Szma Belirleme

Matt Bishop, Computer Security, Addison

Wesley, 2003, pp. 722-769.

20.04.2004

Erhan ANUK, Mehme

erik
lkeler
Temel Szma Belirleme
Szma Belirleme Modelleri
Mimari
Szma Belirleme Sistemlerinin
rgtlenmesi
Szmaya Tepki
20.04.2004

Erhan ANUK, Mehme

lkeler
Bir sistemdeki kullanclarn ve
srelerin hareketleri genellikle
istatistiksel ngrlen bir rntye
uyar.
Bir sistemdeki kullanclarn ve
srelerin hareketleri sistemin
gvenlik politikasn altst edecek
komut veya komutlar dizini iermez.
20.04.2004

Erhan ANUK, Mehme

lkeler
Bir sistemdeki srelerin
hareketleri sistemde olan ve
srelerin hareketlerine
kstlamalar (olumlu veya
olumsuz) getiren belirtimler
kmesine uyar.

20.04.2004

Erhan ANUK, Mehme

Temel Szma Belirleme

Teknolojik gelimeler arttka,
sistemlere kar saldrlar da
otomatiklemeye balamtr.
Otomatik olarak saldr
gerekletirme amacna sahip
aralara saldr arac
denmektedir.
20.04.2004

Erhan ANUK, Mehme

Temel Szma Belirleme

rootkit
A dinleme programna ek olarak
programn varlnn sistemden
gizlenmesi iin baz sistem
komutlarnn deitirilmi
versiyonlar da sisteme kurulur.
netstat, ps, ls, du, ifconfig, login
20.04.2004

Erhan ANUK, Mehme

Temel Szma Belirleme

Saldr aralar temel olarak szma
belirlemenin doasn etkilemez.
Btn izler temizlenemez.
Genel olarak sistemin zarar
grebilecek zelliklerinden
yararlanmak iin komutlarn normal
kullanmlarnn dnda anormal
olarak kullanlmalar gerekir.
20.04.2004

Erhan ANUK, Mehme

Temel Szma Belirleme

Gvenlik ihlalleri ancak anormallikler
takip edilerek belirlenebilir.
Bu anormallikler;
Olaann dnda hareket etme (anomali
belirleme)
eri szmay salayan sre hareketleri
(kural tabanl belirleme)
Belirlirtimlerin dnda hareket eden yetkili
progamlar (belitim-tabanl belirleme)
20.04.2004

Erhan ANUK, Mehme

Temel Szma Belirleme

Bu belirleme ilemlerini yapabilen
sistemlere Szma Belirleme
Sistemleri (SBS) denir.
Amalar:
Geni eitlilikte szmalar tespit
etmek. eriden veya dardan
gelebilecek szmalar belirlemek.
20.04.2004

Erhan ANUK, Mehme

Temel Szma Belirleme

Zaman ayarlamal szma belirlemek.
Yaplan analizi en kolay anlalabilecek
ekilde sunmak.
Kusursuz bilgi vermek.
yanl positif
yanl negatif

20.04.2004

Erhan ANUK, Mehme

10

Szma Belirleme Modelleri

Szma belirleme modeli bir dizi
durumu veya hareketi snflandrarak,
yada durum veya hareketleri
tanmlayarak iyi (szma yok) yada
kt (olas szma) olarak belirtir.
Pratikte bu modeller birbirleriyle iie
gemi ekillerde de kullanlabilir.

20.04.2004

Erhan ANUK, Mehme

11

Szma Belirleme Modelleri

Anomali Modeli:
Beklenmeyen davrann olas bir
szmann kant olaca varsaym
kullanlr.
Anomali belirleme sistemleri sistemin
tanm kmesindeki eylemleri
davranlaryla ve beklenen
davranlaryla karlatrarak tespitler
yaparlar.
20.04.2004

Erhan ANUK, Mehme

12

Anomali Belirleme
eit istatiksel yntem
tanmlanmtr
Eik metrii
statiksel momentler
Markov modelleri
20.04.2004

Erhan ANUK, Mehme

13

Kural Tabanl Szma

Belirleme
Herhangi bir komut dizisinin nceden
bilinen ve sistemin gvenlik politikasn ihlal
edecek ilemler yapp yapmadn tespit
eder ve potansiyel szmalar raporlar.
Sistemin zarar grebilecek yerlerinin ve
buralara kar yaplabilecek potansiyel
saldrlarn bilgisinin nceden bilinmesi
gerekir.
Bu sistemler kural kmesinde bulunmayan
saldrlara mdahale edemezler.
20.04.2004

Erhan ANUK, Mehme

14

Belirtim Tabanl Szma

Belirleme
Bir dizi komutun bir programn
yada sistemin alma ekline
zarar verip vermediini belirler.
Sistemin gvenlik durumunu
deitirebilecek programlarn
belirlenmesi ve kontrol edilmeleri
gerekmektedir.
20.04.2004

Erhan ANUK, Mehme

15

Belirtim Tabanl Szma

Belirleme
Yeni bir yaklam.
Sistemde ne olabilecei
ekillendirilir.
Bilinmeyen saldrlara kar zm.
Zor ksm; belirtimlerinin
karlmas gereken programlar iyi
seme.
20.04.2004

Erhan ANUK, Mehme

16

Mimari
Host A

Ajan

Ynetici
Host B

Ajan

Host N

Ajan

Bildirici
Host C

20.04.2004

Ajan

Erhan ANUK, Mehme

17

Ajan
Veri kaynaklarndan bilgi toplar.
Annda gnderme nilemeli
gnderme
Ynetici potansiyel bir saldrdan
phelenmesi halinde ajanlarn
alma ekillerini deitirmelerini
salayabilir.
Tek bir konak, birok konak, a.
20.04.2004

Erhan ANUK, Mehme

18

Ajan
Konak Tabanl Bilgi Toplama
Sistem ve uygulama kaytlar zerinde
alrlar.
Olabildiince sade bir tasarm.

A Tabanl Bilgi Toplama

Adaki eitli aralardan ve yazlmlardan
faydalanrlar.
erik incelemesi
Yerletirilme yerleri iyi seilmeli
20.04.2004

Erhan ANUK, Mehme

19

Ynetici
Analiz motoru ile herhangi bir saldr veya
saldr balangc olup olmadn kontrol
eder.
Bir veya birden fazla analiz modeli
kullanabilir.
Ayr bir sistem zerinde bulunur.
Birok ynetici zerinde altklar kural
kmelerini ve profilleri deitirebilme
zeliine sahiptir.
20.04.2004

Erhan ANUK, Mehme

20

Bildirici
Yneticiden ald bilgilere gre
hareket eder.
Sistem yneticisine bir saldrnn
yaplmakta olduunun haber
vermek.
Saldrya karlk vermek.

20.04.2004

Erhan ANUK, Mehme

21

Szma Belirleme Sistemlerinin

rgtlenmesi
temel yaklam var
A Trafiini zlemek (NSM)
Konaklar ve Alar Birlikte zlemek
(DIDS)
zerk Araclar Kullanmak

20.04.2004

Erhan ANUK, Mehme

22

A Trafiini Szmalara Kar zlemek

Kaynak, var ve hizmet ls izlenir.
Elde edilen bililer eksene
yerletirilerek bir matris oluturulur.
Beklenen deerler matrisi ile
maskelenerek terslikler ortaya karlr.
Matrisler sradzeni ile am engellenir.
mzalar da yapya eklenebilir.

20.04.2004

Erhan ANUK, Mehme

23

A Trafiini Szmalara Kar zlemek

20.04.2004

Erhan ANUK, Mehme

24

A Trafiini Szmalara Kar zlemek

Sistem on yl akn sredir baaryla
kullanlmaktadr.
Gnmzde kullanlan szma belirleme
sistemlerinin temelini oluturur.
Szma Belirleme sistemlerinin
kullanlabileceini gsteren
uygulamadaki ilk rnektir.
Sadece trafii incelediinden ifrelenmi
alarda da baaryla kullanlabilir.
20.04.2004

Erhan ANUK, Mehme

25

Konaklar ve A Birlikte zlemek

Konaklarn ve an izlenmesini iie
koyarak ayr ayr izlemeyle
belirlenemeyen saldrlar belirleyebilir.
Director adnda merkezi bir uzman sistem
kullanr.
Uzman sistemnin alt katmanl bir yaps
vardr.
DIDS zerine kurulan GrIDS sradzensel
bir yapyla bu yaklamn geni alan
alarna uygulanmasn salar.
20.04.2004

Erhan ANUK, Mehme

26

zerk Araclar
Director, tekil hata noktas oluturur.
Bu yaklamda uzman sistem her bir ayr
bir izleme ile grevli arac paralara ayrlr.
Paralardan biri almazsa dierleri onun
boluunu doldurabilir.
Paralardan birine yaplan saldr tm an
gvenliini etkilemez.
Yaps gerei leklenebilir.
20.04.2004

Erhan ANUK, Mehme

27

Szmaya Tepki
Szmann gerekletii
alglandktan sonra korunan a en
az hasarla eski durununa getirmek
iin szmaya kar tepkiler
gelitirilmelidir.
Engelleme
Szma Ynetimi
20.04.2004

