Geri Dön

Açık kaynak saldırı tespit sistemlerinin açık kural setleriyle analizi

Analysis of open source intrusion detection systems with open rulesets

PDF İndir

  1. Tez No: 752697
  2. Yazar: İLAYDA GÜNDOĞDU
  3. Danışmanlar: PROF. DR. ALİ AYDIN SELÇUK
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2022
  8. Dil: Türkçe
  9. Üniversite: TOBB Ekonomi ve Teknoloji Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 83

Özet

İnternet teknolojilerinin gelişmesiyle birlikte siber saldırılarda da artış gözlenmektedir. Bunun sonucunda siber saldırıları tespit etmek ve önlemek amacıyla çeşitli sistemler geliştirilmiştir. Saldırıları tespit etmek amacıyla en çok kullanılan açık kaynak ve ağ tabanlı saldırı tespit sistemleri Snort ve Suricata iken, en çok kullanılan açık kaynak ve host tabanlı saldırı tespit sistemleri ise OSSEC ve Wazuh'tur. Bu çalışmada, Snort ve Suricata'nın en son versiyonlarının varsayılan konfigürasyonlarla ve açık kural setleri kullanılarak saldırıları tespit etmedeki etkinliği karşılaştırmalı olarak analiz edilirken, OSSEC'in ve Wazuh'un ise host tabanlı saldırı tespit sistemleri olarak tespit etkinliği incelenmiştir. Tespit etkinliğini ölçmek için alarm üretilen atak sayılarının toplam atak sayısına oranı hesaplanmıştır. Çalışmada açık Kural Seti olarak Community Kural Seti, Registered Kural Seti, Talos Kural Seti, Emerging Threats Kural Seti ve Broadcom Kuralları kullanılmıştır. Deneylerde 600 farklı atak trafiği ve 38 farklı zararsız trafik kullanılarak saldırı tespit sistemlerinin tespit etkinliği ve yanlış pozitif alarm oluşturma miktarları analiz edilmiştir. Atak trafiği olarak web uygulama atakları, zararlı yazılım trafikleri ve CVE referanslı zafiyet sömürü trafikleri olmak üzere üç farklı kategoride trafiklere yer verilmiştir. Deneyler sırasında kural setleri tek başına kullanılarak, tüm kural setleri birlikte kullanılarak, zararlı yazılım trafikleri tehdit aktörlerine göre analiz edilerek ve CVE referanslı zafiyet sömürü atakları platformlara ve işletim sistemlerine göre analiz edilerek Snort ve Suricata saldırı tespit sistemlerinin tespit etkinliklerinin ölçülmesi amaçlanmıştır. OSSEC ve Wazuh saldırı tespit sistemlerine ise web uygulama atak trafikleri ve CVE referanslı zafiyet sömürü trafikleri gönderilerek alarm oluşturma durumları analiz edilmiş, ardından başarılı bir atak sonrasında oluşacak alarmlar incelenmiştir. Deneyler sonucunda atak trafiklerinde kural setleri ayrı olarak kullanıldığında en etkin sonuçların Talos Kural Seti ile alındığı, tüm kural setleri birlikte kullanıldığında ise Snort saldırı tespit sisteminin her üç atak türünde de atakları tespit etmede Suricata'dan daha etkin olduğu görülmüştür. Zararsız trafiklerde ise tüm kural setleri tek başına kullanıldığında Talos Kural Seti ve Emerging Threats Kural Seti'nin yanlış pozitif alarm oluşturmadığı ve zararsız trafiklerde tüm kural setleri birlikte kullanıldığında Suricata'nın daha az yanlış pozitif alarm oluşturduğu analiz edilmiştir. OSSEC ve Wazuh Saldırı Tespit Sistemleri'nin ise sızmayla sonuçlanmayan ataklarda alarm vermemekle birlikte, kullanıcıların zararsız komutlarından çok fazla yanlış pozitif alarm oluşturduğu gözlenmiştir.

Özet (Çeviri)

With the development of internet technologies, there is an increase in cyber attacks. As a result, various systems have been developed to detect and prevent cyber attacks. The most widely used open source and network-based intrusion detection systems are Snort and Suricata, while the most widely used open source and host-based intrusion detection systems are OSSEC and Wazuh. In this study, the efficiency of the latest versions of Snort and Suricata in detecting attacks with default configurations and using open rule sets is comparatively analyzed, while the detection efficiency of OSSEC and Wazuh as host-based intrusion detection systems are examined. In order to measure the detection efficiency, the ratio of the number of alarms generated to the total number of attacks was calculated. Community Rule Set, Registered Rule Set, Talos Rule Set, Emerging Threats Rule Set and Broadcom Rules were used as open rule set in the study. In the experiments, detection efficiency and false positive alarm generation amounts of intrusion detection systems were analyzed by using 600 different attack traffic and 38 different benign traffic. As attack traffic, there are traffic in three different categories: web application attacks, malware traffic and CVE referenced vulnerability exploitation traffic. During the experiments, it was aimed to measure the detection efficiency of Snort and Suricata intrusion detection systems by using rule sets alone, using all rule sets together, analyzing malware traffic according to threat actors, and analyzing CVE-referenced vulnerability exploitation attacks according to platforms and operating systems. On the other hand, web application attack traffics and CVE-referenced vulnerability exploitation traffics were sent to the OSSEC and Wazuh intrusion detection systems, and alarm generation situations were analyzed, and then the alarms that would occur after a successful attack were examined. As a result of the experiments, it has been seen that the most effective results are obtained with the Talos Rule Set when the rule sets are used separately in attack traffic, and when all rule sets are used together, the Snort intrusion detection system is more effective detecting attacks than Suricata in all three attack types. It has been analyzed that Talos Rule Set and Emerging Threats Rule Set do not create false positive alarms when all rule sets are used alone in benign traffic, and Suricata generates fewer false positive alarms when all rule sets are used together in benign traffic. It has been observed that the OSSEC and Wazuh Intrusion Detection Systems didn't create alarms in unsuccessful attacks, but it generates too many false positive alarms from the usual commands of the users.

Benzer Tezler

  1. Tez No

    594071

    An open-source, machine learning based intrusion detection system

    Makı̇na öğrenmesı̇ tabanlı açık kaynak kodlu saldırı tespı̇t sı̇stemı̇

    ZEMRE ARSLAN TÜVER

    Yüksek Lisans

    İngilizce

    İngilizce

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Hesaplamalı Bilimler ve Mühendislik Ana Bilim Dalı

    DOÇ. DR. ENVER ÖZDEMİR

  2. Tez No

    395764

    Güvenlik sistemleri iz bilgilerinin veri madenciliği kullanılarak etkin analizi

    Effective analysis of security systems logs by using data mining methods

    IŞIL ÇİNAR

    Yüksek Lisans

    Türkçe

    Türkçe

    2015

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolGazi Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. HASAN ŞAKİR BİLGE

  3. Tez No

    434021

    Network security: Attacks and defense mechanism by designing an intelligent firewall agent

    Ağ güvenliği: Saldırılar ve zeki güvenlik duvarı etmeni ile savunma mekanizmaları

    HAFUSWA NAKATO

    Yüksek Lisans

    İngilizce

    İngilizce

    2016

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSakarya Üniversitesi

    Bilgisayar ve Bilişim Mühendisliği Ana Bilim Dalı

    PROF. DR. İSMAİL HAKKI CEDİMOĞLU

  4. Tez No

    679603

    Yazılım ve donanım tabanlı saldırı önleme sistemlerinin karşılaştırılması

    Comparison of software and hardware based intrusion prevention systems

    ÇAĞRI YARDIMCI

    Yüksek Lisans

    Türkçe

    Türkçe

    2021

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSüleyman Demirel Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ MEVLÜT ERSOY

  5. Tez No

    472634

    Network packet capturing for Windows operating system

    Windows işletim sistemlerinde ağ paketi yakalama

    YÜCEL AYDIN

    Yüksek Lisans

    İngilizce

    İngilizce

    2017

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilişim Uygulamaları Ana Bilim Dalı

    DOÇ. DR. ENVER ÖZDEMİR

Geri Dön