Bilgisayar Ağlarında Saldırı Tespiti İçin İstatistiksel Yöntem Kullanılması

Abstract

Bilgisayarların kritik sistemlerde kullanımının artmasının bir sonucu olarak, verileri ve bilgisayar sistemlerini kasıtlı ve kötü niyetli müdahalelerden koruma sanatı ve bilimi olan bilgisayar güvenliği giderek daha çok ilgi çeken bir konu haline gelmektedir. Bu amaçla parolalar, güvenlik duvarları, şifreleme ve sayısal imza gibi pek çok savunma yöntemi zaten mevcuttur. Ancak saldırganların er geç sistemlere girmelerini engellemek hala çok zordur. Şu anda güvenlik ihlallerini tamamen engellemek imkansız gözükmektedir. Fakat sistemlere girme girişimlerinin veya başarılı sızmaların yakalanmaya çalışılması biraz daha fazla güvenlik sağlanmasına katkıda bulunabilir. Bu amaca yönelik araştırma konusuna Saldırı Tespiti (ST) adı verilir. Saldırı Tespit Sistemleri (STS’ler), bilgisayar sistemlerinde veya bilgisayar ağlarında oluşan olayları otomatik olarak görüntüleyerek güvenlik sorunları oluşturabilecek durumları analiz eden yazılım veya donanım sistemleridir. STS’ler imza-temelli ve anormallik-temelli olarak tasarlanabilir. İmza-temelli sistemler, yalnızca önceden bilinen saldırıları tespit ederken, anormallik-temelli sistemler çıkarımsal yöntemler kullanmaları itibariyle henüz bilinmeyen saldırıları da tespit edebilmektedirler. Bu çalışmada bilgisayar ağlarına yapılan saldırıları tespit eden bir karma STS geliştirilmiştir. Sistemin imza-temelli tespit yapan kısmı, açık kaynak kodlu olarak gelişen Snort programıdır. Bu programa anormallik-temelli yaklaşımların bir uygulaması olan istatistiksel yöntem geliştirilip eklenerek karma bir sistem oluşturulması hedeflenmiştir. Geliştirilen istatistiksel yöntemin ve oluşturulan karma sistemin performansı, MIT Lincoln Laboratuarlarındaki STS değerlendirmesinde kullanılan ağ trafik verisi üzerinde(IDEVAL) test edilmiştir. Bu test; yöntemlerin iyileştirilmesini, yalnızca imza-temellide tespit edilen saldırılara ek olarak karma sistemle tespit edilebilen saldırıların sayısını bulmayı ve bu sayede karma STS’lerin daha iyi tespit yaptığını göstermeyi hedeflemektedir.

As a consequence of the increased use of computers for critical systems, computer security, which is the art and science of protecting data and computer systems from intentional, malicious intervention, is attracting increasing attention. Many methods of defence already exist such as passwords, firewalls, encryption and digital signatures. However, it is still very difficult to keep the attackers away from entering the systems eventually. Currently, completely preventing breaches of security seems to be impossible. However, trying to detect intrusion attempts or possible intrusions to the systems may be useful to achieve a higher level of security. This field of research is called Intrusion Detection (ID). Intrusion Detection Systems (IDS) are hardware and software systems that monitor computer networks and systems for violations of security policy. IDS can be designed as signature-based or anomaly-based. Signature-based systems can only detect attacks that are known before whereas anomaly-based systems can detect unknown attacks as they use heuristic methods. In this study an hybrid-IDS is developed in order to detect attacks that has been committed to computer networks. Snort is chosen as the signature-based element of the newly developed system because it is open-source software. Statistical method of anomaly detection approach is improved and built into this open-source software and the hybrid system is obtained. Newly developed statistical method and hybrid system’s performance is tested on the network traffic data (IDEVAL) that is used in MIT Lincoln Laboratories IDS evaluation in 1999. This test purposes to improve methods and to find how many attacks are additionally detected with newly developed hybrid system compared to signature-based system on its own.