Generating application layer IDS rules from cyber threat intelligence

Abstract

Siber tehditlerin çeşit ve karmaşıklığı bilgisayar teknolojilerindeki gelişimlere paralelolarak artıyor. Bu yüzden, siber tehditleri tespit etmek ve onlarla savaşmak zorlaşıyor.Siber istihbaratın paylaşılması, çeşitli ve karmaşık tehditlere karşı korumayı artırmanıniyi bir yöntemidir, çünkü bu şekilde başkalarının bilgi ve tecrübesi kullanılarak tehditlerekarşı daha uyanık olunabilir. MITRE'nin gelişimine öncülük ettiği TAXII, STIX ve CybOX standartları bize siber istihbaratın kapsamlı ve standartlaştırılmış bir şekilde tarifedilmesini ve etkin olarak paylaşılmasını sağlıyor. Bu tezin amacı, STIX/CybOX formatındaki siber tehdit istihbaratını, kolayca Suricata IPS/IDS sistemlerinde tanımlanabilecek Suricata kurallarına dönüştürmek. Düzenli olarak, güncel siber tehditleri baz alarak oluşturulan Suricata kuralları, Suricata sisteminin yeni yaranan tehditlere aşina olmasına olanak sağlayacaktır.

Variety and complexity of cyber threats are increasing in parallel with technological advancements in computer technologies. Therefore, it is getting harder to detect and fightcyber threats. Sharing of threat intelligence is a good way to grow immunity againstvarious and complex threats, since it enables sharing parties to learn from others' experiences and knowledge, thereby to become alert to potential threats. XML-based standardsTAXII, STIX and CybOX, of which development is led by MITRE, allow us to describecyber threats in an extensive and standardized manner and to share them effectively.The aim of this thesis is to convert STIX/CybOX formatted threat intelligence data toSuricata rules which can be readily implemented on Suricata IDS/IPS. To create rulesfor a Suricata engine based on latest threat information on a regular basis, will enable itto get familiar with emerging threats.