Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

SALDIRI TESPİT SİSTEMLERİ İstatistiksel Anormallik Belirlemeyi Kullanan Sistemler Melike EROL Bilgisayar Mühensiliği Bölümü Bilgisayar.

Benzer bir sunumlar


... konulu sunumlar: "SALDIRI TESPİT SİSTEMLERİ İstatistiksel Anormallik Belirlemeyi Kullanan Sistemler Melike EROL Bilgisayar Mühensiliği Bölümü Bilgisayar."— Sunum transkripti:

1 SALDIRI TESPİT SİSTEMLERİ İstatistiksel Anormallik Belirlemeyi Kullanan Sistemler Melike EROL Bilgisayar Mühensiliği Bölümü Bilgisayar Mühensiliği Bölümü

2 6/5/2005 2/36 Melike ErolPLAN Giriş Giriş Saldırı çeşitleri Saldırı çeşitleri Günümüzde saldırıların boyutları Günümüzde saldırıların boyutları Saldırı Tespit Sistemleri (STS) Saldırı Tespit Sistemleri (STS) STS’lerin Veri İşleme Zamanına göre sınıflandırılması STS’lerin Veri İşleme Zamanına göre sınıflandırılması STS’lerin Mimarilerine göre sınıflandırılması STS’lerin Mimarilerine göre sınıflandırılması STS’lerin Bilgi Kaynaklarına göre sınıflandırılması STS’lerin Bilgi Kaynaklarına göre sınıflandırılması STS’lerin Veri İşleme yöntemlerine göre sınıflandırılması STS’lerin Veri İşleme yöntemlerine göre sınıflandırılması Anormallik Temelli Anormallik Temelli İmza Temelli İmza Temelli Bazı STS örnekleri Bazı STS örnekleri STS’lerin Başarım Ölçütleri STS’lerin Başarım Ölçütleri STS testlerinde kullanılan DARPA veri setleri STS testlerinde kullanılan DARPA veri setleri İstatistiksel anormallik tespiti kullanan yakın tarihli çalışmalar İstatistiksel anormallik tespiti kullanan yakın tarihli çalışmalar Bir gerçekleme çalışması Bir gerçekleme çalışması

3 6/5/2005 3/36 Melike Erol Saldırı Çeşitleri Bilgi Tarama (Probe ya da scan) Bilgi Tarama (Probe ya da scan) Bir sunucunun ya da herhangi makinanın, geçerli ip adreslerini, aktif portlarını veya işletim sistemini öğrenmek için yapılan saldırılardır. Bir sunucunun ya da herhangi makinanın, geçerli ip adreslerini, aktif portlarını veya işletim sistemini öğrenmek için yapılan saldırılardır. Hizmet Engelleme (Denial of Service - DoS) Hizmet Engelleme (Denial of Service - DoS) Genelde TCP/IP protokol yapısındaki açıklardan faydalanarak veya bir sunucuya çok sayıda istek yönelterek onu tıkamaya sebep olan saldırılardır. Genelde TCP/IP protokol yapısındaki açıklardan faydalanarak veya bir sunucuya çok sayıda istek yönelterek onu tıkamaya sebep olan saldırılardır. Protokol hatalarına dayalı Protokol hatalarına dayalı Devamlı paket göndermeye dayalı Devamlı paket göndermeye dayalı Çok kaynak kullanarak Çok kaynak kullanarak Tek kaynak kullanarak Tek kaynak kullanarak

4 6/5/2005 4/36 Melike Erol Saldırı Çeşitleri (devam) Yönetici Hesabı ile Yerel Oturum Açma (Remote to Local - R2L) Yönetici Hesabı ile Yerel Oturum Açma (Remote to Local - R2L) Kullanıcı haklarına sahip olunmadığı durumda misafir ya da başka bir kullanıcı olarak izinsiz erişim yapılmasıdır. Kullanıcı haklarına sahip olunmadığı durumda misafir ya da başka bir kullanıcı olarak izinsiz erişim yapılmasıdır. Kullanıcı Hesabının Yönetici Hesabına Yükseltilmesi (User to Root - U2R) Kullanıcı Hesabının Yönetici Hesabına Yükseltilmesi (User to Root - U2R) Bu tip saldırılarda sisteme girme izni olan fakat yönetici olmayan bir kullanıcının yönetici izni gerektirecek işler yapmaya çalışmasıdır. Bu tip saldırılarda sisteme girme izni olan fakat yönetici olmayan bir kullanıcının yönetici izni gerektirecek işler yapmaya çalışmasıdır.

5 6/5/2005 5/36 Melike Erol Günümüzde Saldırıların Boyutları İnternet üzerinde hergün civarında saldırı gerçekleşmektedir [2002]. İnternet üzerinde hergün civarında saldırı gerçekleşmektedir [2002]. Büyük maddi kayıplar oluşmaktadır. Büyük maddi kayıplar oluşmaktadır. Saldırı tipleri ve saldırgan profili zamanla değişmektedir. Saldırı tipleri ve saldırgan profili zamanla değişmektedir.

6 6/5/2005 6/36 Melike Erol Saldırı Tespit Sistemleri (STS) Saldırıların tespit edilmesi ve önüne geçilmesi için kullanılan sistemlerdir. Saldırıların tespit edilmesi ve önüne geçilmesi için kullanılan sistemlerdir. Ağ üzerinden veya direkt makina başından yapılan saldırıları tespit edebilirler. Ağ üzerinden veya direkt makina başından yapılan saldırıları tespit edebilirler. Biz sadece ağ üzerinden yapılan saldırılara karşı geliştirilen STS’leri inceleyeceğiz. Biz sadece ağ üzerinden yapılan saldırılara karşı geliştirilen STS’leri inceleyeceğiz. Ticari, devlete ait ve akademik bir çok STS mevcuttur. Ticari, devlete ait ve akademik bir çok STS mevcuttur.

7 6/5/2005 7/36 Melike Erol STS’lerin Sınıflandırılması STS’ler 4 ana grupta sınıflandırılırlar. STS’ler 4 ana grupta sınıflandırılırlar. Veri İşleme Zamanına göre Veri İşleme Zamanına göre Mimarilerine göre Mimarilerine göre Bilgi Kaynaklarına göre Bilgi Kaynaklarına göre Veri İşleme Yöntemlerine göre Veri İşleme Yöntemlerine göre Anormallik Tespiti Temelli Anormallik Tespiti Temelli İmza Temelli İmza Temelli

8 6/5/2005 8/36 Melike Erol Veri İşleme Zamanına Göre Sınıflandırma Gerçek Zamanlı (real time) Gerçek Zamanlı (real time) Gerçek Zamanlı olmayan (batch) Gerçek Zamanlı olmayan (batch)

9 6/5/2005 9/36 Melike Erol Mimariye Göre Sınıflandırma Çok sayıda dağıtık merkezden veri toplayıp bir merkezde verileri işleyen STS’ler Çok sayıda dağıtık merkezden veri toplayıp bir merkezde verileri işleyen STS’ler Tek bir kaynaktan veri toplayıp aynı yerde bu verileri işleyen STS’ler Tek bir kaynaktan veri toplayıp aynı yerde bu verileri işleyen STS’ler

10 6/5/ /36 Melike Erol Bilgi Kaynaklarına Göre Sınıflandırma Ağ-temelli STS’ler Ağ-temelli STS’ler Ağ paketlerini yakalayıp bunları analiz ederek saldırı tespiti yaparlar. Ağ paketlerini yakalayıp bunları analiz ederek saldırı tespiti yaparlar. Sunucu-temelli STS’ler Sunucu-temelli STS’ler Bilgisayar sistemi içerisinde toplanan veriler üzerinde çalışırlar. Bilgisayar sistemi içerisinde toplanan veriler üzerinde çalışırlar. İşletim sistemine yönelen saldırılar için hangi sistem çağrılarının ve hangi kullanıcıların sorumlu olduğu tespit edilebilir. İşletim sistemine yönelen saldırılar için hangi sistem çağrılarının ve hangi kullanıcıların sorumlu olduğu tespit edilebilir. Uygulama-temelli STS’ler Uygulama-temelli STS’ler Bir yazılım uygulaması ile meydana gelen olayları analiz eden sunucu-temelli STS’lerin özel bir türüdür. Bir yazılım uygulaması ile meydana gelen olayları analiz eden sunucu-temelli STS’lerin özel bir türüdür. Bilgi kaynağı olarak genellikle uygulamaya ait günlük dosyalar kullanılır. Bilgi kaynağı olarak genellikle uygulamaya ait günlük dosyalar kullanılır.

11 6/5/ /36 Melike Erol Saldırı Tespit Yöntemlerine Göre Sınıflandırma 1) Anormallik Tespiti: Anormallik (anomaly) normal davranıştan sapma anlamına gelir. Anormallik (anomaly) normal davranıştan sapma anlamına gelir. Normal davranıştan farklılık gösteren davranışlar saldırı olarak işaretlenirler. Normal davranıştan farklılık gösteren davranışlar saldırı olarak işaretlenirler. Burada normal davranışın bilinmesi ve modelenmesi esastır. Ancak bundan sonra bir anormallik varsa tespit edilebilir. Burada normal davranışın bilinmesi ve modelenmesi esastır. Ancak bundan sonra bir anormallik varsa tespit edilebilir. Normal davranış STS tarafından öğrenilebilir veya baştan programlanabilir. Normal davranış STS tarafından öğrenilebilir veya baştan programlanabilir. Avantajı daha önceden tanınmayan saldırıların keşfedilmesi olasılığıdır. Avantajı daha önceden tanınmayan saldırıların keşfedilmesi olasılığıdır. Dezavantajı ise yanlış alarmların (false alarm/positive) sayısının yüksek olmasıdır. Dezavantajı ise yanlış alarmların (false alarm/positive) sayısının yüksek olmasıdır. Anormallik tespitinde Anormallik tespitinde kural tabalı teknikler kural tabalı teknikler açıklayıcı istatistikleri kullanan teknikler açıklayıcı istatistikleri kullanan teknikler yapay sinir ağları yapay sinir ağları sinyal işleme teknikleri kullanılabilir. sinyal işleme teknikleri kullanılabilir.

