Geri Dön

Intrusion detection system alert correlation with operating system level logs

Saldırı tespit sistemi alarmlarının işletim sistemi log kayıtları ile korelasyonu

PDF İndir

  1. Tez No: 252237
  2. Yazar: MUSTAFA TOPRAK
  3. Danışmanlar: PROF. DR. SITKI AYTAÇ
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2009
  8. Dil: İngilizce
  9. Üniversite: İzmir Yüksek Teknoloji Enstitüsü
  10. Enstitü: Mühendislik ve Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Yazılımı Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 74

Özet

İnternet genel bir küresel ağdır. Giderek daha çok insan internete bağlı olmanın avantajlarından faydalanmaktadır. Ancak internet faydanın yanında birçok riski de beraberinde getirmektedir. Çünkü hem zararsız hem de zararlı kullanıcılar internete bağlı durumdadır. Herhangi bir özel ağ internet erişimine açıldığında, zararsız kullanıcılar yanında kötü niyetli kullanıcılara da sistem açılmış olur. Birçok organizasyon kendi özel ağını genel ağdan ayrımak için güvenlik duvarlarını kullanmaktadır. Ancak güvenlik duvarları bir ağı yüzde yüz güvenli kılmaz. Bunun ana nedeni, genel ağ ile özel ağ arasında bazı erişim haklarının verilmesinden kaynaklanmaktadır. Güvenlik duvarı sadece belirli servislere erişim hakları tanımlayarak ağ güvenliğini sağlamaktadır. Güvenlik duvarı üzerinde tanımlı kural setlerine göre ağ paketlerinin erişimine izin verir. Bu noktada saldırı tespit sistemleri güvenlik duvarının oluşturduğu ağ güvenliğini tamamlamaktadır. Eğer bir ağ kullanıcısı güvenlik duvarını kırmaya ya da özel ağdaki bir sistemi kontrol etmeye çalışırsa; saldırı tespit sistemi saldırı ile ilgili olarak sistem yöneticisini uyarır. Bununla beraber saldırı tespit sistemlerinin bazı kısıtları da vardır. Bu kısıtları belirlemek ve ağ güvenliğini tehdit eden faaliyetleri öğrenmek için saldırı tespit sistemi alarmları korelasyona tabi tutulur.Alarm korelasyonu saldırı tespit sistemi alarmları arasındaki ilişkileri ortaya çıkarmaya odaklanmaktadır. Saldırı alarmları için korelasyon teknikleri alarmları ve saldırı senaryolarını kullanıcıları için anlamlı ve kolay anlaşılır hale getirmektedir. Alarm korelasyonunun doğru çalıştığına emin olmak için bu tez çalışması saldırı senaryolarını kullanıp, üretilen alarmları saldırı önkoşul ve sonuçlarına dayanarak korelasyona tabi tutar. Deney ortamının mimarisi çeşitli saldırıların önkoşul ve sonuçlarına dayanarak, alarmları bir önceki alarmın sonucu ve bir sonraki alarmın da nedeni olarak belirleyip; işletim sistemi kayıtları ile eşleştirmektedir. Sonuç olarak ele alınan yöntemin kesinliği ve faydaları, saldırı tespit sistemi alarmlarının işletim sistemi kayıtları ile korelasyonu sonucunda gösterilmiştir.

Özet (Çeviri)

Internet is a global public network. More and more people are getting connected to the Internet every day to take advantage of the Internetwork connectivity. It also brings in a lot of risk on the Internet because there are both harmless and harmful users on the Internet. While an organization makes its information system available to harmless Internet users, at the same time the information is available to the malicious users as well. Most organizations deploy firewalls to protect their private network from the public network. But, no network can be hundred percent secured. This is because; the connectivity requires some kind of access to be granted on the internal systems to Internet users. The firewall provides security by allowing only specific services through it. The firewall implements defined rules to each packet reaching to its network interface. The IDS complements the firewall security by detected if someone tries to break in through the firewall or manages to break in the firewall security and tried to have access on any system in the trusted site and alerted the system administrator in case there is a breach in security. However, at present, IDSs suffer from several limitations. To address these limitations and learn network security threats, it is necessary to perform alert correlation.Alert correlation focuses on discovering various relationships between individual alerts. Intrusion alert correlation techniques correlate alerts into meaningful groups or attack scenarios for ease to understand by human analysts. In order to be sure about the alert correlation working properly, this thesis proposed to use attack scenarios by correlating alerts on the basis of prerequisites and consequences of intrusions. The architecture of the experimental environment based on the prerequisites and consequences of different types of attacks, the proposed approach correlates alerts by matching the consequence of some previous alerts and the prerequisite of some later ones with OS-level logs. As a result, the accuracy of the proposed method and its advantage demonstrated to focus on building IDS alert correlation with OS-level logs in information security systems.

Benzer Tezler

  1. Tez No

    885897

    Cyber tools as foreign policy instruments in trilateral relations: Analysing cyber-attacks targeting the United Kingdom

    Üçlü ilişkilerde dış politika aracı olarak siber araçlar: Birleşik Krallık'ı hedef alan siber saldırıların analizi

    ATAKAN YILMAZ

    Doktora

    İngilizce

    İngilizce

    2024

    Siyasal BilimlerGalatasaray Üniversitesi

    Uluslararası İlişkiler Ana Bilim Dalı

    DOÇ. DR. MENENT SAVAŞ CAZALA

  2. Tez No

    365705

    An approach for classifying alerts of intrusion detection systems

    Saldırı tespit sisteminin uyarılarını sınıflandıran bir yaklaşım

    FARSHID POURABBAS

    Yüksek Lisans

    İngilizce

    İngilizce

    2014

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolBahçeşehir Üniversitesi

    Bilgi Teknolojileri Ana Bilim Dalı

    PROF. DR. ADEM KARAHOCA

  3. Tez No

    486713

    Management and assessment system for network attacks based on data mining techniques

    Veri madenciliği tekniklerine dayanılarak ağ saldırıları için yönetim ve değerlendirme sistemi

    AHMED SAMI ABDULLAH

    Yüksek Lisans

    İngilizce

    İngilizce

    2017

    Bilim ve TeknolojiTürk Hava Kurumu Üniversitesi

    Bilişim Teknolojileri Ana Bilim Dalı

    Assist. Prof. SHADI ALSHEHABI

  4. Tez No

    722521

    Distributed anomaly-based intrusion detection system for IoT environment using Blockchain technology

    Dağıtılmış anomali tabanlı saldırı tespit sistemi Blockchain teknolojisi kullanılan IoT ortamı için

    NOUHA HEJAZI

    Yüksek Lisans

    İngilizce

    İngilizce

    2022

    Bilgi ve Belge Yönetimiİstanbul Teknik Üniversitesi

    Bilişim Uygulamaları Ana Bilim Dalı

    DOÇ. DR. ENVER ÖZDEMİR

  5. Tez No

    521736

    Improving ids alerts to improve the quality of the network security by using data mining techniques

    Veri madenciliği tekniklerini kullanarak ağ güvenliğinin kalitesinin iyileştirilmesi için ıds alertını geliştirme

    ISAM KAREEM THAJEEL THAJEEL

    Yüksek Lisans

    İngilizce

    İngilizce

    2017

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAltınbaş Üniversitesi

    PROF. DR. OSMAN NURİ UÇAN

Geri Dön