(cid:8)STANBUL TEKN(cid:8)KÜN(cid:8)VERS(cid:8)TES(cid:8) (cid:1) FEN B(cid:8)L(cid:8)MLER(cid:8) ENST(cid:8)TÜSÜ B(cid:8)LG(cid:8)SAYAR A"LARINDA SALDIRI TESP(cid:8)T(cid:8) (cid:8)Ç(cid:8)N (cid:8)STAT(cid:8)ST(cid:8)KSEL YÖNTEM KULLANILMASI YÜKSEK L(cid:8)SANS TEZ(cid:8) Müh. Muhammed Ali AYDIN Anabilim Dal(cid:28) : B(cid:8)LG(cid:8)SAYAR MÜHEND(cid:8)SL(cid:8)"(cid:8) Program(cid:28) : B(cid:8)LG(cid:8)SAYAR MÜHEND(cid:8)SL(cid:8)"(cid:8) OCAK 2005 (cid:8)STANBUL TEKN(cid:8)KÜN(cid:8)VERS(cid:8)TES(cid:8) (cid:1) FEN B(cid:8)L(cid:8)MLER(cid:8) ENST(cid:8)TÜSÜ B(cid:8)LG(cid:8)SAYAR A"LARINDA SALDIRI TESP(cid:8)T(cid:8) (cid:8)Ç(cid:8)N (cid:8)STAT(cid:8)ST(cid:8)KSEL YÖNTEM KULLANILMASI YÜKSEK L(cid:8)SANS TEZ(cid:8) Müh. Muhammed Ali AYDIN (504011399) Tezin Enstitüye Verildi;i Tarih : 27 Aral(cid:28)k 2004 Tezin Savunuldu;u Tarih : 07 Ocak 2005 Tez Dan(cid:28)@man(cid:28): Prof. Dr. Bülent ÖRENC(cid:8)K Di;er Jüri Üyeleri Prof. Dr. (cid:8)lhami YAVUZ (Maltepe Ü.) Yrd. Doç. Dr. A. Eima ETANER-UYAR OCAK 2005 ÖNSÖZ Tez çal(cid:9)(cid:10)malar(cid:9)m boyunca gösterdi(cid:24)i her türlü destek ve yard(cid:9)mdan dolay(cid:9) çok de(cid:24)erli hocam Prof.Dr. Bülent ÖRENC’K’e, desteklerini ve gayretlerini esirgemeyen oda arkada(cid:10)(cid:9)m Ara(cid:10).Gör.Korkut Gökhan CEYLAN’a en içten dileklerimle te(cid:10)ekkür ederim. Bu çal(cid:9)(cid:10)ma boyunca manevi deste(cid:24)ini esirgemeyen Ara(cid:10).Gör. G.Zeynep GÜRKA2’a, de(cid:24)erli hocam Prof.Dr. ’lhami YAVUZ’a ve tüm arkada(cid:10)lar(cid:9)ma te(cid:10)ekkürü bir borç bilirim. Ayr(cid:9)ca e(cid:24)itim hayat(cid:9)m boyunca maddi ve manevi desteklerini esirgemeyen ve her zaman yan(cid:9)mda olan aileme de çok te(cid:10)ekkür ederim. Aral(cid:28)k 2004 Muhammed Ali AYDIN ii (cid:8)Ç(cid:8)NDEK(cid:8)LER KISALTMALAR vii TABLO L(cid:8)STES(cid:8) viii EEK(cid:8)L L(cid:8)STES(cid:8) ix SEMBOL L(cid:8)STES(cid:8) x ÖZET xi SUMMARY xiii 1. G(cid:8)R(cid:8)E 1 2. SALDIRI TESP(cid:8)T S(cid:8)STEMLER(cid:8)NE GENEL BAKIE 3 2.1 A(cid:24)ve Bilgi Güvenli(cid:24)i 3 2.1.1 Tehdit (Tehlike) 3 2.1.2 Zay(cid:9)fl(cid:9)k(Hassasiyet) 4 2.2 A(cid:24)ve Bilgi Güvenli(cid:24)inde Sald(cid:9)r(cid:9) Tespit Sistemlerinin Yeri 4 2.2.1 Sald(cid:9)r(cid:9) Tespitinin Tan(cid:9)m(cid:9) 4 2.2.2 Sald(cid:9)r(cid:9) Tespit Sistemlerinin Kullan(cid:9)lma Gerekçeleri 5 2.2.3 Güvenlik Duvarlar(cid:9) (Firewall) ve STS Aras(cid:9)ndaki Farklar 5 2.2.4 Sald(cid:9)r(cid:9) Tespit Sistemlerinin Avantaj ve Dezavantajlar(cid:9) 6 3. SALDIRI TESP(cid:8)T S(cid:8)STEMLER(cid:8)N(cid:8)NSINIFLANDIRILMASI 9 3.1 Zamana Göre STS’lerin S(cid:9)n(cid:9)fland(cid:9)r(cid:9)lmas(cid:9) 9 3.1.1 Aral(cid:9)klarla-Çal(cid:9)(cid:10)an STS’ler 9 3.1.2 Gerçek-Zamanl(cid:9) Çal(cid:9)(cid:10)an STS’ler 9 3.2 Bilgi Kaynaklar(cid:9)naGöre STS’lerin S(cid:9)n(cid:9)fland(cid:9)r(cid:9)lmas(cid:9) 9 3.2.1 A(cid:24)-Temelli STS’ler 9 3.2.2 Da(cid:24)(cid:9)t(cid:9)k-Temelli STS’ler 11 3.2.3 Sunucu-Temelli STS’ler 12 3.2.4 Uygulama-Temelli STS’ler 13 3.3 Analiz Yakla(cid:10)(cid:9)mlar(cid:9)naGöre STS’lerin S(cid:9)n(cid:9)fland(cid:9)r(cid:9)lmas(cid:9) 14 3.3.1 ’mza Temelli Sald(cid:9)r(cid:9) Tespit Sistemleri 14 3.3.2 Anormallik Temelli Sald(cid:9)r(cid:9) Tespit Sistemleri 15 3.3.2.1 ’statistiksel-Temelli Sald(cid:9)r(cid:9) Tespit Sistemleri 16 3.3.2.2 Veri Madencili(cid:24)i-Temelli Sald(cid:9)r(cid:9) Tespit Sistemleri 21 iii 3.3.2.3 Yapay Sinir A(cid:24)(cid:9)-Temelli Sald(cid:9)r(cid:9) Tespit Sistemleri 22 3.3.2.4 Genetik Algoritmalar Kullanan Sald(cid:9)r(cid:9) Tespit Sistemleri 22 3.3.2.5 Ba(cid:24)(cid:9)(cid:10)(cid:9)kl(cid:9)kSistemi-Temelli Sald(cid:9)r(cid:9) Tespit Sistemi 23 3.4 Sald(cid:9)r(cid:9)lara Verdikleri Yan(cid:9)tlara Göre STS’lerin S(cid:9)n(cid:9)fland(cid:9)r(cid:9)lmas(cid:9) 24 3.4.1 Aktif Yan(cid:9)tlar 24 3.4.2 Pasif Yan(cid:9)tlar 26 4. (cid:8)MZA TEMELL(cid:8) B(cid:8)RSALDIRI TESP(cid:8)T S(cid:8)STEM(cid:8) :SNORT 27 4.1 Snort’un Özellikleri 28 4.2 Snort’un Kötüye Kullan(cid:9)m(cid:9) Tespit Dili 29 4.3 Snort Mimarisi 30 4.4 A(cid:24)Trafi(cid:24)inin ’zlenmesi 32 4.5 Paketlerin Yakalanmas(cid:9) 33 4.5.1 Bir A(cid:24)Kart(cid:9)n(cid:9)nKar(cid:9)(cid:10)(cid:9)k Modda Çal(cid:9)(cid:10)t(cid:9)r(cid:9)lmas(cid:9) 34 4.5.2 libpcap Kütüphanesi 34 4.5.3 Snort’un libpcap Kütüphanesine Ba(cid:24)lanmas(cid:9) 35 4.6 Paketlerin Çözümlenmesi 35 4.7 Paketlerin Depolanmas(cid:9) 36 4.8 Paketlerin ’(cid:10)lenmesi 38 4.8.1 Öni(cid:10)lemciler 38 4.8.2 Öni(cid:10)lemcilerden _decode Ailesi 39 4.8.3 frag2 Öni(cid:10)lemcisi 39 4.8.4 stream4 Öni(cid:10)lemcisi 40 4.8.5 Öni(cid:10)lemcilerden portscan Ailesi 41 4.8.6 Gizli Port Taramas(cid:9) 42 4.8.7 portscan Ç(cid:9)kt(cid:9)s(cid:9) 43 4.8.8 Di(cid:24)er Öni(cid:10)lemciler 43 4.9 Kurallar(cid:9)nAyr(cid:9)(cid:10)t(cid:9)r(cid:9)lmas(cid:9) veTespit Motorlar(cid:9) 44 4.9.1 Kural Olu(cid:10)turucu 44 4.9.2 3B Ba(cid:24)l(cid:9) Liste Yap(cid:9)s(cid:9) 45 4.9.3 Snort Kural A(cid:24)ac(cid:9)n(cid:9)n Bile(cid:10)enleri 45 4.9.4 Paketlerin E(cid:10)le(cid:10)tirilmesi 46 4.10 Geçi(cid:10) Kurallar(cid:9) 48 4.11 Günlük Kurallar(cid:9) 48 4.12 Dinamik ve Aktivasyon Kurallar(cid:9) 49 4.13 Tespit Eklenti