Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi

ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002

OK ALGILAYICILI SALDIRI TESPT SSTEMLER
ule Pasin
spasin@toysrus.com.tr


zet

Gnmzde bilgi teknolojileri sistemlerinin en nemli alma ve aratrma alanlarndan biri gvenliktir.
Sisteme veya aa gelmesi muhtemel davetsiz misafirleri farkedebilmek iin oluturulacak saldr tespit
sistemleri, sistemleri srekli olarak izleyebilmeyi ve saldrlar ksa sre iinde farketmeyi salayarak
gvenlik politikalarnn vazgeilmez rnleri arasna girmitir.
Bu almada saldr tespit sistemleri ile zel olarak ok alglayc saldr tespit sistemleri
(ing.multisensor intrusion detection systems) konusu ele alnmtr.

(Intrusion Detection Systems, Multi sensor IDS)
Abstract

Today, one of the most popular research area of information technology systems is security. Intrusion
detection systems built to realize intrusions to a network or a system, became important security
products as they let us obtain continuous follow up and early detection.
The study outline is about intrusion detection systems and multi sensor intrusion detection systems
are presented in more detail.

Bilgi Gvenlii Durum Tespiti

Modern iletiim teknolojileri kullanclara yepyeni hizmetlerin sunulmasn mmkn klmaktadr.
A zerinden sunulan hizmetlerin says ve eitlilii gnden gne badndrc bir hzla artmaktadr.
Bu alandaki almalar ile azerinden her trl hizmetin herhangi bir anda ve herhangi bir yerdeki
kullanclara ulatrlabilmesi hedeflenmektedir. A zerinden sunulan hizmetlerdeki yksek eitlilik
beraberinde eitli dzeylerde karmakl getirmektedir. Artan bir biimde, ateknolojileri ve st
katmannda datk sistemler teknolojileri gnlk yaamn her alannda kendini gstermektedir; salk
kaytlar, banka hesaplar vb. datk sistemler ile ilenmektedir. Kritik saylabilecek bilgilerin datk
sistemler aracl ile idare ediliyor olmas, bu sistemlerin bulunurluunu (ing. availability), doruluunu
ve eksiksizliini son derece nemli klmaktadr.

Datk sistemlerin karmakl arttka bu sistemlerin doruluunu ve eksiksizliini denetlemek ve
sistemlerin kesintisiz ilerliini salamak daha da glemektedir. Sistemler ve bu sistemler tarafndan
ilenen bilgilerin gvenlii de gz nnde bulundurulduunda, karmakln daha da artmas
kanlmazdr. Doruluun ve eksiksizliinin denetiminin son derece g olduu durumlarda bilgi
gvenliinin her temel eksenine (gizlilik, btnlk ve bulunurluk) ilikin gereksinimlerin eksiksiz
biimde karlanamamas durumunda kurumlar ciddi tehlikeler beklemektedir. nternetin getiimiz
otuz yl ierisindeki geliim maceras, datk sistemler iin yepyeni ufuklarn ortaya kmasna neden
olmutur.

Internetde Saldr Tespiti Teknolojileri

Balangcnda yalnzca akademik amal bir aratrma a olan nternet, bugn gelinen noktada
nemli toplumsal dnmlere altyap salar duruma gelmitir. Ancak ilk yllarda lzumsuz ya da
nemsiz olarak nitelendirilebilen gvenlik konusu, nternete bal kurum says arttka ciddi bir
problem haline gelmitir. nternetin temelini oluturan protokollerin byk blmnn gvenlie pek
az nem verilerek tasarlanmolmas (rn. SMTP) bu yaklam dorular niteliktedir. nternetin ilk
yllarndan itibaren nemsiz saylan gvenlik konusu, zellikle 1988 ylndaki Morris Kurdu (ing. worm)
facias ile dikkatleri zerine ekmitir. Kurt, baarl bir biimde binlerce bilgisayara szmay baarm ve
bu bilgisayar sistemlerini alamaz hale getirmitir.
Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
Morris Kurdu ile yaanan dnm sonrasnda bilgi gvenlii konusunda dorudan askeri amal
olmayan almalar hz kazanm, 1990l yllarn balarnda ilk gvenlik duvar uygulamalar ile bir
takm teknik gvenlik nlemlerin alnmas konusunda referans almalar balamtr.

Saldrya kim yol aabilir ?

Saldrya kimin yol atn tahmin edebilmek iin nce saldry incelemek gerekir. eitli
aratrma gruplarnn yapt incelemeler, saldrlara yol aan kiilerin aadakiekilde
gruplanabileceini gsteriyor :
- alanlar : Bir kuruma eitli nedenlerle yaplan saldrlarda en nemli grubu kurum alanlar ya da
kurumdan ayrlmpersonel oluturuyor. Bunun nedeni ise, bu kiilerin kurumun zayf noktalarn biliyor
olmas. 99 CSI/FBI raporuna gre zarara urad raporlanmkurumlarn %55inde sorun ieriden
kaynaklanm.
- Hackerlar : Hackerlar, dehasn ispat etmek iin sisteme girip, girdiini gsteren bir mesaj brakan ve
girdii sisteme zarar vermeyen bilgisayar merakls kiiler olarak biliniyorlar. Ancak gnmzde bu
kavram da deiim iinde. Girdikleri sisteme zarar veren ya da en azndan kurum hakknda ileride
kullanlabilecek bilgi toplayp antaj vb. yntemlerle zarar vermeyi hedefleyen kiiler de hacker olarak
kabul ediliyorlar. Bunun asl nedeni ise, bugn sisteme giriyntemlerinin Internet zerinden cretsiz
yklenebilen binlerce crack program sayesinde ok kolaylamolmas. Bir sistemi hack etmek iin
artk dahi olmak gerekmiyor. Bu da hackerl bir anlamda ayaa dryor.
- Virs yazan kiiler: Virs yazan kiiler, sistem ve iletiim alar iin ok ciddi tehditler oluturan grubu
oluturuyor. Bugne kadar verdikleri maddi hasar, hackerlarn verdii hasarn ok stnde.
- Kriminel gruplar : Sistemlere maddi kazan elde etmek iin giren kiilerin oluturduklar gruplar.
rnek olarak, 1994-1995 yllarnda St. Petersburgda bir kriminel grubun Citibankdan 10.4 milyon
USDyi eitli hesaplara transfer etmeleri ve yine bir kiinin Amerikada eitli ISPlere izinsiz girerek
100.000 kredi kart numarasn almas verilebilir.
- Teroristler : Teroristlerin, internet teknolojisini propaganda yapmak ve gvenli haberlemek amacyla
kullandklar kabul ediliyor. Bununla beraber baz terorist gruplarn dmanlarnn sistemlerine zarar
vermek amal saldrlarda bulunduklar da biliniyor.

Saldr motifleri neler olabilir ?

- Merak
- Maddi kazan elde etme istei
- n kazanma istei
- Kin

Saldr trleri neler olabilir ?

Bir kurumun sistemine girmek isteyen bir kiinin en ok uygulad yntemler :
- Servisin reddedilmesi (Denial of Service) : Hedef sistemin eriilemez ve cevap veremez duruma
getirildii atak tipidir. (SYN atak, ping atak, teardrop, LAND, ping of death, Distributed DoS atak vb...)
- Tarama ve deneme (Scanning and Probing) : Satan, strobe, nmap gibi tarama ve deneme rnleri
sistemlerin ve iletiim alarnn aklarn bulmaya ynelik rnlerdir. Ancak bu rnler, kt amala
izinsiz giriarac olarak kullanlabilirler.
-ifre ataklar : Yetkiliifrenin ele geirilmesine ynelik ataklardr. ifrenin hattn dinlenmesi yoluyla
krlmas veifre dosyasna eriim salanarak ifrenin szlkteki kelimelerin denenmesi yntemi ile
bulunmas bilinen yaygn yntemlerdir.
- Hak ele geirme : Sisteme izinsiz giren bir kiinin, genellikle ilk hedefi, yetki kazanmaktr. Bu kii, NT
zerinde administrator, Unix zerinde root hakk kazanmaya urar. Bylece, sistemin sahibi olur ve
yapmak istediklerini hibir engelle karlamadan gerekletirir.
- Dman kodu yerletirme : Sistemlere izinsiz girilerin bir ksmnda, hedef sisteme dman kodu
yerletirilir. Bu kod, veri hrszl, dosyalarn silinmesi ve kullancnn gelecekte sisteme eriim yetkisi
kazanmas gibi ilemleri gerekletirmeyi hedefler.
- Tahrip etme (Vandalism) : Genellikle web sayfalarn deitirmek, dosyalar silmek, hard diski
formatlamak gibi yntemlerle sistemlerin tahrip edilmesine ynelik ataklardr.
- zel veri hrszl : PC ya da laptoplardaki zel verinin kopyalanmasna ynelik giriimlerdir. Son
zamanlarda laptop hrszl da dahil olmak zere zel veri hrszlnn art gsterdii tespit edilmitir.
Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
- Dolandrclk ve suistimal : Dolandrclk, kritik dosyalarn deitirilmesi, kredi kart numaralarnn
alnmas gibi yntemlerle maddi kazan elde etmeye ynelik aksiyonlardr. Suistimal dediimiz zaman
ise, bilgisayar oyunlar, iiin gerekli olmayan nedenlerle web zerinde srf gibi yntemlerle kurum
kaynaklarnn yersiz kullanm anlyoruz.
- Log dosyalarnn silinmesi ya da deitirilmesi : Sistem loglarn silmek ya da deitirmek, su
delillerini ortadan kaldrmak iin kullanlan yntemlerdir.
- Gvenlik mimarisinin deitirilmesi : Gvenlik duvar ya da sunucu konfigrasyonlarn deitirmeye
ynelik ataklardr.

