Gerçek amaçlı bir saldırı algılama sisteminin tasarımı ve gerçekleştirimi

Abstract

IV ÖZET Günümüzde sunucu bilgisayar sistemleri için güvenlik, verilen hizmet kadar önem kazanmıştır. Zira kötü niyetli kişiler (hackers), sunucu üzerinde hizmet üreten programların ve işletim sisteminin saldırılara açık yanlarından faydalanarak verilen hizmeti engelleyebilmekte ve sunucu üzerinde veri ve işletim bütünlüğünü bozabilmektedir. Bu nedenle saldırıların izlenmesi, belirlenmesi ve engellenmesi gerekmektedir. Bu amaçla, Saldın Algılama Sistemleri (Intrusion Detection Systems) diye anılan yazılımlardan yararlamlmaktadır. Bu tez kapsamında, HUSAS (Hacettepe Üniversitesi - UNIX için Saldın Algılama Sistemi) adlı gerçek zamanlı bir saldın algılama yazılımı tasarlanmış ve gerçekleştirilmiştir. Bu bağlamda, daha önce bu konuda yürütülen çalışmalar ve saldırı algılama yaklaşımları incelenmiştir. Bunlardan en uygunu seçilerek üzerinde iyileştirmeler yapılmıştır. Benimsenen yaklaşım, Porras tarafından geliştirilen Saldırı Durum Çizeneği (State Transition Diagrams) yaklaşımı olmuştur [Porras 1992]. Bu yaklaşıma dayalı olarak kurulan yapıda `eşik bileşeni` olarak adlandırılan özgün bir alt sisteme de yer verilmiştir. Gerçekleştirilen uygulama, anasistem tabanlı bir saldırı algılama sistemidir ve belirli bir işletim sistemi (SunOs 5.7) için gerçekleştirilmiştir.

ABSTRACT Nowadays, server systems security is important as much as services that are given by server systems. Because hackers prevent the given services by using vulnerability of operating system and programs that give services on the server and they break the data and process integrity. For this reason, it is necessary to monitor, detect and prevent the attacks. Programs that are called Intrusion Detection Systems, are used for implementing these processes. In this thesis scope, a real-time intrusion detection system that is called HUSAS (Hacettepe University - Intrusion Detection System for UNIX), was designed and implemented. In this context, former researchs that are related to this topic, and intrusion detection approaches were examined. The most appropriate one that is State Transition Diagrams, was selected and improved. Porras [Porras 1992] developed this approach. In the system that is based on the State Transition Diagrams approach, there is an original component that is called Threshold Component. The application software that was implemented, is a host-based intrusion detection system and it was implemented for a specific operating system (SunOs 5.7).