XVII. Akademik Bilisim Konferansi

BaşlıkHoneypot ve Hadoop Tabanlı Bilgi Güvenliği Yönetim Sistemi
ÖğrenciHayır
Yazar(lar) Yazar 1
Name: Burak Çakmak
Org: Hava Harp Okulu, Havacılık ve Uzay Teknolojileri Enstitüsü
Country: TR
E-mail: bcakmak_AT_hho.edu.tr

Yazar 2
Name: Güray Yılmaz
Org: Hava Harp Okulu, Havacılık ve Uzay Teknolojileri Enstitüsü
Country: TR
E-mail: gyilmaz_AT_hho.edu.tr
Anahtar KelimelerHoneypot, Hadoop, Bilgi Güvenliği, Saldırgan Takip Sistemi
ÖzetSistem güvenlik uzmanları, her gün artarak gerçekleşen saldırılara karşı dijital varlıklarını korumak için bitmeyen bir savaş veriyorlar. Honeypot sistemler, Bir güvenlik verisi kaynağı olarak düşünülürse bu kaynağı besleyen unsurlar sistemin maruz kaldığı saldırılar ve saldırganların davranışları hakkında ele geçirilen bilgilerdir. Bu değerli bilgiler sayesinde çok daha iyi tasarlanmış ve uygulanabilirliği yüksek siber güvenlik önlemleri almamıza yardımcı olurlar. Her komutan askerlerine kendilerini düşmana karşı koruyabilmeleri için öncelikle düşmanlarının kim olduğunu iyi öğrenmeleri gerektiğini emreder. Bu askeri doktrin bilgisayar ağ güvenliği sistemlerine uygulanmak için adeta hazır bir kılavuz niteliğindedir. Tıpkı askeri birlikler gibi kurumların da korumak ile mükellef oldukları kaynakları mevcuttur. Bu kaynakları korumak için sisteminize yönelik tehditleri bilmek gerekir. Honeypot sistemleri ağda doğru zamanda ve doğru yerde konumlandırmak ağı daha güvenli ve istismar edilmesi zor hale getirecektir. Honeypot sistemi dinamik olarak düzenlenebilen ve yönetilebilen sanal makineler üzerinde kurulması öngörülmektedir. Tasarlanan sistem Honeypot sistemler ile büyük veri analizi teknolojisi olan Hadoop'u bir araya getirerek hızlı bilgi edinme ve analiz etme imkanı sağlamaktadır. Sistemin hedefi, gizlenmiş bir yapı ile doğru yer ve zamanda konumlandırılmış, talabe göre ölçeklendirilebilen bir takip ve analiz mekanizmasının kurulmasıdır. 1. Giriş Honeypot, ağınızdaki yetkisiz veya yasadışı kullanımını izlemeyi sağlayan bir bilgi kaynağıdır. Honeypot olarak tasarlanan yapıdan beklenti sisteme yapılacak olası saldırıları, istismarları tespit ve takip etmek. Honeypot kurum ile ilgili kritik bilgi ve uygulamaları içermez. Fakat sızma saldırısını gerçekleştirenin dikkatini çekecek kadar miktarda bilgi içermesi yeterlidir. Halihazırda kurumların kullandıkları Honeypot sistemlerin ayarlamaları sabit olarak iki şekilde gerçekleştirilir. Bunlar, • Düşük-Etkileşimli Honeypot • Yüksek-Etkileşimli Honeypot Düşük etkişeleşimli Honeypot sistemlerin yapıları gereği saldırgan ile etkileşimleri azdır. Bu sistemler yalnızca servisleri ve işletim sisteminin belirli özelliklerini taklit etmek üzere yapılandırılırlar. Yüksek etkileşimli honeypot sistemler ise çok daha karmaşık çözümler içerir. Örneğin gerçek işletim sistemini ve uygulamaların büyük bir bölümünü taklit edecek içerikler yapısında mevcuttur. Burada aslında saldırgana gerçek bir sistem ve bilgiler verilir. Bilgimiz dahilinde olan açıklar ile saldırganı izleyebileceğimiz bir ortam sağlanmış olur. Bu yapı ile karşılaşılabilecek muhtemel en büyük sorun sistemin zarar görmesi halinde tekrar kurulum ve bakımın zaman ve maliyet açısından daha fazla çaba sarfetmemiz gerekebilir. Bunun çözümü ise sanal makineler üzerinde yapılandırılacak bir Honeypot sistem ile çözülebilir. Zarar gören sistem hazır sistem ile anında değiştirilip kolaylıkla yerini alması sağlanabilir. Ayrıca sanallaştırma çözümü tüm ağımız ve sistemlerimizi göz önünde bulunduracak olursak ölçeklenebilirlik açısından bize önemli bir fayda sağlayacaktır. İstediğimiz zaman ve istediğimiz yerde ihtiyaç duyulması halinde önceden tasarlanmış sistemlerin kurulum ve entegrasyonlarını gerçekleştirebiliriz. Fiziksel olarak yapılandırılmış Honeypot sistemler ise her ne kadar yapılandırma ve maliyet açısından daha yüksek gibi gözükse de gerçek IP adreslerine sahip olacakları için sistem içinde fark edilmeleri oldukça güç olacaktır. Ayrıca kurumların bilgi sistemleri altyapıları düşünüldüğünde eskidiği düşünülen ve artık kullanılmamak üzere gözden çıkarılan donanımların Honeypot olarak konumlandırılarak işlerlik kazanması da sağlanabilir. Sanal Honeypot'lar önceden modellenmiş davranışların gerçeklenmesi ile ağ trafiğine yanıt verme yeteneğine de sahiptirler. Bir sistem içerisinde birden fazla sanal ve fiziksel Honeypot konumlandırılabilir. Ve bu teoride veri toplanması adına daha büyük yarar sağlar. Hadoop, büyük ölçekli veri üzerinde dağıtık olarak hesaplama yapabilen esnek, ölçeklenebilir ve açık kaynaklı bir sistemdir. Bu açık kaynaklı mimari sayesinde elde edilen büyük miktardaki sınıflandırılmamış veri bir çok düğüm üzerinde paralel olarak işlem yapmamıza olanak sağlar. Hadoop kümeleri performans olarak çok büyük bir fayda sağlamasının yanında maliyet olarak oldukça düşük gereksinimlere sahip donanımlar üzerinde kullanılabilir. Böylece proje büyüklüğüne göre ölçeklendirme yapılması maliyet açısından büyük bir harcama yapmanıza gerek kalmaz. 