- 24 Mar 2022
- 26
- 27
Öncelikle selamlar arkadaşlar Ben X-Draken, Bugün Sizlere İDS (Intrusion Detection Systems) ve Anomali Analizi nedir, ne işe yarar biraz bunlardan bahsedeceğim.
*Öncelikle arkadaşlar İDS dediğimiz kavram yani (Intrusion Detection Systems), Saldırı Tespit Sistemleri anlamını taşımaktadır.
Nedir Bu Saldırı Tespit Sistemleri ?
Ağlarımıza veya sistemlerimize yapılan her türlü açıdan kötü niyetli saldırılarını, aktivitelerini ya da yasadışı hareketlerini izlememize yarayan cihazlar ve yazılımlardır. güvenlik sistemlerinin amacı zararlı hareketi tanımlama ve loglama yapmaktır. IDS sistemlerinde izinsiz giriş tespiti ve önlenmesine yönelik altı temel yaklaşım vardır. Bu yöntemlerden bazıları çeşitli yazılım paketlerinde uygulanırken, diğerleri bir kurumun başarılı bir saldırı olasılığını azaltmak için kullanabileceği stratejilerdir.
*ANOMALİ TESPİTİ NEDİR*
Anomali tespiti, (Anomali Analizi) izinsiz giriş denemelerini tespit etmek ve yöneticiyi bilgilendirmek için çalışan güvenlik yazılımlarıdır. Sisteme yapılan bir saldırıda, bir veride beklenmedik durumların veya kalıpların bulunmasını sağlayan bir tekniktir. Burada beklenmeyen bir değişiklik veya veri modeline uymayan bir olay, anomali olarak kabul edilir. Başka bir deyişle, izlenen bir veya birden fazla değerin daha önceki çalışma şartlarında normal kabul edilen davranışların dışında davranması olarak da tanımlanabilir.
*ANOMALİ ÖRNEĞİ*
Siz, X Bankasının Müşterisisiniz. X Bankasından Aldığınız Kredi Kartıyla Her Ay Düzenli 500-600 TL Civarında Harcama Yapıyorsunuz. Yani Bankanızın Size Ait Profilinde Siz Düşük Bütçe Harcama Yapan Müşteri Konumundasınız. Peki Uzun Süredir 500-600 TL Harcama Yapılan Kartınızdan Bir Anda 2000 TL lik Bir Harcama Yapılırsa Ne Olur ?
-Aslında Bu Şöyle Nitelendirilir ;
Düzenli Bir Şekilde 500-600 TL Harcama Yapılırken Bir Anda 2000 TL Harcanması, Sizin Normaldeki Davranışın Dışına Çıktığınıza Delalet Eder. Bu Durumda Siz 500-600 TL Harcama Yapan Müşteriyken Bir Anda 2000 TL Harcayan Müşteri Konumuna Çıkmış Oldunuz. İşte Bu Durum Anomali Davranışıdır. Yani Bankanıza Göre Sizin Profilinizde Bir Anomali Durumu Varsa, Bankanız Anomali Detection (Anomali Tespiti) Tekniğini Kullanır ve Durumu Size Mesaj, Arama Yoluyla Bildirir. İşte Bu Durum Genel Olarak Anomali Tespiti (Analizi)'dir
*ANOMALİ TESPİT EDİLME YOLLARI*
• Eşik İzleme
• Kaynak Profili Oluşturma
• Kullanıcı / Grup Çalışması Profili
• Yürütülebilir Profil Oluşturma
*EŞİK İZLEME*
Eşik izleme, yapılabilmesi mümkün davranışların seviyelerini ayarlar ve bu seviyelerin aşılıp aşılmadığını gözlemler. Sınırlı sayıda başarısız oturum açma isteği denemesini veya o oturuma bağlanan kullanıcının indirdiği & kullandığı veri miktarını izlemek gibi kuralların bulunduğu kısımdır.
*KAYNAK PROFİLİ*
Sistemde kullanılan kaynakları derler, toplar ve ölçer. Buna bağlı olarak birer kullanıcı profili oluşturur. Bir kullanıcının sistemde kaynakları nasıl kullandığına bakmak, sistemdeki parametrelerin dışındaki kullanım düzeylerini tanımlamasını sağlar. Bu anormal okumaya gireceği için, devam etmekte olan illegal çalışmanın göstergesi olabilir. Kullanımdaki artış, güvenliği ihlal etmek yerine, sistemdeki iş yükü, (mesela siteye çok tıklanması gibi) iyi niyetli artışta olabilir.
