Software defined implementation of cyber attack detection and prevention

Abstract

Bilgisayar ağları ve sayısal haberleşme teknolojileri, ilk bilgisayarlar arası bağlantının 1969 yılında ARPANET ile başlamasından bu yana çok hızlı bir şekilde gelişmeye devam etmekte. Bir kaç yıl önce toplumun hayatında karşılaştığı veya bazı rutin işleri halledebilmek adına izlediği genel işler günbegün değişmekte ve farklı formlara bürünerek hayatları sayısal ortama taşımaktadır. Bu gelişme veya dönüşüm beraberinde kolaylıkların yanı sıra bir çok güvenlik problemi getirmektedir. Fiziksel dünyada insan beyni, diğer duyu organlarından aldığı ve işlediği görüntü, ses vb girdilerle doğrulama, hatırlama ve yetkilendirme mekanizmalarını kullanmaktayken, bu mekanizmaların yanıltılabileceği ve manipüle edilebileceği sayısal ortamda benzeri doğrulamaları sağlamak güçleşmekte. Finansal çıkar, bilgi çalmak, şantaj yapmak ve benzeri motivasyonu olan kimseler, bu tarz manipülatif yöntemleri hem bilişim ağlarında hem de bu ağlar üzerinden sağlanan hizmetlere uyarlamak için çalışmaktalar. Fark edilme sürecine kadar yeni sürümleri geliştirilen karmaşık saldırıları tespit etmek çok zorlu bir işlem olduğu gibi, daha sınırları belli olmayan muhtemel saldırılara karşı önlem almak, sonsuz büyüklükteki bir olasılık kümesindeki tüm çıktılara karşı genel geçer bir yöntem bulmak kadar zordur. Güncel ve elektronik kontrol mekanizmasına sahip yeni nesil bir araç dahi bu tarz saldırılara maruz kalabildiği gibi sonucu ölüme varan büyük yıkımlara sebebiyet verebileceği bilinmektedir.Bu denli karışık ve kademeli saldırılara karşı profesyonel olarak destek veren güvenlik uzmanları, ana gayesi kriminal amaçlar veya haksız kazanç sağlamak olan kimselerin güncel olarak kullandığı ve istismar ettiği güvenlik zaafiyetlerine karşı habersiz ve bilgisiz olabilmektedir. Belirli aralıklarla uygulanan penetrasyon testleri, çoğunlukla kullanılması bırakılmış veya ifşa olmuş saldırı vektörlerine karşı önlem alma amacıyla yapılmaktadır. Günlük mertebede güncellenen bu saldırı vektörlerinin hedefinde bir şirket veya kuruluşun yer alması, bir sonraki olağan zaafiyet testine kadar güvenli olarak kabul edilmesi algısını ortadan kaldırmaktadır. Bu güvenlik zaafiyetlerinin büyük hasarlar verdiği bir çok örnek ve haber çıkmasına rağmen aylar sonra dahi hala aynı zaafiyeti taşıyan sistem ve ağlar bulunabilmektedir. Özellikle bu saldırı tekniğinin sahibi bilgisayar korsanları tarafından paylaşılması üzerine çok daha az teknik bilgiye sahip kimseler, basitçe aynı saldırıyı kendi iç bilgiye sahip oldukları daha ufak ve zaafiyete sahip sistemlere yüksek başarı oranıyla uygulayabilmektedir. Bünyesinde yeterli nitelikte güvenlik uzmanı bulundurmayan sistemler, bir çok geçmiş saldırıya açık kaldığı gibi, sofistike güvenlik cihazlarının işletimsel ve güncelleme maliyetlerinden kaçınmaktadırlar. Bu tezin amacı, özelleştirilmiş tek bir x86 tabanlı gömülü sistem üzerine, özel derlenmiş ve yazılımsal işlevsellikler eklenmiş bir Linux tabanlı işletim sistemi kurarak, otonom ve kompleks ilişkilendirmeler kurabilen bir çözümü denemektir. Geleneksel tüm ağ ve güvenlik işlemlerinin yazılımsal ve işletim sistemi katmanında kontrol edildiği bu çözümde aynı zamanda savunma odaklı ve katı bir güvenlik algısından yana saldırgan ve dış ağa bilinçli olarak zayıf gösterilen sistemler sayesinde olası saldırganları tespit etme ve bilgi toplama işlemleri yapılmaktadır.

Computer networks and computational communication technologies have been improving very fast since the first connection was established between two computers by ARPANET in 1969. The daily routines are becoming digitalized day by day. This transformation provides easiness, but at the same time it causes some security problems. The security mechanisms such as authentication, authorization and recognition that a human brain can automatically execute, can be manipulated in digital environments. The people who have the motivation for stealing information, profiting in illegal ways, blackmailing and so on, use a lot of manipulative methods by making use of computer networks and the systems that are based on these networks. These methods are changing and being updated very rapidly, so it is very difficult to detect and prevent that kind of attacks. Even the new generation tools that have current electronic control mechanisms can be exposed to that kind of attacks, so that it is known that this may cause crucial destructions including death.the security experts who provide service for defending systems against these complicated and sophisticated attacks, may be unaware and uninformed about the security flaws that are being used by the people who have the criminal motivations. The penetration tests that are being conducted periodically, are mostly for the revealed security flaws. Namely, the security flows are updated more frequently than the penetration tests.The systems that are not maintained or operated by the qualified security experts are very open to the old-fashioned attacks, and these poorly maintained systems are avoiding the costs of the sophisticated detection and prevention software.The main goal of this work is to use a x86 based embedded system which hosts a customized Linux based operating system with the dynamic analysis of the both remotely and locally gathered/enumerated logs as well as implementing network security functionalities of the conventional network equipment provide. Thus allowing to gather and analyze information about the local or remote network resulting automated reporting for the IT administrators.