Açık kaynak saldırı tespit sistemlerinin açık kural setleriyle analizi
Analysis of open source intrusion detection systems with open rulesets
- Tez No: 752697
- Danışmanlar: PROF. DR. ALİ AYDIN SELÇUK
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2022
- Dil: Türkçe
- Üniversite: TOBB Ekonomi ve Teknoloji Üniversitesi
- Enstitü: Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
- Bilim Dalı: Belirtilmemiş.
- Sayfa Sayısı: 83
Özet
İnternet teknolojilerinin gelişmesiyle birlikte siber saldırılarda da artış gözlenmektedir. Bunun sonucunda siber saldırıları tespit etmek ve önlemek amacıyla çeşitli sistemler geliştirilmiştir. Saldırıları tespit etmek amacıyla en çok kullanılan açık kaynak ve ağ tabanlı saldırı tespit sistemleri Snort ve Suricata iken, en çok kullanılan açık kaynak ve host tabanlı saldırı tespit sistemleri ise OSSEC ve Wazuh'tur. Bu çalışmada, Snort ve Suricata'nın en son versiyonlarının varsayılan konfigürasyonlarla ve açık kural setleri kullanılarak saldırıları tespit etmedeki etkinliği karşılaştırmalı olarak analiz edilirken, OSSEC'in ve Wazuh'un ise host tabanlı saldırı tespit sistemleri olarak tespit etkinliği incelenmiştir. Tespit etkinliğini ölçmek için alarm üretilen atak sayılarının toplam atak sayısına oranı hesaplanmıştır. Çalışmada açık Kural Seti olarak Community Kural Seti, Registered Kural Seti, Talos Kural Seti, Emerging Threats Kural Seti ve Broadcom Kuralları kullanılmıştır. Deneylerde 600 farklı atak trafiği ve 38 farklı zararsız trafik kullanılarak saldırı tespit sistemlerinin tespit etkinliği ve yanlış pozitif alarm oluşturma miktarları analiz edilmiştir. Atak trafiği olarak web uygulama atakları, zararlı yazılım trafikleri ve CVE referanslı zafiyet sömürü trafikleri olmak üzere üç farklı kategoride trafiklere yer verilmiştir. Deneyler sırasında kural setleri tek başına kullanılarak, tüm kural setleri birlikte kullanılarak, zararlı yazılım trafikleri tehdit aktörlerine göre analiz edilerek ve CVE referanslı zafiyet sömürü atakları platformlara ve işletim sistemlerine göre analiz edilerek Snort ve Suricata saldırı tespit sistemlerinin tespit etkinliklerinin ölçülmesi amaçlanmıştır. OSSEC ve Wazuh saldırı tespit sistemlerine ise web uygulama atak trafikleri ve CVE referanslı zafiyet sömürü trafikleri gönderilerek alarm oluşturma durumları analiz edilmiş, ardından başarılı bir atak sonrasında oluşacak alarmlar incelenmiştir. Deneyler sonucunda atak trafiklerinde kural setleri ayrı olarak kullanıldığında en etkin sonuçların Talos Kural Seti ile alındığı, tüm kural setleri birlikte kullanıldığında ise Snort saldırı tespit sisteminin her üç atak türünde de atakları tespit etmede Suricata'dan daha etkin olduğu görülmüştür. Zararsız trafiklerde ise tüm kural setleri tek başına kullanıldığında Talos Kural Seti ve Emerging Threats Kural Seti'nin yanlış pozitif alarm oluşturmadığı ve zararsız trafiklerde tüm kural setleri birlikte kullanıldığında Suricata'nın daha az yanlış pozitif alarm oluşturduğu analiz edilmiştir. OSSEC ve Wazuh Saldırı Tespit Sistemleri'nin ise sızmayla sonuçlanmayan ataklarda alarm vermemekle birlikte, kullanıcıların zararsız komutlarından çok fazla yanlış pozitif alarm oluşturduğu gözlenmiştir.
Özet (Çeviri)
With the development of internet technologies, there is an increase in cyber attacks. As a result, various systems have been developed to detect and prevent cyber attacks. The most widely used open source and network-based intrusion detection systems are Snort and Suricata, while the most widely used open source and host-based intrusion detection systems are OSSEC and Wazuh. In this study, the efficiency of the latest versions of Snort and Suricata in detecting attacks with default configurations and using open rule sets is comparatively analyzed, while the detection efficiency of OSSEC and Wazuh as host-based intrusion detection systems are examined. In order to measure the detection efficiency, the ratio of the number of alarms generated to the total number of attacks was calculated. Community Rule Set, Registered Rule Set, Talos Rule Set, Emerging Threats Rule Set and Broadcom Rules were used as open rule set in the study. In the experiments, detection efficiency and false positive alarm generation amounts of intrusion detection systems were analyzed by using 600 different attack traffic and 38 different benign traffic. As attack traffic, there are traffic in three different categories: web application attacks, malware traffic and CVE referenced vulnerability exploitation traffic. During the experiments, it was aimed to measure the detection efficiency of Snort and Suricata intrusion detection systems by using rule sets alone, using all rule sets together, analyzing malware traffic according to threat actors, and analyzing CVE-referenced vulnerability exploitation attacks according to platforms and operating systems. On the other hand, web application attack traffics and CVE-referenced vulnerability exploitation traffics were sent to the OSSEC and Wazuh intrusion detection systems, and alarm generation situations were analyzed, and then the alarms that would occur after a successful attack were examined. As a result of the experiments, it has been seen that the most effective results are obtained with the Talos Rule Set when the rule sets are used separately in attack traffic, and when all rule sets are used together, the Snort intrusion detection system is more effective detecting attacks than Suricata in all three attack types. It has been analyzed that Talos Rule Set and Emerging Threats Rule Set do not create false positive alarms when all rule sets are used alone in benign traffic, and Suricata generates fewer false positive alarms when all rule sets are used together in benign traffic. It has been observed that the OSSEC and Wazuh Intrusion Detection Systems didn't create alarms in unsuccessful attacks, but it generates too many false positive alarms from the usual commands of the users.
Benzer Tezler
- An open-source, machine learning based intrusion detection system
Makı̇na öğrenmesı̇ tabanlı açık kaynak kodlu saldırı tespı̇t sı̇stemı̇
ZEMRE ARSLAN TÜVER
Yüksek Lisans
İngilizce
2019
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik ÜniversitesiHesaplamalı Bilimler ve Mühendislik Ana Bilim Dalı
DOÇ. DR. ENVER ÖZDEMİR
- Güvenlik sistemleri iz bilgilerinin veri madenciliği kullanılarak etkin analizi
Effective analysis of security systems logs by using data mining methods
IŞIL ÇİNAR
Yüksek Lisans
Türkçe
2015
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolGazi ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
DOÇ. DR. HASAN ŞAKİR BİLGE
- Network security: Attacks and defense mechanism by designing an intelligent firewall agent
Ağ güvenliği: Saldırılar ve zeki güvenlik duvarı etmeni ile savunma mekanizmaları
HAFUSWA NAKATO
Yüksek Lisans
İngilizce
2016
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSakarya ÜniversitesiBilgisayar ve Bilişim Mühendisliği Ana Bilim Dalı
PROF. DR. İSMAİL HAKKI CEDİMOĞLU
- Yazılım ve donanım tabanlı saldırı önleme sistemlerinin karşılaştırılması
Comparison of software and hardware based intrusion prevention systems
ÇAĞRI YARDIMCI
Yüksek Lisans
Türkçe
2021
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSüleyman Demirel ÜniversitesiBilgisayar Mühendisliği Ana Bilim Dalı
DR. ÖĞR. ÜYESİ MEVLÜT ERSOY
- Network packet capturing for Windows operating system
Windows işletim sistemlerinde ağ paketi yakalama
YÜCEL AYDIN
Yüksek Lisans
İngilizce
2017
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik ÜniversitesiBilişim Uygulamaları Ana Bilim Dalı
DOÇ. DR. ENVER ÖZDEMİR