ebook img

YÜKSEK LİSANS TEZİ Müh. Muhammed Ali AYDIN Anabilim Dalı PDF

125 Pages·2005·1.58 MB·Turkish
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview YÜKSEK LİSANS TEZİ Müh. Muhammed Ali AYDIN Anabilim Dalı

(cid:8)STANBUL TEKN(cid:8)KÜN(cid:8)VERS(cid:8)TES(cid:8) (cid:1) FEN B(cid:8)L(cid:8)MLER(cid:8) ENST(cid:8)TÜSÜ B(cid:8)LG(cid:8)SAYAR A"LARINDA SALDIRI TESP(cid:8)T(cid:8) (cid:8)Ç(cid:8)N (cid:8)STAT(cid:8)ST(cid:8)KSEL YÖNTEM KULLANILMASI YÜKSEK L(cid:8)SANS TEZ(cid:8) Müh. Muhammed Ali AYDIN Anabilim Dal(cid:28) : B(cid:8)LG(cid:8)SAYAR MÜHEND(cid:8)SL(cid:8)"(cid:8) Program(cid:28) : B(cid:8)LG(cid:8)SAYAR MÜHEND(cid:8)SL(cid:8)"(cid:8) OCAK 2005 (cid:8)STANBUL TEKN(cid:8)KÜN(cid:8)VERS(cid:8)TES(cid:8) (cid:1) FEN B(cid:8)L(cid:8)MLER(cid:8) ENST(cid:8)TÜSÜ B(cid:8)LG(cid:8)SAYAR A"LARINDA SALDIRI TESP(cid:8)T(cid:8) (cid:8)Ç(cid:8)N (cid:8)STAT(cid:8)ST(cid:8)KSEL YÖNTEM KULLANILMASI YÜKSEK L(cid:8)SANS TEZ(cid:8) Müh. Muhammed Ali AYDIN (504011399) Tezin Enstitüye Verildi;i Tarih : 27 Aral(cid:28)k 2004 Tezin Savunuldu;u Tarih : 07 Ocak 2005 Tez Dan(cid:28)@man(cid:28): Prof. Dr. Bülent ÖRENC(cid:8)K Di;er Jüri Üyeleri Prof. Dr. (cid:8)lhami YAVUZ (Maltepe Ü.) Yrd. Doç. Dr. A. Eima ETANER-UYAR OCAK 2005 ÖNSÖZ Tez çal(cid:9)(cid:10)malar(cid:9)m boyunca gösterdi(cid:24)i her türlü destek ve yard(cid:9)mdan dolay(cid:9) çok de(cid:24)erli hocam Prof.Dr. Bülent ÖRENC’K’e, desteklerini ve gayretlerini esirgemeyen oda arkada(cid:10)(cid:9)m Ara(cid:10).Gör.Korkut Gökhan CEYLAN’a en içten dileklerimle te(cid:10)ekkür ederim. Bu çal(cid:9)(cid:10)ma boyunca manevi deste(cid:24)ini esirgemeyen Ara(cid:10).Gör. G.Zeynep GÜRKA2’a, de(cid:24)erli hocam Prof.Dr. ’lhami YAVUZ’a ve tüm arkada(cid:10)lar(cid:9)ma te(cid:10)ekkürü bir borç bilirim. Ayr(cid:9)ca e(cid:24)itim hayat(cid:9)m boyunca maddi ve manevi desteklerini esirgemeyen ve her zaman yan(cid:9)mda olan aileme de çok te(cid:10)ekkür ederim. Aral(cid:28)k 2004 Muhammed Ali AYDIN ii (cid:8)Ç(cid:8)NDEK(cid:8)LER KISALTMALAR vii TABLO L(cid:8)STES(cid:8) viii EEK(cid:8)L L(cid:8)STES(cid:8) ix SEMBOL L(cid:8)STES(cid:8) x ÖZET xi SUMMARY xiii 1. G(cid:8)R(cid:8)E 1 2. SALDIRI TESP(cid:8)T S(cid:8)STEMLER(cid:8)NE GENEL BAKIE 3 2.1 A(cid:24)ve Bilgi Güvenli(cid:24)i 3 2.1.1 Tehdit (Tehlike) 3 2.1.2 Zay(cid:9)fl(cid:9)k(Hassasiyet) 4 2.2 A(cid:24)ve Bilgi Güvenli(cid:24)inde Sald(cid:9)r(cid:9) Tespit Sistemlerinin Yeri 4 2.2.1 Sald(cid:9)r(cid:9) Tespitinin Tan(cid:9)m(cid:9) 4 2.2.2 Sald(cid:9)r(cid:9) Tespit Sistemlerinin Kullan(cid:9)lma Gerekçeleri 5 2.2.3 Güvenlik Duvarlar(cid:9) (Firewall) ve STS Aras(cid:9)ndaki Farklar 5 2.2.4 Sald(cid:9)r(cid:9) Tespit Sistemlerinin Avantaj ve Dezavantajlar(cid:9) 6 3. SALDIRI TESP(cid:8)T S(cid:8)STEMLER(cid:8)N(cid:8)NSINIFLANDIRILMASI 9 3.1 Zamana Göre STS’lerin S(cid:9)n(cid:9)fland(cid:9)r(cid:9)lmas(cid:9) 9 3.1.1 Aral(cid:9)klarla-Çal(cid:9)(cid:10)an STS’ler 9 3.1.2 Gerçek-Zamanl(cid:9) Çal(cid:9)(cid:10)an STS’ler 9 3.2 Bilgi Kaynaklar(cid:9)naGöre STS’lerin S(cid:9)n(cid:9)fland(cid:9)r(cid:9)lmas(cid:9) 9 3.2.1 A(cid:24)-Temelli STS’ler 9 3.2.2 Da(cid:24)(cid:9)t(cid:9)k-Temelli STS’ler 11 3.2.3 Sunucu-Temelli STS’ler 12 3.2.4 Uygulama-Temelli STS’ler 13 3.3 Analiz Yakla(cid:10)(cid:9)mlar(cid:9)naGöre STS’lerin S(cid:9)n(cid:9)fland(cid:9)r(cid:9)lmas(cid:9) 14 3.3.1 ’mza Temelli Sald(cid:9)r(cid:9) Tespit Sistemleri 14 3.3.2 Anormallik Temelli Sald(cid:9)r(cid:9) Tespit Sistemleri 15 3.3.2.1 ’statistiksel-Temelli Sald(cid:9)r(cid:9) Tespit Sistemleri 16 3.3.2.2 Veri Madencili(cid:24)i-Temelli Sald(cid:9)r(cid:9) Tespit Sistemleri 21 iii 3.3.2.3 Yapay Sinir A(cid:24)(cid:9)-Temelli Sald(cid:9)r(cid:9) Tespit Sistemleri 22 3.3.2.4 Genetik Algoritmalar Kullanan Sald(cid:9)r(cid:9) Tespit Sistemleri 22 3.3.2.5 Ba(cid:24)(cid:9)(cid:10)(cid:9)kl(cid:9)kSistemi-Temelli Sald(cid:9)r(cid:9) Tespit Sistemi 23 3.4 Sald(cid:9)r(cid:9)lara Verdikleri Yan(cid:9)tlara Göre STS’lerin S(cid:9)n(cid:9)fland(cid:9)r(cid:9)lmas(cid:9) 24 3.4.1 Aktif Yan(cid:9)tlar 24 3.4.2 Pasif Yan(cid:9)tlar 26 4. (cid:8)MZA TEMELL(cid:8) B(cid:8)RSALDIRI TESP(cid:8)T S(cid:8)STEM(cid:8) :SNORT 27 4.1 Snort’un Özellikleri 28 4.2 Snort’un Kötüye Kullan(cid:9)m(cid:9) Tespit Dili 29 4.3 Snort Mimarisi 30 4.4 A(cid:24)Trafi(cid:24)inin ’zlenmesi 32 4.5 Paketlerin Yakalanmas(cid:9) 33 4.5.1 Bir A(cid:24)Kart(cid:9)n(cid:9)nKar(cid:9)(cid:10)(cid:9)k Modda Çal(cid:9)(cid:10)t(cid:9)r(cid:9)lmas(cid:9) 34 4.5.2 libpcap Kütüphanesi 34 4.5.3 Snort’un libpcap Kütüphanesine Ba(cid:24)lanmas(cid:9) 35 4.6 Paketlerin Çözümlenmesi 35 4.7 Paketlerin Depolanmas(cid:9) 36 4.8 Paketlerin ’(cid:10)lenmesi 38 4.8.1 Öni(cid:10)lemciler 38 4.8.2 Öni(cid:10)lemcilerden _decode Ailesi 39 4.8.3 frag2 Öni(cid:10)lemcisi 39 4.8.4 stream4 Öni(cid:10)lemcisi 40 4.8.5 Öni(cid:10)lemcilerden portscan Ailesi 41 4.8.6 Gizli Port Taramas(cid:9) 42 4.8.7 portscan Ç(cid:9)kt(cid:9)s(cid:9) 43 4.8.8 Di(cid:24)er Öni(cid:10)lemciler 43 4.9 Kurallar(cid:9)nAyr(cid:9)(cid:10)t(cid:9)r(cid:9)lmas(cid:9) veTespit Motorlar(cid:9) 44 4.9.1 Kural Olu(cid:10)turucu 44 4.9.2 3B Ba(cid:24)l(cid:9) Liste Yap(cid:9)s(cid:9) 45 4.9.3 Snort Kural A(cid:24)ac(cid:9)n(cid:9)n Bile(cid:10)enleri 45 4.9.4 Paketlerin E(cid:10)le(cid:10)tirilmesi 46 4.10 Geçi(cid:10) Kurallar(cid:9) 48 4.11 Günlük Kurallar(cid:9) 48 4.12 Dinamik ve Aktivasyon Kurallar(cid:9) 49 4.13 Tespit Eklenti Yaz(cid:9)l(cid:9)mlar(cid:9) 49 4.14 Ç(cid:9)k(cid:9)(cid:10) veGünlük Dosyas(cid:9) 50 4.14.1 Snort’u H(cid:9)zl(cid:9) Bir Paket Yakalay(cid:9)c(cid:9)s(cid:9) Olarak Kullan(cid:9)lmas(cid:9) 51 4.14.2 Ç(cid:9)k(cid:9)(cid:10) Biçimi 52 iv 4.14.3 Diske Günlük Tutulmas(cid:9) 52 4.14.4 pcap Biçiminde Günlük Tutulmas(cid:9) 53 4.15 Sald(cid:9)r(cid:9) Tespit Modu 54 4.15.1 Alarm Modu 54 4.15.2 Günlük Modu 55 4.15.3 Günlük Biçimleri 55 4.15.4 Veritaban(cid:9)na Günlük Tutulmas(cid:9) 56 4.15.5 Snort Uç Nokta Raporlamas(cid:9) 57 5. (cid:8)STAT(cid:8)ST(cid:8)KSEL YAKLAEIMLA ANORMALL(cid:8)KTEMELL(cid:8) STS: PHAD 59 5.1 PHAD: Paket Ba(cid:10)l(cid:9)klar(cid:9)na Bak(cid:9)larak Anormallik Tespiti 59 5.1.1 Protokol Modeli 59 5.1.2 Zaman-Temelli Model 60 5.1.3 PHAD’(cid:9)nAnormallik Tespitinde Kulland(cid:9)(cid:24)(cid:9) Özellikler 62 5.1.4 PHAD’(cid:9)nAnormallik Tespitinde Getirdi(cid:24)i Yenilikler 63 5.1.5 Modelin ’yile(cid:10)tirilmesi 64 6. DENEYSEL ÇALIEMALAR 65 6.1 1998 ve 1999 Darpa Lincoln STS De(cid:24)erlendirmesi 65 6.1.1 IDEVAL De(cid:24)erlendirme Verisi 65 6.1.2 IDEVAL Verisinin Olu(cid:10)turuldu(cid:24)uA(cid:24)Topolojisi ve Simülasyonun Detaylar(cid:9) 66 6.2 PHAD ile ’lgili Yap(cid:9)lan Çal(cid:9)(cid:10)malar(cid:9)nDe(cid:24)erlendirilmesi 67 6.3 PHAD’(cid:9)nÖni(cid:10)lemci Olarak Snort’a Eklenmesi 71 6.3.1 PHAD’(cid:9)nSnort’a Eklenmesi 72 6.3.2 EVAL’in Snort’a Ç(cid:9)k(cid:9)(cid:10) Ek-Yaz(cid:9)l(cid:9)m(cid:9) Olarak Eklenmesi 73 6.4 Snort’un Anormallik Tespiti Öni(cid:10)lemcileri Eklenmeden Önceki Ba(cid:10)ar(cid:9)m(cid:9)77 6.5 Öni(cid:10)lemci Olarak PHAD Eklenmi(cid:10) Snort’un Ba(cid:10)ar(cid:9)m(cid:9) 79 6.5.1 Afil’siz PHAD Eklenmi(cid:10) Snort’un Ba(cid:10)ar(cid:9)m(cid:9) 80 6.5.2 Afil’li PHAD Eklenmi(cid:10) Snort’un Ba(cid:10)ar(cid:9)m(cid:9) 83 7. SONUÇLAR VE YORUM 85 KAYNAKLAR 88 EKLER 92 EK A. SALDIRILARIN SINIFLANDIRILMASI 92 EK B. SALDIRILARIN AÇIKLAMASI 94 v EK C. KARMA S’STEM’NÇALI2MASI SONUCU ELDE ED’LEN AF’L’L’ PHAD((cid:1)t3n/r)’IN EVAL ÇIKI2 DOSYASI 100 ÖZGEÇM(cid:8)E 110 vi KISALTMALAR STS : Sald(cid:9)r(cid:9) Tespit Sistemi PHAD : Packet Header Anomaly Detection IDEVAL : Intrusion Detection Evaluation DARPA : The Defense Advanced Research Projects Agency EVAL : Evaluation AFIL : Alarm Filter FA : False Alarms HTTP : Hypertext Transfer Protocol ICMP : Internet Control Message Protocol IP : Internet Protocol TCP : Transmission Control Protocol UDP :User Datagram Protocol DOS : Denial of Service R2L :Remote-to-local Attack SNMP : Simple Network Management Protocol U2R :User-to-root Attack vii TABLO L(cid:8)STES(cid:8) Sayfa No Tablo 4.1. Kullan(cid:9)l(cid:9)rDurumda Olan Di(cid:24)er Snort Öni(cid:10)lemcileri...............................44 Tablo 6.1. Anormallik Skoru Hesab(cid:9)ndat1/2için Tespit Edilen Sald(cid:9)r(cid:9) Adedi.........67 Tablo 6.2. Anormallik Skoru Hesab(cid:9)ndat için Tespit Edilen Sald(cid:9)r(cid:9) Adedi.............68 Tablo 6.3. Anormallik Skoru Hesab(cid:9)ndat2 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi..........69 Tablo 6.3. Anormallik Skoru Hesab(cid:9)ndat3 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi..........69 Tablo 6.4. Anormallik Skoru Hesab(cid:9)ndat4 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi..........70 Tablo 6.5. Anormallik Skoru Hesab(cid:9)ndat5 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi..........71 Tablo 6.6. PHAD((cid:1)t3n/r)’(cid:9)nEVAL’den Geçirilmi(cid:10) Ç(cid:9)kt(cid:9)s(cid:9)................................74 Tablo 6.7. PHAD((cid:1)tn/r)’(cid:9)nEVAL’den Geçirilmi(cid:10) Ç(cid:9)kt(cid:9)s(cid:9)..................................75 Tablo 6.8. PHAD((cid:1)tn/r)’(cid:9)nEVAL’den Geçirilmi(cid:10) Ç(cid:9)kt(cid:9)s(cid:9)(Afil’li).....................76 Tablo 6.9. PHAD((cid:1)t3n/r)’(cid:9)nEVAL’den Geçirilmi(cid:10) Ç(cid:9)kt(cid:9)s(cid:9)(Afil’li)....................76 Tablo 6.10. IDEVAL Veri Setinde Yer Alan 4. ve 5. Hafta tcpdump Dosyalar(cid:9) ve Ait Olduklar(cid:9) Günler..........................................................................................77 Tablo 6.11. Snort Taraf(cid:9)ndan Tespit Edilen Sald(cid:9)r(cid:9)lar..............................................78 Tablo 6.12. IDEVAL Veri Setinde Yer Alan 3. Hafta tcpdump Dosyalar(cid:9) ve Ait Olduklar(cid:9) Günler..........................................................................................80 Tablo 6.13. Sadece PHAD((cid:1)t3n/r)’(cid:9)nTespit Etti(cid:24)i Sald(cid:9)r(cid:9)lar..............................81 Tablo 6.14. Afil’li PHAD’(cid:9)n, Afil’siz Snort+PHAD’dan Farkl(cid:9) Olarak Tespit Etti(cid:24)i Sald(cid:9)r(cid:9)lar.......................................................................................................84 Tablo 7.1. t-FA De(cid:24)i(cid:10)imine Göre Tespit Edilen Sald(cid:9)r(cid:9) Adedi.................................85 viii EEK(cid:8)L L(cid:8)STES(cid:8) Sayfa No Eekil 3.1 : A(cid:24)-Temelli STS Kullan(cid:9)lan A(cid:24)Topolojisi..............................................10 Eekil 3.2 : Da(cid:24)(cid:9)t(cid:9)k-Temelli STS A(cid:24)Topolojisi.........................................................11 Eekil 3.3 : Sunucu-Temelli STS Kullan(cid:9)lan A(cid:24)Topolojisi.......................................12 Eekil 4.1 : Snort Kural Yap(cid:9)s(cid:9)....................................................................................29 Eekil 4.2 : Snort Bile(cid:10)enleri.......................................................................................31 Eekil 4.3 : Snort’un Paketleri ’(cid:10)leme Döngüsü..........................................................32 Eekil 4.4 : Örnek A(cid:24)Yap(cid:9)s(cid:9).......................................................................................33 Eekil 4.5 : TCP Oturumu...........................................................................................40 Eekil 4.6 : TCP Ba(cid:10)l(cid:9)(cid:24)(cid:9)..............................................................................................42 Eekil 6.1 : IDEVAL De(cid:24)erlendirme Verisinin 1999 Test Ortam(cid:9) Blok Diyagram(cid:9)..66 Eekil 6.2 : t1/2için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9)....................................68 Eekil 6.3 : t için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9).......................................68 Eekil 6.4 : t2 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9).....................................69 Eekil 6.4 : t3 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9).....................................70 Eekil 6.5 : t4 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9).....................................70 Eekil 6.6 : t5 için Tespit Edilen Sald(cid:9)r(cid:9) Adedi-FA Da(cid:24)(cid:9)l(cid:9)m(cid:9).....................................71 Eekil 6.7 : Snort ile Tespit Edilen Sald(cid:9)r(cid:9)lar(cid:9)nGünlere Göre Da(cid:24)(cid:9)l(cid:9)m(cid:9).....................78 Eekil 6.8 : Snort+PHAD ile Tespit Edilen Sald(cid:9)r(cid:9)lar(cid:9)nGünlere Göre Da(cid:24)(cid:9)l(cid:9)m(cid:9)(Afil’siz)........................................................................................81 Eekil 6.9 : Snort+PHAD ile Tespit Edilen Sald(cid:9)r(cid:9)lar(cid:9)nGünlere Göre Da(cid:24)(cid:9)l(cid:9)m(cid:9)(Afil’li)83 Eekil 7.1 : t-FA De(cid:24)i(cid:10)imine Göre Tespit Edilen Sald(cid:9)r(cid:9) Adedi Da(cid:24)(cid:9)l(cid:9)m(cid:9)..................85 Eekil 7.2 : Geli(cid:10)tirilen Karma Sistemin Günlere Göre Tespit Etti(cid:24)i Sald(cid:9)r(cid:9)lar (Afil’siz).......................................................................................................86 Eekil 7.3 : Geli(cid:10)tirilen Karma Sistemin Günlere Göre Tespit Etti(cid:24)i Sald(cid:9)r(cid:9)lar (Afil’li)87 ix

Description:
Programı : BİLGİSAYAR MÜHENDİSLİĞİ. OCAK 2005. BİLGİSAYAR veri toplanır ve bazı değerlendirme kriterlerine göre kümelere(clusters) yerleştirilir. Bu değerlendirmeler bir vektör şeklinde output database: log, mysql, user=snort password=x dbname=snort host=mysql. Önişlemcilerde
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.