Veri Madenciliği İle Saldırı Tespiti

[SeRCii]

Veri Madenciliği İle Saldırı Tespiti


Son yıllarda ağ teknolojilerinde yaşanan baş döndürücü gelişmeler hemen her işin bilgisayar ağları üzerinden yapılmasını mümkün hale getirmiştir. Bilgisayar sistemleri ve bilgisayar ağlarının gelişmesi ile aya insan göndermek, uluslararası ticaret yapmak, pilotsuz uçakları savaştırmak gibi işler yapılabilir hale gelmiştir. Fakat insanlar bunlara rağmen bilgisayar sistemleri ve bilgisayar ağlarına tam olarak güvenememektedirler.



Güvensizliğin temelinde ise bilgi-işlemin saldırılar karşısında tam başarılı olamaması vardır. Güvenlik, sağlam bir mühendislik ve sosyal altyapı gerektirmektedir.



Güvenlik uzmanları bir sistemin kaynaklarını yetkisiz erişimlerden korumak ve sistemin kesintisiz çalışmasını sağlamak için uğraşırlar. Bu işi yapabilmek için sisteme yapılan saldırıların tanınması önemli bir yer tutar. Böylece saldırı davranışları bulunabilir ve saldırıda kullanılan yöntemler bulunabilir. Bir sisteme yapılan saldırıların tanınması işine saldırı tespiti adı verilir.



Saldırı tespiti için çeşitli teknikler kullanılmaktadır. Bu tekniklerin birbirine göre avantaj ve dezavantajları bulunup son zamanlarda saldırı tespiti için veri madenciliği tekniği de etkin olarak kullanılmaya başlanmıştır. Veri madenciliği tekniğinin kullanılmasının en önemli sebebi kullanıcıların erişim yaptıkları sisteme denetleme verisi bırakmalarıdır.



Bu çalışmada veri madenciliği tekniğini web sunucu üzerindeki günlük verilerine uygulayarak saldırı tespiti yapılmaya çalışılmıştır.



1. Güvenlik ve Güvenlik Politikası Nedir?



En genel anlamıyla güvenlik; eldeki kaynakların istenmeyen etkilerden korunmasıdır. Zararlara maruz kalan bilişim sistemleri öngörülen hizmetleri sunamaz veya sistemin bazı unsurları hizmet veremez. Bilişim sistemlerinin güvenliği gizlilik, bütünlük ve süreklilik ile sağlanır.



Bilişim sistemlerinin güvenliği, bilgisayar sistem güvenliği ve iletişim güvenliğinin sağlanması ile mümkün olabilmektedir.



Güvenlik politikası ise duyarlı verinin bir kurum içerisinde yönetimi, korunması ve dağıtımı ile ilgili düzenleme, ilke ve usullerin tümüdür.



Gizlilik: Duyarlı nesnelerin erişim yetkisi verilen özneler için yetki verilen süre içerisinde kullanıma açık tutulmasıdır.



Bütünlük: Duyarlı nesnelerin erişim yetkisi verilen özneler için yetkiye uygun olarak değiştirilebilmesidir.



Süreklilik: Duyarlı nesnelerin erişim yetkisi bulunmayanlar için kullanımının engellenmesi, yetkisi bulunanlar için ise hazır sunulmasıdır [1].



2. Saldırı Nedir?



Yukarıda belirtilen güvenlik hedeflerini tehlikeye atmaya çalışan girişimlere saldırı adı verilir. Bir girişimin saldırı olup olmadığına güvenlik politikası karar verir [2].



3. Saldırı Tipleri Nelerdir?



Bir kurumun bilgisayar sistemine girmek isteyenler en çok aşağıdaki yöntemleri kullanmaktadırlar.



- Servisin reddedilmesi (denial-of service)



- Tarama ve deneme (scanning and probing)



- Şifre atakları



- Hak ele geçirme



- Sisteme düşman kodu yerleştirme



- Tahrip etme (vandalism)



- Dolandırıcılık, kötüye kullanım



- Günlük dosyalarını silme



- Güvenlik mimarisini değiştirme



Saldırılar temel olarak dahili ve harici saldırılar şeklinde iki gruba ayrılabilir. Bu saldırıların büyük çoğunluğu ise dahili saldırılar şeklinde olmaktadır (%80).



Ayrıca bu saldırıları düzenleyenler; kurum çalışanları, hackerlar, virüs yazan kişiler, yasadışı gruplar ve teröristler olabilir [3].



4. Saldırı Engelleme ve Saldırı Tespiti



Bilişim suçları ile savaşabilmek ve sistemlerin güvenliğini arttırabilmek için sistematik çalışmalar gerekmektedir. Kurumsal güvenliği artırıcı çalışmalar şunlardır:



- Güvenlik politikaları ve prosedürler



- Teknoloji



- Eğitim ve bilgilendirme



Güvenlik politikaları ve buna bağlı olarak oluşturulacak prosedürler işin temelini oluşturur. Şifreleme ve uygulamaları, güvenlik duvarları, gelişmiş tanımlama ve yetkilendirme mekanizmaları teknolojik çözümlerdir.



Genellikle saldırıların tipini biliriz fakat saldırının hangi adresten veya hangi port'tan geldiğini bilmeden engel olmak mümkün değildir.



Saldırıları bize güvenlik duvarı, sunucu günlükleri ve saldırı tespit sistemleri haber vermektedir. Güvenlik duvarları ve sunucu günlüklerinde bulunan yetersizlikler bize saldırı tespitini mecburi hale getirmiştir.



Güvenlik politikalarının uygulanması kadar ihlallerin tespiti de önemli bir konudur. İhlallerin tespiti için gözlemleme işlevini yerine getiren teknolojilerden faydalanılır. "'Sistemleri yetkisiz kullanan ya da yetkilerini aşan işlemleri yapan kişi ya da programları tespit etme çalışması"' saldırı tespiti olarak bilinir.



Saldırı tespitinin erken tespit, detaylı bilgi toplama ve toplanan bilgilerin kayıt niteliği taşıması gibi faydaları bulunmaktadır [4].



5. Saldırı Tespit Sistemi



Internet veya yerel ağdan gelebilecek, ağdaki sistemlere zarar verebilecek, çeşitli paket ve verilerden oluşan saldırıları fark etmek üzere tasarlanmış sistemlerdir. Temel amaçları saldırıyı tespit etmek ve bunu ilgili kişilere mail, sms vs. mesajlarla iletmektir [5].



a. Tarihi ve Bugünü



STS (Saldırı Tespit Sistemi) ilk olarak 1980'lerde bir araştırma sahası olarak tanımlanmıştır. Bu ilk periyotta sistemler ve ağlar kısmi olarak birbirinden bağımsız ve izole edilmiş durumdaydı. Bu periyotta araştırmalar daha çok konak tabanlı tespite odaklanmıştı. STS için kullanılacak veriler işletim sistemi tarafından oluşturulan uygulama ve güvenlik günlükleri ile ağ denetleme verisiydi, teknikler ise örüntü eşleme (pattern matching), profil oluşturma (profile creating) ve toplanmış verilerin otomatik analizi şeklindeydi. Örüntü eşleme tekniği daha önceden saldırı olarak belirlenmiş bir durum meydana geldiğinde, yani yeni durum ile eskiden belirlenen saldırı davranışı eşleştiğinde tespit yapılıyordu. Profil oluşturmada ise bilgisayar sistemi için normal durumun ne olduğuna karar veren veriler oluşturuluyordu. Mesela bilgisayar her gün ne kadar kullanılıyor (işlemci kullanım oranı, disk kullanım oranı, giriş/çıkış ihtiyacı vs.) veya veri alışverişi miktarları gibi. Normal durumdan sapmaların saldırı olduğu kanısına varılarak tespit o yolla yapılmaktaydı.



1990'larda STS yapısı ve ortamı biraz daha değişti. İlk başta ağ STS'leri konak tabanlı sistemlerle birlikte üretildi. İkinci gelişme web üzerindeki gelişme idi. Internet'teki gelişme beraberinde güvenlik ihtiyaçlarını artırdı. Bu dönemde güvenlik duvarları için resmi standartlar belirlendi. Ticari STS otomatik gözlem yaparak güvenlik duvarına yardımcı olmaya başladı.



Bir diğer gelişme ise 1990'lardaki birliktelik idi. Bu aşamada konak tabanlı ve ağ tabanlı saldırı tespit sistemleri birleştirildi [6].



Hemen hemen bütün şirketlerin varlıklarını devam ettirebilmek için Internet'e bağımlı oldukları bugünün dünyasında ağ saldırı tespit sistemlerinin böylesine hızlı gelişmiş olması sürpriz bir gelişme değildir. Güvenlik duvarları, yamalar, saldırı tespiti ve eğitim gibi bazı argümanların şirket ağını korumada en iyi yol olduğu bir durumda saldırı tespit sistemlerinin güvenli ağ mimarisini sağlamada anahtar vazife taşıdığı bir gerçektir.



b. Saldırı Tespit Sistemi Kategorileri ve Veri Madenciliği



Saldırı tespiti ile ilgili yaklaşımlar iki kategoriye ayrılmaktadır.



- Kötüye Kullanım Tespiti: Saldırıları tanımak için çok iyi bilinen örüntülerden faydalanılır.



- Anormallik Tespiti: Saldırıları tanımak için normal kullanım örüntülerinden sapma yapanların bulunması şeklindedir.



Bu yaklaşımların ana problemleri ise şunlardır: Kötüye kullanım tespitinde bilinen saldırı örüntüleri elle kodlanmak zorunda ve ilk kez yapılan saldırıların tespit edilmesi mümkün olamamaktadır. Anormallik tespitinde ise olaylar arasındaki ilişkilerin yakalanması mümkün olamamaktadır.



Saldırı tespiti için bir başka yaklaşım veri madenciliği yaklaşımıdır. Veri madenciliği, büyük miktardaki veriden anlamlı bilginin açığa çıkarılmasıdır. Veri madenciliği tabanlı yaklaşımda öğrenim ve tespit ajanları bulunmaktadır. Bu yaklaşım akıllı ajan tabanlı bir yaklaşımdır. Öğrenim ajanları, tespit modelleri ile devamlı eğitilir. Tespit ajanları ise saldırıların tespit için güncellenmiş modeller kullanırlar.



Saldırı tespitinde veri madenciliği kullanımının sebepleri ise şunlardır:



- Denetleme verisi üzerinde normal ve saldırı etkinlikleri kanıt bırakırlar.



- Veri merkezli bakış açısından bakıldığında saldırı tespiti bir veri analiz işidir.



- İstisna saptanması ve hata/alarm yönetimi gibi başarılı uygulamalarla aynı etki alanı içindedir.



STS ile ilgili veri madenciliği algoritmaları ise, bilginin önceden belirlenmiş sınıflara ayrıldığı sınıflandırma, veri içindeki nesneler arasında ilişkilerin bulunduğu bağlantı analizi ve zaman içerisinde meydana gelen birbirine benzer durumların analiz edildiği sıralı analizdir [7].



Saldırı tespit sistemleri saldırının tespit edildiği noktaya göre iki grupta incelenebilir. Sunucu temelli saldırı tespit sistemleri, sunucu üzerinde çalışan ve bilgisayar üzerindeki aktiviteleri izleyen sistemlerdir. Ağ temelli saldırı tespit sistemleri ise ağ üzerindeki kritik noktalara yerleştirilmiş ve algılayıcılar ile ağ trafiğini izleyen sistemlerdir [8].



c. Saldırı Tespit Sisteminin Faydaları



- Ağdaki saldırıları bulmada ve engellemede en büyük yardımcılardır.



- Bazen sunuculara, bazen ağa, bazen de her ikisine birden koruma sağlarlar.



- Güvenlik duvarları ve yönlendiriciler gibi pasif güvenlik cihazları değildirler. Aktif olarak raporlama, engelleme ve öğrenme gibi işlevleri yerine getirirler.



- Saldırı davranışlarından güvenlik zaafları bulunabilmektedir.



- Hangi noktaların güçlendirilmesi gerektiği bulunabilir.



d. Saldırı Tespit Sisteminin Problemleri



Saldırı tespit sistemleri birçok avantaja sahip olmakla birlikte bazı problemleri de bulunmaktadır.



- Kötüye kullanım tespiti tabanlı yaklaşımda saldırı örüntüleri elle kodlanmak zorundadır ve ilk kez yapılan saldırılar (novel attacks) tanınamamaktadır.



- Anormallik tespiti tabanlı yaklaşımda ise olaylar arasında ilişki kurmak mümkün olamamaktadır [7].



- Saldırı tespit sistemleri önemli ölçüde yanlış alarm üretmektedirler (false alarm) [9].



- Üzerinde veri madenciliği yapılacak saldırı verisi fazla olduğunda sistem etkin olarak çalışamamaktadır [10].



- Veri madenciliği yaklaşımlı saldırı tespitinin false positive (aslında saldırı meydana gelmediği halde STS tarafından sanki bir saldırı varmış gibi alarm verilmesi) oranı daha yüksektir ve bu tip tespit, eğitim ile değerlendirme aşamalarında etkin olmama eğilimindedir. Ayrıca daha karmaşıktır.



- Kural tabanlı saldırı tespit sistemleri uzman bilgilerine dayalı olarak kodlandıkları için değiştirilmeleri oldukça pahalı ve yavaştır [11].



- Sunucu günlüklerine dayalı saldırı tespiti her zaman mümkün olamayacağından büyük bir problemdir. Bunun yerine görselleştirme benzeri teknikler kullanılabilir.



- Sunucu günlükleri kimi zaman güvenli olamadığından sunucu günlüklerine dayalı saldırı tespiti de yanlış sonuçlar verebilmektedir (sunucu günlükleri tehdit altında bulunabilir, birileri kanıtları ortadan kaldırmak isteyebilir).



6. Veri Madenciliği



Büyük hacimli veri içerisinden; anlamlı, gizli kalmış ve kuruluşun karar destek sistemi için faydalı olabilecek bilgilerin çıkarıldığı ve geri planında istatistik, yapay zeka ve veritabanlarının bulunduğu veri analiz tekniğine Veri Madenciliği (Data Mining) adı verilir. Veri madenciliği tekniğinin web verisine uygulanmasına ise web madenciliği adı verilmektedir. Web madenciliği temel olarak üç alt alana ayrılır:



- Web İçerik Madenciliği



- Web Yapı Madenciliği



- Web Kullanım Madenciliği



Veri madenciliğinin alt alanlarından birisi olan web kullanım madenciliği web sunucu günlük verileri üzerinde çalışır. Bu çalışma sonucunda kullanıcı erişim örüntüleri bulunur. Web kullanım madenciliği sayesinde bulunan kullanıcı davranışları saldırı tespitinde de etkin olarak kullanılabilmektedir.



7. Web Kullanım Madenciliği ile Saldırı Tespiti



Veri madenciliğinde yapılan işlerin bir kısmı anormal durumların tespiti ile ilgilidir. Veri madenciliği tekniklerinden birisi ise istisna saptanmasıdır. Kredi kartı yolsuzluklarını tespit için kullanılan bu yöntem saldırı tespitine yakın bir konudur.



Veri madenciliği ile saldırı tespiti yapılmasının en önemli bir tane nedeni vardır o da daha önceden meydana gelmemiş bir saldırıyı tanımadır. Veri madenciliği kullandığı kümeleme tekniği ile ilk olarak meydana gelen bir durumu tanıyabilmektedir. Kümelemede kullanıcılar genel özelliklerine dayalı olarak gruplara ayrılmaktadırlar.



8. Yapılan Örnek Çalışma



Burada veri madenciliği yöntemleri ile saldırı tespitinin nasıl yapıldığı gösterilmeye çalışılmıştır.



Amaç: Web günlük verilerinden, web sunucuya yapılan saldırıları tespit etmek.



Araç: Saldırı tespiti için kullanılacak araç; veri madenciliği tekniklerinden sınıflandırma ve eşleştirme kuralları ve istatistiksel yöntemler.



Yöntem: Karar ağacı yöntemi ile normal ve anormal kullanım profilleri ortalamalara dayalı olarak bulunacak. Karar ağaçları verilerden kuralların elde edilmesinde kullanılan bir yöntemdir. Karar ağacı iç içe ağaçlar şeklinde düzenlenerek hemen her nokta için bir kural oluşturabilmektedir. Eşleştirme kuralları ile hangi saldırı dosyalarının birlikte istendikleri bulunacak. Eşleştirme kurallarında amaç birlikte istenen dosyaların arasındaki uyumun bulunmasıdır. Eğer iki dosya birlikte bir çok kez istenmişse bu iki dosyanın benzer özellikleri taşıdığı düşünülür. Bu teknik ilk olarak meydana gelen bir isteğin saldırı dosya isteği mi yoksa normal dosya isteği mi olduğunu bulmak için kullanılacaktır. İstatistiksel yöntemler ile de diğer iki yöntemle bulunan bilgilere ek bilgiler elde edilecektir. İstatistiksel yöntemlerle ortalamalar, sapmalar gibi bilgiler elde etmek mümkündür. Veri içindeki değerli bilginin yüzde seksenini istatistik bizlere sunmaktadır.

Uygulama: Web günlük verileri yedi haftalık bir aralıktan seçilmiştir (seçim aşaması). Seçilen bu verilerden analiz değeri olmayan kayıtlar silinmiş (temizleme aşaması). Bir sonraki aşamada eldeki ham veriler bir dönüşümden geçirilerek soyutlamalara dönüştürülmüştür (dönüşüm aşaması). Soyutlamalar istatistiksel yöntemler ile ve verilerden özetler elde edilerek yapılmıştır. Soyutlama sayısal olmayan veriyi sayısal hale getirmek için kullanılan tekniğe verilen isimdir. Veriler soyutlamadan geçirildikten sonra eğitilebilir hale gelmiştir. En son aşamada veriler üzerinde sınıflandırma, eşleştirme kuralları ve istatistiksel yöntemler kullanılmıştır.



Sınıflandırma uygulamasında amaç dosya istek adetlerine dayalı olarak normal ve saldırı durumunun modellenmesidir. Sınıflandırma iki aşamadan oluştuğu için önce eğitim aşamasında her bir dosya tipi için normal istek ortalaması bulunur. İkinci aşamada ise yeni meydana gelen oturumlar içerdikleri dosya istek oranları ile ilgili sınıfa atılır. Örneğin; htm tipli dosyalar için gün başına ortalama istek sayısı 15'tir. Yani bir kişi bir günde ortalama olarak 15 adet htm uzantılı web sayfası istemektedir.



Bu çalışma ile bütün dosya tipleri için normal (ortalama) istekler bulunur (uzantılar -> htm, asp, exe, dll, ida)



Elde edilen sonuçlar:



- IDA tipli istekler: Bu tipteki dosyalar CodeRed virüsü tarafından istenmektedir. Yani bu dosya tipi saldırı dosyası tipidir. Bu dosya tipi için dosya istek ortalaması 1 değerine eşittir. Her bağlantıda bir istek yapılmıştır. Virüs yayılmak için kendine farklı noktaları konak seçmiştir. Bu yönüyle ida tipi istek yapanlar DoS (Denial of Service) saldırıları yapmaktadır.



- EXE ve DLL uzantılı istekler: Bu tipteki dosyalarda yine saldırganlar tarafından istenmektedir. Bu dosya uzantısı için istek ortalaması genellikle 16 değerinden daha büyük olmaktadır.



- ASP ve HTM uzantılı istekler: Bu tipteki dosya istekleri normal dosya istekleridir ve bunlar için ortalama istek adedi 16 değerinden daha düşüktür.



Bu değerler bulunurken aynı zamanda eldeki eğitim verileriyle karar kuralları oluşturulmakta ve tespit yapılabilmektedir. Karar kuralları eğitim verisine sınıflandırma algoritmasının uygulanması ile elde edilir.



Eşleştirme kuralları uygulaması:



Yapılan uygulamada eşleştirme kuralları zararlı dosya istekleri arasındaki uyumu bulmada kullanılmıştır.



Elde edilen sonuçlar:



- EXE ve DLL tipli dosya istekleri arasında yüksek derecede bir uyum bulundu.



- ASP ve HTM tipli dosya istekleri arasında da yüksek dereceli bir uyum bulundu.



- IDA tipli dosya isteklerinin diğer dosya istekleri ile arasında bir uyum olmadığı görüldü.



Bir problem ve çözümü:



Sınıflandırma ve eşleştirme kuralları uygulamaları ile aslında saldırı dosyası olan IDA uzantılı dosyanın normal dosyalara benzer davranış gösterdiği görülmüştür. Mesela IDA tipli dosya istek ortalamaları ASP ve HTM tipli dosya istek ortalamalarına benzer değerler almıştır.



Bu iki teknik ile saldırı dosyası olduğu tespit edilemeyen bu dosya tipinin ek tekniklerle tespitine çalışılmış ve web sunucu günlüklerinde yer alan durum kodu ve metot bilgilerinin sayılması ile başarılı sonuçlar elde edilebilmiştir.



Yöntemin sonuçları:



Bu yöntem uygulandığı zaman aşağıdaki sonuçlar elde edilmiştir:



- Durum kodu oranları incelendiğinde, tiplere göre başarılı istek oranları: ASP-%80, IDA-%79, HTM-%77, EXE-%22, DLL-%21 gibi değerler bulunmakta ve yine IDA tipli dosya istekleri kamufle olmaktadır.



- Metot kullanım sıklıkları ise ASP-%20 POST, HTM-%20 POST, EXE-%2 POST, DLL-%0 POST, IDA-%2 POST şeklindedir.



Bu sonuçlara göre sınıflandırma ve eşleştirme kuralları yeterli gelmediğinde ek yöntemlerle saldırı davranışının tespit edilebileceği görülmüştür.



9. Sonuç



Teknolojinin gelişmesi kullanıcıların ona olan güvenleri ile mümkün olacaktır. Kullanıcıların teknolojiye güvenleri ise ancak güvenli bilgi-işlem ile sağlanabilir. Bilgi işlemi güvenli hale getirmeye çalışan bazı yöntemler bulunmaktadır. Güvenlik duvarları ve antivirüs çözümleri bunlardan en çok bilinenleridir. Fakat bunlar yeterli olamamakta ve ek tedbirlere ihtiyaç duyulmaktadır.



Bir sisteme yapılan saldırılar hakkında bilgi toplayan, saldırıları izleyen ve adına saldırı tespit sistemi denilen bu yeni çalışma sahası ek tedbir oluşturmaktadır. Sunucu ve ağ tabanlı olarak çalışan saldırı tespit sistemleri için kötüye kullanım tespiti ve anormallik tespiti isimli iki ana yaklaşım vardır. Son zamanlarda veri madenciliği yaklaşımı da yaygın olarak kullanılmaya başlanmıştır.



Bu çalışmada veri madenciliği teknikleri ile saldırı tespitinin nasıl yapılabileceği anlatılmıştır. Veri madenciliği ile saldırı tespiti yapılırken anahtar konu saldırı davranışının modellenebilmesidir.