2. Sistemin Tasarımı ve Bileşenleri Tasarladığımız sistem dört ana bileşenden oluşmaktadır. 1. Saldırı Dedektörü 2. Numaralandırıcı 3. Denetçi 4. Honeypot Yöneticisi 1. Saldırı Dedektörü: Ağda bir saldırı girişimi olup olmadığını denetler ve saldırı altında olan sistemlerin IP adreslerini ve kullanılacak bilgileri sağlayacaktır. Saldırıların tespiti için bir çok yöntem kullanılabilir. Bunlardan bazıları: • Kural Tabanlı, • Davranış Sınıflandırma, • İstatistiksel Yöntemler, • Eşik Değer Belirleme, • Durum Geçiş Analizi Yöntemleridir. Fakat yukarıda sayılan yöntemler yeni saldırıların tespiti konusunda yetersiz kalacakları için evrimsel olarak kendini geliştirebilen, öğrenen bir sistem kurmamız çok daha verimli olacağı öngörülmektedir. Saldırıyı tespit etmek için öngörülen sistemimiz içerisinde Genetik Algoritmasını kullanacağız. Genetik algoritması bir problem çözme stratejisi olarak biyolojik evrimi taklit eden bir yaklaşımdır. Bu algoritma doğru aday çözümlerini gerçekleştirmek, nüfusu optimize etmek için Darwin'in evrim ve uygun olanın hayatta kalması ilkesine dayanmaktadır. GA, seçim, yeniden dağılım ve mutasyon özelliklerini kullanarak doğal bir seçilim gerçekleştirir. Süreç genellikle rastgele yaratılmış kromozomlardan oluşturulan popülasyonu aday çözüm olarak kabul eder. Her kromozomun farklı noktaları bit, karakter ve sayılar ile kodlanır. Bunlar genler olarak ifade edilir. Uygunluk fonksiyonu olarak bilinen bir değerlendirme fonksiyonu her bir kromozomun uygunluğunu hesaplayarak istenen çözüme ulaşılmaya çalışılır. Evrim sürecinde çaprazlama ve mutasyon uygulanarak farklı yeni bireyler elde edilmesi sağlanır. Oluşan yeni populasyon eski populasyon ile yer değiştirilir. Durdurma kriteri sağlanana kadar yukarıdaki işlemlere devam edilir. En uygun olan dizi çözüm olarak seçilir. 2. Numaralandırıcı: Periyodik olarak sistem log dosyaları oluşturur ve bunları Hadoop veritabanında depolamak üzere kayıt eder. Genetik Algoritma ile saldırgan olarak tespit edilen tüm IP adresleri Hadoop Map/Reduce kümesine gönderilir. Hadoop Map/Reduce kümesi numaralandırıcı olarak çalışır ve saldırgan olarak tespit edilen IP adreslerini kayıt eder. Sunucu olarak hizmet edecek bu sistem tüm bu kayıtları saklar. 3. Denetçi: Periyodik olarak Hadoop üzerinde depolanan sistem log dosyalarını tarayarak saldırı altındaki sistemleri araştırır. Denetçi bu sistemin ana omurgasıdır diyebiliriz. İstek yapan tüm kullanıcıların IP adreslerini takip ederek sunucu üzerindeki IP adresleri ile karşılaştırır. Eğer kullanıcı IP adreslerinden herhangi bir tanesi Hadoop sunucusu üzerindeki IP adreslerinden birisi ile işlesir ise bu istek yapan kullanıcı Honeypot sunucuya yönlendirilir. Diğer durumda kullanıcı gerçek sunucuya yönlendirilir. 4. Honeypot Yöneticisi: Saldırıya uğrayan sistemin tamamen bir honeypot kopyasını oluşturarak saldırganın yönlendirileceği sistemin tayinini sağlayacaktır. Hadoop Map/Reduce kümesinden bir IP adresi, Honeypot yöneticisine ulaştığında, eğer bu IP adresi Saldırı dedektörü tarafından şüpheli olarak işaretlenmiş ise saldırgana fark ettirilmeden Honeypot sunucusuna yönlendirilir. 3. Sonuç Saldırganlara fark ettirilmeden, doğru yer ve zamanda konumlandırılmış Honeypot sistemlerin değişen saldırı tiplerini ve saldırganları tespit etmede oldukça verimli olduğu sonucuna varılmıştır. Genetik algoritma kullanımının saldırgan IP sayısını belirlemedeki başarısı güçlü bir savunma mekanizması gerçeklediğimizin kanıtı olmuştur. Tüm bu sistemin bilişim altyapısı kullanan tüm kurumların savunma altyapısını destekleyerek büyük bir fayda sağlayacağı değerlendirilmektedir.
Başlıklar AB-Bildiri
Bilişim Güvenliği ve Güvenlik Sistemleri
Büyük Veri, Açık Veri, Açık Devlet
Yapay Zeka
Dosya
 

 

Powered by OpenConf®
Copyright ©2002-2014 Zakon Group LLC