ANKARA ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ YÜKSEK LİSANS TEZİ SALDIRI TESPİT SİSTEMLERİNDE YAPAY SİNİR AĞLARININ KULLANILMASI Haluk TANRIKULU ELEKTRONİK MÜHENDİSLİĞİ ANABİLİM DALI ANKARA 2009 Her Hakkı Saklıdır
TEZ ONAYI Haluk TANRIKULU tarafından hazırlanan Saldırı Tespit Sistemlerinde Yapay Sinir Ağlarının Kullanılması adlı tez çalışması aşağıdaki jüri tarafından 10/02/2009 tarihinde oy birliği ile Ankara Üniversitesi Fen Bilimleri Elektronik Mühendisliği Anabilim Dalı nda YÜKSEK LİSANS TEZİ olarak kabul edilmiştir. Danışman : Yrd. Doç. Dr. Murat H. SAZLI Jüri Üyeleri : Üye : Doç. Dr. Ziya TELATAR Ankara Üniversitesi Elektronik Mühendisliği Anabilim Dalı Üye :Yrd. Doç. Dr. Murat H. SAZLI Ankara Üniversitesi Elektronik Mühendisliği Anabilim Dalı Üye :Yrd. Doç. Dr. Süleyman TOSUN Ankara Üniversitesi Bilgisayar Mühendisliği Anabilim Dalı Yukarıdaki sonucu onaylarım. Prof. Dr. Orhan ATAKOL Enstitü Müdürü
ÖZET Yüksek Lisans Tezi SALDIRI TESPİT SİSTEMLERİNDE YAPAY SİNİR AĞLARININ KULLANILMASI Haluk TANRIKULU Ankara Üniversitesi Fen Bilimleri Enstitüsü Elektronik Mühendisliği Anabilim Dalı Danışman : Yrd. Doç. Dr. Murat H. SAZLI İnternet in yaygınlaşması ile bilgisayar ağları üzerinde oluşan saldırılar artmaktadır. Gelişen yazılım teknolojileri sayesinde geleneksel savunma ve tespit sistemlerinin yerine daha hızlı ve saldırıyı önceden sezebilen akıllı savunma mekanizmaları geliştirilmiştir. Bu çalışma kapsamında ağ üzerindeki bilgi sistemlerine yapılan saldırıların tespitinde Yapay Sinir Ağlarının (YSA) kullanılması araştırılmış, yüksek başarımı tespit edilmiş ve örnek bir saldırı tespit sistemi (STS) oluşturulmuştur. Bu tez çalışmasında STS lerin oluşturulmasında kullanılan YSA nın ağ güvenliği kapsamında ne gibi görevler üstlendiği ve nasıl çözümler ürettiği incelenmektedir. Deneylerde Defense Advanced Research Projects Agency (DARPA) tarafından yapılan çalışmalarda oluşturulan veri setleri kullanılmıştır. Bu veri setleri düzenlenerek MATLAB üzerinde örnek bir STS oluşturulmuş ve oluşturulan STS lerde çok katmanlı algılayıcılar (ÇKA) kullanılmış, geliştirilen modelin ağ güvenliğinde kullanılması ve başarısı için önerilerde bulunulmuştur. DARPA eğitim veri setleri üzerinde düzenleme ve gerekli değişikliler yapıldıktan sonra YSA ın eğitiminde kullanılmıştır. Eğitilen YSA, DARPA tarafından oluşturulan test veri setleri ile test edilmiş ve YSA nın dışarıdan yapılan saldırıları tespit ettiği gözlenmiştir. Saldırıların tespitinde YSA nın normal veri akışı içine saklanan anormal veri akışını ve kötüye kullanım saldırılarını başarılı bir şekilde sınıflayabildiği izlenmiştir. Oluşturulan YSA nın başarımını artırmak için farklı yöntemler kullanılmıştır. Kullanılan yöntemlere göre başarı oranları karşılaştırılmış, hız ve başarım açısından üstünlükleri tartışılmıştır. Şubat 2009, 92 sayfa Anahtar Kelimeler: saldırı tespit, yapay sinir ağları, çok katmanlı algılayıcı, saldırı tespit sistemleri, DoS atakları, bilgisayar ağları. i
ABSTRACT Master Thesis INTRUSION DETECTION SYSTEM USING NEURAL NETWORKS Haluk TANRIKULU Ankara University Graduate School of Natural and Applied Sciences Department of Electronic Engineering Supervisor : Asst. Prof. Dr. Murat H. SAZLI Network intrusions increase steadily with the rapid expansion of Internet. By means of the development of software technologies, conventional defense and identification systems were replaced with the rapid and proactive sensible systems. In the present study, neural networks in the detection of intrusions towards information systems were analyzed and high performance was determined and a sample intrusion detection system was constructed. Benefits of neural networks in the intrusion detection systems and the solutions are examined in this research. Data sets produced by Defense Advanced Research Projects Agency (DARPA) are reorganized and used in the experiments. With these sets, an example intrusion detection system (IDS) using Multi Layer Perceptrons (MLP) is established in MATLAB. Consequently, suggestions are made in order to use the proposed system in the network security. After making required changes on DARPA data sets, they are used in training various neural networks. Then, the trained neural networks are tested by DARPA test data. Finally, we observed that the proposed method using neural networks is quite successful in detecting intrusions. In the detection of intrusions, neural networks could find abnormal data flow mixed with normal data flow. Besides, misuse intrusions are successfully classified. In order to maximize the performance of the proposed neural networks within the scope of this thesis, various methods are used. Success rates were compared with respect to the employed methods and speed and performance advantage are discussed. February 2009, 92 pages Key Words: intrusion detection, artificial neural networks, multi layer perceptron, intrusion detection system, DoS attacks, computer networks. ii
TEŞEKKÜR Çalışmalarımı yönlendiren, araştırmalarımın her aşamasında bilgi, öneri ve yardımları ile bana destek veren danışmanım Yrd. Doç. Dr. Murat H. SAZLI ya (Ankara Üniversitesi Mühendislik Fakültesi), yüksek lisans eğitimim boyunca desteğini ve yardımlarını esirgemeyen Doç. Dr. Gökhan İLK e (Ankara Üniversitesi Mühendislik Fakültesi), oyun vakitlerini çaldığım sabırlı kızlarım Ezgi ve Duru ya, anlayışı ve desteği için eşim Fazi ye teşekkür ederim. Haluk TANRIKULU Ankara, Şubat 2009 iii
İÇİNDEKİLER ÖZET...i ABSTRACT...ii TEŞEKKÜR...iii SİMGELER DİZİNİ...vii ŞEKİLLER DİZİNİ...x ÇİZELGELER DİZİNİ...xii 1. GİRİŞ...1 1.1 Problemin Açıklanması...1 1.2 Önceki Çalışmalar...3 1.3 Araştırma Veri Setleri...4 1.4 Çalışmanın Amacı...6 1.5 Çalışma Yöntemi...6 1.6 Çalışmada Kullanılan Program ve Uygulamalar...7 1.7 Çalışmanın İçeriği...7 2. BİLGİSAYAR AĞLARI, İNTERNET VE TCP/IP PROTOKOLÜ...8 2.1 Giriş...8 2.2 TCP/IP...9 2.2.1 İletişim kontrol protokolü katmanı (TCP katmanı)..11 2.2.2 İnternet protokolü IP...12 2.2.2.1 İnternet protokolü (IP) paket yapısı.....13 2.3 Ağ İzleme Araçları...16 2.3.1 TCPdump..17 2.3.2 Ethereal.17 2.4 Bölüm Özeti.. 17 3. SALDIRI TESPİT SİSTEMLERİ (STS).18 3.1 Tanımlar... 18 3.2 STS lerin Sınıflandırması..19 3.3 Saldırı Tipleri ve Özellikleri..21 3.4 Tespit Edilecek Saldırılar..22 3.4.1 SYN flooding (Neptune) saldırısı...23 iv
