3.

ULUSLARARASI KATILIMLI BLG GVENL VE KRPTOLOJ KONFERANSI

3rd INFORMATION SECURITY & CRYPTOLOGY CONFERENCE WITH INTERNATIONAL PARTICIPATION

Saldr Tespit Sistemleri zerine Bir nceleme

Esra N. GVEN, eref SAIROLU
Sistemleri (STS), saldrlara kar sistemimizde alarm nitelii tayan yazlm ve donanmlardr. STSlerin kullanlmas ile sistemlere yaplan yetkisiz eriimler ve ktye kullanmlar tespit edilerek, bunlarn yol aabilecei zararlar engellenmi olur. Bilgisayar sistemlerinde STSlerin kullanlmas ile birlikte, sisteme ne tr saldrlarn daha ok yapld, sistemdeki mevcut aklar ve saldrganlar hakknda daha detayl bilgiler elde edilebilir. II. SALDIRI TESPT SSTEMLER Saldr tespiti kavram ilk olarak Andersonun Bilgisayar Gvenlii Tehdit Gzetleme ve zleme (Computer Security Threat Monitoring and Survaillance) makalesi ile 1980de ortaya atlmtr [9]. Bu alma, STSlerin tanmlanmas ve tannmas asndan byk bir neme sahiptir. lk nesil STSler, basit bilgisayar sistemleri zerine dnlmtr. kinci neslinde ise gnmzde STSlerin vazgeilmezi olan denetleme izi (audit trail) kavram ve veritaban mantnn bilgi gvenlii alanndaki nemi ortaya kmtr. Bunu izleyen almalarda, gvenlik konusundaki almalara yardmc olmak amacyla gnlk denetleme verilerinin otomatik aralar ile elde edilmesi konusunda almalar yaplmtr [10]. 1985ten itibaren bu akmla gelitirilen projelerde denetleme verileri zerinde zenle durulmu ve istatistiksel yaklamlar temel alnarak saldr tespit modelleri gelitirilmitir. Bu almalardan biri olan IDES (intrusion detection expert system), Denning tarafndan gelitirilmeye balanan ve 1988-1992 yllar arasnda yaplan almalarn birounu zerinde barndran bir sistemdir [8]. Daha sonra ismi NIDES (next-generation intrusion detection systems) olarak deien bu sistem, ikinci nesil saldr tespit sistemlerinin en eski ve en bilinen almalarndan biridir. IDES, saldr senaryolarnn kural kmelerinin karlmasyla dizayn edilmeye balanan kural tabanl bir STSdir. Denning almasnda 3 farkl istatistiksel model tanmlamtr. Bu modeler [2]; kullancnn belirli aralklarla bir ilemi tekrar etmesine izin veren ve eik deerine gre anormallik olduunu tespit eden model, istatistiksel momentlerin bilindii varsaylarak tespit edilen sapmalar ile anormallik olduunu tespit eden model ve anormalliklerin tek olaya deil bir diziye bal olduu Markov modeliolarak verilmektedir. STSlerin gelitirilmesinde gnmze kadar istatistiksel yntemlerin dnda, kural tabanl (rule based), eik deeri belirleme (threshold value), durum gei diyagramlar (state transition diagrams), yapay sinir alar (artificial neural

zetBu almada, Saldr Tespit Sistemleri (STS) hakknda literatr aratrmas yaplarak, bilgi ve bilgisayar gvenlii asndan nemi deerlendirilmitir. Aratrma sonucunda elde edilen bilgiler dorultusunda STSlerin snflandrlmasnda kulllanlan genel kriterlere ve STSlerin gelitirilmesi iin kullanlan klasik ve zeki yntemler aratrlmtr. STSde kullanlan zeki yntemlerden gnmzde en ok dikkat ekenlerden biri olan Yapay Sinir Alarnn (YSA) STSlerde kullanlmasnn stnlkleri gzden geirilmi ve STSler genel olarak deerlendirilmitir. Anahtar KelimelerSaldr tespiti, saldr tespit sistemleri (STS), zeki STS, yapay sinir a. AbstractIn this paper, intrusion detection systems (IDSs) which are important tools for providing information and computer security were analyzed, the methods used in developing IDSs were reviewed, the studies on classical and intelligent IDSs were revised. Artificial neural networks, one of the intelligent techniques, used in IDS design were also summarized. IDSs were finally evaluated in general. KeywordsIDS, Intrusion Detection Systems, intelligent IDS, artificial neural network.

