Web tabanlı saldırı önleme amaçlı yeni bir gerçek zamanlı web uygulaması güvenlik duvarı algoritmasının gerçekleştirilmesi

Abstract

İnternet üzerinden verilen hizmetlerin artması, günlük hayatta internetin kullanım oranını artırmıştır. İnternetin kullanım oranının artması internet uygulamalarına yönelik tehditlerin de aynı ölçüde artmasına sebep olmuştur. İnternette verilen hizmetlerin altyapısını büyük oranda web uygulamaları oluşturmaktadır. İnterneti hedef alan tehditler, web uygulamalarının güvenlik ihtiyaçlarını ortaya çıkarmıştır. Web uygulama güvenliğini sağlamak için ağ ortamından yapılan saldırılara karşı güvenlik duvarları, saldırı tespit ve engelleme sistemleri kullanılmaktadır. Web uygulamaları ve web tabanlı servislere karşı yapılan saldırılar, web uygulamalarının iletişim protokolü olarak kullandığı Hyper-Text Transfer Protocol (HTTP) kullanılarak da yapılmaktadır ve HTTP denetimi yapılarak web tabanlı saldırılar engellenebilmektedir. Geliştirilen her bir web uygulamasının yapısı birbirinden farklı mimariye sahip olmaktadır. Web uygulamalarının bu değişik mimari yapısı ve çok fazla değişkene sahip olması HTTP'nin içerik yapısını da değiştirmektedir. Bu durum HTTP denetimi yapılarak web tabanlı saldırıların denetimini ve engellenmesini zorlaştırmaktadır. Bu tez çalışmasında, HTTP denetimi yapılarak web tabanlı saldırıların denetimini gerçekleştirmek için, İmza Tabanlı Denetim (İTD) ve Anormal Tabanlı Denetim (ATD) metodları kullanılarak öğrenme tabanlı, hibrit bir Web Uygulama Güvenlik Duvarı (WUGD) modeli önerilmiştir. İTD ile, bilinen web tabanlı saldırı türlerinden olan SQL (Structured Query Language) Enjeksiyonu, Siteler Arası Kod (XSS) Yazma, Komut Enjeksiyonu (KE) ve Dizin Geçişi Saldırı (DGS) saldırı türlerine karşı imza denetimi gerçekleştirilmiştir. ATD ile ise standart HTTP istek yapısına uymayan HTTP isteklerinin denetimi yapılmıştır. ATD, Alfanümerik Karakter Analizi (AKA), Harf Frekans Analizi (HFA) ve İstek Uzunluk Analizi (İUA) öznitelikleri ile, yapay zekâ tekniklerinden sinir ağları yöntemi kullanılarak öğrenme tabanlı olarak gerçekleştirilmiştir. ATD sonucunda tespit edilen HTTP istekleri tekrar web uygulamasına geldiği zaman ikinci defa ATD gerçekleştirmemek için İTD veritabanı güncellenmektedir. Böylece imza üretimi gerçekleştirilmektedir. Bu durum sistemin yeni saldırı türlerine karşı adaptasyonunu sağlamaktadır. Ayrıca İTD, ATD'ye göre daha hızlı çalıştığı için sistemin hız performansı da artırılmış olmaktadır. Normal olarak tespit edilen HTTP istekleri Normal İsteklerin İmza Tabanlı Denetimi (NİİTD) veritabanına, anormal olarak tespit edilen HTTP istekleri Anormal İsteklerin İmza Tabanlı Denetimi (AİİTD) veritabanına eklenmektedir. Böylece hız performansı yüksek bir modelin geliştirilmesi sağlanmıştır. Bu yüzden web tabanlı saldırıların denetimini en iyi şekilde yapabilmek için hibrit bir denetim modeli önerilmiştir. Önerilen model gerçek zamanlı, web uygulamaları kullanılarak akan HTTP trafik verisiyle gerçek zamanlı olarak ve literatürde üretilmiş farklı veri kümeleri kullanılarak test edilmiştir. Test sonuçları benzer veri kümelerini kullanan çalışmalarla karşılaştırılmıştır. Karşılaştırma sonuçlarına göre, önerilen modelin mevcut çalışmalara göre daha yüksek denetim performansı gösterdiği ve düşük yanlış pozitif oranına sahip olduğu görülmüştür. Ayrıca YSA ile elde edilen sonuçlarla karşılaştırma amacıyla ATD, veri madenciliği yöntemlerinden bayes sınıflandırma (BS) ve yapay zekâ yöntemlerinde bayes tabanlı yapay sinir ağları (BTYSA) yöntemleri ile de denetim yapılmıştır.

The increase of services provided through the internet has increased usage of internet in daily life. The increase in the ratio of the internet usage also causes an increase in the threats to internet applications equally at the same extent. The infrastructure of the services provided on the Internet comprises a major proportion of web applications. Threats targeted at internet reveal the security requirements of web applications. In order to ensure the security of web applications, firewalls, intrusion detection and prevention systems are used against attacks from the network layer. Attacks against to web applications and web-based service are also done by using Hyper-Text Transfer Protocol (HTTP) which the web applications use as a communication protocol, and the web based attacks can be prevented by HTTP detection. The structure of each developed web application has a different architecture from each other. This different architecture of web applications and to have too many variables also changes the structure of HTTP content. This situation complicates detection and prevention of web-based attacks by HTTP detection. In this thesis study, in order to detect web-based attacks by HTTP detection, a hybrid web application firewall (WAF) model that uses Signature Based Detection (SBD) and Anomaly Based Detection (ABD) methods is proposed. SBD carried out provides signature based detection against of known web based attack types, such as Structured Query Language (SQL) Injection, Cross Site Scripting (XSS), Command Injection and Directory traversal. On the other hand, ABD detects HTTP requests that do not match standard HTTP request structure. ABD was performed as learning based using artificial neural network, which is an artificial intelligence technique, by using the features, such as Alphanumeric Character Analysis, Letter Frequency Analysis and Request Length Analysis. When HTTP requests that was identified at the ABD results comes to web application again, in order not to perform ABD second time, SBD dataset is updated. Thus, signature generation was implemented. This situation provides the adaptation of the system against new types of attacks. Besides, because SBD runs faster than ABD, speed performance of the system is also enhanced. HTTP requests that was identified as normal requests and HTTP requests that was identified as anomaly requests are added to the Signature Based Detection of Normal Request (SBDNR) dataset and Anomaly Based Detection Anomaly Request (ABDAR) dataset, respectively. Thus, development of a model that has a high-speed performance is provided. Therefore, in order to detect web-based attacks properly, a hybrid detection model is proposed. The proposed model is tested on both several datasets produced in the literature and streaming HTTP data by using web applications in real time. Test results were compared with the studies that uses the same datasets. According to the comparison results, it is revealed that the proposed model shows a higher detection performance and low false positive rates than the existing studies. Furthermore, in order to compare the results yielded by ANN, ABD is also controlled with a data mining method, Bayesian Classifier, and an artificial intelligence method, Bayesian Neural Networks.