XII.

Trkiyede nternet Konferans 8-10 Kasm 2007, Ankara

SALDIRI TESPT SSTEMLERNDE YAPAY SNR ALARININ KULLANILMASI

Dr. Murat H. Sazli
Ankara niversitesi Elektronik Mhendislii Blm sazli@eng.ankara.edu.tr

Haluk Tanrikulu
haluk@ieee.org

ZET
Bu alma a zerinden yaplan saldrlar ve onlara kar gelitirilen saldr tespit mekanizmalarnda (IDS, Intrusion Detection System) yapay sinir alar kullanlmasna bir rnek oluturulmas ve incelenmesini iermektedir. Yapay Sinir Alar (YSA) kullanarak bir a zerinde akan paketlerin hangi saldr yntemi kullandnn bulunmas bu almann konusudur. Bu nedenle ncelikle saldr tespit sistemlerinin ne ekilde yaplandklar, hangi yntemleri kullandklar incelenmitir. Ardndan genel olarak saldr tipleri ve zellikleri ele alnmtr. Bu saldrlardan a da anormalik yaratan saldrlardan Neptune ve the ping of death n bulunmas iin ok Katmanl Alglayc (Multi Layer Perceptron (MLP)) yapay sinir a modeli kullanlarak bir yapay sinir a oluturulmutur. A kurulmasnda MATLAB program kullanlmtr. Yapay sinir anda kullanlacak veri setleri DARPA veri setlerini rnek alarak, bir kamu andan toplanan a paketlerinden oluturulmutur. Oluturulan veri setleri ile MATLAB programna uygulanmtr.

di. Birbirlerine balanan bilgisayar saylarnn artmas ile bilgisayar ve a sistemlerine izinsiz giri yapmak isteyenler (intruders) ve a korsanlarna (hackers) yeni kaplar at. Bu tr ak kaplardan szmalar ile sistemlere geici veya kalc zararlar verildi. Bu nedenle irketler, aratrma firmalar, organizasyonlar kendi a yaplarndaki veri aknnn gvenliini salayacak yeni sistemler gelitirdiler. Bu sistemlere genel olarak saldr tespit sistemleri (IDS, Intrusion Detection System) denilmektedir [1].

2. SALDIRI TESPT SSTEMLERNN (STS) YAPISI

Saldr Tespit Sistemleri bir a veya bir bilgisayara kar yaplan her trl saldrnn tespit edilmesi ve saldrnn bertaraf edilmesi iin gelitirilmi sistemlerin btnne denir. Bir STS tasarmnda iki ana yaklam vardr [2]. - mza Tanma Temelli veya Ktye Kullanm yolu ile saldr tespiti : Ada kt amal kullanmlarn tespitidir. Bilinen sistem aklarn ve saldr imzalarnn kullanlmas ile oluan eylemlerin aratrlmas ile saldrlarn tespit edilmesi olarak tanmlanabilir. Ktye kullanm tespiti (Misuse detection) ya da imza-tanmaya dayal sistemlerde her davrann bir imzaskarakteri vardr. Bunlar daha nce grlen davran ablonlardr. Eer gzlenlenen davran daha nceden bilinen bir saldr imzas ile eleiyorsa saldr olarak s-

Anahtar Kelimeler: saldr tespit, yapay

sinir alar, ok katmanl,

1. GR
WWW (World Wide Web) ve yerel a sistemlerinin hzl geliimi ve yaylmas son yllarda bilgisayar ve bilgi iletiim dnyasn deitir-

217

XII. Trkiyede nternet Konferans 8-10 Kasm 2007, Ankara

nflandrlr. Daha nce karlalmadysa saldr olarak nitelenmez. Bu sistemler saldry kesin olarak tanyabilmesidir. Yani yanl alarm vermezler fakat yeni bir saldr gelirse bunu sezemezler [3]. Uzman sistemler ounlukla bu yaklam kullanrlar. STS tasarmlarnda kural tabanl uzman sistemlerin oluuturulmasnda Denning e [4] ait olan profil modelini kullanlmaktadr. Bu modelde uzman sistemler eik deeri, istatiksel momentum kullanm veya Markov modelini kullanmaktadrlar. - A zerinde oluan anormal (abnormal) a traffiinin incelenmesi ile saldrlarn tespiti: Anormal a trafii, a ierisinde meru kullanclarn kendi hak ve snrlarn amas veya dier balantlarda oluan a akn engeleyecek kadar ve kabul edilebilecek snrlar aan eylemlerin ortaya kt a trafiidir. Ksaca ada oluan anormallikleri gzlemleyerek, saldry belirlemek mmkndr. Bu tip modellere a aktivitesi modelleri (Network activity models) ad verilir ve adaki trafik younluu zerinden saldr tespitine odaklanrlar. Bu saldrlar bilgi tarama (Probe) ve Hizmet Engelleme (Denial of Service DoS) olarak bilinen saldrlarn yakalanmasnda kullanlmaktadr. Normal bir sistemde kullanc istekleri tahmin edilebilir bir yapdadr. Burada normal davrann bilinmesi ve modelenmesi esastr. Ancak bundan sonra bir anormallik varsa tespit edilebilir. Normal davran belirli kurallar ile tanmlanabilir ve bu tanmlar snrlar dnda kalan davranlar anormallik olarak deerlendirilir ve sapmann iddetine gre saldr olarak snflandrlabilir. Bu yntemin avantaj daha nceden tannmayan saldrlarn kefedilmesi olasldr. Dezavantaj ise yanl alarmlarn (false alarm/positive) saysnn yksek olmasdr [1].

Anormallik tespitinde istatistiksel yntemler, yapay sinir alar, veri madencilii bilgisayar baklk sistemi (computer immunology) gibi birok yaklam uygulanabilir [5]. almamzda ok Katmanl Alglayclar (KA - Multi Layer Perceptron (MLP) yapay sinir an (YSA) kullanarak bir saldr tespit sisteminin a yapsn oluturacaz. Daha nce yaplan ok saydaki almalarda [6],[7],[8],[9] YSA kullanarak sisteme yaplan ataklarn normal veya saldr nitelikli olduu tespit edilmiken, buradaki almamzda atan tipinin belirlenmesine allmtr.

3. SALDIRI TPLER VE ZELLKLER

A zerinden yaplan saldrlar 4 temel kategoriye ayrlrlar. [3] a) Bilgi Tarama (Probe ya da scan): Bu saldrlar bir sunucunun ya da herhangi makinann, geerli ip adreslerini, aktif giri kaplarn (port) veya iletim sistemini renmek iin yaplrlar. [3] rnein; a. Belirli bir protu srekli tarama saldrs (ipsweep). b. Bir sunucu zerindeki hizmetleri bulmak iin tm portlar tarar (Portsweep). b) Hizmet Engelleme (Denial of Service DoS): TCP/IP protokol yapsndaki aklardan faydalanarak veya bir sunucuya ok sayda istek ynelterek sunucunun i gremez hale gelmesini salayan saldrlardr. DoS saldrlar kendi iinde gruplara ayrlr [10]. The ping of death (lmne ping) saldrs protokol hatalarndan faydalanarak yaplan bir saldr eklidir. Bu atakta bir tek byk boyutlu

218

XII. Trkiyede nternet Konferans 8-10 Kasm 2007, Ankara

ICMP eko mesaj gnderilerek sistemin cevap verermemesi salanm olur.

a. Unix iletim sistemi zerinde alan bir trojan saldrsdr (Sshtrojan). b. Tahmini kolay ifreleri bularak sisteme girilmesidir (guest). d) Kullanc Hesabnn Ynetici Hesabna Ykseltilmesi (User to root - U2R): Bu tip saldrlarda sisteme girme izni olan fakat ynetici olmayan bir kullancnn ynetici izni gerektirecek iler yapmaya almasdr [3]. Bunlarda bazlar aada sralanmtr.

ekil 1: DoS saldr tipleri [3] Baka bir saldr ekli ise TCP SYN paketinin ierisine kaynak ve var adresi ayn makine (bilgisayar) olan bir paket gnderilmesiyle olur. Bunlar tek paketle ya da az paketle gerekletirilen, protokollerin aklarn kullanan saldrlardr [3]. Bu iki atak ekli ilerleyen konu balklar altnda detayl olarak anlatlacaktr. Bir sunucudan srekli istekte bulunulmasna dayanan saldr yntemi ile hem sunucu makineyi hem de a megul eder. Benzer saldr ekilleri aada sralanmtr [3]. a. ICMP mesajlarnn broadcast ile tm aa datlmasyla oluur (Smurf). b. Kullancnn makinay srekli pinglemesiyle gerekleir (Selfping). c. Saldrgan kurbann kurmaya alt balantlar iin kurban adna reset gndererek balantsn engeller (tcpreset). d. Saldrgan sunucuya srekli mail gnderir (mailbomb). c) Ynetici Hesab ile Yerel Oturum Ama (Remote to Local - R2L): Kullanc haklarna sahip olunmad durumda misafir ya da baka bir kullanc olarak izinsiz eriim yaplmasdr [3]. Bunlara rnek:

a. Solaris zerinde eject program ile tampon tamasna (buffer flow) yol ap, ynetici haklarna sahip olunmasdr (Eject). b. Sql veritaban kurulu Linux makinalarda sunucuya balanan kullancnn belirli komutlarla ynetici haklar ile komut satr elde etmesidir (Sqlattack). STSler saldr tiplerine gre snflandrlmaktadr. 1. ve 2. tip saldrlar a tabanl STSler ile engellenirken, 3. ve 4. saldrlar ise sunucu (host) tabanl STSler ile engellenmektedir. Bizim almamzda kurmay planladmz STS a tabanl STSdir. Tespit Edilecek Saldrlar Bu almamzda DoS saldrlarndan ikisini kullanacaz : SYN Flooding (Neptune) ve The Ping of Death. Bunun nedeni iki saldr eklininde ada bir anormallik aratmas ve yapay sinir alarnn bu anormallii tespitindeki baarnn grlmesini salamaktr. aada bu iki saldrn ksa aklamalar yer almaktadr. SYN Flooding (Neptune) Saldrs Bilgisayar sistemi TCP/IP stack ad verilen bir blgede tm balant bilgilerini tutar. TCP balant temelli bir eriim salad iin yollu el skma modelinin gereklemesi gerekir. ki bilgisayar balantsnda balanty talep eden ta-

219

XII. Trkiyede nternet Konferans 8-10 Kasm 2007, Ankara

raf kar tarafa SYN paketi gnderir. Kar taraf ise cevap olarak SYN/ACK paketi ile daveti kabul ettiini belirten bir paket gnderir. Daha sonra ilk taleb eden tekrar ACK gndererek balantnn kurulmasn salam olur. TCP nin bu alma ekli istendiinde kt amalar iin kullanlr. Bunu yle aklayabiliriz. Bir kii bir sunucuya SYN paketi gnderirken bu paketin zellii iindeki Source ip ksmna paketi gnderen kiinin IP adresi yerine aslnda gerekte varolmayan bir IP adresi yazarak gnderir. Bu esnada sunucu bu SYN paketini alr ve balant ileminin tamamlanmas iin varolmayan IP adresine SYN+ACK paketi gnderir. Sunucu SYN+ACK paketinin cevabn (ACK) varolmayan bu IP adresli makineden beklemeye balar. Bu bekleme srasnda varolmayan bu IP adresi bilgisayarn TCP/IP stack inde tutulur. Doal olarak varolmayan IP adresli makineden ACK paketi gelmez ve bir sre sonra sunucunun TCP/ IP stack i taar ve a ilemez hale gelir. Bu saldr SYN Flooding olarak tanmlanyor. Sunucunun TCP/IP stack alannn doldurulmas ile sunucu etkisiz hale getirilir. Ksaca sunucu artk kendisine gelen SYN balant kur davet paketlerine cevap veremez hale gelir [15].

baka birey deildir. Bu yzden ada ACK ve SYN/ACK paketlerini bulunmas kolaylk salyabilir. Ancak paketler kapaldr ve ierikleri bilinmemektedir. Ancak bir a paket analiz program (sniffer program) ile anlalabilir. Ancak STSler her paketin ieriine bakacak kadar hzl olamadklar iin saldrnn motifinin belirlenmesine allmas gerekir. Ayrca SYN Flooding sadece paket analizi ile de anlalmas gtr. nk kurban sistem (sunucu) saldr esnasnda darya paket gnderebilirken, gelen arlara cevap veremez durumdadr. The Ping of Death Saldrs ICMP protokol ada bilgisayarlarn hata mesajlarn birbirlerine gndermesini yada Ping gibi basit ilemlerin yaplmasn salar. ICMP spesifikasyonunda, ICMP Echo request lerin veri ksm 216 ile 65,536 byte arasnda olmak zorundadr. Eer bu veri snrlarnn dna tam bir paket sunucu sisteme yollanrsa iletim sistemi byle bir ey beklemedii iin alamaz duruma gelecektir [15]. The Ping of Death ile artk sistemler tarafndan kolalkla fark ediliyor. almamzda kullandmz paket boylarn kk tuttarak dier paket boylar (http, ftp hizmetinde kullanlanlar) ile karmasn ve yapay sinir ann sadece paket boyuna bakarak deilde paket dalm motifine gre karar vermesini salanmasna allmtr.

