Bilgisayar Mühensiliği Bölümü SALDIRI TESPİT SİSTEMLERİ İstatistiksel Anormallik Belirlemeyi Kullanan Sistemler Melike EROL erol@cs.itu.edu.tr Bilgisayar Mühensiliği Bölümü

PLAN Giriş Saldırı Tespit Sistemleri (STS) Bazı STS örnekleri Saldırı çeşitleri Günümüzde saldırıların boyutları Saldırı Tespit Sistemleri (STS) STS’lerin Veri İşleme Zamanına göre sınıflandırılması STS’lerin Mimarilerine göre sınıflandırılması STS’lerin Bilgi Kaynaklarına göre sınıflandırılması STS’lerin Veri İşleme yöntemlerine göre sınıflandırılması Anormallik Temelli İmza Temelli Bazı STS örnekleri STS’lerin Başarım Ölçütleri STS testlerinde kullanılan DARPA veri setleri İstatistiksel anormallik tespiti kullanan yakın tarihli çalışmalar Bir gerçekleme çalışması 6/5/2005 Melike Erol

Saldırı Çeşitleri Bilgi Tarama (Probe ya da scan) Bir sunucunun ya da herhangi makinanın, geçerli ip adreslerini, aktif portlarını veya işletim sistemini öğrenmek için yapılan saldırılardır. Hizmet Engelleme (Denial of Service - DoS) Genelde TCP/IP protokol yapısındaki açıklardan faydalanarak veya bir sunucuya çok sayıda istek yönelterek onu tıkamaya sebep olan saldırılardır. Protokol hatalarına dayalı Devamlı paket göndermeye dayalı Çok kaynak kullanarak Tek kaynak kullanarak 6/5/2005 Melike Erol

Saldırı Çeşitleri (devam) Yönetici Hesabı ile Yerel Oturum Açma (Remote to Local - R2L) Kullanıcı haklarına sahip olunmadığı durumda misafir ya da başka bir kullanıcı olarak izinsiz erişim yapılmasıdır. Kullanıcı Hesabının Yönetici Hesabına Yükseltilmesi (User to Root - U2R) Bu tip saldırılarda sisteme girme izni olan fakat yönetici olmayan bir kullanıcının yönetici izni gerektirecek işler yapmaya çalışmasıdır. 6/5/2005 Melike Erol

Günümüzde Saldırıların Boyutları İnternet üzerinde hergün 25000 civarında saldırı gerçekleşmektedir [2002]. Büyük maddi kayıplar oluşmaktadır. Saldırı tipleri ve saldırgan profili zamanla değişmektedir. 6/5/2005 Melike Erol

Saldırı Tespit Sistemleri (STS) Saldırıların tespit edilmesi ve önüne geçilmesi için kullanılan sistemlerdir. Ağ üzerinden veya direkt makina başından yapılan saldırıları tespit edebilirler. Biz sadece ağ üzerinden yapılan saldırılara karşı geliştirilen STS’leri inceleyeceğiz. Ticari, devlete ait ve akademik bir çok STS mevcuttur. 6/5/2005 Melike Erol

STS’lerin Sınıflandırılması STS’ler 4 ana grupta sınıflandırılırlar. Veri İşleme Zamanına göre Mimarilerine göre Bilgi Kaynaklarına göre Veri İşleme Yöntemlerine göre Anormallik Tespiti Temelli İmza Temelli 6/5/2005 Melike Erol

Veri İşleme Zamanına Göre Sınıflandırma Gerçek Zamanlı (real time) Gerçek Zamanlı olmayan (batch) 6/5/2005 Melike Erol

Mimariye Göre Sınıflandırma Çok sayıda dağıtık merkezden veri toplayıp bir merkezde verileri işleyen STS’ler Tek bir kaynaktan veri toplayıp aynı yerde bu verileri işleyen STS’ler 6/5/2005 Melike Erol

Bilgi Kaynaklarına Göre Sınıflandırma Ağ-temelli STS’ler Ağ paketlerini yakalayıp bunları analiz ederek saldırı tespiti yaparlar. Sunucu-temelli STS’ler Bilgisayar sistemi içerisinde toplanan veriler üzerinde çalışırlar. İşletim sistemine yönelen saldırılar için hangi sistem çağrılarının ve hangi kullanıcıların sorumlu olduğu tespit edilebilir. Uygulama-temelli STS’ler Bir yazılım uygulaması ile meydana gelen olayları analiz eden sunucu-temelli STS’lerin özel bir türüdür. Bilgi kaynağı olarak genellikle uygulamaya ait günlük dosyalar kullanılır. 6/5/2005 Melike Erol