Erhan ANUK, Mehme

28

Engelleme
deal artlarda szma denemeleri henz
banda engellenir.
Hapsetme, saldrganlar saldrlarnn
baarl olduuna inandrarak snrl bir
alana sktrmaktr. Hapiste gerek dosya
yapsna ok benzer bir dosya yaps
kullanlr, iyice kstlanm saldrgann
davranlar bylece gzlenebilir.
Bu kavram, ayrca, ok gvenlik seviyeli
alarda da kullanlabilir.
20.04.2004

Erhan ANUK, Mehme

29

Engelleme
Bir baka rnekte sistem
arlarnda bir terslik olmas
durumunda sistem arlar
zellikle geciktiriliyor.
Normal kullanclar bundan
etkilenmezken, saldrganlar ksa
srede iki saati akn bekleme
srelerine eriiyorlar.
20.04.2004

Erhan ANUK, Mehme

30

Szma Ynetimi
Bir szma gerekletiinde a
korumak, korunan a eski
durumuna getirmek ve ilkeler
dorultusunda tepkiler vermektir.
Alt aamadan olutuu
dnlebilir.

20.04.2004

Erhan ANUK, Mehme

31

Szma Ynetimi
Hazrlk aamasnda henz bir saldr belirlenmemitir.
Gerekli ilkeleri ve dzenekleri kurma aamasdr.
Tanma aamas, bundan sonra gelen aamalar
ateleyen aamadr.
Yakalama aamas hasar en aza indirmek iindir.
Temizleme aamas saldry durduran ve benzer
saldrlar engelleyen aamadr.
Kurtarma aamas a eski durumuna getimek iindir.
Kovalama aamas saldrgana kar alnacak tepkileri,
saldrgann davranlarnn incelenmesini ve kazanlan
bilgilerin ve derslerin kaydedilmesini ierir.

20.04.2004

Erhan ANUK, Mehme

32

Szma Ynetimi - Yakalama

Pasif izleme ve eriimi snrlandrmak
olarak ikiye ayrlabilir.
Pasif izleme, basite saldrgan
davranlarnn kaydedilmesidir. Saldrgan
davranlar hakknda bilgi verir.
Eriimi snrlandrmak, saldrgann
amacna ulamasn engellerken, ona en
kk alan vermektir.
Bal kpleri yaklamnda saldrgann ilgisini ekecek
sahte hedeflerle gerek hedefe ulamas
engellenebilir. sistem bir saldr belirlediinde
saldrgan kpe drmeye alr.

20.04.2004

Erhan ANUK, Mehme

33

Szma Ynetimi - Temizleme

Saldry durdurmak anlamna gelir.
En basiti saldrgann sistemye tm
eriimini kesmektir. (A kablosunu
karmak?)
Sk kullanlan bir yaklam rtlerle
olas hedeflerin etrafn sarmaktr.
rtler ounlukla iletim
sisteminin ekirdeine gmlr.
20.04.2004

Erhan ANUK, Mehme

34

Szma Ynetimi - Temizleme

Gvenlik duvarlar saldrgann balantsn
hedefe gelmeden nce szmek iin kullanlabilir.
IDIP (Intrusion Detection and Isolation Protocol)
kullanlarak ada bir szma olduunda komu
alara haber verilebilir. Bylece komu alar da
saldrnn szlmesine yardm edebilirler.

20.04.2004

Erhan ANUK, Mehme

35

Szma Ynetimi - Kovalama

Saldrnn yerini belirlemek gerekecektir.
ki ayr yaklam nerilebilir.
zbasma (Thumprinting)
Olabildiince az yer kaplamal.
ki balantnn ierii farklysa farkl izleri olmal.
letiim hatalarndan etkilenmemeli.
Toplanabilir olmal.
Hesaplamas ve karlatrmas ucuz olmal.

20.04.2004

Erhan ANUK, Mehme

36

Szma Ynetimi - Kovalama

IP bal iaretleme (IP header
marking)
Paket seimi gerekirci ya da rastgele
olabilir. Rastgele seim daha ekonomik ve
gvenlidir.
Paket iaretleme isel ya da
geniletilebilir olabilir. sel iaretlemede
baln boyu deimez.

20.04.2004

Erhan ANUK, Mehme

37

Szma Ynetimi - Kovalama

Kar saldr yasal ya da teknik olabilir.
Yasal saldr uzun zaman gerektirir. Kanunlar yerli
yerinde deil ve olduka kark. Ayrc yabanc
lkelerden saldr gelirse uluslararas kanunlar
yetersiz.
Teknik saldr masumlara zarar verebilir.
Saldrganlar masum bir a ele geirdikten sonra
oray s olarak kullanm olabilirler.
Kendi amzdaki haberlemeye zarar verebilir.
Paylalan bir an her ne sebeple olursa olsun
saldr iin kullanlmas etik deil.
Kar saldr da saldr gibi dava edilebilir.

20.04.2004

Erhan ANUK, Mehme

38