Geri Dön

An online network intrusion detection system for DDoS attacks with IoT botnet

IoT botnetleri ile yapılan dağıtık servis dışı bırakma saldırıları için çevrimiçi bir ağ saldırı tespit sistemi

PDF İndir

  1. Tez No: 732920
  2. Yazar: ERİM AYDIN
  3. Danışmanlar: DOÇ. DR. ŞERİF BAHTİYAR
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2022
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 99

Özet

Son yıllarda, şehirler, işyerleri, evler, telekomünikasyon, ulaşım, sağlık ve hayatın diğer birçok yönü, aynı zamanda internete de bağlı olan ve sürekli olarak veri gönderip alan milyarlarca IoT cihazı sayesinde daha akıllı hale gelmeye devam etmektedir. Business Insider'ın 2020 IoT Raporu'na göre, IoT endüstrisinin 2027 yılına kadar yılda 2,4 trilyon dolar oranında büyümesi bekleniyor. IoT cihazlarının sayısının ise 8 milyardan 41 milyara çıkacağı tahmin ediliyor. Bu genişlemenin bir sonucu olarak, nesnelerin interneti ekosistemiyle ilgili güvenlik konuları da giderek daha fazla önem kazanmaktadır. Bu cihazların güvenliği söz konusu olduğunda, onları bir botnetin parçası olmaya karşı daha savunmasız hale getiren bir dizi çekinceler mevcuttur. Bunlardan biri, IoT cihazlarının ihtiyaç gereği küçük ve hafif olması nedeniyle çok fazla bilgi işlem gücüne, disk alanına veya kullanılabilir belleğe sahip olmamasıdır. Sonuç olarak, daha düşük bir güç seviyesinde çalışmak zorunda kalan bu cihazlar yüksek kaynak tüketimi gerektiren algoritmaları işleyemeyebilir. Sonuç olarak, bu cihazlar sistemlerine, verilerine veya iletişimlerine güçlü güvenlik önlemleri uygulayamamakta ve bu da onları birçok güvenlik riskine karşı savunmasız hale getirmektedir. Diğer bir çekince ise IoT cihazlarının kullanımının önemli ölçüde artması nedeniyle, bu genişleyen ortamın diğer güvenlik alanlarında kullanılanlardan farklı güvenlik önlemlerinin geliştirilmesini gerektirmesidir. Ayrıca, IoT üreticileri arasındaki yoğun rekabet, onları bu cihazları düşük fiyatlarla üretip satmaya itmekte ve bu da bu pazardaki ürünlerine maliyetli güvenlik önlemlerinin yüklenmesini göz ardı etmelerine neden olmaktadır. Daha da önemlisi, bu cihazlar satıldıktan sonra üreticiler artık onları güvenlik yaması ve sistem güncellemeleri konusunda desteklememektedirler. Genel olarak IoT cihazlarına ilişkin bahse konu güvenlik risklerine ek olarak, bu çok sayıdaki IoT cihazlarının hem internete hem de birbirine bağlı olması da onlara karşı ve onlar üzerinden yapılacak dağıtık servis dışı bırakma (DDoS) saldırılarının tehdit seviyesini artırmaktadır. Bu nedenle, onları güvenli hale getirmek için yeterli önlemler alınmazsa, bu cihazlar botnetin parçası haline gelebilir ve diğer tüm bağlantılı cihazları da tehlikeye atabilirler. Sonuç olarak, bir komuta ve kontrol sunucusu aracılığıyla, ele geçirilmiş çok sayıda IoT cihazından oluşan bir botnet ordusu, cihaz sahiplerinin bilgisi olmadan geniş ölçekli DDoS saldırıları yapmak için kullanılabilir. Mevcut çalışmalar incelendiğinde bu tehditlerin üstesinden gelmek için, IoT ortamında botnet ve DDoS etkinliğini tespit etmek amacıyla çok sayıda saldırı tespit sistemi (IDS) geliştirildiği görülmektedir. Sistemlere izinsiz girişi tespit etmenin iki temel yolu vardır: imzalar aracılığıyla tespit ve anomali yoluyla tespit. İmza tabanlı saldırı tespit sistemleri, izinsiz girişleri belirlemek için önceden edinilmiş saldırı bilgilerine bağlıdır. Ancak anomali tabanlı sistemler, istatistiksel, makine öğrenmesi veya derin öğrenme yaklaşımlarını kullanarak sistemdeki veya trafikteki anormallikleri tanımlar. Genel olarak, imza tabanlı sistemler bilinmeyen veya sıfır gün saldırılarını tanımlayamadığından, anomali tabanlı sistemler geleneksel imza tabanlı sistemlerden