ekil 2: SYN Flooding Ata [14]. SYN Flooding byk bir ada bir sunucuyu etkisiz klyorsa an genelinde oluan paketlerin incelenmesi ile anlalmas olduka zordur. Buradaki almamzda a iindeki sunucu ve bilgisayar says olduka oktur. Bu nedenle saldr yntemi nce yapay sinir ana retilir daha sonrada bu saldry bulmas istenir. SYN Flooding TCP protokolunn yollu el skma modelinin ktye kullanmndan

4. OK KATMANLI ALGILAYICILAR (MULT LAYER PERCEPTRON (MLP))

ok Katmanl Alglayclar (KA); gnmzde birok probleminin zmnde kullanlmaktadr. Bugn zellikle snflandrma ilemlerinde en ok kullanlan yntemlerin banda gelmektedir. KA da Delta renme kural denilen bir renme yntemini kullanlmaktadr. Bu kuraln amac; an istenen kt ile rettii kt arasndaki hatay minimum yapmaktr [19].

220

XII. Trkiyede nternet Konferans 8-10 Kasm 2007, Ankara

KAlar; girdi katman, gizli katmanlar ve kt katman olmak zere 3 katmandan olumaktadr. Bilgiler girdi katmanndan aa tantlr, gizli katmanlardan kt katmanna ular ve kt katmanndan d dnyaya aktarlr. KAlarda; eiticili renme yntemi kullanlmaktadr. Aa hem rnekler, hem de bu rneklerden oluturulmas gereken ktlar sunulmaktadr. A; rneklere bakarak problem uzaynda bir zm retir, bu genellemeye bal olarak gelecek yeni rnekler iin de zm retebilmektedir [19]. KAnn performansnda renme oran ve momentum parametreleri byk nem tamaktadr. renme oran kk seilirse renme ilemi yava olacak, byk seilirse deiimler kararsz olacaktr. Ayn zamanda; KAlar yerel sonulara da taklabilmektedir. Bu nedenle, momentum terimi kullanlmakta ve ele alnan problem iin an rettii zmler kabul edilebilir dzeye ekilmektedir [12][19]. KA yapay sinir ann eitimi iin eitim (training) veri setlerine ihtiya duyulmaktadr. Bu veri setlerinin yardm ile yapay sinir a atak motiflerini renecektir. Bu nedenle eitimde kullanlacak eitim veri setinin oluturulmasnda ok dikkatli olunmaldr. Veri setinin gerektende ilgili olaylarn motiflerini yanstndan emin olmak gerekir. Eitilmi yapay sinir ann gerekten ataklar yakalayp yakalamadklar test etmek iin en az bir tane test veri setine ihtiya duyulmaktadr.

A ierisinde 1200 yakn bilgisayar, yazc, sunucu ve kablosuz eriim cihaz bulunmaktadr. A ierisine a paketlerini toplamas iin a (paket alglayc) analiz yazlm olan Ethereal Network Protocol Analyzer [17] kullanlmtr. Bu yazlm ile a zerinden o an geen trafikler her 10 dakikada bir 2 dakikalk sreler zarfnda toplanmtr. A analiz program (Ethereal Network Protocol Analyzer) ile toplanan trafik a protokolleri tadklar protokollere gre gruplara ayrlmtr. Trafikler ethernet, FDDI, FiberChanel, IPX, TCP, Token Ring, UDP, Wlan gibi paketlere gre tek tek toplanp analiz edilebilmektedir. Yukarda tanmladmz ve almamzda tespit etmeyi dndmz saldr yntemleri ( Neptune ve the ping of death) sadece TCP protokolunu kulland iin dier trafikler gz nnde bulundurulmamtr. Genel olarak toplanan veri setlerinde % 42 IP (%5 TCP, %36 UDP, %1 ICMP), % 40 ARP, % 7 IPX protokoln kullanan paketlerden olumaktadr. Ethereal Network Protocol Analyzer programnda yaplan bir filtreleme ile TCP paket trafiini aadaki balklara gre sralanmtr. Tablodaki balklarn sralanmtr.
Address Address Packets Bytes Packet

aklamalar

aada

A Talep Eden IP Adresi B Talebe Cevap Veren IP Adresi Paket Says Paket Boyu Type Paket Tipi

5. VER SETNN OLUTURULMASI VE ZELLKLER

Yaptmz almada veri seti mevcut bir kamu anda akan paket analizinden elde edilmitir. Verilerin toplanma yntemi MIT Lincoln Laboratory tarafndan 1998 ylnda yaplan DARPA almasndaki yntemin aynsdr [13]. DARPA ann detaylar bir sonraki blmde anlatlmaktadr.

Daha sonra aa dardan Neptune ve the ping of death ataklar uygulanmtr. Ataklarn oluturduklar trafik verileri Ethereal program ile toplanmtr. Bu ataklarn oluturduklar anormal trafik DARPA test sonularndaki atak motiflerine benzemektedir. Bu motifler daha sonra eitim seti olarak kullanlacak veri seti ierisine yerletirilmitir. Saldrnn tipini belirtmek iin veri setlerindeki her balantya bir deer atamamz gerekmektedir. Her balantdaki

221

XII. Trkiyede nternet Konferans 8-10 Kasm 2007, Ankara

Address A 212.155.11.105 212.155.11.96 212.155.11.82 212.155.11.71 212.155.11.71 212.155.11.10 212.155.11.10 212.155.11.10 212.155.11.10 212.155.11.10 212.155.11.10 212.155.11.10 212.155.11.10 212.155.11.10 212.155.11.10

Port A 1090 1993 1311 1142 1144 3249 3316 3244 3241 3375 3392 3396 3405 3412 3381

Address B 208.53.143.90 212.175.70.49 207.68.178.16 64.4.60.7 65.54.183.193 83.66.160.20 66.226.72.50 83.66.160.21 66.249.91.104 84.44.114.44 212.156.13.147 212.156.13.147 212.156.13.147 212.156.13.147 66.249.91.104

Port B Packets Bytes 80 631 80 80 80 80 80 80 80 80 80 80 80 80 80 1 1 1 1 1 2 2 1 2 1 1 3 1 1 2 60 62 62 60 60 120 120 60 120 62 62 706 62 62 120

Packets Bytes Packets Bytes Packet A->B A->B A<-B A<-B Type 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 62 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 1 1 2 2 1 2 1 1 3 1 1 2 60 0 62 60 60 120 120 60 120 62 62 706 62 62 120 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

Tablo 1 : Veri erikleri ve Balklar son stn deerleri 0,1,2 deerlerinden birini almaktadr. Eer eitim setindeki bir balant normal bir balant motifini gsteriyor ise 0, SYN Flooding - Neptune atan gsteriyor ise 1, the ping of death atan gsteriyor ise 2 deeri almaktadr. Veri setinin text modundaki bir gsterimi aada gsterilmitir. Burada Address A ve Address B verilerinin karlmtr. nk atak trn renmek iin srekli deien IP adreslerini kullanmaya gerek yoktur. Her satr bir balanty gstermektedir. 139,139,1,243,1,243,0,0,2,0 1090,80,1,60,0,0,1,60,1,0 1993,631,1,62,1,62,0,0,1,0 1311,80,1,62,0,0,1,62,1,0 1142,80,1,60,0,0,1,60,1,0 1144,80,1,60,0,0,1,60,1,0 3249,80,2,120,0,0,2,120,1,0 .... .... 1245,80,3,120,0,0,2,120,1,1 1247,80,2,182,0,0,3,182,1,1 1251,80,3,182 ,0,0,3,182,1,0 1261,80,3,3709,0,0,3, 3709,1,1 1263,80,2,120,0,0,2,120,1,1 Paket tiplerine tcp=1, udp=2 ve icmp=0 olarak atanmtr. Yapay sinir alarnda yukarda oluturulan veri seti girdi olarak ele alnmtr. 270 adet rnek balant 9 stnda tanmlanmtr. Bylece 222

XII. Trkiyede nternet Konferans 8-10 Kasm 2007, Ankara

270*9luk bir matris oluturulmutur. Eitim ve test setlerideki bu balantlarn saldr olduunu gstermesi iin bir de kt seti oluturulmutur. Bu veri seti 270*1lk bir matristir.

6. DARPA VER SET

DARPAnn sponsorluunda MIT Lincoln Laboratuarlarnda STSler iin bir karlatrma ortam sunan IDEVAL veri setlerini oluturulmutur [13]. Saldr tespit sistemlerinin snanmas amac ile iki a kurulmutur. Bunlar saldrlarn hedefi olacak bir a ve saldrlar gerekletiren baka bir a olarak dizayn edilmitir. ada Amerikan Hava Kuvvetlerindeki bir yerel an simlasyonu gereklenmitir. 1999 deerlendirmesinde kullanlan a aadaki gibidir [3].

ekil 4: DARPA daki ataklar [14]

7. KA YAPAY SNR AININ OLUTURULMASI

Yapay sinir alar MATLAB Neural Network Tools Box kullanlarak EK-1de belirtilen kodlar ile oluturulmutur. Tm uygulamalarda birinci katmanda TanSigmoid Transfer Fonksiyonu (tansig(n)) kullanlmtr. KA uygulamalarnda sakl katmanlarn tmnde Tan-Sigmoid Transfer Fonksiyonu kullanlmtr. Bu fonksiyon grafiinden de anlalaa gibi yumuak bir gei salamaktr [18].

ekil 3: DARPA ann yaps [3] M.Erolun almasnda [3] belirttii gibi hava kuvvetlerini temsil eden a ierisinde drt kurban makine bulunmaktadr. Bunlarn zerinde SunOS, Solaris, Linux, ve Windows NT iletim sistemleri bulunmaktadr. ekilde grlen trafik oluturucular yzlerce sunucuyu ve eitli uygulamalar altran Internet kullanclarn simle etmektedir. Protokollerin (HTTP, SMTP, telnet,...) karm, trafik younluunun saatlik degiimleri, 1998de gerek Hava Kuvvetleri agndan toplanan trafie benzer olacak ekilde tasarlanmtr. A zerinden 2 noktadan veri toplanmtr: drt kurban makine ile ynlendirici arasndaki i a dinleyicisi ve ynlendirici ile Internet arasndaki d a dinleyicisi zerinden [16].

ekil 5 : Tansig(n) foksiyonu Tm uygulamalarda k katmannda ise Linear Transfer Function (purelin(n)) kullanlmtr. Bu fonksiyon ise keskin bir gei salamaktadr.

223

XII. Trkiyede nternet Konferans 8-10 Kasm 2007, Ankara

8. TARTIMA
Bir ada oluan anormal veri aklarnn izlenmesinde YSAnn kullanlmas giderek yaygnlamaktadr. Bu ynde ok sayda alma ticari rn olarak karmza kmaktadr. Bu almamzda yapay sinir alarnn STS olarak kullanlmasndaki baars gzlenmitir. Uzman sistemler, yapay zeka uygulamalar, istatistiki analiz metodlar STS uygulamalarnda alternatif zmler olarak grlmektedir. Ancak iyi motiflenmi bir veri seti ile YSAnn baars %100 oranndadr. Ayrca Ek-2deki grafiklerde de grlecei gibi minimum deerlerde oluan anormal trafik deiimlerinide tespit etmekte baarldr.

ekil 6 : purelin(n) fonksiyonu renme algoritmas iin Levenberg Marquardt algoritmasnn kullanld trainlm kullanlmtr. Bu algoritma ok fazla hafza kullanmakla birlikte daha ksa srede daha az epoch (devir) ile sonua ulamaktadr. Uygulamalarn Gelitirilmesi Tek katmal uygulamalarda ara katman da 10 ve 20 nron kullanlm, k katmannda da tek nron kullanlmtr. k deeri saldr tipini belirlemektedir. Tek katmanda [10 1] ve [20 1] nronla uygulama yaplm, ancak baarm salanamamtr. ok katmal uygulamalarda sakl katmanlarda [10 10 1], [10 20 1], [10 30 1] olmak zere deneme yaplmtr. [10 10 1] nronlu uygulamada underfitting zellikleri gzlenirken [10 20 1] nronlu uygulamalarda baarm salanmtr. [10 30 1] nronlu uygulamalarda hedef deerine (goal) ulalmasna ramen baarm salanamamtr. 2. ara katman 40 nrona ([10 40 1]) karldnda overfitting grlmtr. ok katmanl uygulamalarda sakl katman says artrlmasna ramen baarm salanamamtr. En iyi baarm [10 20 1] nronla kurulmu yapay sinir a ile alnmtr. renme baars ve testler ile ilgili grafikler Ek-2de verilmitir.

