Open in app

Sign in

Write

Sign in

Saldırı Tespit Sistemi (IDS — Intrusion Detection System) Nedir?

kadergultekin
7 min readJan 23, 2021

--

Bilgisayarlara ve ağlara yönelik saldırıların artmasıyla birlikte sistemlerin güvenliği temel gereksinim haline gelmiştir. Sistemlere yapılan izinsiz girişler genellikle yetki yükseltme çalışmalarıyla devam eder ve bilgisayarın veya ağın gizliliğine (confidentiality), bütünlüğüne (integrity) ve erişilebilirliğine (availability) zarar verirler. Saldırı tespiti bir bilgisayar sistemi veya ağında meydana gelen olayları izleyen ve analiz eden bir süreçtir. Bu sürecin doğru bir şekilde ilerlemesi sistemin doğru bir şekilde çalışması demektir.

Ağ kaynaklarının mükemmel güvenliğini sağlamanın zorluğunun bilincinde olmak ağ saldırılarının ağa dahil olmadan veya dahil olur olmaz tespit edilmesi fikrinin doğmasına sebep olmuştur. Saldırı tespit sistemleri daha önceden bilinen veya bilinmeyen zararlı paketlerin veya trafiğin tespit edilmesinde kullanılan bir yöntemdir.

Saldırı tespit sistemi beklenenin dışında bir durum veya daha önceden tanımlanmış zararlı bir durum yani bir anomali veya imza tespiti oluştuğunda alarm üreterek sistem yöneticisine uyarı verir. Ancak bu durum pratikte yüzde yüz doğrulukla çalışmaz. False-Positive: saldırı tespit sisteminin bir aktiviteyi saldırı olarak algılaması ancak onun normal bir durum olmasıdır. False-Negative ise tehlikeli bir durumdur; saldırı tespit sisteminin var olan bir saldırıyı algılayamaması ve normal bir durum olarak kabul etmesidir. False-Positive ve False-Negative oranlarının yüksek olduğu saldırı tespit sistemleri başarısız sistemler olarak kabul edilirler.

Saldırı tespit sistemi, ağ üzerindeki trafiği ve paketleri toplar ve analiz motoruna gönderir. Analiz motoru bilinen zararlı paketleri ve dizilimlerin olup olmadığını anlamak için trafiği ve paketleri kendi veri tabanındaki imzalarla kıyaslar. Sonuçları uygun şekilde raporlar ve kullanıcı ara yüzüne aktarır. Saldırı tespit sistemleri başlıca aşağıdaki eylemleri içerirler: (www.prismacsi.com | Erişim Tarihi: 23.01.2021)

  • Bir program veya bir kişiden kaynaklanan saldırıları tespit eder.
  • Algılama mantığını sürekli iyileştirmek için saldırı kalıplarını kaydeder.
  • Güçlü bir kontrol paneli ve yükseltme mekanizması kullanarak uyarı ve rapor verir.
  • Gelecekteki adli kanıtlar için tüm olası ve olmuş saldırıları veri tabanına kaydeder ve etkinleştirir.
  • Zarar görmüş sistemi karantinaya alır.
  • Veri bütünlüğünü, erişilebilirliğini ve gizliliğini sağlar.

Saldırı Tespit Sistemlerinin mimarisi şunları içerir:

  • Sistem güvenliği ile ilgili verileri toplamak için oluşturulmuş sensör alt sistemi (sensor subsystem)
  • Sensör alt sisteminden gelen saldırıları ve şüpheli etkinlikleri tespit etmek için kullanılan analiz alt sistemi (analysis subsystem)
  • Olayların ve analiz sonuçlarının saklanması için depolama ünitesi (storage unit)
  • Saldırı tespit sistemini yapılandırmak, güvenlik durumlarını takip etmek, ve analiz alt sistemini takip etmek için oluşturulmuş kontrol konsolu (control console)

Purdue Üniveristesi Saldırı Tespit Sistemi araştırma projesine göre iyi bir sistemin şu özelliklere sahip olması beklenmektedir:

(R. Bace and P. Mellm “NIST special publication on intrusion detection systems”, Computer security resources, national institute of standards and technology, s. 1–51, 2002.)

