Analizi Algoritmalar : Bu algoritmalar s ral ablonlar (pattern) modeller ve s k
s k kar la an olaylar n s ras n anlamam z sa lar. Bu algoritma hangi olaylar n beraber meydana geldi ini aç a ç karabilmeli ve geçici istatistiksel ölçümleri içeren
sald r tespit modellerini geni letirken anahtar tutabilmelidir. Bu ölçümler, servislerin çal maz hale getirildi i sald r lar (DoS) tan r.
Sald r tespit sistemlerinde veri madencili i çok büyük kümeler içinde toplanm verinin çevrimd (off-line) olarak filtrelenmesi, biçimlendirilmesi ve bilgi kümeleri içinde organize edilmesidir yani bir bilgi olu turma i lemidir. Bu bilgi önceden tespit edilmemi sald r ablonlar n ortaya ç karmak için kullan l r. STS’de veri madencili i i lemi yeni sald r ablonlar n n geli tirilmesine yard m etmek için gizli profilleri ara t r r [18,19].
3.3.2.3 Yapay Sinir A; -Temelli Sald r Tespit Sistemleri
Yapay sinir a lar anormal davran lar karakterize etmek için uyarlanabilir ö renme teknikleri kullanmaktad r. Bu parametrik olmayan analiz tekni i herhangi bir istenmeyen kullan c davran veya sald r lar gösteren e itici veri kümelerinde çal r.
Yapay sinir a lar etki ba lant lar n n kullan m yla etkinle en çok say da basit i leme elementlerine(units) sahiptir. Yapay sinir a lar bilgisi, giri ler ve onlar n etkileri aras ndaki ba lant yap s ndan elde edilir. Ö renme, etkilerin de i imiyle ve ba lant lar n eklenmesi veya silinmesiyle meydana gelir.
Yapay sinir a lar nda i leme iki durum içerir. Birinci durumda, kullan c davran lar n temsil eden verilerle a olu turulur. 'kinci durumda, a olay bilgilerini al r ve eski bilgilerle (davran referanslar yla) kar la t r r. Benzerlikleri ve farklar belirler. A giri lerinin durumu de i ti inde, giri lerin etkileri de i ti inde, ba lant silindi inde veya eklendi inde olay n anormal oldu u görülür.
Yapay sinir a lar kullan c davran lar n tan mlamak için belirli özellikler kümesi kullanmaz. Ölçümlerin beklenen istatistiksel de erleri için ön tahminler yapmaz. Bu özellikler yapay sinir a lar n n avantajlar d r. En önemli dezavantaj ise buldu u anormallikler için herhangi bir aç klama yapamamas d r. Ayr ca ö renme s ras nda herhangi bir sebep olmaks z n a n çöktü ü konfigürasyonlar da dezavantaj d r [20].
3.3.2.4 Genetik Algoritmalar Kullanan Sald r Tespit Sistemleri
Di er bir komplike yakla m, sald r lar tespit etmek için olay verilerinin analizinde genetik algoritmalar kullanmakt r. Genetik bir algoritma evrimsel algoritmalar s n f ndan bir örnektir. Bu algoritmalar, problemlerin çözümünü Darwin’in do al seleksiyon teorisiyle birle tirmektedir. Genetik algoritmalar kromozomlar n
kombinasyonuna ve mutasyonuna izin veren metotlarla çözülmü biçimleri kullanarak yeni bireyler biçimlendirmektir [1].
Ara t rmac lar bu yakla m sald r tespit etmede kullan rken, sald r tespit etme i leminin olay bilgileri için sald r gösteren veya göstermeyen varsay m vektörleri tan mlamas yla olu turur. Sonra bu varsay mlar n uygun olup olmad test edilir. Bir çözüm bulana kadar bu i lemlere devam edilir.
Genetik algoritma analizleri iki basamaktan olu ur. 'lkinde probleme bir çözüm bulunur. 'kinci basamakta çe itli evrim kriterlerine göre popülasyonun her bireyini test etmek için bir fonksiyon olu turulur.