9. SONULAR
Bu almada, ok katmanl yapay sinir alar ile internetten gelebilecek DoS ataklarnn alglanmas baar ile salanmtr. STS oluturulmasnda anormal trafiklerin dalmna bakarak saldrnn tipinin belirlenebilecei gsterilmitir. Baarm en yksek an [10 20 1] nron saylarna sahip ok katmanl alglayc yapay sinir a olduu grlmtr. Yaplan test almalarnda verilen her saldr kurduumuz yapay sinir a aracl ile kolaylkla tespit edilmitir. Eitim veri setinin oluturulmasnda DARPA veri setlerinin motifleri ile kendi yerel alan amzdan elde edilen verilerin kullanlmas, test veri setinin tamamen gerek ortamdan elde edilen verilerden olumas almann gerek trafiklerin incelenmesinde de kullanlabileceini gstermitir. Yaplan almada sadece DoS ataklarnn motifleri kullanlm olmasna ramen DARPA veri setinden karlan 38 atak motifinin de yapay sinir ana retilmesi ile tm saldrlarn tiplerinin renilecei grlmtr [13].

224

XII. Trkiyede nternet Konferans 8-10 Kasm 2007, Ankara

KAYNAKLAR
[1] R. Kemmerer and G. Vigna, Intrusion detection : a brief history and overview Computer, vol. 35, no. 4, pp. 27 30, 2002. [2] M. Moradi and Mohammad Zulkernine, A Neural Network Based System for Intrusion Detection and Classification of Attacks , Natural Sciences and Eng. Research Council of Canada (NSERC) Reports, 148-04, 2004. [3] M. Erol, Saldr Tespit Sistemlerinde statistiksel Anormallik Belirleme Kullanm, IT, 2005. [4] D. Denning, An Intrusion-Detection Model, IEEE Trans on Software Enginering, vol. 13, no. 2, 1987. [5] N. Wu, J. Zhang, Factor Analysis Based Anomaly Detection, Proc. IEEE Workshop on Information Assurance, 2003. [6] James Cannady, Artificial neural networks for misuse detection, Proceedings of the 1998 National Information Systems Security Conference (NISSC98), Arlington, VA, 1998. [7] J. Ryan, M. Lin, and R. Miikkulainen, Intrusion Detection with Neural Networks AI Approaches to Fraud Detection and Risk Management: Papers from the 1997 AAAI Workshop, Providence, RI, pp. 72-79, 1997. [8] Llia de S Silva, Adriana C. Ferrari dos Santos, Jos Demisio S. da Silva, Antonio Montes A Neural Network Application for Attack Detection in Computer Networks, Instituto Nacional de Pesquisas Espaciais INPE, 2002. [9] S. Mukkamala, Intrusion detection using neural networks and support vector machine, Proceedings of the 2002 IEEE International Honolulu, HI, 2002.

[10] A. Hussain, J. Heidemann, C. Papadopoulos, Distingushing between Singnal and Multisource Attacks Using Signal Processing, Computer Networks, vol. 46, 2004. [11] Ryu, J., Sung-Bae, C., Gene expression classification using optimal feature/classifier ensemble with negative correlation Proceedings of the International Joint Conference on Neural Networks (IJCNN02), Honolulu, Hawaii , sayfa 198-203, ISBN 0-7803-7279-4, 2002. [12] Haykin, S., Neural Networks : A Comprehensive Foundation, Macmillan College Publishing Company, New York, 1999. [13] R. Lippmann, J. W. Haines, D. J. Fried, J. Korba, K. Das, Analysis and Results of the 1999 DARPA Off-Line Intrusion Detection Evaluation, MIT Lincoln Laboratory Technical Report TR-1062, 2001. [14] K. Graves, CEH, Offical Certified Ethical Hacker Review Guide, Wiley Publishing, 2007. [15] Osman Atabey ; http://www.tcpsecurity. com/doc/genel/temelsaldiriteknikleri.html [16] M. A. Aydn, Bilgisayar Aglarnda Saldr Tespiti iin statistiksel Yntem Kullanlmas, IT Yksek Lisans Tezi, 2005. [17] http://www.ethereal.com [18] Howord Demuth, Mark Beale, Version 3, Neural Network Toolbox For use with Matlab, 1998. [19] . atal, L. zylmaz, Analysis of Multiple Myeloma Gene Expression Data by Multilayer Perceptron

225