I. GR LG an yaadmz u gnlerde, e-devlet, e-imza, eticaret gibi kavramlardan olduka sk bahsedilmektedir. Gerek hz ve verimlilik art, gerekse kolaylk salamas nedeniyle birok bilgi elektronik ortamlara aktarlmtr. Ancak, kiisel veya kurumsal adan nemli bir bilginin, bakalarnn eline gemesi ile maddi ve manevi zararlara yol aabilecei grlmtr. Gelitirilen e-devlet, e-kurum gibi projelerde gvenliin en st dzeyde tutulmas ulusal bir ama haline gelmi, bu konuda hukuki ve teknolojik nlemler gelitirilmitir [1]. Teknolojik nlemlerin gelitirilmesi srasnda bir varlk olarak bilgiyi, tehdit ve saldrlara kar korumak iin gvenlik duvarlar, antivirs yazlmlar, saldr tespit sistemleri (STS), saldr engelleme sistemleri (SES) gibi aralar gelitirilmitir. Bu aralarn belirlenen kural ve politikalara gre yaplandrlmas, bilgi gvenliimizi byk lde salayacaktr. Gnmzde bilgi ve bilgisayar gvenliinin neminin kavranmasyla, gelitirilen aralardan biri olan Saldr Tespit

Esra N. GVEN is now PhD Student in Boston, USA e-mail: enguven8@hotmail.com eref SAIROLU is now with the Department of Computer Engineering, Gazi University, Ankara, TURKEY (e-mail: ss@gazi.edu.tr).

Bildiriler Kitab Proceedings

252627 Aralk December 2008 Ankara / TRKYE 273

3. ULUSLARARASI KATILIMLI BLG GVENL VE KRPTOLOJ KONFERANSI

3rd INFORMATION SECURITY & CRYPTOLOGY CONFERENCE WITH INTERNATIONAL PARTICIPATION

networks), veri madencilii (data mining), yapay baklk sistemi (artificial immune system), bulank mantk (fuzzy logic) gibi farkl birok yaklam uygulanmtr [11, 12]. STSler, bilgisayarlar ve veri alar iin yeni bir gvenlik yaklam sunmaktadrlar. Daha nce de belirtildii gibi STSlerin amac, saldr, yetkisiz kullanm, suistimal, sistem ii ve dndan davetsiz misafirlerin sisteme zarar vermesi gibi durumlarn tehis edilmesidir. Saldr tespit problemi, bilgisayar alarnn hzl ekilde artmas ve bu artn sonucu olarak sisteme eriiminin oalmas ile davetsiz misafirlerin kimliklendirmeyi kolaylkla reddetmesinden sonra byk nem kazanmtr [3]. STSler gnmze kadar farkl birok kritere gre snflandrlmtr. Bunlardan en ok bilinen snflandrma tr saldr tespit yntemine gre olup, anormallik tespiti ve ktye kullanm tespiti olarak ikiye ayrlr [8]. Ancak STSlerin mimari yaps, korunan sistemin tr, verinin ilenme zaman gibi farkl snflandrmalar da yaplabilir [6]. Bu snflandrma kriterlerinden en yaygn olanlar unlardr; Veri leme Zaman STSler iin veri ileme zaman, izlenen olaylar ve olaylarn analizi arasnda geen zaman ifade eder. STSler gerek zamanl ve gerek zamanl olmayan eklinde ikiye ayrlrlar [6]. Mimari Yap STSlerin mimari yaps, fonksiyonel bileenlerin birbirlerine gre nasl yerletirildiklerini anlatr [13]. Temel fonksiyonel bileenler; izlenen sistem, analizin yapld sunucu ile evresi ve problemler iin izlenen hedef olarak sralanabilir. Bilgi Kayna STSler, bilgi kaynaklarn analiz ve karlatrma yapmak iin kullanrlar. Bilgi kaynaklar, bilgisayar veya a paketlerinin dinlenmesinden elde edilebildii gibi, kullanc profillerinin davran modellerinden de elde edilebilir. Bilginin nasl ve nereden toplanaca, gelitirilecek olan STSnin amalarna gre deiir. Bunlar; denetleme izi, a paketleri, uygulama kayt dosyalardr. Saldr Tespit Yntemi STSlerde, saldr tespit yntemi olarak anormallik tespiti ve ktye kullanm tespiti olmak zere iki farkl yaklam kullanlr [8]. Anormallik tespitine dayanan yaklam, sistemdeki kullanc davranlarn modellerken, ktye kullanm (imza) tespitine dayanan yaklam, saldrganlarn davranlarn modeller. Korunan Sistem STSler koruduklar sisteme gre gruba ayrlrlar. Korumak istenen sisteme gre; a, sunucu ya da uygulama temelli STSler olarak adlandrlrlar [14].