3.4.2 The Ping of Death Pod saldırısı...25 3.5 Bölüm Özeti 25 4. YAPAY SİNİR AĞLARI..26 4.1 Giriş..26 4.2 Yapay Sinir Ağlarının Tanımı...26 4.3 Yapay Sinir Hücresi...28 4.4 Yapay Sinir Ağının Yapısı. 32 4.5 Yapay Sinir Ağ Modelleri.. 33 4.5.1 Tek katmanlı algılayıcılar............34 4.5.1.1 Basit algılayıcılar.......34 4.5.1.2 ADALINE/MADALINE modeli.......35 4.5.2 Çok katmanlı yapılar...36 4.5.2.1 ÇKA nın yapısı.37 4.5.2.2 Çok katmanlı ileri beslemeli ağ...39 4.5.2.3 Geri yayılım ağı ve algoritması 40 4.6 Yapay Sinir Ağının Öğrenmesi.43 4.6.1 Öğretmenli öğrenme.....44 4.6.2 Öğretmensiz öğrenme...... 45 4.7 Yapay Sinir Ağlarının Temel Özellikleri....46 4.8 Yapay Sinir Ağlarının Avantajları......47 4.9 Bölüm Özeti. 47 5. VERİ SETLERİ........48 5.1 DARPA Veri Seti......48 5.2 Veri Setinin Formatı...50 5.3 Eğitim Veri Setinin Oluşturulması....... 52 5.3.1 Kullanılacak veri seti özellikleri.54 5.4 Veri Setinin Kullanımı.......58 5.5 Bölüm Özeti.........58 6. UYGULAMALAR..........60 6.1 Giriş........60 6.2 YSA ların Oluşturulması...60 6.2.1 Deney grafikleri...61 v
6.3 Doğrudan Eğitim Yöntemi Kullanılarak Yapılan Deneyler...61 6.3.1 Deney -1 : Bilinen saldırıların (Neptuen, Pod) bulunması...62 6.3.2 Deney -2 : Bilinmeyen saldırının (SATAN) bulunması...65 6.4 Saldırıları Ayrı Ayrı Tanıyan Eğitim Setlerinin Kullanılması Yöntemi...67 6.4.1 Deney -3 : Bilinen saldırıların (Neptune, Pod) bulunması...67 6.4.2 Deney -4 : Bilinmeyen saldırının (SATAN) bulunması...72 6.5 Deney Sonuçları...76 6.5.1 Başarım oranının tespiti...76 6.5.1.1 Saldırı bulma başarım oranının tespit edilmesi..77 6.5.1.2 Normal ağ trafiğinin başarım oranının tespit edilmesi..77 6.5.2 Deneylerin başarım oranları ve süreleri...78 6.6 Bölüm Özeti......80 7. TARTIŞMA ve SONUÇ...82 KAYNAKLAR......87 EKLER...91 EK 1 Doğrudan Eğitim Yönteminde Kullanılan Eğitim Veri Seti Bilinen ve Bilinmeyen Saldırıların Bulunması (CD) EK 2 İki Yöntemde de Kullanılan Test Veri Seti - Bilinen Saldırıların Bulunması (CD) EK 3 İki Yöntemde de Kullanılan Test Veri Seti - Bilinmeyen Saldırıların Bulunması (CD) EK 4 Saldırıları Ayrı Ayrı Tanıyan Eğitim Yöntemi Eğitim Veri Setleri (CD) EK 5 Başarılı Ağın Bulunması İçin Oluşturulan MATLAB Kodları (CD) EK 6 Başarılı Ağın Bulunması İçin Yapılan Testlerin Sonuçları (CD) ÖZGEÇMİŞ.. 92 vi
SİMGELER DİZİNİ ABD ACK ADALINE ANN ARP ARPANET ART BP ÇKA DARPA DoS DF DVM FBI FTP HTTP ICMP IDEVAL IDS IP Amerika Birleşik Devletleri Acknowledge Adaptive Linear Neuron (Adaptif/Uyumlu Doğrusal Nöron) Yapay Sinir Ağları (Artificial Neural Network) Adres Çözümleme Protokolü DARPA nın oluşturduğu ilk bilgisayar ağ YSA çıktılarının aritmetik ortalaması Geri Yayılım (Back Propagation) Çok Katmanlı Algılayıcı Savunma İleri Araştırma Projeleri Teşkilatı (Defense Advanced Research Projects Agency) Hizmet Engelleme (Denial of Service) Parçalama (Don t Fregment) Destek Vektör Makinaları Federal Bureau of Investigation Dosya Aktarım Protokolu (File Transfer Protocol) Bağlantılı Metin Aktarım Protokolu (Hypertext Transfer Protocol) İnternet Kontrol Mesajı Protokolü (Internet Control Message Protocol) Saldırı Tespiti Değerledirmesi Veri Seti (Intrusion Detection Evaluation Data Sets) Intrusion Detection Systems İnternet Protokolü (Internet Protocol) vii
IPSec IP Security IPv4 IP sürüm 4 IPv6 IP sürüm 6 ICMP KDD LAN LM MAC MATLAB MF MIT MLP NAT Internet Control Message Protocol Knowledge Discovery and Data Mining Tools Competition Yerel Alan Ağı Levenberg-Marquardt Media Access Controler Mathworks firmasının bir ürünü Daha çok parça (More Fregments) Massachusetts Teknoloji Enstitüsü (Massachusetts Institute of Technology) Çok Katmanlı Perseptron (Multilayer Perceptron) Network Address Translator NBO Normal ağ trafiğinin başarım oranı (%), NCP NN OS Pod R2L RFC Network Control Protocol Neural Networks İşletim Sistemi (Operating System) The ping of death Uzaktan Yerele (Remote to Local) Request For Comments SBBO Saldırı bulma başarım oranı (%), SMTP SOM Basit Posta Gönderme Protokolü (Simple Mail Transfer Protocol) Kendini Örgütleyen Haritalar (Self-Organizing Maps) viii
SRI STS SVM SYN TCP TCPdump TCP/IP TKA U2L U2R UCLA UCSB UDP YSA WWW Stanford Research Institute Saldırı Tespit Sistemleri (Intrusion Detection Systems) Support Vector Machines Senkronize (Synchronous) Transmission Control Protocol Paket Yakalama Programı Transmission Control Protocol / Internet Protocol Tek Katmanlı Algılayıcı Kullanıcıdan Yerele (User to Local) Kullanıcıdan Yöneticiye (User to Root) University of California at Los Angeles University of California at Santa Barbara Kullanıcı Veri Birimi Protokolü (User Datagram Protocol) Yapay Sinir Ağları (Artificial Neural Networks) Dünya Geniş Ağı ix
ŞEKİLLER DİZİNİ Şekil 1.1 Birinci Yöntem : Doğrudan Eğitim Yöntemi......5 Şekil 1.2 İkinci Yöntem : Saldırıları ayrı ayrı tanıyan eğitim setlerinin kullanılması...5 Şekil 2.1 OSI Modeli ve TCP/IP Modeli.......9 Şekil 2.2 TCP/IP Mimarisi......11 Şekil 2.3 TCP Yığını.....12 Şekil 2.4 IP paket başlığı........13 Şekil 2.5 IPv4 te IP adreslerinin sınıflandırılması........16 Şekil 3.1 Hizmet engelleme saldırı tipleri...22 Şekil 3.2 SYN Flooding saldırısı....... 24 Şekil 4.1 Biyolojik sinir hücresinin yapısı...28 Şekil 4.2 Yapay sinir hücresi (işlem elemanı)...29 Şekil 4.3 Aktivasyon fonksiyonları....31 Şekil 4.4 Yapay sinir ağı katmanları..33 Şekil 4.5 Tek katmanlı algılayıcı modeli 34 Şekil 4.6 Basit algılayıcı modeli.....35 Şekil 4.7 İki ADALINE ağından oluşan MADALINE ağı 36 Şekil 4.8 Çok katmanlık YSA modeli.... 38 Şekil 4.9 Çok katmanlı ileri beslemeli bir ağ örneği...40 Şekil 5.1 DARPA ağının topolojisi.........49 Şekil 5.2 DARPA veri setlerindeki saldırıların kurban sunuculara dağılımı..50 Şekil 5.3 TCPdump komutu ile elde edilen DARPA verileri.51 Şekil 5.4 DARPA verilerinin Ethereal program ile işlenmiş hali 52 Şekil 5.5 DARPA veri seti sütun başlıkları....53 Şekil 5.6 Çalışmada kullanılacak veri seti özelliklerini belirten sütun başlıkları 54 Şekil 5.7 Kullanılan veri seti başlıkları..55 Şekil 5.8 Neptune saldırısını gösteren veri seti örneği 57 Şekil 5.9 Normal ağ trafiğini gösteren veri seti örneği... 58 Şekil 6.1 MATLAB kodları (Bilinen saldırıların (Neptune, Pod) bulunması....63 Şekil 6.2 Deney 1, deneme -1 grafiği.63 Şekil 6.3 Deney 1, deneme -2 grafiği.64 x
Şekil 6.4 Deney 1, deneme -3 grafiği.64 Şekil 6.5 MATLAB kodları (bilinmeyen saldırının bulunması).65 Şekil 6.6 Deney 2, deneme -1 grafiği.....66 Şekil 6.7 Deney 2, deneme -2 grafiği.....66 Şekil 6.8 Deney 2, deneme -3 grafiği.....67 Şekil 6.9 MATLAB kodları.... 68 Şekil 6.10 Deney 3, deneme -1 grafikleri.......69 Şekil 6.11 Deney 3, deneme -2 grafikleri... 70 Şekil 6.12 Deney 3, deneme -3 grafikleri... 71 Şekil 6.13 Deney 4 te kullanılan MATLAB kodları......72 Şekil 6.14 Deney 4 Deneme 1: Bilinmeyen saldırının yakalanması...73 Şekil 6.15 Deney 4 Deneme 2: Bilinmeyen saldırının yakalanması...74 Şekil 6.16 Deney 4 Deneme 3: Bilinmeyen saldırının yakalanması....... 75 Şekil 6.17 Deneylerde kullanılan veri setleri......81 xi
ÇİZELGELER DİZİNİ Çizelge 3.1 Saldırı isimleri ve sayısal değerleri. 23 Çizelge 4.1 Toplama fonksiyonları...30 Çizelge 4.2 Aktivasyon fonksiyonları...32 Çizelge 5.1 Servis isimlerinin sayısal forma dönüştürülmesi.56 Çizelge 6.1 Deney 1 Süre ve başarım oranları.....78 Çizelge 6.2 Deney 2 Süre ve başarım oranları.....78 Çizelge 6.3 Deney 3 Süre ve başarım oranları.....79 Çizelge 6.4 Deney 4 Süre ve başarım oranları...79 Çizelge 7.1 Ortalama Başarım Oranları...82 Çizelge 7.2 Önceki Çalışmaların Başarım Oranları.....84 xii
1. GİRİŞ İnternet ve yerel ağ sistemlerinin hızlı gelişimi ve yaygınlaşması özellikle son yıllarda bilgisayar ve bilgi iletişim dünyasını köklü bir biçimde değiştirmektedir. İnternet özellikle iş dünyasında yeni açılımların ve fırsatların doğmasında büyük bir rol oynamaktadır. Bunun doğal sonucu olarak ortaya çıkan yeni iş yapma şekilleri, kurumların daha karmaşık bilgi ağları oluşturmasına neden olmuştur. Sonuçta veri dağıtma sistemleri, depolama sistemleri, şifreleme ve doğrulama teknikleri, IP (internet protokolü) üzerinden ses ve video aktarımı, uzaktan erişim, kablosuz erişim teknikleri ve son kullanıcının oyuncağı olan web servisleri geliştirilmiştir. Bu sayede ortak ağlar yani internet daha erişilebilir bir hale gelmiştir. Gün geçtikçe internete bağlanan bilgisayar sayıları ve kullanıcılarının artması ağ sistemlerine izinsiz giriş yapmak isteyenler (intruders) ve ağ korsanlarının (hackers) sayısını artırmıştır. İnternette kullanılan yazılımların, sistemlerin, protokollerin açıklarını kullanan saldırganlar yaptıkları saldırılar ile sistemlere geçici veya kalıcı zararlar vermektedirler. Bilgisayar Güvenliği Enstitüsü ve FBI ın (Federal Bureau of Investigation) yayınladığı 2005 bilgisayar suçları ve güvenlik teftişi yıllığına göre, şirketlerin ağ saldırılarından kaynaklanan finansal kayıp 130 milyon dolardır (Patcha 2006). 1.1 Problemin Açıklanması Günümüzde şirketlerin ve kurumların bilgi güvenliğine verdikleri önem gittikçe artmaktadır. Virüs, solucan ve benzeri şekilde olabilecek saldırılardan korunmak için kullanabilecek anti-virüs, firewall gibi yazılım ve donanımlar bulunmaktadır. Ancak bu yöntemlerin günümüzde yeterli olmadığı anlaşılmıştır. Çünkü tüm bu koruma sistemleri yalnızca önceden bilinen ve tanımlanmış olan saldırılara veya virüslere karşı etkili olmaktadır. Bilgi sistemlerinin güvenliğinde kullanılan bu geleneksel yaklaşım, sistemi sadece çevresindeki ağ bağlantılarından gelebilecek bildik saldırılardan korumaktadır. Bu amaç ile farklı tanımlama metotları, doğrulama ve zorunlu erişim kontrol teknikleri kullanılmaktadır. Geleneksel güvenlik sistemleri oldukça karmaşık bir yapıya sahip 1
olduğundan oluşturulan güvenlik politikaları kullanıcılar tarafından hassasiyetle uygulanamamaktadır. Çünkü güvenliğin felsefesine uygun bir koruma bilgisayar ağlarını kullananların aktivitelerini ve üreticiliğini sınırlamaktadır (Ilgun et al. 1995). Bu nedenle geleneksel güvenlik sistemlerinin pratik olmayan çözümlerine alternatifler aranmaya başlanmıştır. Şirketler, araştırma firmaları, organizasyonlar kendi ağ yapılarındaki veri akışının güvenliğini sağlayarak bilgilerin korunması için farklı yöntemler geliştirmeye başlamışlardır. Bu sistemlere genel olarak saldırı tespit sistemleri (STS) denilmektedir. Saldırı tespit sisteminin amacı organizasyonun güvenlik politikasına uymayan aktiviteleri tanımlamaktır. STS kısaca bilgi sistemini denetler ve herhangi bir saldırı olması halinde yetkiliye uyarı mesajı gönderir veya belirlenmiş bir savunma mekanizması var ise onun devreye girmesini sağlar. STS lerin oluşturulmasında istatistik, yapay zeka, veri madenciliği gibi farklı yöntemler kullanılmıştır. STS lerde kullanılan yöntemlerin oluşturduğu çözümlerde sistemlerin hızlı çalışması, saldırıların doğru algılanması ve doğru tespitte bulunulması önemlidir. Bu nedenle zeki sistemler, özellikle YSA 1990 lardan sonra yaygın bir şekilde STS oluşturulmasında kullanılmaya başlanmıştır. Kaplantzis and Mani (2006) saldırı tespitinde yüksek doğrulukta başarının YSA ile sağlandığını belirtmişlerdir. Saldırı tespit sistemleri aslında normal ve anormal veri paket akışlarını birbirlerinden ayırarak sınıflandırmaktadır. Kaplantzis and Mani (2006) STS lerde kullanılan üç tip sınıflandırmayı (K-kare en yakın komşuluğu, YSA ve destek vektör makinaları (DVM, support vector machines (SVM)) yaptığı çalışmada karşılaştırmışlardır. Çalışmada DVM in kısa zamanda kabul edilebilir bir hassasiyette saldırıyı yakaladığı, YSA nın ise uzun süreli eğitimler sonunda yüksek başarım ile saldırıları kesin olarak tespit ettiği belirtilmiştir. Bu tez çalışmasında saldırıların YSA ile tespitindeki yaklaşımlar araştırılmış, uygun çözümler için öneriler ortaya konulmuştur. 2
1.2 Önceki Çalışmalar YSA nın saldırı tespit sistemlerinde uygulamaları 1998 yılında Cannady in çalışmalarında görülmeye başlanmıştır. Cannady (1998) çalışmasında ağ üzerinde kötü amaçlı saldırıların tespit edilmesinde YSA nın nasıl kullanılacağına dair metotlar geliştirmiştir. Cannady YSA nın STS lerde kullanılmasındaki avantaj ve dezavantajlarını belirlemeye çalışmıştır. Sonuç olarak Cannady saldırı tespit sistemlerini oluşturmada YSA nın çok uygun çözümler üretebileceğini öngörmüştür. Ayrıca söz konusu çalışma iyi eğitilmiş bir YSA nın etkili bir şekilde saldırıları yakalayabileceğini ve sürdürülebilir bir performans ortaya koyabileceğini göstermiştir. Cannady nin çalışması ağ temelli saldırı tespit sistemlerinde YSA ların kullanılabileceğini gösteren ilk ciddi çalışmadır. Ryan et al. (1998) ise çalışmasında bir sinir ağını geri yayılım algoritması ile eğiterek, ağ üzerinde çalışan aktif kullanıcıların neler yaptığını ve ağdaki bilgisayarların işletim sistemlerini tespit etmiştir. Bu çalışmada oluşturulan yazılım Neural Network Intrusion Detection olarak bilinmekte ve Unix işletim sistemi üzerinde çalışmaktadır. Söz konusu çalışmada ağa bağlanan tüm kullanıcıların bilgileri ve sistem üzerinde yazdıkları her komut izlenmiştir. Çalışmada sistemlerin saldırı niteliğindeki kötü veya yanlış kullanımları kaydedilmiş ve bu kayıtlar kullanılarak kötüye kullanım tespit edilmiştir. Aynı çalışmanın benzeri Lipmann et al. (1999) tarafından gerçekleştirilmiştir. Lipmann ve Ryan ın yaptığı çalışmalar literatüre, anahtar kelime sayma temelli kötüye kullanım tespit sistemi (keyword-count-based misuses detection system) olarak geçmiştir. Ghost et al. (1999) çalışmalarında, Ryan ın kişi davranış profillerinin incelenmesi yerine, program davranış profillerini analiz eden sinir ağları oluşturmuşlardır. Bu metot belirli programların normal sistem davranışlarını tanımakta ve elde edilen bilgiyi mevcut sistem davranışı ile karşılaştırmaktadır. Ghost and Schwartzbard (1999) çalışmalarında hem ağda oluşan anormallikleri hem de kötü kullanımları YSA kullanarak tespit etmişlerdir. 3
Moradi and Zulkernine (2004) YSA yı çevrimdışı (offline) STS uygulamalarında kullanmışlardır. Moradi ve Zulkernine nin çalışmaları çok katmanlı algılayıcı (ÇKA- Multi Layer Perceptron (MLP)) temelli YSA lar ile başarılı sonuçlar alınabileceğini göstermiştir. Moradi and Zulkernine (2004) çalışmalarında, saldırının tespit edilmesinden çok saldırıların sınıflandırılması üzerine yoğunlaşmışlardır. Çalışmalarında düzenli eğitilmiş sinir ağlarının kullanılması ile oluşturulan STS lerin çevrimiçi (online) çalışabilecekleri gösterilmiştir. Sazlı ve Tanrıkulu (2007) internet ortamından topladıkları veri paketleri içerisinde saklanan saldırıları tespit etmek için bir YSA oluşturmuşlardır. ÇKA kullanılarak oluşturulan YSA DARPA eğitim veri setleri ile eğitilmiş ve gerçek ağ trafiği ile test edilmiştir. Zanero (2004) çalışmasında, STS oluşumunda öğretmensiz öğrenme yöntemlerinden biri olan kendini örgütleyen haritalar (self-organizing maps-som) kullanmış ve başarı sağlamıştır. Benzer bir çalışma Öksüz (2007) tarafından yapılmış ve SOM kullanan bir STS testlerde başarılı olmuştur. Lichodzijewski et al (2002) tarafından yapılan çalışmada, DARPA veri setleri oldukça sadeleştirilmiş ve SOM bu sadeleştirilmiş veri setlerine göre oluşturulmuştur. Bu çalışmada çevrimdışı bir STS oluşturulmuş ancak Moradi nin çalışmasından farklı olarak çok az sayıda özellik kullanılmıştır. Temel DARPA veri setleri yeniden düzenlenerek, YSA nın hem eğitilmesinde hem de test edilmesinde kullanılmıştır. 1.3 Araştırma Veri Setleri 1998 yılında DARPA tarafından yapılan çalışmalarda oluşturulan veri setleri STS tasarımlarında yaygın bir şekilde kullanılmış ve başvuru niteliğinde bir kaynak olmuştur. DARPA veri setleri ile hem istatistiki yöntemlerde hem de YSA lar da kullanılarak farklı yapılarda STS ler oluşturulmuştur. Ayrıca bu veri setlerinin kullanılması ile mevcut STS ler de test edilmiştir. Bu çalışmada YSA ların 4
eğitimlerinde DARPA veri setleri sayısallaştırılarak kullanılmış, saldırı tipine göre farklı eğitim setleri hazırlanmıştır. DARPA veri setleri detaylı olarak bu çalışmanın dördüncü bölümünde anlatılmaktadır. Bu çalışmada başarım oranlarının karşılaştırılması için farklı yöntemler kullanılmıştır. Bu farklı yöntemler için DARPA tarafından üretilen eğitim setleri özelleştirilmiş ve ilgili olan iki yönteme uygun hale getirilmiştir. Birinci yöntemde özelleştirilmiş eğitim veri seti doğrudan tek bir eğitim seti olarak sinir ağına öğretilmiştir. Oluşturulan YSA nın öğrenme hızı ve saldırı tespit oranı (başarım oranı) ölçülmüştür. İkinci yöntemde ise saldırılara özgü YSA lar oluşturulmuştur. Bu nedenle eğitim setleri her bir saldırı için ayrı ayrı hazırlanmış ve ilgili sinir ağının eğitiminde kullanılmıştır. Normal ağ trafiğini tanıyan sinir ağı da sadece normal ağ trafiğine ait eğitim veri seti ile eğitilmiştir. Her iki yöntemle eğitilen YSA lar DARPA nın hazırladığı aynı test veri seti ile test edilmiştir. Oluşturulan YSA ların öğrenme hızı ve saldırı tespit oranları ölçülmüştür. Yukarıda belirtilen yöntemler Şekil 1.1 ve Şekil 1.2 de şema halinde gösterilmiştir. DARPA Veri Seti Eğitim Tüm Saldırıları Bilen Tek Bir Sinir Ağı Şekil 1.1 Birinci yöntem : Doğrudan Eğitim Yöntemi Neptune Eğitim Neptune DARPA Veri Seti POD Eğitim Seti Normal Eğitim Seti Eğitimler POD YSA NORMAL Şekil 1.2 İkinci yöntem : Saldırıları ayrı ayrı tanıyan eğitim setlerinin kullanılması 5
DARPA veri setleri veri madenciliği yöntemi ile KDD 99 Cup (Knowledge Discovery and Data Mining Tools Competition) çerçevesinde yapılan bir çalışma ile daha detaylı bir şekle kavuşmuştur. Temel DARPA veri setinde her bağlantıda 11 özellik bulunur iken KDD 99 Cup veri setinde 41 özellik bulunmaktadır. Bağlantılardaki özellik sayılarının artması nedeni ile YSA ların eğitim süreleri artmaktadır. Bu nedenle bu çalışmada KDD 99 Cup veri setleri yerine temel DARPA veri setleri kullanılmıştır. 1.4 Çalışmanın Amacı Bu çalışmanın amacı çok katmanlı algılayıcılar kullanılarak bilgisayar ağlarında oluşan saldırıların tespit edilmesi ve farklı eğitim yöntemlerine göre oluşturulan YSA ların gösterdikleri başarım oranlarının karşılaştırılmasıdır. 1.5 Çalışma Yöntemi Bu çalışmada saldırı tespit sistemlerinde kullanılan YSA ların eğitim yöntemlerinin araştırılması ve karşılaştırılmasını içermektedir. Çalışmada iki yöntem önerilmiştir: - Tüm saldırıların tek bir YSA ile bulunması, - Her saldırı için farklı eğitim setleri ile eğitilmiş YSA ların kullanılması. Yöntemlerin oluşturulması ve karşılaştırılması için aşağıda sıralanan yollar takip edilmiştir. İnternet ortamında görülen saldırılardan Neptune, The ping of death - Pod ve bir yoklama (probe) atağı olan SATAN ın bulunması için ÇKA kullanılarak çok sayıda yapay sinir ağı oluşturulmuştur. Sinir ağının kurulmasında MATLAB programı kullanılmıştır. YSA nın eğitilmesinde DARPA veri setleri kullanılmıştır. DARPA deneyinde elde edilen test veri setleri çalışmamızda test veri seti olarak kullanılmış ve oluşan saldırıların tespit edilmesine çalışılmıştır. 6
