Analysis of intrusion prevention methods

Abstract

oz Günümüzde teknolojinin hızla gelişmesi ve ilerlemesiyle yeni ve daha karmaşık (kompleks) uygulamaların geliştirilmesini zorunlu hale getirmiştir. Hızla değişen isteklere kısa sürede uygulama geliştirilme zorunluluğu, yazılımın geliştirilmesi sürecinde bazı aşamaların, genellikle de test aşmasının, atlanmasına ve dolayısıyla, hatalar içeren yazılımların üretilmesine sebep olmaktadır. Bu hatalar, daha sonra, saldırganlar tarafından bulunarak sistemlere sızma amaçlı kullanılmaktadır. Ateş duvarları, nüfuz tespit sistemleri, `honeypot` 1ar, ağ tabanlı antivirus sistemleri gibi mevcut güvenlik teknolojileri, sürekli artan sayıdaki, hızla yayılan ve bu saldırılara karşı sistemleri savunmada yetersiz, kalmaktadır. Nüfuz Önleme Sistemi, günümüzün iletişim hızında yayılan, uygulamaya özgü, veri odaklı saldırılarına karşı geliştirilen yeni bir teknolojidir. Nüfuz Önleme Sistemi, mevcut teknolojilerin evrim geçirmiş halidir; ağ güvenliği için yeni bir yaklaşım değildir. Bu tezde, bilgisayar güvenliği ürünü geliştiren çeşitli firmaların mevcut Nüfuz Önleme Sistem gerçekleştirimleri detaylı olarak incelenmiştir. Bu inceleme sonucunda, ağ tabanlı Nüfuz Önleme Sistemlerinin gereksinimleri belirlenmiş ve bu gereksinimlere uygun bir mimari önerilmiştir. Ayrıca, açık kaynak kodlu Snort yazılımı üzerinde değişiklikler yapılarak örnek bir ağ tabanlı Nüfuz Önleme Sistemi geliştirilmiştir. iv

ABSTRACT Today, the pace of the technological development and improvements has compelled the development of new and more complex applications. The obligatory of application development in a short time to rapidly changing requirements causes skipping of some stages, mostly the testing stage, in the software development cycle thus, leads to the production of applications with defects. These defects are, later, discovered by intruders to be used to penetrate into computer systems. Current security technologies, such as firewalls, intrusion detection systems, honeypots, network-based antivirus systems, are insufficient to protect systems against those, continuously increasing and rapid-spreading attacks. Intrusion Prevention System (IPS) is a new technology developed to block today's application-specific, data-driven attacks that spread in the speed of communication. IPS is the evolved and integrated state of the existing technologies; it is not a new approach to network security. In this thesis, IPS products of various computer security appliance developer companies have been analyzed in details. At the end of these analyses, the requirements of network-based IPSs have been identified and an architecture that fits those requirements has been proposed. Also, a sample network- based IPS has been developed by modifying the open source application Snort. m