A Framework for distributed intrusion detection systems

Abstract

oz DAĞITIK SALDIRI TESPİT SİSTEMLERİ İÇİN MİMARİ TASARIM ÖNERİSİ Öztosun, Ümit Yüksek Lisans, Bilişim Sistemleri Bölümü Tez Yöneticisi: Dr. Altan Koçyiğit Ortak Tez Yöneticisi: Dr. Erkan Mumcuoğlu Kasım 2002, 143 sayfa Saldırı tespit sistemlerinin ortaya çıkmasıyla beraber bilişim sistemlerinin güvenliğinin artması sağlanmıştır. Ancak bu sistemler yeni problemleri de beraberinde getirmiştir. Günümüzde saldırı tespiti için birçok değişik yol ve yöntem kullanan çok sayıda farklı saldırı tespit sistemi kullanılmaktadır. Bir bilişim sisteminin birbirinden farklı saldırı tespit sistemlerini kullanması hiç de az karşılaşılmayan bir durumdur. Bu genel likle farklı şekillerde bilgi üreten ve fazladan bir yönetim yükü getiren sistemler kar maşasına yol açmaktadır. Farklı saldırı tespit sistemleri tarafından üretilen bilginin ortak bir biçime dönüştürülmesini ve bu sistemlerin yönetilebilirliğini arttıracak yeni yollar kullanılmalıdır. Bu tezde, değişik saldırı tespit sistemlerinin birlikte çalışa bilmesini sağlayacak bir mimari tasarım önerisi sunulmaktadır. Bu çalışma, ileride bu konuyla ilgili olarak oluşacak standartlara uyumluluğu sağlamak amacıyla IETF (Internet Engineering Task Force) ve IDWG (Intrusion Detection Work Group) tarafın dan önerilen standart tasarılarını kullanmaktadır. Önerilen mimari tasarım geliştirilen prototip sistem ile sınanmıştır. Anahtar Kelimeler: Saldırı Tespiti, Dağıtık Saldırı Tespit Sistemleri, Birlikte Çalışa- bilirlik, IDMEF iv

ABSTRACT A FRAMEWORK FOR DISTRIBUTED INTRUSION DETECTION SYSTEMS Öztosun, Ümit M.Sc, Department of Information Systems Supervisor: Dr. Altan Koçyiğit Co-Supervisor: Dr. Erkan Mumcuoğlu November 2002, 143 pages Emergence of intrusion detection systems (IDSs) has leveraged the security of infor mation systems. However, they also introduced new problems. Plethora of intrusion detection systems are in common use today, using various different ways and tech niques for intrusion detection. It is not uncommon to see an information system uti lizes different IDSs, in order to combine advantages and to reduce disadvantages of individual systems. This often results in a confusion of systems that output informa tion in different formats, together with the management overhead of these distinct systems. Information produced by IDSs should be unified and methods to increase manageability of these systems should be introduced. In this thesis, a framework that provides interoperability of different IDSs is proposed. This work utilizes IETF (Inter net Engineering Task Force) IDWG (Intrusion Detection Work Group) draft proposals to ensure compatibility with upcoming standards. The proposed framework has been verified by the developed prototype system. Keywords: Intrusion Detection, Distributed Intrusion Detection Systems, Interop erability, IDMEF m