Tez No İndirme Tez Künye Durumu
271563
Polimorfik solucan saldırılarının tespiti / Detection of polymorphic worm attacks
Yazar:BURAK BAYOĞLU
Danışman: DOÇ. DR. İBRAHİM SOĞUKPINAR
Yer Bilgisi: Gebze Yüksek Teknoloji Enstitüsü / Mühendislik ve Fen Bilimleri Enstitüsü / Bilgisayar Mühendisliği Ana Bilim Dalı
Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control
Dizin:Bilgi güvenliği = Information security ; Bilgisayar ağları = Computer networks ; Bilgisayar ağları güvenliği = Computer networks security ; Bilgisayar güvenliği = Computer security ; Bilgisayar virüsleri = Computer viruses
Onaylandı
Doktora
Türkçe
2010
170 s.
Truva atları, virüsler veya solucanlar gibi zararlı yazılımlar, işletim sistemi ve uygulama yazılımlarının açıklıklarını kullanarak bilgi sistemlerine ciddi zararlar verir. Bilgi sistemi verimliliğinin azalması, veri casusluğu, haksız rekabet, ucuz reklam, bilgi suçlarının işlenmesi gibi birçok amaçla günümüzde bu tür yazılımlar internet ortamında bulunmaktadır. Kullanıcı etkileşimi gerektirmemesi ve gerçek bir açıklığı kullanarak kendi kendine hızlı şekilde yayılabilmesi dolayısıyla solucanlar virüslere göre daha tehlikeli olarak değerlendirilmektedir. Solucanlar tüm zararlı yazılımların önemli bir bölümünü oluşturur ve çok kısa sürede çok sayıda sisteme bulaşırlar.Polimorfik solucanlar, solucanların kendini kopyalama ve hızlı yayılma özelliklerini polimorfizm tekniğiyle birleştirirler. Polimorfik solucanın her kopyası farklı bir örüntüye sahip olduğu için basit imza eşleştirme yöntemleriyle tespit edilmeleri oldukça güçtür.Bu çalışmada, polimorfik solucan imzalarının sınıflandırılması için çizge tabanlı bir sınıflandırma çerçevesi ve polimorfik solucan tespiti için imza yapıları önerilmiştir. Önerilen imza sınıflandırması, araştırmacılara yeni polimorfik solucan imza yapıları önerirken yol göstermeyi hedeflemektedir. Bu tez çalışmasında ayrıca beş yeni polimorfik solucan imza yapısı önerilmiştir. Önerilen imza yapıları, hem polimorfik solucan kopyalarındaki ortak karakter katarlarından hem de bu karakter katarları arasındaki ilişkilerden yararlanır. İmza yapıları, polimorfik solucanın yapısındaki değişikliklere karşı dirençlidir. Ayrıca, bir polimorfik solucanın izomorfik sürümleri için otomatik olarak imza oluşturma yöntemi de önerilmiştir. Deney sonuçları, imzaların iyi bir akış değerlendirme süresi performansına sahip olduğunu ve düşük yanlış-pozitif ve düşük yanlış-negatif oranlarıyla kullanılabileceğini göstermektedir.
Malicious software such as trojans, viruses, or worms can cause serious damage to information systems exploiting operating system and application software vulnerabilities. Worms are one of the most harmful network enabled malicious software that can threaten networks and applications. Two main characteristics of worms distinguish them from the well-known virus programs and as a result are much more dangerous than the virus programs. First, worms do not need to attach themselves to an existing program. Second, worms do not require end-user interaction to realize the intended attack. Worms constitute a significant proportion of overall malicious software and infect a large number of systems in very short periods.Polymorphic worms combine polymorphism techniques with self-replicating and fast-spreading characteristics of worms. Each copy of a polymorphic worm has a different pattern so it is not effective to use simple signature matching techniques.In this work, a graph based classification framework of content based polymorphic worm signatures is proposed. This framework aims to guide researchers to propose new polymorphic worm signature schemes. In this thesis, five new polymorphic worm signature schemes are proposed using the defined framework. Proposed signature schemes utilize common substrings of polymorphic worm copies and also the relation between those substrings through dependency analysis. Signature schemes are resilient to changes in polymorphic worm structure. Changing the attack pattern of the worm does not prevent detection as long as the common substrings used in the signature set are not replaced. A method for automatically generating signatures for isomorphic versions of a polymorphic worm is also proposed. Experimental results support that signature schemes have good flow evaluation time performance and can be used with low false positives and low false negatives.