Yaz(cid:9)l(cid:9)mlar(cid:9) 49 4.14 Ç(cid:9)k(cid:9)(cid:10) veGünlük Dosyas(cid:9) 50 4.14.1 Snort’u H(cid:9)zl(cid:9) Bir Paket Yakalay(cid:9)c(cid:9)s(cid:9) Olarak Kullan(cid:9)lmas(cid:9) 51 4.14.2 Ç(cid:9)k(cid:9)(cid:10) Biçimi 52 iv 4.14.3 Diske Günlük Tutulmas(cid:9) 52 4.14.4 pcap Biçiminde Günlük Tutulmas(cid:9) 53 4.15 Sald(cid:9)r(cid:9) Tespit Modu 54 4.15.1 Alarm Modu 54 4.15.2 Günlük Modu 55 4.15.3 Günlük Biçimleri 55 4.15.4 Veritaban(cid:9)na Günlük Tutulmas(cid:9) 56 4.15.5 Snort Uç Nokta Raporlamas(cid:9) 57 5. (cid:8)STAT(cid:8)ST(cid:8)KSEL YAKLAEIMLA ANORMALL(cid:8)KTEMELL(cid:8) STS: PHAD 59 5.1 PHAD: Paket Ba(cid:10)l(cid:9)klar(cid:9)na Bak(cid:9)larak Anormallik Tespiti 59 5.1.1 Protokol Modeli 59 5.1.2 Zaman-Temelli Model 60 5.1.3 PHAD’(cid:9)nAnormallik Tespitinde Kulland(cid:9)(cid:24)(cid:9) Özellikler 62 5.1.4 PHAD’(cid:9)nAnormallik Tespitinde Getirdi(cid:24)i Yenilikler 63 5.1.5 Modelin ’yile(cid:10)tirilmesi 64 6. DENEYSEL ÇALIEMALAR 65 6.1 1998 ve 1999 Darpa Lincoln STS De(cid:24)erlendirmesi 65 6.1.1 IDEVAL De(cid:24)erlendirme Verisi 65 6.1.2 IDEVAL Verisinin Olu(cid:10)turuldu(cid:24)uA(cid:24)Topolojisi ve Simülasyonun Detaylar(cid:9) 66 6.2 PHAD ile ’lgili Yap(cid:9)lan Çal(cid:9)(cid:10)malar(cid:9)nDe(cid:24)erlendirilmesi 67 6.3 PHAD’(cid:9)nÖni(cid:10)lemci Olarak Snort’a Eklenmesi 71 6.3.1 PHAD’(cid:9)nSnort’a Eklenmesi 72 6.3.2 EVAL’in Snort’a Ç(cid:9)k(cid:9)(cid:10) Ek-Yaz(cid:9)l(cid:9)m(cid:9) Olarak Eklenmesi 73 6.4 Snort’un Anormallik Tespiti Öni(cid:10)lemcileri Eklenmeden Önceki Ba(cid:10)ar(cid:9)m(cid:9)77 6.5 Öni(cid:10)lemci Olarak PHAD Eklenmi(cid:10) Snort’un Ba(cid:10)ar(cid:9)m(cid:9) 79 6.5.1 Afil’siz PHAD Eklenmi(cid:10) Snort’un Ba(cid:10)ar(cid:9)m(cid:9) 80 6.5.2 Afil’li PHAD Eklenmi(cid:10) Snort’un Ba(cid:10)ar(cid:9)m(cid:9) 83 7. SONUÇLAR VE YORUM 85 KAYNAKLAR 88 EKLER 92 EK A. SALDIRILARIN SINIFLANDIRILMASI 92 EK B. SALDIRILARIN AÇIKLAMASI 94 v EK C. KARMA S’STEM’NÇALI2MASI SONUCU ELDE ED’LEN AF’L’L’ PHAD((cid:1)t3n/r)’IN EVAL ÇIKI2 DOSYASI 100 ÖZGEÇM(cid:8)E 110 vi KISALTMALAR STS : Sald(cid:9)r(cid:9) Tespit Sistemi PHAD : Packet Header Anomaly Detection IDEVAL : Intrusion Detection Evaluation DARPA : The Defense Advanced Research Projects Agency EVAL : Evaluation AFIL : Alarm Filter FA : False Alarms HTTP : Hypertext Transfer Protocol ICMP : Internet Control Message Protocol IP : Internet Protocol TCP : Transmission Control Protocol UDP :User Datagram Protocol DOS : Denial of Service R2L :Remote-to-local Attack SNMP : Simple Network Management Protocol U2R :User-to-root Attack vii TABLO