  • İnsan gözetimi olmadan devamlı olarak çalışabilmelidir.
  • Sistem, arka planda sürekli olarak çalışmasına izin verebileceğimiz kadar güvenilir olmalıdır.
  • Sistemin arka planda yaptığı tüm işlemler dışarıdan takip edilebilir olmalıdır.
  • Bir sistem hatası olması durumunda veya yeniden başlatıldığında veri tabanını koruyabilecek yapıda olmalıdır.
  • Sistem sadece ağı değil kendini de analiz edebilmelidir.
  • Sistem herhangi bir yavaşlamaya sebep olmamalı, minimum ek yük getirmelidir.
  • Anomali durumlarını normal davranışlardan ayırt edebilmelidir.
  • Her sistem farklı yapıdaki başka bir sisteme entegre edilebilir, uyum sağlayabilir olmalıdır.

1. Saldırıları Tespit Etme Yöntemine Göre Saldırı Tespit Sistemleri

1.1. İmza Tabanlı Saldırı Tespit Sistemi (Signature Based IDS)

Suistimal tespiti (misuse detection), güncel trafiğin bilinen ve kayıt altına alınmış saldırı teknikleriyle kıyaslanması mantığına dayanır. Bilinen saldırıların modallenmiş haline imza denir. İmza tabanlı saldırı tespit sistemleri suistimal tespiti yaparak zararlı trafiği ayırt etmeyi hedeflerler. Bu tür sistemlerin en zayıf yanı bilinmeyen bir saldırıyı (zero-day attacks) tespit edememesidir. Bu sistemlerin sürekli güncel tutulmaları gerekmektedir.

1.2. Anomali Tabanlı Saldırı Tespit Sistemi (Anomaly Based IDS)

Anomali, sistemin olağan akışı dışındaki durumları ifade eder. Bu tip saldırı tespit sistemlerinin doğru çalışması kullanıcıların normal çalışmaları için en doğru profilin oluşturulmasına dayanır. Bu sistemler diğer sistemlere oranla daha çok yanlış alarm üretirler çünkü kullanıcı faaliyetleri genelde değişiklik gösterir ve saldırı tespit sistemi bunu anomali olarak algılar. Yine de bilinmeyen türde bir saldırıyı ayırt etmek için suistimal tespiti yapan saldırı tespit sistemlerine oranla daha doğru çalışmaktadır.

1.3. Hibrit Saldırı Tespit Sistemleri (Hybrid IDS)

İmza tabanlı saldırı tespit sistemlerinin zero-day saldırılarını tespit etmedeki başarısızlığı ve anomali tabanlı sistemlerinin yüksek oranda yanlış alarm üretmesi tek başına bir çözümden ziyade kombinasyonel bir çözüm kullanılması fikrini doğurmuştur. Çünkü pratikte mükemmel bir veri setinin elde edilmesi mümkün değildir. Böylece sistemin bilinen saldırılarda imza tabanlı saldırı tespit sistemini kullanarak saldırı tespiti yapması ve herhangi bir zero-day saldırı söz konusu olduğunda anomali tabanlı saldırı tespit sistemini kullanarak saldırı tespiti yapması hedeflenmiştir. Hibrit saldırı tespit sistemleri kendi içinde kullanımına göre ikiye ayrılır: ilki; anomali tespiti veya suistimal tespitinin sırasıyla uygulandığı sıralama tabanlı (sequence-based) hibrit saldırı tespit sistemi, ikincisi ise; birden çok analiz robotunun paralel olarak çalıştığı ve sonucun çıkan tüm sonuçlar değerlendirilerek verildiği paralel tabanlı (parallel-based) hibrit saldırı tespit sistemidir.

2. Bilgi Kaynağına Göre Saldırı Tespit Sistemleri

2.1. Ağ Tabanlı Saldırı Tespit Sistemi (NIDS — Network Based IDS)

Ağ tabanlı saldırı tespit sistemleri (NIDS), ağdaki tüm aygıtlardan gelen trafiği izlemek için ağ içindeki stratejik bir noktaya veya noktalara yerleştirilir. İzlediği ağın tamamında geçen trafiği analiz eder ve alt ağlarda geçirilen trafiği bilinen saldırıların kütüphanesiyle eşleştirir. Bir saldırı tespit edilir edilmez veya anormal bir davranış algılanırsa, yöneticiye uyarı gönderilebilir. İdeal olarak, gelen ve giden tüm trafiği tarar, ancak bunu yapmak ağın genel hızını bozan bir tıkanıklık oluşturabilir.

Ağ tabanlı saldırı tespit sisteminin avantajları şunlardır:

* Bu tip saldırı tespit sistemlerinin ağa dahil edilmesi ağ için ağır bir yük getirmez.

* Ağ trafiğinde darboğaza sebep olmaz.

* Saldırganlara karşı görünmezdir.

Ağ tabanlı saldırı tespit sisteminin dezavantajları şunlardır:

* Yoğun ağ trafiği söz konusu olduğunda bazı paketleri gözden kaçırabilirler.

* Şifreli bilgileri analiz edemezler.

* Saldırıları tespit edebilir ancak sistemin aldığı hasarın manuel olarak incelenmesi gerekir.

* Paket parçalama saldırıları (fragmentation of packets) saldırı tespit sistemlerinin çalışma mantığını bozabilir.

2.2. Konak Tabanlı Saldırı Tespit Sistemleri (HIDS — Host-Based IDS)

Bilgisayar tabanlı saldırı tespit sistemi (HIDS), ağdaki makinelerde veya cihazlarda tek tek çalışır. Bir bilgisayar tabanlı saldırı tespit sistemi, gelen ve giden paketleri yalnızca üzerinde çalıştığı makine için izler ve şüpheli durum algılanırsa kullanıcıyı veya yöneticiyi uyarır. Sistemde bulunan dosyaların anlık görüntüsünü alır ve daha önceki anlık görüntü ile eşleştirir. Kritik sistem dosyaları değiştirilmiş veya silinmişse, araştırmak için yöneticiye bir uyarı gönderilir. Bilgisayar tabanlı ağ saldırı tespit sistemleri genellikle kritik makinelerde kullanılır çünkü; bu makinelerin yapılandırmalarının değiştirmesi beklenen bir durum değildir. (www.tr.wikipedia.org | Erişim Tarihi: 23.01.2021)

Konak tabanlı saldırı tespit sisteminin avantajları şunlardır:

* Konak ile ilgili profil daha doğru oluşturulur.

* Analiz edilecek veriler şifrelenmemiş haldedir.

* Konak makineye yönelik zararlı yazılımların tespiti yapılabilir. (örneğin: Truva atı)

Konak tabanlı saldırı tespit sisteminin dezavantajları şunlardır:

* Ana bilgisayar saldırıya uğradığında devre dışı kalması daha kolaydır.

* Derinlemesine ağ taraması yapması gereken sistemler için uygun değildir.

* Aşırı yük saldırılarıyla (overload attacks) devre dışı kalabilir.

* Çok büyük miktarlarda veri işlenmesi gerektiği için bellek ihtiyacı fazladır.

* Maliyeti daha yüksektir.

3. Mimarilerine Göre Saldırı Tespit Sistemleri

Şekil 1’de; M: monitör, A: analiz ünitesi olmak üzere saldırı tespit sistemimizin sahip olabileceği üç çeşit mimari temsil edilmiştir.

Şekil 1, researchgate.net

3.1. Merkezi Saldırı Tespit Sistemleri (Centralized IDS)

Merkezi saldırı tespit sistemleri bütün düğümlere hizmet verecek şekilde tek bir noktada konumlandırılır. Tüm ağdan toplanan veriler merkezi saldırı tespit sistemi üzerinde incelenir ve herhangi bir düğümde gerçekleşen saldırı tespiti tüm ağı ilgilendirir. Saldırı tespit sisteminin yapılandırması tüm ağın özelliklerini kapsayacak şekilde düşünülmelidir.

3.2. Hiyerarşik Saldırı Tespit Sistemleri (Hierarchical IDS — Decentralized IDS)

Hiyerarşik saldırı tespit sistemleri, hiyerarşik olarak yapılandırılır. Tüm saldırı tespit kararları kök düğüme ulaştırıldıktan sonra yanıt verilir.

3.3. Dağıtık Saldırı Tespit Sistemleri (Distributed IDS)

Dağıtık saldırı tespit sistemleri ise ağdaki birden çok düğüm üzerine dağıtılabilir. Bu durumda saldırı tespit kararları her bir düğüm için ayrı olarak alınır. Her bir düğüm farklı yeteneklere sahiptir bu nedenle her saldırı tespit kararı farklı bir tepki ile cevaplandırılabilir.

4. Analiz Zamanlarına Göre Saldırı Tespit Sistemleri

4.1. Periyodik Saldırı Tespit Sistemleri (Periodic IDS)

Periyodik saldırı tespit sistemleri belirli aralıklarla (periyodik olarak) bulundukları sistemin veya ağın anlık durumu ile ilgili verileri alarak bu veriler üzerinde saldırı sezme işlemlerini gerçekleştirirler. (ŞAHİN, İnternette Güvenlik ve Saldırı Sezme Sistemleri, s. 70, 2005)

4.2. Gerçek Zamanlı Saldırı Tespit Sistemleri (Real-time IDS)

Bulundukları sistem veya ağ üzerindeki paketleri neredeyse gerçek zamanlı olarak izleyen saldırı tespit sistemleridir. En önemli avantajları sürmekte olan saldırılara karşı hemen tepki verebilmeleridir. Periyodik zamanlı saldırı tespit sistemlerinden farklı olarak servis dışı bırakma türündeki saldırıları da sezebilmektedirler.

5. Güvenlik Duvarları ile Saldırı Tespit Sistemlerinin Karşılaştırılması

İkisi de ağ güvenliği ile ilgili olmasına rağmen saldırı tespit sistemi güvenlik duvarından farklıdır çünkü güvenlik duvarları, saldırıları önlemek için ağlar arasındaki erişimi sınırlar ve ağın iç tarafından gelen bir saldırının sinyalini vermez, saldırı tespit sistemleri ise, ağ üzerinde şüphelenilen bir saldırı olur olmaz değerlendirir ve bir alarm sinyali verir. (www.tr.wikipedia.org | Erişim Tarihi: 23.01.2021)

6. Saldırı Tespit Sistemlerinin Verimliliğini Belirleyen Unsurlar

Saldırı olmayan bir durumun saldırı olarak değerlendirilmesi, anomali niteliği taşımayan bir durum hakkında anomali olduğu kararının alınması (False-Positive) veya saldırı tespit sisteminin var olan bir saldırıyı algılayamaması, normal bir durum olarak kabul etmesi (False-Negative) saldırı sezme sisteminin yapabileceği hatalardır. False-Positive ve False-Negative oranlarının yüksek olduğu saldırı tespit sistemleri verimsiz sistemler olarak kabul edilirler.

Bir saldırı tespit sisteminin birim zamanda inceleyebildiği sistem kaydı miktarı performansını belirler. Gerçek zamanlı saldırı tespit sistemlerinin performansı yüksektir. Performansı düşük sistemlerde periyodik zamanlı saldırı tespit sistemleri tercih edilmelidir.

Bir saldırı tespit sisteminin veri seti ne kadar gelişmişse o saldırı tespit sistemi o kadar verimlidir. Ancak mükemmel veri seti pratikte hiçbir zaman mümkün değildir.

Saldırı tespit sistemlerinin hata toleransının yüksek olması verimliliği arttıran bir diğer önemli husustur. Hata toleransı, saldırı tespit sisteminin kendisinin de saldırılara karşı dirençli olması manasına gelmektedir. Hizmet dışı bırakma saldırıları bu tip sistemler için en tehlikeli saldırılardır. Saldırı tespit sistemleri bu tür saldırılara karşı koyabilmelidir.

Bugün sizlere Saldırı Tespit Sistemlerinden bahsetmek istedim. Umarım faydalı ve keyifli bir yazı olmuştur.

Kullandığım Kaynaklar:

R. Bace and P. Mellm “NIST special publication on intrusion detection systems”, Computer security resources, national institute of standards and technology, s. 1–51, 2002.

ŞAHİN, “İnternette Güvenlik ve Saldırı Sezme Sistemleri”, s. 70, 2005.

https://bit.ly/39SstBQ

https://bit.ly/3sOExg4

https://bit.ly/3iISAiz

Architecture Of Ids
Intrusion Detection
Saldırı Tespit Sistemi
Anomaly Detection
Signature

--

--

kadergultekin

Written by kadergultekin

45 Followers

Karadeniz Teknik Üniversitesi Bilgisayar Mühendisliği mezunuyum. Beraber eğlenip beraber gelişmeyi hedefliyorum.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams