Akış Çzges Tabanlı Sızma Tahmn Yöntem (Intruson Predcton Method Based on Flow Graph) Öznur Erdur-Sever GYTE Blgsayar Mühendslğ Bölümü oznurerdursever@gmal.com İbrahm Soğukpınar GYTE Blgsayar Mühendslğ Bölümü spnar@blmuh.gyte.edu.tr Özetçe Blg Teknolojlernn gelşm le brlkte sstem ve ssteme dahl olan varlıkların çnde bulunduğu tehdtler artmaktadır. Bu sebeple blg güvenlğnn sağlanması daha da önem kazanmaktadır. Günümüzde tasarlanan blg sstemlernn altyapısı genellkle blgsayar ağlarına dayanmaktadır ve bu da blg sstemlern saldırılara daha açık hale getrmektedr. Ağ güvenlğnn sağlanmasında Sızma Tespt Sstemler (Intruson Detecton Systems, IDS) öneml br araçtır. Sızma Tespt Sstemnde uygulanan teknkler le saldırılar, ancak kısmen ya da tamamen gerçekleştkten sonra saptanablmektedr; buna bağlı olarak saldırının kontrol altında tutulması ya da durdurulması zor olmaktadır. Bu nedenle yen gelştrlecek olan IDS sstemlerne saldırıyı tahmn etme özellğ dahl edlmeldr. Bu çalışmada Blgsayar ağlarına olan sızmaların önceden tahmn edlmesne yönelk br yöntem önersnde bulunulmuştur. Önerlen yöntem test edlerek sonuçlar verlmştr. Anahtar Sözcükler: Sızma Tahmn Sstemler, Graa Dayalı Sızma Tahmn, İçerk Tabanlı İmza Çıkartılması, Hbrt İmza Tanımlaması Abstract Along wth the mprovement o Inormaton Technologes, the threat; that the system and the ncluded enttes are n, has been ncreasng. Thereore ensurng normaton securty gans more mportance. The nrastructure o the normaton systems desgned lately, s generally bult upon computer networks; whch makes normaton systems more prone to attacks. Intruson Detecton Systems are mportant tools n provdng network securty. The attacks n Intruson Detecton Systems (IDS) can only be detected ater they occur partally or ully. And because o ths, takng attacks under control or ceasng them s dcult. For ths reason, attack predcton eature should be ncluded to the new IDS systems to be desgned. In ths research; a method to predct ntrusons through computer networks s suggested. Expermental results has been presented ater testng the method. Key words: Intruson Predcton Systems, Graph Based Intruson Predcton, Content Based Sgnature Generaton, Hbrt Sgnature Denton 1. Grş Blg Teknolojlernde tasarlanan sstemler zamanla daha çok letşme htyaç duymaktadır; bu nedenle blgsayar ağlarının sstem tasarımında kullanımı artmış ve buna bağlı olarak ağ güvenlğ öneml br konu halne gelmştr. Blgsayar ağlarında; ağdak ver paketlernn dnlenmes, hzmet dışı bırakma saldırıları, parola saldırıları, yazılımdak zayılıkların kötüye kullanılması, zararlı kodlar, vrüsler, truva atları ve solucanlar gb unsurlar güvenlk çn tehdt olarak örnek verleblr.
Blgsayar ağlarında tehdtlere karşı ağ güvenlğn sağlamada kullanılan yöntemler özetle şöyle sınılandırılablr: Ant Vrüs Yazılımları; blgsayar vrüslernn ssteme yerleşmesn önlemek ya da ssteme yerleşmş vrüsler ortadan kaldırmak çn kullanılan yazılımlardır. Güvenlk Duvarları; blgsayarları ve blgsayar ağlarını dışarıdan geleblecek tehdtlere karşı ltrelemeye benzer br yöntemle koruyan sstemlerdr. Ver Şreleme; verlern gönderc le alıcı harcnde başka kşler taraından anlaşılmasını önlemek amacıyla bell kurallar dahlnde değştrlmesdr. Sızma Tespt Sstemler; blgsayar sstemlernde gerçekleşen olayları zleyerek güvenlk sorunu olmaları açısından değerlendrmektr. Br sorunla karşılaştıkları zaman çeştl alarmlar üreteblrler ya da saldırıyı önlemek çn ağın şleyşnde değşklkler yapablrler. Bu yöntemler atakları gerçekleştkten sonra tespt edeblmektedrler ve atakları gerçek zamanlı olarak engellemey zorlaştırmaktadırlar. Bu nedenle, ssteme öneml br hasar verlmeden uygun br cevap verleblmes ve amacın tpn tahmn etme özellğne sahp proakt sstemler tasarlanmalıdır. Bu da Sızma Tahmn Sstem tasarımı ve çalışmalarının yapılmasını gerekl hale getrmştr. Böylece saldırgan, hedeledğ amacına ulaşmadan tespt edlerek önlem alınması sağlanmış olacaktır. Bu çalışmada, akış tabanlı olarak sızma tahmn çn br yöntem önerlmştr. Önerlen yöntem KDDCup99 verler üzernde sınanarak elde edlen sonuçlar benzer yöntem önersnde bulunan k çalışma le karşılaştırılmıştır. [14][15] Makalenn sonrak bölümler aşağıdak şeklde organze edlmştr. Bölüm 2 de Sızma tahmn sstemler açıklanmıştır. Önerlen yöntem Bölüm 3 de verlmştr. Deneysel sonuçlar ve karşılaştırmalar Bölüm 4 de verlmştr. Sonuç ve önerler son bölümde açıklanmıştır. 2. Sızma Tahmn Sstemler ve İlgl Çalışmalar Sızma Tahmn Sstemler, blgsayar ağlarında saldırılar henüz gerçekleşmeden uyarı vermeye yönelk tasarlanan sstemlerdr. Ssteme gerçek br hasar vermeden saldırıyı önceden tahmn etmek çn bağlantı kayıtlarını, sstem çağrılarını ya da transer edlen ağ paketlern gözlemlemek ve değerlendrmek gb yöntemler kullanırlar. Ağ trağ gözlemlenerek veya sstem analz edlerek elde edlen verler statstk, yapay snr ağları ve ver tabanı sınılandırma gb teknkler kullanılarak değerlendrlr ve kullanıcıların amaçları ve planlanan br saldırı olma htmal belrlenmeye çalışılmaktadır. L Feng ve arkadaşları yaptıkları çalışmada; br dz sstem çağrısının amacının normal erşm ya da saldırı amaçlı olduğunu anlamaya yönelk br Dnamk Bayes Ağ yaklaşımı gelştrmşlerdr. Bu şeklde sızma tehlkesn önceden tahmn ederek uyarılar verlmesn ya da saldıyı engellemek çn önlemler alınmasını sağlamaya çalışmaktadırlar. [1][2] Kjetl Haslum ve arkadaşları yaptıkları çalışmalarda dağıtık br Sızma Tahmn ve Önleme sstem tasarlamışlardır. Bu sstemde ağ üzerndek değşk noktalardak Sızma Tespt Sstemlernden ednlen blgler merkez br sstemde Saklı Markov Model kullanarak değerlendrerek sızmayı tahmn etmektedrler. [3] Daha sonra bu çalışmalarına rsk değerlendrme özellğ kazandırarak daha akıllı hale getrmşlerdr ve sstemlernde perormans yleştrmelernde bulunmuşlardır. [4][5] Zhang Zhengdao ve arkadaşları se çalışmalarında Saklı Yarı-Markov Model kullanarak sstem çağrılarını değerlendrmşler ve ağ üzernde sızma tahmnnde bulunmuşlardır. [6]
Lao Cheng-Bn çalışmasında anahtarlardan geçen ağ paketlernn özellklern çıkartmış ve bunları önceden belrlenmş br ağ paketler özellkler kümesnde ver madenclğ sınılandırma yöntemn kullanmıştır. Bu şeklde oluşablecek saldırıları tahmn etmştr. [7] Zh-tang L ve arkadaşları çalışmalarında ver madenclğ teknğn kullanarak gerçekleşen saldırıları derecelendrrken ardından sızma gelme htmaln hesaplanmaktadır. [8] Br başka çalışmalarında se yne ver madenclğ teknğn kullanarak gerçekleşmş olan saldırılardan br saldırı grağ oluşturulur ve bu grağe göre saldırıyı gerçekleştrenn saldırı planını hesaplamaya ve br sonrak saldırısı tahmn etmeye çalışılmaktadır. [9] 3. Akış Çzges Tabanlı Sızma Tahmn Yöntem Bu çalışmada, daha önce polmork solucan tespt çn önerlen CCM (Conjuncton o Combnatonal Mots) metodunun uyarlanması le blgsayar sstemlerne sızma tahmnnde kullanılacak yen br yöntem tasarlanmıştır. [10] CCM, yönlü kenarlar ve bağımsız düğümlern brleşmne dayanan yen br hbrt polmork solucan tespt mza şeması ve gra tabanlı hbrt mza sınılarının uygulamasıdır. Düğüm çıkartılması, önerlen CCM yöntemnn lk aşamasıdır. Önerlen düğüm skoru hesaplama yöntemn kullanarak düğümler, güçlü ve zayı olarak ayrılmaktadır. Güçlü düğümler, CCM mza kümesnn doğrudan elemanı olarak kullanılmaktadır. Güçlü düğümler, keşedlmş polmork solucan akış çzgesnden çıkartılır. Kalan akış çzges, zayı düğümler çerr ve bu zayı düğümler güçlü kenarları bulmak çn analz edlr. Sonuç olarak, elde edlen mza kümes güçlü düğümlern ve güçlü yönlü kenarların brleşm olarak tanımlanır ve polmork solucanların tesptnde kullanılır.[10] 3.1 İçerk Tabanlı İmza Yapıları İçerk tabanlı mza yapıları; Düğüm Tabanlı İmzalar, Kenar Tabanlı İmzalar ve Hbrt İmzalar olarak sınılandırılablr. Düğüm Tabanlı İmzalar; Sızma tahmn çn düğümlerden aydalanır. Tahmn yöntemnde keşedlmş düğümlern tamamı kullanılableceğ gb keşedlmş düğümlern br alt kümes de kullanılablr. Kenar Tabanlı İmzalar; br sızma tahmn mekanzması tanımlamak çn kenarlardan aydalanır. Kenar, k düğümün yönsüz brleşm ya da k düğümün yönlü dzlm olarak tanımlanır. Yöntem, kenar kümes E nn kenarlarının tamamını kullanılableceğ gb kenarlarının br alt kümesn de kullanılablr. Hbrt İmzalar; br sızma tahmn mekanzması tanımlamak çn düğümlerden ve kenarlardan aydalanır. Önerlen sızma tahmn yöntemnde; CCM çalışmasında tanımlanan mza çıkarma metodu uyarlanarak ağ kayıtları analz edlmekte ve çerk tabanlı hbrt mzalar çıkartılmaktadır. 3.2 Genel Tanımlar ve Notasyon Düğüm kümes V : V, n 1 olmak üzere n düğümden oluşan ve her düğümün şüphel akış havuzundak sızma kopyalarının belrl br bölümünde yer alan br ortak kayıt katarını temsl ettğ br küme olsun. V = {v 1, v 2,..., v n } Kenar kümes E : E, her kenarın VxV kümesndek sıralı br düğüm klsn temsl ettğ, n 2 kenardan oluşan br küme olsun çn e j = (v, v j ) ve 1, j n ken, E=VxV={e j }., j
Akış çzges X : X, keşedlmş düğümler v ϵ V cnsnden br akış çzges olsun. X; 1 m ve x ϵ V olmak üzere m düğümden oluşur. X te hçbr v ϵ V düğümü yoksa X=Ø dr. X, br komşu düğümler lstes, komşu kenarlar kümes veya yönlü çzge olarak ade edleblr. Sızma akış çzges W : W, keşedlmş düğümler v ϵ V cnsnden br sızma çzges olsun. W; 1 n p olmak üzere p düğümden (w ) oluşur ve 1 p olmak üzere çn w ϵv dr. W, br komşu düğümler lstes, komşu kenarlar kümes veya yönlü çzge olarak ade edleblr. w 1 Şekl- 1 Sızma akış çzges Düğüm skor onksyonu V ( V ) R : v :, (1) V düğüm kümes V üzernde her v ϵ V çn düğüm skorunu hesaplayan br onksyon olsun ve V düğüm skorlarının oluşturduğu küme olsun. Kenar skor onksyonu, E ( E ) R : e : j j E, (2) kenar kümes E üzernde her e j ϵe çn kenar skorunu hesaplayan br onksyon olsun ve E kenar skorlarının oluşturduğu küme olsun. Akış skor onksyonu, X w 2 ( X ) R : X : w 3 (v 1 ) (v 3 ) (v 4 ) (v 1 ) (v 2 ) X, (3) akış çzges X üzernde akış skorunu hesaplayan br onksyon olsun. w 4 w 5 İmzaların üretlmesnde k çeşt havuz kullanılmaktadır. Bunları Normal Akış Havuzu ve Şüphel Akış Havuzu olarak adlandırılır. Normal Akış Havuzu, sızma çermeyen trak akışları çn tanımlanmaktadır. Sızma çeren akış havuzlar se Şüphel Akış Havuzu olarak tanımlanmaktadır. 3.3 Düğümlern Tanımlanması Önerlen sızma tahmn yöntemnde düğümler, atak akışlarında görülen en uzun ortak bağlantı kayıtları katarıdır. Düğümler çıkartılırken blgsayar ağındak bağlantı kayıtları analz edlr. Atak akış havuzundak n atak akışı örneğnden en az K tanesnde yer alan, en az α en azla β uzunluğundak atomk alt bağlantı kayıt katarlarından her brs br düğüm olarak belrlenr. 3.4 Düğüm Skorlarının Hesaplanması Düğüm kümes V ve Sızma akış kümes I, oluşturulduktan sonra her düğüm v V çn şüphel veya normal akışta görünme olasılıklarına göre skorlar hesaplanır. Bu olasılıklar Bayes kuralı kullanılarak hesaplanır. ' L( v ) = true' notasyonu düğümün sızma akışında olma durumunun; ' L( v ) = alse' notasyonu se düğümün normal akışta olma durumunun gösterm çn kullanılmaktadır. Br düğüm v nn sızma akışında olma olasılığı P [ L( v ) = true v ], normal akışta olma olasılığı P L v = alse olur. [ ( ) ] v Başlangıçta br düğümün sızma akışı ve normal akış elemanı olması olasılıkları eşt kabul edlmektedr, P L v = true v = P L v = alse v [ ( ) ] ( ) [ ] Düğüm kümes V ve Akış kümes X analz edlerek her düğüm v çn sızma akışı ve normal akışta görünme olasılıkları oranı hesaplanır. Bu hesaplama (4) dek gb olur.
V = P L = [ ( v ) = true v ] ( v ) alse v P L ',(4) [ ] Elde edlen sayılar çok büyük olacağından bu oranın logartmk değer kullanılacaktır. Bu nedenle düğüm skor onksyonu (5) dek denklem le V tanımlanmaktadır: V V : v ( v ) = ( V ) ( V ) R, P v = log P v ( L( v ) = true) ( L v = alse) ( ), (5) Sızma akışında daha sık, normal akışta daha az görünen düğümler k akışta da ortak olanlara göre daha yüksek skorlara sahptrler. Bu düğümler güçlü düğümler, dğerler se zayı düğümler olarak tanımlanırlar. Güçlü düğümlern çersnde görüldükler akışların sızma akışı olması htmal daha azladır. Bu nedenle, skorları hesaplanan düğümler, Güçlü ve Zayı olarak k kümeye ayrılmaktadır. Güçlü düğümler V strong kümesn, Zayı düğümler se V weak kümesn oluşturmaktadır. P cluster_v prosedürü, V onksyonunu kullanarak kenar skorlarının hesaplanmasını ve k-means clusterng algortmasını kullanarak V strong ve V weak kümelern oluşturulmasını sağlar. 3.5 Kenar Skorlarının Hesaplanması V strong kümesnn çıkartılmasından sonra br sonrak adım E strong yönlü kenar kümesnn belrlenmesdr. E strong sızma akışı graı I dak güçlü kenarlardan oluşur. Br zayı ve br güçlü düğüm veya k güçlü düğüm çeren kenarlar genellkle güçlüdür çünkü güçlü düğümün kends şüphel akış havuzunda daha sık görülürken, normal akış havuzunda daha seyrek görülmektedr. Bu tür güçlü kenarlar göz ardı edlr ve güçlü düğümler mza kümesnde tek başına kullanılır. İmza kümesndek güçlü kenarlar yalnızca V weak kümesndek zayı düğümler çerrler. V strong kümesndek güçlü düğümler sızma akışı graı W dan slnrler ve akış graı yönlü ve devrsz hale getrlr bu yen akış graına W weak adı verlr. Bu grada her düğüm W tüm dğer düğümlere W j, j> olacak şeklde bağlıdır. W weak, E strong kümesn çıkarmak üzere ncelenr. E strong, W weak n kenar kümesnn alt kümesdr ve mza kümesnn güçlü kenarlarını çerr. W weak n elamanı olan her br kenar çn düğüm skorlarındak yöntem kullanılarak sızma ve normal akışlarda görülme olasılıklarına göre kenar skorları hesaplanır. Kenar skorları; W weak kümes elemanlarından; çersnde bulundukları akışların sızma akışı olma htmal daha azla olanları belrlemek çn hesaplanır. Hesaplanan skorlara göre sızma akışlarında daha sık görülenler Güçlü kenarlar ve sızma akışlarında çok azla görülmeyenler Zayı kenarlardır. P cluster_e prosedürü, E onksyonunu kullanarak kenar skorlarını hesaplamak ve k-means algortmasını kullanarak E strong ve E weak kümelern oluşturmak çn tanımlanmıştır. E E : e ( e ) = j j ( E ) j ( E ) j R,, (6) P( e = ) ( ) = j L( ej ) true log P ej L( ej ) = alse W weak akışında e adet kenar olduğunu varsayarsak ve akış havuzlarındak akışların ortalama boyutunu L byte olarak varsayarsak, kenar skor hesaplama ve kenar kümelern belrlemek O(e x L) de tamamlanmaktadır. En y dürümda tüm bulunan düğümler güçlüdür ve güçlü kenar aramaya htyaç yoktur. e sııra eşt se çalışma zamanı karmaşıklığı da sııra necektr. En kötü durumda, bulunan tüm n adet kenar zayı olacaktır ve tüm e=n 2 yönlü kenar adayları sızma akışı graında görünecektr. Bu durumda çalışma zamanı karmaşıklığı O(n 2 x L) olacaktır.
3.6 Çıkarılan İmzaların Sızma Tahmnnde Kullanılması Sızma tahmnnde bulunmak çn güçlü düğümler ve güçlü kenarlar kullanılarak çıkarılan hbrt mzalar kümes kullanılır. Blgsayar ağlarında görülen bağlantı kayıtları tek tek değerlendrlerek analz edlmekte olan akış kümes Aks olsun, t anında yapılan br bağlantı kaydı x Aks olsun, öncelkle bu x bağlantı kaydı çn analz edlen atak tp çn Tablo- 2 dek lgl özntelkler kullanılarak düğüm sınılandırılması yapılır. Düğüm sınılandırması şöyle yapılır; Analz edlmekte olan atak tp çn önceden çıkartılan düğüm kümes V AtakTp, bu kümenn eleman sayısını veren onksyon s(v AtakTp ) olsun, V AtakTp kümesndek her br düğüm v çn düğümü oluşturan bağlantı kaydı sayısını belrten düğüm uzunluğunu veren onksyon l(v ) olsun, Eğer analz edlmekte olan bağlantı kaydı x ve öncesnde gelmş olan ardışık l(v )-1 bağlantı kaydının oluşturduğu kayıt katarı, v ye eşt se bu düğüm bu akışta görülmüş demektr. Analz edlmekte olan akışta görülen düğümlern oluşturduğu küme (Aks V AtakTp ), bu kümenn eleman sayısını veren onksyon s(aks V AtakTp ) olur, Sızma tahmn değerlendrmesnde; x bağlantı kaydı analznde kullanılan karar kuralı L(x) aşağıdak gbdr: L( x) = Szma, eger s( Aks VAtakTp ) >= s( V KararKural : L( x) = SzmaDegl, eger s( Aks VAtakTp ) < s( V AtakTp AtakTp, (7) ) * EskDeger ) * EskDeger 3.7 Yöntemn Uygulanması Bu kısımda öncek bölümlerde verlen matematksel adelern sözde kodları verlmştr. 3.4 Düğüm Skorlarının Hesaplanması başlığı altında anlatılan P cluster_v prosedürünün sözde kodu aşağıdak gbdr: P cluster_v : Düğüm skorlarını hesaplar, Güçlü ve Zayı düğümler kümelemelern oluşturur Grdler: Düğüm kümes V, Sızma Akış Havuzu, Normal Akış Havuzu. Çıktılar: Güçlü düğüm kümes V strong, Zayı düğüm kümes V weak, Düğüm skorları kümes V V = V strong = V weak = S = //v güçlü se S(v )=strong //v zayı se S(v )=weak c strong = 1 //V strong kümes merkez değer c weak = 0 //V weak kümes merkez değer or all v V do (V ) = V (v) or all v V do (dstance((v ), c weak ) < dstance((v ), c strong )) S(v ) = weak S(v ) = strong end whle (S changed) do //zayı ve güçlü düğümler çn //yenden merkez hesaplanır or all x {strong, weak} do c x = centrod{v j S(v)=x} or all v V do (dstance((v ), c weak ) < dstance((v ), c strong ))
S(v ) = weak S(v ) = strong end end whle or all v V do S(v ) = strong then V strong = V strong v V weak = V weak v end 3.5 Kenar Skorlarının Hesaplanması başlığı altında anlatılan P cluster_e prosedürünün sözde kodu aşağıdak gbdr: P cluster_e : Kenar skorlarını hesaplar, Güçlü ve Zayı kenar kümelemelern oluşturur Grdler: Kenar kümes E=(V weak xv weak ), Sızma Akış Havuzu, Normal Akış Havuzu. Çıktılar: Güçlü kenar kümes E strong, Zayı kenar kümes E weak, Kenar skorları kümes E E = E strong = E weak = S = //e j güçlü se S(e j )=strong //e j zayı se S(e j )=weak c strong = 1 //E strong kümes merkez değer c weak = 0 //E weak kümes merkez değer or all e j E do (E ) j = E (e j ) or all e j E do (dstance((e ) j, c weak ) < dstance((e ) j, c strong )) S(e j ) = weak S(e j ) = strong end whle (S changed) do //zayı ve güçlü kenarlar çn //yenden merkez hesaplanır or all x {strong, weak} do c x = centrod{e j S(v)=x} or all e j E do (dstance((e ) j, c weak ) < dstance((e ) j, c strong )) S(e j ) = weak S(e j ) = strong end end whle or all e j E do S(e j ) = strong then E strong = E strong e j E weak = E weak e j end 4. Deneysel Sonuçlar ve Karşılaştırma Yöntemn analznde testler, KDD Cup 99 ver kümes kullanılarak yapılmıştır. Bu çalışmada KDD Cup ver kümesnn kullanılmasının sebeb; geçmş ve günümüzde yapılan sızma tespt ve tahmn çalışmalarında kullanılıyor olması ve bu nedenle önerlen yöntemn sonuçlarının dğer çalışmalarla karşılaştırılmasına olanak sağlamasıdır. KDD Cup 99 ver kümes; DARPA 98 ver kümesnn bazı özntelklernn çıkartılmasıyla (başlangıç tarh, p ve port) oluşturulmuştur, ve yaklaşık 4.900.000 tane kayıt çermektedr. Saldırı oranı doğal değldr. Yaklaşık %80 oranında saldırı çermektedr. [11] KDD Cup 99 ver kümesnde kayıtlar 41 özntelkten oluşmaktadır. 42. özntelk se o kaydın göründüğü akışın tpn belrtr.
Tablo- 1 KDD Cup 99 özntelkler 1 duraton 22 s_guest_logn 2 protocol_type 23 count 3 servce 24 srv_count 4 lag 25 serror_rate 5 src_bytes 26 srv_serror_rate 6 dst_bytes 27 rerror_rate 7 land 28 srv_rerror_rate 8 wrong_ragment 29 same_srv_rate 9 urgent 30 d_srv_rate 10 hot 31 srv_d_host_rate 11 num_aled_logns 32 dst_host_count 12 logged_n 33 dst_host_srv_count 13 num_compromsed 34 dst_host_same_srv_ rate 14 root_shell 35 dst_host_d_srv_rate 15 su_attempted 36 dst_host_same_src_ port_rate 16 num_root 37 dst_host_srv_d_ host_rate 17 num_le_creatons 38 dst_host_serror_rate 18 num_shells 39 dst_host_srv_serror_ rate 19 num_access_les 40 dst_host_rerror_rate 20 num_outbound_cmds 41 dst_host_srv_rerror_ rate 21 s_host_logn 42 attack_type KDD Cup 99 ver kümesndek saldırı tpler 4 ana başlıkta gruplanmaktadır: Hzmet Engelleme (Denal o Servce DoS): Blgsayar ağlarında; bazı hesaplamalar yapılarak veya kaynakların çok azla meşgul edlmes le sstemn gerçek steklere cevap veremeyecek hale getrlmesdr. Yönetc Hesabı le Yerel Oturum Açma (Remote to local R2L): Blgsayar ağlarında; kullanıcı haklarına sahp olunmadığı halde ağa znsz erşm yapılmasıdır. Kullanıcı Hesabının Yönetc Hesabına Yükseltlmes (User to root U2R): Blgsayar ağlarında yönetc zn olmayan br kullanıcının hakkı olmadığı erşmde ve şlemlerde bulunmasıdır. Blg Tarama (Probe): Blgsayar ağlarında; blg toplamak ya da önceden blnen açıkları bulmak amaçlı gerçekleştrlen saldırılardır. 4.1 Deneysel Sonuçlar KDD Cup 99 ver kümesnde, ardışık olarak görülen aynı tptek kayıt katarları, akışlar olarak tanımlanmaktadır. Br atak tp analz edlrken; analz edlmekte olan atak tpndek kayıt dzler atak akışları, dğer tpte olan kayıt dzler se normal akışlar olarak kabul edlmektedr. Düğümlern seçlmesnde her atak tp çn seçlen özntelkler kullanılarak analz yapılmıştır. Aynı tptek atak akışlarında ortak görünen mnmum n, maxmum m uzunluğundak ardışık kayıt katarları belrlenmektedr. Bu kayıt katarları düğümler olarak tanımlanır. Düğümlern belrlenmesnde kullanılan özntelklern belrlenmesnde KDD Cup 99 ver kümesndek saldırı tpler ve özntelkler arasındak bağlantıları nceleyen çalışmalardan aydalanılmıştır. ([11], [12], [13]) Analzde kullanılan özntelkler Tablo- 2 de verlmştr. Tablo- 2 Atak tpler analznde kullanılan özntelkler Atak Tp Özntelk Kayıt Sayısı (Öğrenme) Atak Grubu Back 10, 13 2203 DoS Land 7 21 DoS 33, 35, 38, Neptune 107201 DoS 39 Pod 5 264 DoS Smur 3, 23, 28, 26, 41 280790 DoS Teardrop 5, 8 979 DoS Ftp wrte 5, 9, 23 8 R2L Guess 3, 4, 35 53 R2L password Imap 3, 26 12 R2L Multhop 23 7 R2L Ph 5, 6, 10, 14 4 R2L Spy - 2 R2L Warezclent 10, 5, 1 1020 R2L Warezmaster - 20 R2L Buer 14 30 U2R overlow Loadmodule 3, 24, 36 9 U2R Perl 14, 16 3 U2R Rootkt 4, 23, 24 10 U2R Ipsweep 3, 19, 22 1247 Probe Nmap 4, 5 231 Probe Portsweep 15, 28 1040 Probe Satan 22, 23, 27 1589 Probe
Normal 3, 34, 35, 39, 38, 26, 25, 30, 29 97277 Analzler yapılırken Sızma Tahmn Sstem her atak tp ve normal kayıtları çn ayrı ayrı çalıştırılmıştır. Br akış analz edlrken alarm üretlrse o atak akışı tahmn edlmş sayılmaktadır. Tüm ver kümes analz edldkten sonra tahmn edlen ve tahmn edlemeyen atak akışları değerlendrlerek aşağıdak deneysel sonuçlar çıkartılmıştır: Saldırı Tespt (Detecton Rate): Tahmn edlen saldırıların tüm saldırılara oranıdır. Pozt (False Postve Rate): Saldırı olarak tahmn edlen normal kayıtların tüm gerçek normal kayıtlara oranıdır. Negat (False Negatve Rate): Normal olarak sınılandırılan saldırı kayıtlarının tüm gerçek saldırı kayıtlarına oranıdır. Tablo- 3 Akış Çzges Tabanlı Sızma Tahmn Sstem Detaylı Analz Sonuçları Atak Tp Saldırı Tespt Pozt Negat - Kayıt Sayısı (Test) Back 1 0 1 2203 Land 1 0,0002 0 21 Neptune 0,803 0 0,197 1072002 Pod 0,697 0 0,303 264 Smur 1 0 0 2807886 Teardrop 0,897 0 0,103 979 Ftp wrte 0,50 0,391 0,50 8 Guess 1 0,125 0 53 password Imap 1 0,047 0 12 Multhop 1 0,323 0 7 Ph 1 0 0 4 Spy - - - 2 Warezclent 0,613 0,158 0,387 1020 Warezmaster - - - 20 Buer 0,867 0,129 0,133 30 overlow Loadmodule 0,333 0,126 0,667 9 Perl 1 0,002 0 3 Rootkt 1 0,779 0 10 Ipsweep 0,926 0,114 0,074 1247 Nmap 0,892 0,001 0,108 2316 Portsweep 0,708 0 0,292 10413 Satan 0,995 0 0,004 1589 Normal 0,945 0 0,055 972780 4.2 Karşılaştırma Atak gruplarının saldırı tespt oranları hesaplanırken lgl gruptak atak tplernn saldırı tespt oranları atak tpndek kayıt sayılarına göre ağırlıklı ortalaması alınır. = AtakTp ( * KaytSays ) SaldrTesptOran Ver Kümes KaytSays AtakGrubu, (8) Tablo- 4 Akış Çzges Tabanlı Sızma Tahmn Sstem Analz Sonuçları Saldırı Tespt Pozt Negat DoS 0,946 ~0,000 0,054 R2L 0,626 0,154 0,374 U2R 0,808 0,246 0,192 Probe 0,782 0,009 0,218 Normal 0,945-0,055 Önerlen yönteme benzer ve KDD Cup 99 ver kümes le test edlmş k arklı yöntemn sonuçları aşağıda sunulmuştur: Tablo- 5 A Neuro-Genetc Based Short-Term Forecastng Framework or Network Intruson Predcton System Analz Sonuçları [14] Ver Kümes Saldırı Tespt Pozt Negat DoS 0,968-0,032 R2L 0,97-0,003 U2R 0,885-0,115 Probe 0,6873-0,3127 Normal 0,998 0,002 - Ver Kümes Tablo- 6 An Adaptve Automatcally Tunng Intruson Detecton System [15] Saldırı Tespt Pozt Negat DoS 0,992 0,023 0,008 R2L 0,244 0,255 0,756 U2R 0,131 0,891 0,869 Probe 0,883 0,134 0,117 Normal 0,953 0,147 0,047
Yapılan analzlerde önerlen yöntemn Remote to Local (R2L) ve User to Root (U2R) saldırı grubu atakların tahmnnde Tablo- 6 dak yöntemden daha y sonuç verrken Probe saldırı grubu atakların tahmnnde se Tablo- 5 dek yöntemden daha y sonuç verdğ gözlemlenmştr. Denal o Servce (DoS) grubu atakların tahmnnde se k yönteme yakın sonuçlar vermştr. 5. Sonuç ve Önerler Sızma Tespt Sstemlernn kullanımının ve buna bağlı olarak da önemnn artması nedenyle bu konuda oldukça azla çalışma yapılmaktadır. Gelşen teknoloj kullanılarak bu sstemlere saldırıları tespt etmenn yanında kullanıcının amacını önceden tahmn etmek ve uyarı vermek gb yeteneklern kazandırılması zorunlu hale gelmştr. Bu çalışmada, blgsayar ağları saldırılarını önceden tahmn etmek çn akış çzges tabanlı br br yöntem önersnde bulunulmuştur. Bu yöntemde daha önceden gerçekleşen saldırı kayıtları analz edlerek çıkarılan hbrt mzalar kullanılarak saldırılar önceden tahmn edlr. Yapılan deneysel sonuçlar karşılaştırılmalı olarak verlmş ve yöntemn güvenlrllğ gösterlmştr. Önerlen yöntem lk kez gerçekleşecek olan saldırı tplern tahmn edememektedr. Bu yaklaşımda, saldırıları önceden tahmn etmek üzere kullanılacak mzaları çıkarmak çn, daha önce gerçekleşmş olan saldırı blglerne htyaç duyulmaktadır. İlerk çalışmalarda; sstemn gerçekleşen ataklarla öğreneblr ve yleşeblr olması konusunda çalışmalarda bulunulablr. Bununla brlkte ağ güvenlğnde sızma tahmn ve harekete geçme süres oldukça önem taşımaktadır. Dolayısı le yapılacak çalışmalarda önerlen yöntemn zaman açısından perormansı analz edleblr ve sonuçları değerlendrleblr. Kaynakça [1] Feng L., Wang W., Zhu L., Zhang Y.: Predctng the ntruson ntentons by observng system call sequences. Journal o Computers & Securty 23, 241 252 (2004) [2] Feng L., Wang W., Zhu L., Zhang Y.: Predctng ntruson goal usng dynamc Bayesan network wth transer probablty estmaton. Journal o Network and Computer Applcatons 32 721 732 (2009) [3] Haslum K., Abraham A., Knapskog S.: DIPS: A Framework or Dstrbuted Intruson Predcton and Preventon Usng Hdden Markov Models and Onlne Fuzzy Rsk Assessment. IEEE, Thrd Internatonal Symposum on Inormaton Assurance and Securty (2007) [4] Haslum K., Abraham A., Knapskog S.: Fuzzy Onlne Rsk Assessment or Dstrbuted Intruson Predcton and Preventon Systems. IEEE, Tenth Internatonal Conerence on Computer Modelng and Smulaton (2008) [5] Haslum K., Moe M.E.G., Knapskog S: Realtme Intruson Preventon and Securty Analyss o Networks usng HMMs. IEEE (2008) [6] Zhengdao Z., Zhumao P., Zhpng Z.: The study o ntruson predcton based on HsMM. IEEE, Asa-Pacc Servces Computng Conerence (2008) [7] Cheng-Bn L.: A New Intruson Predcton Method Based on Feature Extracton. IEEE, Second Internatonal Workshop on Computer Scence and Engneerng (2009) [8] L Z., Le J., Wang L., L D.: A Data Mnng Approach to Generatng Network Attack Graph or Intruson Predcton. IEEE, Fourth Internatonal Conerence on Fuzzy Systems and Knowledge Dscovery (2007)
[9] L Z., Le J., Wang L., L D.: Assessng Attack Threat by the Probablty o Followng Attacks. IEEE, Internatonal Conerence on Networkng, Archtecture, and Storage (2007) [10] Bayoglu B., Soğukpınar I.: Graph based sgnature classes or detectng polymorphc worms va content analyss. Elsever, Computer Networks 56 832 844 (2012) [11] Kayack, H.G., Zncr-Heywood, A.N., Heywood, M.L. (2006). Selectng Features or Intruson Detecton: A Feature Analyss on KDD 99 Intruson Detecton Datasets. [12] Olusola, A.A., Oladele, A.S., Abosede, D.O.: Analyss o KDD 99 Intruson Detecton Dataset or Selecton o Relevance Features. In Proceedngs o the World Congress on Engneerng and Computer Scence (Vol. 1, pp. 20-22) (2010, October). [13] Km, B. J., & Km, I. K.: Robust Real-tme Intruson Detecton System. Internatonal Journal o Inormaton Processng Systems Vol. 1, No. 1 (2005) [14] Sndhu, S. S. S., Geetha, S., Markannan, M., Kannan, A.: A neuro-genetc based short-term orecastng ramework or network ntruson predcton system. Internatonal Journal o Automaton and Computng, 6(4), 406-414 (2009). [15] Yu, Z., Tsa, J. J., & Wegert, T.: An adaptve automatcally tunng ntruson detecton system. ACM Transactons on Autonomous and Adaptve Systems (TAAS), 3(3), 10. (2008) [16] KDD-cup data set, Avalable at URL http://kdd.cs.uc.edu/databases/kddcup99/ kddcup99.html (2004)