*KULLANICI/GRUP ÇALIŞMASI PROFİLİ*
Kullanıcı Grup Çalışması Profilinde IDS, Kullanıcıların ve Grupların Bireysel Çalışmalarının Bulunduğu veya Bireysel Çalışma Profillerini Korur. Kullanıcıların ve Grupların tanımlı olan profillere uyum sağlamaları beklenir. Kullanıcılar çalışmalarını her değiştirdiğinde, beklenen iş profili, kullanıcının değiştirdiği çalışmaları yansıtacak şekillde güncellenir. Bazı Sistemlerde ise 1 yıldan kısa sürelerde çalışan ve 1 yıldan uzun sürelerde çalışan profilleri izlemeye çalışır. 1 Yıldan az çalışmış profiller son zamanlarda değişen çalışma düzenini yakalarken, 1 yıldan uzun süre çalışmış olan profiller uzun bir süre boyunca kullanımı ortaya çıkarır.
*YÜRÜTÜLEBİLİR PROFİL OLUŞTURMA*
Yürütülebilir Profilleme, Programların etkinliği belirli bir Kullanıcının kullandığı istem kaynaklarını nasıl kullandığını ölçmesiyi ve izlemeyi amaçlar. Mesela, bir sistem hizmetleri, genellikle bunları başlatan belirli bir kullanıcı tarafından izlenemez. Virüsler, Trojanlar vb. kötü amaçlı yazılım saldırıları, dosyalar ve yazıcılar gibi sistem nesnelerinin normalde yalnızca kullanıcılar tarafından değil aynı zamanda kullanıcıların diğer sistem özneleri tarafından nasıl kullanıldığını belirleyerek de ele alınır. Yürütülebilir profil oluşturma, IDS’nin bir saldırıyı gösterebilecek etkinliği tanımlamasını sağlar. Olası bir tehlike belirlendiğinde, ağ mesajı veya e-posta gibi yöneticiyi bilgilendirme yöntemini benimser.
*Öncelikle arkadaşlar İDS dediğimiz kavram yani (Intrusion Detection Systems), Saldırı Tespit Sistemleri anlamını taşımaktadır.
Nedir Bu Saldırı Tespit Sistemleri ?
Ağlarımıza veya sistemlerimize yapılan her türlü açıdan kötü niyetli saldırılarını, aktivitelerini ya da yasadışı hareketlerini izlememize yarayan cihazlar ve yazılımlardır. güvenlik sistemlerinin amacı zararlı hareketi tanımlama ve loglama yapmaktır. IDS sistemlerinde izinsiz giriş tespiti ve önlenmesine yönelik altı temel yaklaşım vardır. Bu yöntemlerden bazıları çeşitli yazılım paketlerinde uygulanırken, diğerleri bir kurumun başarılı bir saldırı olasılığını azaltmak için kullanabileceği stratejilerdir.
*ANOMALİ TESPİTİ NEDİR*
Anomali tespiti, (Anomali Analizi) izinsiz giriş denemelerini tespit etmek ve yöneticiyi bilgilendirmek için çalışan güvenlik yazılımlarıdır. Sisteme yapılan bir saldırıda, bir veride beklenmedik durumların veya kalıpların bulunmasını sağlayan bir tekniktir. Burada beklenmeyen bir değişiklik veya veri modeline uymayan bir olay, anomali olarak kabul edilir. Başka bir deyişle, izlenen bir veya birden fazla değerin daha önceki çalışma şartlarında normal kabul edilen davranışların dışında davranması olarak da tanımlanabilir.
*ANOMALİ ÖRNEĞİ*
Siz, X Bankasının Müşterisisiniz. X Bankasından Aldığınız Kredi Kartıyla Her Ay Düzenli 500-600 TL Civarında Harcama Yapıyorsunuz. Yani Bankanızın Size Ait Profilinde Siz Düşük Bütçe Harcama Yapan Müşteri Konumundasınız. Peki Uzun Süredir 500-600 TL Harcama Yapılan Kartınızdan Bir Anda 2000 TL lik Bir Harcama Yapılırsa Ne Olur ?