12 6/5/ /36 Melike Erol Saldırı Tespit Yöntemlerine Göre Sınıflandırma (devam) 2)İmza Temelli Sistemler Kötüye kullanım tespiti (Misuse detection) olarak da bilinir. Kötüye kullanım tespiti (Misuse detection) olarak da bilinir. Her davranışın bir imzası-karakteri vardır. Her davranışın bir imzası-karakteri vardır. Eğer gözlenlenen davranış daha önceden bilinen bir saldırı imzası ile eşleşiyorsa saldırı olarak sınıflandırılır. Eğer gözlenlenen davranış daha önceden bilinen bir saldırı imzası ile eşleşiyorsa saldırı olarak sınıflandırılır. Daha önce karşılaşılmadıysa saldırı olarak nitelenmez. Daha önce karşılaşılmadıysa saldırı olarak nitelenmez. Avantajı saldırıyı kesin olarak tanıyabilmesidir. Avantajı saldırıyı kesin olarak tanıyabilmesidir. Dezavantajı yeni bir saldırı gelirse bunu sezemez. Dezavantajı yeni bir saldırı gelirse bunu sezemez. İmza temelli yaklaşım daha çok ticari sistemlerde kullanılırlar. İmza temelli yaklaşım daha çok ticari sistemlerde kullanılırlar. Exper sistemler yaygın olarak kullanılırlar. Exper sistemler yaygın olarak kullanılırlar.

13 6/5/ /36 Melike Erol Bazı STS Örnekleri Denning’in geliştirdiği IDES (Intrusion Detection with Expert Systems) tipinden STS Denning’in geliştirdiği IDES (Intrusion Detection with Expert Systems) tipinden STS Bu konuda en eski ve en çok referans verilen çalışmalardandır. Bu konuda en eski ve en çok referans verilen çalışmalardandır. Exper sistemin karar vermesi için önce kullanıcı kayıtları farklı bir yapıya dönüştürülür. Örneğin: Exper sistemin karar vermesi için önce kullanıcı kayıtları farklı bir yapıya dönüştürülür. Örneğin: COPY GAME.EXE TO GAME.EXE komutu için oluşturulacak kayıtlar şu şekilde olacaktır.

14 6/5/ /36 Melike Erol Bazı STS Örnekleri (devam) Denning’in geliştirdiği IDES anormallik tespitine dayanır ama exper sistem kullanır. Denning’in geliştirdiği IDES anormallik tespitine dayanır ama exper sistem kullanır. Exper sistem kullanıcı kayıtlarından çıkartılan Exper sistem kullanıcı kayıtlarından çıkartılan Eşik değeri Eşik değeri Momentler Momentler Markov modeli Markov modeli ölçütlerini kullanarak saldırının varlığına ilişkin karar verir. Diğer STS örnekleri: Diğer STS örnekleri: NADIR ( ) NADIR ( ) EMERALD ( ) EMERALD ( ) Bro (1988) Bro (1988) W&S (1989).... W&S (1989)....

15 6/5/ /36 Melike ErolPLAN Giriş Giriş Saldırı çeşitleri Saldırı çeşitleri Günümüzde saldırıların boyutları Günümüzde saldırıların boyutları Saldırı Tespit Sistemleri (STS) Saldırı Tespit Sistemleri (STS) STS’lerin Veri İşleme Zamanına göre sınıflandırılması STS’lerin Veri İşleme Zamanına göre sınıflandırılması STS’lerin Mimarilerine göre sınıflandırılması STS’lerin Mimarilerine göre sınıflandırılması STS’lerin Bilgi Kaynaklarına göre sınıflandırılması STS’lerin Bilgi Kaynaklarına göre sınıflandırılması STS’lerin Veri İşleme yöntemlerine göre sınıflandırılması STS’lerin Veri İşleme yöntemlerine göre sınıflandırılması Anormallik Temelli Anormallik Temelli İmza Temelli İmza Temelli Bazı STS örnekleri Bazı STS örnekleri STS’lerin Başarım Ölçütleri STS’lerin Başarım Ölçütleri STS testlerinde kullanılan DARPA veri setleri STS testlerinde kullanılan DARPA veri setleri İstatistiksel anormallik tespiti kullanan yakın tarihli çalışmalar İstatistiksel anormallik tespiti kullanan yakın tarihli çalışmalar Bir gerçekleme çalışması Bir gerçekleme çalışması

16 6/5/ /36 Melike Erol STS’lerin Başarım Ölçütleri Yanlış Alarm Seviyesi Yanlış Alarm Seviyesi STS’lerde normal bir davranışı yanlışlıkla saldırı olarak etiketlemek yanlış alarmdır. STS’lerde normal bir davranışı yanlışlıkla saldırı olarak etiketlemek yanlış alarmdır. Bu sadece anormallik tespitine dayanan sistemlerde geçerlidir. Bu sadece anormallik tespitine dayanan sistemlerde geçerlidir. Doğru Tespit Seviyesi Doğru Tespit Seviyesi Yakalanan doğru alarmların oranı Yakalanan doğru alarmların oranı Yanlış alarm ve doğru tespit birbiriyle ilintilidir. Yanlış alarm ve doğru tespit birbiriyle ilintilidir. STS’lerde sistem başarımını göstermede ROC (Receiver Operating Characteristic) eğrileri kullanılır. STS’lerde sistem başarımını göstermede ROC (Receiver Operating Characteristic) eğrileri kullanılır.

17 6/5/ /36 Melike Erol STS’lerin Başarım Ölçütleri (devam) Yoğun veri ile başa çıkabilme Yoğun veri ile başa çıkabilme Olayları ilintilendirebilme Olayları ilintilendirebilme Farklı kaynaklardan gelen bilgileri birlikte kullanabilme Farklı kaynaklardan gelen bilgileri birlikte kullanabilme Yeni Saldırıları tanıyabilme Yeni Saldırıları tanıyabilme Sadece anormallik tespiti ile çalışan STS’ler için Sadece anormallik tespiti ile çalışan STS’ler için Saldırıyı tanıyabilme Saldırıyı tanıyabilme STS’ler saldırı var ya da yok bilgisini verirler genelde STS’ler saldırı var ya da yok bilgisini verirler genelde Hangi saldırının gerçekleştiği daha sonradan bilinebilir. Hangi saldırının gerçekleştiği daha sonradan bilinebilir. Saldırının başarılı olup olmadığını belirleme Saldırının başarılı olup olmadığını belirleme

18 6/5/ /36 Melike Erol STS Testlerinde Kullanılan Veri Setleri Gerçek veri bulmak her zaman zordur. Gerçek veri bulmak her zaman zordur. Saldırı anı etiketlenmiş veri bulmak daha da zordur. Saldırı anı etiketlenmiş veri bulmak daha da zordur. Bu verileri saklamak masraflıdır. Bu verileri saklamak masraflıdır. Simulasyon yapılabilir fakat: Simulasyon yapılabilir fakat: İnternet tarfiğini simule etmek zordur. İnternet tarfiğini simule etmek zordur. DARPA IDEVAL (MIT Lincoln Lab.) DARPA IDEVAL (MIT Lincoln Lab.) En sık kullanılan veri seti En sık kullanılan veri seti KDD CUP’99 KDD CUP’99 DARPA’dan türetilmiştir. DARPA’dan türetilmiştir. MİB verileri MİB verileri İnternet üzerindeki yönlendirici MİB’lerindeki sayaç değerleri SNMP ile alınabilir. İnternet üzerindeki yönlendirici MİB’lerindeki sayaç değerleri SNMP ile alınabilir. Yönetici izni gereklidir. Yönetici izni gereklidir. Kısıtlı bilgi içerir. Kısıtlı bilgi içerir. Buna alternatif ağ dinleyicisi veya IP flow monitorlerdir. Buna alternatif ağ dinleyicisi veya IP flow monitorlerdir.

19 6/5/ /36 Melike Erol DARPA Veri Setleri STS testlerinde kullanılan, İnternet ortamından ücretsiz alınabilecek veri setidir. STS testlerinde kullanılan, İnternet ortamından ücretsiz alınabilecek veri setidir. Amerikan Hava Kuvvetlerine ait bir LAN’ın ve trafiğinin simulasyon sonucu oluşturulmuştur. Amerikan Hava Kuvvetlerine ait bir LAN’ın ve trafiğinin simulasyon sonucu oluşturulmuştur.

20 6/5/ /36 Melike Erol DARPA 1999 Veri Setleri Toplam 5 haftalık veri Toplam 5 haftalık veri Her hafta 5 gun Her hafta 5 gun Bir gün 22 saatlik veriyi içerir (08:00-06:00). Bir gün 22 saatlik veriyi içerir (08:00-06:00). Her gün için 5 ayrı dosya tutulur. (toplam 7,5GB) Her gün için 5 ayrı dosya tutulur. (toplam 7,5GB) Ağ dinleyicisindan elde dilen dosya Ağ dinleyicisindan elde dilen dosya İç ağ dinleyicisindan alınan tcpdump dosyası İç ağ dinleyicisindan alınan tcpdump dosyası Dış ağ dinleyicisidan alınan tcpdump dosyası Dış ağ dinleyicisidan alınan tcpdump dosyası Solaris Temel Güvenlik Modülü (Basic Security Module -BSM) audit (kayıt) dosyası Solaris Temel Güvenlik Modülü (Basic Security Module -BSM) audit (kayıt) dosyası Windows NT olay log dosyası Windows NT olay log dosyası Kurban makinalardan her gece alınan güvenlik kayıtları. Kurban makinalardan her gece alınan güvenlik kayıtları. Test haftalarında 58 farklı tipte 200’e yakın saldırı mevcuttur. Test haftalarında 58 farklı tipte 200’e yakın saldırı mevcuttur.

21 6/5/ /36 Melike Erol DARPA’nın Problemleri Yeni geliştirilecek STS’lerin DARPA veri setlerini temel alması ve buradan alacakları sonuca göre hareket etmeleri, kendilerini kalibre etmeleri DARPA’nın temel amacı olarak düşünülürse bu verilerin gerçeğe yakın olması son derece önemlidir. Yeni geliştirilecek STS’lerin DARPA veri setlerini temel alması ve buradan alacakları sonuca göre hareket etmeleri, kendilerini kalibre etmeleri DARPA’nın temel amacı olarak düşünülürse bu verilerin gerçeğe yakın olması son derece önemlidir. Simule edilen arka plan trafiği ile Hava Kuvvetleri trafiğinin hangi özelliklerinin benzediği belirtilmemiştir [McHugh]. Simule edilen arka plan trafiği ile Hava Kuvvetleri trafiğinin hangi özelliklerinin benzediği belirtilmemiştir [McHugh]. İletişim yoğunluğunun ne olduğu DARPA setlerinde belirtilmemiştir. İletişim yoğunluğunun ne olduğu DARPA setlerinde belirtilmemiştir. Hesaplandığında İnternet trafiğinin çok altında olduğu görülmüş. Hesaplandığında İnternet trafiğinin çok altında olduğu görülmüş.

22 6/5/ /36 Melike Erol DARPA’nın Problemleri DARPA veri setlerinin özbenzeşimliliği: DARPA veri setlerinin özbenzeşimliliği: Hurst parametresi günün değişik saatlerinde farklı Hurst parametresi günün değişik saatlerinde farklı gündüz (H=0.7) → özbezeşimli gündüz (H=0.7) → özbezeşimli gece (H=0.5) → özbenzeşimli değil gece (H=0.5) → özbenzeşimli değil yani özbenzeşimli yapının her zaman korunmadığı gözlenmiştir. [Allen et al.] Propagasyon gecikmesi ya da en azından TCP bağlantılarına ait ortalama RTT değerleri verilmemiştir. Propagasyon gecikmesi ya da en azından TCP bağlantılarına ait ortalama RTT değerleri verilmemiştir. Zaman serisi oluşturulurken örnekleme frekansının seçilmesi için bu bilgilerin elde edilmesi önemlidir. Zaman serisi oluşturulurken örnekleme frekansının seçilmesi için bu bilgilerin elde edilmesi önemlidir.

23 6/5/ /36 Melike Erol Anormallik tespitinde istatistiksel yöntemleri kullanan yakın tarihli çalışmalar - 1 Cabrera et al. [2000], DARPA veri setinden zaman serileri oluşturmuştur. Cabrera et al. [2000], DARPA veri setinden zaman serileri oluşturmuştur. Günün değişik saatlerinde farklı rejimler görülmüş Günün değişik saatlerinde farklı rejimler görülmüş Gunduz Gunduz Aksam Aksam Gece Gece Bunlar için farklı örnekleme frekansının kullanılmasıyla saldırı tespitinin başarımının arttığını söylemiştir. Bunlar için farklı örnekleme frekansının kullanılmasıyla saldırı tespitinin başarımının arttığını söylemiştir.

24 6/5/ /36 Melike Erol Anormallik tespitinde istatistiksel yöntemleri kullanan yakın tarihli çalışmalar - 2 Lazarevic et al. [2003], DARPA setlerini kullanarak ayrıksı eleman tespiti (outlier detection) yapar. Lazarevic et al. [2003], DARPA setlerini kullanarak ayrıksı eleman tespiti (outlier detection) yapar. kaynak_varış_paket_sayısı kaynak_varış_paket_sayısı varış_kaynak_paket_sayısı varış_kaynak_paket_sayısı son 15saniyede bir kaynağa yapılan bağlantılar son 15saniyede bir kaynağa yapılan bağlantılar gibi 23 değişik özellik seçilmiş. Bunların sayısal değerleri ile saldırı içermeyen veri setinden normal bir küme oluşturulmuştur. Bunların sayısal değerleri ile saldırı içermeyen veri setinden normal bir küme oluşturulmuştur. Daha sonra test verileri bu küme ile karşılaştırılıp genel davranıştan ayrılma varsa bunun tespitine çalışılmıştır. Daha sonra test verileri bu küme ile karşılaştırılıp genel davranıştan ayrılma varsa bunun tespitine çalışılmıştır. En yakın komşu (nearest neighbor) En yakın komşu (nearest neighbor) Mahalanobis uzaklığı algoritması Mahalanobis uzaklığı algoritması gibi örüntü tanımadan bilinen yaklaşımlar uygulanmıştır.

25 6/5/ /36 Melike Erol Anormallik tespitinde istatistiksel yöntemleri kullanan yakın tarihli çalışmalar - 3 Shyu et al. [2003], KDD Cup veri setini kullanır. Shyu et al. [2003], KDD Cup veri setini kullanır. Sinyal işleme tekniklerinden Temel Bileşen Analizi - TBA (Principle Component Analysis - PCA) kullanır. Sinyal işleme tekniklerinden Temel Bileşen Analizi - TBA (Principle Component Analysis - PCA) kullanır. TBA verinin, özdeğerleri kullanarak daha düşük bir boyutta ifade edilmesine yarar. TBA verinin, özdeğerleri kullanarak daha düşük bir boyutta ifade edilmesine yarar. Temel bileşen y i için: Temel bileşen y i için: Yapılan hesapta c 1 ve c 2 aşılıyorsa saldırı tespit edilir. Yapılan hesapta c 1 ve c 2 aşılıyorsa saldırı tespit edilir. Eşik değerleri yanlış alarm seviyesini belirli düzeyde tutacak şekilde seçilir. Eşik değerleri yanlış alarm seviyesini belirli düzeyde tutacak şekilde seçilir.

26 6/5/ /36 Melike Erol Anormallik tespitinde istatistiksel yöntemleri kullanan yakın tarihli çalışmalar - 4 MIB verisi ile çalışan Barford et al. [2002] ait STS. MIB verisi ile çalışan Barford et al. [2002] ait STS. Dalgacık yöntemi kullanılarak veri ayrıştırılmıştır. Dalgacık yöntemi kullanılarak veri ayrıştırılmıştır. Verinin kendisinden oluşturulan zaman serisi ve Verinin kendisinden oluşturulan zaman serisi ve filtrelemenin sonundaki, 3 değişik ölçekteki zaman serisine filtrelemenin sonundaki, 3 değişik ölçekteki zaman serisine kayan ortalama hesabı (moving average) uygulanıp belirlenen bir eşik değerinden sapmalara saldırı etiketi konmuştur. kayan ortalama hesabı (moving average) uygulanıp belirlenen bir eşik değerinden sapmalara saldırı etiketi konmuştur. Saldırılar uzun-vadeli (long-lived) ve kısa-vadeli (short-lived) olarak sınıflandırılabilmiştir. Saldırılar uzun-vadeli (long-lived) ve kısa-vadeli (short-lived) olarak sınıflandırılabilmiştir.

27 6/5/ /36 Melike ErolPLAN Giriş Giriş Saldırı çeşitleri Saldırı çeşitleri Günümüzde saldırıların boyutları Günümüzde saldırıların boyutları Saldırı Tespit Sistemleri (STS) Saldırı Tespit Sistemleri (STS) STS’lerin Veri İşleme Zamanına göre sınıflandırılması STS’lerin Veri İşleme Zamanına göre sınıflandırılması STS’lerin Mimarilerine göre sınıflandırılması STS’lerin Mimarilerine göre sınıflandırılması STS’lerin Bilgi Kaynaklarına göre sınıflandırılması STS’lerin Bilgi Kaynaklarına göre sınıflandırılması STS’lerin Veri İşleme yöntemlerine göre sınıflandırılması STS’lerin Veri İşleme yöntemlerine göre sınıflandırılması Anormallik Temelli Anormallik Temelli İmza Temelli İmza Temelli Bazı STS örnekleri Bazı STS örnekleri STS’lerin Başarım Ölçütleri STS’lerin Başarım Ölçütleri STS testlerinde kullanılan DARPA veri setleri STS testlerinde kullanılan DARPA veri setleri İstatistiksel anormallik tespiti kullanan yakın tarihli çalışmalar İstatistiksel anormallik tespiti kullanan yakın tarihli çalışmalar Bir gerçekleme çalışması Bir gerçekleme çalışması

28 6/5/ /36 Melike Erol Bir Saldırı Veri Analizi Çalışması DARPA 1999 veri setlerinden DARPA 1999 veri setlerinden 3. hafta Pazartesi 3. hafta Pazartesi 5. hafta Pazartesi 5. hafta Pazartesi İç ağ dinleyicisi verileri kullanıldı. İç ağ dinleyicisi verileri kullanıldı. Veri tcpdump formatındadır. Veri tcpdump formatındadır. Ethereal veya benzeri bir programda açılmalı. Ethereal veya benzeri bir programda açılmalı.

29 6/5/ /36 Melike Erol Ağ Dinleyici Dosyası Zaman serisi oluşturmak için Zaman serisi oluşturmak için Veri tek yönlü hale getirilmelidir. Veri tek yönlü hale getirilmelidir. Yönlendirme paketleri süzülmelidir. Yönlendirme paketleri süzülmelidir. Ethereal’da filtreleme uygulanmalı Ethereal’da filtreleme uygulanmalı

30 6/5/ /36 Melike Erol Bir Saldırı Veri Analizi Çalışması Filtreleme sonucu kalan verinin sadece zaman damgası ve paket boyu alanları bir text dosyasına alındı. Filtreleme sonucu kalan verinin sadece zaman damgası ve paket boyu alanları bir text dosyasına alındı. Burada text dosyası C++ kodu ile 5sn ve 10sn’lik kovalarda toplandı. Burada text dosyası C++ kodu ile 5sn ve 10sn’lik kovalarda toplandı. Bu dosya MATLAB’de zaman serisi çizdirmek için kullanıldı. Bu dosya MATLAB’de zaman serisi çizdirmek için kullanıldı.

31 6/5/ /36 Melike Erol Bir Saldırı Veri Analizi Çalışması 5sn’lik kovalar 10sn’lik kovalar 5sn’lik kovalar 10sn’lik kovalar 3. hafta 3. haftapazartesi 5. Hafta pazartesi

32 6/5/ /36 Melike Erol Bir Saldırı Veri Analizi Çalışması Paketleri saymanın yeterli bilgi vermediği görülmüştür. Paketleri saymanın yeterli bilgi vermediği görülmüştür. Burdan sonra bağlantı bilgisi kullanılması düşünülmüştür. Burdan sonra bağlantı bilgisi kullanılması düşünülmüştür. Bağlantı sayısı bağlantı açma paketi SYN’leri sayarak belirlenebilir. Bağlantı sayısı bağlantı açma paketi SYN’leri sayarak belirlenebilir. Sadece TCP bağlantılarını içerecek şekilde veri Ethreal’de filtrelendi. Sadece TCP bağlantılarını içerecek şekilde veri Ethreal’de filtrelendi. Kalan veriden C++ kullanarak SYN içeren paketler ayıklandı. Kalan veriden C++ kullanarak SYN içeren paketler ayıklandı. 100sn’lik kovalarda gelen SYN mesajları tutuldu. 100sn’lik kovalarda gelen SYN mesajları tutuldu. MATLAB’ e aktarılıp zaman serisi çizdirildi. MATLAB’ e aktarılıp zaman serisi çizdirildi.

33 6/5/ /36 Melike Erol Bir Saldırı Veri Analizi Çalışması 3. Hafta (100sn) 5. hafta (100sn)

34 6/5/ /36 Melike ErolSonuçlar Analizlerimizin sonucunda: Analizlerimizin sonucunda: Zaman serisi yöntemleri için MİB verileri daha uygundur. Zaman serisi yöntemleri için MİB verileri daha uygundur. DARPA veri setlerinin normal günler için bile durağan olmaması analizde zorluk çıkartmaktadır. DARPA veri setlerinin normal günler için bile durağan olmaması analizde zorluk çıkartmaktadır. Sadece paket sayılarına bakmak yeterli bir bilgi vermemektedir. Sadece paket sayılarına bakmak yeterli bir bilgi vermemektedir. Her konağa yapılan bağlantı sayısını tutmak faydalı olabilir. Fakat bu: Her konağa yapılan bağlantı sayısını tutmak faydalı olabilir. Fakat bu: kurban makinalar hakkında ön bilgi sahibi olmak kurban makinalar hakkında ön bilgi sahibi olmak her konak için ayrı zaman serisi oluşturmak anlamına gelir. her konak için ayrı zaman serisi oluşturmak anlamına gelir. Bunun için bağlantı istek bilgisini içeren SYN paketlerini kullanmak düşünülmüştür. Fakat; Bunun için bağlantı istek bilgisini içeren SYN paketlerini kullanmak düşünülmüştür. Fakat; analiz sonucunda saldırı içeren haftada daha az bağlantı bilgisi bulunmuştur. analiz sonucunda saldırı içeren haftada daha az bağlantı bilgisi bulunmuştur.

35 6/5/ /36 Melike Erol Sonuçlar Bu projede saldırılar hakkında genel bir bilgi birikimi oluşması amaçlanmıştır. Bu projede saldırılar hakkında genel bir bilgi birikimi oluşması amaçlanmıştır. Literatür taramasıyla oluşturulan bilgi birikimi, kendi çabamızla tasarladığımız bir analize dönüştürülmüştür. Literatür taramasıyla oluşturulan bilgi birikimi, kendi çabamızla tasarladığımız bir analize dönüştürülmüştür. Bu sayede STS çalışmalarının temel aşamaları hakkında bilgi sahibi olunmuştur. Bu sayede STS çalışmalarının temel aşamaları hakkında bilgi sahibi olunmuştur.

36 6/5/ /36 Melike ErolReferanslar M. A. aydın, “Bilgisayar Ağlarında Saldırı Tespiti için İstatistiksel Yöntem Kullanılması”, Yüksek Lisans Tezi, M. A. aydın, “Bilgisayar Ağlarında Saldırı Tespiti için İstatistiksel Yöntem Kullanılması”, Yüksek Lisans Tezi, N. Wu, J. Zhang, “Factor Analysis Based Anomaly Detection”, Proc. IEEE Workshop on Information Assurance, N. Wu, J. Zhang, “Factor Analysis Based Anomaly Detection”, Proc. IEEE Workshop on Information Assurance, S. Axelsson, “Intrusion Detection Systems: A Survey and Taxonomy”, Technical Report Dept. of Computer Eng., Chalmers University, March S. Axelsson, “Intrusion Detection Systems: A Survey and Taxonomy”, Technical Report Dept. of Computer Eng., Chalmers University, March D. Denning, “An Intrusion-Detection Model”, IEEE Trans on Software Enginering, vol. 13, no. 2,1987. D. Denning, “An Intrusion-Detection Model”, IEEE Trans on Software Enginering, vol. 13, no. 2,1987. P. Barford, J. Kline, D. Plonka, A. Ron, “A Signal Analysis of Network Traffic Anomalies”, Proc. of ACM/SIGCOMM, P. Barford, J. Kline, D. Plonka, A. Ron, “A Signal Analysis of Network Traffic Anomalies”, Proc. of ACM/SIGCOMM, R. Lippmann, J. W. Haines, D. J. Fried, J. Korba, K. Das, “Analysis and Results of the 1999 DARPA Off-Line Intrusion Detection Evaluation”, R. Lippmann, J. W. Haines, D. J. Fried, J. Korba, K. Das, “Analysis and Results of the 1999 DARPA Off-Line Intrusion Detection Evaluation”, J. McHugh, “Testing Intrusion Detection Systems: A Critique of the 1998 and 1999 DARPA Intrusion Detection System Evaluations as Performed by Lincoln Laboratory”, ACM Trans on Information and System Security, vol. 3, no. 4, J. McHugh, “Testing Intrusion Detection Systems: A Critique of the 1998 and 1999 DARPA Intrusion Detection System Evaluations as Performed by Lincoln Laboratory”, ACM Trans on Information and System Security, vol. 3, no. 4, M. Thottan, C. Ji, “Anomaly detection in IP Networks”, IEEE Trans on Signal Processing, vol. 51, no. 8, M. Thottan, C. Ji, “Anomaly detection in IP Networks”, IEEE Trans on Signal Processing, vol. 51, no. 8, J.B.D. Cabrera, B. Ravichandran, R. K. Mehra, “Statistical Traffic Modeling for Network Intrusion Detection”, Proc. of International Symposium on Modeling, Analysis and Simulation of Computer and Telecommunication Systems, J.B.D. Cabrera, B. Ravichandran, R. K. Mehra, “Statistical Traffic Modeling for Network Intrusion Detection”, Proc. of International Symposium on Modeling, Analysis and Simulation of Computer and Telecommunication Systems, P. Mell, V. Hu, R. Lippmann, J. Haines, M. Zissman, “An Overview of Issues in testing Intrusion Detection Systems”, NIST Technical Report, Haziran P. Mell, V. Hu, R. Lippmann, J. Haines, M. Zissman, “An Overview of Issues in testing Intrusion Detection Systems”, NIST Technical Report, Haziran DARPA IDEVALweb sitesi, “http://www.ll.mit.edu/IST/ideval/data”. DARPA IDEVALweb sitesi, “http://www.ll.mit.edu/IST/ideval/data”.http://www.ll.mit.edu/IST/ideval/data W. H. Allen, G. A. Marin, “On the Self-similairty of Synthetic Traffic for Evaluation of Intrusion Detection Systems”, Symp. On the Applications and the Internet, W. H. Allen, G. A. Marin, “On the Self-similairty of Synthetic Traffic for Evaluation of Intrusion Detection Systems”, Symp. On the Applications and the Internet, 2003.

37 Questions? Thank you.... Thank you....


"SALDIRI TESPİT SİSTEMLERİ İstatistiksel Anormallik Belirlemeyi Kullanan Sistemler Melike EROL Bilgisayar Mühensiliği Bölümü Bilgisayar." indir ppt

Benzer bir sunumlar


Google Reklamları