1.6 Çalışmada Kullanılan Program ve Uygulamalar Çalışmamızda veri setlerini incelemek için TCPdump ve Ethereal Paket Analiz programları kullanılmıştır. Tcpdump uzantılı dosyaları açmak için Editpcap programı, DARPA tarafından üretilen ham verinin düzenlenmesi ve sayısallaştırılması için elektronik tablolama programı olan MS Excel programı kullanılmıştır. YSA nın oluşturulması ve test edilmesi için MATLAB programının Neural Networks (NN) bileşeni kullanılmıştır. 1.7 Çalışmanın İçeriği Çalışmanın ikinci bölümünde bilgisayar ağları, internet ve TCP/IP incelenmiştir. Üçüncü bölümde STS lerin ne şekilde yapılandıkları, hangi yöntemleri kullandıkları incelenmiştir. Bu bölüm kapsamında genel olarak saldırı tipleri ve özellikleri ele alınmıştır. Çalışmanın dördüncü bölümünde YSA nın çalışma prensipleri anlatılmıştır. Bu bölümde genel olarak YSA nın ne olduğu, yapısı, tipleri ve özellikleri anlatılmıştır. Bu çalışmada kullanılacak ÇKA modeli detaylı olarak bu bölümde açıklanmıştır. Beşinci bölümde çalışmada kullanılan yöntemler, veri setlerinin oluşturulması, eğitim ve test veri setlerinin özellikleri anlatılmıştır. Altıncı bölümde yapılan deneyler anlatılmıştır. Deney sonuçları grafikler halinde verilmiştir. Yedinci bölüm ise sonuçların açıklandığı ve tartışmanın yapıldığı bir bölüm olarak sunulmuştur. 7
2. BİLGİSAYAR AĞLARI, İNTERNET VE TCP/IP PROTOKOLÜ STS ler bilgisayar ağları ve internet üzerinde oluşan saldırıları tespit etmektedir. Bu nedenle bu bölümde bilgisayar ağlarının çalışma prensipleri ve internet hakkında bilgi verilecektir. Ayrıca internet üzerinde bilgilerin taşınması ve kontrolünü sağlayan iletişim kontrol protokolü (TCP -Transmission Control Protocol) ve paketlerin adreslenerek iletilmesi ile ilgilenen internet protokolü (IP) açıklanmaktadır. 2.1 Giriş 1960 yılında ABD Savunma Bakanlığı ABD ye yapılacak bir saldırıda eyaletler arasında iletişimin kesilmeden devam etmesini sağlayacak bir proje üzerinde çalışmaya başlamıştır. 1961 yılında Massachusetts Institute of Technology de (MIT) Leonard Kleinrock (1961) paket anahtarlama teorisi ile ilgili ilk makaleyi yayınlamıştır. O güne kadar tüm iletişim teknolojileri devre anahtarlama mantığı ile çalışmaktadır. Kleinrock bu çalışmasında verilerin paketler ile taşınabileceğini ve her paketin ulaşacağı yere farklı bağlantı noktalarından geçerek ulaşabileceğini öngörmektedir. Bu yaklaşım günümüz veri iletişiminin temelini oluşturmuştur. 1962 yılında J.C.R. Licklider in MIT de tartışmaya açtığı "Galaktik Ağ" fikri internet kavramının ortaya çıkmasını sağlamıştır. Licklider dünyadaki tüm bilgisayarların birbirleri ile konuşabileceklerini ve bilgi alışverişi yapabileceğini öngörmüştür. 1965 yılında MIT de çalışan Lawrence Roberts ile Thomas Merrill ilk kez birbirlerinden fiziksel olarak uzak iki bilgisayarın iletişimini sağladılar. Roberts 1969 yılında DARPA'da çalışmaya başlamış ve günümüz internetinin çekirdeğini oluşturan "ARPANET" isimli proje önerisinde bulunmuştur. Bu proje kapsamında aynı yıl içerisinde ABD nin dört farklı yerleşkesinde bulunan bilgisayarların bir ağ üzerinden iletişimi sağlanmıştır. ARPANET in temelini oluşturan bu dört yerleşke University of California at Los Angeles (UCLA), Stanford Research Institute (SRI), University of Utah ve University of California at Santa Barbara (UCSB) dır. Bu ağa birçok katılım olmuş ve 1971 yılında ağın çalışmasını sağlayan ağ kontrol protokolü (NCP) geliştirilmiştir. 1973 yılında Xerox firmasında çalışmaya başlayan Robert Metcalf ağa bağlı bilgisayarların ortak bir yazıcıyı kullanmasına olanak tanıyan ağ kartı tasarımı ile Ethernet in keşfini başlatmıştır. Bu süreç iletişim kontrol 8
protokolü / internet protokolünün (TCP/IP) 1983 yılında ARPANET in ana protokolü kabul edilmesine kadar sürmüştür. Günümüzde internet TCP/IP protokol ailesini kullanmaktadır. Aşağıdaki bölümlerde TCP/IP protokol ailesi açıklanmaktadır. 2.2 TCP/IP Her türlü iletişimde iki tarafın karşılıklı konuşması, iletişime geçmesi, iletişimi sürdürmesi ve iletişimi sonlandırması için oluşturulan kural ve politikalar vardır. Karşılıklı olarak mutabakat sağlanan kural ve politikaların tümüne protokol denilir. İnternetin konuşma, anlaşma protokolü TCP/IP dir. TCP/IP mimarisi bilgisayarların marka ve teknolojilerinden bağımsız çalışabilmelerini sağlayan ve geniş bir kullanım alanı olan bir protokoller kümesidir. TCP/IP, OSI referans modeli gibi katmanlı bir yapıya sahiptir. Ancak OSI modeli yedi katmandan oluşurken TCP/IP protokol ailesi dört katmandan oluşmaktadır. OSI modelindeki yedi katmanda yapılan tüm işler TCP/IP de dört katmanda yapılmaktadır. OSI Modeli TCP/IP Modeli 7. Uygulama Katmanı 6. Sunum Katmanı 4. Uygulama Katmanı 5. Oturum Katmanı 4. İletişim Katmanı 3. Ağ Katmanı 3. İletişim Katmanı 2. Yönlendirme Katmanı 2. Veri Bağı Katmanı 1. Fiziksel Katman 1. Fiziksel Katman Şekil 2.1 OSI Modeli ve TCP/IP Modeli 9
Elektriksel iletimin olduğu fiziksel katman dışında her katman kendisine özgü alt protokollerden oluşmaktadır. TCP ve IP, TCP/IP mimarisinin temel protokolleridir. Her katman farklı protokolleri destekler. Bu protokoller Yorumlar için talep (Request For Comments - RFC) başlığı altında çok sayıda dokümanda açıklanmıştır. TCP/IP nin tanımlanması için çok sayıda RFC dokümanı bulunmaktadır. Örneğin TCP/IP protokol kümesindeki TCP i açıklamak için RFC 793 sayılı doküman hazırlanmıştır. Benzer şekilde RFC 959 sayılı doküman FTP yi (dosya transfer protokolü) tanımlamıştır. Garantisiz paket iletim protokolü UDP ( kullanıcı datagram (veri paketi) protokolü) ise RFC 768 sayılı doküman ile tanımlanmaktadır. RFC lerin tümünü http://www.faqs.org/rfcs/ isimli web adresinden bulmak mümkündür. TCP/IP protokolü zamanın gereksinimlerine göre yeni RFC ler ile güncellenmektedir. TCP/IP protokol kümesinde IP ikinci katmanda çalışırken, TCP üçüncü katmanda çalışmaktadır. Uygulama katmanında ise dosya transfer protokolü (FTP), dinamik isim sunucusu (DNS) gibi protokoller çalışmaktadır. Örneğin ikinci katmanda çalışan adres çözümleme protokolü (ARP) yerel alan ağı (LAN) içinde IP adresi bilinen alıcı bilgisayarın fiziksel adresini (MAC adresini) bulmak için kullanılan bir protokoldür. İnternet üzerindeki bilgisayarlar, TCP/IP nin mimarisi gereği kullanıcı/sunucu şeklinde çalışırlar. İletişimdeki iki bilgisayardan biri hizmet sunarken, diğeri hizmet alan pozisyonunda çalıştırmaktadır. İnternetin veri iletişimi IP paketleri ile yapılmaktadır. Ağın izlenmesi IP paket içeriklerinin izlenmesi anlamındadır. Bu nedenle IP nin yapısının bilinmesi bu çalışmada önemli bir yer tutmaktadır. 10
Uygulama Katmanı SMTP Rlogin FTP Telnet DNS TFTP İletişim Katmanı T C P U D P Yönlendirme Katmanı IP ICMP Fiziksel Katman IEEE 802.2 / LAPB/HDLC Ethernet, X.25, Token Ring, Dial up, vs. Şekil 2.2 TCP/IP Mimarisi 2.2.1 İletişim kontrol protokolü katmanı (TCP katmanı) TCP nin ana görevi üzerinde bulunan uygulama katmanından gelen bilgileri yığınlar (segment) haline dönüştürmek, iletişim esnasında kaybolan bilgileri tekrar göndermek ve farklı zamanlarda gelen sıralı paket parçalarını doğru sıraya sokarak birleştirmektir. TCP bir veri paketinin içeriğinin değiştirilmeden iletilmesini sağlar. Kısaca TCP bir paketin bütünlüğünü ve iletişim garantisini sağlayan protokoldür. Şekil 2.3 de bir TCP yığını gösterilmiştir. TCP katmanı büyük bir veriyi taşınabilecek büyüklükte veri parçalarına (yığınlara) ayırır. Her yığının başında bir TCP başlığı bulunmaktadır. Bu başlık bilgisi içinde kapı (port) ve paket sıra numaraları bulunmaktadır. Kapı numaraları kaynak ve varış bilgisayarlarına ait kapı numaralarıdır. Sıra numarası ise büyük bir verinin parçalandıktan sonra karşı tarafta hangi sıraya göre sıralanması gerektiğini göstermektedir. 11
Kaynak Kapısı (Port) Varış Kapısı (Port) Sıra Numarası Onay (Acknowledgement) Data Offset Reserve Pencere (Window) Kontrol Toplamı Acil İşareti (Urgent Pointer) B i l g i Şekil 2.3 TCP Yığını Kontrol toplamı yığın içindeki tüm verilerin matematiksel olarak toplanması ve TCP başlığına yazılması ile oluşur. Verinin alıcı tarafına geldiğinde tekrar toplamı alınır ve bu toplam kontrol toplamında yazılan değer ile aynı değil ise veri yolda bozulmuştur denilir. Aksi taktirde veri bozulmamıştır. Bozulan veri karşı taraftan istenir. TCP ile verilerin bütünlüğü sağlanmış olur. TCP üç yollu el sıkışması ilkesine göre iletişimi başlatır. Üç yollu el sıkışması detaylı olarak üçüncü bölümünde anlatılmıştır. 2.2.2 İnternet protokolü IP İnternet Protokolü (IP), insanlığı bilgi çağına taşıyan internet ağının temel yapı taşıdır. İnternete bağlı herhangi iki bilgisayar arasındaki iletişim bu protokol aracılığı ile sağlanır. İnternet, çok sayıda ağın birbirine bağlı olduğu bir ağlar topluluğudur. Ağ üzerinde yüksek bant genişlikli hatlardan ve hızlı yönlendiricilerden oluşan bir dizi omurga bulunmaktadır. Bu omurgalara bölgesel ve ulusal ağlar bağlanmıştır. İnternet içindeki ağları ve bilgisayarları birbirlerine bağlayan, iletişim kurmalarını sağlayan protokol IP dir. Bu neden ile IP internetin ortak dilidir. IP, ağ içerisindeki paketlerin adreslenerek iletişimi ve yönlendirilmesinden sorumludur. IP paketlerine IP Datagrams (IP veri setleri) denilmektedir. 12
2.2.2.1 İnternet protokolü (IP) paket yapısı IP paketi erişim bilgileri, kullanılan protokol bilgisi ve kontrol bilgileri gibi verilerden oluşmaktadır. Şekil 2.4 te IP paket formatı gösterilmiş ve başlık bilgilerinin açıklamaları aşağıda yapılmıştır. Sürüm IHL Hizmet Tipi T op l a m U z u n l u k Tanım Bayrak Parçalama Bilgisi Yaşam Süresi Protokol Başlık Kontrol Toplamı K a y n a k I P A d r e s i V a r ı ş I P A d r e s i S e ç e n e k l e r P a d d i n g Şekil 2.4 IP paket başlığı Sürüm : Paketin IP sürümü IHL (IP Başlık Boyu - IP Header Lenght): Başlık alanının kaç adet 32 bitlik (en az 5, en çok 15) sözcükten oluştuğunu gösterir. Hizmet Tipi: Göndericinin ağdan beklediği güvenilirlik, hız ve gecikmenin düzeyini belirtir. Ancak bu alanı mevcut yönlendiricilerin pek azı değerlendirmektedir. Toplam Uzunluk: Başlık ve verinin birlikte uzunluğunu gösterir. Tanım: Alıcının parçaları (fragment) birleştirmek için kullandığı bir değerdir. Aynı IP paketinin bütün parçalarının tanıtıcı değeri birbirinin aynıdır. Parçalama Bilgisi: Bu bölüm IP paketinin parçalama bilgilerini içerir. DF (Don t fragment) ve MF (More Fragment) bölümlerinden oluşmaktadır. DF, paketin 13
yönlendiricilerden geçerken parçalara bölmemesini gösteren bir bitlik istek alanıdır. Alıcının parçaları birleştiremediği durumlarda gereklidir. MF (More Fragment) kısmında ise bir datagramın son parçası dışındaki tüm parçalarında MF=1 dir. Bayrak : Üç tane bayrak bitinden oluşur. İlk bit bilgisi içinde bulunduğu datagramın kaç parçadan oluştuğunu belirtir. Eğer bu değer 1 ise gönderilen verinin tek datagramdan oluştuğu anlaşılır. Bu sayede alıcı veriyi aldıktan sonra başka mesajın olmadığını anlar. İkinci bayrak bilgisi ise verinin parçalanıp birçok datagram haline dönüştürüldüğünü ve gönderilen verinin en son datagram olduğunu belirtir. Üçüncü bit alanı ise saklı tutulmaktadır. Yaşam Süresi: IP paketinin alıcısına belirli bir süre içinde ulaşamaması durumunda yok edilmesini sağlayan bir alandır. Bu alana başlangıçta 255 veya daha küçük bir tam sayı yerleştirilir. Her yönlendiricide bu alandaki değer bir eksiltilir. Ayrıca yönlendiricide paket bir bekleme kuyruğuna alınırsa her geçen saniye yaşam süresi alanındaki sayıyı bir eksiltir. Sayı sıfıra ulaşırsa paket çöpe atılır. Çöpe atan yönlendirici kaynağa bir uyarı paketi gönderir. Protokol: IP nin üst katmanı olan iletişim katmanında hangi protokolün (TCP, UDP) yürütüldüğünü gösterir. Başlık Kontrol Toplamı: Başlıkta bir bozulma olup olmadığını belirlemeye yarar. Her yönlendiricide bu alandaki değer kullanılarak verinin bozulup bozulmadığı araştırılır. Sonuç olumlu ise paket bir sonraki yönlendiriciye gönderilir. Bu arada başlıktaki bazı değerler ile birlikte (örneğin yaşam süresi) bu alandaki değerde gönderilen pakette yeniden hesaplanır. Yöntem yalnızca başlıktaki hataları açığa çıkardığı için iletişim katmanının verideki muhtemel bozuklukları yakalayacak önlemler alması gerekmektedir. Kaynak ve Varış Adresleri: 32 bit uzunluğunda IP paketinin gönderildiği ve varacağı bilgisayarların IP adreslerdir. 14
Seçenekler: Bu alanda güvenlik, izlenecek yörünge, yönlendirici numaralarını ve gerçek zaman saatlerini IP paketine eklemeleri için uyarı gibi bazı ek bilgiler bulunmaktadır. Günümüz interneti IP protokolünün 4.sürümünü (IPv4) kullanmaktadır. IPv4 sınıf (class) sistemine dayalı bir sözleşmedir. Bilgisayarların iletişim sırasında uçtan uca adreslenebilmesini sağlayan IPv4 adresleri sadece 32 bitten (4 adet 8 bitten) ibarettir. 32 bitlik adres alanı teoride 4,294,967,296 tane adres yaratabilse de pratikte bu değere ulaşılamamaktadır. Bir IP adresi a.b.c.d şeklinde her biri 8 bitten oluşan bir yapıda inşa edilmiştir. a, b, c ve d harfleri ikili sayı sisteminde örneğin 10001000.11000001.00001111.10000001 şeklinde gösterilebilir. Onlu sistemde ise a,b,c,d değerleri 134.193.15.129 şeklinde gösterilmektedir. Yani a,b,c ve d değerleri 0 ile 255 arasında değerler alabilirler. IP adresleri a.b.c.d şeklindeki yapısında a nın aldığı değerlere göre alt sınıflara ayırmak mümkündür. a.b.c.d şeklindeki bir IP adresinde a değeri 1-126 arasında ise A sınıfı, 128-192 arasında B sınıfı, 193-223 arasında ise C sınıfı olarak tanımlanmaktadır. Çoklu dağıtım (multicast) amaçlı kullanılan D sınıfı ve deneysel çalışmalarda kullanılmak üzere E sınıfı da bulunmaktadır. Sınıflardaki IP adres sayıları aşağıda sıralanmıştır. A Sınıfı : 125 ağ, ağ başına yaklaşık 16 milyon adres B Sınıfı : 16382 ağ, ağ başına 65534 adres C Sınıfı : Yaklaşık 2 milyon ağ, ağ başına 256 adres D Sınıfı : Multicast kullanım için ayrılmıştır. E Sınıfı : Gelecekte kullanım için ayrılmıştır. IP adreslerinin sınıflandırmasındaki ağ ve kullanıcı (IP adresi) gösterimleri de Şekil 2.5 te verilmiştir. IP adreslerinin kıtlığı nedeni ile bir yerel alan ağının bir gerçek IP adresini kullanarak internete çıkmasını sağlamak için ağ adres dönüştürücü (NAT Network Address Translator) kullanılır. Ancak NAT kullanımı ile iki bilgisayarın uçtan uça adreslenememesi, paket bütünlüğünün korunamaması, istemci-sunucu iletişiminin sadece tek yönlü işleyebilmesi, IPSec bağlantılarının sağlanamaması, ağların sınırlı 15
ölçeklenirliği, yönetim zorlukları başlıca problemler olarak ortaya çıkmıştır. Bu problemlerin çözümü için IPv6 (IP sürüm 6) önerilmiş ve günümüzde halen çalışmaları devam etmektedir. A Sınıfı Ağ Kullanıcı a b c d B Sınıfı Ağ Kullanıcı a b c d C Sınıfı Ağ Kullanıcı a b c d D Sınıfı Kullanıcı a b c d Şekil 2.5 IPv4 te IP adreslerinin sınıflandırılması 2.3 Ağ İzleme Araçları Ağ üzerinde oluşan trafiğin analiz edilmesi için toplanması gerekmektedir. DARPA veri setleri Unix işletim sistemi üzerinde çalışan TCPdump adlı bir program ile toplanmıştır. Günümüzde bu yazılım Linux ve Windows işletim sistemlerinde de çalışmaktadır. Ayrıca TCPdump programının benzeri olan windump programı Windows işletim sisteminde çalışmaktadır. Her iki programda komut satırında çalıştırılmaktadır. Son yıllarda en yaygın ağ analiz programı Ethereal Paket Analiz (Ethereal) programıdır. Bu kısımda DARPA veri setinin toplanmasını sağlayan Tcpdump ile çalışmamızda kullandığımız Ethereal programları kısaca anlatılacaktır. 16
2.3.1 TCPdump TCPdump ağ üzerinde akan trafiği yakalayan bir yazılımdır. Genel olarak sniffer denilen, ağa hiç karışmadan ağı koklayan yazılımlardan biridir. Adında geçen TCP ön ekine rağmen ağda akan farklı protokollerdeki paketleri de yakalar. Komut satırında çalışır. Yazılımı çalıştırmadan önce yapılan filtrelemelere göre ağ üzerindeki paketleri ayıklayabilir ve yakalamak istenen veri paket tiplerini seçebilir. Raporlama ve bir dosya oluşturarak saklama yapma yeteneği vardır. 2.3.2 Ethereal Ethereal güçlü özelliklere sahip bir paket analiz programıdır. Açık kaynak kodlu olarak üretilmiştir ve hem Linux hem de Windows işletim sisteminde çalışan sürümleri vardır. Paketleri yakalar ve analiz için paketleri çözümler. Çözümleme özelliği çok gelişmiştir. Program grafik ara yüzüne sahiptir. Ethereal da TCPdump programının kullandığı yakalama ve filtreleme mekanizmalarını kullanmaktadır. TCPdump tarafından yakalanıp raporlanan dosyalar Ethereal tarafından okunabilmektedir. Ethereal in ticari bir ürün olarak Wireshark adı altında satışı yapılmaktadır. Program izleme yapılacak ağ üzerinde çalışan bir bilgisayara yüklenir ve bu bilgisayarın ağ arabirim kartına gelen paketlerin tümünü toplar. Grafik ara yüzü nedeni ile TCPdump programına göre kullanışı daha kolaydır. 2.4 Bölüm Özeti Bu bölümde internetin tarihçesinden bahsedilmiştir. İnternetin kullandığı protokol ailesi olan TCP/IP protokol ailesi ile yönlendirme ve iletişim katmanı protokolleri anlatılmıştır. TCP protokolünün yapısı ve görevleri anlatılmıştır. İnternet protokolünün yapısı, görevleri ve IP adresleme bu bölümde verilmiştir. Son olarak ağ izleme ve analiz programları olan TCPdump ve Ethereal dan bahsedilmiştir. 17
3. SALDIRI TESPİT SİSTEMLERİ (STS) Bu bölümde çalışmamızın ana konusunu oluşturan saldırı tespit sistemleri (STS) tanıtılacaktır. Saldırı, saldırı tespit ve saldırı tespit sistemleri detaylı olarak açıklanmaktadır. Saldırı yöntemleri, çeşitleri ve deneylerimizde kullanılan saldırılar bu bölümde incelenmektedir. 3.1 Tanımlar STS yi tanımlamadan önce saldırı ve saldırı tespiti nin anlamlarını açıklamak gerekmektedir. Anderson (1980) yayınladığı raporunda saldırıyı, izinsiz olarak bilgiye ulaşmak, değiştirmek, sistemi kullanılmaz veya güvenilmez hale getirmektir diye tanımlamaktadır. İnternet ve bilgisayar teknolojilerindeki gelişmeleri göz önünde bulundurarak yeni bir tanım yapabiliriz. Anderson un yaptığı bu tanımı genişletirsek bilginin gizliliği, bütünlüğü ve erişilebilirliğinin bozulması yönünde yapılan her türlü girişime saldırı demek mümkündür. Veri gizliliği verinin yetkisiz birine karşı veya üçüncü şahıslara ifşasını engeller. Veri bütünlüğü verinin doğruluğu, aslına uygun ve bozulmadığı ile ilgilenir. Erişilebilirliğinin bozulması ise hizmetin önceden belirlenmiş bir hizmet kalitesinin altına düşmesi veya verilen hizmetin tamamen işlemez veya erişilemez hale gelmesi anlamını taşımaktır. Sistem için hizmet aksatma büyük bir tehdittir (Vesely and Breclerova 2004). Saldırı tespiti ise ağ üzerinde akan verinin üçüncü şahıs veya sistemler ile izlenerek gizliliğinin, bütünlüğünün ve erişilebilirliğinin kısmen veya tamamen bozulması halinin tespit edilmesidir. 18
Saldırı Tespit Sistemleri bir ağ veya bir bilgisayara karşı yapılan her türlü saldırının tespit edilmesi ve saldırının bertaraf edilmesi için geliştirilmiş sistemlerin bütününe denir. Bilgisayar ağlarında yapılan her türlü yetkisiz erişimin tespit edilmesi ve ağ içerisinde oluşan anormalliklerin gözlenmesi, akan trafiğin analizi ile mümkün olmaktadır. STS ler ağ ve ağdaki bilgisayarların çalışmalarını izleyerek veri toplar. Toplanan veriler önceden tespit edilen saldırı motiflerine veya saldırı imzalarının yer aldığı veri tabanları ile karşılaştırılarak analiz edilirler. Analiz sonucunda kötü niyetli bir girişim tespit edilir ise STS ler bir mesaj veya bir alarm oluşturarak ağ yöneticilerini uyarırlar. Günümüzde STS ler yazılımsal ürünler olarak üretilmektedir. Ağ üzerinde ağ yöneticisinin uygun bulduğu yerlere yerleştirilmektedir. 3.2 STS lerin Sınıflandırılması STS leri analiz yaparken kullandıkları yaklaşım ve yöntemlere göre sınıflandırabiliriz. STS ler iki ana yaklaşım ile saldırıları tespit etmektedir (Moradi and Zulkernine 2004). Kötüye kullanım yolu ile saldırı tespiti: Ağda kötü amaçlı kullanımların tespitidir. Bilinen sistem açıkları ve saldırı imzalarının kullanılması ile oluşan eylemlerin araştırılması ile saldırıların tespit edilmesi olarak tanımlanabilir. Kötüye kullanım tespiti (misuse detection) ya da imza-tanımaya dayalı sistemlerde her davranışın bir imzası (karakteri) vardır. Bu imzalar daha önceden oluşturulan saldırıların davranışlarından çıkarılan şablonlardır. Bu şablonlar STS nin veri tabanında tutulmaktadır. Eğer gözlenen davranış daha önceden bilinen bir saldırı imzası (önceden çıkarılan şablon) ile eşleşiyor ise saldırı olarak sınıflandırılır. Daha önce karşılaşılmadıysa saldırı olarak nitelenmez. Bu sistemler veri tabanının güncellenmesi ile yeni saldırıları tanıyabilirler. Oluşan olayları STS nin veri tabanını kullanarak karşılaştırdıkları için saldırıyı kesin olarak tanıyabilirler. Bu nedenle yanlış alarm verme ihtimalleri yoktur. 19
Ancak veri tabanlarında olmayan yeni bir saldırı gelir ise bunu algılayamazlar (Erol 2005). Ağ üzerinde oluşan anormal ağ trafiğinin incelenmesi ile saldırıların tespiti: Anormal ağ trafiği, ağ içerisinde meşru kullanıcıların kendi hak ve sınırlarını aşması veya diğer bağlantılarda oluşan ağ akışını engelleyecek kadar ve kabul edilebilecek sınırları aşan eylemlerin ortaya çıktığı ağ trafiğidir. Anormal ağ trafikleri yoklama (probe) ve hizmet engelleme (Denial of Service DoS) olarak bilinen saldırıların oluştuğu ağlarda görülmektedir. Bu tür trafiklerin normal trafikten ayıklanarak saldırının tespit edilmesi çalışmamızın konusunu oluşturmaktadır. Normal bir sistemde kullanıcı istekleri tahmin edilebilir bir yapıdadır. Burada normal davranışın bilinmesi ve modellenmesi esastır. Ancak bundan sonra bir anormallik varsa tespit edilebilir. Normal davranış belirli kurallar ile tanımlanabilir. Bu kuralların dışında kalan davranışlar anormallik olarak değerlendirilir. Normal davranış kurallarından sapmanın şiddeti ise saldırının sınıflandırılmasında kullanılır. Daha önceden tanımlanmamış saldırıların tespit edilme olasılığının yüksek olması bu yöntemin en önemli avantajıdır. Dezavantajı ise saldırı sapmasının belirlenmesine göre yanlış alarm (false alarm) verme ihtimalinin yüksek olmasıdır (Kemmerer and Vigna 2002). Bilgisayar ağlarında oluşan anormalliklerin tespitinde istatistiksel yöntemler, yapay zeka, yapay sinir ağları, veri madenciliği, bilgisayar bağışıklık sistemi (computer immunology) gibi birçok yaklaşım kullanılmaktadır (Wu and Zhang 2003). Ayrı bir sınıflandırma ise çalışma zamanlarına göre yapılabilir (Ryan et al. 1998). Saldırı tespit sistemlerini çalışma zamanına göre çevrimiçi (online) ve çevrimdışı (offline) şeklinde ikiye ayırmak mümkündür. Çevrimdışı sistemlerde sistem belli periyotlar arasında çalışmakta ve saldırı gerçekleştikten sonra tespiti mümkün olmaktadır. Saldırının oluştuğu anda tespit edilmesini sağlayan sistemler ise çevrimiçi sistemlerdir. Bu çalışmada tespit sistemimiz çevrimdışı olarak çalışmaktadır. 20
Diğer bir sınıflandırma şekli ise izlenen kaynağın çeşidine göre sınıflandırmadır. Ağ tabanlı (network-based) ve sunucu tabanlı (host-based) tespit sistemleri diye ikiye ayırabiliriz. Ağ tabanlı tespit sistemi ağ üzerinde akan paketleri yakalar ve bunların analizi ile ilgilenir. Bu analizler sonucunda saldırı tespit edilmektedir. Sunucu tabanlı tespit sistemleri ise güvenliğinin sağlanacağı sunucu üzerine kurulurlar. Sunucunun maruz kaldığı saldırıları tespit ederler. Bu sistemler sunucuya yapılan şüpheli işlemleri takip ederek olayın içeriye ve dışarıya yapmış olduğu iletişimi inceler, sistem dosyalarının bütünlüğünü kontrol eder ve oluşan saldırıyı yakalarlar. Çalışmamızda kullandığımız saldırı tespit sistemi ağ tabanlı olarak çalışmaktadır. 3.3 Saldırı Tipleri ve Özellikleri Ağ üzerinden yapılan saldırıları 4 temel sınıfa ayırabiliriz (Erol 2005). a) Bilgi yoklama (probe): Bir sunucunun ya da herhangi bir makinanın, geçerli IP adreslerini, aktif giriş kapılarını veya işletim sisteminin öğrenilmesi amacı ile yapılan saldırılardır (Erol 2005). Örneğin saldırgan yukarıdaki bilgileri öğrenmek için kurbanın bilgisayarındaki bir kapıyı sürekli yoklayabilir. Benzer şekilde kurbanın (hedef) bilgisayarındaki tüm kapıları tarayarak içeriye giriş yapacağı açık bir kapıyı bulabilir. b) Hizmet engelleme (Denial of Service - DoS): TCP/IP protokol yapısındaki açıklardan faydalanarak veya bir sunucuya çok sayıda istek yönelterek sunucunun iş göremez hale gelmesini sağlayan saldırılardır. DoS saldırıları Şekil 3.1 deki gibi ikiye ayırmak mümkündür. The ping of death (ölümüne ping) ve Neptune saldırıları hizmet engellemeye örnek verilebilir. Bu tür saldırılar protokol hatalarından faydalanarak yapılan saldırı grubuna girmektedir. Bir sunucudan sürekli istekte bulunulmasına dayanan saldırı yöntemi hem sunucuyu hem de ağı meşgul etmektedir. ICMP paketlerinin ağ üzerinde her yöne yayılması (broadcast) ile oluşan Smurf saldırısı ve kullanıcının karşıdaki makinaya sürekli 21
ping göndermesi ile gerçekleşen Selfping saldırıları devamlı paket göndermeye dayalı DoS saldırılarına örnek teşkil etmektedir. Hizmet Engelleme (Denial of Service) Protokol Hatalarına Dayalı Devamlı Paket Göndermeye Dayalı Çok Kaynaklı Tek Kaynaklı Zombi Yansıtıcı Kullanılan Şekil 3.1 Hizmet engelleme saldırı tipleri c) Yönetici hesabı ile yerel oturum açma (Remote to Local - R2L): Kullanıcı haklarına sahip olunmadığı halde ağa izinsiz erişim yapılması ile oluşmaktadır. d) Kullanıcı hesabının yönetici hesabına yükseltilmesi (User to root - U2R): Bu tip saldırılar sisteme girme izni olan fakat yönetici olmayan bir kullanıcının izinsiz olarak yönetici haklarına sahip olması ve bu hakları kötü niyetli olarak kullanmasından doğan saldırılardır. Bilgi yoklama ve hizmet engelleme saldırıları ağ tabanlı STS ler ile engellenirken, R2L ve U2R saldırıları sunucu tabanlı STS ler ile engellenmektedir. 3.4 Tespit Edilecek Saldırılar Çalışmamızda kullandığımız DARPA eğitim veri setleri normal trafiğin yanı sıra 24 adet saldırıyı kapsamaktadır. DARPA test veri setinde ise eğitim veri seti içerisinde 22