GASSATA sisteminde genetik algoritmalar varsay m vektörlerinin bir kümesini kullanarak sistem olaylar n n s n fland r lmas problemine uygulanm t r [21]. n boyutlu bir H vektörü tan mland nda(H olay kümesinde bir vektör, n de bilinen potansiyel ataklar n bir kümesi olarak dü ünülürse) e er vektör bir sald r y temsil ediyorsa 1 de erini, temsil etmiyorsa 0 de erini al r.
Denemeler sonucunda gerçek sald r lar n tespiti olas l 0.996, gerçek olamayan sald r lar n tespiti oran ise 0.0044’dür. 200 sald r l k bir küme için filtrelemenin yap land r lmas 10 dakika 30 saniye gerektirmektedir [21].
Bu yakla m n kötüye kullanmay sezmedeki dezavantajlar unlard r:
• Sistem olay eksikli inde karakterize edilen sald r lar hesaba alamaz.
• Sistem olay kümeleri için ikili anlat m formu kullan ld ndan e zamanl çoklu sald r y tespit edemez.
• E er ayn olay ya da olay kümesi, bir çok sald r için genel bir konumdaysa ve sald rgan bu durumdan faydalanarak e zamanl sald r lar gerçekle tiriyorsa sistem uygun bir varsay m vektörü bulamaz.
Bu sistemdeki en büyük eksiklik sistemin tam olarak sald r lar kuyru a yerle tirememesidir.
3.3.2.5 Ba; @ kl k Sistemi-Temelli Sald r Tespit Sistemi
'lk bilgi kayna olarak sistem ça r lar dü ünüldü ünde ara t rmac lar veri için verinin boyutunu içermesi, kötüye kullanmay sezebilmesi gibi amaçlar belirlemi lerdir. Anormallik tespitinde sistem iki a amal sald r tespit etme analiziyle uyumlu i ler. 'lk a amada normal davran lar n profillerinden olu an bir
veri taban kurulur. Buradaki profiller kullan c merkezli de il sistem-i lem merkezlidir(Di er yöntemlerden ayr l r). Profilden sapma anormallik olarak alg lan r. 'kinci a amada profiller sonradan ortaya ç kan sistem davran lar n izlemekte kullan l r. Ölçümlerle normal i lem davran lar ndan sapmalar, ba ar l sald r lar, ba ar s z sald r lar ve hata artlar belirlenir. Bu yakla mda, biyolojik ba kl k sistemleriyle sistem koruma mekanizmalar aras ndaki benzerliklerden faydalan lm t r. Organizmalar n ba kl k sistemi materyallerin zararl oldu una, patojenlere ve di er tehlikeli durumlara kendisi karar vermektedir. Bir ba kl k sistemi bu karar peptidler, küçük protein parçalar ndan faydalanarak almaktad r. Ba kl k sistemi bir insan vücudunu yabanc patojen ve organizmalar n büyük çe idine kar korumada ba ar l olur. Bu dikkate de er özellik bilgisayar güvenlik ve yapay zeka ara t rmac lar n n dikkatini çekmi tir. Bu çal malar ile bilgisayar ba kl k modellerini öneren bilgisayar mühendislerinin say s artmaktad r. Bu modellerin self ayr lmalar n n ana fikri; self olan normal, non-self olan anormaldir. Bir insan vücudu için timüs ve kemik ili indeki çe itli detektör hücreleri antikor olarak adland r l r, sürekli olarak ikincil lenf dü ümlerini antikorlar n ya ayan hücreleri gözetledi i yerde olu turur ve da t rlar. Da t lm antikorlar tüm ya ayan hücreleri gözetler ve non-self hücreleri sezerler. Antijen olarak adland r l rlar ve ikincil lenf dü ümlerine sald r rlar[22].
Koordine sald r lar ve 'nternet kurtlar a trafik modellerinin anormalliklerini gözetleyerek sald r lar tespit ederler. Ço u a -tabanl STS’ler a paketlerini gözetlerler ve kendi belirtilmi anormallikleri bu a yetkisiz eri imlerinin kritik belirtilerini gösterirler. Böylece yapay ba kl k modeli anormal a aktivitelerinden normal a aktivitelerini ay rmak için tasarlanm t r [23].