-Aslında Bu Şöyle Nitelendirilir ;
Düzenli Bir Şekilde 500-600 TL Harcama Yapılırken Bir Anda 2000 TL Harcanması, Sizin Normaldeki Davranışın Dışına Çıktığınıza Delalet Eder. Bu Durumda Siz 500-600 TL Harcama Yapan Müşteriyken Bir Anda 2000 TL Harcayan Müşteri Konumuna Çıkmış Oldunuz. İşte Bu Durum Anomali Davranışıdır. Yani Bankanıza Göre Sizin Profilinizde Bir Anomali Durumu Varsa, Bankanız Anomali Detection (Anomali Tespiti) Tekniğini Kullanır ve Durumu Size Mesaj, Arama Yoluyla Bildirir. İşte Bu Durum Genel Olarak Anomali Tespiti (Analizi)'dir
*ANOMALİ TESPİT EDİLME YOLLARI*
• Eşik İzleme
• Kaynak Profili Oluşturma
• Kullanıcı / Grup Çalışması Profili
• Yürütülebilir Profil Oluşturma
*EŞİK İZLEME*
Eşik izleme, yapılabilmesi mümkün davranışların seviyelerini ayarlar ve bu seviyelerin aşılıp aşılmadığını gözlemler. Sınırlı sayıda başarısız oturum açma isteği denemesini veya o oturuma bağlanan kullanıcının indirdiği & kullandığı veri miktarını izlemek gibi kuralların bulunduğu kısımdır.
*KAYNAK PROFİLİ*
Sistemde kullanılan kaynakları derler, toplar ve ölçer. Buna bağlı olarak birer kullanıcı profili oluşturur. Bir kullanıcının sistemde kaynakları nasıl kullandığına bakmak, sistemdeki parametrelerin dışındaki kullanım düzeylerini tanımlamasını sağlar. Bu anormal okumaya gireceği için, devam etmekte olan illegal çalışmanın göstergesi olabilir. Kullanımdaki artış, güvenliği ihlal etmek yerine, sistemdeki iş yükü, (mesela siteye çok tıklanması gibi) iyi niyetli artışta olabilir.
*KULLANICI/GRUP ÇALIŞMASI PROFİLİ*
Kullanıcı Grup Çalışması Profilinde IDS, Kullanıcıların ve Grupların Bireysel Çalışmalarının Bulunduğu veya Bireysel Çalışma Profillerini Korur. Kullanıcıların ve Grupların tanımlı olan profillere uyum sağlamaları beklenir. Kullanıcılar çalışmalarını her değiştirdiğinde, beklenen iş profili, kullanıcının değiştirdiği çalışmaları yansıtacak şekillde güncellenir. Bazı Sistemlerde ise 1 yıldan kısa sürelerde çalışan ve 1 yıldan uzun sürelerde çalışan profilleri izlemeye çalışır. 1 Yıldan az çalışmış profiller son zamanlarda değişen çalışma düzenini yakalarken, 1 yıldan uzun süre çalışmış olan profiller uzun bir süre boyunca kullanımı ortaya çıkarır.
*YÜRÜTÜLEBİLİR PROFİL OLUŞTURMA*
Yürütülebilir Profilleme, Programların etkinliği belirli bir Kullanıcının kullandığı istem kaynaklarını nasıl kullandığını ölçmesiyi ve izlemeyi amaçlar. Mesela, bir sistem hizmetleri, genellikle bunları başlatan belirli bir kullanıcı tarafından izlenemez. Virüsler, Trojanlar vb. kötü amaçlı yazılım saldırıları, dosyalar ve yazıcılar gibi sistem nesnelerinin normalde yalnızca kullanıcılar tarafından değil aynı zamanda kullanıcıların diğer sistem özneleri tarafından nasıl kullanıldığını belirleyerek de ele alınır. Yürütülebilir profil oluşturma, IDS’nin bir saldırıyı gösterebilecek etkinliği tanımlamasını sağlar. Olası bir tehlike belirlendiğinde, ağ mesajı veya e-posta gibi yöneticiyi bilgilendirme yöntemini benimser.
Moderatör tarafında düzenlendi:
