NÜFUZ TESPİT SİSTEMLERİ

Transkript

1 NÜFUZ TESPİT SİSTEMLERİ İlktan AR Özet Bu çalışmada, günümüzde artan bilgi ve ağ güvenliği ihtiyacını karşılamak amacıyla sunulan bilgisayar güvenlik teknolojilerinin başında gelen güvenlik duvarları, zayıflık tarayıcıları ve nüfuz tespit sistemlerinin görevlerine ve yeteneklerine değinildikten sonra nüfuz tespit sistemleri detaylı olarak incelenmiştir. Bu inceleme sırasında son yıllarda çıkan makaleler temel alınarak nüfuz tespit sistemlerin çeşitli kategorileri ve bu kategoriler altındaki örnekleri mercek altına alınmıştır. İyi bir nüfuz tespit sisteminden beklentiler, mevcut nüfuz tespit sistemlerindeki eksiklikler ve sorunlar hakkında bilgi verilmiştir. Ayrıca bu çalışma kapsamında gelecekteki çalışmalarda öne çıkacağı düşünülerek hızla gelişmekte olan mobil cihazlardaki nüfuz tespit sistemleri yapılarına değinilmiştir. 1. Giriş Internet in hızla gelişimiyle birlikte ağ ile birbirlerine bağlanmış bilgisayar sistemleri modern hayatımızda daha önemli bir hale gelmeye başladı. Internet insanoğluna büyük yararlar sağlamasına rağmen kritik sistemleri kötü niyetli saldırılara açık hale getirdi. Sonuçta bilgisayar güvenlik teknolojilerine olan ihtiyaç günden güne katlanarak artan bir hale geldi. Ağ alt yapısına yapılan saldırılar ağ ve bilgi güvenliğine karşı en önemli tehditlerdir.yetkili olmayan kişilerin sistemlere girişleri, sistem kaynaklarına izinsiz erişmesi, saldırganların kullanıcıların kişisel bilgilere erişmesi ve bunları değiştirmesi, saldırganların varolan sistemlerin çalışmasını yavaşlatması veya durdurması gibi tehditler karşısında bilgisayarlar ve ağların güvenliğini sağlamaya yönelik ihtiyaçlar artmıştır. Nüfuza karşı ilk olarak erişim kontrolü, doğrulama gibi temel seviyedeki güvenlik mekanizmalarıyla çözüm sağlanılmaya çalışılmıştır. Tehdit türleri ve bu tehditlerin verebileceği zararın artmasıyla birlikte temel seviyedeki güvenlik mekanizmalarının dışında yeni mekanizmalara ihtiyaç duyulmuştur. Bunlar güvenlik duvarları, zayıflık tarayıcılar ve nüfuz tespit sistemleridir [1]. Güvenlik duvarları farklı filtreleme özellikleri ile iç ağı dışarıdan gelebilecek saldırılardan ve içeriye sızmaya çalışan saldırganlardan koruyan yapılardır. Güvenlik duvarları içerideki güvenli ağı dışarıdaki güvensiz ağdan korumak amacıyla bu noktalar arasındaki geçiş noktalarına konulur. İç ağ ve dış arasındaki haberleşme trafiğine, güvenlik duvarını kullanan organizasyonun belirlediği güvenlik politikası doğrultusunda izin verir veya engeller. Güvenlik duvarları genelde alt seviye ağ trafiğini izler ama uygulama seviyesindeki trafiği de takip edebilir. Tüm haberleşme trafiği üzerinden geçtiği için ağda gecikmelere neden olabilir. Kurulumu ve bakımı zordur. Ayrıca düzenli olarak kontrole ve analize ihtiyaç duyarlar. Saldırgan herhangi bir metotla güvenlik duvarından geçerek iç ağa sızarsa iç ağda tekrar güvenlik duvarıyla karşılamadan saldırısına rahatlıkla devam edebilir. Ayrıca günümüzde yapılan araştırmalar sonucunda elde edilen bilgiler ışığından saldırıların çoğunluğunun iç ağdaki kullanıcılar tarafından yapıldığı bilinmektedir. Buna karşı güvenlik duvarlarının yapabileceği bir engelleme yoktur. Zayıflık tarayıcıları sistemde bulunan ağların, bilgisayarların, uygulamaların zayıflıkları ve/veya açıklarını tarayarak bulunan sonuçları kaydetmeye tasarlanmış bilgisayar 1

2 programlarıdır [2]. Bu tarayıcılar bilgi ve ağ güvenliği hizmeti veren firmalar tarafından iyi yönde kullanılarak müşterilerinin sistemlerinde nüfuzlara maruz kalabilecek noktaları belirlemek amacıyla güvenlik taraması testlerinde kullanılmakla beraber saldırganlar tarafından da tam zıt bir yönde hedef sistemler hakkında bilgi edinmek amacıyla kullanılabilmektedir. Zayıflık tarayıcıları genelde uygulama seviyesindeki problemleri araştırır. Kurulumu ve bakımı basit olmasına karşın düzenli olarak güncellemeye ihtiyaç duyarlar. Ayrıca zayıflık tarayıcıları sistemde çalışırken sistem kaynaklarını yoğun olarak kullanırlar. Port (kapı) tarayıcıları, ağ tarayıcıları, web uygulamaları güvenlik tarayıcıları, bilgisayar solucanları ve CGI (common gateway interface) tarayıcıları zayıflık tarayıcılarına örnektir. Testler bilgi ve ağ güvenliği hizmeti veren kişi veya kurumlar tarafından periyodik olarak yapıldığından anında çözümler üretemez. Nüfuz tespit sistemleri ise varolan güvenlik mekanizmalarını başarıyla geçen nüfuzların tespit edilmesinde kullanılan yapılardır. Temel olarak nüfuzları gerçekleşirken gerçek zamanlı veya gerçekleştikten sonra tespit ederek, bilgi ve ağ güvenliğinden sorumlu olan kişi veya kurumları uyarmakla görevlendirilmiştir. Nüfuz tespit sistemleri ise ilerleyen kısımlarda daha detaylı olarak incelenmiştir. Bu çalışma kapsamında ikinci kısımda literatür çalışması yapılmış ve varolan nüfuz tespit sistemlerinin tanımlarından yola çıkılarak nüfuz tespit sistemlerinin çeşitli kategorileri incelenmiş ve örnekler verilmiştir. Ayrıca bu kısımda iyi bir nüfuz tespit sisteminin özelliklerine de değinilmiştir. Üçüncü kısımda ise araştırmacılara gelecek çalışmalar konusunda yol göstermek üzere gelişmiş mobil cihazlar için nüfuz tespiti üzerinde durulmuştur. Son kısımda ise çalışma kapsamında elde edilen vargılar ve gelecekte yapılabilecek çalışmalara değinilmiştir. 2. Nüfuz Tespit Sistemleri Nüfuz tespit sistemi (intrusion detection system-ids) kavramı ilk olarak 1980 de Anderson tarafından ortaya konmakla beraber 1987 yılında Denning in yayını ile temel nüfuz tespit sistemi tanımlanmıştır. Aşağıda maddeler halinde nüfuz tespit sistemi ve teknolojisi üzerine farklı araştırmacılar tarafından son yıllarda verilen tanımları maddeler halinde verilmiştir. Yang ve diğerlerine [3] göre IDS, bir bilgisayar sistemindeki ağ paketlerini veya sistem denetleme kayıtlarını izleyerek ve analiz ederek nüfuz davranışını veya nüfuz teşebbüslerini tespit eden ve tanımlayan daha sonra da sistem yöneticisine gerçek zamanda nüfuz uyarısı veren sistemlerdir. Xuetao ve diğerlerine [4] göre nüfuz tespit teknolojisi, bilgi sisteminde saldırıya açık olan kısımların ve/veya hataların, kötü niyetli kod veya kodlar tarafından istismar edilmesini engelleyen bilgi teknolojileri doğrultusundaki anahtar bir araştırmadır. Pikoulas ve diğerlerine [5] göre IDS, amacı herhangi bir organizasyonu hedef alan tehditleri tanımlayan ve daha sonra sisteminin korunduğunu garanti eden sistemlerdir. Jemili ve diğerleri [6], nüfuz tespit sistemi kurulmuş bir ağı, hırsız alarm sistemi kurulmuş bir eve benzetmiştir. Her ikisinin de değişik metotlar kullanarak saldırganın/hırsızın içeride mevcut olduğunu tespit ettiğini belirmiştir. Ayrıca her iki sisteminde saldırgan/hırsızın mevcut olduğu durumlarda alarm verdiğini bildirmişlerdir. Yukarıdaki tanımlardan yola çıkılarak genel olarak nüfuz tespit sisteminin tanımı şu şekilde verilebilir: Sisteme izinsiz olarak erişmek, sistem kaynaklarını yetkisiz kullanmak, 2

3 kullanıcıların kişisel bilgilerine ulaşmak ve değiştirmek, sistemin çalışmasını yaşatmak ve/veya durdurmak gibi değişik amaçlarla sisteme dışarıdan sızan veya sızmaya çalışan saldırganları ve kısıtlı sistem kaynaklarını yetkisi dışında ve/veya uygun olmayan bir şekilde kullanan kullanıcıların tespit edilmesini hedefleyen sistemlerdir. Nüfuz tespit sistemleri üç ana kategori ve alt kategorilere bölünebilmektedirler. Nüfuz tespiti yapılan sisteme göre; ağ bazındaki nüfuzları tespit eden ağ tabanlı nüfuz tespit sistemleri (network based intrusion detection systems-nids), tek bir bilgisayar sistemine yapılan nüfuzları tespit eden konak tabanlı nüfuz tespit sistemleri (host based intrusion detection systems-hids) olarak bölünmektedir. Geleneksel olarak nüfuz tespit tekniğine göre suistimal (misuse) nüfuzları tespit eden sistemler ve anormallik (anomaly) nüfuzları tespit eden sistemler olarak bölünmektedir. Bazı çalışmalarda nüfuz tespit tekniğine göre ek bir kategori olarak suistimal ve anormallik modellerinin karışımı olan tanımlama tabanlı / hibrit nüfuzları tespit eden sistemlerinde olduğu varsayılmıştır [7,8]. Ayrıca anormallik nüfuzlarının tespiti; istatistiksel anormallik tespiti, yapay sinir ağları temelli anormallik tespiti, veri madenciliği temelli anormallik tespiti, bağışıklık temelli anormallik tespiti v.b. gibi alt kategorilere de ayrıştırılabilmektedir [3,9]. Nüfuz tespit sistemleri mimarilerine göre merkezi (centralized) ve dağıtık (distributed) olarak sınıflandırılmaktadır [7,10]. Merkezi mimariyle hazırlanmış nüfuz tespit sistemlerinde veri analizi, izlenen konak sayısından bağımsız olarak bir konak üzerinde yapılmaktadır. Dağıtık mimariyle hazırlanmış nüfuz tespit sistemlerinde ise bu işlem ayrı ayrı konaklarda yapılabilmektedir. Merkezi mimariyle hazırlanmış nüfuz tespit sistemlerinin basitlik ve veriye doğrudan erişim avantajı bulunmasına karşın darboğaz oluşumu gibi ciddi bir dezavantajı vardır. Dağıtık mimariyle hazırlanmış nüfuz tespit sistemlerine DIDS, AAFID, NIDIA verilebilir. Yeni nesil dağıtık mimarini kullanan yapılarda genellikle akıllı ajanlar kullanılmaktadır. Nüfuz tespit sistemleri çalışma mantığı bakımından da gerçek zamanlı (real time), çevrimdışı (offline) olarak sınıflandırılabilmektedir. M. Silva ve diğerleri [10], çalışmalarında yerel nüfuz tespit sistemi bulunmayan kullanıcılar için servis sağlayan çok ajanlı uzaktan erişilebilen bir nüfuz tespit sistemi yapısı sunmuşlardır. Kullandıkları modelde çoklu-ajan yapısı, web servisleri ve model tabanlı mimari (model-driven architecture) kullanılmıştır. Çoklu-ajan yapısından dolayı sistem içerisinde birlikte öğrenen, bilgi paylaşımı yapan ajanlar kullanılarak sisteme esneklik sağlanmıştır. Ağ üzerinde makineden makineye birlikte çalışabilmeyi sağlayan web servislerinden yararlanılan bu çalışmada XML (extensible markup language) tabanlı SOAP (simple object access protocol), WSDL (web services description language) ve UDDI (universal description, discovery, and integration) dan faydanılmıştır. Model tabanlı mimari ise sisteme taşınabilirlik, birlikte çalışabilme, tekrar kullanılabilirlik özelliklerin katmıştır. Bu çalışmada sunulan yapı özetle izleme, analiz, tepki, güncelleme, yönetim, depolama olmak üzere altı katmandan oluşmaktadır. Önerilen sistem nüfuz tespit sistemi servislerinin internet üzerinden sağlamasında kullanılmıştır. Kullanıcılar tarafından rahatlı erişilebilmesine karşın sistem içinde çok yoğun bir haberleşme olmasıyla dezavantajlıdır. Nüfuz tespit sistemlerinin performansları değerlendirilirken bazı standart metrikler kullanılır. Bu çalışmada da değerlendirme kısımlarında geçen bu metrikler temel olarak dört tanedir: Doğru pozitifler (true pozitives) : Doğru olarak sınıflandırılan nüfuzlar, Doğru negatifler (true negatives) : Doğru olarak sınıflandırılan nüfuz olmayan, iyi huylu aktiviteler. Yanlış pozitifler (false pozitives) : Yanlışlıkla nüfuz olarak sınıflandırılan gerçekte nüfuz olan, iyi huylu aktiviteler. 3

4 Yanlış negatifler (false negatives) : Yanlışlıkla iyi huylu, nüfuz olmayan aktiviteler olarak sınıflandırılan gerçekte nüfuz olan aktiviteler. Bu metriklere ek olarak çeşitli çalışmalarda bu standart metriklerden türetilen verimlilik, kesinlik, tespit oranı gibi metriklerde kullanılmaktadır. Ayrıca bazı çalışmalarda sistemin işlemci, bellek v.b. gibi kaynaklar bazında kullanımları da değerlendirilmektedir. Nüfuz tespit sistemleri çeşitli seviyelerde veriler toplayabilir. Genellikle toplanan veriler: ağ verisi (örneğin yönlendiriciden veya güvenlik duvarındaki kayıtlardan sağlanan veri), işletim sistemi komut satırı, işletim sisteminin sistem çağrıları, uygulama içi bilgiler, iletilen tüm karakterler, tuş basmaları, olarak sıralanır [8]. Nüfuz tespit sistemlerindeki veri toplama teknikleri algılayıcılar vasıtasıyla gerçekleştirilir. Bu algılayıcılar iç ve dış algılayıcılar olarak sınıflandırılır. İzlenen program içine gömülen yada bir parçası olarak çalışan algılayıcılara iç algılayıcılar, tam zıttı olarak ta izleme birimleri izlenen programdan ayrı olanlarda dış algılayıcılar olarak tanımlanır. Dış algılayıcıların avantajları: konağa kolayca eklenilebilmesi, konaktan kolayca ayrılabilmesi, kolayca değiştirilebilmesi olarak sıralanmasına karşın dezavantajları: saldırgan tarafından etkisiz hale getirilebilmesi veya değiştirilebilmesi, gecikme yaratması olarak sıralanabilir. İç algılayıcıların avantajları: minimum gecikme, çok kolay bir şekilde değiştirilebilme, konağın performansına az ek yük getirmesi olarak sıralanmasına karşın dezavantajları: geliştirilmesinin zorluğu, izlenecek uygulamanın programlama dilinde geliştirilmesi gerekliliği, güncelleme ve geliştirme zorluğu, yanlış uygulandığında ve/veya geliştirildiğinde ciddi sorunlar doğurabilmesi olarak sıralanabilir. Dış algılayıcılara örnek olarak dağıtık sistemlerdeki her konağı ayrı ayrı izleyen ve buldukları hiyerarşik yapıda üstleri bildiren ajanlar verilebilir. İç algılayıcılar için OpenBSD sistemleri için geliştirilmiş ve farklı nüfuzları gerçek zamanda tespit eden sisteme ek yük getirmeyen gömülü algılayıcılar verilebilir [8]. Nüfuz tespit sistemlerinin kalitesi çoğunlukla etkililik (effectiveness), uyarlanılabilirlik (adaptability), genişletilebilirlik (extensibility) özelliklerine göre değerlendirilir. Etkililik ile nüfuz tespit sisteminin nüfuzları tespit etme yeteneği, uyarlanılabilirlik ile bilenen nüfuz tiplerinin varyasyonlarını tanımlayabilme yeteneği, genişletilebilirlik ile de nüfuz tespit sistemlerinin özelleştirilebilmesi ve yeni kısımlar eklenebilme belirtilir [8]. Nüfuz tespit sistemleri, nüfuzları tespit etmesine karşın bunların başarılı veya başarısız olduklarına karar vermemektedir. Bu kararı analiste veya sistem yöneticisine bırakmaktadır. Böyle bir durumda sistem yöneticisi toplanan denetim bilgilerini incelemekte, zayıflık taramaları yapmakta ve sistemdeki yamaların, güncellemelerin denetimini yapmaktadır. Bu işlemler küçük ölçekli ağlardan yapılabilir olmasına karşın çok büyük miktarda denetim bilgisine sahip dağıtık ağlarda pratik olmamaktadır. Genel olarak araştırmacılar nüfuz tespitinde makine bileşeni üzerinde durarak insan faktörünü yok saymışlardır. Bu eksiklik nüfuzlardan kendini savunan tarafı dezavantajlı bir 4

5 konuma getirmiştir. Çünkü kaçınma ve saldırı onaylama metotlarının değeri tam olarak kavranamamıştır [9] Konak Tabanlı Nüfuz Tespit Sistemleri ve Ağ Tabanlı Nüfuz Tespit Sistemleri (HIDS vs NIDS) Nüfuz tespiti yapılan sisteme göre kategoriye bölmede ki esas tek-konak tabanlı veya çok-konak tabanlı olarak ağda ki veri toplama mekanizması ve aktiviteleri izlemedir. Ağ tabanlı nüfuz tespit sistemleri bir saldırı veya nüfuz durumu olup olmadığı belirlemek için tüm ağı izler. Not olarak belirtmek gerekirse ağ tabanlı ve konak tabanlı sistemlerde toplanan verinin nasıl ve nerede işlendiği değil ne yolla toplandığına göre ayrım vardır [8]. Genel olarak, ağ tabanlı nüfuz tespit sistemleri imza tespiti (signature-based) temelli, konak tabanlı nüfuz tespit sistemleri ise anormallik tespiti temelli çalışırlar [7,8]. HIDS ve NIDS yaklaşımlarının avantajları ve dezavantajları vardır. Pahlevanzadeh ve Samsudin yaptıkları çalışmada belirttikleri bu avantaj ve dezavantajlar bir Tablo 1. de sergilemişlerdir. NIDS HIDS * Faaliyet alanı geniştir. * Faaliyet alanı olarak dardır, özel sistem aktivitelerini izler. * Dışarıdan (güvensiz ağ) gelen saldırı/nüfuzların tespitinde daha iyidir. HIDS in kaçırdıklarını tespit eder. * İçeriden gelen saldırı/nüfuzların tespitinde daha iyidir. NIDS in kaçırdıklarını tespit eder. * Paket başlığını ve tüm paketi inceler. * Paket başlıklarını görmez. * Tepkisi gerçek zamana yakındır. * Şüpheli kayıt girdisinden sonra tepki verir. * Konaktan bağımsızdır. * Konak bağımlıdır. * Bant genişliğine bağımlıdır. * Bant genişliğinden bağımsızdır. * Aşırı yük yoktur. * Aşırı yüklüdür. (over load) * IDS istemcilerinin bulunduğu ağlardaki * IDS yüklü konak bilgisayarları yavaşlatır. trafiği yavaşlatır. * Yük (payload) analiz edildikten sonra ağ saldırılarını tespit eder. * Ağı vurmadan önceki yerel saldırıları tespit eder. * Şifrelenmiş veri taşıyan ve anahtarlama kullanılan ortama uygun değildir. * Şifrelenmiş veri taşıyan ve anahtarlama kullanılan ortama uygundur. * Yüksek yanlış pozitif oranına sahiptir. * Düşük yanlış pozitif oranına sahiptir. Tablo 1: Ağ ve Konak tabanlı nüfuz tespit sistemlerinin karşılaştırılması Tablo 1 de verilen karşılaştırmaya ek olarak Bai ve Kobayashi tarafından [8], Ağ tabanlı nüfuz tespit sistemleri için saldırganın bıraktığı delilleri değiştirmesinin zor olduğu, konaktaki işletim sisteminden bağımsız olduğu ve konak tabanlı nüfuz tespit sistemlerinin işletim sistemine bağımlı olduğu fakat düzgün uygulandığında yoğun ağ trafiğinde ağ tabanlı sistemler gibi paketleri kaçırmayacağını belirtilmiştir. Konak ve Ağ tabanlı nüfuz tespit sistemlerine ek olarak Hibrit olarak tanımlanan sistemlerde mevcuttur. Bu sistemler konak ve ağ tabanlı sistemlerin karışımı olarak düşünülebilir. Bu türdeki sistemler ise üç ayrı kategoriye bölünür [8]. Bunlar PH-NIDS (Per- Host Network IDS), LB-NIDS (Load Balanced Network IDS), FW-IDS (Firewall IDS). PH- NIDS ağ trafiği konak bazında ve sadece yerel trafiği incelenir. LB-NIDS ağ tabanlı diğer nüfuz tespit sistemlerini kullanarak yük dengelemesi yapar ve bant genişliğini dengeler. FW- IDS ağ tabanlı nüfuz tespit sistemi fonksiyonu bir ateş duvarına ekler. Neredeyse hiç paket kaybı olmaz. Ama ağda yavaşlama görülür. 5

6 2.2. Nüfuz Tespit Tekniğine göre Nüfuz Tespit Sistemleri Bu kısımda, bölüm 2. de belirtilen nüfuz tespit sistemlerinden önemli olan teknikler ve bu teknikleri kullanarak yapılan çalışmalara değinilmiştir Suistimal Tespiti Tekniği Suistimal tespiti tekniğini kullan nüfuz tespit sistemleri bilinen saldırı şablonlarını veya sistemin zayıf noktalarını kullanarak saldırıları eşleştirmeye ve tanımlamaya çalışırlar. Bundan saldırının bir şablon veya bir saldırı imzası ile temsil edilebileceği ve aynı varyasyonda ki saldırıların tespit edilebileceğini söylemek mümkündür. Bu yaklaşımla bilinen nüfuz tipleri yakalanılabilir. Tespit işleminde çeşitli örüntü tanıma teknikleri kullanılabilir. Günümüzdeki sistemlerin çoğunda yaygın olarak kullanılmasına karşın sistemde kayıtlı olmayan yeni nüfuzları tespit edememe gibi çok zayıf bir noktası da mevcuttur. Ayrıca bir nüfuzları ve tüm türevlerini kapsayan bir imzanın bulunması çok zordur. Bulunan imzanın nüfuz olmayan aktiviteleri yanlışlıkla nüfuz olarak göstermemesi gerekmektedir [8,11]. Bunun için her zaman olmasa da önceden bilinen politika ihlali olasılıkları (yada yöntemleri) önce senaryolara dönüştürülür. Senaryolarda belirli bir saldırıya ilişkin olası tüm senaryoların ana eksenini oluşturan bir özet olan saldırı imzalarına indirgenir [12]. Suistimal tespitindeki temel teknikler: uzman sistemler, model tabanlı nüfuz tespiti, durum geçişi temelli, örüntü eşleştirme temelli, tuş basmalarını gözleme olarak sıralanır. Uzman sistemler kural eşleştirme kısmını eylem kısmından ayıran bir şekilde modellenir. Eşleştirme olayların izlerini denetleyerek yapılır. NIDES (The Next Generation Intrusion Detection Expert System) uzman sistem yaklaşımı kullanılarak geliştirilmiş bir nüfuz tespit sistemi örneğidir. Fakat uzman sistem yaklaşımında bazı dezavantajlar mevcuttur. Bu dezavantajların başında uzman sistemlerin bir güvenlik uzmanı tarafından hazırlanması gerekliliği gelir [8]. Model tabanlı nüfuz tespiti yaklaşımında gözlemlenebilir aktivitelerden senaryolar hazırlanır. Bu değişik saldırı senaryolara veritabanına kaydedilir. Eğer ki bu senaryolarda geçen aktivitelerle karşılaşılırsa nüfuz tespiti yapılır. Bu yaklaşımda sistem saldırganın bir sonraki hamlesini senaryoya göre tahmin edebilir. Bu tahmin doğrultusunda da nüfuz hipotezini doğrulayabilir, koruyucu önlemler alabilir veya sıra hangi veriye bakacağını bulabilir. Fakat model tabanlı nüfuz tespiti yaklaşımını kullanan sistemlerde de problemler mevcuttur. Bu problemler nüfuz senaryolarının şablonlarının kolaylıkla tanınması ihtiyacı, şablonlardaki sıraya uygun bir biçimde nüfuzun gerçeklemesi gerekliliği, şablonların nüfuz olmayan işlemleri içermemesi gerekliliği olarak sıralanabilir [11]. Durum geçişi temelli yaklaşımda ise izlenen sistem bir durum geçiş diyagramı (state transition diagram) olarak tanımlanır. Veriler analiz edildikçe sistem bir durumdan diğer duruma geçer. Geçiş işlemi bazı doğru ve yanlış olarak değer alan değişkenlerdeki değerlerin değişmesiyle olur. Bu yaklaşımda başlangıç durumu legal yani nufüz yaşanmamış bir durum olarak kabul edilir. Durum geçiş diyagramları nüfuzun ihtiyaçlarını ve sonuçlarını gösteren bir şekilde de biçimlendirilebilir. Fakat durum geçişi temelli yaklaşımda durum geçiş diyagramı tarafından tasvir edilemeyen bazı nüfuz davranışları tespit edilemez [11]. Örüntü eşleştirme temelli yaklaşım ise konu başında verildiği üzere bilinen saldırı imzalarının yakalanan izleme verileriyle karşılaştırılmasını tanımlamaktadır. Daha önceden söylendiği gibi bu yaklaşımının eksikliği de tanımlanmamış bir nüfuz gerçekleştiğinde sistemin çaresiz kalmasıdır. 6

7 Son olarak tanımlanan tuş basmalarını gözleme yaklaşımında ise kullanıcıların tuş basmaları ve sistemin buna karşılık verdiği tepkiler gözlemlenerek kurallar oluşturulur. Bu kurallar dışındaki aktiviteler tespit edilir. F. Jemili ve diğerleri [6], 2007 de saldırı tanımlamalarını veya imzalarını kullanarak ve suistimal tespiti tekniğinden yararlanarak bir ağ tabanlı nüfuz tespit sistemi oluşturmuştur. Diğer çalışmalardan farklı olarak Bayes ağını kullan uyarlamalı bir nüfuz tespit sistemi oluşturmuştur. Her bağlantı için kırk bir özellik barındıran DARPA KDD 99 veri setindeki ilk dokuz özelliği kullanmıştır (protocol type, service, land, wrong fragment, num_failed_logins, logged_in, root_shell, is_guest_login). Bu özelliklere ek olarak saldırı tipini de eklemiştir. DARPA 99 da 38 değişik saldırı tipi 4 ana kategoride toparlayarak kullanmıştır. Bunlar, legal kullanıcıların bir servise ulaşmasını engelleme (denial of service), saldırganın hesabı olmadan kurban makine erişmeye çalışması (remote to local), saldırganın yerel olarak hedef makineye erişimi olmasına karşın kendini süper kullanıcı yetkilerini kazanmaya çalışması (user to root), saldırganın hedef konak hakkında bilgiye erişmeye çalışması (probe) şeklinde sıralanabilir. Sistem, normal ve nüfuz bağlantı örnekleri verilerek eğitilir. Daha sonra sistem öğrenme setine kayıtlı olmayan bir bağlantı geldiğinde bunun nüfuz veya normal bir bağlantı olduğuna dair eğer düşük olasılık değeri bulursa bunu nüfuz sınıfına ekleyecektir. Böylece nüfuz sınıfını uyarlamalı hale getirmiştir. İkinci aşama da ise sistemin öğrenme setine kayıtlı nüfuzlar dört ayrı sınıfa otomatik olarak sınıflandırılmıştır. Tablo 2 de DARPA 99 test setindeki normal ve nüfuz bağlantılarının tespit başarısı verilmiştir. Tablo 3 de nüfuz tiplerine göre tespit başarısı verilmiştir. Bağlantı Tespit Normal % Nüfuz % Tablo 2: F. Jemili ve diğerlerinin [6], çalışmasında elde ettikleri bağlantı tespiti başarı tablosu Nüfuz tipi Tespit DOS % Probing % R2L % U2R % 6.66 Other % Tablo 3: F. Jemili ve diğerlerinin [6], çalışmasında elde ettikleri nüfuz tipi tespiti başarı tablosu Anormallik Tespiti Tekniği Anormallik tespiti tekniği saptanan normal kullanım şablonlarından sapmalar meydana geldiğinde nüfuz olduğunu tespit eder. Bu teknik sisteme nüfuz durumlarında sistemin çalışma düzeyinin anormal olacağını varsayar. Nüfuz olmadan da saptanan kullanım şablonlarından doğal olarak sapmalar yaşanıldığı zaman bu teknik temelli çalışan nüfuz tespit sistemi yanlış alarm verecektir [8,9]. 18 Eylül 2001 de görülmeye başlayan Nimda isminde bir bilgisayar solucanı, ağ trafiğinde ani yavaşlamalara, servislerin durmasına neden olmuştur. 25 Ocak 2003 de ortaya çıkan Sql Slammer solucanı da internet trafiğinde yavaşlamalara, Microsoft Sql Server gibi veritabanlarında servislerin durmasına neden olarak 10 dakikada kurbana hızlıca yayılma göstermiştir [2]. Her iki saldırı da temel olarak DOS atağı olarak sınıflandırılmasına karşın bu tip saldırıların daha önceden tanımlanan bir imzalarının olmayışı suistimal tespiti tekniğini kullanan çok fazla nüfuz tespit sistemleri tarafından tespit edilememiş ve sistemlere 7

