Gezgin Etmenler Ve Doğadan Esinlenen Sezgiseller Kullanarak Dağıtık Bilgisayar Güvenliğinin Sağlanması

Abstract

Sızma, bir kaynağın bilgi güvenliği temelini oluşturan gizlilik, bütünlük ve kullanılabilirliğini tehlikeye sokmaya çalışan bir olay olarak tanımlanmaktadır. Bir organizasyonu tam koruma altına almak için, ağı düzenli olarak sızma girişimleri için gözlemlemek gerekmektedir. Sızma Belirleme Sistemi’nin (SBS) görevi hem sisteme erişmeye çalışan yetkisiz bir sızıcıyı, hem de sistem kaynaklarını kötüye kullanan yetkili bir kullanıcıyı belirlemektir. SBS’ler, beklenen bilgisayar davranışlardan olan sapmaları veya belirli ağ trafiği paternlerini aramak amacıyla yerel izleme verilerini işleyen veya ağ trafiğini inceleyen güvenlik araçlarıdır. Genelde, Hizmetin Engellenmesi Saldırısında (DoS) olduğu gibi, bir saldırıcı öncelikle yazılım açıklarını suiistimal ederek tek bir kullanıcıya erişim sağlar, daha sonra önceden ele geçirdiği konakçı vasıtasıyla ağdaki diğer konakçılara girmeyi dener. DoS saldırısının amacı hedef sistemin normalde sunduğu hizmetleri sunamaz hale getirmektir. Dağıtık Hizmetin Reddedilmesi Saldırısında (DDoS), aynı anda çok sayıda kaynak tarafından tek bir hedefe saldırı düzenlenir. Bu saldırılar, genelde önceden başkasının kendilerini bir saldırı başlatmak için kullanabilmesi amacıyla ele geçirilmiş olan bilgisayarları kullanırlar. Bu zombi bilgisayarlar saldırının orta katmanında rol alırlar. Bu tez çalışmasında, gezgin etmenler ve doğadan esinlenen algoritmalar kullanarak DDoS-öncesi dağıtık saldırıları orta katmanda dağıtık olarak belirlemek ve saldırı başarıya ulaşmadan önce güvenlik yöneticilerini haberdar etmek amaçlanmıştır. Bu kapsamda gezgin etmenler yardımıyla dağıtık yapının kurulması ve doğadan esinlenen algoritmalar yardımıyla anomali-temelli bir SBS oluşturulması ayrı ayrı gerçeklenmiş ve en sonunda, bu iki sistem birleştirilerek yeni saldırıları düşük yanlış pozitif oranlarıyla belirleyebilen, adaptif olarak SBS’i güncelleme imkanına sahip, merkezi üniteden bağımsız çalışabildiği için yüksek güvenirlik sahibi, sızma belirleme işlemini gezgin etmenler vasıtasıyla yaptığı için ağ yükünü hafifleten ve özellikle DDoS saldırılarını kötüye kullanıldıklarından habersiz olan ve “botnet” olarak nitelendirilen orta katmanda dağıtık olarak başarıyla belirleyebilen bir SBS geliştirilmiştir. İlk aşamada, MIT DARPA 2000 LLS_DDOS 1.0 verisetindeki DDoS saldırılarını tespit edebilmek için altı farklı dağıtık sızma belirleme yöntemi tasarlandı ve simule-gerçek zamanlı test ortamında saldırıların gerçekleşme zaman bilgilerini dikkate alarak test edildi. Bu imza-temelli SBS yöntemlerinin birincisi dışında hepsinde gezgin etmenler kullanıldı. Yöntem_1’de Mobile Agent’lar kullanılmaksızın merkezi bir dağıtık SBS yer almakta olup bir saat içerisinde farklı konakçılardan aynı kaynaklı, aynı tipte bir sızma-şüphe mesajı alınırsa dağıtık bir sızma yapıldığı kararına varılmakta ve güvenlik yöneticisi haberdar edilmektedir. Yöntem_2’de dağıtık sızma olup olmadığı kararını, yukarıda belirtilen şartlar oluştuğunda MainAgent tarafından yaratılan ve sadece listesindeki iki adet konakçıya giderek ilgili verileri yerinde inceleyen Mobile Agent’lar vermektedirler. Yöntem_3’de, MainAgent, Mobile Agent yaratmak için gerekli şartları sağlayan mesaj sayısının iki olmasını beklemez ve ilgili etmenleri sisteme yollar. Yöntem_4’de ise, Mobile Agent’lar merkez tarafından değil de konakçılardaki Static Agent’lar tarafından merkezle koordineli olarak yaratılırlar. Yöntem_5’te, Mobile Agent’lar sızma-şüphelerini MainAgent ve diğer konakçılarla koordine kurmaksızın belirleyen Static Agent’lar tarafından yaratılmakta ve yollanmaktadır. MainAgent hiç kullanılmadığından bu yöntem tam-dağıtık bir yöntemdir. Mobile Agent dağıtık sızma kararını verebilmek için bütün ağı rastgele bir sırada dolaşmaktadır. Yöntem_6’da, Yöntem_2’nin kısa ortalama belirleme süresi avantajı ile Yöntem_5’in tam-dağıtık yapısı birleştirilerek yüksek güvenirlik ve kısa belirleme süresi sahibi bir sistem geliştirilmiştir. Bu sistem, normalde mod-1’de (Yöntem_2) çalışırken, merkezi ünite kullanılamaz olduğunda mod-2’ye (Yöntem_5) geçmektedir. Veri setinde yer alan DDoS saldırısının ilk üç aşaması doğru ve hızlı olarak belirlenerek, son iki aşaması gerçekleşmeden gerekli tedbirlerin alınması için güvenlik yöneticisinin uyarılması hedeflenmiştir. Yapılan yirmi adet koşturma sonucunda her bir yöntemin anılan sızma aşamalarını ortalama belirleme süreleri, ağdaki yük ve güvenirlik özellikleri ayrı ayrı değerlendirilmiştir. Yöntem_4, merkezi üniteden tam-bağımsız olması ve düşük ağ yüküne sahip olması nedeniyle tezin bu bölümü için en iyi yöntem olarak değerlendirilmiştir. İkinci aşamada, SBS yapısı ve biyolojik bağışıklık sistemi arasındaki benzerlikten dolayı anomali-temelli sızma belirleme yöntemi olarak yapay bağışıklık sistemi kullanılmıştır. MIT DARPA 2000 LLS_DDOS 1.0 verisetindeki DDoS saldırılarını belirlerken daha iyi doğru ve yanlış pozitif oranları elde etmek amacıyla çok-amaçlı evrimsel algoritmadan esinlenen bir yapay bağışıklık sistemi olan jREMISA çalışmasına yeni geliştirmeler eklendi. Bu geliştirmeler: r-sürekli değerlendirme yönteminin eklenmesi, Negatif Seleksiyon ve Klonlama Seleksiyon’da değişiklikler yapılması, genel konsept korunurken ikinci hedefin yeniden tanımlanması olarak özetlenebilir. Geliştirilmiş-jREMISA üzerinde daha iyi doğru ve yanlış pozitif sonuçlar verecek en iyi parametre grubunu bulabilmek için benzerlik eşiği değerleri, r-sürekli değerleri ve birincil popülasyon büyüklüklerinden oluşan parametrelerin değişik ayarlamaları ile üç farklı test yapıldı. En sonunda, orjinal ve geliştirilmiş-jREMISA, önceden belirlenen en iyi parametre grubu kullanılarak karşılaştırıldı. Geliştirilen algoritmaya ait olan %100 doğru pozitif oranı ve %0 yanlış pozitif oranı, bir anomali sızma belirleme sistemi olarak kaydadeğer bir başarıdır. Daha sonra, geliştirilmiş-jREMISA’nın performansını diğer benzer çalışmalarla karşılaştırabilmek için literatürde yaygın olarak kullanılan 1999 DARPA SBS veriseti günlerinin farklı bileşimleri kullanılarak deneyler yapıldı. Deneylerde yaklaşık %100 doğru pozitif oranı ve yaklaşık %0 yanlış pozitif oranı başarısı elde edilmiştir. Aynı veriseti üzerinde yapılan diğer çalışmalarla karşılaştırıldığında, geliştirilmiş-jREMISA’nın hepsinden daha iyi TP ve FP değerleri olduğunu gözlemlenmiştir. Son olarak, ayrı ayrı geliştirilen bu iki yapı birleştirilerek tez çalışmasında hedeflenen sistem gerçeklenmiştir. Dağıtık sistemde her bir konakçıda yer alan imza-temelli bir SBS olan Snort tarafından oluşturulan sızma-şüphesi alarmlarının yerini anomali-temelli SBS olan geliştirilmiş-jREMISA’nın oluşturduğu alarmlar aldı. İmza-temelli sistemde geliştirilen Yöntem_2, Yöntem_3 ve Yöntem_4’ün anomali-temelli sistemde diğer yöntemlerden çok farklı işlevleri olmadığına karar verilerek vazgeçilmiş, diğer yöntemler anomali-temelli belirleme yapısına göre yeniden ayarlanmıştır. Sisteme güvenlik yöneticisi tarafından sonradan eklenen saldırı tiplerinin tanınabilmesi için SBS’nin sürekli adaptif olarak çalışması sağlanmıştır. Mobile Agent’lar diğer konakçıların alarm dosyalarını sorgularken benzer bir anomali-tipi sızma-şüphesi paketini bulduğu konakçının DDoS seviyesini artırmakta ve her seferinde konakçılara bir zararlı yazılımın yüklenip yüklenmediğini ayrıca kontrol etmektedir. Güvenlik yöneticisi, bütün bu saldırı aşamalarından güvenli bir alanda kurulduğu varsayılan AlarmAgent aracılığıyla haberdar edilmektedir. MIT DARPA 2000 LLS_DDOS verisetinin 1.0 versiyonu ve daha akıllı bir saldırının senaryo edildiği 2.0.2 versiyonu kullanılarak yapılan testler başarıyla sonuçlanmıştır. DDoS saldırıları gerçekleşmeden önce güvenlik yöneticisini uyaran, gerektiğinde merkezi üniteden tam bağımsız çalışabilme özelliğine sahip, ağda gereğinden fazla yük oluşturmayan, adaptif bir dağıtık SBS gerçeklenmiştir. “DDoS saldırılarının dağıtık olarak belirlenmesi”, “Gezgin etmenler kullanarak sızmaların dağıtık olarak belirlenmesi” ve “Anomali-temelli SBS” konularında çalışmalar olmasına rağmen, DDoS saldırıları öncesi dağıtık hazırlık hareketlerinin zombi bilgisayarlardan oluşan orta katmanda yüksek doğruluk oranlarıyla çalışan bir anomali-temelli SBS yapısıyla belirlenmesi ilk defa bu çalışmada gerçekleştirilmiştir.