Biliim sular ile savaabilmek, sistemlerin ve bilgilerin gvenliini salamak iin sistematik
almalarn gerekmektedir. Kurumsal gvenlik dzeyini arttrmak iin yaplmas gereken almalar
temel alanda toplanr. Bu alanlar sras ile

Gvenlik Politikalar ve Prosedrler
Teknoloji
Eitim ve Bilgilendirmedir.

Her alanda da almalarn yaplmas zorunludur; bir alanda eksik braklacak almalar dier
alanlarda yaplan almalarn etkisini ciddi biimde azaltacaktr.
Gvenlik politikalarnn ve buna bal olarak prosedrlerin oluturulmas kurumun birinci ncelii
olmaldr. Gvenlik ile ilgili kurum politikas bu konuda (ya da bu konuya etki edebilecek) her trl
alma iin esas tekil edecektir.
Teknoloji, kurumun gvenlik politikalarnn yaptrmnn salanmas ve/veya politika ihlallerinin tespit
edilmesi iin kullanlabilecek bir aratr, tek bana gvenlik problemlerinin tmne bir zm tekil
etmez.ifreleme ve uygulamalar,gvenlik duvarlar,gelimi tanmlama ve yetkilendirme mekanizmalar
gibi muhtelif teknolojik zmler, kurumlarn belirledikleri gvenlik politikalarnn yaptrmnn
salanmas noktasnda bir ara tekil ederler.
Bilgi gvenlii konusunda endstrinin bu gnk durumu hi de i ac grnmemektedir. CERT/CCnin
istatistiklerine gre [CERT2001], 1997 ve 2000 yllar arasnda rapor edilen gvenlik ihlallerinin yllara
gre says geometrik olarak artmaktadr.
Saldr trleri listesine baktmzda, bir trl ayaa kaldramadmz sunucunun byk bir olaslkla bir
Denial of Service (servisin reddedilmesi) atayla kar karya olduunu tahmin edebiliyoruz. Ancak
bunu bilmek yeterli deil. Hangi adresten geldiini, hangi portun kullanldn, hangi atak tr (SYN
flood, teardrop vb) olduunu bilmeden engel olmamz mmkn deil.
CERT Coordination Centern yaynlad istatistie gre, 98 ylnda 3500 zerinde olan kurum
sistemlerine izinsiz giriolaylar, 99 ylnda 8000i geerek iki katn stnde art gstermi.

Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002


Saldry kim haber verebilir ?

- Gvenlik duvar (ing. Firewall) : Gvenlik duvar, tanmladnz kurallar yardmyla izinsiz girileri
durdurur. Gvenlik duvar gnlkleri (ing. Firewall log), dzenli inceleniyorsa, kuruma dardan gelen
baarl ya da baarsz izinsiz girileri haber verir. Ancak gvenlik duvar gnlklerini (analiz eden
yardmc raporlama rnleri kullanlmyorsa) dzenli incelemek yorucu ve bir kiinin tm zamann alan
bir itir.
Ayrca baz koullarda gvenlik duvar yetersiz de kalabilir :
- Atak, gvenlik duvarnda izin verdiiniz bir port zerinden geliyor olabilir.
- Atak, ieriden kaynaklanyor olabilir. Bu durumda, gvenlik duvar ataktan hi haberdar
olmayacaktr.
- Modem gibi bir arka kap kullanlyor olabilir. Bu durumda da, gvenlik duvar atlatlm
olacaktr.
- Virs ya da truva at gibi programlar kullanlarak, kurum iinden kiilerin bilmeden atan
gereklemesine yardmc olmas salanm olabilir. Bu durumda da e-posta gibi gvenlik
duvarnda izin verdiiniz bir servis kt niyetli olarak kullanlmaktadr.


Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002

- Sunucu Gnlkleri : Sunucu zerindeki sistem gnlkleri de, deneyimli bir sistem yneticisi
tarafndan dzenli izleniyorsa, anormal durum tespit edilebilir. Yzlerce sunucunun gnlklerini dzenli
olarak ka sistem yneticisi takip edebilir? Ayrca, tm aktivitelerin kayt edilmesi, sunucuda
kaplayaca yer nedeniyle mmkn deildir. Yine yer kst nedeniyle, gnlkler sk sk silinmekte ve
gemie ynelik bir aktiviteyi izlemek ok defa mmkn olmamaktadr. Gvenlik duvar ve sunucu
gnlklerinin yetersiz kalmas ve izinsiz girilerin gn getike artmas nedeniyle, izinsiz girileri tespit
etmeye ynelik yazlmlarn kullanm artmaya balad.

Kaak Giri (Saldr) Tespit Sistemleri ad verilen yazlmlar, ata annda bildirme zelliine sahipler.

Saldr Tespiti

Politikann yaptrmnn salanmas kadar, ihlallerinin tespiti de nem arz etmektedir. hlallerin
tespit edilebilmesi iin monitorizasyon ilevini yerine getiren teknolojilerden faydalanlr. Saldr tespiti
(ing. intrusion detection - ID), Sistemleri yetkisiz kullanma ya da yetkilerini aan ilemleri yapma
giriiminde bulunan kiileri (ya da programlar) tespit etme almas olarak tanmlanmaktadr
[Mukherjee1994].

Saldr tespitinin gereklilii Denning tarafndan aadaki maddelerle verilmektedir [Denning1986]:
Mevcut sistemlerin bir ounda saldrya, szmaya ve muhtelif dier biimlerde zarar
verilmesine imkan verecek zaaflar bulunmaktadr; tm bu zaaflarn bulunmas ve dzeltilmesi
teknik ve/veya ekonomik nedenler ile mmkn olamamaktadr.
Bilindik zaaflar olan mevcut sistemler, daha yksek gvenlik salayan alternatifleri ile
deitirilememektedir. Bunun ana nedeni ya mevcut sistemlerde var olan baz zelliklerin
daha yksek gvenlik salayan alternatiflerinde var olmamas ya da ekonomik nedenlerle
deitirilememesidir.
Mutlak gvenlie sahip sistemlerin gelitirilmesi imkansz deilse bile son derece gtr.
En yksek gvenlik dzeyine sahip sistemler bile yetkilerini ktye kullanan kullanclarnn
zarar verebilmesine imkan verir durumdadr.

Saldr tespit sistemlerinin kullanm temel balk altnda zetlenebilecek faydalar salamaktadr:
Erken tespit: Saldr tespit sistemleri, balayan bir ihlali sorumlu sistem yneticilerinden ok
nce tespit edebilir. Bu zellik sayesinde olay ile ilintili olarak sistem sorumlusunu SMS, e-
posta, telefon ya da ar cihaz gibi farkl biimlerde annda uyarabilir ve ihlalin etkisinin en
ksa srede minimize edilmesini salayarak riskin snrlanmasna destek olabilir.
Detayl bilgi toplanmas: Saldr tespit sistemlerinin kullanlmas sayesinde, sistem yneticileri
srmekte olan ya da gemite gereklemisaldrlara ilikin detayl bilgi edinebilirler. Bu
bilgiler saldrlarn kayna, ap ve hedefler zerindeki etkilerinin incelenmesi noktasnda son
derece deerlidir.
Toplanan bilgilerin kant nitelii: Sistem tarafndan toplanan bilgiler, hukuki yollara
bavurulduunda kant tekil edebilecei gibi, bir dier kurumdan kaynaklanan bir ihlalde, ilgili
kurumun yetkilileri ile temasa geildiinde de grmeler iin zemin tekil edebilir.

Saldr - Kaak Giri Tespit Sistemleri Nedir ?

SaldrTespit Sistemleri, gerek zamanl, sistemin btnln, kullanlabilirliini ve gizliliini
tehdit eden aktiviteleri ayrt ederek bildiren sistemlerdir.
Saldr tespiti alannda bu gne dein yaplan almalar iki temel kategoride incelenebilir; anormallik
tespiti (ing. anomaly detection) ve ktye kullanm tespiti (ing. misuse detection).
Ktye kullanm tespitinde, nceden bilinen politika ihlali olaslklar (ya da yntemleri) nce
senaryolara dntrlr. Senaryolar daha sonra saldr imzalarna (ing. attack signature) indirgenir.
Saldr imzalar, belirli bir saldrya ilikin olas tm senaryolarn ana eksenini oluturan bir zet olarak
nitelendirilebilirler.
Saldr imzalarnn oluturulmasndan sonra bu imzalar, sistemin anlayaca makinaca okunabilir biime
dntrlr. Makinaca okunabilir biim, bu gne kadarki uygulamalarn byk birblmnde kural
temelli bir dil olarak seilmitir [Kumar1995] [Ilgun1995][Porras1997]. Sistemin kaynak girdisi (a
Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
trafii, sistemlere ilikin gnlk kaytlar vb.) zerinde yaplan analizler ile bilinen zaaflara ynelik
saldrlarn ya da ihlallerin gerekleip gereklemedii tespit edilmeye allr; tespit edilmesi
durumunda alarm retilir.
Anormallik tespitinde ise, kaynaklarn (kullanclar, programlar, sistemler vb.) normal durum davran
istatistiksel yntemler ile tespit edilir ve profil olarak adlandrlan zet bilgiler oluturulur. Kaynaklarn
davranndaki tm deiimler dzenli olarak deerlendirilerek ilgili profilin de gncellenmesi salanr.
Kaynanda davrannda istatistiksel olarak ani bir deiim grldnde bir anormallik olduu ne
rlerek alarm retilir. Saldr tespiti ile ilgili almalarn ilk yllarnda, gnnartlarnda karmak
saylan saldrlarn nasl yapldna ilikin bilgilerin aratrmaclarn elinde olmamas nedeni ile ktye
kullanm tespiti modeli gelime gsterememitir. statistiksel anormalliklerin tanmlanmas yntemi,
daha az konu uzman bilgisi gerektirmesi nedeni ile tercih edilmitir. Ancak nternet zerindeki bilgi
gvenlii ile ilgili forumlarn ve tartma listelerinin hzla artmas, bu ortamlarda saldr tekniklerine
ilikin derin teknik tartmalarn yaplabilmesi ktye kullanm tespiti modelinin uygulanabilirliini son
yllarda ciddi biimde arttrmtr. Endstride youn biimde kullanlan tm rnler arlkl olarak bu
modelde ilemektedirler.

Saldr tespit sistemlerine ilikin bir dier snflama, sistemin girdisine gre yaplan snflamadr.

letiim A Tabanl SaldrTespit Sistemleri

A temelli sistemlerde, a zerinden akan trafik sistemin girdisidir. Bu modelde alan bir
sistemin birden fazla sisteme ilikin trafii izlemesi hedeflenmektedir. A temelli sistemler, trafik akn
tmyle u sistemlerin alglad biimde yorumlama durumundadr, aksi durumda muhtelif biimlerde
sistemin bertaraf edilmesi mmkn olabilmektedir [Ptacek1998].
A temelli sistemler, daha az abayla daha yksek sayda kaynan davrannn izlenebilmesine ve
politika ihlallerinin tespit edilebilmesine imkan verdii iin tercih edilmektedir. Ancak bu sistemlerin
trafii u sistemlerin alglad biimde yorumlama konusundaki zaaflar kullanlabilirliklerini ciddi
biimde etkilemektedirler. Keza, atemelli sistemlerinifreleme teknolojisinden faydalanan uygulamalar
iin, trafii inceleyemiyor olmak gerekesi ile, alamaz duruma gelmesi nemli bir zaaftr.

letiim a tabanl saldr tespit sistemleri, yer ald a segmenti zerindeki trafii izler. Kritik
segmentlerin zerine bir sensrn yerletirilmesi, segmentlerin zerindeki uygulamalar savunmasnda
da etkili olacaktr. A tabanl sistemler, paketteki bilgiyi, atak imzalar ile karlatrarak saldry tespit
ederler.
Ayrca a tabanl sistemlerin genellikle, korumay arttrmak amacyla, belirlenen bir IP araln dzenli
tarayarak port baznda anormal aktiviteyi bulma, session tutma ve drme zellii bulunmaktadr.
CyberSafe (www.cybersafe.com) firmasnn Centrax blmnn teknoloji efi Paul Proctor, a
dml IDSleri tek bir a dmne ynlenen paketleri denetleyen sistemler olarak tanmlamaktadr.

OK ALGILAYICILI SALDIRI TESPT SSTEMLER

letiim a tabanl saldr tespit sistemi dendiinde veri kaynandan akan veri ile ilgili
yaklamlar anlamak byk nem tamaktadr. Olduka yeni bir teknoloji olarak ortaya kan ok
alglaycl saldr tespit sistemleri (ing.multisensor IDS) kavram iletiim a zerinde veriyi toplayan
alglayclarn birden fazla (ve ounlukla farkl tipte verileri yorumlayacak tarzda) olmasdr. ok
alglaycl saldr tespit sistemleri a zerindeki alglayclardan oluur. Kimi trlerinde gelen veriyi
harmanlama ve yorumlama ii sunucu zerindeki bir yazlm tarafndan yaplr.
Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002




Saldr tespit sistemleri veri ak

ok alglaycl veri ak, veya datk alglama, olaylar, aktiviteler ve durumlar hakknda
ngrde bulunabilmek iin verinin birden fazla ve farkl alglayclardan geerek birletirilmesi esasna
dayanan yeni bir mhendislik disiplinidir. Bu sistemler genellikle insanlarn idrak sreci ile, yani beyne
dier organlardan bilgi gelmesi, beynin bu sayede durumu analiz etmesi ve harekete gemesi esas ile
kyaslanr.
Veri ak teknolojisi cephe gzetimi ve taktiksel durum deerlendirilmesi gibi ordu uygulamalarnda
belirgin olarak gze arpar.Robotik, retim, tbbi bilimler, uzaktan alglama gibi ticari uygulamalarda da
veri ak sisteminden faydalanlr.
Veri ak uygulamalarnn teknik sistemlere uyarlanmas istatistik, yapay zeka, yneylem aratrmas,
dijital sinyal ileme, modelleme, bilgi teorisi, karar teorisi ve renme psikolojisi alanlar gibi ileri
seviyede matematik teknii de gerektirir.
Saldr tespit sistemi veri ak erevesinde alglayclardan gelen verileri, daha nce elinde mevcut
olan verileri ve mevcut veritabanna dahil olan verileri kullanr. rnein sistem girdileri birden fazla
datk paket snifferdan, sistem kayt dosyalarndan, SNMP kaytlarndan, sorgulardan, kullanc
tanmlarndan, sistem mesajlarndan ve operator komutlarndan elde edilebilir. Saldr tespit sisteminin
kts ise saldrgann kimlii (ve muhtemelen bulunduu yer), saldrgann aktiviteleri, gzlemlenen
tehditler, saldr oranlar ve saldrnn ne kadar tehlikeli olduuna verilen karardr.

IDS veri birleiminin hiyerarik yaps
Tehdit analizi (threat analysis)
Durum deerlendirme (situation assesstment)
Saldrgann davran biiminin belirlenmesi
(behaviour of intruder)
Saldrgann kimliinin belirlenmesi (identity of
intruder)
Saldr oranlar (rate of intrusion)
Saldr giriiminin dorulanmas (existance of
intrusion)








Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
IDS
IDS
IDS
ID
S
IDS
Alglayclar
zellikleri:
Farkl denetim kayt formatlaryla alabilmelidir.
Adaki bir veya daha fazla dm, a zerinde iletilen datann toplanmas ve analizi iin grev
yapabilmelidir.
Merkezi veya merkezi olmayan yap kullanlabilir.

Network alglayclar iki tip alglayc ile alr. Baz sistemlerde tek tr alglayc varken ou ok
alglaycl saldr tespit mekanizmas her iki tr alglayclar bir arada kullanr.
mza alglayclar
Saldr imzalar, belirli bir saldrya ilikin olas tm senaryolarn ana eksenini oluturan bir zet
olarak nitelendirilebilirler. Saldr imzalarnn oluturulmasndan sonra bu imzalar, sistemin anlayaca
bir dile evrilir. mza alglayclar a zerinde srekli olarak tarama yaparlar ve saldr imzalarn
yakaladklarnda alarm verirler.
Anormallik alglayclar
Anormallik alglayclar ise, kaynan davrannda istatistiksel olarak ani bir deiim
grldnde bir anormallik olduu ne rlerek alarm retilir.







Sunucu Tabanl Saldr Tespit Sistemleri

Sunucu tabanl saldr tespit sistemlerinde, kritik rol oynayan sistemler belirlenir.
Bu sistemlere yklenen bir yazlm, sistemin log dosyalarn kullanarak saldrlar tespit eder. Sunucu
tabanl saldr tespit sistemleri, hem sunucuya giren ve kan trafii izler, hem de sistem dosyalarnn
btnln ve pheli aktiviteyi (rnein sisteme balanm pheli bir kullancy) kontrol eder.
Sunucu tabanl saldr tespit sistemleri genellikle ajan-ynetici yapsnda alan sistemlerdir. Sunucular
zerindeki network paketlerini, balanma giriimlerini, login giriimlerini, kritik sistem dosyalarna
eriimleri, bu dosyalardaki deiimleri, kullanc haklarndaki deiimleri vb kontrol ederler.
Sunucu temelli (ing. host based) sistemlerde, sistemin girdisi sistem gnlkleri (rn. UNIX syslogu) ve
uygulama kaytlar (rn. web sunucu eriim kaytlar)gibi dorudan sistem zerinden temin edilebilen
bilgilerin toplamdr. Sistem zerinden toplanabilecek bilgiler kmesinin olabildiince geniolmas, bu
modelde bir uygulamann gerekletirilebilmesi iin nemli bir gereksinimdir; muhtelif sistemlerin
salad olanaklar ve yeterlilikleri de tartlmaktadr.



Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002


Baz uzmanlar bu gruplama ierisine masast IDSlerini de dahil ederler. Hatta bazlar honeypot ve
honeynet ad verilen ve saldrganlar kritik gibi gzken sahte ortamlara ynlendiren sistemleri de
kategori iinde gsterirler.

Masast alan bir IDS, a trafiini kontrol etmekten ziyade, dosya seviyesinde koruma salar.
Temel olarak, kiisel sistemlerdeki aktiviteleri dinleyerek Windows iletim sistemi altran PClerdeki
dosya ve sistem kayd (registry) kaytlarna gelebilecek muhtemel saldrlar tespit eder. Masast
IDSleri ayrca trojanlar yakalamada da ok etkilidir.

Honeypotlar, zerlerine saldrmalar iin tasarlanm, saldrganlar aldatmaya ynelik sistemlerdir. Atak
giriimlerini tespit edip gerekli yerlere uyar mesajlar yollamak iin kullanlrlar. Bir honeynet ise
gvenlik duvarnn arkasnda kalan ve muhtemel bir saldr hakknda yararl bilgiler edinilmesine ynelik
dizayn edilen bir adr. Bu a sayesinde, potansiyel saldrganlarn gdleri, kullandklar ara ve
taktikleri ortaya kar.

Saldr tespit sistemleri pazarna gz attmzda, bu pazardaki en nemli iki rnn Internet Security
Systems (http://www.iss.net) firmasnn RealSecure ve
Cisco Systemsn (http://www.cisco.com) NetRanger olduunu grmekteyiz.
Serbeste datlan rnler arasnda ise zellikle Snort yazlmnn (http://www.snort.org) baarl
olduunu sylemek mmkndr. Saldr imzalarnn dzenli olarak gncellendii Snort yazlm ile
olduka farkl sayda ve trde saldry tespit edebilmek mmkn olacaktr.

Saldr Tespit Sistemleri Hangi Ataklar Adresler ?

letiim a tabanl Saldr Tespit Sistemleri, servisin reddedilmesi ve tarama ataklarn yakalamada en
iyi zmdr. Sunucu tabanl Saldr Tespit Sistemleri ise en yaygn atak tipi olan servisin reddinde
Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
yetersiz kalrken, yetki ele geirme, ifre ataklar, tahrip etme (vandalism), loglarn ve gvenlik
mimarisinin deitirilmesi ataklarnda en etkin zmdr. Bu iki rn ailesinin entegre alt, iletiim
a rnnn ald bir sonucun, host rn tarafndan deerlendirilerek aksiyon alnd zm ise tek
tek rnlerin ald sonulardan daha baarl olmaktadr.

Saldr Tespit Sistemleri Ne Yapar, Ne Yapamaz ?

- Saldr Tespit Sistemleri saldr yakalamaya ynelik sistemlerdir ve snrl bir koruma salayabilirler.
Ortamda, Gvenlik duvar ve uzaktan eriim rnleri gibi koruma rnlerinin yerini tutamazlar.
- Tanmlanmkurallarn ve atak imzalarnn belirledii kstlar vardr.
- Saldr Tespit Sistemleri, yaplan konfigrasyona bal olarak tm ataklar bloklayamazlar.
- letiim a bazl Saldr Tespit Sistemlerinde ok fazla kural tanmlanmas ciddi
performans problemlerine yol aabilir.
- Saldr Tespit Sistemlerinde ok fazla alarm verilmesi, ciddi problemlerin gzden kamasna yol
aabilir.

%100 gvenlik ancak teorik olarak mmkndr. Ve hibir gvenlik rn mucizeler yaratamaz.
Saldr Tespit Sistemleri de, datk ortamlarda, sistem ve iletiim a gvenlik sorumlularn
saldrlardan ve ortamlardaki anormal deiimlerden haberdar etmeyi hedeflemektedir. Bu rn
ailesinin kurumda gvenlii arttrmas, ancak rnlerin ve sistemlerin iyi tannmas,
gereksinimlere gre konfigre edilmesi ve dzenli gncellenmesi durumunda gerekleir. Bunun
iin gereken n alma ihmal edildii taktirde, rnlerden istenen verim alnamaz. Bu durum,
bilgi ilem personeli iin ise yalnzca bakm gerektiren yeni sunucular olmas anlamna gelecektir.
Saldr Tespit Sistemleri, izinsiz giriin giderek artt gnmzde, Gvenlik duvar ve dier koruyucu
rnlerle beraber bir kurumun vazgeilmez gvenlik cephesini oluturmaktadrlar.

Saldr Tespit Sistemleri saldr yakalamaya ynelik sistemlerdir ve snrl bir koruma salayabilirler.
Ortamda, Gvenlik duvar ve uzaktan eriim rnleri gibi koruma rnlerinin yerini tutamazlar.
Tanmlanmkurallarn ve atak imzalarnn belirledii kstlar vardr.
Saldr Tespit Sistemleri, yaplan konfigrasyona bal olarak tm ataklar bloklayamazlar.
letiim a bazl Saldr Tespit Sistemlerinde ok fazla kural tanmlanmas ciddi performans
problemlerine yol aabilir.
Saldr Tespit Sistemlerinde ok fazla alarm verilmesi, ciddi problemlerin gzden kamasna yol
aabilir.

Sonu

Saldr tespit sistemleri ierisinde ok alglaycl saldr tespit sistemlerinin gvenli ve datk bir
mimarisi vardr. Saldr tespiti oklu tespit motorlar ile yaplr. Herbir motor farkl alara datlabilir. Bu
bize esnek, gvenli ve datk bir ynetim imkan salar.

Referanslar

[ArachNIDS 2001] ArachNIDS Ak Saldr Tespit Kural Veritaban, http:// www.whitehats.com
adresinden eriilebilir
[Bass 2000] Tim Bass, Intrusion Detection Systems and Multisensor Data Fusion, 2000
[Bass 1999] Tim Bass, Multisensor Data Fusion for Nezt Generation Intrusion Detection Sytems, Iris
National symposium draft, 1999
[CERT 2001] CERT/CC Web Sitesi, http://www.cert.org adresinden eriilebilir.
[Dayolu 2001] Burak Dayolu, nternetde Saldr Tespiti Teknolojileri, letiim Teknolojileri 1. Ulusal
Sempozyumu ve Fuar, Ankara, 2001
[Dayolu 2001] Burak Daypolu, Use of Passive Network Mapping to Enhance Network Intrusion
Detection, METU Graduate School Of Natural and Applied Sciences Thesis, 2001
[Denning 1986] D. Denning, An Intrusion Detection Model, Proceedings of the IEEE Security and
Privacy Conference, 1986
Gebze Yksek Teknoloji Enstits, Bilgisayar Mhendislii Blm, Veri ve A Gvenlii Dersi Projesi
ok Alglaycl Saldr Tespit Sistemleri ule Pasin / Bahar 2002
[Ilgun 1995] K. Ilgun ve dierleri, State Transition Analysis: A Rule Based Intrusion Detection
Approach, IEEE Transaction on Software Engineering, Vol. 21, No. 3, 1995
[Innova 2002] Glden Yncolu, Gvenlik zmleri Yneticisi, INNOVA Gvenlik zmleri A.,
2002
[Mukherjee 1994] B. Mukherjee ve dierleri, Network Intrusion Detection, IEEE Network, Vol. 8, No. 3,
1994
[Murray 2000] Cristopher Patrick Murray, Network Forensics, Seminar, University of Minnesota, 2000
[Roesch 1999] M. Roesch, Snort Lightweight Intrusion Detection for Networks, Proceedings of the
13th LISA Conference of USENIX Association, 1999
[Wood 1997] C. Cresson-Wood, Information Security Policies Made Easy: A Comprehensive Set of
Information Security Policies, Baseline Software, 1997