8 kayda değer zararlar vermişlerdir. Yakın tarihleri de ortaya çıkan bu tip saldırılar artan sayıda yeni saldırı metotlarına karşın yeni nesil nüfuz tespit sistemlerinde kullanılmak üzere anormallik tespiti tekniği konusuna olan ilgiyi arttırmıştır. Anormallik tespitinde farklı yaklaşımlar mevcuttur. Bu yaklaşımları; istatistiksel, veri madenciliği, makine öğrenmesi, bağışıklık temelli, yapay sinir ağları temelli olarak çeşitlendirmek mümkündür. İstatistik yaklaşımda seçilen objeler için ilk davranışlar, çalışma mantığı profili oluşturulur. Sistem çalıştıkta mevcut durumun ilk durumdan ne kadar saptığı, kısacası iki profil arasındaki varyans hesaplanır. Bu istatistiksel veri temel alınarak tanımlanan sınırların aşılmasına göre nüfuz tespit edilmeye çalışılır. İstatistiksel yaklaşımı kullanan sistemlerin en önemli özellikleri: kullanıcıların davranışlarını adaptif olarak öğrenmeleri, uzmanlardan daha hassas olmaları olarak sıralanabilir. Fakat seçilen sınır değerine göre yanlış pozitif ve yanlış negatif uyarıların miktarı yükselebilmekte ve bu istatistiksel ölçülerle olaylar arasındaki ilişkiler kaçırılabilmektedir. Yapay sinir ağları temelli yaklaşımlarda ise kullanıcının bir sonraki komutu veya hareketinin tahmin edilmesi için bir yapay sinir ağının eğitilmesi söz konusudur. Eğitim için kullanıcı komutlarını temsil eden bir set kullanılır. Eğitim periyodundan sonra yapay sinir ağı mevcut komutlarla mevcut kullanıcı profilini eşleştirmeye çalışır. Herhangi bir yanlış tahmin edilen olayda kullanıcının tanımlanan profilden ne kadar saptığı ölçülür. Yapay sinir ağları kullanarak gürültü veri ile rahatça başa çıkılabilmekte, istatistiksel yaklaşımlarda ki gibi verinin doğası hakkında varsayımlar yapılmamakta, yeni kullanıcı komiteleri için kolayca değişiklikler yapılabilmektedir. Yapay sinir ağlarındaki en büyük eksiklik ise kendi temelinden kaynaklanan eğitimdir. Eğitim için ne kadar az veya çok örnek seçilirse yanlış pozitif ve yanlış negatif alarmlar artmaktadır. Uzun süren denemeler ve hatalardan sonra yapay sinir ağları yaklaşımını kullanan nüfuz tespit sistemleri etkili olarak kullanılabilmektedir. Veri madenciliği yaklaşımı, nüfuzları tespit etmek için kullanılan kayıtlarındaki, denetleme izlerindeki verinin boyutunun büyüklüğünden ve bunları analiz etmenin çok fazla zaman alıcı bir hale gelmesinden ortaya çıkmıştır. Bilinen saldırılar ve normal davranışlardan bilinmeyen nüfuzları tespit etmek için modeller oluşturulur. Büyük miktardaki denetim/dinleme verisindeki anormallik kalıplarını tespitinde kullanılmaktadırlar. Veri madenciliği yaklaşımını benimseyen nüfuz tespit sistemlerinde tespit keskinliği (detection accuracy), verimlilik (efficiency) ve kullanılabilirlik bazında problemler mevcuttur. Veri madenciliği yaklaşımında geleneksel imza tabanlı yaklaşımlardan daha fazla yanlış pozitif alarmlar gözlemlenmektedir. Bu sistemlerde eğitim ve değerlendirme aşamalarında düşük verimlilik gözlemlenmekte ve bu da sistemin gerçek zamanda çalışması olumsuz etkilemektedir. Ayrıca bu yaklaşımı benimseyen sistemler için çok büyük miktarlarda eğitim verisine ihtiyaç duyulmaktadır. Bağışıklık temelli yaklaşımda ise biyolojiden esinlenilmiştir. Legal ve illegal davranışları birbirinden ayırmayı hedef alan bu sistemlerde davranışlardaki şüpheli değişimlerden, sisteme yapılan nüfuzlar tespit edilmeye çalışılmaktadır. Sistem yeni nüfuz yaklaşımlarını ve sistem güvenlik açıklarını geçmişteki yaşanan olaylardan elde ettiği bilgilerinden yola çıkarak tespit eder yani bir nevi insan bağışıklık sistemi gibi davranır [3,4,9,11]. M.O.Depren ve diğerleri [12] çalışmalarında ağ tabanlı saldırı tespit sistemleri için yapay sinir ağlarını kullanan bir yapı önermişlerdir. Sadece normal bağlantılar için bir matematiksel bir model kurularak, gelen diğer bağlantıların normal davranış modelinden sapmalarına bakılmıştır. Normal davranış modellemesi ve anormallik tespiti için Kohonen tarafından yüksek boyutlu verilerin analizini ve görsel ifade edilmesini sağlayan bir yapay sinir ağı modeli olan SOM (self-organizing map) kullanılmıştır. SOM da öğreticisiz bir öğrenme (unsupervised learning) yapısı mevcuttur. Veri seti olarak yaklaşık 7 milyon bağlantı verisinden oluşan KDDcup99 kullanılmıştır. Her bağlantı, 4 ana başlık altında sınıflandırılabilen 41 özellikle ifade edilir. Bu 4 ana başlık sırasıyla temel TCP özellikleri, 8

9 içerik özellikleri, zaman tabanlı trafik özellikleri, sunucu tabanlı trafik özellikleri olarak sıralanmıştır. Çalışmada KDDcup99 veri setinin sadece %10 luk kısmı kullanılmıştır. Bu kullanılan kısımda 22 adet farklı değişik saldırı tipi ve normal bağlantı verileri mevcuttur. Ayrıca bağlantıyı en temel olarak tespit etmelerinden, gerçek zamanlı bir veri üzerinden rahatlıkla elde edilebilmesinden, daha çok özellik seçilmesiyle işlem yükünün artmasından dolayı 41 özellikten sadece TCP özelliklerine içeren 6 özellik seçilmiştir. Bu özellikler sırasıyla bağlantı süresi, protokol tipi, servis tipi, bağlantı bayrağı, kaynağın gönderdiği veri miktarı, hedef noktasının gönderdiği veri miktarıdır. Her bağlantı bu 6 özellik ile ifade edilmiştir. Trafik kayıtlarını önce bir önişlemciden geçirilerek TCP, UDP ve ICMP kayıtları olarak ayrılır her bir protokol tipindeki kayıt için ayrı SOM tabanlı yapay sinir ağları kullanılır. Özelliklerden kaynağın gönderdiği veri miktarı, hedef noktasının gönderdiği veri miktarı dışında kalan özellikler [0 1] aralığına normalize edilmiştir. Bu kalan iki özellik ise normalize edilince SOM tarafından birbirine yakın değerler gibi algılanmasından ötürü K- ortalama algoritması (K-means) kullanılarak detaylı incelenmiştir. K değeri 6 alınmış ve toplamda bağlantı özellik vektörünün boyutu 16 a çıkmıştır. Nihayetinde SOM yapısı normal bağlantı özellik vektörleri ile eğitildikten sonra sistemin normal davranış modellemesi tamamlanmış olur. SOM haritası üzerinde gelen bağlantının düştüğü bölge ve nicemleme hatası kriterlerine bakılarak sabit eşiklemeli ve değişken eşiklemeli yöntemler kullanılarak bağlantı tipi belirlenmiştir. Tablo 4 te bu çalışmanın nüfuz tespit sonuçları verilmiştir. Dikkatli incelendiğinde anormallik tespitinin en büyük dezavantajı olan yanlış alarm oranının düşük seviyelere indirgendiği görülmektedir. Protokol tipi Toplam bağlantı sayısı Normal bağlantı sayısı Nüfuz bağlantı sayısı Toplam yanlış sezim oranı Toplam doğru sezim oranı Yanlış alarm oranı Nüfuz kaçırma oranı TCP % 1.78 % % 1.02 % 2.83 UDP % 0.81 % % 0.29 % 3.72 ICMP % 1.07 % % 0.33 % 1.07 Toplam % 1.44 % % 0.96 % 1.71 Tablo 4: M.O.Depren ve diğerleri [12] SOM yapısı kullanarak anormallik tespiti yapan çalışmalarında elde ettikleri sonuçlar. J. Zhan [13] çalışmasında veri madenciliği yaklaşımını benimsemiş anormallik tespiti tekniğini kullanan bir nüfuz tespit sistemi önermiştir. Bu çalışmanın güzel bir yanı ise veri madenciliği yaklaşımını çok güzel bir şekilde özetlemesidir. Yazar, veri madenciliğinin, değişkenler arasındaki uyumlu kalıpların ve/veya sistematik ilişkilerin bulunması için bunları barındıran verinin dikkatle incelenmesi ve daha sonra da bulunanların yeni bir veri kümesinde tespit edilmiş kalıpların uygulanmasıyla onaylanması için tasarlanmış bir analitik işlem olduğunu belirtmekle beraber veri madenciliğinin nihai amacının tahmin olduğunu söylemiştir. Şekil 1 de nüfuz tespit sistemleri temelli veri madenciliği işleminin basamakları verilmiştir. Şekil 1 incelenirse öncelikle nüfuz tespitinin veri madenciliği işlemi, bütün ağ verisini toplar ve korelasyon analizi ile birlikte sıra analizi algoritmalarını uygular. Daha sonra ilişki ve sıra kurallarını bulur ve normal davranış kalıbını oluşturur. Normal davranış kalıbı kullanılarak ağ bağlantılarını filtreler ve saf nüfuz verilerine ulaşır. Son olarak da elde ettiği veriler ışığında sınıflandırma işlemini tamamlar. Veri madenciliği temelli nüfuz tespit sistemlerindeki ana bileşenler: veri algılayıcı modül (data sensor module), veri ön işleme modülü (data preprocessing module), veritabanı modülü (database module), veri madenciliği ve kural tanımlama, kural kütüphanesi, tespit motoru, karar verme merkezi v.b. şeklinde sıralanabilir. Veri madenciliği temelli nüfuz tespit sisteminin yapısı Şekil 2 de gösterilmiştir. 9

10 Şekil 1: Nüfuz tespitinin veri madenciliği [13]. Şekil 2: Veri madenciliği temelli nüfuz tespit sistemi [13] İyi Bir Nüfuz Tespit Sisteminden Beklentiler Daha önceki bölümlerde de belirtildiği üzere nüfuz tespiti sistemlerinin kalitesi çoğunlukla etkililik (effectiveness), uyarlanılabilirlik (adaptability), genişletilebilirlik (extensibility) özelliklerine göre değerlendirilir. Bu parametreler ana ihtiyaçları dışında iyi ve kaliteli bir nüfuz tespit sisteminden beklentiler aşağıdaki gibi sıralanabilir: Nüfuz tespit oranlarının çok yüksek seviyelerde olması, Yüksek hızda çalışabilmesi, gerçek zamanlı uygulamalarda kullanılabilmesi, Büyük miktarda dinleme verisini en etkili bir şekilde izleyerek tüm olayları gözleyebilmesi, Çalıştığı sistemde işlemci, bellek, dosya ve ağ işlemleri bazında kaynak kullanımının minimum düzeyde olması, Herhangi bir nüfuzla karşılaştığında, anında alarm vererek güvenlik analistini uyarması, Kendisine gelebilecek nüfuzlara karşı dayanıklı olabilmesi, Kolay kurulması ve ölçeklenebilir olması, Ağ trafiğindeki yoğunluk ne kadar yüksek olursa olsun ağ paketlerini incelemeden kaybedilmemesi, Kendi iç mekanizmasında hataya ve/veya açıklara neden olmayan bir yapıya tasarlanmış olması, Sistemin saldırgan tarafından yapılabilecek aldatmalara karşı çok dayanıklı olması. 10

11 2.4. Nüfuz Tespit Sistemlerinin Eksiklikleri ve Sorunları Bu bölümde nüfuz tespit sistemlerinin eksiklikleri ve sorunlarına örnekler verilerek bazı alt başlıklar daha detaylı incelenerek yorumlanmaya çalışılmıştır.genel olarak ağ tabanlı ve konak tabanlı sistemlerde ağların büyümesiyle incelenmesi gereken verinin artmasından dolayı verimlilik düşmektedir. Nüfuz tespit sistemlerindeki bir diğer eksiklik ise her ne kadar çevrimdışı olarak yapılan çalışmalarda tatmin edici sonuçlar elde edilmesine karşın- yanlış alarmların çokluğudur. Nüfuz tespit sistemleri içindeki bilgi akışı genellikle bir hiyerarşik yapı kullanmasından ötürü bu yapıdaki basamaklardan birindeki elemana yapılacak saldırı sistemi etkileyecektir. Genellikle yanlış yere konumlandırmadan kaynaklanan nüfuza açık olma durumu vardır. Önceki bölümlerde anlatıldığı gibi çok farklı yaklaşımların mevcut bulunduğu nüfuz tespit sistemleri için sonuç olarak en iyi yöntemin ne olduğuna tam karar verilememesi tam bir tasarım yapısını ortaya koymakta problemler yaratmaktadır. Herhangi bir tekniği kullanan nüfuz tespit sisteminin güncelleştirilmesi çok karmaşık ve zaman alıcı bir süreç oluşturabilmektedir. En basit olarak imza kurallarını güncellemek için bile imza oluşturmak için kullanılan özel dilin bilinmesi gereklidir. Nüfuz tespit sistemleri genellikle çalıştıkları sisteme, işletim sistemine, programlama platformuna bağımlı olduklarından değişik ortamlara taşınabilirliği, yeni kısımların eklenilmesi zordur. Günden güne nüfuz türlerinin çoğalması ve çeşitlenmesi, ağda gezen dinlenecek verilerin şifreli olması gibi problemlerde nüfuz tespit sistemleri acısından sorunlar yaratmaktadır. Nüfuz tespit sistemleri herhangi bir nüfuzu tespit ettiğinde alarm vermektedir. Bu alarmda nüfuz tipi, hedef port, ip adresi gibi bilgilerle alarmın uygunluğunu ve saldırı sonucunda oluşabileceklerin kararını güvenlik analistine bırakmaktadır. Güvenlik analisti hedef bilgisayar, bağlantı hakkında detaylı bilgiye sahip olmadan bu alarmın doğru mu yanlış mı olduğuna karar verirken çok zor durumda kalacaktır. Saldırgan nüfuz tespit sistemlerine yakalanmamak için çeşitli yöntemler kullanabilir. Saldırgan nüfuz tespit sistemlerinin hedef sistemlerindeki paketlerden farklı paketleri incelemesini sağlayabilir. Bu saldırı başarılı olabilmektedir. Zira nüfuz tespit sistemleri farklı bir işletim sisteminde veya farklı bir ağda durabilmektedir. Saldırgan nüfuz tespit sistemi aşırı yük altında bırakabilir. Böylece nüfuz tespit sistemi aşırı yükten oluşan alarm telaşı içinde nüfuz paketlerini düşürebilir veya incelemeden kaçırabilir.üçüncü olarak ise saldırgan saldırısını, nüfuz tespit sistemi ve hedef uygulamadaki farklılıklardan dolayı, değiştirebilir ve yeniden uyarlabilir. Örneğin basitçe / yerine 0x2f olarak 16 tabanda aynı anlama gelen bir biçim kullanabilir [9]. Chaboya ve diğerleri 2006 da yapmış oldukları çalışmalarında [9] nüfuz tespit sistemlerinin gelecekte karşılaşabileceği zorlukları : Yüksek hızda dinleme teknolojisinin eksikliği, IP v6 protokol yığının kullanma eksikliği, Kablosuz ağlardaki nüfuz tespit sistemi ihtiyacı, Nüfuz tespit sistemlerine saldırılar, Gerçek zamanlı tespit, Nüfuz tespit sistemler için benchmark eksikliği, olarak sıralamıştırlar. Ayrıca gelecekteki nüfuz tespit sistemleri için: Eş zamanlı, dağıtık nüfuz tespit tekniklerinin geliştirilmesi, Karmaşık saldırı kalıplarının tanımlanması, Nüfuz durumlarına karşı otomatik engelleme/önleme teknikleri, Hızlı tepki teknikleri, Aktif savunma teknikleri, konularının ön plana çıkacağını belirtmişlerdir. 11

12 2.5. Gelişmiş Mobil Cihazlardaki Nüfuz Tespit Sistemleri Akıllı telefonlar gibi gelişmiş mobil haberleşme cihazlarındaki artma dikkate değerdir. Gelişmiş cihazlar (örneğin i-phone, pda) artık bir haberleşme aracı olmaktan çıkmış ve işlem gücü, veri saklama kapasiteleriyle dikkat çeken cihazlar olmaya başlamışlardır. Bu mobil cihazların işlem ve veri saklama kapasiteleri geliştikçe özel, iş v.b. gibi verilerin bu cihazlar aracılığıyla yaratılması, işlenmesi ve saklanmasının daha yaygınlaşacağı rahatlıkla anlaşılabilmektedir. Kullanım alanlarının ve kullanıcı sayısının artmasıyla bu cihazlarda şu an için en temelde var olan şifreleme, veri yedekleme, kimlik doğrulama, işlenen ve saklanan verinin bütünlüğünün korunması gibi güvenlik mekanizmalarında yeterli gelmeyecektir. M. Miettinen ve P. Halonen [14] gelişmiş mobil haberleşme cihazlarında mevcut güvenlik mekanizmalarının ileride yeterli olmayacağından yola çıkarak gelişmiş mobil cihazlar için konuk tabanlı nüfuz tespiti yapan bir yapı oluşturmuşlardır. Yazarlar, bu cihazlar için tehdit modellerini kötü niyetli yazılımlar, nüfuzlar ve cihazın çalınması olarak tanımlamışlardır. Kötü niyetli yazılımlar (malicious software) ile karşılaşılabilecek problemler işlemci, bellek ve giriş/çıkış kaynakların aşırı kullanılmasını, cihazda saklanan verinin yok edilmesini veya değiştirilmesini, istenmeyen haberleşmenin başlatılmasının, yetkisiz kişilere cihazda saklanan verinin ifşa edilmesini olarak sıralamışlardır. Bu tip yazılımlara Cabir solucanı ve Skulls truva atı örnek verilmiştir. Cihazlardaki olası program, işletim sistemi v.b. gibi elemanlarda bulunabilecek güvenlik açıklıkları, eksiklikleri ve hataların nüfuzlar için kapı açtığı belirtilmiştir. Nüfuzun başarılı bir şekilde gerçekleştirilmesi sonucunda ise cihazın kontrolünün kısmen veya tamamen saldırganın eline geçebileceği, cihazda saklanılan özel bilgilerin çalınabileceği gibi ciddi sonuçlar doğurabileceğine dikkat çekmişlerdir. Cihazın çalınması durumunda ise -günümüzde telefon operatörleri tarafından sağlanan bir hizmet olan- cihazın haberleşmesinin gerçek sahibi tarafından bloke edilebileceği belirtilmesin karşın saldırganın cihazda saklanan verilere erişebileceği vurgulanmıştır. Yapılan çalışma kapsamında mobil cihazlarda izlenecek veriler üç ayrı sınıfta toplanmıştır. İlk sınıf olarak işletim sistemi olayları gösterilerek buna örnek olarak: sistem çağrıları, bir işlemin yaratılıp sonlandırılması, dosya operasyonları, soket yaratma yada silme, veri paketi alıp gönderme verilmiştir. İkinci sınıf olarak ölçümler gösterilerek buna örnek olarak: işlemci ve bellek kullanımı oranı, dosya giriş/çıkış işlemlerinin yoğunluğu verilmiştir. Üçüncü ve son sınıf olarak uygulama seviyesindeki olaylar gösterilerek buna örnek olarak: kullanıcı tarafından uygulamanın başlatılması ve sonlandırılması, uygulama bazında mesaj alıp gönderme gibi haberleşme olayları, uygulama bazında dosya indirme/gönderme verilmiştir. Araştırmacılar son olarak gelişmiş mobil cihazlarda kullanılmak üzere tasarlanılan konak tabanlı ve ağ tabanlı veri toplama tekniklerini kullanan bir nüfuz tespit sistemi yapısı önermişlerdir. Şekil 3 de bu yapı verilmiştir. Mobil cihazdaki veri toplama modülü aracılığıyla toplanan veriler nüfuz tespit sistemi modülüne iletilmekte ve mobil cihazın kısıtlı işlem gücü ve belleğinden ötürü sadece bazı önemli nüfuzların cihaz üzerinde tespit edilmesi durumunda alarm verilmekte diğer durumlarda ise cihaz üzerinde elde edilen veri nüfuz tespit sistemi sunucusuna iletilmektedir. Bu sunucu ağ cihazlarından aldığı (örneğin arama kayıtları) verileri ve konak cihazdan gelen verileri korelasyon motoru ve ilgili nüfuz tespit tekniği kullanılarak herhangi bir nüfuz durumunda sunucu başındaki operatöre ve cihaz sahibine alarm vermektedir. 12

13 Şekil 3: M. Miettinen ve P. Halonen [14] tarafından geliştirilen gelişmiş mobil cihazlar için nüfuz tespit sistemi yapısı 3. Sonuç Bu çalışmada nüfuz tespit sistemleri incelenmiştir. Çok farklı yaklaşımlarla şekillenen bu sistemler konusunda tam olarak en etkili yaklaşım seçilememekle beraber her birinin avantajları ve dezavantajları okuyucunun bilgisine sunulmuştur. Saldırı imzası tabanlı sistemlerde imzaların günden güne ilerlemesinden dolayı ileride işlem zaman bakımından artmalar ve bu tarz sistemlerde yavaşlamaların gözlenmesi kaçınılmaz olacağı ve bu konuda yapılacak yeni araştırmalarla bu eksiklik giderilebileceği söylenilebilir. Gerçek-zamanda daha verimli imza tabanlı nüfuz tespit sistemlerini geliştirilebilir. Yapay zeka, makine öğrenmesi, veri madenciliği yaklaşımı benimseyen nüfuz tespit sistemleri günümüzde yoğun olarak karşımıza çıkmaktadır. İncelen makalelerden anlaşıldığı üzere araştırmacılar, sınıflandırıcıların üzerinde yoğunlaşmışlardır. Ayrıca çevrimdışı olarak çalıştırılan nüfuz tespit sistemleri gerçek zamanda nasıl bir performans sergileyeceği konusunda sıkıntılar mevcuttur. Bunun için önerilen bir yol ise -genellikle şekil tanıma ve türevi uygulamalarda kullanılan bir yöntem olan- incelenecek olan veriden sadece önemli özelliklerin seçilmesiyle, özellik sayısının azaltılmasıyla daha hızlı ve daha yüksek tespit oranlarına sahip gerçek zamanlı nüfuz tespit sistemleri yaratılabileceği söylenilebilir. Ayrıca çeşitli fusion yaklaşımları kullanılarak en basit anlamda değişik kategorilerdeki metotlar birleştirilerek daha başarılı nüfuz tespit sistemleri yaratılabilir. İncelenen çalışmalardan çıkartılan bir başka sonuçta güncel denetim veri setlerine olan ihtiyaçtır. Yapılan çalışmalarda kullanılan veri setleri genellikle çok çeşitli ve güncel değildir. Bunun için kişisel gizlilikte göz önünde bulundurularak miktar bakımından da çeşitlendirilmiş veri setlerinin yaratılması gerekliliği söylenilebilir. Trafik verisi yaratan yöntemler daha da geliştirilerek literatürde sunulan nüfuz tespit sistemlerinin gerçek zamandaki başarılarının gözlemlenmesi, bizlere bu sistemler hakkında daha detaylı yorum yapma şansı tanıyacağına inanmaktayım. Bu çalışmada çok fazla değinilmese de yüksek bir trend yakalayan kablosuz ağlar ve kablosuz algılayıcı ağlarında da nüfuz tespit sistemlerinin kullanımı konusunda çeşitli çalışmalar mevcuttur. Bu konudaki çalışmalar daha yeni filizlenmeye başladığından araştırmacılar için geniş bir alan olabilir. Son olarak nüfuz tespit sistemi konusunun çok geniş olduğu ve çok fazla çalışmanın yapıldığı bir alan olduğunu tekrar ederek bu çalışma da özel olarak değindiğim gelişmiş mobil cihazlardaki nüfuz tespit sistemi ihtiyacının önümüzdeki seneler de daha da ön plana çıkacağını öne sürerek ilgi duyan araştırmacıları bu konuda çalışmaya başlamaları önerilebilir. 13

14 Kaynaklar 1- Dr Rhodri M. Davies, Firewalls, Intrusion Detection Systems and Vulnerability Assessment: A Superior Conjunction?, Network Security, Volume 2002, Issue 9, pp 8-11, http//en.wikipedia.org/wiki, 23 Mayıs W. Yang, W. Wan, L. Guo ve L.J. Zhang, An Efficient Intrusion Detection Model Based on Fast Inductive Learning, Internation Conference on Machine Learning and Cybernetics, Volume 6, pp , D. Xuetao, J. Chunfu ve Y. Fu, A Typical Set Method of Intrusion Detection Technology Base on Computer Audit Data, International Conference on Computational Intelligence and Security, pp , J. Pikoulas, W. Buchanan, M. Mannion ve K. Triantafyllopoulos, An Intelligent Agent Security Intrusion System, 9th Annual IEEE International Conference and Workshop on the Engineering of Computer-Based Systems, pp 94-99, F. Jemili, M. Zaghdoud ve M. Ben Ahmed, A Framework for an Adaptive Intrusion Detection System using Bayesian Network, IEEE Intelligence and Security Informatics, pp 66-70, B. Pahlevanzadeh ve A. Samsudin, Distributed Hierarchical IDS for MANET over AODV+, IEEE International Conference on Telecommunications and Malaysia International Conference on Communications (ICT-MICC 2007), pp , Y. Bai ve H. Kobayashi, Intrusion Detection Systems: Technology and Development, 17th Internation Conference on Advanced Information Networking Applications (AINA 2003), pp , David J. Chaboya, Richard A. Raines, Rusty O. Baldwin, Barry E. Mullins, Network Intrusion Detection: Automated and Manual Methods Prone to Attack and Evasion, IEEE Security and Privacy, Volume 4, No 6, pp 36-43, M. Silva, D. Lopes ve Z. Abdelouahab, A Remote IDS Based on Multi-Agent Systems, Web Services and MDA, International Conference on Software Engineering Advances, pp 64-70, Di He ve H. Leung, Network Intrusion Detection Using CFAR Abrupt-Change Detectors, IEEE Transactions on Instrumentation and Measurement, Volume 57, Issue 3, pp , M.O. Depren, M. Topallar, E. Anarım ve K. Cılız, SOM Yapısı Kullanarak Ağ Tabanlı Olağandışılık Tespiti, IEEE 12. Sinyal İşleme ve İletişim Uygulamaları Kurultayı (SIU 2004), Kuşadası, Türkiye, J. Zhan, Intrusion Detection System Based on Data Mining, Workshop on Knowledge Discovery and Data Mining, pp , M. Miettinen, P. Halonen, Host-Based Intrusion Detection for Advanced Mobile Devices, 20th International Conference on Advanced Information Networking and Applications (AINA), Volume 2, Issue 18-20, pp 72-76,