Saldırı Tespit Yöntemlerine Göre Sınıflandırma 1) Anormallik Tespiti: Anormallik (anomaly) normal davranıştan sapma anlamına gelir. Normal davranıştan farklılık gösteren davranışlar saldırı olarak işaretlenirler. Burada normal davranışın bilinmesi ve modelenmesi esastır. Ancak bundan sonra bir anormallik varsa tespit edilebilir. Normal davranış STS tarafından öğrenilebilir veya baştan programlanabilir. Avantajı daha önceden tanınmayan saldırıların keşfedilmesi olasılığıdır. Dezavantajı ise yanlış alarmların (false alarm/positive) sayısının yüksek olmasıdır. Anormallik tespitinde kural tabalı teknikler açıklayıcı istatistikleri kullanan teknikler yapay sinir ağları sinyal işleme teknikleri kullanılabilir. 6/5/2005 Melike Erol

Saldırı Tespit Yöntemlerine Göre Sınıflandırma (devam) 2)İmza Temelli Sistemler Kötüye kullanım tespiti (Misuse detection) olarak da bilinir. Her davranışın bir imzası-karakteri vardır. Eğer gözlenlenen davranış daha önceden bilinen bir saldırı imzası ile eşleşiyorsa saldırı olarak sınıflandırılır. Daha önce karşılaşılmadıysa saldırı olarak nitelenmez. Avantajı saldırıyı kesin olarak tanıyabilmesidir. Dezavantajı yeni bir saldırı gelirse bunu sezemez. İmza temelli yaklaşım daha çok ticari sistemlerde kullanılırlar. Exper sistemler yaygın olarak kullanılırlar. 6/5/2005 Melike Erol

Bazı STS Örnekleri Denning’in geliştirdiği IDES (Intrusion Detection with Expert Systems) tipinden STS Bu konuda en eski ve en çok referans verilen çalışmalardandır. Exper sistemin karar vermesi için önce kullanıcı kayıtları farklı bir yapıya dönüştürülür. Örneğin: [ali@computer]# COPY GAME.EXE TO <Library> GAME.EXE komutu için oluşturulacak kayıtlar şu şekilde olacaktır. 6/5/2005 Melike Erol

Bazı STS Örnekleri (devam) Denning’in geliştirdiği IDES anormallik tespitine dayanır ama exper sistem kullanır. Exper sistem kullanıcı kayıtlarından çıkartılan Eşik değeri Momentler Markov modeli ölçütlerini kullanarak saldırının varlığına ilişkin karar verir. Diğer STS örnekleri: NADIR (1991-93) EMERALD (1997-98) Bro (1988) W&S (1989).... 6/5/2005 Melike Erol

PLAN Giriş Saldırı Tespit Sistemleri (STS) Bazı STS örnekleri Saldırı çeşitleri Günümüzde saldırıların boyutları Saldırı Tespit Sistemleri (STS) STS’lerin Veri İşleme Zamanına göre sınıflandırılması STS’lerin Mimarilerine göre sınıflandırılması STS’lerin Bilgi Kaynaklarına göre sınıflandırılması STS’lerin Veri İşleme yöntemlerine göre sınıflandırılması Anormallik Temelli İmza Temelli Bazı STS örnekleri STS’lerin Başarım Ölçütleri STS testlerinde kullanılan DARPA veri setleri İstatistiksel anormallik tespiti kullanan yakın tarihli çalışmalar Bir gerçekleme çalışması 6/5/2005 Melike Erol

STS’lerin Başarım Ölçütleri Yanlış Alarm Seviyesi STS’lerde normal bir davranışı yanlışlıkla saldırı olarak etiketlemek yanlış alarmdır. Bu sadece anormallik tespitine dayanan sistemlerde geçerlidir. Doğru Tespit Seviyesi Yakalanan doğru alarmların oranı Yanlış alarm ve doğru tespit birbiriyle ilintilidir. STS’lerde sistem başarımını göstermede ROC (Receiver Operating Characteristic) eğrileri kullanılır. 6/5/2005 Melike Erol

STS’lerin Başarım Ölçütleri (devam) Yoğun veri ile başa çıkabilme Olayları ilintilendirebilme Farklı kaynaklardan gelen bilgileri birlikte kullanabilme Yeni Saldırıları tanıyabilme Sadece anormallik tespiti ile çalışan STS’ler için Saldırıyı tanıyabilme STS’ler saldırı var ya da yok bilgisini verirler genelde Hangi saldırının gerçekleştiği daha sonradan bilinebilir. Saldırının başarılı olup olmadığını belirleme 6/5/2005 Melike Erol

STS Testlerinde Kullanılan Veri Setleri Gerçek veri bulmak her zaman zordur. Saldırı anı etiketlenmiş veri bulmak daha da zordur. Bu verileri saklamak masraflıdır. Simulasyon yapılabilir fakat: İnternet tarfiğini simule etmek zordur. DARPA IDEVAL 1998- 1999 (MIT Lincoln Lab.) En sık kullanılan veri seti KDD CUP’99 DARPA’dan türetilmiştir. MİB verileri İnternet üzerindeki yönlendirici MİB’lerindeki sayaç değerleri SNMP ile alınabilir. Yönetici izni gereklidir. Kısıtlı bilgi içerir. Buna alternatif ağ dinleyicisi veya IP flow monitorlerdir. 6/5/2005 Melike Erol

DARPA Veri Setleri STS testlerinde kullanılan, İnternet ortamından ücretsiz alınabilecek veri setidir. Amerikan Hava Kuvvetlerine ait bir LAN’ın ve trafiğinin simulasyon sonucu oluşturulmuştur. 6/5/2005 Melike Erol

DARPA 1999 Veri Setleri Toplam 5 haftalık veri Her hafta 5 gun Bir gün 22 saatlik veriyi içerir (08:00-06:00). Her gün için 5 ayrı dosya tutulur. (toplam 7,5GB) Ağ dinleyicisindan elde dilen dosya İç ağ dinleyicisindan alınan tcpdump dosyası Dış ağ dinleyicisidan alınan tcpdump dosyası Solaris Temel Güvenlik Modülü (Basic Security Module -BSM) audit (kayıt) dosyası Windows NT olay log dosyası Kurban makinalardan her gece alınan güvenlik kayıtları. Test haftalarında 58 farklı tipte 200’e yakın saldırı mevcuttur. 6/5/2005 Melike Erol

DARPA’nın Problemleri Yeni geliştirilecek STS’lerin DARPA veri setlerini temel alması ve buradan alacakları sonuca göre hareket etmeleri, kendilerini kalibre etmeleri DARPA’nın temel amacı olarak düşünülürse bu verilerin gerçeğe yakın olması son derece önemlidir. Simule edilen arka plan trafiği ile Hava Kuvvetleri trafiğinin hangi özelliklerinin benzediği belirtilmemiştir [McHugh]. İletişim yoğunluğunun ne olduğu DARPA setlerinde belirtilmemiştir. Hesaplandığında İnternet trafiğinin çok altında olduğu görülmüş. 6/5/2005 Melike Erol

DARPA’nın Problemleri DARPA veri setlerinin özbenzeşimliliği: Hurst parametresi günün değişik saatlerinde farklı gündüz (H=0.7) → özbezeşimli gece (H=0.5) → özbenzeşimli değil yani özbenzeşimli yapının her zaman korunmadığı gözlenmiştir. [Allen et al.] Propagasyon gecikmesi ya da en azından TCP bağlantılarına ait ortalama RTT değerleri verilmemiştir. Zaman serisi oluşturulurken örnekleme frekansının seçilmesi için bu bilgilerin elde edilmesi önemlidir. 6/5/2005 Melike Erol

Günün değişik saatlerinde farklı rejimler görülmüş Anormallik tespitinde istatistiksel yöntemleri kullanan yakın tarihli çalışmalar - 1 Cabrera et al. [2000], DARPA veri setinden zaman serileri oluşturmuştur. Günün değişik saatlerinde farklı rejimler görülmüş Gunduz Aksam Gece Bunlar için farklı örnekleme frekansının kullanılmasıyla saldırı tespitinin başarımının arttığını söylemiştir. 6/5/2005 Melike Erol

Anormallik tespitinde istatistiksel yöntemleri kullanan yakın tarihli çalışmalar - 2 Lazarevic et al. [2003], DARPA setlerini kullanarak ayrıksı eleman tespiti (outlier detection) yapar. kaynak_varış_paket_sayısı varış_kaynak_paket_sayısı son 15saniyede bir kaynağa yapılan bağlantılar gibi 23 değişik özellik seçilmiş. Bunların sayısal değerleri ile saldırı içermeyen veri setinden normal bir küme oluşturulmuştur. Daha sonra test verileri bu küme ile karşılaştırılıp genel davranıştan ayrılma varsa bunun tespitine çalışılmıştır. En yakın komşu (nearest neighbor) Mahalanobis uzaklığı algoritması gibi örüntü tanımadan bilinen yaklaşımlar uygulanmıştır. 6/5/2005 Melike Erol

Anormallik tespitinde istatistiksel yöntemleri kullanan yakın tarihli çalışmalar - 3 Shyu et al. [2003], KDD Cup veri setini kullanır. Sinyal işleme tekniklerinden Temel Bileşen Analizi -TBA (Principle Component Analysis - PCA) kullanır. TBA verinin, özdeğerleri kullanarak daha düşük bir boyutta ifade edilmesine yarar. Temel bileşen yi için: Yapılan hesapta c1 ve c2 aşılıyorsa saldırı tespit edilir. Eşik değerleri yanlış alarm seviyesini belirli düzeyde tutacak şekilde seçilir. 6/5/2005 Melike Erol

MIB verisi ile çalışan Barford et al. [2002] ait STS. Anormallik tespitinde istatistiksel yöntemleri kullanan yakın tarihli çalışmalar - 4 MIB verisi ile çalışan Barford et al. [2002] ait STS. Dalgacık yöntemi kullanılarak veri ayrıştırılmıştır. Verinin kendisinden oluşturulan zaman serisi ve filtrelemenin sonundaki, 3 değişik ölçekteki zaman serisine kayan ortalama hesabı (moving average) uygulanıp belirlenen bir eşik değerinden sapmalara saldırı etiketi konmuştur. Saldırılar uzun-vadeli (long-lived) ve kısa-vadeli (short-lived) olarak sınıflandırılabilmiştir. 6/5/2005 Melike Erol

PLAN Giriş Saldırı Tespit Sistemleri (STS) Bazı STS örnekleri Saldırı çeşitleri Günümüzde saldırıların boyutları Saldırı Tespit Sistemleri (STS) STS’lerin Veri İşleme Zamanına göre sınıflandırılması STS’lerin Mimarilerine göre sınıflandırılması STS’lerin Bilgi Kaynaklarına göre sınıflandırılması STS’lerin Veri İşleme yöntemlerine göre sınıflandırılması Anormallik Temelli İmza Temelli Bazı STS örnekleri STS’lerin Başarım Ölçütleri STS testlerinde kullanılan DARPA veri setleri İstatistiksel anormallik tespiti kullanan yakın tarihli çalışmalar Bir gerçekleme çalışması 6/5/2005 Melike Erol

Bir Saldırı Veri Analizi Çalışması DARPA 1999 veri setlerinden 3. hafta Pazartesi 5. hafta Pazartesi İç ağ dinleyicisi verileri kullanıldı. Veri tcpdump formatındadır. Ethereal veya benzeri bir programda açılmalı. 6/5/2005 Melike Erol

Ağ Dinleyici Dosyası Zaman serisi oluşturmak için Veri tek yönlü hale getirilmelidir. Yönlendirme paketleri süzülmelidir. Ethereal’da filtreleme uygulanmalı 6/5/2005 Melike Erol

Bir Saldırı Veri Analizi Çalışması Filtreleme sonucu kalan verinin sadece zaman damgası ve paket boyu alanları bir text dosyasına alındı. Burada text dosyası C++ kodu ile 5sn ve 10sn’lik kovalarda toplandı. Bu dosya MATLAB’de zaman serisi çizdirmek için kullanıldı. 6/5/2005 Melike Erol

Bir Saldırı Veri Analizi Çalışması 5sn’lik kovalar 10sn’lik kovalar 3. hafta pazartesi 5. Hafta 6/5/2005 Melike Erol

Bir Saldırı Veri Analizi Çalışması Paketleri saymanın yeterli bilgi vermediği görülmüştür. Burdan sonra bağlantı bilgisi kullanılması düşünülmüştür. Bağlantı sayısı bağlantı açma paketi SYN’leri sayarak belirlenebilir. Sadece TCP bağlantılarını içerecek şekilde veri Ethreal’de filtrelendi. Kalan veriden C++ kullanarak SYN içeren paketler ayıklandı. 100sn’lik kovalarda gelen SYN mesajları tutuldu. MATLAB’ e aktarılıp zaman serisi çizdirildi. 6/5/2005 Melike Erol

Bir Saldırı Veri Analizi Çalışması 3. Hafta (100sn) 5. hafta (100sn) 6/5/2005 Melike Erol

Sonuçlar Analizlerimizin sonucunda: Zaman serisi yöntemleri için MİB verileri daha uygundur. DARPA veri setlerinin normal günler için bile durağan olmaması analizde zorluk çıkartmaktadır. Sadece paket sayılarına bakmak yeterli bir bilgi vermemektedir. Her konağa yapılan bağlantı sayısını tutmak faydalı olabilir. Fakat bu: kurban makinalar hakkında ön bilgi sahibi olmak her konak için ayrı zaman serisi oluşturmak anlamına gelir. Bunun için bağlantı istek bilgisini içeren SYN paketlerini kullanmak düşünülmüştür. Fakat; analiz sonucunda saldırı içeren haftada daha az bağlantı bilgisi bulunmuştur. 6/5/2005 Melike Erol

Sonuçlar Bu projede saldırılar hakkında genel bir bilgi birikimi oluşması amaçlanmıştır. Literatür taramasıyla oluşturulan bilgi birikimi, kendi çabamızla tasarladığımız bir analize dönüştürülmüştür. Bu sayede STS çalışmalarının temel aşamaları hakkında bilgi sahibi olunmuştur. 6/5/2005 Melike Erol

Referanslar M. A. aydın, “Bilgisayar Ağlarında Saldırı Tespiti için İstatistiksel Yöntem Kullanılması”, Yüksek Lisans Tezi, 2005. N. Wu, J. Zhang, “Factor Analysis Based Anomaly Detection”, Proc. IEEE Workshop on Information Assurance, 2003. S. Axelsson, “Intrusion Detection Systems: A Survey and Taxonomy”, Technical Report Dept. of Computer Eng., Chalmers University, March 2000. D. Denning, “An Intrusion-Detection Model”, IEEE Trans on Software Enginering, vol. 13, no. 2,1987. P. Barford, J. Kline, D. Plonka, A. Ron, “A Signal Analysis of Network Traffic Anomalies”, Proc. of ACM/SIGCOMM, 2002. R. Lippmann, J. W. Haines, D. J. Fried, J. Korba, K. Das, “Analysis and Results of the 1999 DARPA Off-Line Intrusion Detection Evaluation”, 2000. J. McHugh, “Testing Intrusion Detection Systems: A Critique of the 1998 and 1999 DARPA Intrusion Detection System Evaluations as Performed by Lincoln Laboratory”, ACM Trans on Information and System Security, vol. 3, no. 4, 2000. M. Thottan, C. Ji, “Anomaly detection in IP Networks”, IEEE Trans on Signal Processing, vol. 51, no. 8, 2003. J.B.D. Cabrera, B. Ravichandran, R. K. Mehra, “Statistical Traffic Modeling for Network Intrusion Detection”, Proc. of International Symposium on Modeling, Analysis and Simulation of Computer and Telecommunication Systems, 2000. P. Mell, V. Hu, R. Lippmann, J. Haines, M. Zissman, “An Overview of Issues in testing Intrusion Detection Systems”, NIST Technical Report, Haziran 2003. DARPA IDEVALweb sitesi, “http://www.ll.mit.edu/IST/ideval/data”. W. H. Allen, G. A. Marin, “On the Self-similairty of Synthetic Traffic for Evaluation of Intrusion Detection Systems”, Symp. On the Applications and the Internet, 2003. 6/5/2005 Melike Erol

Questions? Thank you....