3.4 Sald r lara Verdikleri Yan tlara Göre STS’lerin S n fland r lmas
STS’ler edindikleri bilgileri analiz ederek sald r izlerine rastlarlarsa kar l k verirler. Bu kar l klar daha önceden belirtilmi bir yere rapor iletmek eklinde gerçekle ebilir. Baz di er durumlarda ise otomatik olarak daha aktif yan tlar verilebilir. Ticari STS’ler aktif, pasif veya bunlar n her ikisini de kullanan yan t seçeneklerini desteklerler [4].
3.4.1 Aktif Yan tlar
Aktif STS yan tlar belirli sald r lar tespit edildi inde otomatik olarak gerçekle tirilen eylemlerdir. Üç tür aktif yan t mevcuttur [4].
Ek bilgi toplanmas : En az zararl olmas n n yan s ra en çok kullan lan aktif yan t üphelenilen sald r hakk nda ek bilgi toplanmas d r. Bu, geceleyin garip bir ses bizi uyand rd nda ne oldu unu anlamaya çal mam za benzer. Böyle bir durumda insan daha dikkatli olur ve etraftan gelen seslere kulak kabartarak gerçekle tirece i eylem için karar vermede kullanmak üzere ek bilgi aray na girer. 'nsan için böyle olan bu durum STS içinse, bilgi kaynaklar na olan duyarl l n artt r lmas (örne in i letim sistemi izleme seçeneklerinde kaydedilen olay say s n n artt r lmas , veya hedef sistem üzerindeki belirli bir portu dinleyen bir a izleyicisinin duyarl l n n artt r larak a üzerindeki tüm paketleri dinlemeye ba lamas gibi) eklinde kendini gösterir. Ek bilgi toplaman n birçok yararlar vard r. Toplanan ek bilgi sald r n n tespit edilmesine yard mc olabilir. Bunun yan nda sald rgan n çal ma biçimi hakk nda bilgi sa lar.
Çevresel de i imler gerçekle tirilmesi : Bir di er yan t ise yap lmakta olan bir sald r y durdurarak sald rgan taraf ndan gerçekle tirilecek müteakip sald r lar durdurmaya yöneliktir. Asl nda STS’lerin belirli bir ki inin sisteme eri mesini engellemesi söz konusu de ildir. Ancak bunun için sald rgan n kullanmakta oldu u IP adresini engelleyebilir. Uzman bir sald rgan durdurmak çok zor olmakla birlikte STS’ler u eylemleri gerçekle tirerek orta seviyeli sald rganlar durdurabilir:
Kurban sistemlere ba lant y koparmak için sald rgan n ba lant s nda TCP s f rlama paketleri enjekte edilmesi.
Yönlendirici ve güvenlik duvarlar n n yeniden yap land r larak sald rgan n görünü teki yerle iminden gelen paketlerin bloklanmas .
Yönlendirici ve güvenlik duvarlar n n yeniden yap land r larak a portlar n n, protokollerin veya bir sald rgan taraf ndan kullan lan servislerin engellenmesi.
Ola anüstü durumlarda yönlendirici ve güvenlik duvarlar n n yeniden yap land r larak belirli a arayüzlerini kullanan tüm ba lant lar n kopar lmas . Sald rgana kar l k vermek : Yetkisiz eri imleri sezme tart malar n takip eden kimseler özellikle bilgi sava lar n n ya and bu devirde sald rgana kar yap lacak en iyi hareket olarak kar sald r y gösterirler. Bu yan t n en agresif biçimi kar sald r ya geçmek veya sald rgan n bilgisayar hakk nda bilgi toplamakt r. Ancak bu ekilde kar l k vermek yasal de ildir ayr ca sald rganlar gerçek a adreslerini kullanmad klar ndan yap lacak kar sald r masum insanlar hedef alabilir.