daha iyi performans göstermektedir. Bu nedenle, bu tezde öğrenme algoritmalarının kullanımı yoluyla anomali tabanlı saldırı tespitine odaklanılmıştır. İzinsiz giriş tespit sistemleri, hem terminal tabanlı saldırı tespit sistemleri (HIDS) olarak cihazların üzerinde hem de ağ tabanlı saldırı tespit sistemleri (NIDS) olarak ağ segmentlerinin sınır cihazlarında uygulanabilir. Bu tezin odak noktası IoT cihazlarından kaynaklanan ağ saldırılarını tespit etmek olduğundan, bu çalışmada ağ tabanlı saldırı tespit sistemleri incelenmiştir. Mevcut araştırmalar incelendiğinde makine öğrenmesi ve derin öğrenme yaklaşımları kullanılarak çok sayıda ağ saldırı tespit sistemleri geliştirildiği görülmektedir. Bu öğrenme yaklaşımlarının her ikisi de IoT trafik verilerindeki saldırı örüntülerini belirlemede etkilidir. Bununla birlikte, geleneksel makine öğrenimi algoritmalarının, saldırı örüntülerinin sürekli gelişen ve değişen yapısıyla başa çıkmakta zorlandığı gözlemlenmiştir. Bunun bir nedeni, makine öğreniminde bir model geliştirilmeden önce insan destekli bir öznitelik çıkarımı prosedürüne ihtiyaç duyulmasıdır. Öznitelik çıkarımı işlemi çoğunlukla bir alan uzmanın tecrübe ve bilgisine dayanır, bu nedenle zaman alabilir ve hatalara açıktır. Ancak derin öğrenme modelleri, ağ trafiğinin özniteliklerini doğrudan eğitildikleri verinin kendisinden öğrenir. Derin öğrenme modelinin güvenilirliği de mevcuttaki verinin miktarıyla doğru orantılı olarak artar. Sınırlı veri kümeleriyle çalışan derin öğrenme algoritmaları, makine öğrenme yöntemlerine kıyasla dezavantajlı konumda olabilirler; ancak ağ trafiği verisi çok miktarda mevcut olduğundan, derin öğrenme yaklaşımları IoT saldırı tespit alanında kullanım için daha uygun bir tercih olabilir ve bu tezde de derin öğrenme yöntemi tercih edilmiştir. Ek olarak, literatürde ağ trafiği verilerini incelemek için iki farklı yaklaşım mevcuttur: akış (flow) ve paket seviyesinde inceleme. Aynı kaynak ve hedef IP adresine ve port numaralarına ve aynı protokole sahip bir dizi pakete bir ağda“akış”denir. Akış seviyesi inceleme tekniğini kullanırken, tek bir paketi incelemek yerine akışın tamamı veya bir kısmı analiz edilir. Bu nedenle, bir akıştan tek bir paketten elde edilebilecek bilgiden daha fazla bilgi toplanabilir. İstenmeyen trafiği kategorilere ayırmak söz konusu olduğunda trafik hakkında fazla bilgi elde etmek saldırı tespit sisteminin performansını arttırması yönünden oldukça yararlı olabilir. Ancak, saldırı tespit sistemleri gerçek zamanlı bir ortamda kullanılacaksa, eldeki verinin fazlalığı ile bu veriyi elde etmek ve incelemek için geçen süre, sistemin tespit hızını düşüreceği için bu strateji verimli olmayabilir. Yukarıdaki bilgiler ışığında, IoT ortamının botnet ve DDoS'a karşı zafiyetlerini giderebilmek için gerçek zamanlı, hızlı ve yüksek doğrulukta çalışan bir ağ saldırı tespit sistemine ihtiyaç olduğu görülmektedir. Bu tezde, IoT ortamı için bir evrişimli sinir ağı (CNN) modeli kullanılarak gerçek zamanlı bir ağ saldırı tespit sistemi sunulmaktadır. Bu tezin amacı, sınırlı sayıda trafik akışı paketinin yalnızca küçük bir bölümünü inceleyerek kötü niyetli IoT ağ trafiğini hızlı ve doğru bir şekilde kategorize etmektir. Bu tezde sunulan saldırı tespit sisteminin katkıları aşağıdaki gibidir: • Gerçek zamanlı bir ortamda yalnızca bir CNN modelini kullanarak, ağ trafiği verilerinin hem zamansal hem de konumsal özniteliklerinden yararlanılabilmektedir, • Ek bellek kullanılarak, Uzun Kısa Süreli Bellek (LSTM) modeline kıyasla, eski trafik verisinin zamana dayalı öznitelikleri daha uzun süreli olarak depolayabilmektedir, • Hızlandırma yöntemleri ile daha hızlı saldırı tespit süresine ve yüksek doğruluk puanına sahiptir.