En genel anlamyla, saldr tespiti iini yapmak iin gelitirilen sistemlere saldr tespit sistemleri denir. Ancak gnmze kadar yaplan aratrmalar ve almalar incelendiinde, saldr tespit sistemlerinin farkl tanmlar olduu grlmtr. Yaplan bu tanmlara gre STSler; Bilgisayar sistemlerine yaplan ataklar ve ktye kullanmlar belirlemek iin tasarlanm sistemlerdir [2]. Tercihen gerek zamanl olarak, bilgisayar sistemlerinin yetkisiz ve ktye kullanm ve suistimalini tespit etmek iin kullanlrlar [3]. Saldry durdurma giriiminde bulunmayan ve olas gvenlik ihlali durumlarnda, sistem gvenlik alanlarna uyar mesaj (alarm) veren sistemlerdir [4]. Bilgisayar sistemlerinin kaynaklarna veya verilerine yetkisiz eriimleri belirler [5]. Bilgisayar gvenlii alanndaki hrsz alarmlardr [6]. Bilgisayar veya a sistemine yaplan yetkisiz eriimleri tespit etmek iin kullanlan yazlm aralardr. STSler kt niyetli a trafii ve bilgisayar kullanmn tespit etme yeteneine sahiptir. Bir STS, olas gvenlik aklarn belirleyebilmek iin bilgisayar veya a ierisinde deiik alanlardan bilgileri toplar ve analiz eder. Gvenlik duvarnn statik izleme kabiliyetini tamamlayan dinamik izleme elemandr [7]. Yukarda sunulan tanmlardan yola karak, biz de STSleri, bilginin elektronik ortamlarda tanrken, ilenirken veya depolanrken bana gelebilecek tehdit ve tehlikelerin ortadan kaldrlmas amacyla, bilgiye yetkisiz eriim veya ktye kullanm gibi giriimleri tespit edebilme ve bu tespiti sistem gvenliinden sorumlu kiilere iletebilme zelliine sahip yazlmsal ve/veya donanmsal gvenlik aralar olarak tanmlayabiliriz. Ayn zamanda STSler, a cihazlarn izleyerek anormal davranlar ve ktye kullanm tespit ederler. Literatrdeki STS almalar incelendiinde, STSlerin yaps ile ilgili birok gsterim yapld grlmtr. STS almalarndan biri olan NIDESin gelitirilmesi srasnda izilen rnek ekil 1de gsterilmitir [8].

rnek Konfigrasyon Verisi Konfigrasyon Bilgisi

Sonu Verisi Sonu Arivi

Analiz
Durum Raporu

Denetim Verisi Denetim Verisi Arivi

Kullanc Arayz

ekil 1. STSlerin temel yaps [8]

