İnternet teknolojilerinin gelişmesiyle birlikte dünyanın en uzak köşeleri bile birbirine bağlanmakta, bu durum iletişim ve ticaretin kesintisiz ilerlemesini sağlarken aynı zamanda spam gönderenler, saldırganlar ve suç örgütleri gibi kötü niyetli unsurların da etkinliğini artırmaktadır. Günümüzde ağ temelli tehditlerin artması sonucu, saldırıları tespit etmek için güvenlik duvarlarının yanı sıra istilacı tespit sistemleri (intrusion detection systems – IDS) de temel teknolojiler arasına katılmıştır. Ancak günümüzde ticari olarak yaygın kullanılan istilacı tespit sistemleri, çoğunlukla imza tabanlı (signature-based) olup bilinen saldırıların tanımlı imzalarını kullanırlar. Bu tür sistemler sık sık kural güncellemeleri gerektirir ve henüz tanımlanmamış saldırıları tespit edemezler.
Bu eksikliğin aksine, anomali tespiti teknikleri, sistemin veya ağın normal davranışını modelleyerek hem bilinen hem de bilinmeyen saldırıları “normalden sapma” prensibiyle tespit edebilir. Anomali tespiti teknikleri bu açıdan çekici olsa da yüksek yanlış alarm oranı, büyük veriyi gerçek zamanlı işleme zorlukları gibi problemler nedeniyle henüz yaygın şekilde benimsenmemişlerdir. Burada Anomali tespiti alanında mevcut çözümleri, temel teknikleri, son teknolojik eğilimleri ve karşılaşılan zorlukları kapsamlı biçimde özetleyeceğiz.
İstilacı tespiti, yetkisiz erişimleri, saldırıları veya güvenlik ihlallerini belirlemek için tasarlanmış yazılım veya sistemler bütünüdür. Bir istilacı tespit sistemi, bilgisayar veya ağ içindeki çeşitli kaynaklardan bilgi toplayarak olası ihlallerin izlerini arar. İstilacı tespit, gizlilik, bütünlük veya erişilebilirliği tehdit eden eylemleri saptamaya odaklanır. Temel olarak imza tabanlı, anomali tabanlı ve hibrit tespit yaklaşımlarıyla sınıflandırılan bu sistemler, güvenlik duvarlarının statik kontrolünün ötesine geçerek dinamik denetim sağlarlar.
İlk çalışmalar, sistem veya kullanıcı davranışında normalden sapmaları takip ederek saldırı tespitinin mümkün olabileceğini göstermiştir. Çalışmalar, normal ve anormal davranış modellerini ayırt etmeye odaklanmıştır. IDS mimarisi audit veri toplama, depolama, analiz ve tespit, konfigürasyon, referans verisi, aktif veriler ve alarm birimlerinden oluşur. Üç temel algılama yöntemi vardır:
Anomali tespiti teknikleri, “anomaliler saldırıların bir alt kümesidir” varsayımına dayanır. İdeal durumda her anomali aynı zamanda bir saldırıya denk gelir. Ancak pratikte “anormal ama saldırı olmayan” veya “saldırı olan ama anormal görünmeyen” durumlar da vardır. Anomali tespitinde en büyük zorluklardan biri, yanlış alarmların (false positive) yüksek olması ve bu nedenle gerçek saldırıların (true positive) bu gürültü içinde kaybolabilmesidir. Bunun yanında, bazı saldırılar gayet “normal” görünebilir (false negative), bu da saldırının gözden kaçmasına neden olur.
Aşağıda anomali tespiti teknikleri sınıflandırılırken kullanılan temel kategoriler verilmektedir. Bu kategoriler çeşitli yöntem, model ve algoritmaları kapsar:
İstatistiksel yaklaşımlar, kullanıcı veya sistem davranışının istatistiksel modelini oluşturarak, normal profilden sapan davranışları tespit etmeye çalışır. Burada dağılımlar, ortalama, varyans, kovaryans gibi istatistiksel ölçütler önemlidir. Örneğin Haystack, IDES/NIDES gibi ilk kuşak sistemler, istatistiksel modellerle normal davranışı tanımlar. İstatistiksel yaklaşımların avantajı, sıfırıncı gün saldırılarını yakalayabilmesi iken dezavantajı, dağılımın normal veya sabit varsayımına dayandığı için gerçekçi karmaşık ortamlarda yüksek yanlış alarma neden olmasıdır. Ayrıca birçok istatistiksel yaklaşım tek değişkenli, halbuki saldırılar genellikle çok boyutlu davranış değişiklikleri gerektirir.
Örnek olarak SPADE, ağ paketlerini sayısal biçimde analiz edip bir “anomalilik skoru” atar. Eşiğin üzerinde skor alan paketler şüpheli sayılır. İstatistiksel yöntemler, dağılımsal varsayımlar ve istikrarsız trafik profili nedeniyle pratikte yüksek oranda yanlış alarm üretebilir.
Makine öğrenmesi, sistemin zamanla deneyimden öğrenip performansını artıran algoritmaları ifade eder. Bu yaklaşımda anomali tespiti teknikleri, veriden otomatik olarak normal veya anormal davranış örüntülerini öğrenmeye çalışır. Makine öğrenmesi tabanlı anomali tespiti genellikle denetimli, yarı denetimli veya denetimsiz öğrenme yöntemleri içerebilir.
Sistem Çağrı Dizisi Analizi: UNIX sistemlerinde programların normal sistem çağrı dizilimlerini profilleyerek, bu dizilerden sapan davranışları anomali olarak işaretlemişlerdir. Ancak sistem çağrılarının izlenmesi yüksek maliyetlidir ve gürültü ile doludur.
Bayes Ağları: Bayes istatistiğine dayanan Bayes ağları, değişkenler arası olasılıksal ilişkileri modelleyerek anomali tespitinde kullanılmıştır. Naif Bayes modelleriyle trafikteki anormal patlamaları tespit etmiş, Kruegel vb. saldırı alarm korelasyonu için Bayes yaklaşımını kullanmıştır. Ancak Bayes ağları, yanlış model varsayımlarıyla hatalı sonuçlar verebilir.
Temel Bileşen Analizi (PCA): PCA, yüksek boyutlu veriyi daha düşük boyutlu temsilcilere indirger. PCA’yı kullanarak anomali tespitinde diğer yaklaşımlara göre daha iyi performans elde edilmiştir. PCA, çok boyutlu dağılımları özetlemede etkilidir, ancak her tür anomalilik örüntüsünü yakalayamayabilir.
Markov Modelleri: Markov zincirleri veya gizli Markov modelleri (HMM), zaman serisi veya sıralı verilerde normal davranışın stokastik yapısını öğrenir. HMM’ler normal dizileri olasılık değerleriyle modeller ve düşük olasılıklı dizileri anormal sayar. Warrender vb. sistemi çağrısı verisinde HMM kullanarak iyi sonuçlar elde etmiş, fakat HMM’lerin hesaplama maliyeti yüksektir.
Diğer Makine Öğrenmesi Yöntemleri: SVM (Support Vector Machines) vb. yöntemler de denenmiştir. Ancak yüksek boyutlu, gürültülü verilerde parametre ayarı zor, aşırı öğrenme riski vardır. Sinir ağları (NN), genellikle normalden sapmayı yakalamakta iyi olsa da eğitimi pahalıdır ve veri gereksinimi fazladır. Genetik algoritmalar ve bulanık mantık yaklaşımları da anomali tespiti için kullanılmış, ancak kuralların veya parametrelerin belirlenmesi zahmetlidir.
Veri madenciliği, veri içinden otomatik veya yarı otomatik şekilde desenler, ilişkiler veya aykırılıklar ortaya çıkarma sürecidir. Anomali tespiti teknikleri bağlamında, veri madenciliği istatistiksel veya makine öğrenmesi tabanlı yaklaşımların üstünde veya yanında kullanılarak odaklı, anlamlı anormallik belirlemede yarar sağlar. Veri madenciliğinde özellikle sınıflandırma, kümeleme ve ilişki kuralı çıkarımı yaygındır.
Sınıflandırma Yaklaşımı: Bu yaklaşımda bilinen normal ve anormal örneklerden öğrenilen bir sınıflandırıcı, yeni örnekleri “normal” veya “anormal” olarak işaretler. Örneğin, RIPPER gibi kural çıkarıcılar veya karar ağaçları anormal paternleri tanımlamakta kullanılabilir. Ancak sınıflandırma yaklaşımları, yeni tür saldırıları yakalamakta sınırlı kalabilir, çünkü sınıflandırıcıya öğretildiği kadarını bilir.
Kümeleme ve Uzak Nokta (Outlier) Analizi: Kümeleme, benzer özniteliklere sahip veri noktalarını bir araya toplar. Normal davranış küme halinde yoğunlaşmışsa, bu kümelerin dışındaki noktalar aykırı yani anormal sayılabilir. Euclidian veya Mahalanobis mesafesi kullanılarak en yakın komşu tabanlı veya yoğunluk tabanlı (LOF gibi) yaklaşım uygulanabilir. MINDS sistemi yerel yoğunluk tabanlı LOF ile saldırıları etkili şekilde bulur. Ancak kümeleme ve uzak nokta analizi, parametre (k değeri vb.) seçimi konusunda hassastır.
İlişki Kuralları (Association Rules): İlişki kuralı bulma teknikleri, normal veri kayıtlarındaki sıklıkla birlikte görülen öznitelik desenlerini keşfeder. Bu normal desenlerden sapmalar anormal sayılabilir. ADAM gibi sistemler, ilişki kurallarıyla şüpheli itemset’leri bulup daha sonra sınıflandırıcıyla kesin saldırı adı veya false alarm ayrımını yapar. Ancak ilişki kuralları çok sayıda kural üretebilir ve yönetimi zor olabilir.
Aşağıdaki tablo bazı seçili anomali tespit yaklaşımlarını, temel özelliklerini ve hangi yöntemleri kullandıklarını özetlemektedir:
Çalışma | Öne Çıkan Özellikler | Kullanılan Yöntem(ler) |
---|---|---|
Haystack | İstatistiksel betimleyici istatistiklerle kullanıcı davranışı modelleme | İstatistiksel anomali tespiti |
NIDES | Dağıtık mimari, hem istatistiksel hem de imza tabanlı modüller | İstatistiksel + İmza |
SPADE | Paket başlıklarını sayısal skorla değerlendirir, eşiği aşan paketleri şüpheli sayar | İstatistiksel anomali (ağ bazlı) |
Forrest et al. | UNIX sistem çağrı dizilerini normal profilleyerek sapmaları yakalar | Dizi analizi tabanlı, Makine Öğrenmesi |
Warrender et al. | Sistem çağrısı sıralarını HMM ile modelleyerek normal/anormal davranış ayrımı | HMM, Makine Öğrenmesi |
Shyu et al. (PCA) | PCA kullanarak yüksek boyutlu veriyi indirger, anomalileri istatistiksel olarak saptar | PCA tabanlı istatistiksel/ML |
PHAD, ALAD, LERAD | Zaman tabanlı modeller, yerel yoğunluk veya kural çıkarımıyla ağ anormalliklerini yakalar | Yoğunluk tabanlı, Veri Madenciliği |
MINDS | Kümeleme ve yoğunluk tabanlı uzak nokta tespiti | Kümeleme + Yoğunluk Tabanlı Outlier |
ADAM | Önce anomali filtreleme, sonra sınıflandırıcı ile saldırı türü belirleme | İlişki Kuralları + Sınıflandırma |
FIRE | Bulanık mantık ile kural tabanlı anomali tespiti | Bulanık Mantık, Makine Öğrenmesi |
Crosbie ve Spafford | Çok ajanlı yapı ile genetik algoritma tabanlı anomali tespiti | Genetik Algoritmalar |
Hibrit sistemler, imza tabanlı ve anomali tespiti tekniklerini birleştirerek her iki yaklaşımın avantajlarından yararlanır. Anomali tespiti, bilinmeyen saldırıları yakalama yeteneği sunarken, imza tespiti, bilinen saldırılarda düşük yanlış alarm oranı sağlar. Bu iki tekniğin birleşimiyle hibrit sistemler, hem bilinen hem de bilinmeyen saldırılara karşı daha dayanıklı olabilir. Örneğin EMERALD, hiyerarşik yapıda farklı seviyelerde dağıtık tespit sunar. NIDES ise istatistiksel ve imza tabanlı yöntemleri bir araya getirir.
Hibrit yaklaşımın temel avantajı, yüksek tespit oranını korurken yanlış alarmları azaltabilmesidir. Ancak bu sistemleri tasarlamak karmaşıktır ve farklı tekniklerin birbiriyle uyumlu çalışması zordur. Her iki yaklaşımın da en iyi yönlerinin bir arada kullanılması pratikte zorlu mühendislik problemleri doğurur.
Mevcut anomali tespiti teknikleri çok yönlü çözümler sunsa da yaygın kullanımının önünde bazı engeller vardır:
Bu yazı, “Anomali tespiti teknikleri” alanında mevcut çözümleri, kullanılan yöntemleri, son eğilimleri ve zorlukları özetlemiştir. Gelecekte, anomali tespiti teknikleri, yüksek hızlı ağlar, karmaşık veri akışları, mobil ve kablosuz ortamlar gibi yeni meydan okumalarla karşı karşıya kalacaktır. Yanlış alarm oranlarını düşürmek, gerçekçi değerlendirme metrikleri ve verisetleri geliştirmek, IDS’lerin kendini koruma yeteneklerini artırmak gibi konular güncel araştırma alanlarıdır. Ayrıca, “normal”in esnek tanımlanması, şifreli trafiğin analiz edilmesi ve içeriden gelen tehditlerin algılanması da bu alanda çözüm bekleyen sorunlardır. Sonuç olarak, anomali tespiti teknikleri daha güvenli siber ortamlar yaratmada kilit rol oynamaya devam edecek, ancak bunun için yenilikçi algoritmalar, yüksek performanslı mimariler ve esnek modellemeler gerekmektedir.
Tüm soru, öneri ve görüşleriniz için İletişim linkini kullanabilirsiniz.