ANKARA ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ
YÜKSEK LİSANS TEZİ
SALDIRI TESPİT SİSTEMLERİNDE YAPAY SİNİR AĞLARININ KULLANILMASI
Haluk TANRIKULU
ELEKTRONİK MÜHENDİSLİĞİ ANABİLİM DALI
ANKARA 2009
Her Hakkı Saklıdır
TEZ ONAYI
Haluk TANRIKULU tarafından hazırlanan “Saldırı Tespit Sistemlerinde Yapay Sinir Ağlarının Kullanılması” adlı tez çalışması aşağıdaki jüri tarafından 10/02/2009 tarihinde oy birliği ile Ankara Üniversitesi Fen Bilimleri Elektronik Mühendisliği Anabilim Dalı’nda YÜKSEK LİSANS TEZİ olarak kabul edilmiştir.
Danışman : Yrd. Doç. Dr. Murat H. SAZLI
Jüri Üyeleri :
Üye : Doç. Dr. Ziya TELATAR
Ankara Üniversitesi Elektronik Mühendisliği Anabilim Dalı
Üye :Yrd. Doç. Dr. Murat H. SAZLI
Ankara Üniversitesi Elektronik Mühendisliği Anabilim Dalı
Üye :Yrd. Doç. Dr. Süleyman TOSUN
Ankara Üniversitesi Bilgisayar Mühendisliği Anabilim Dalı
Yukarıdaki sonucu onaylarım.
Prof. Dr. Orhan ATAKOL Enstitü Müdürü
ÖZET
Yüksek Lisans Tezi
SALDIRI TESPİT SİSTEMLERİNDE YAPAY SİNİR AĞLARININ KULLANILMASI
Haluk TANRIKULU
Ankara Üniversitesi Fen Bilimleri Enstitüsü
Elektronik Mühendisliği Anabilim Dalı
Danışman : Yrd. Doç. Dr. Murat H. SAZLI
İnternet’in yaygınlaşması ile bilgisayar ağları üzerinde oluşan saldırılar artmaktadır. Gelişen yazılım teknolojileri sayesinde geleneksel savunma ve tespit sistemlerinin yerine daha hızlı ve saldırıyı önceden sezebilen akıllı savunma mekanizmaları geliştirilmiştir.
Bu çalışma kapsamında ağ üzerindeki bilgi sistemlerine yapılan saldırıların tespitinde Yapay Sinir Ağlarının (YSA) kullanılması araştırılmış, yüksek başarımı tespit edilmiş ve örnek bir saldırı tespit sistemi (STS) oluşturulmuştur.
Bu tez çalışmasında STS’lerin oluşturulmasında kullanılan YSA’nın ağ güvenliği kapsamında ne gibi görevler üstlendiği ve nasıl çözümler ürettiği incelenmektedir.
Deneylerde Defense Advanced Research Projects Agency (DARPA) tarafından yapılan çalışmalarda oluşturulan veri setleri kullanılmıştır. Bu veri setleri düzenlenerek MATLAB üzerinde örnek bir STS oluşturulmuş ve oluşturulan STS’lerde çok katmanlı algılayıcılar (ÇKA) kullanılmış, geliştirilen modelin ağ güvenliğinde kullanılması ve başarısı için önerilerde bulunulmuştur. DARPA eğitim veri setleri üzerinde düzenleme ve gerekli değişikliler yapıldıktan sonra YSA’ın eğitiminde kullanılmıştır. Eğitilen YSA, DARPA tarafından oluşturulan test veri setleri ile test edilmiş ve YSA’nın dışarıdan yapılan saldırıları tespit ettiği gözlenmiştir. Saldırıların tespitinde YSA’nın normal veri akışı içine saklanan anormal veri akışını ve kötüye kullanım saldırılarını başarılı bir şekilde sınıflayabildiği izlenmiştir.
Oluşturulan YSA’nın başarımını artırmak için farklı yöntemler kullanılmıştır. Kullanılan yöntemlere göre başarı oranları karşılaştırılmış, hız ve başarım açısından üstünlükleri tartışılmıştır.
Şubat 2009, 92 sayfa
Anahtar Kelimeler: saldırı tespit, yapay sinir ağları, çok katmanlı algılayıcı, saldırı tespit sistemleri, DoS atakları, bilgisayar ağları.
ABSTRACT
Master Thesis
INTRUSION DETECTION SYSTEM USING NEURAL NETWORKS Haluk TANRIKULU
Ankara University
Graduate School of Natural and Applied Sciences Department of Electronic Engineering
Supervisor : Asst. Prof. Dr. Murat H. SAZLI
Network intrusions increase steadily with the rapid expansion of Internet. By means of the development of software technologies, conventional defense and identification systems were replaced with the rapid and proactive sensible systems.
In the present study, neural networks in the detection of intrusions towards information systems were analyzed and high performance was determined and a sample intrusion detection system was constructed.
Benefits of neural networks in the intrusion detection systems and the solutions are examined in this research.
Data sets produced by Defense Advanced Research Projects Agency (DARPA) are reorganized and used in the experiments.
With these sets, an example intrusion detection system (IDS) using Multi Layer Perceptrons (MLP) is established in MATLAB. Consequently, suggestions are made in order to use the proposed system in the network security. After making required changes on DARPA data sets, they are used in training various neural networks. Then, the trained neural networks are tested by DARPA test data. Finally, we observed that the proposed method using neural networks is quite successful in detecting intrusions. In the detection of intrusions, neural networks could find abnormal data flow mixed with normal data flow.
Besides, misuse intrusions are successfully classified.
In order to maximize the performance of the proposed neural networks within the scope of this thesis, various methods are used. Success rates were compared with respect to the employed methods and speed and performance advantage are discussed.
February 2009, 92 pages
Key Words: intrusion detection, artificial neural networks, multi layer perceptron, intrusion detection system, DoS attacks, computer networks.
TEŞEKKÜR
Çalışmalarımı yönlendiren, araştırmalarımın her aşamasında bilgi, öneri ve yardımları ile bana destek veren danışmanım Yrd. Doç. Dr. Murat H. SAZLI’ya (Ankara Üniversitesi Mühendislik Fakültesi), yüksek lisans eğitimim boyunca desteğini ve yardımlarını esirgemeyen Doç. Dr. Gökhan İLK’e (Ankara Üniversitesi Mühendislik Fakültesi), oyun vakitlerini çaldığım sabırlı kızlarım Ezgi ve Duru’ya, anlayışı ve desteği için eşim Fazi’ye teşekkür ederim.
Haluk TANRIKULU Ankara, Şubat 2009
İÇİNDEKİLER
ÖZET ...i
ABSTRACT ...ii
TEŞEKKÜR ...iii
SİMGELER DİZİNİ...vii
ŞEKİLLER DİZİNİ ...x
ÇİZELGELER DİZİNİ...xii
1. GİRİŞ...1
1.1 Problemin Açıklanması ...1
1.2 Önceki Çalışmalar...3
1.3 Araştırma Veri Setleri ...4
1.4 Çalışmanın Amacı ...6
1.5 Çalışma Yöntemi ...6
1.6 Çalışmada Kullanılan Program ve Uygulamalar ...7
1.7 Çalışmanın İçeriği ...7
2. BİLGİSAYAR AĞLARI, İNTERNET VE TCP/IP PROTOKOLÜ...8
2.1 Giriş ...8
2.2 TCP/IP ………...9
2.2.1 İletişim kontrol protokolü katmanı (TCP katmanı)………..11
2.2.2 İnternet protokolü – IP………....12
2.2.2.1 İnternet protokolü (IP) paket yapısı ..………...13
2.3 Ağ İzleme Araçları………...16
2.3.1 TCPdump………..17
2.3.2 Ethereal ……….17
2.4 Bölüm Özeti………..………17
3. SALDIRI TESPİT SİSTEMLERİ (STS)……….18
3.1 Tanımlar……….……….…….………18
3.2 STS’lerin Sınıflandırması ………..19
3.3 Saldırı Tipleri ve Özellikleri ………..21
3.4 Tespit Edilecek Saldırılar ………..22
3.4.2 “The Ping of Death” – Pod saldırısı .………..25
3.5 Bölüm Özeti ………25
4. YAPAY SİNİR AĞLARI………..26
4.1 Giriş ………..26
4.2 Yapay Sinir Ağlarının Tanımı ………..….26
4.3 Yapay Sinir Hücresi ………...28
4.4 Yapay Sinir Ağının Yapısı ……….………32
4.5 Yapay Sinir Ağ Modelleri ……….……….…………33
4.5.1 Tek katmanlı algılayıcılar……..…...………..………...……..34
4.5.1.1 Basit algılayıcılar…..…………..…….……….…….34
4.5.1.2 ADALINE/MADALINE modeli………...…….…...35
4.5.2 Çok katmanlı yapılar ……….…………..36
4.5.2.1 ÇKA’nın yapısı ……….37
4.5.2.2 Çok katmanlı ileri beslemeli ağ ………...39
4.5.2.3 Geri yayılım ağı ve algoritması ………40
4.6 Yapay Sinir Ağının Öğrenmesi ……….43
4.6.1 Öğretmenli öğrenme……….……….…...44
4.6.2 Öğretmensiz öğrenme ……..………...……….…45
4.7 Yapay Sinir Ağlarının Temel Özellikleri…….………...46
4.8 Yapay Sinir Ağlarının Avantajları ……….……….……….……...47
4.9 Bölüm Özeti ……….…47
5. VERİ SETLERİ ………..….………...…..48
5.1 DARPA Veri Seti ...………...48
5.2 Veri Setinin Formatı ………...50
5.3 Eğitim Veri Setinin Oluşturulması ...………….….…..…52
5.3.1 Kullanılacak veri seti özellikleri ……….54
5.4 Veri Setinin Kullanımı...……….………...58
5.5 Bölüm Özeti ...….……….……….……...58
6. UYGULAMALAR ...……….………...…...60
6.1 Giriş ...……….……….………..………….60
6.2 YSA’ların Oluşturulması………...60
6.2.1 Deney grafikleri ……….………..61
6.3 Doğrudan Eğitim Yöntemi Kullanılarak Yapılan Deneyler ...61
6.3.1 Deney -1 : Bilinen saldırıların (Neptuen, Pod) bulunması...62
6.3.2 Deney -2 : Bilinmeyen saldırının (SATAN) bulunması ………..…….65
6.4 Saldırıları Ayrı Ayrı Tanıyan Eğitim Setlerinin Kullanılması Yöntemi ...67
6.4.1 Deney -3 : Bilinen saldırıların (Neptune, Pod) bulunması ...67
6.4.2 Deney -4 : Bilinmeyen saldırının (SATAN) bulunması ...72
6.5 Deney Sonuçları...76
6.5.1 Başarım oranının tespiti ………...76
6.5.1.1 Saldırı bulma başarım oranının tespit edilmesi………..77
6.5.1.2 Normal ağ trafiğinin başarım oranının tespit edilmesi………..77
6.5.2 Deneylerin başarım oranları ve süreleri ...78
6.6 Bölüm Özeti ...………...80
7. TARTIŞMA ve SONUÇ…...82
KAYNAKLAR………...……....87
EKLER ………...91
EK 1 Doğrudan Eğitim Yönteminde Kullanılan Eğitim Veri Seti Bilinen ve Bilinmeyen Saldırıların Bulunması (CD) EK 2 İki Yöntemde de Kullanılan Test Veri Seti - Bilinen Saldırıların Bulunması (CD) EK 3 İki Yöntemde de Kullanılan Test Veri Seti - Bilinmeyen Saldırıların Bulunması (CD) EK 4 Saldırıları Ayrı Ayrı Tanıyan Eğitim Yöntemi – Eğitim Veri Setleri (CD) EK 5 Başarılı Ağın Bulunması İçin Oluşturulan MATLAB Kodları (CD) EK 6 Başarılı Ağın Bulunması İçin Yapılan Testlerin Sonuçları (CD) ÖZGEÇMİŞ ………..………92
SİMGELER DİZİNİ
ABD Amerika Birleşik Devletleri
ACK Acknowledge ADALINE Adaptive Linear Neuron (Adaptif/Uyumlu Doğrusal Nöron)
ANN Yapay Sinir Ağları (Artificial Neural Network)
ARP Adres Çözümleme Protokolü
ARPANET DARPA’nın oluşturduğu ilk bilgisayar ağ ART YSA çıktılarının aritmetik ortalaması
BP Geri Yayılım (Back Propagation)
ÇKA Çok Katmanlı Algılayıcı
DARPA Savunma İleri Araştırma Projeleri Teşkilatı (Defense Advanced Research Projects Agency)
DoS Hizmet Engelleme (Denial of Service)
DF Parçalama (Don’t Fregment)
DVM Destek Vektör Makinaları
FBI Federal Bureau of Investigation
FTP Dosya Aktarım Protokolu (File Transfer Protocol) HTTP Bağlantılı Metin Aktarım Protokolu (Hypertext
Transfer Protocol)
ICMP İnternet Kontrol Mesajı Protokolü (Internet Control Message Protocol)
IDEVAL Saldırı Tespiti Değerledirmesi Veri Seti (Intrusion Detection Evaluation Data Sets)
IDS Intrusion Detection Systems
IP İnternet Protokolü (Internet Protocol)
IPSec IP Security
IPv4 IP sürüm 4
IPv6 IP sürüm 6
ICMP Internet Control Message Protocol
KDD Knowledge Discovery and Data Mining Tools Competition
LAN Yerel Alan Ağı
LM Levenberg-Marquardt
MAC Media Access Controler
MATLAB Mathworks firmasının bir ürünü
MF Daha çok parça (More Fregments)
MIT Massachusetts Teknoloji Enstitüsü (Massachusetts Institute of Technology)
MLP Çok Katmanlı Perseptron (Multilayer Perceptron) NAT Network Address Translator
NBO Normal ağ trafiğinin başarım oranı (%),
NCP Network Control Protocol
NN Neural Networks
OS İşletim Sistemi (Operating System)
Pod The ping of death
R2L Uzaktan Yerele (Remote to Local)
RFC Request For Comments
SBBO Saldırı bulma başarım oranı (%),
SMTP Basit Posta Gönderme Protokolü (Simple Mail
Transfer Protocol)
SOM Kendini Örgütleyen Haritalar (Self-Organizing
SRI Stanford Research Institute STS Saldırı Tespit Sistemleri (Intrusion Detection
Systems)
SVM Support Vector Machines
SYN Senkronize (Synchronous)
TCP Transmission Control Protocol
TCPdump Paket Yakalama Programı
TCP/IP Transmission Control Protocol / Internet Protocol
TKA Tek Katmanlı Algılayıcı
U2L Kullanıcıdan Yerele (User to Local)
U2R Kullanıcıdan Yöneticiye (User to Root)
UCLA University of California at Los Angeles
UCSB University of California at Santa Barbara
UDP Kullanıcı Veri Birimi Protokolü (User Datagram Protocol)
YSA Yapay Sinir Ağları (Artificial Neural Networks) WWW Dünya Geniş Ağı
ŞEKİLLER DİZİNİ
Şekil 1.1 Birinci Yöntem : Doğrudan Eğitim Yöntemi .………..………...5
Şekil 1.2 İkinci Yöntem : Saldırıları ayrı ayrı tanıyan eğitim setlerinin kullanılması...5
Şekil 2.1 OSI Modeli ve TCP/IP Modeli ..……….……….…....9
Şekil 2.2 TCP/IP Mimarisi………….………..………..…….11
Şekil 2.3 TCP Yığını ……….……….………...12
Şekil 2.4 IP paket başlığı ……….………..….…….………...13
Şekil 2.5 IPv4’te IP adreslerinin sınıflandırılması..……….………..…....16
Şekil 3.1 Hizmet engelleme saldırı tipleri …...22
Şekil 3.2 SYN Flooding saldırısı …….………..……….….………..…24
Şekil 4.1 Biyolojik sinir hücresinin yapısı ...28
Şekil 4.2 Yapay sinir hücresi (işlem elemanı)...29
Şekil 4.3 Aktivasyon fonksiyonları ……….…..….31
Şekil 4.4 Yapay sinir ağı katmanları ………..33
Şekil 4.5 Tek katmanlı algılayıcı modeli ………34
Şekil 4.6 Basit algılayıcı modeli ……….………...…….35
Şekil 4.7 İki ADALINE ağından oluşan MADALINE ağı ………36
Şekil 4.8 Çok katmanlık YSA modeli ………...….………38
Şekil 4.9 Çok katmanlı ileri beslemeli bir ağ örneği………...40
Şekil 5.1 DARPA ağının topolojisi...………..….………...49
Şekil 5.2 DARPA veri setlerindeki saldırıların kurban sunuculara dağılımı…………..50
Şekil 5.3 TCPdump komutu ile elde edilen DARPA verileri ……….51
Şekil 5.4 DARPA verilerinin Ethereal program ile işlenmiş hali………52
Şekil 5.5 DARPA veri seti sütun başlıkları …….………...53
Şekil 5.6 Çalışmada kullanılacak veri seti özelliklerini belirten sütun başlıkları………54
Şekil 5.7 Kullanılan veri seti başlıkları ………..55
Şekil 5.8 Neptune saldırısını gösteren veri seti örneği………57
Şekil 5.9 Normal ağ trafiğini gösteren veri seti örneği ………...………58
Şekil 6.1 MATLAB kodları (Bilinen saldırıların (Neptune, Pod) bulunması ...…….63
Şekil 6.2 Deney 1, deneme -1 grafiği ……….63
Şekil 6.3 Deney 1, deneme -2 grafiği ……….64
Şekil 6.4 Deney 1, deneme -3 grafiği ……….64
Şekil 6.5 MATLAB kodları (bilinmeyen saldırının bulunması)……….65
Şekil 6.6 Deney 2, deneme -1 grafiği ……….…..….……….66
Şekil 6.7 Deney 2, deneme -2 grafiği ……….………..……..66
Şekil 6.8 Deney 2, deneme -3 grafiği ……….……….…………..….67
Şekil 6.9 MATLAB kodları ……….………….…………..…68
Şekil 6.10 Deney 3, deneme -1 grafikleri ………..……….………….…………...69
Şekil 6.11 Deney 3, deneme -2 grafikleri …………..……….………70
Şekil 6.12 Deney 3, deneme -3 grafikleri ………..….………71
Şekil 6.13 Deney 4’te kullanılan MATLAB kodları………..……….………...72
Şekil 6.14 Deney 4 – Deneme 1: Bilinmeyen saldırının yakalanması ……….………..73
Şekil 6.15 Deney 4 – Deneme 2: Bilinmeyen saldırının yakalanması ………….……..74
Şekil 6.16 Deney 4 – Deneme 3: Bilinmeyen saldırının yakalanması …..…..…..….…75
Şekil 6.17 Deneylerde kullanılan veri setleri ……….……….……...….81
ÇİZELGELER DİZİNİ
Çizelge 3.1 Saldırı isimleri ve sayısal değerleri ……….…23
Çizelge 4.1 Toplama fonksiyonları………...30
Çizelge 4.2 Aktivasyon fonksiyonları ………....32
Çizelge 5.1 Servis isimlerinin sayısal forma dönüştürülmesi ……….56
Çizelge 6.1 Deney 1 – Süre ve başarım oranları ………..………...78
Çizelge 6.2 Deney 2 – Süre ve başarım oranları ………….……….………...78
Çizelge 6.3 Deney 3 – Süre ve başarım oranları ……..………...79
Çizelge 6.4 Deney 4 – Süre ve başarım oranları ………....79
Çizelge 7.1 Ortalama Başarım Oranları ……… ………....82
Çizelge 7.2 Önceki Çalışmaların Başarım Oranları ….……….………....84
1. GİRİŞ
İnternet ve yerel ağ sistemlerinin hızlı gelişimi ve yaygınlaşması özellikle son yıllarda bilgisayar ve bilgi iletişim dünyasını köklü bir biçimde değiştirmektedir. İnternet özellikle iş dünyasında yeni açılımların ve fırsatların doğmasında büyük bir rol oynamaktadır. Bunun doğal sonucu olarak ortaya çıkan yeni iş yapma şekilleri, kurumların daha karmaşık bilgi ağları oluşturmasına neden olmuştur. Sonuçta veri dağıtma sistemleri, depolama sistemleri, şifreleme ve doğrulama teknikleri, IP (internet protokolü) üzerinden ses ve video aktarımı, uzaktan erişim, kablosuz erişim teknikleri ve son kullanıcının oyuncağı olan web servisleri geliştirilmiştir. Bu sayede ortak ağlar yani internet daha erişilebilir bir hale gelmiştir.
Gün geçtikçe internete bağlanan bilgisayar sayıları ve kullanıcılarının artması ağ sistemlerine izinsiz giriş yapmak isteyenler (intruders) ve ağ korsanlarının (hackers) sayısını artırmıştır. İnternette kullanılan yazılımların, sistemlerin, protokollerin açıklarını kullanan saldırganlar yaptıkları saldırılar ile sistemlere geçici veya kalıcı zararlar vermektedirler. Bilgisayar Güvenliği Enstitüsü ve FBI’ın (Federal Bureau of Investigation) yayınladığı 2005 bilgisayar suçları ve güvenlik teftişi yıllığına göre, şirketlerin ağ saldırılarından kaynaklanan finansal kayıp 130 milyon dolardır (Patcha 2006).
1.1 Problemin Açıklanması
Günümüzde şirketlerin ve kurumların bilgi güvenliğine verdikleri önem gittikçe artmaktadır. Virüs, solucan ve benzeri şekilde olabilecek saldırılardan korunmak için kullanabilecek anti-virüs, firewall gibi yazılım ve donanımlar bulunmaktadır. Ancak bu yöntemlerin günümüzde yeterli olmadığı anlaşılmıştır. Çünkü tüm bu koruma sistemleri yalnızca önceden bilinen ve tanımlanmış olan saldırılara veya virüslere karşı etkili olmaktadır. Bilgi sistemlerinin güvenliğinde kullanılan bu geleneksel yaklaşım, sistemi sadece çevresindeki ağ bağlantılarından gelebilecek bildik saldırılardan korumaktadır.
Bu amaç ile farklı tanımlama metotları, doğrulama ve zorunlu erişim kontrol teknikleri kullanılmaktadır. Geleneksel güvenlik sistemleri oldukça karmaşık bir yapıya sahip
olduğundan oluşturulan güvenlik politikaları kullanıcılar tarafından hassasiyetle uygulanamamaktadır. Çünkü güvenliğin felsefesine uygun bir koruma bilgisayar ağlarını kullananların aktivitelerini ve üreticiliğini sınırlamaktadır (Ilgun et al. 1995).
Bu nedenle geleneksel güvenlik sistemlerinin pratik olmayan çözümlerine alternatifler aranmaya başlanmıştır. Şirketler, araştırma firmaları, organizasyonlar kendi ağ yapılarındaki veri akışının güvenliğini sağlayarak bilgilerin korunması için farklı yöntemler geliştirmeye başlamışlardır. Bu sistemlere genel olarak saldırı tespit sistemleri (STS) denilmektedir. Saldırı tespit sisteminin amacı organizasyonun güvenlik politikasına uymayan aktiviteleri tanımlamaktır. STS kısaca bilgi sistemini denetler ve herhangi bir saldırı olması halinde yetkiliye uyarı mesajı gönderir veya belirlenmiş bir savunma mekanizması var ise onun devreye girmesini sağlar.
STS’lerin oluşturulmasında istatistik, yapay zeka, veri madenciliği gibi farklı yöntemler kullanılmıştır. STS’lerde kullanılan yöntemlerin oluşturduğu çözümlerde sistemlerin hızlı çalışması, saldırıların doğru algılanması ve doğru tespitte bulunulması önemlidir.
Bu nedenle zeki sistemler, özellikle YSA 1990’lardan sonra yaygın bir şekilde STS oluşturulmasında kullanılmaya başlanmıştır.
Kaplantzis and Mani (2006) saldırı tespitinde yüksek doğrulukta başarının YSA ile sağlandığını belirtmişlerdir. Saldırı tespit sistemleri aslında normal ve anormal veri paket akışlarını birbirlerinden ayırarak sınıflandırmaktadır. Kaplantzis and Mani (2006) STS’lerde kullanılan üç tip sınıflandırmayı (K-kare en yakın komşuluğu, YSA ve destek vektör makinaları (DVM, support vector machines (SVM)) yaptığı çalışmada karşılaştırmışlardır. Çalışmada DVM’in kısa zamanda kabul edilebilir bir hassasiyette saldırıyı yakaladığı, YSA’nın ise uzun süreli eğitimler sonunda yüksek başarım ile saldırıları kesin olarak tespit ettiği belirtilmiştir.
Bu tez çalışmasında saldırıların YSA ile tespitindeki yaklaşımlar araştırılmış, uygun çözümler için öneriler ortaya konulmuştur.
1.2 Önceki Çalışmalar
YSA’nın saldırı tespit sistemlerinde uygulamaları 1998 yılında Cannady’in çalışmalarında görülmeye başlanmıştır. Cannady (1998) çalışmasında ağ üzerinde kötü amaçlı saldırıların tespit edilmesinde YSA’nın nasıl kullanılacağına dair metotlar geliştirmiştir. Cannady YSA’nın STS’lerde kullanılmasındaki avantaj ve dezavantajlarını belirlemeye çalışmıştır. Sonuç olarak Cannady saldırı tespit sistemlerini oluşturmada YSA’nın çok uygun çözümler üretebileceğini öngörmüştür. Ayrıca söz konusu çalışma iyi eğitilmiş bir YSA’nın etkili bir şekilde saldırıları yakalayabileceğini ve sürdürülebilir bir performans ortaya koyabileceğini göstermiştir. Cannady’nin çalışması ağ temelli saldırı tespit sistemlerinde YSA’ların kullanılabileceğini gösteren ilk ciddi çalışmadır.
Ryan et al. (1998) ise çalışmasında bir sinir ağını geri yayılım algoritması ile eğiterek, ağ üzerinde çalışan aktif kullanıcıların neler yaptığını ve ağdaki bilgisayarların işletim sistemlerini tespit etmiştir. Bu çalışmada oluşturulan yazılım “Neural Network Intrusion Detection” olarak bilinmekte ve Unix işletim sistemi üzerinde çalışmaktadır. Söz konusu çalışmada ağa bağlanan tüm kullanıcıların bilgileri ve sistem üzerinde yazdıkları her komut izlenmiştir. Çalışmada sistemlerin saldırı niteliğindeki kötü veya yanlış kullanımları kaydedilmiş ve bu kayıtlar kullanılarak kötüye kullanım tespit edilmiştir.
Aynı çalışmanın benzeri Lipmann et al. (1999) tarafından gerçekleştirilmiştir. Lipmann ve Ryan’ın yaptığı çalışmalar literatüre, anahtar kelime sayma temelli kötüye kullanım tespit sistemi (keyword-count-based misuses detection system) olarak geçmiştir.
Ghost et al. (1999) çalışmalarında, Ryan’ın kişi davranış profillerinin incelenmesi yerine, program davranış profillerini analiz eden sinir ağları oluşturmuşlardır. Bu metot belirli programların normal sistem davranışlarını tanımakta ve elde edilen bilgiyi mevcut sistem davranışı ile karşılaştırmaktadır. Ghost and Schwartzbard (1999) çalışmalarında hem ağda oluşan anormallikleri hem de kötü kullanımları YSA kullanarak tespit etmişlerdir.
Moradi and Zulkernine (2004) YSA’yı çevrimdışı (offline) STS uygulamalarında kullanmışlardır. Moradi ve Zulkernine’nin çalışmaları çok katmanlı algılayıcı (ÇKA- Multi Layer Perceptron (MLP)) temelli YSA’lar ile başarılı sonuçlar alınabileceğini göstermiştir. Moradi and Zulkernine (2004) çalışmalarında, saldırının tespit edilmesinden çok saldırıların sınıflandırılması üzerine yoğunlaşmışlardır.
Çalışmalarında düzenli eğitilmiş sinir ağlarının kullanılması ile oluşturulan STS’lerin çevrimiçi (online) çalışabilecekleri gösterilmiştir.
Sazlı ve Tanrıkulu (2007) internet ortamından topladıkları veri paketleri içerisinde saklanan saldırıları tespit etmek için bir YSA oluşturmuşlardır. ÇKA kullanılarak oluşturulan YSA DARPA eğitim veri setleri ile eğitilmiş ve gerçek ağ trafiği ile test edilmiştir.
Zanero (2004) çalışmasında, STS oluşumunda öğretmensiz öğrenme yöntemlerinden biri olan kendini örgütleyen haritalar (self-organizing maps-SOM) kullanmış ve başarı sağlamıştır. Benzer bir çalışma Öksüz (2007) tarafından yapılmış ve SOM kullanan bir STS testlerde başarılı olmuştur. Lichodzijewski et al (2002) tarafından yapılan çalışmada, DARPA veri setleri oldukça sadeleştirilmiş ve SOM bu sadeleştirilmiş veri setlerine göre oluşturulmuştur.
Bu çalışmada çevrimdışı bir STS oluşturulmuş ancak Moradi’nin çalışmasından farklı olarak çok az sayıda özellik kullanılmıştır. Temel DARPA veri setleri yeniden düzenlenerek, YSA’nın hem eğitilmesinde hem de test edilmesinde kullanılmıştır.
1.3 Araştırma Veri Setleri
1998 yılında DARPA tarafından yapılan çalışmalarda oluşturulan veri setleri STS tasarımlarında yaygın bir şekilde kullanılmış ve başvuru niteliğinde bir kaynak olmuştur. DARPA veri setleri ile hem istatistiki yöntemlerde hem de YSA’lar da kullanılarak farklı yapılarda STS’ler oluşturulmuştur. Ayrıca bu veri setlerinin kullanılması ile mevcut STS’ler de test edilmiştir. Bu çalışmada YSA’ların
eğitimlerinde DARPA veri setleri sayısallaştırılarak kullanılmış, saldırı tipine göre farklı eğitim setleri hazırlanmıştır. DARPA veri setleri detaylı olarak bu çalışmanın dördüncü bölümünde anlatılmaktadır.
Bu çalışmada başarım oranlarının karşılaştırılması için farklı yöntemler kullanılmıştır.
Bu farklı yöntemler için DARPA tarafından üretilen eğitim setleri özelleştirilmiş ve ilgili olan iki yönteme uygun hale getirilmiştir. Birinci yöntemde özelleştirilmiş eğitim veri seti doğrudan tek bir eğitim seti olarak sinir ağına öğretilmiştir. Oluşturulan YSA’nın öğrenme hızı ve saldırı tespit oranı (başarım oranı) ölçülmüştür. İkinci yöntemde ise saldırılara özgü YSA’lar oluşturulmuştur. Bu nedenle eğitim setleri her bir saldırı için ayrı ayrı hazırlanmış ve ilgili sinir ağının eğitiminde kullanılmıştır. Normal ağ trafiğini tanıyan sinir ağı da sadece normal ağ trafiğine ait eğitim veri seti ile eğitilmiştir. Her iki yöntemle eğitilen YSA’lar DARPA’nın hazırladığı aynı test veri seti ile test edilmiştir. Oluşturulan YSA’ların öğrenme hızı ve saldırı tespit oranları ölçülmüştür. Yukarıda belirtilen yöntemler Şekil 1.1 ve Şekil 1.2’de şema halinde gösterilmiştir.
Şekil 1.1 Birinci yöntem : Doğrudan Eğitim Yöntemi
Şekil 1.2 İkinci yöntem : Saldırıları ayrı ayrı tanıyan eğitim setlerinin kullanılması
DARPA Veri Seti
Tüm Saldırıları Bilen Tek Bir Sinir Ağı Eğitim
DARPA Veri Seti
Neptune Eğitim
POD Eğitim Seti
Normal Eğitim Seti Eğitimler
Neptune
POD YSA
NORMAL
DARPA veri setleri veri madenciliği yöntemi ile KDD’99 Cup (Knowledge Discovery and Data Mining Tools Competition) çerçevesinde yapılan bir çalışma ile daha detaylı bir şekle kavuşmuştur. Temel DARPA veri setinde her bağlantıda 11 özellik bulunur iken KDD’99 Cup veri setinde 41 özellik bulunmaktadır. Bağlantılardaki özellik sayılarının artması nedeni ile YSA’ların eğitim süreleri artmaktadır. Bu nedenle bu çalışmada KDD’99 Cup veri setleri yerine temel DARPA veri setleri kullanılmıştır.
1.4 Çalışmanın Amacı
Bu çalışmanın amacı çok katmanlı algılayıcılar kullanılarak bilgisayar ağlarında oluşan saldırıların tespit edilmesi ve farklı eğitim yöntemlerine göre oluşturulan YSA’ların gösterdikleri başarım oranlarının karşılaştırılmasıdır.
1.5 Çalışma Yöntemi
Bu çalışmada saldırı tespit sistemlerinde kullanılan YSA’ların eğitim yöntemlerinin araştırılması ve karşılaştırılmasını içermektedir. Çalışmada iki yöntem önerilmiştir:
- Tüm saldırıların tek bir YSA ile bulunması,
- Her saldırı için farklı eğitim setleri ile eğitilmiş YSA’ların kullanılması.
Yöntemlerin oluşturulması ve karşılaştırılması için aşağıda sıralanan yollar takip edilmiştir.
İnternet ortamında görülen saldırılardan “Neptune”, “The ping of death - Pod” ve bir yoklama (probe) atağı olan “SATAN” ın bulunması için ÇKA kullanılarak çok sayıda yapay sinir ağı oluşturulmuştur. Sinir ağının kurulmasında MATLAB programı kullanılmıştır. YSA’nın eğitilmesinde DARPA veri setleri kullanılmıştır. DARPA deneyinde elde edilen test veri setleri çalışmamızda test veri seti olarak kullanılmış ve oluşan saldırıların tespit edilmesine çalışılmıştır.
1.6 Çalışmada Kullanılan Program ve Uygulamalar
Çalışmamızda veri setlerini incelemek için TCPdump ve “Ethereal Paket Analiz”
programları kullanılmıştır. Tcpdump uzantılı dosyaları açmak için “Editpcap” programı, DARPA tarafından üretilen ham verinin düzenlenmesi ve sayısallaştırılması için elektronik tablolama programı olan MS Excel programı kullanılmıştır. YSA’nın oluşturulması ve test edilmesi için MATLAB programının “Neural Networks” (NN) bileşeni kullanılmıştır.
1.7 Çalışmanın İçeriği
Çalışmanın ikinci bölümünde bilgisayar ağları, internet ve TCP/IP incelenmiştir.
Üçüncü bölümde STS’lerin ne şekilde yapılandıkları, hangi yöntemleri kullandıkları incelenmiştir. Bu bölüm kapsamında genel olarak saldırı tipleri ve özellikleri ele alınmıştır.
Çalışmanın dördüncü bölümünde YSA’nın çalışma prensipleri anlatılmıştır. Bu bölümde genel olarak YSA’nın ne olduğu, yapısı, tipleri ve özellikleri anlatılmıştır. Bu çalışmada kullanılacak ÇKA modeli detaylı olarak bu bölümde açıklanmıştır.
Beşinci bölümde çalışmada kullanılan yöntemler, veri setlerinin oluşturulması, eğitim ve test veri setlerinin özellikleri anlatılmıştır.
Altıncı bölümde yapılan deneyler anlatılmıştır. Deney sonuçları grafikler halinde verilmiştir.
Yedinci bölüm ise sonuçların açıklandığı ve tartışmanın yapıldığı bir bölüm olarak sunulmuştur.
2. BİLGİSAYAR AĞLARI , İNTERNET VE TCP/IP PROTOKOLÜ
STS’ler bilgisayar ağları ve internet üzerinde oluşan saldırıları tespit etmektedir. Bu nedenle bu bölümde bilgisayar ağlarının çalışma prensipleri ve internet hakkında bilgi verilecektir. Ayrıca internet üzerinde bilgilerin taşınması ve kontrolünü sağlayan iletişim kontrol protokolü (TCP -Transmission Control Protocol) ve paketlerin adreslenerek iletilmesi ile ilgilenen internet protokolü (IP) açıklanmaktadır.
2.1 Giriş
1960 yılında ABD Savunma Bakanlığı ABD’ye yapılacak bir saldırıda eyaletler arasında iletişimin kesilmeden devam etmesini sağlayacak bir proje üzerinde çalışmaya başlamıştır. 1961 yılında Massachusetts Institute of Technology’de (MIT) Leonard Kleinrock (1961) paket anahtarlama teorisi ile ilgili ilk makaleyi yayınlamıştır. O güne kadar tüm iletişim teknolojileri devre anahtarlama mantığı ile çalışmaktadır. Kleinrock bu çalışmasında verilerin paketler ile taşınabileceğini ve her paketin ulaşacağı yere farklı bağlantı noktalarından geçerek ulaşabileceğini öngörmektedir. Bu yaklaşım günümüz veri iletişiminin temelini oluşturmuştur. 1962 yılında J.C.R. Licklider’in MIT’de tartışmaya açtığı "Galaktik Ağ" fikri internet kavramının ortaya çıkmasını sağlamıştır. Licklider dünyadaki tüm bilgisayarların birbirleri ile konuşabileceklerini ve bilgi alışverişi yapabileceğini öngörmüştür. 1965 yılında MIT’de çalışan Lawrence Roberts ile Thomas Merrill ilk kez birbirlerinden fiziksel olarak uzak iki bilgisayarın iletişimini sağladılar. Roberts 1969 yılında DARPA'da çalışmaya başlamış ve günümüz internetinin çekirdeğini oluşturan "ARPANET" isimli proje önerisinde bulunmuştur. Bu proje kapsamında aynı yıl içerisinde ABD’nin dört farklı yerleşkesinde bulunan bilgisayarların bir ağ üzerinden iletişimi sağlanmıştır. ARPANET’in temelini oluşturan bu dört yerleşke University of California at Los Angeles (UCLA), Stanford Research Institute (SRI), University of Utah ve University of California at Santa Barbara (UCSB)’dır. Bu ağa birçok katılım olmuş ve 1971 yılında ağın çalışmasını sağlayan ağ kontrol protokolü (NCP) geliştirilmiştir. 1973 yılında Xerox firmasında çalışmaya başlayan Robert Metcalf ağa bağlı bilgisayarların ortak bir yazıcıyı kullanmasına olanak
protokolü / internet protokolünün (TCP/IP) 1983 yılında ARPANET’in ana protokolü kabul edilmesine kadar sürmüştür. Günümüzde internet TCP/IP protokol ailesini kullanmaktadır. Aşağıdaki bölümlerde TCP/IP protokol ailesi açıklanmaktadır.
2.2 TCP/IP
Her türlü iletişimde iki tarafın karşılıklı konuşması, iletişime geçmesi, iletişimi sürdürmesi ve iletişimi sonlandırması için oluşturulan kural ve politikalar vardır.
Karşılıklı olarak mutabakat sağlanan kural ve politikaların tümüne protokol denilir.
İnternetin konuşma, anlaşma protokolü TCP/IP’dir. TCP/IP mimarisi bilgisayarların marka ve teknolojilerinden bağımsız çalışabilmelerini sağlayan ve geniş bir kullanım alanı olan bir protokoller kümesidir.
TCP/IP, OSI referans modeli gibi katmanlı bir yapıya sahiptir. Ancak OSI modeli yedi katmandan oluşurken TCP/IP protokol ailesi dört katmandan oluşmaktadır. OSI modelindeki yedi katmanda yapılan tüm işler TCP/IP’de dört katmanda yapılmaktadır.
Şekil 2.1 OSI Modeli ve TCP/IP Modeli
7. Uygulama Katmanı
5. Oturum Katmanı 6. Sunum Katmanı
4. İletişim Katmanı
3. Ağ Katmanı
2. Veri Bağı Katmanı
1. Fiziksel Katman
1. Fiziksel Katman 2. Yönlendirme Katmanı 3. İletişim Katmanı
4. Uygulama Katmanı
OSI Modeli TCP/IP Modeli
Elektriksel iletimin olduğu fiziksel katman dışında her katman kendisine özgü alt protokollerden oluşmaktadır. TCP ve IP, TCP/IP mimarisinin temel protokolleridir. Her katman farklı protokolleri destekler. Bu protokoller “Yorumlar için talep” (Request For Comments - RFC) başlığı altında çok sayıda dokümanda açıklanmıştır. TCP/IP ‘nin tanımlanması için çok sayıda RFC dokümanı bulunmaktadır. Örneğin TCP/IP protokol kümesindeki TCP’i açıklamak için RFC 793 sayılı doküman hazırlanmıştır. Benzer şekilde RFC 959 sayılı doküman FTP’yi (dosya transfer protokolü) tanımlamıştır.
Garantisiz paket iletim protokolü UDP ( kullanıcı datagram (veri paketi) protokolü) ise RFC 768 sayılı doküman ile tanımlanmaktadır. RFC’lerin tümünü http://www.faqs.org/rfcs/ isimli web adresinden bulmak mümkündür. TCP/IP protokolü zamanın gereksinimlerine göre yeni RFC’ler ile güncellenmektedir.
TCP/IP protokol kümesinde IP ikinci katmanda çalışırken, TCP üçüncü katmanda çalışmaktadır. Uygulama katmanında ise dosya transfer protokolü (FTP), dinamik isim sunucusu (DNS) gibi protokoller çalışmaktadır. Örneğin ikinci katmanda çalışan adres çözümleme protokolü (ARP) yerel alan ağı (LAN) içinde IP adresi bilinen alıcı bilgisayarın fiziksel adresini (MAC adresini) bulmak için kullanılan bir protokoldür.
İnternet üzerindeki bilgisayarlar, TCP/IP’nin mimarisi gereği kullanıcı/sunucu şeklinde çalışırlar. İletişimdeki iki bilgisayardan biri hizmet sunarken, diğeri hizmet alan pozisyonunda çalıştırmaktadır.
İnternetin veri iletişimi IP paketleri ile yapılmaktadır. Ağın izlenmesi IP paket içeriklerinin izlenmesi anlamındadır. Bu nedenle IP’nin yapısının bilinmesi bu çalışmada önemli bir yer tutmaktadır.
Şekil 2.2 TCP/IP Mimarisi
2.2.1 İletişim kontrol protokolü katmanı (TCP katmanı)
TCP’nin ana görevi üzerinde bulunan uygulama katmanından gelen bilgileri yığınlar (segment) haline dönüştürmek, iletişim esnasında kaybolan bilgileri tekrar göndermek ve farklı zamanlarda gelen sıralı paket parçalarını doğru sıraya sokarak birleştirmektir.
TCP bir veri paketinin içeriğinin değiştirilmeden iletilmesini sağlar. Kısaca TCP bir paketin bütünlüğünü ve iletişim garantisini sağlayan protokoldür. Şekil 2.3’de bir TCP yığını gösterilmiştir.
TCP katmanı büyük bir veriyi taşınabilecek büyüklükte veri parçalarına (yığınlara) ayırır. Her yığının başında bir TCP başlığı bulunmaktadır. Bu başlık bilgisi içinde kapı (port) ve paket sıra numaraları bulunmaktadır. Kapı numaraları kaynak ve varış bilgisayarlarına ait kapı numaralarıdır. Sıra numarası ise büyük bir verinin parçalandıktan sonra karşı tarafta hangi sıraya göre sıralanması gerektiğini göstermektedir.
Uygulama Katmanı
İletişim Katmanı Yönlendirme Katmanı Fiziksel Katman
SMTP Rlogin FTP Telnet DNS TFTP
T C P U D P
IP ICMP
IEEE 802.2 / LAPB/HDLC
Ethernet, X.25, Token‐Ring, Dial‐up, vs.
Şekil 2.3 TCP Yığını
Kontrol toplamı yığın içindeki tüm verilerin matematiksel olarak toplanması ve TCP başlığına yazılması ile oluşur. Verinin alıcı tarafına geldiğinde tekrar toplamı alınır ve bu toplam kontrol toplamında yazılan değer ile aynı değil ise veri yolda bozulmuştur denilir. Aksi taktirde veri bozulmamıştır. Bozulan veri karşı taraftan istenir. TCP ile verilerin bütünlüğü sağlanmış olur. TCP üç yollu el sıkışması ilkesine göre iletişimi başlatır. Üç yollu el sıkışması detaylı olarak üçüncü bölümünde anlatılmıştır.
2.2.2 İnternet protokolü – IP
İnternet Protokolü (IP), insanlığı bilgi çağına taşıyan internet ağının temel yapı taşıdır.
İnternete bağlı herhangi iki bilgisayar arasındaki iletişim bu protokol aracılığı ile sağlanır. İnternet, çok sayıda ağın birbirine bağlı olduğu bir ağlar topluluğudur. Ağ üzerinde yüksek bant genişlikli hatlardan ve hızlı yönlendiricilerden oluşan bir dizi omurga bulunmaktadır. Bu omurgalara bölgesel ve ulusal ağlar bağlanmıştır. İnternet içindeki ağları ve bilgisayarları birbirlerine bağlayan, iletişim kurmalarını sağlayan protokol IP’dir. Bu neden ile IP internetin ortak dilidir.
IP, ağ içerisindeki paketlerin adreslenerek iletişimi ve yönlendirilmesinden sorumludur.
IP paketlerine IP Datagrams (IP veri setleri) denilmektedir.
Kaynak Kapısı (Port) Varış Kapısı (Port) Sıra Numarası
Onay (Acknowledgement)
Data Offset Reserve Pencere (Window)
Kontrol Toplamı Acil İşareti (Urgent Pointer) B i l g i
2.2.2.1 İnternet protokolü (IP) paket yapısı
IP paketi erişim bilgileri, kullanılan protokol bilgisi ve kontrol bilgileri gibi verilerden oluşmaktadır. Şekil 2.4’te IP paket formatı gösterilmiş ve başlık bilgilerinin açıklamaları aşağıda yapılmıştır.
Şekil 2.4 IP paket başlığı
Sürüm : Paketin IP sürümü
IHL (IP Başlık Boyu - IP Header Lenght): Başlık alanının kaç adet 32 bitlik (en az 5, en çok 15) sözcükten oluştuğunu gösterir.
Hizmet Tipi: Göndericinin ağdan beklediği güvenilirlik, hız ve gecikmenin düzeyini belirtir. Ancak bu alanı mevcut yönlendiricilerin pek azı değerlendirmektedir.
Toplam Uzunluk: Başlık ve verinin birlikte uzunluğunu gösterir.
Tanım: Alıcının parçaları (fragment) birleştirmek için kullandığı bir değerdir. Aynı IP paketinin bütün parçalarının tanıtıcı değeri birbirinin aynıdır.
Parçalama Bilgisi: Bu bölüm IP paketinin parçalama bilgilerini içerir. DF (Don’t fragment) ve MF (More Fragment) bölümlerinden oluşmaktadır. DF, paketin
Sürüm IHL Hizmet Tipi T op l a m U z u n l u k
Tanım Bayrak Parçalama Bilgisi
Yaşam Süresi Protokol Başlık Kontrol Toplamı
K a y n a k I P A d r e s i V a r ı ş I P A d r e s i
S e ç e n e k l e r P a d d i n g
yönlendiricilerden geçerken parçalara bölmemesini gösteren bir bitlik istek alanıdır.
Alıcının parçaları birleştiremediği durumlarda gereklidir. MF (More Fragment) kısmında ise bir datagramın son parçası dışındaki tüm parçalarında MF=1’dir.
Bayrak : Üç tane bayrak bitinden oluşur. İlk bit bilgisi içinde bulunduğu datagramın kaç parçadan oluştuğunu belirtir. Eğer bu değer 1 ise gönderilen verinin tek datagramdan oluştuğu anlaşılır. Bu sayede alıcı veriyi aldıktan sonra başka mesajın olmadığını anlar.
İkinci bayrak bilgisi ise verinin parçalanıp birçok datagram haline dönüştürüldüğünü ve gönderilen verinin en son datagram olduğunu belirtir. Üçüncü bit alanı ise saklı tutulmaktadır.
Yaşam Süresi: IP paketinin alıcısına belirli bir süre içinde ulaşamaması durumunda yok edilmesini sağlayan bir alandır. Bu alana başlangıçta 255 veya daha küçük bir tam sayı yerleştirilir. Her yönlendiricide bu alandaki değer bir eksiltilir. Ayrıca yönlendiricide paket bir bekleme kuyruğuna alınırsa her geçen saniye yaşam süresi alanındaki sayıyı bir eksiltir. Sayı sıfıra ulaşırsa paket çöpe atılır. Çöpe atan yönlendirici kaynağa bir uyarı paketi gönderir.
Protokol: IP’nin üst katmanı olan iletişim katmanında hangi protokolün (TCP, UDP) yürütüldüğünü gösterir.
Başlık Kontrol Toplamı: Başlıkta bir bozulma olup olmadığını belirlemeye yarar. Her yönlendiricide bu alandaki değer kullanılarak verinin bozulup bozulmadığı araştırılır.
Sonuç olumlu ise paket bir sonraki yönlendiriciye gönderilir. Bu arada başlıktaki bazı değerler ile birlikte (örneğin yaşam süresi) bu alandaki değerde gönderilen pakette yeniden hesaplanır. Yöntem yalnızca başlıktaki hataları açığa çıkardığı için iletişim katmanının verideki muhtemel bozuklukları yakalayacak önlemler alması gerekmektedir.
Kaynak ve Varış Adresleri: 32 bit uzunluğunda IP paketinin gönderildiği ve varacağı bilgisayarların IP adreslerdir.
Seçenekler: Bu alanda güvenlik, izlenecek yörünge, yönlendirici numaralarını ve gerçek zaman saatlerini IP paketine eklemeleri için uyarı gibi bazı ek bilgiler bulunmaktadır.
Günümüz interneti IP protokolünün 4.sürümünü (IPv4) kullanmaktadır. IPv4 sınıf (class) sistemine dayalı bir sözleşmedir. Bilgisayarların iletişim sırasında uçtan uca adreslenebilmesini sağlayan IPv4 adresleri sadece 32 bitten (4 adet 8 bitten) ibarettir. 32 bitlik adres alanı teoride 4,294,967,296 tane adres yaratabilse de pratikte bu değere ulaşılamamaktadır. Bir IP adresi a.b.c.d şeklinde her biri 8 bitten oluşan bir yapıda inşa edilmiştir. a, b, c ve d harfleri ikili sayı sisteminde örneğin 10001000.11000001.00001111.10000001 şeklinde gösterilebilir. Onlu sistemde ise a,b,c,d değerleri 134.193.15.129 şeklinde gösterilmektedir. Yani a,b,c ve d değerleri 0 ile 255 arasında değerler alabilirler. IP adresleri a.b.c.d şeklindeki yapısında a’nın aldığı değerlere göre alt sınıflara ayırmak mümkündür. a.b.c.d şeklindeki bir IP adresinde a değeri 1-126 arasında ise A sınıfı, 128-192 arasında B sınıfı, 193-223 arasında ise C sınıfı olarak tanımlanmaktadır. Çoklu dağıtım (multicast) amaçlı kullanılan D sınıfı ve deneysel çalışmalarda kullanılmak üzere E sınıfı da bulunmaktadır. Sınıflardaki IP adres sayıları aşağıda sıralanmıştır.
A Sınıfı : 125 ağ, ağ başına yaklaşık 16 milyon adres B Sınıfı : 16382 ağ, ağ başına 65534 adres
C Sınıfı : Yaklaşık 2 milyon ağ, ağ başına 256 adres D Sınıfı : Multicast kullanım için ayrılmıştır.
E Sınıfı : Gelecekte kullanım için ayrılmıştır.
IP adreslerinin sınıflandırmasındaki ağ ve kullanıcı (IP adresi) gösterimleri de Şekil 2.5’te verilmiştir.
IP adreslerinin kıtlığı nedeni ile bir yerel alan ağının bir gerçek IP adresini kullanarak internete çıkmasını sağlamak için ağ adres dönüştürücü (NAT – Network Address Translator) kullanılır. Ancak NAT kullanımı ile iki bilgisayarın uçtan uça adreslenememesi, paket bütünlüğünün korunamaması, istemci-sunucu iletişiminin sadece tek yönlü işleyebilmesi, IPSec bağlantılarının sağlanamaması, ağların sınırlı
ölçeklenirliği, yönetim zorlukları başlıca problemler olarak ortaya çıkmıştır. Bu problemlerin çözümü için IPv6 (IP sürüm 6) önerilmiş ve günümüzde halen çalışmaları devam etmektedir.
Şekil 2.5 IPv4’te IP adreslerinin sınıflandırılması
2.3 Ağ İzleme Araçları
Ağ üzerinde oluşan trafiğin analiz edilmesi için toplanması gerekmektedir. DARPA veri setleri Unix işletim sistemi üzerinde çalışan TCPdump adlı bir program ile toplanmıştır.
Günümüzde bu yazılım Linux ve Windows işletim sistemlerinde de çalışmaktadır.
Ayrıca TCPdump programının benzeri olan windump programı Windows işletim sisteminde çalışmaktadır. Her iki programda komut satırında çalıştırılmaktadır. Son yıllarda en yaygın ağ analiz programı Ethereal Paket Analiz (Ethereal) programıdır. Bu kısımda DARPA veri setinin toplanmasını sağlayan Tcpdump ile çalışmamızda kullandığımız Ethereal programları kısaca anlatılacaktır.
d a b c
Ağ Kullanıcı A
Sınıfı
Ağ Kullanıcı a b c d B
Sınıfı
Ağ Kullanıcı a b c d C
Sınıfı
D Sınıfı
Kullanıcı
a b c d
2.3.1 TCPdump
TCPdump ağ üzerinde akan trafiği yakalayan bir yazılımdır. Genel olarak “sniffer”
denilen, ağa hiç karışmadan ağı “koklayan” yazılımlardan biridir. Adında geçen TCP ön ekine rağmen ağda akan farklı protokollerdeki paketleri de yakalar. Komut satırında çalışır. Yazılımı çalıştırmadan önce yapılan filtrelemelere göre ağ üzerindeki paketleri ayıklayabilir ve yakalamak istenen veri paket tiplerini seçebilir. Raporlama ve bir dosya oluşturarak saklama yapma yeteneği vardır.
2.3.2 Ethereal
Ethereal güçlü özelliklere sahip bir paket analiz programıdır. Açık kaynak kodlu olarak üretilmiştir ve hem Linux hem de Windows işletim sisteminde çalışan sürümleri vardır.
Paketleri yakalar ve analiz için paketleri çözümler. Çözümleme özelliği çok gelişmiştir.
Program grafik ara yüzüne sahiptir. Ethereal da TCPdump programının kullandığı yakalama ve filtreleme mekanizmalarını kullanmaktadır. TCPdump tarafından yakalanıp raporlanan dosyalar Ethereal tarafından okunabilmektedir. Ethereal’in ticari bir ürün olarak Wireshark adı altında satışı yapılmaktadır.
Program izleme yapılacak ağ üzerinde çalışan bir bilgisayara yüklenir ve bu bilgisayarın ağ arabirim kartına gelen paketlerin tümünü toplar. Grafik ara yüzü nedeni ile TCPdump programına göre kullanışı daha kolaydır.
2.4 Bölüm Özeti
Bu bölümde internetin tarihçesinden bahsedilmiştir. İnternetin kullandığı protokol ailesi olan TCP/IP protokol ailesi ile yönlendirme ve iletişim katmanı protokolleri anlatılmıştır. TCP protokolünün yapısı ve görevleri anlatılmıştır. İnternet protokolünün yapısı, görevleri ve IP adresleme bu bölümde verilmiştir. Son olarak ağ izleme ve analiz programları olan TCPdump ve Ethereal’dan bahsedilmiştir.
3. SALDIRI TESPİT SİSTEMLERİ (STS)
Bu bölümde çalışmamızın ana konusunu oluşturan saldırı tespit sistemleri (STS) tanıtılacaktır. Saldırı, saldırı tespit ve saldırı tespit sistemleri detaylı olarak açıklanmaktadır. Saldırı yöntemleri, çeşitleri ve deneylerimizde kullanılan saldırılar bu bölümde incelenmektedir.
3.1 Tanımlar
STS’yi tanımlamadan önce “saldırı” ve “saldırı tespiti” nin anlamlarını açıklamak gerekmektedir.
Anderson (1980) yayınladığı raporunda saldırıyı, “izinsiz olarak bilgiye ulaşmak, değiştirmek, sistemi kullanılmaz veya güvenilmez hale getirmektir” diye tanımlamaktadır. İnternet ve bilgisayar teknolojilerindeki gelişmeleri göz önünde bulundurarak yeni bir tanım yapabiliriz. Anderson’un yaptığı bu tanımı genişletirsek bilginin gizliliği, bütünlüğü ve erişilebilirliğinin bozulması yönünde yapılan her türlü girişime saldırı demek mümkündür.
Veri gizliliği verinin yetkisiz birine karşı veya üçüncü şahıslara ifşasını engeller. Veri bütünlüğü verinin doğruluğu, aslına uygun ve bozulmadığı ile ilgilenir.
Erişilebilirliğinin bozulması ise hizmetin önceden belirlenmiş bir hizmet kalitesinin altına düşmesi veya verilen hizmetin tamamen işlemez veya erişilemez hale gelmesi anlamını taşımaktır. Sistem için hizmet aksatma büyük bir tehdittir (Vesely and Breclerova 2004).
Saldırı tespiti ise ağ üzerinde akan verinin üçüncü şahıs veya sistemler ile izlenerek gizliliğinin, bütünlüğünün ve erişilebilirliğinin kısmen veya tamamen bozulması halinin tespit edilmesidir.
Saldırı Tespit Sistemleri bir ağ veya bir bilgisayara karşı yapılan her türlü saldırının tespit edilmesi ve saldırının bertaraf edilmesi için geliştirilmiş sistemlerin bütününe denir.
Bilgisayar ağlarında yapılan her türlü yetkisiz erişimin tespit edilmesi ve ağ içerisinde oluşan anormalliklerin gözlenmesi, akan trafiğin analizi ile mümkün olmaktadır.
STS’ler ağ ve ağdaki bilgisayarların çalışmalarını izleyerek veri toplar. Toplanan veriler önceden tespit edilen saldırı motiflerine veya saldırı imzalarının yer aldığı veri tabanları ile karşılaştırılarak analiz edilirler. Analiz sonucunda kötü niyetli bir girişim tespit edilir ise STS’ler bir mesaj veya bir alarm oluşturarak ağ yöneticilerini uyarırlar.
Günümüzde STS’ler yazılımsal ürünler olarak üretilmektedir. Ağ üzerinde ağ yöneticisinin uygun bulduğu yerlere yerleştirilmektedir.
3.2 STS’lerin Sınıflandırılması
STS’leri analiz yaparken kullandıkları yaklaşım ve yöntemlere göre sınıflandırabiliriz.
STS’ler iki ana yaklaşım ile saldırıları tespit etmektedir (Moradi and Zulkernine 2004).
Kötüye kullanım yolu ile saldırı tespiti: Ağda kötü amaçlı kullanımların tespitidir.
Bilinen sistem açıkları ve saldırı imzalarının kullanılması ile oluşan eylemlerin araştırılması ile saldırıların tespit edilmesi olarak tanımlanabilir. Kötüye kullanım tespiti (misuse detection) ya da imza-tanımaya dayalı sistemlerde her davranışın bir imzası (karakteri) vardır. Bu imzalar daha önceden oluşturulan saldırıların davranışlarından çıkarılan şablonlardır. Bu şablonlar STS’nin veri tabanında tutulmaktadır.
Eğer gözlenen davranış daha önceden bilinen bir saldırı imzası (önceden çıkarılan şablon) ile eşleşiyor ise saldırı olarak sınıflandırılır. Daha önce karşılaşılmadıysa saldırı olarak nitelenmez. Bu sistemler veri tabanının güncellenmesi ile yeni saldırıları tanıyabilirler. Oluşan olayları STS’nin veri tabanını kullanarak karşılaştırdıkları için saldırıyı kesin olarak tanıyabilirler. Bu nedenle yanlış alarm verme ihtimalleri yoktur.
Ancak veri tabanlarında olmayan yeni bir saldırı gelir ise bunu algılayamazlar (Erol 2005).
Ağ üzerinde oluşan anormal ağ trafiğinin incelenmesi ile saldırıların tespiti: Anormal ağ trafiği, ağ içerisinde meşru kullanıcıların kendi hak ve sınırlarını aşması veya diğer bağlantılarda oluşan ağ akışını engelleyecek kadar ve kabul edilebilecek sınırları aşan eylemlerin ortaya çıktığı ağ trafiğidir. Anormal ağ trafikleri yoklama (probe) ve hizmet engelleme (Denial of Service – DoS) olarak bilinen saldırıların oluştuğu ağlarda görülmektedir. Bu tür trafiklerin normal trafikten ayıklanarak saldırının tespit edilmesi çalışmamızın konusunu oluşturmaktadır.
Normal bir sistemde kullanıcı istekleri tahmin edilebilir bir yapıdadır. Burada normal davranışın bilinmesi ve modellenmesi esastır. Ancak bundan sonra bir anormallik varsa tespit edilebilir. Normal davranış belirli kurallar ile tanımlanabilir. Bu kuralların dışında kalan davranışlar anormallik olarak değerlendirilir. Normal davranış kurallarından sapmanın şiddeti ise saldırının sınıflandırılmasında kullanılır. Daha önceden tanımlanmamış saldırıların tespit edilme olasılığının yüksek olması bu yöntemin en önemli avantajıdır. Dezavantajı ise saldırı sapmasının belirlenmesine göre yanlış alarm (false alarm) verme ihtimalinin yüksek olmasıdır (Kemmerer and Vigna 2002).
Bilgisayar ağlarında oluşan anormalliklerin tespitinde istatistiksel yöntemler, yapay zeka, yapay sinir ağları, veri madenciliği, bilgisayar bağışıklık sistemi (computer immunology) gibi birçok yaklaşım kullanılmaktadır (Wu and Zhang 2003).
Ayrı bir sınıflandırma ise çalışma zamanlarına göre yapılabilir (Ryan et al. 1998).
Saldırı tespit sistemlerini çalışma zamanına göre çevrimiçi (online) ve çevrimdışı (offline) şeklinde ikiye ayırmak mümkündür. Çevrimdışı sistemlerde sistem belli periyotlar arasında çalışmakta ve saldırı gerçekleştikten sonra tespiti mümkün olmaktadır. Saldırının oluştuğu anda tespit edilmesini sağlayan sistemler ise çevrimiçi sistemlerdir. Bu çalışmada tespit sistemimiz çevrimdışı olarak çalışmaktadır.
Diğer bir sınıflandırma şekli ise izlenen kaynağın çeşidine göre sınıflandırmadır. Ağ tabanlı (network-based) ve sunucu tabanlı (host-based) tespit sistemleri diye ikiye ayırabiliriz. Ağ tabanlı tespit sistemi ağ üzerinde akan paketleri yakalar ve bunların analizi ile ilgilenir. Bu analizler sonucunda saldırı tespit edilmektedir. Sunucu tabanlı tespit sistemleri ise güvenliğinin sağlanacağı sunucu üzerine kurulurlar. Sunucunun maruz kaldığı saldırıları tespit ederler. Bu sistemler sunucuya yapılan şüpheli işlemleri takip ederek olayın içeriye ve dışarıya yapmış olduğu iletişimi inceler, sistem dosyalarının bütünlüğünü kontrol eder ve oluşan saldırıyı yakalarlar. Çalışmamızda kullandığımız saldırı tespit sistemi ağ tabanlı olarak çalışmaktadır.
3.3 Saldırı Tipleri ve Özellikleri
Ağ üzerinden yapılan saldırıları 4 temel sınıfa ayırabiliriz (Erol 2005).
a) Bilgi yoklama (probe): Bir sunucunun ya da herhangi bir makinanın, geçerli IP adreslerini, aktif giriş kapılarını veya işletim sisteminin öğrenilmesi amacı ile yapılan saldırılardır (Erol 2005). Örneğin saldırgan yukarıdaki bilgileri öğrenmek için kurbanın bilgisayarındaki bir kapıyı sürekli yoklayabilir. Benzer şekilde kurbanın (hedef) bilgisayarındaki tüm kapıları tarayarak içeriye giriş yapacağı açık bir kapıyı bulabilir.
b) Hizmet engelleme (Denial of Service - DoS): TCP/IP protokol yapısındaki açıklardan faydalanarak veya bir sunucuya çok sayıda istek yönelterek sunucunun iş göremez hale gelmesini sağlayan saldırılardır. DoS saldırıları Şekil 3.1’deki gibi ikiye ayırmak mümkündür.
”The ping of death” (ölümüne ping) ve Neptune saldırıları hizmet engellemeye örnek verilebilir. Bu tür saldırılar protokol hatalarından faydalanarak yapılan saldırı grubuna girmektedir.
Bir sunucudan sürekli istekte bulunulmasına dayanan saldırı yöntemi hem sunucuyu hem de ağı meşgul etmektedir. ICMP paketlerinin ağ üzerinde her yöne yayılması (broadcast) ile oluşan Smurf saldırısı ve kullanıcının karşıdaki makinaya sürekli
”ping” göndermesi ile gerçekleşen ”Selfping” saldırıları devamlı paket göndermeye dayalı DoS saldırılarına örnek teşkil etmektedir.
Şekil 3.1 Hizmet engelleme saldırı tipleri
c) Yönetici hesabı ile yerel oturum açma (Remote to Local - R2L): Kullanıcı haklarına sahip olunmadığı halde ağa izinsiz erişim yapılması ile oluşmaktadır.
d) Kullanıcı hesabının yönetici hesabına yükseltilmesi (User to root - U2R): Bu tip saldırılar sisteme girme izni olan fakat yönetici olmayan bir kullanıcının izinsiz olarak yönetici haklarına sahip olması ve bu hakları kötü niyetli olarak kullanmasından doğan saldırılardır.
Bilgi yoklama ve hizmet engelleme saldırıları ağ tabanlı STS’ler ile engellenirken, R2L ve U2R saldırıları sunucu tabanlı STS’ler ile engellenmektedir.
3.4 Tespit Edilecek Saldırılar
Çalışmamızda kullandığımız DARPA eğitim veri setleri normal trafiğin yanı sıra 24 adet saldırıyı kapsamaktadır. DARPA test veri setinde ise eğitim veri seti içerisinde
Hizmet Engelleme (Denial of Service)
Protokol Hatalarına Dayalı Devamlı Paket Göndermeye Dayalı
Çok Kaynaklı Tek Kaynaklı
Zombi Yansıtıcı Kullanılan
kullanılmayan saldırılara ilave olarak 14 adet saldırı bilgisi de bulunmaktadır (Lichodzijewski et al. 2002).
Çizelge 3.1’de DARPA ve KDD veri setlerinde gözlenen normal ve 39 adet saldırının isimleri ve sayısal değerleri yer almaktadır. Sayısal değerler MATLAB programında YSA’ların oluşturulmasında kullanılmaktadır.
Çizelge 3.1 Saldırı isimleri ve sayısal değerleri (Güven 2007)
Saldırı Adı Sayısal Değeri
Saldırı Adı
Sayısal Değeri
Saldırı Adı Sayısal Değeri
Saldırı Adı
Sayısal Değeri
normal 0 nmap 11 warezmaster 22 mscan 33
back 1 perl 12 apache2 23 httptunnel 34
buffer_overflow 2 phf 13 named 24 ps 35
ftp_write 3 pod 14 saint 25 xterm 36
guess_passwd 4 portsweep 15 sendmail 26 snmpguess 37
imap 5 rootkit 16 snmpgetattack 27 worm 38
ipsweep 6 satan 17 udpstorm 28 sqlattack 39
land 7 smurf 18 xlock 29
loadmodule 8 spy 19 xsnoop 30
multihop 9 teardrop 20 mailbomb 31
neptune 10 warezclient 21 processtable 32
Bu çalışmamızda YSA’nın eğitimde iki adet DoS saldırısının bulunduğu eğitim seti kullanılmıştır. Bu eğitim seti içerisinde Neptune ve Pod saldırıları bulunmaktadır. Test setlerinde ise bilinmeyen saldırı olarak SATAN saldırısı kullanılmıştır.
3.4.1 SYN flooding (Neptune) saldırısı
İnternet dünyasına dahil olan tüm bilgisayarlar haberleşmek için TCP/IP protokolünü kullanırlar. TCP bağlantı temelli (connection oriented) bir erişim sağladığı için üç yollu el sıkışma modelinin gerçekleşmesi gerekir. Üç yollu el sıkışma modeli aşağıda açıklanmıştır. İki bilgisayar bağlantısında bağlantıyı talep eden taraf karşı tarafa bir adet senkronize (SYN) paketi gönderir. Karşı taraf ise cevap olarak bir kabul (SYN/ACK) paketi ile daveti kabul ettiğini belirten bir paket gönderir. Bu iletişim esnasında karşı taraf bağlantı bilgilerini hafızasında (TCP/IP yığınında) tutar. Daha sonra ilk talep eden tekrar bir kabul (ACK) bilgisi göndererek bağlantının kurulmasını sağlamış olur.
Karşı taraf bağlantının kurulmasından sonra kısıtlı bir alanı olan hafızasından bu
bağlantı bilgisini siler. TCP’nin bu çalışma şekli istendiğinde kötü amaçlar için kullanılır. Bu protokolün çalışma mantığını kullanarak saldırı oluşturmak mümkündür.
Saldırgan sunucuya senkronize (SYN) paketi gönderirken bu paketin başlık bilgisinde bulunan kaynak IP kısmına paketi gönderen kişinin IP adresi yerine aslında gerçekte var olmayan bir IP adresi yazarak gönderir. Bu esnada sunucu bu senkronize (SYN) paketini alır ve bağlantı işleminin tamamlanması için var olmayan IP adresine senkronize ve kabul (SYN+ACK) paketi gönderir. Sunucu ”SYN+ACK” paketinin kabul cevabını (ACK) var olmayan bu IP adresli makinadan beklemeye başlar. Bu bekleme sırasında var olmayan bu IP adresi sunucunun TCP/IP yığınında tutulur. Doğal olarak var olmayan IP adresli makinadan kabul (ACK) paketi gelmez ve bir süre sonra sunucunun yığını dolar ve sunucu diğer taleplere cevap veremez. Bu saldırı ”SYN Flooding” saldırısı veya Neptune saldırısı olarak tanımlanmaktadır (http://www.tcpsecurity.com/doc/genel/temelsaldiriteknikleri.html, 2007).
Şekil 3.2 SYN Flooding (Neptune) saldırısı
SYN Flooding TCP protokolünün üç yollu el sıkışma modelinin kötüye kullanımından başka bir şey değildir. “SYN Flooding” büyük bir ağda bir sunucuyu etkisiz hale getirmesine rağmen ağın genelinde oluşan paketlerin incelenmesi ile anlaşılması oldukça zordur. Bu yüzden ağda “ACK” ve “SYN/ACK” paketlerinin bulunması kolaylık sağlayabilir. Ancak paketler kapalıdır ve içerikleri bilinmemektedir. Paketin içeriği ağ paket analiz programı (sniffer programı) ile anlaşılabilir. Ancak STS’ler her paketin içeriğine bakacak kadar hızlı olamadıkları için saldırı motifinden saldırıyı tespit etmesi gerekir.
3.4.2 ”The Ping of Death” – Pod saldırısı
ICMP protokolü ağda bilgisayarların hata mesajlarını birbirlerine göndermesini ya da
“Ping” gibi basit işlemlerin yapılmasını sağlar. ICMP tanımlamasında, ICMP paketinin veri kısmı 216 ile 65,536 byte arasında olmak zorundadır. Eğer bu sınırların dışına taşmış büyüklükte bir paket sunucuya gönderilir ise sunucunun işletim sistemi böyle bir şey beklemediği için cevap veremez ve hizmet vermeyi durdurur (http://www.tcpsecurity.com/doc/genel/temelsaldiriteknikleri.html, 2007).
Günümüz bilgisayar sistemleri Pod saldırılarını kolaylıkla engellemektedirler.
3.5 Bölüm Özeti
Bu bölümde saldırı, saldırı tespit ve (STS) tanıtılmıştır. STS’ler kullandıkları yöntemlere göre ikiye ayrılmıştır. Bunlar kötüye kullanım ve anormallik tespiti şeklinde sıralanmıştır. STS’ler çalışma zamanlarına göre çevrimiçi ve çevrimdışı olarak ikiye ayrılmış ve detaylı olarak anlatılmıştır. Ayrıca STS’ler bu bölümde çalışma kaynaklarına göre de ikiye ayrılarak incelenmiştir.
Bu bölümde saldırı tipleri de dört alt bölümde incelenmiş ve çalışmamızda kullanılacak saldırılar detaylı olarak anlatılmıştır. Çalışmamızda kullandığımız DARPA veri setlerinde bulunan saldırılar bir liste halinde verilmiştir.
