Saldırı tespit Sistemleri (Intrusion Detection System - IDS),
bilgisayarların ve bilgisayar ağlarının faaliyetlerini izlemek,
kaydetmek ve olası saldırıları tespit etmek amaçlı olarak tasarlanan
sistemlerdir. İki tip saldırı tespit sistemi vardır:
1. Ağ Tabanlı (Network Based): Bir bilgisayar ağının tamamını
ya da belli bir kısmını izlerler. Ağ üzerinde herhangi bir
noktadan çalıştırılabilirler.
2. Konak Tabanlı (Host Based): Belli bir bilgisayarı izlerler. Bu
tür sistemler, izlenecek olan bilgisayar üzerinde çalışırlar.
İzlenen bilgisayarı kullanan kullanıcıların yapacakları
hatalardan dolayı oluşacak zararları önlemeye yöneliktirler.
Bu tür hatalar, sistem dosyalarının silinmesi, önemli ayarların
değiştirilmesi gibi şekillerde karşımıza çıkabilirler.
İyi bir saldırı tespit sistemi, çok az kullanıcı müdahalesi ile
çalışabilmeli, sistem kaynaklarını en az düzeyde kullanmalı, sistemde
zaman içinde yapılacak değişikliklere karşı uyum sağlayabilir
(adaptive) olmalı, sistemdeki normal davranış ile normal dışı
davranışı ayırt edebilmelidir.
Saldırı tespit Sistemleri, temelde bilgi tabanlı ve imza tabanlı olmak
üzere iki farklı mantığa göre kurulmaktadırlar.
Daha önce karşılaşılan saldırı şekilleri ayrıntılı olarak analiz edilerek
elde edilen bilgiler, yani saldırının imzası, saldırı tespit sisteminin bilgi
tabanına kaydedilir. Her tanımlanmış saldırının bir imzası vardır.
Saldırı imzaları dışında kalan her faaliyet, normal olarak algılanır.
Bu
şekilde çalışan bir saldırı tespit sisteminin verimli çalışması için,
sürekli saldırı imzalarını güncelleyerek sistemi, yeni saldırı tiplerini
de tarayacak şekilde güncel tutmak gerekir.
Bilgi tabanlı saldırı tespitinde ise, sistem kullanıcılarının, normal
davranışlarından farklı olarak gösterdikleri davranış şekillerine göre
çalışma yapılır. Bu yöntem, tahmine dayalı bir sistemdir ve genellikle
“uzman sistemler” ve “bulanık mantık” teknolojilerinden faydalanılır.
Bir saldırı tespit sisteminin, ağ üzerindeki faaliyetleri izlemek için ağ
üzerindeki farklı noktalarda alıcı cihazlarını ve yazılımlarını kurmak
gerekebilir. Bu cihaz ve yazılımların görevi, sorumlu oldukları ağ
bölümü üzerinde gerçekleşen faaliyet bilgilerini, saldırı tespit sistemi
merkezine aktarmaktır.
Bir Saldırı tespit Sistemi, bir hata yaptığında bu hata iki şekilde
olabilir.
1. Yanlış pozitif (False Positive): Saldırı Tespit Sistemi,
sistemdeki normal bir davranışı saldırı olarak algılayarak hata
yapmıştır.
2. Yanlış negatif (False Negative): Bu tür bir hata, yanlış
pozitife göre çok daha vahim sonuçlar doğurabilir. Bir yanlış
negatif hatası, saldırı tespit sisteminin işini yapmadığı ve bir
saldırıyı tespit edemediğinin bir ifadesidir.
Saldırı tespiti ve saldırgan davranışlarının ortaya çıkarılmasında son
zamanlarda ortaya çıkarılan bir yöntem de tuzak sistem (honey-pot)
yöntemidir. Bu yöntemde ağ üzerinde kurulan bir bilgisayar,
üzerinde çalışan hizmetler ve korunmasız görüntüsü ile saldırganların
ilgisini çekerek bu bilgisayara saldırmaya özendirmektedir. Bu
bilgisayar, gerçek operasyonel bir sistem görüntüsü vermekte ve aynı
zamanda saldırganın tüm faaliyetleri kaydedilmektedir. Saldırı
sonucu bu sistem devre dışı kalıp çökse dahi, tüm saldırgan
davranışları kaydedilmiş olmakta, elde edilen bu veriler yardımıyla
yeni saldırı imzaları ve yöntemleri keşfedilebilmektedir.
bilgisayarların ve bilgisayar ağlarının faaliyetlerini izlemek,
kaydetmek ve olası saldırıları tespit etmek amaçlı olarak tasarlanan
sistemlerdir. İki tip saldırı tespit sistemi vardır:
1. Ağ Tabanlı (Network Based): Bir bilgisayar ağının tamamını
ya da belli bir kısmını izlerler. Ağ üzerinde herhangi bir
noktadan çalıştırılabilirler.
2. Konak Tabanlı (Host Based): Belli bir bilgisayarı izlerler. Bu
tür sistemler, izlenecek olan bilgisayar üzerinde çalışırlar.
İzlenen bilgisayarı kullanan kullanıcıların yapacakları
hatalardan dolayı oluşacak zararları önlemeye yöneliktirler.
Bu tür hatalar, sistem dosyalarının silinmesi, önemli ayarların
değiştirilmesi gibi şekillerde karşımıza çıkabilirler.
İyi bir saldırı tespit sistemi, çok az kullanıcı müdahalesi ile
çalışabilmeli, sistem kaynaklarını en az düzeyde kullanmalı, sistemde
zaman içinde yapılacak değişikliklere karşı uyum sağlayabilir
(adaptive) olmalı, sistemdeki normal davranış ile normal dışı
davranışı ayırt edebilmelidir.
Saldırı tespit Sistemleri, temelde bilgi tabanlı ve imza tabanlı olmak
üzere iki farklı mantığa göre kurulmaktadırlar.
Daha önce karşılaşılan saldırı şekilleri ayrıntılı olarak analiz edilerek
elde edilen bilgiler, yani saldırının imzası, saldırı tespit sisteminin bilgi
tabanına kaydedilir. Her tanımlanmış saldırının bir imzası vardır.
Saldırı imzaları dışında kalan her faaliyet, normal olarak algılanır.
Bu
şekilde çalışan bir saldırı tespit sisteminin verimli çalışması için,
sürekli saldırı imzalarını güncelleyerek sistemi, yeni saldırı tiplerini
de tarayacak şekilde güncel tutmak gerekir.
Bilgi tabanlı saldırı tespitinde ise, sistem kullanıcılarının, normal
davranışlarından farklı olarak gösterdikleri davranış şekillerine göre
çalışma yapılır. Bu yöntem, tahmine dayalı bir sistemdir ve genellikle
“uzman sistemler” ve “bulanık mantık” teknolojilerinden faydalanılır.
Bir saldırı tespit sisteminin, ağ üzerindeki faaliyetleri izlemek için ağ
üzerindeki farklı noktalarda alıcı cihazlarını ve yazılımlarını kurmak
gerekebilir. Bu cihaz ve yazılımların görevi, sorumlu oldukları ağ
bölümü üzerinde gerçekleşen faaliyet bilgilerini, saldırı tespit sistemi
merkezine aktarmaktır.
Bir Saldırı tespit Sistemi, bir hata yaptığında bu hata iki şekilde
olabilir.
1. Yanlış pozitif (False Positive): Saldırı Tespit Sistemi,
sistemdeki normal bir davranışı saldırı olarak algılayarak hata
yapmıştır.
2. Yanlış negatif (False Negative): Bu tür bir hata, yanlış
pozitife göre çok daha vahim sonuçlar doğurabilir. Bir yanlış
negatif hatası, saldırı tespit sisteminin işini yapmadığı ve bir
saldırıyı tespit edemediğinin bir ifadesidir.
Saldırı tespiti ve saldırgan davranışlarının ortaya çıkarılmasında son
zamanlarda ortaya çıkarılan bir yöntem de tuzak sistem (honey-pot)
yöntemidir. Bu yöntemde ağ üzerinde kurulan bir bilgisayar,
üzerinde çalışan hizmetler ve korunmasız görüntüsü ile saldırganların
ilgisini çekerek bu bilgisayara saldırmaya özendirmektedir. Bu
bilgisayar, gerçek operasyonel bir sistem görüntüsü vermekte ve aynı
zamanda saldırganın tüm faaliyetleri kaydedilmektedir. Saldırı
sonucu bu sistem devre dışı kalıp çökse dahi, tüm saldırgan
davranışları kaydedilmiş olmakta, elde edilen bu veriler yardımıyla
yeni saldırı imzaları ve yöntemleri keşfedilebilmektedir.