3.4.2 Pasif Yan tlar
Pasif STS’ler sistem kullan c lar na bilgi sunarak bu bilgiyi kullanan insanlar n gerekli ad mlar atmas n sa lar. Ço u ticari STS’ler pasif yan tlara güvenirler. Alarmlar ve Bildirimler : Sald r lar tespit edildi inde STS’lerin kullan c lara bilgi vermesi için kullan l rlar. Alarm n en çok kullan lan biçimi ekrana mesaj göndermek veya yeni bir pencere açarak sald r y haber vermektir. Bu, STS’nin yap land r lmas esnas nda kullan c lar taraf ndan belirtilmi STS konsolu veya di er sistemler üzerinde gösterilir. Baz STS’ler sistem güvenlik personelinin cep telefonuna uyar gönderilecek biçimde seçeneklere sahiptir. Baz ürünler di er bildirim kanallar na e-posta gönderirler. Bu çok güvenilir bir yöntem de ildir çünkü sald rganlar e-e-posta mesajlar n kontrol ederek mesajlar n yerine ula mas na engel olabilirler.
SNMP tuzaklar ve eklenti-yaz l mlar : Baz ticari STS’ler alarm ve bildirimleri olu turarak a yönetim sistemine bildirirler. Bunlar SNMP tuzaklar n kullanarak merkezi a yönetim konsoluna uyar gönderir. Bu raporlama i leminin, tespit edilen bir sald r ya kar l k bütün a altyap s n n adaptasyonunu sa lamak gibi bir faydas vard r.
4. MZA TEMELL B R SALDIRI TESP T S STEM : SNORT
Snort, IP a lar üzerinde kötüye kullan m tespiti ve gerçek-zamanl trafik analizi yapabilen bir a -temelli sald r tespit sistemidir [24]. Snort , 1990’lar n sonunda bili im güvenli i sektöründe çal an bir yaz l m mühendisi olan Martin Roesch taraf ndan kendi evindeki a na yönelik sald r lar tespit edebilmek amac ile geli tirilmi tir [6].
Kaynak kodu ile birlikte da t lan ve k sa sürede son derece popüler olan Snort yaz l m n n etraf nda çok say da geli tirici toplanm ve yaz l m n bugün endüstrideki ticari alternatifleri ile k yaslanabilir bir noktaya ula m t r. Yaz l m n artan i levselli i ve becerileri nedeniyle pek çok firma Snort temelli ticari STS çözümleri geli tirmekte ve satmaktad r. Snort günümüzde çok say da büyük kurulu taraf ndan tercih edilen bir STS haline gelmi tir. Pek çok ülkede ordular, kamu kurulu lar ve özel sektör firmalar Snort’u yo un bir biçimde kullanmaktad r.
Snort, ablon e leme tekni ine dayan r ve içerik analizi yapar. Önceden tan mlanm kötüye kullan m kurallar na göre alarm vererek, paketleri ikili tcpdump uyumlu dosyalarda veya düz metin dosyalar nda tutar. Tcpdump, a dan paket yakalayan ve bu paketleri depolayan bir yaz l md r [25].
Snort kural tabanl d r ve kullan lan dil yeni kurallar tan mlamaya elveri lidir. Bu sayede kullan c lar, varolan kurallar kendilerine göre düzenleyip kendi kurallar n ekleyebilmektedirler. Gerekli tüm özelle tirmeler düz metin dosyalar üzerinde yap lmaktad r.
Snort program aç k yaz l m olarak geli tirilmektedir ve derleme zaman nda eklemeler yap lmas na olanak tan yan bir mimariye sahiptir. Deneyimli bir C programc s olan herkes projeye kat l p yeni eklentiler yapabilir. Mimarideki bu esneklik ve parçal yap ara t rmac lara DARPA taraf ndan sponsorlu u yap lan SPICE [26] gibi projeler geli tirmeleri için önayak olmu tur.
4.1 Snort’un Özellikleri
• Snort h zl , esnek, imza temelli ve aç k kaynak kodlu bir a sald r tespit sistemidir.
• 'lk versiyonu 1998 y l nda Martin ROESCH taraf ndan geli tirilmi tir.