L(cid:8)STES(cid:8) Sayfa No Tablo 4.1. Kullan(cid:9)l(cid:9)rDurumda Olan Di(cid:24)er Snort Öni(cid:10)lemcileri...............................44 Tablo 6.1. Anormallik Skoru Hesab(cid:9)ndat1/2için Tespit Edilen Sald(cid:9)r(cid:9) Adedi.........67 Tablo 6.2. Anormallik Skoru Hesab(cid:9)ndat için Tespit Edilen Sald(cid:9)r(cid:9) Adedi.............68 Tablo 6.3. Anormallik Skoru Hesab(cid:9)ndat2 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi..........69 Tablo 6.3. Anormallik Skoru Hesab(cid:9)ndat3 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi..........69 Tablo 6.4. Anormallik Skoru Hesab(cid:9)ndat4 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi..........70 Tablo 6.5. Anormallik Skoru Hesab(cid:9)ndat5 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi..........71 Tablo 6.6. PHAD((cid:1)t3n/r)’(cid:9)nEVAL’den Geçirilmi(cid:10) Ç(cid:9)kt(cid:9)s(cid:9)................................74 Tablo 6.7. PHAD((cid:1)tn/r)’(cid:9)nEVAL’den Geçirilmi(cid:10) Ç(cid:9)kt(cid:9)s(cid:9)..................................75 Tablo 6.8. PHAD((cid:1)tn/r)’(cid:9)nEVAL’den Geçirilmi(cid:10) Ç(cid:9)kt(cid:9)s(cid:9)(Afil’li).....................76 Tablo 6.9. PHAD((cid:1)t3n/r)’(cid:9)nEVAL’den Geçirilmi(cid:10) Ç(cid:9)kt(cid:9)s(cid:9)(Afil’li)....................76 Tablo 6.10. IDEVAL Veri Setinde Yer Alan 4. ve 5. Hafta tcpdump Dosyalar(cid:9) ve Ait Olduklar(cid:9) Günler..........................................................................................77 Tablo 6.11. Snort Taraf(cid:9)ndan Tespit Edilen Sald(cid:9)r(cid:9)lar..............................................78 Tablo 6.12. IDEVAL Veri Setinde Yer Alan 3. Hafta tcpdump Dosyalar(cid:9) ve Ait Olduklar(cid:9) Günler..........................................................................................80 Tablo 6.13. Sadece PHAD((cid:1)t3n/r)’(cid:9)nTespit Etti(cid:24)i Sald(cid:9)r(cid:9)lar..............................81 Tablo 6.14. Afil’li PHAD’(cid:9)n, Afil’siz Snort+PHAD’dan Farkl(cid:9) Olarak Tespit Etti(cid:24)i Sald(cid:9)r(cid:9)lar.......................................................................................................84 Tablo 7.1. t-FA De(cid:24)i(cid:10)imine Göre Tespit Edilen Sald(cid:9)r(cid:9) Adedi.................................85 viii EEK(cid:8)L L(cid:8)STES(cid:8) Sayfa No Eekil 3.1 : A(cid:24)-Temelli STS Kullan(cid:9)lan A(cid:24)Topolojisi..............................................10 Eekil 3.2 : Da(cid:24)(cid:9)t(cid:9)k-Temelli STS A(cid:24)Topolojisi.........................................................11 Eekil 3.3 : Sunucu-Temelli STS Kullan(cid:9)lan A(cid:24)Topolojisi.......................................12 Eekil 4.1 : Snort Kural Yap(cid:9)s(cid:9)....................................................................................29 Eekil 4.2 : Snort Bile(cid:10)enleri.......................................................................................31 Eekil 4.3 : Snort’un Paketleri ’(cid:10)leme Döngüsü..........................................................32 Eekil 4.4 : Örnek A(cid:24)Yap(cid:9)s(cid:9).......................................................................................33 Eekil 4.5 : TCP Oturumu...........................................................................................40 Eekil 4.6 : TCP Ba(cid:10)l(cid:9)(cid:24)(cid:9)..............................................................................................42 Eekil 6.1 : IDEVAL De(cid:24)erlendirme Verisinin 1999 Test Ortam(cid:9) Blok Diyagram(cid:9)..66 Eekil 6.2 : t1/2için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9)....................................68 Eekil 6.3 : t için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9).......................................68 Eekil 6.4 : t2 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9).....................................69 Eekil 6.4 : t3 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9).....................................70 Eekil 6.5 : t4 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9).....................................70 Eekil 6.6 : t5 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9).....................................71 Eekil 6.7 : Snort ile Tespit Edilen Sald(cid:9)r(cid:9)lar(cid:9)nGünlere Göre Da(cid:24)(cid:9)l(cid:9)m(cid:9).....................78 Eekil 6.8 : Snort+PHAD ile Tespit Edilen Sald(cid:9)r(cid:9)lar(cid:9)nGünlere Göre Da(cid:24)(cid:9)l(cid:9)m(cid:9)(Afil’siz)........................................................................................81 Eekil 6.9 : Snort+PHAD ile Tespit Edilen Sald(cid:9)r(cid:9)lar(cid:9)nGünlere Göre Da(cid:24)(cid:9)l(cid:9)m(cid:9)(Afil’li)83 Eekil 7.1 : t-FA De(cid:24)i(cid:10)imine Göre Tespit Edilen Sald(cid:9)r(cid:9) Adedi Da(cid:24)(cid:9)l(cid:9)m(cid:9)..................85 Eekil 7.2 : Geli(cid:10)tirilen Karma Sistemin Günlere Göre Tespit Etti(cid:24)i Sald(cid:9)r(cid:9)lar (Afil’siz).......................................................................................................86 Eekil 7.3 : Geli(cid:10)tirilen Karma Sistemin Günlere Göre Tespit Etti(cid:24)i Sald(cid:9)r(cid:9)lar (Afil’li)87 ix
Description: