Tez No İndirme Tez Künye Durumu
541326
Ağ davranış modeli ile kurum içi saldırıların belirlenmesi / Detection of insider attacks using network behavour model
Yazar:AYŞE GÜL
Danışman: PROF. DR. ERTUĞRUL KARAÇUHA ; PROF. DR. EŞREF ADALI
Yer Bilgisi: İstanbul Teknik Üniversitesi / Bilişim Enstitüsü / Bilişim Uygulamaları Ana Bilim Dalı / Bilgi Güvenliği Mühendisliği ve Kriptografi Bilim Dalı
Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control ; Bilim ve Teknoloji = Science and Technology
Dizin:Siber güvenlik = Cyber security ; İç güvenlik = Internal security
Onaylandı
Yüksek Lisans
Türkçe
2018
91 s.
Günümüzde yetkili kişiler tarafından yapılan saldırıların ya da yetkili kişilerin özensizliği sonucunda oluşan güvenlik açıklıklarının, dışarıdan yapılan saldırılara göre daha çok zarara neden olduğu görülmektedir. Kurumlar kendileri için değerli olan varlıkları korumak adına veri sızıntısı önleme, şifreleme, kimlik ve erişim kontrolü gibi yaygın güvenlik çözümlerini kullanmaktadır. Ancak gelişmiş sürekli tehditlerin (APT), geleneksel güvenlik çözümlerini atlatan saldırıların ve iç sistemler ile uyumlu çalışan bilinmeyen kötü amaçlı yazılımların artması güvenlik çözümlerinin ve ortamlarının değişmesine neden olmaktadır. Bu kapsamda içeriden gelen tehditlerin ve saldırıların daha iyi belirlenebilmesi için eylem tutanağı (log) yönetimi ve saldırı belirleme ve önleme sistemleri (IDS / IPS) kullanılmaktadır. Bu çalışma saldırı belirleme sistemlerine yoğunlaşarak iç tehditlerin ve saldırıların belirlenmesine yönelik yapılan araştırma ve geliştirmeyi içermektedir. Geleneksel saldırı belirleme sistemleri, imza temelli ya da olağan dışı durum temelli yaklaşımlar kullanılarak tasarlanmaktadır. İmza temelli sistemler, incelenen veriler içerisinde tanımlanmış kalıpları ya da imzaları bulmaya çalışmaktadır. Bu amaçla bilinen saldırılara karşılık gelen kalıplar için bir veri tabanı oluşturulmaktadır. Bu sistemlerde, belirlenmiş ve bilinen saldırıların belirlenme oranı çok yüksek olmasına karşın yeni ve bilinmeyen saldırıların belirlenmesinde yetersiz kalmaktadır. Olağan dışı durum temelli sistemler, korunacak sistemin olağan davranışını öngörmeye çalışmakta ve belirli bir anda gözlemlediği davranış ile olağan davranış arasındaki sapmaya bakmaktadır. Bu yaklaşımda gözlemlenen sapma önceden tanımlanmış bir eşiği aştığında olağan dışı durum uyarısı üretilmektedir. Bu sistemlerin en önemli üstünlüğü daha önce görülmemiş saldırı olaylarını belirlemedeki başarısıdır. İmza temelli ve olağan dışı durum temelli saldırı belirleme yöntemlerinde ağ üzerindeki her paket incelenerek bir sonuç üretilmektedir. Paketin kaçırıldığı ya da doğru sonucun üretilmediği durumlarda ise ağ üzerindeki tehdit devam etmektedir. Bu problemin çözümü için ise ağ davranış çözümlemesi yaklaşımı kullanılmaktadır. Ağ davranış çözümlemesi yaklaşımında pasif olarak ağda meydana gelen durumlar izlenmekte ve saldırı olarak değerlendirilebilecek bilinmeyen, yeni oluşan ya da olağan dışı durumlar işaretlenmektedir. Bu yaklaşımın diğer saldırı belirleme yöntemlerinden farkı ağda gördüğü her paket için değil, paketlerin bir araya getirilmesiyle oluşturulan veri akışına bakarak bir sonuç üretmesidir. Ayrıca bu yaklaşım daha çok iç ağlara odaklanmaktadır. Bu çalışmada içeriden oluşan tehditlerin belirlenmesi amacıyla veri akış bilgisi kullanılarak olağan dışı durumları işaretleyen Ağ Davranışlarında Olağan Dışı Durumların Belirlenmesi (Network Behaviour Anomaly Detection - NBAD) yaklaşımına odaklanılmıştır. Çalışmanın yürütülmesi için ağ trafik bilgisini içeren bir veri kümesine ihtiyaç duyulmaktadır. Bu kapsamda Wireshark ağ izleme aracı ile yedi gün boyunca ağ trafiği izlenerek oluşturulmuş UNB ISCX IDS 2012 veri kümesi kullanılmıştır. Bu veri kümesinde yer alan ağ paketleri kullanılarak veri akışı oluşturulmuştur. Oluşturulan veri akışı üzerinde olağan dışı durumların belirlenmesi için makine öğrenmesinin bir alt kümesi olan derin öğrenme algoritmaları kullanılmıştır. Derin öğrenme, insan beyninin yapısı ve işlevselliği esinlenerek oluşturulmuş yapay sinir ağlarını içermektedir. Yapay sinir ağlarının eğitilmesi için çok sayıda veriye ve yüksek işlem kapasitesine sahip bilgisayarlara ihtiyaç duyulmaktadır. Bu nedenle yapay sinir ağları eskiden geliştirilmiş bir algoritma olmasına karşın kullanımı özellikle TensorFlow kütüphanesinin geliştirilmesiyle birlikte son dönemde artmıştır. Çalışma kapsamında veri kümesinde yer alan bilgiler değerlendirilerek öğrenme algoritmasının anlayabileceği 47 adet öznitelik çıkarılmış ve bu öznitelikleri içeren veri akışı oluşturulmuştur. Bu özniteliklerin model üzerindeki etkisinin görülmesi amacıyla öznitelik seçimi yapılarak 19 özniteliği içeren azaltılmış veri kümesi oluşturulmuştur. 47 özniteliği içeren veri kümesi ve öznitelik seçimi yapılarak oluşturulmuş 19 özniteliği içeren veri kümesi ve yapay sinir ağları algoritması kullanılarak en iyi sonucu üreten modelin oluşturulması amaçlanmıştır. Bu kapsamda algoritmaya ait katman ve nöron sayıları değiştirilerek üretilen sonuçlar karşılaştırılmış ve en iyi sonucun 47 özniteliğe sahip veri kümesi kullanılarak 3 gizli katmanlı ve 100-400-200 düğüm değerleri ile %98.44 oranında doğruluk sonucunun üretildiği görülmüştür.
An attack is an information security threat that involves an attempt to gain unauthorized access to information resource or services, or to obtain, reveal, remove, alter or destroy sensitive information. There are two types of attacks as passive and active attacks. Passive attacks are used to get information without hurting system resources. Therefore, the detection of these attacks are pretty difficult. Generally, in this attack type network communication is eavesdropped to make a traffic analysis and release of message content. On the other hand, active attacks are used to change or remove information, alter or destroy system resources and prevent system operations. The most known active attacks are masquerade, modification of messages, repudiation, session replay, and denial of service. Information security is a growing concern and protection of the sensetive data has been becoming more difficult issue because of the ever-growing complex structures of information systems. A security vulnerability in any component of the system can cause serious security problems. Moreover, attackers who know these vulnerabilities can damage the system. Most institutions or organizations have been continuously damaged by attacks. Therefore, Information Technology (IT) security teams of institutions have focused on detecting attacks and stopping intruders from gaining access to assets on the corporate network. Attacks are categorized as an internal and external attack based on the identity of the attacker. External attacks are performed to find network vulnerabilities, gain access on information system and capture sensitive data by someone who is skilled and sophisticated from outside of the institution. On the other hand, internal attacks are performed by someone who is close to an organization with authorized access and misuses that access negatively to impact the organization's critical information or system. An insider can be a current or former employee, contractor, or business partner who has or had authorized access to the organization's network, systems, or data. Threat and attack are the two terms associated with internal attacks. Insider threat can be occur because of negligance of employee, so it is not referred as attack directly. It is called attack when someone tries to harm the system intentionally. In contrast, it is called insider threat when some error occurs unintentionally because of employee mistakes which creates a vulnerability on the system and puts a risk on it. Besides, operating system vulnerabilities which are currently published on Common Vulnerabilities and Exposures (CVE) are referred as threat for a system. Nowadays, it is seen that the attacks by authorized people or security vulnerabilities because of negligence or lack of knowledge of authorized people caused more damage than the external attacks. Institutions or organizations use common security solutions such as Data Loss Prevention (DLP), encryption, and identity and access management solutions to protect assets which are valuable to them. However, security solutions and environments have started to change as a result of the rise of advanced persistent threats (APT), increased attacks that bypass traditional security solutions and unknown malwares which can run without affecting the internal systems. For this reason, Intrusion Detection and Prevention Systems (IDS / IPS), log management and SIEM platforms have been developed and used by institutions to provide a better detection of insider threats and attacks. This study comprises of research and development to detect internal threats and attacks by focusing on intrusion detection systems. Traditional intrusion detection systems have been designed and developed using signature-based detection and anomaly-based detection approaches. Signature-based detection systems try to find defined patterns or signatures within the examined data. For this purpose, a database have been effectuated for patterns or signatures corresponding to known attacks. In these systems, although the rate of detection of the identified and known attacks is very high, it is insufficient to identify new and unknown attacks. Anomaly-based systems predicts the unusual behavior of the protected system and determines the deviation between the behavior that is observed at a given moment and the usual behavior. This approach also generates an unusual status warning when the observed deviation exceeds a predefined threshold. The most important advantage of these systems is the success in detecting unseen attacks. Signature-based detection and anomaly-based detection methods both examines each network packet and produces a result. In the situation that the packet has been missed or the correct result has not been produced, the threat on the network continues. Network Behaviour Analysis (NBA) approach is used in order to solve this problem. Network behavior analysis approach passively monitors the traffic on network and marks the new, unknown, or unusual situations which can be considered as an attack. The difference between this approach and the other detection methods is that it produces a result by examining the data flow generated by combining the network packets. Also this approach generally focuses on internal networks. In this study, we focused on the Network Behavior Anomaly Detection (NBAD) approach which detects new and unusual situations by using data flow information in order to detect internal threats. In order to advance the study, a data set that contains network traffic information is needed. In this context, the UNB ISCX IDS 2012 data set which was created by monitoring network traffic for seven days with Wireshark network monitoring tool have been used. Also, data flow that includes source IP, destination IP, source port number and destination port number as a key was created using network packets in this data set. After this process, deep learning approach which had been developed as a subset of machine learning have been used to detect the abnormalities. Deep learning includes artificial neural networks inspired by the structure and functionality of the human brain. For the training of artificial neural networks, a large number of data and computers with high processing capacity are needed. Therefore, although artificial neural networks are a formerly developed algorithm, its use has increased recently, especially with the development of the TensorFlow library. Within the scope of the study, 47 features were identified using the data set and a data flow that contains these attributes was created. In order to analyze the effect of these attributes on the model, a reduced data set which contains 19 feature was created using feature selection algorithm. By using this prepared data flows and artificial neural network algorithm, it is aimed to determine the model that produces the best result by changing the layer and neuron numbers of the algorithm. Consequently, the results obtained by changing the number of layers and neurons of the algorithm were compared and it was seen that the best result was produced as 98.44% accuracy result with the data set that contains 47 features and 3 hidden layer and 100-400-200 neuron/node values.