FBE- Bilgisayar Mühendisliği Lisansüstü Programı - Doktora
Bu koleksiyon için kalıcı URI
Gözat
Konu "Artificial Immune System" ile FBE- Bilgisayar Mühendisliği Lisansüstü Programı - Doktora'a göz atma
Sayfa başına sonuç
Sıralama Seçenekleri
-
ÖgeGezgin Etmenler Ve Doğadan Esinlenen Sezgiseller Kullanarak Dağıtık Bilgisayar Güvenliğinin Sağlanması(Fen Bilimleri Enstitüsü, 2012-05-23) Akyazı, Uğur ; Uyar, A. Şima Etaner ; 415088 ; Bilgisayar Mühendisliği ; Computer EngineeringSızma, bir kaynağın bilgi güvenliği temelini oluşturan gizlilik, bütünlük ve kullanılabilirliğini tehlikeye sokmaya çalışan bir olay olarak tanımlanmaktadır. Bir organizasyonu tam koruma altına almak için, ağı düzenli olarak sızma girişimleri için gözlemlemek gerekmektedir. Sızma Belirleme Sistemi’nin (SBS) görevi hem sisteme erişmeye çalışan yetkisiz bir sızıcıyı, hem de sistem kaynaklarını kötüye kullanan yetkili bir kullanıcıyı belirlemektir. SBS’ler, beklenen bilgisayar davranışlardan olan sapmaları veya belirli ağ trafiği paternlerini aramak amacıyla yerel izleme verilerini işleyen veya ağ trafiğini inceleyen güvenlik araçlarıdır. Genelde, Hizmetin Engellenmesi Saldırısında (DoS) olduğu gibi, bir saldırıcı öncelikle yazılım açıklarını suiistimal ederek tek bir kullanıcıya erişim sağlar, daha sonra önceden ele geçirdiği konakçı vasıtasıyla ağdaki diğer konakçılara girmeyi dener. DoS saldırısının amacı hedef sistemin normalde sunduğu hizmetleri sunamaz hale getirmektir. Dağıtık Hizmetin Reddedilmesi Saldırısında (DDoS), aynı anda çok sayıda kaynak tarafından tek bir hedefe saldırı düzenlenir. Bu saldırılar, genelde önceden başkasının kendilerini bir saldırı başlatmak için kullanabilmesi amacıyla ele geçirilmiş olan bilgisayarları kullanırlar. Bu zombi bilgisayarlar saldırının orta katmanında rol alırlar. Bu tez çalışmasında, gezgin etmenler ve doğadan esinlenen algoritmalar kullanarak DDoS-öncesi dağıtık saldırıları orta katmanda dağıtık olarak belirlemek ve saldırı başarıya ulaşmadan önce güvenlik yöneticilerini haberdar etmek amaçlanmıştır. Bu kapsamda gezgin etmenler yardımıyla dağıtık yapının kurulması ve doğadan esinlenen algoritmalar yardımıyla anomali-temelli bir SBS oluşturulması ayrı ayrı gerçeklenmiş ve en sonunda, bu iki sistem birleştirilerek yeni saldırıları düşük yanlış pozitif oranlarıyla belirleyebilen, adaptif olarak SBS’i güncelleme imkanına sahip, merkezi üniteden bağımsız çalışabildiği için yüksek güvenirlik sahibi, sızma belirleme işlemini gezgin etmenler vasıtasıyla yaptığı için ağ yükünü hafifleten ve özellikle DDoS saldırılarını kötüye kullanıldıklarından habersiz olan ve “botnet” olarak nitelendirilen orta katmanda dağıtık olarak başarıyla belirleyebilen bir SBS geliştirilmiştir. İlk aşamada, MIT DARPA 2000 LLS_DDOS 1.0 verisetindeki DDoS saldırılarını tespit edebilmek için altı farklı dağıtık sızma belirleme yöntemi tasarlandı ve simule-gerçek zamanlı test ortamında saldırıların gerçekleşme zaman bilgilerini dikkate alarak test edildi. Bu imza-temelli SBS yöntemlerinin birincisi dışında hepsinde gezgin etmenler kullanıldı. Yöntem_1’de Mobile Agent’lar kullanılmaksızın merkezi bir dağıtık SBS yer almakta olup bir saat içerisinde farklı konakçılardan aynı kaynaklı, aynı tipte bir sızma-şüphe mesajı alınırsa dağıtık bir sızma yapıldığı kararına varılmakta ve güvenlik yöneticisi haberdar edilmektedir. Yöntem_2’de dağıtık sızma olup olmadığı kararını, yukarıda belirtilen şartlar oluştuğunda MainAgent tarafından yaratılan ve sadece listesindeki iki adet konakçıya giderek ilgili verileri yerinde inceleyen Mobile Agent’lar vermektedirler. Yöntem_3’de, MainAgent, Mobile Agent yaratmak için gerekli şartları sağlayan mesaj sayısının iki olmasını beklemez ve ilgili etmenleri sisteme yollar. Yöntem_4’de ise, Mobile Agent’lar merkez tarafından değil de konakçılardaki Static Agent’lar tarafından merkezle koordineli olarak yaratılırlar. Yöntem_5’te, Mobile Agent’lar sızma-şüphelerini MainAgent ve diğer konakçılarla koordine kurmaksızın belirleyen Static Agent’lar tarafından yaratılmakta ve yollanmaktadır. MainAgent hiç kullanılmadığından bu yöntem tam-dağıtık bir yöntemdir. Mobile Agent dağıtık sızma kararını verebilmek için bütün ağı rastgele bir sırada dolaşmaktadır. Yöntem_6’da, Yöntem_2’nin kısa ortalama belirleme süresi avantajı ile Yöntem_5’in tam-dağıtık yapısı birleştirilerek yüksek güvenirlik ve kısa belirleme süresi sahibi bir sistem geliştirilmiştir. Bu sistem, normalde mod-1’de (Yöntem_2) çalışırken, merkezi ünite kullanılamaz olduğunda mod-2’ye (Yöntem_5) geçmektedir. Veri setinde yer alan DDoS saldırısının ilk üç aşaması doğru ve hızlı olarak belirlenerek, son iki aşaması gerçekleşmeden gerekli tedbirlerin alınması için güvenlik yöneticisinin uyarılması hedeflenmiştir. Yapılan yirmi adet koşturma sonucunda her bir yöntemin anılan sızma aşamalarını ortalama belirleme süreleri, ağdaki yük ve güvenirlik özellikleri ayrı ayrı değerlendirilmiştir. Yöntem_4, merkezi üniteden tam-bağımsız olması ve düşük ağ yüküne sahip olması nedeniyle tezin bu bölümü için en iyi yöntem olarak değerlendirilmiştir. İkinci aşamada, SBS yapısı ve biyolojik bağışıklık sistemi arasındaki benzerlikten dolayı anomali-temelli sızma belirleme yöntemi olarak yapay bağışıklık sistemi kullanılmıştır. MIT DARPA 2000 LLS_DDOS 1.0 verisetindeki DDoS saldırılarını belirlerken daha iyi doğru ve yanlış pozitif oranları elde etmek amacıyla çok-amaçlı evrimsel algoritmadan esinlenen bir yapay bağışıklık sistemi olan jREMISA çalışmasına yeni geliştirmeler eklendi. Bu geliştirmeler: r-sürekli değerlendirme yönteminin eklenmesi, Negatif Seleksiyon ve Klonlama Seleksiyon’da değişiklikler yapılması, genel konsept korunurken ikinci hedefin yeniden tanımlanması olarak özetlenebilir. Geliştirilmiş-jREMISA üzerinde daha iyi doğru ve yanlış pozitif sonuçlar verecek en iyi parametre grubunu bulabilmek için benzerlik eşiği değerleri, r-sürekli değerleri ve birincil popülasyon büyüklüklerinden oluşan parametrelerin değişik ayarlamaları ile üç farklı test yapıldı. En sonunda, orjinal ve geliştirilmiş-jREMISA, önceden belirlenen en iyi parametre grubu kullanılarak karşılaştırıldı. Geliştirilen algoritmaya ait olan %100 doğru pozitif oranı ve %0 yanlış pozitif oranı, bir anomali sızma belirleme sistemi olarak kaydadeğer bir başarıdır. Daha sonra, geliştirilmiş-jREMISA’nın performansını diğer benzer çalışmalarla karşılaştırabilmek için literatürde yaygın olarak kullanılan 1999 DARPA SBS veriseti günlerinin farklı bileşimleri kullanılarak deneyler yapıldı. Deneylerde yaklaşık %100 doğru pozitif oranı ve yaklaşık %0 yanlış pozitif oranı başarısı elde edilmiştir. Aynı veriseti üzerinde yapılan diğer çalışmalarla karşılaştırıldığında, geliştirilmiş-jREMISA’nın hepsinden daha iyi TP ve FP değerleri olduğunu gözlemlenmiştir. Son olarak, ayrı ayrı geliştirilen bu iki yapı birleştirilerek tez çalışmasında hedeflenen sistem gerçeklenmiştir. Dağıtık sistemde her bir konakçıda yer alan imza-temelli bir SBS olan Snort tarafından oluşturulan sızma-şüphesi alarmlarının yerini anomali-temelli SBS olan geliştirilmiş-jREMISA’nın oluşturduğu alarmlar aldı. İmza-temelli sistemde geliştirilen Yöntem_2, Yöntem_3 ve Yöntem_4’ün anomali-temelli sistemde diğer yöntemlerden çok farklı işlevleri olmadığına karar verilerek vazgeçilmiş, diğer yöntemler anomali-temelli belirleme yapısına göre yeniden ayarlanmıştır. Sisteme güvenlik yöneticisi tarafından sonradan eklenen saldırı tiplerinin tanınabilmesi için SBS’nin sürekli adaptif olarak çalışması sağlanmıştır. Mobile Agent’lar diğer konakçıların alarm dosyalarını sorgularken benzer bir anomali-tipi sızma-şüphesi paketini bulduğu konakçının DDoS seviyesini artırmakta ve her seferinde konakçılara bir zararlı yazılımın yüklenip yüklenmediğini ayrıca kontrol etmektedir. Güvenlik yöneticisi, bütün bu saldırı aşamalarından güvenli bir alanda kurulduğu varsayılan AlarmAgent aracılığıyla haberdar edilmektedir. MIT DARPA 2000 LLS_DDOS verisetinin 1.0 versiyonu ve daha akıllı bir saldırının senaryo edildiği 2.0.2 versiyonu kullanılarak yapılan testler başarıyla sonuçlanmıştır. DDoS saldırıları gerçekleşmeden önce güvenlik yöneticisini uyaran, gerektiğinde merkezi üniteden tam bağımsız çalışabilme özelliğine sahip, ağda gereğinden fazla yük oluşturmayan, adaptif bir dağıtık SBS gerçeklenmiştir. “DDoS saldırılarının dağıtık olarak belirlenmesi”, “Gezgin etmenler kullanarak sızmaların dağıtık olarak belirlenmesi” ve “Anomali-temelli SBS” konularında çalışmalar olmasına rağmen, DDoS saldırıları öncesi dağıtık hazırlık hareketlerinin zombi bilgisayarlardan oluşan orta katmanda yüksek doğruluk oranlarıyla çalışan bir anomali-temelli SBS yapısıyla belirlenmesi ilk defa bu çalışmada gerçekleştirilmiştir.