An intrusion is defined as an event that tries to compromise the confidentiality, integrity and availability of a resource which are the basic information security properties. A network should be examined regularly for intrusion attempts in order to secure an organization completely. The mission of an Intrusion Detection System (IDS) is to detect both a non-authorized intruder who tries to access the system and an authorized user who misuses the system resources. IDSs are the security tools that examine local audit data and network traffic in order to find the deviations from normal computer behaviors and predefined traffic patterns. Usually, an intruder gets access to one user first by misusing the software vulnerabilities, later tries to login other network hosts via the preempted host. The objective of a Denial of Service (DoS) attack is preventing the victim system to serve its normal services. In Distributed Denial of Service attack (DDoS), a victim is attacked from multiple sources simultaneously. These attacks usually use the preempted computers which are ready to be misused for launching an attack. These zombie computers participate in the intermediate phase of the attack. The objective of this dissertation is to detect pre-DDoS attacks in the intermediate level distributedly using mobile agents and nature inspired algorithms and inform the security managers before the attack succeeds. After fulfilling the construction of the distributed structure and generation of an anomaly-based IDS with the help of nature inspired algorithms seperately, these two systems are combined together to build an IDS which can detect new attacks with lower false positive rates, have the capability to update itself adaptively, highly secure since it can work independently from the central unit, lightens the network load since it makes the intrusion detection using mobile agents, and detects succesively the DDoS attacks in the intermediate phase which is called “botnet” as they are not aware of being misused. In the first part, six different distributed intrusion detection method is designed in order to detect the DDoS attacks in the MIT DARPA LLS_DDOS 1.0 dataset and tested in a simulated-real time environment respecting the occurring time of the attacks. Mobile agents are used in these signature-based IDS methods except the first one. In Method_1, there is a centralized distributed IDS without mobile agents in which a distributed intrusion decision is given and the security manager is informed if there comes an intrusion-suspect message from different hosts in an hour with same source IP. In Method_2, the decision of distributed intrusion is given by Mobile Agents which are created by the MainAgent in the above stated conditions and which visit only the two hosts that are in their lists to examine the related data on their origin. In Method_3, MainAgent doesn’t wait the number of required messages for creating a Mobile Agent to be two, and immediately dispatches the related agents to the network. In Method_4, Mobile Agents are created by Static Agents of hosts coordinated with the center. In Method_5, Mobile Agents are created and sent to the system by the Static Agents which detect the intrusion-suspects without coordinating with the MainAgent and other hosts. This is a fully-distributed method since MainAgent is never used. Mobile Agents travel around the network in a random order in order to give the decision of distributed intrusion. In Method_6, a high reliable system with short detection time is developed by combining the short mean detection time advantage of Method_2 and fully-distributed architecture of Method_5. This system normally works in mode-1 (Method_2), but shifts to mode-2 (Method_5) when the central unit is not available. It is aimed to detect first three phases of DDoS attacks that are in the dataset accurately and fast, and warn the security manager to take necessary precautions before the occurrence of last two phases. As a result of twenty runs, mean detection times, network load and reliability properties of each methods are evaluated individually. Method_4 is considered to be the best method for this part of the study, since it is fully-independet from the central unit and causes low network load. In the second phase, artificial immune system is used as the method of anomaly-based intrusion detection because of the similarity between the IDS architecture and biological immune system. New improvements are added to the jREMISA study which is a multiobjective evolutionary algorithm inspired artificial immune system, in order to obtain better true and false positive rates while detecting the DDoS attacks that are in the MIT DARPA LLS_DDOS 1.0 dataset. These improvements can be stated as addition of r-continuous evaluation method, changes in Negative Selection and Clonal Selection parts, re-defination of the second objective while keeping the overall concept same. Three different tests are performed with different configurations of the parameters of affinity threshold values, r-continuous values and the size of the primary population in order to find the best parameter group that will give better true and false positive results over the improved-jREMISA. At last, original and improved-jREMISA are compared using the predefined best parameter group. 100% true positive rate and 0% false positive rate of the improved algorithm is a noteworthy success for an anomaly intrusion detection system. Later, some experiments are performed using different combinations of 1999 DARPA IDS dataset days which is commonly used in literature in order to compare the performance of the improved-jREMISA with other similar studies. The success of approximately 100% true positive values and 0% false positive values is obtained in these experiments. It is observed that imroved-jREMISA had better TP nad FP values than all of the others when compared with the studies that are tested with the same dataset. Lastly, the target system of this dissertation is created by combining these two seperately developed structures. In the distributed environment, the intrusion-suspect alarms of signature-based IDS of Snort are substituted by the alarms which are generated by anomaly-based IDS of the improved-jREMISA. Method_2, Method_3 and Method_4 of signature-based system are decided not to be used in anomaly-based system because of their functional similarity to other methods. Other three methods which were developed according to the signature-based controls are reset according to the anomaly-based detection structure. Mobile Agents increase the DDoS state of the hosts where they find a similar anomly-type intrusion-suspect packet while questioning the alarm files of the them, and controls everytime whether a malicuous software is uploaded to the hosts. Security manager is informed about these attack phases via the AlarmAgent which is assumed to be stated in a secure area. The tests with 1.0 version and more sophisticated 2.0.2 version of MIT DARPA 2000 LLS_DDOS dataset are resulted successfully. A distributed IDS is developed, which alerts the security manager before the DDoS attack launch, able to work independently from the central unit if necessary and not causes more than enough network load. Although there are studies about “distributed detection of DDoS attacks”, “distributed detection of intrusions using mobile agents” and “anonaly-based IDS”; detection of pre-DDoS distributed preparatory traffic on the intermediate phase which is composed of zombie computers using an anomaly-based IDS which works with high correct detection rates is performed first time in this study.