• Snort, a izleme ve görüntüleme yaz l m d r.
• A da olu an trafi i incelemeye ve belli kriterlere göre sald r tespiti yapmaya yarar.
• TCPdump gibi libpcap tabanl bir koklay c d r.
• Snort, paket kay tlayabildi i gibi çözümleme i levi de gerçekle tirebilmektedir.
• Güçlü bir sald r tespit motoru (engine) vard r.
• Geni letilebilir bir mimariye sahip yaz l m bulunmaktad r.
• Farkl platformlarda çal abilir (Windows, Linux, Unix).
• GPL lisansl ve ücretsizdir.
• A temelli ve kural temelli bir sald r tespit sistemidir.
• Yeni kurallar kolayca eklenerek veritaban güncel tutulabilir.
• Kural veritaban www.snort.org adresinde herkese aç k olarak sunulmaktad r. 30 dk.’l k aral klarla güncellenmektedir.
• Birden fazla snort tek merkezden yönetilebilir.
• Birçok sistem tek bir snort taraf ndan izlenebilir.
4.2 Snort’un Kötüye Kullan m Tespit Dili
Snort kural – tabanl bir a sald r tespit sistemidir (A -STS). Sonradan kural eklenmesi veya varolan kurallar n düzenlenmesini mümkün k lan esnek bir kural tan mlama diline sahiptir. Her bir kural iki k s mdan olu ur: Kural ba l ve Kural
seçenekleri. Kural ba l be bölümdür; kural tepkisi(sald r tespit edildi inde
verilecek tepki), uçlar aras ndaki kaynak ve hedef bilgisi(protokole özgü kaynak ve hedef IP adresleri ve port numaralar ), trafik ak yönü bilgisi ve protokol türü(TCP, UDP veya ICMP).
Eekil 4.1 : Snort Kural Yap s
Kural seçenekleri, belirtilen kötüye kullan m i leminin gerçekle ip gerçekle medi ine karar vermede kullan lan çe itli ko ullardan olu ur. Örnek bir Snort kural 2ekil 4.1’de verilmektedir. Her kural n ilk alan eylemdir. Bu alan n alabilece i de erler log, alert, pass, activate veya dynamic’tir ve bu giri ler ile kriterlerde e le me oldu unda gerçekle tirilecek eylem olarak tan mlanabilir. 2ekil 4.1’deki kuralda seçilen eylem ‘alert’tir. Bunun anlam kuralda belirtilen kriterle e le en bir giri geldi inde, bir alarm olu turulaca d r. Sonraki alan protokol bilgisini göstermektedir. Alabilece i de erler TCP, UDP, veya ICMP olabilir. Örnek kuraldaki protokol TCP’dir. Üçüncü ve dördüncü alanlar kaynak adreslerden olu ur; ilk k s m IP adresi, ikinci k s m kaynak port numaras d r. E er bu alanda “any any” eklinde de erler bulunuyorsa bu, paketlerin herhangi bir IP adresinden ve herhangi bir TCP portundan gelebilece ini gösterir. Protokolün ICMP olmas halinde port numaras kullan lmaz, yaln zca TCP ve UDP için bu alan anlaml d r. Be inci alan bilgi ak yönünü göstermektedir. Alt nc ve yedinci alanlar hedef adreslerden olu ur. Örnek kuraldaki hedef IP adresi 10.1.2.0/24 olarak verilmi tir ve C s n f bir a daki bütün IP adreslerini e ler. Bu örnekte TCP hedef portu 25 olarak ayarlanm t r. 25 numaral port, Simple Mail Transfer Protocol (SMTP) için kullan lmaktad r [27]. Hedef adresi takiben parantez içinde seçenekler listesi bulunmaktad r. Her seçenek bir seçenek ismi, varsa seçenek de eri ve seçene in biti ini gösteren bir noktal virgülden olu ur. 2ekil 4.1’de gösterilen kuralda ilk seçenek ‘msg’dir ve eylem mesaj n belirtmek için kullan lm t r. 'kinci seçenek olan ‘content’, bir ablon