Özet (Çeviri)

The necessity for reliable and rapid intrusion detection systems to identify distributed denial-of-service (DDoS) attacks using IoT botnets has become more evident as the IoT environment expands. Many network intrusion detection systems (NIDS) built on deep learning algorithms that provide accurate detection have been designed to address this demand. However, since most of the developed NIDSs depend on network traffic flow features rather than incoming packet features, they may be incapable of providing an online solution. On the other hand, online and real-time systems either do not utilize the temporal characteristics of network traffic at all, or employ recurrent deep learning models (RNN, LSTM, etc.) to remember time-based characteristics of the traffic in the short-term. This thesis presents a network intrusion detection system built on the CNN algorithm that can work online and makes use of both the spatial and temporal characteristics of the network data. By adding two memories to the system, with one of them, the system can keep track of the characteristics of previous traffic data for a longer period, and with the second memory, by keeping the previously classified traffic flow information, it can avoid examining all of the packets with the time-consuming deep learning model, reducing intrusion detection time. It has been seen that the suggested system is capable of detecting malicious traffic coming from IoT botnets in a timely and accurate manner.

Benzer Tezler

  1. Tez No

    618436

    Comparison of various algorithm for intrusion detection in data mining

    Veri madenciliğinde intrüzyon algılama için çeşitli algoritminin karşılaştırılması

    HASAN M.HUSSEIN M.ALI NASSRULLAH

    Yüksek Lisans

    İngilizce

    İngilizce

    2020

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAltınbaş Üniversitesi

    Elektrik ve Bilgisayar Mühendisliği Ana Bilim Dalı

    PROF. DR. OSMAN NURİ UÇAN

  2. Tez No

    807248

    Digital twin-enabled intelligent attack detection mechanisms for autonomous networks

    Otonom ağlar için dijital ikiz destekli akıllı saldırı tespit mekanizmaları

    YAĞMUR YİĞİT

    Yüksek Lisans

    İngilizce

    İngilizce

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    PROF. DR. BERK CANBERK

  3. Tez No

    698740

    Openflow protokolü kullanan kontrol sunucuları arasında güvenlik politikaları paylaşım protokolü tasarımı

    A security policy sharing protocol design between control servers using openflow protocol

    GÖKHAN AKIN

    Doktora

    Türkçe

    Türkçe

    2021

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolTrakya Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    PROF. DR. ERDEM UÇAR

    DR. ÖĞR. ÜYESİ ENİS KARAARSLAN

  4. Tez No

    672367

    A hybrid network intrusion detection system using apache Spark distributed computing framework

    Apache Spark dağıtık hesaplama çerçevesi kullanan bir hibrit ağ izinsiz giriş tespit sistemi

    AHMED ABDULMAJED ISMAEL ALABDULJABAR

    Yüksek Lisans

    İngilizce

    İngilizce

    2020

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAtılım Üniversitesi

    Bilişim Sistemleri Mühendisliği Ana Bilim Dalı

    PROF. DR. ALOK MISHRA

  5. Tez No

    259289

    Bilgisayar ağları için saldırı tespit sistemi tasarımları ve FPGA ortamında gerçekleştirilmesi

    Intrusion detection system designs for computer networks and their implementations in FPGA environment

    TANER TUNCER

    Doktora

    Türkçe

    Türkçe

    2010

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolFırat Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    DOÇ. DR. YETKİN TATAR

Geri Dön