Bildiriler Kitab Proceedings

252627 Aralk December 2008 Ankara / TRKYE 274

3. ULUSLARARASI KATILIMLI BLG GVENL VE KRPTOLOJ KONFERANSI

3rd INFORMATION SECURITY & CRYPTOLOGY CONFERENCE WITH INTERNATIONAL PARTICIPATION

ekil 1de sunucu tabanl bir STSnin temel yapsna bir rnek gsterilmitir. Bu rnekte, bilgi kayna olarak denetim verileri kullanlmtr. Denetim verisi arivinden alnan denetim verileri, rnek konfigrasyon verileri ile karlatrlp analiz edilerek, elde edilen sonular, sonu arivine aktarlmaktadr. Ayn zamanda, olas saldrlarn, kullanc tarafndan grlebilmesi iin kullanc arayzne de analiz sonularn ieren durum raporu gnderilmektedir. stenildii takdirde, sonu arivi incelenebilir veya rnek konfigrasyon verileri gncellenebilir [8]. III. STSLERDE KULLANILAN TEKNKLER Gnmze kadar STSlerde birok farkl teknik kullanlmtr. Bu teknikler, elde edilen verilerin modellenmesi, snflandrlmas veya kural tablolarnn oluturulmas iin gelitirilmitir. Kullanlan tekniklerden elde edilen veriler sayesinde, saldr tespit yaklamlarnn uygulanmas iin gerekli olan platform oluturulmutur. Bu tekniklerden en ok kullanlanlar, veri madencilii, kural tabanl sistemler, aklayc istatikler, eik deeri tespiti, durum gei analizi, uzman sistemler, rnt eleme olmutur. Veri Madencilii Veritabanndaki sakl olaylar ortaya karmak iin yaplan bilgi almdr. Paternleri ve veriler arasndaki ilikileri bularak kural karmak iin kullanlr. Bu ekilde, hesap izlerini kullanarak normal kullanc aktiviteleri tanmlanr [15]. Kural Tabanl (Rule Based) Sistemler Sistem trafiini inceleyip kurallar oluturur ve saldr tespiti srasnda belirlenen kurallara gre davranlar snflandrlr [16]. Aklayc statistikler (Descriptive Statistics) Kullanc veya sistem davranlar farkl deikenlere gre llerek istatistiksel bir model oluturulur. Bu deikenlerden bazlar; kullanc oturum girii, oturum kapatma, belli bir zaman periyodunda eriilen dosya says, kullanlan disk alan ve hafza olarak sralanabilir. Kullanc profilleri ve hesap izleri kullanlarak normal davranlarn modeli oluturulur ve anormallik tespit edilir [17]. Kullanc profilinin basit istatistiklerle oluturulup, buradan uzaklk vektrlerini (distance vector) kullanarak karar alan sistemlerdir. Davran profili oluturulurken, kullanlan ilemci zaman, bir zaman periyodundaki a balant says gibi farkl ltler de kullanlabilir. statistiksel yaklamlarn dezavantajlarndan biri, saldrgann bu istatistikleri renerek ona gre davran sergileyebilmesidir [18]. Eik Deeri Tespiti Bu model oluturulurken spesifik olaylarn tekrarlama says ve spesifik zaman periyodu dikkate alnr. Karlalan en byk sorun; eik deerinin belirlenmesi ve spesifik olaylar iin pencere boyutunun belirlenmesidir. rnek olarak; yanl

giriler, giri/k hata says veya silme saylar verilebilir. Tek bana pek gl deilse de byk STSlerde alt bileen olarak kullanlr. Durum Gei Analizi Durum deiimi serileri oluturularak gerekletirilir. Bir iin yaplmas iin birbirini takip eden durum sras olduu varsaylr ve buna gre bir seri oluturulur. Szmalarn senaryosu karldktan sonra, anahtar hareketler, imza hareketler olarak tanmlanr. mza hareketler, saldrnn tamamlanmas iin gereken en kk hareket kmesidir. Durumlar, geiler ve imzalar, durum gei diyagram olarak grafiksel biimde sunulur [19]. Burada tm davranlar durumlara kar der. Eer bir davran daha nceden tanml durumlara ve durum geilerine denk den hareketler yapyorsa saldr olarak tannr. Uzman Sistemler Belirli bir alanda sadece o alan ile ilgili bilgilerle donatlm ve problemlere o alanda uzman bir kiinin getirdii ekilde zmler getirebilen bilgisayar programlar olarak tarif edilebilir. Saldr tespit sistemlerinin ilkleri kural-tabanl uzman sistemlerdir [6]. rnt Eleme Sistemde daha nceden karlalmamas gereken durumlarn tanmlanarak, bu durumlardan biri ile eleilmesi halinde saldr olduunu alglamak amac ile kullanlr. Yaps itibariyle esnek birzm deildir fakat basittir [6]. IV. ZEK STSLER Bilgisayar veya a sistemlerine yaplan saldrlar tespit ederek gvenliin salanmas iin gelitirilen STSler, her ne kadar yaplan saldrlarn byk bir ounluunu tespit edebilseler de daha nce hi karlalmam olan saldrlarn byk ounluunun tespit edilememesi ve bu saldrlarn sistemlerde byk zararlara yol amas, yeni saldr eitlerinin tespit edilebilme baarsnn artrlmas ihtiyacn getirmitir. Bu ihtiyacn karlanmas ve hzla deien saldr tiplerinin karsnda, bilgi ve bilgisayar gvenliinin salanmas amacyla, STSlerin gelitirilmesinde yapay zeka yntemleri kullanlarak STS performanslarnn iyiletirilmesi hedeflenmitir. Yapay zeka tekniklerinin renilebilmesi hzl hesaplama, genelleme matematiksel olarak modellenmesi zor olan problemlere zm sunabilmesi gibi zellikler, bu yaklamlarn STSlerde kullanlmasnn nemli gerekelerindendir. Zeki yaklamlarn kullanlmaya balamas ile birlikte anormallik tespiti yaklam biraz daha n plana km ve bu sayede anormallik tespitinin yeni saldrlar tespit edebilme yetenei arttrlmtr. Yapay zeka aratrmaclarnn batan beri ulamak istedii ideal, insan gibi dnen ve davranan sistemler gelitirmektir. Ancak buna ulamann gl anlalnca almann yn rasyonel dnen ve davranan sistemlerin tasarlanmasna evrilmitir. Geleneksel yntemlerle zm zor veya imkansz olan problemlerin zmnde kullanlan, yapay zeka

Bildiriler Kitab Proceedings

252627 Aralk December 2008 Ankara / TRKYE 275

3. ULUSLARARASI KATILIMLI BLG GVENL VE KRPTOLOJ KONFERANSI

3rd INFORMATION SECURITY & CRYPTOLOGY CONFERENCE WITH INTERNATIONAL PARTICIPATION

teknikleri, yapay sinir alar, bulank mantk, sezgisel (genetik, tabu arama, karnca koloni, sl ilem (tavlama) benzetimi, baklk sistemi, ar) algoritmalar olarak sralanabilir. Bulank Mantk Bulank mantk metodunu uygulama giriimleri, STSnin farkl bileenlerinin gelitirilmesi iin 2000li yllarda balamtr. Bu almalarla ortaya kan FIRE (Fuzzy Intrusion Recognition Engine) ile a verileri ilendikten sonra ataklar tespit etmek iin bulank mantk kullanlmtr [12]. A paketleri zerinde allan FIREde, TCP, UDP ve ICMP iin otonom ajanlar kullanlr [20]. Ayn zamanda kural tabanl bir sistem olan bu almada, gvenlik yneticisi ve edinilen tecrbe sayesinde belirlenen bulank kurallar oluturulmutur [21]. 2002 ylnda bulank mantn, anormallik tespiti yapan bir STSnin karar verme aamasnda kullanlmas nerilmitir [22]. Bu almada bulank mantk, uzman tarafndan tavsiye edilen, bulank if-then kurallarn temel alarak zm sunmaktadr. Genetik Algoritmalar Genetik algoritmalar STSlerde, trafik verilerine basit kurallar uygulamak iin kullanlabilir. Bu kurallar, anormal trafik verilerinden normal verileri ayrmak iindir. Veri kmesi, tcpdump ya da snort gibi trafik dinleyiciler (sniffers) kullanlarak toplanr [13]. Genetik algoritmalar ncelikle kk boyutlu rasgele retilmi kurallar kmesi ile balar, daha sonra bu kural kmesi geniletilir. Yapay Baklk Sistemi Literatrde insan baklk sistemine dayal birok STS almas sunulmutur. Bu almalardan bazlar doal baklk sistemi karakteristiklerinden esinlenerek, bilgisayar sistemlerinde anormallik tespiti iin biimsel (formal) at (framework) nermilerdir. Doal baklk sisteminin, bakl tanmladn dndkleri 4 nemli zelliini kullanmlardr. Bunlar; farkllk (diversity), doal datk yaps (distributed nature), hata tolerans (error tolerance) ve doal dinamik yapsdr (dynamic nature) [23]. Destek Vektr Makinalar DVMler STSlerde, zellik vektrnn seilmesinde ska kullanlmtr. Hzl olmalar nedeniyle STSler iin olduka kullanl bir yntemdir. DVMler geni bir rnek setini renebilir ve iyi leklendirirler [24]. Yapay Sinir Alar Zeki yaklamlarn STSlerde kullanlmaya balamas, farkl birok zeki yntemin de kullanlabilir olduunu gstermitir. Bu tekniklerden hemen hemen hepsi STSlerin gelitirilmesi iin kullanlm olsa da, elde edilen baarl sonulardan dolay en ok kullanlanlardan biri YSAdr [25, 26]. YSAlar, giri ve k vektrleri arasnda iliki kurarak kendi algoritmalarn uygularlar ve genelletirerek yeni giri/k ilikilerini ortaya karrlar. Bu yaklam,

sistemdeki kullanclarn davranlarnn renilmesiyle gerekleir. Spesifik bir kullanc iin nceki komutlardan yola karak yeni komutu tahmin eder. V. YSANIN STSLERDE KULLANILMASI Yapay sinir alar (YSA), saldr tespit sistemlerinde 1990larn banda kullanlmaya balanan zeki yaklam yntemlerinden biridir. YSAlar, anormallik tespiti yapan STSler iin istatistiksel yntemlere alternatif olarak nerilmitir [26]. YSAlarn STSlerde kullanm, YSAnn normal sistem davran izleriyle eitilmesi ile balar. Normal veya anormal olarak snflandrlan olay aklar yapay sinir ana verilir. Toplanan veriler ile sistemin davranna bal olarak renme deiimi yaplabilir. Yani eitim, izin veriliyorsa srekli hale getirilebilir. Buradaki yaklam, kullancnn n adet hareket veya komutundan, sonraki hareket veya komutunun tahminen eitilmesidir [18]. Bu tahminin yaplmas iin ncelikle eitim veri seti oluturulmaldr, daha sonra da eitim tamamlanmaldr. Eitim verileri, belirli zaman periyodunda (birka gn) her kullanc iin, sistem hesaplarndan toplanr. Her gn ve her kullanc iin veriler vektrel forma sokulur ki bu vektr kullancnn her komutu ne kadar sklkta yrttn gsterir. Eitim aamasnda ise daha nce elde edilen vektrler, kullanclar tanmlamak iin eitilir. YSAlar, anormallik tespitinde kullanld gibi ktye kullanm tespitinde de kullanlan bir tekniktir. A ataklarnn srekli deien yaps, a trafiini geni apta analiz edebilen ve kural tabanl sistemlerden daha esnek bir savunma sistemi ihtiyacn dourmutur. YSA tabanl ktye kullanm tespiti yapan sistemlerle, kural tabanl sistemlerde var olan bu tr problemlere zm salanabilmektedir [26]. YSAlar, ktye kullanm tespitinde iki farkl ekilde kullanlmaktadr [26]. lk yaklamda yapay sinir alar, zaten var olan bir uzman sistemin bir paras olarak kullanlmaktadr. Bu yaklamda, saldr tespitinin daha etkin yaplmas amacyla gelen verilerin filtrelenmesi ve uzman sisteme gnderilmesinde YSAlardan faydalanlr. kinci yaklamda ise, YSAlar tek bana bir sistem olarak ktye kullanm tespit etmekte kullanlr. Bu yaklamda YSA, a ak bilgilerinden, ktye kullanm tespitinin analizinde kullanlr. YSAlar, STSlerde karlalan pek ok problemlere esnek zmler sunabilirler, YSAnn zm sunduu temel iki problem, veri redaksiyonu ve snflandrmadr [27]. Veri redaksiyonu (azaltma), ileme zamann, iletiim ykn ve depolama gereksinimlerini azaltmak amacyla veri koleksiyonunu analiz ederek en nemli girileri tanmlama iidir. Snflandrma ise saldrganlar ve atak yapanlar tanmlama ilemidir. YSAlar pek ok STSlerde bu iki nemli problemi zmek iin kullanlmlardr [27]. STSlerde karlalan dier problemler, istatistiksel yaylm dorulama ihtiyac, tespit ltlerinin deerlendirilmesinin zorluu, algoritma gelitirmenin yksek maliyeti ve leklemede zorluk olarak sralandrlabilir [28].

Bildiriler Kitab Proceedings

252627 Aralk December 2008 Ankara / TRKYE 276

3. ULUSLARARASI KATILIMLI BLG GVENL VE KRPTOLOJ KONFERANSI

3rd INFORMATION SECURITY & CRYPTOLOGY CONFERENCE WITH INTERNATIONAL PARTICIPATION

YSAlar bu problemlere de zm saladndan dolay STSler iin olduka uygun bir tekniktir. YSAnn STSlerde kullanlmasnn avantajlar (1) Ktye kullanm ataklarnn karakteristiini renmesi ve daha nce ada kaydedilen rneklere benzemeyenleri ayrt edebilmesi, (2) Hzl sonu retmesi sayesinde gerek zamanl uygulamalar iin kullanl olmas, (3) Grltl verilerle de alabildiklerinden, grltl verilerin sonular dier yntemlere gre daha az bozmas, (4) Farkl sistemlerle beraber alabilmeleri, (5) Genel olarak zm salayabilmeleri yannda ksmi olarak da STSlerin tasarmnda kullanlabilmeleri, (6) Az rneklerde sistemin veya atan genel davrann renebilme yetenekleri olarak sralanabilir. Tm bu avantajlarn yan sra, en byk problem yapay sinir alarnn eitilmesidir. Yapay sinir a, etkin ekilde almas iin iyi eitilmelidir ve geni bir veri seti kullanlmaldr [1].

cazip hale getiren bu zelliktir.

VII. SONU VE DEERLENDIRMELER Bu almada, STSler genel olarak incelenmi, STSlerde kullanlan klasik ve zeki teknikler gzden geirilmitir. Literatr incelemesinden elde edilen bilgiler dorultusunda, alma genel olarak deerlendirildiinde; lkemizde zeki saldr tespit sistemlerine ynelik yeterli alma bulunmad, lkemizde gelitirilecek olan STSlerin testinde kullanlabilecek bir veri kmesi bulunmad, Literatrde, veri kmesi oluturmak iin yaplan almalarn gncel olmad tespit edilmitir. Bu aratrmada elde ettiimiz bilgi ve deneyimlere dayanarak, saldrlar tespit etme yntemlerine gre ikiye ayrldn bildiimiz STSlerin, hangi yntemin seileceine dair dikkat edilmesi gereken noktas, anormallik tespiti ynteminin, btn kt davranlar tespit etmeye alrken, ktye kullanm tespiti ynteminin kt olarak bilinen davranlar tanmaya almak olduudur. Her iki yntemin de avantaj ve dezavantajlar olduu gz nnde bulundurularak, tasarmlarda avantajlar bir araya toplayan hibrit yaklamlardan faydalanmann daha gereki olaca deerlendirilmektedir. KAYNAKLAR
[1] . Sarolu, M, Alkan, Her ynyle elektronik imza (e-imza), Grafiker Yaynlar, Ankara, 1-100 (2005). [2] D. E. Denning, An intrusion detection model, IEEE Transactions on Software Engineering, 13(2): 118131 (1987). [3] B. Mukherjee, L. T. Heberlein, K. N. Levitt, Network intrusion detection, IEEE Network, 8(3): 26-41 (1994). [4] M. Crosbie, E. H. Spafford, Defending a computer system using autonomous agents, Technical Report 95-022, Dept. of Comp. Sciences, Purdue University, West Lafayette, 1-11 (1995). [5] D. Endler, Intrusion detection applying machine learning to solaris audit data, 1998 Annual Computer Security Applications Conference (ACSAC'98), 268-269 (1998). [6] S. Axelsson, Intrusion detection systems: A survey and taxonomy, Technical Report 99-15, Dept. of Computer Eng., Chalmers University of Technology, Gteborg, Sweden, 1-23 (2000). [7] A. Patcha, J. M. Park, An overview of anomaly detection techniques: Existing solutions and latest technological trends, Computer Networks, 51(12): 3448-3470 (2007). [8] D. Anderson, T. F. Lunt, H. Javitz, A. Tamaru, A. Valdes, "Detecting unusual program behavior using the statistical component of the nextgeneration intrusion detection expert system (NIDES)", SRI-CSL-95-06, Menlo Park, California, 1-22 (1995). [9] C. Endorf, E. Schultz, J. Mellander, Intrusion Detection & Prevention, Jenn Tust, Jody McKenzie, Elizabeth Seymour, McGraw-Hill, California, 10-150 (2004). [10] T. F. Lunt, Automated audit trail analysis and intrusion detection: A survey, 11th National Computer Security Conference, Baltimore, MD, 65-73 (1988). [11] S. A. Hofmeyr, An immunological model of distributed detection and its application to computer security, Doktora Tezi, Computer Science, University of New Mexico, 1-69 (1999). [12] J. E. Dickerson, J. A. Dickerson, Fuzzy network profiling for intrusion detection NAFIPS 19th International Conference of the North American Fuzzy Information Processing Society, Atlanta, 301-306, (2000).

VI. BILGI GVENLIINDE STSLERIN NEMI nternetin ve iletiim olanaklarnn artmasyla birlikte saldrganlar tarafndan saldrlabilecek daha ok sistem ortaya kmtr. Bu saldrlarn byk bir blm kullanlan sistemin kusurlar veya eksiklerinden faydalanlarak yaplr. Bu tr saldrlar engellemenin iki yolu vardr; ilki tamamen gvenli bir sistem ve ortam oluturmak, ikincisi ise saldrlar tespit edip gerekli nlemleri almaktr. Bunlardan ilki pratik adan mmkn olmamaktadr. Bunlarn gerekeleri ise [18], Kullanlan iletim sisteminde var olan aklarn genellikle ilk olarak saldrganlar tarafndan fark edilmesi ve nlem alnana kadar bu aklarn kullanlabilmesi, Veri iletiminde kullanlan protokollerin yapsnda var olan baz kurallarn saldr amal kullanlabilmesi, Kriptografik metotlarn ve anahtarlarnn krlabilmesi, kullanclarn ifrelerini unutabilmesi veya kripto-sistemin krlabilmesi gibi nedenlerle yksek seviyede bir gvenlik salanamamas, D ortama kar gvenlii salanan sistemin, i ortamlardan suistimal edilerek gvenliin ortadan kaldrlmas, Gvenlik amacyla kullanc yetkilerinin minimuma indirilmesi sonucu kullanc verimliliinin dmesi gibi nedenleri vardr. Sistemlerini korumak isteyenler, genelde saldr gelene kadar bekleme pozisyonunda kalmak, saldr geldiinde ise olabildiince hzl tespit etmek isterler. Bu ise STSnin yapt itir [18]. Bir saldrnn hangi adresten veya hangi porttan geldiini bilmeden engel olmak mmkn deildir. STSler saldrlar tespit ederken bu bilgileri de elde ederler. STSler, detayl olarak toplad ve depolad bilgilerden yararlanarak, saldrlar olabildiince erken tespit etme zelliine sahiptir. Yine ayn bilgilerin incelenmesi ile daha nce hi karlalmam bir saldry da tespit edebilir. STSleri de

Bildiriler Kitab Proceedings

252627 Aralk December 2008 Ankara / TRKYE 277

3. ULUSLARARASI KATILIMLI BLG GVENL VE KRPTOLOJ KONFERANSI

3rd INFORMATION SECURITY & CRYPTOLOGY CONFERENCE WITH INTERNATIONAL PARTICIPATION

[13] A. Murali, M. Rao, A survey on intrusion detection approaches, First International Conference on Information and Communication Technologies, IEEE Communications Society Press, 233-240 (2005). [14] A. K. Jones, Computer System Intrusion Detection: A Survey, Technical Report, Computer Science Dept., University of Virginia, Charlottesville, Virginia, 1-21 (2000). [15] W. Lee, S. J. Stolfo, P. K. Chan, E. Eskin, W. Fan, M. Miller, S. Hershkop, J. Zhang, Real time data mining-based intrusion detection, Second {DARPA} Information Survivability Conference and Exposition (DISCEX II), Anaheim, CA, 89-100 (2001). [16] K. Ilgun, R. Kemmerer, P. Porras, State Transition Analysis: A RuleBased Intrusion Detection System, Software Engineering, 21(3): 181-199 (1995). [17] nternet: Knowledge Discovery and Delivery, KDD Cup 1999: General Information,http://www.sigkdd.org/kddcup/index.php?section=1999& method=info (2007). [18] A. Sundaram, An introduction to intrusion detection, Crossroads: The ACM Student Magazine, New York, USA, 2(4), 3-7 (1996). [19] P. A. Porras, STAT: A State Transition Analysis Tool for intrusion detection, Yksek Lisans Tezi, Computer Science Department, University of California, Santa Barbara, 1-150 (1992). [20] J. E. Dickerson, J. Juslin, O. Koukousoula, J. A. Dickerson, Fuzzy intrusion detection, IFSA World Congress and 20th North American Fuzzy Information Processing Society (NAFIPS) International Conference, Vancouver, British Columbia, 3: 1506-1510 (2001). [21] K. Lee, L. Mikhailov, Intelligent Intrusion Detection System, Second IEEE International. Conference on Intelligent Systems, 2: 497-502 (2004). [22] S. B. Cho, Incorporating soft computing techniques into a probabilistic intrusion detection System, IEEE Transactions on Systems, Man, and Cybernetics, Part C 32(2): 154-160 (2002). [23] F. Esponda, S. Forrest, P. Helman, A formal framework for positive and negative detection schemes, IEEE Transactions on Systems, Man, and Cybernetics, Part B, Cybernetics, 34(1): 357-373 (2004). [24] S. Mukkamala, A. H. Sung, A. Abraham, Intrusion detection using ensemble of soft computing paradigms, Third International Conference On Intelligent Systems Design and Applications, Germany: Springer, 239-248 (2003). [25] R. E. Wassmer, J. H. Fikus, Advanced Intrusion Detection Techniques, Final rept., Defense Technical Information Center ADA410454, 2. evre, 1-14, (2003). [26] J. Cannady, Artificial neural networks for misuse detection, Proceedings of the 1998 National Information Systems Security Conference (NISSC'98), Arlington, VA, 443-456 (1998). [27] J. Frank, Artificial intelligence and intrusion detection: current and future directions, Division of Computer Science, University of California at Davis, 1-12 (1994). [28] S. Peddabachigari, A. Abraham, C. Grosan, J. Thomas, Modeling intrusion detection system using hybrid intelligent systems, Journal of Network and Computer Applications, Elsevier, 30:114132 (2007).

Bildiriler Kitab Proceedings

252627 Aralk December 2008 Ankara / TRKYE 278