Kardaş, SüleymanToprak, Hanifi2021-03-182021-03-182021-02-17Toprak, H. (2021). Akıllı saldırı tespit sistemleri.(Yayınlanmamış Yüksek Lisans Tezi). Batman Üniversitesi Fen Bilimleri Enstitüsü, Batman.https://hdl.handle.net/20.500.12402/2712Bilgi ve İletişim Teknolojileri hayatımızın her alanını içine alan insanların hatta tüm canlıların ayrılmaz bir parçası haline gelmiştir. Bunun hayatımıza artarak dokunması beklenmektedir. Teknolojinin bu kadar hayatımızla iç içe geçmesi nedeni ile bunu kendi amaçları doğrultusunda kullanmak isteyenlerin ortaya çıkması da beklenendir. Teknolojinin birçok faydası bulunmaktadır. Fakat güvenlik açısından gerekli hassasiyet gösterilmemesi durumunda ise istenilmeyen sonuçlar da doğabilmektedir. Saldırganlar özellikle toplumu en çok etkileyen alanlardan olan Bankacılık, Enerji, Ulaşım gibi sistemlere sızmaya ya da kullanılmaz hale getirmeye çalışırlar. Saldırgan için motivasyon kaynağı bazen para, bazen de şan-şöhret olabilmektedir. Teknolojinin olduğu her yerde bir güvenlik problemi olduğu herkesin kabul ettiği bir gerçektir. Bundan dolayı kurumlar kendi siber olaylara müdahale ekiplerini (SOME) oluştururken topyekûn siber savaşlar için ülke çapında USOM kurulmuştur. Siber saldırı, siber suçluların bir veya daha fazla cihazı tek veya birden fazla cihaza ya da ağa karşı kullanarak başlattığı bir saldırıdır. Siber saldırı ile saldırgan, sistemleri devre dışı bırakabilir, sistemlerden veri çalabilir ya da verilerde değişiklik yapabilir. Siber saldırganlar hedef sistem (ler)e erişmek için türlü teknik ve sosyal mühendislik yollarına başvurur. Saldırı Tespit Sistemleri (Intrusion Detection Systems), olası saldırıları tespit etmekte kullanılan güvenlik bileşenlerinden biridir. STS, yapılan atakları genel olarak 3 farklı şekilde tespit etmeye çalışır. İmza Tabanlı STS: Bu saldırı tespit sisteminde, ağda oluşabilecek bir anormallik mevcut kötü yazılım veri tabanıyla karşılaştırma yapılarak tespit edilir. Anomali Tabanlı STS: Bu saldırı tespit sisteminde, kullanıcı profilleri oluşturulmaktadır. Bu profillerin dışına çıkılması durumunda sistem, yapılan işlemi saldırı olarak yorumlanmaktadır. Protokol Analizi STS: Protokol aktiviteleri profilleri çıkarılır. Şüpheli bir aktivite ile karşılaşıldığında mevcut profillerle karşılaştırılır. Karşılaştırma sonucunda saldırı olup olmadığına karar verilir. KDD’99: KDD’99 saldırı tespit sistemleri için model dizayn etmede kullanılan bir veri setidir. Bu veri seti 42 sütün ve 4.940.200 adet satırdan oluşmaktadır. Veri setinde bulunan saldırılar 4 ana kategoride tanımlanabilir: DoS: Denial-of-service, ağda bulunan bir sistem ya da cihazın sistem kaynaklarını tüketerek gerçek kullanıcılara hizmet veremeyecek duruma getirmesidir. Bu saldırı yöntemine syn flood saldırısı örnek olarak verilebilir. R2L: Bir sisteme erişim izni olmadan bağlanmaya çalışma saldırılarıdır. Bu saldırı yöntemine guessing password aldırısı örnek olarak verilebilir. U2R: Normal kullanıcı yetkisine sahip bir hesabın admin ya da root kullanıcı haklarını elde etme amaçlı yapılan saldırı türüdür. Bu saldırı yöntemine buffer overflow aldırısı örnek olarak verilebilir. Probing: Bu saldırıda saldırgan, hedef cihaz hakkında bilgi toplamaktadır. Bu bilgi; açık olan portlar, geçerli ip adresleri, üzerinde çalışan servisler, kurulu olan işletim sistemi olabilmektedir. Port scanning probing saldırılarına örnek verilebilir. Bu tezde, saldırı tespit sistemlerinde kullanılan KDD’99 veri setinde bulunan saldırılar kategorize edilerek, saldırı istatistikleri ve bu saldırılar hakkında bilgiler verilmiştir. Ayrıca denetimli öğrenme modellemelerinden olan Yapay Sinir Ağları (YSA) ve Karar Ağaç algoritmaları kullanılarak yapılabilecek bir saldırıyı gerçek zamanlı ve yüksek başarımlı tespit edecek sistem modellemeleri yapılmıştır.Information and Communication Technologies have become an inseparable part of the people who take every part of our lives. This is expected to increase in our lives. It is natural for those who want to use it for their own purposes because of the fact that technology is so intertwined with our lives. In case of not taking necessary precautions against the many benefits of technology, it can cause irreparable results with the effect of others. In particular, attackers try to infiltrate or become useless in systems such as Banking, Energy, and Transportation, which are the most influential areas of society. For the attacker, motivation can sometimes be Money and sometimes glory. It is a fact that everyone has accepted that there is a security problem everywhere. For this reason, the USOM has been established across the country for total cyber-wars, while institutions are creating their own cyber-incident intervention teams (SOME). A cyber attack is an assault launched by cybercriminals using one or more devices against a single or multiple devices or networks. A cyber attack can disable system, steal data, or alter data. Cyber attackers apply to various technical and social engineering ways to access the target system(s). Intrusion Detection Systems (IDS) is one of the security components used to detect potential attacks. IDS systems generally try to detect attacks in 3 different ways. Signature Based IDS: This intrusion detection system compares the existing malware database with any abnormalities in the network. Anomaly Based IDS: User profiles are created in this intrusion detection system. It is interpreted as an attack in case of going out of these profiles. Protocol Analysis IDS: Protocol activities are profiled. When a suspicious activity is encountered, it is compared to existing profiles. KDD’99: KDD’99 is a data set used to design models for intrusion detection systems. This data set consists of 42 columns and 4,9402,000 rows. The attack in the data set can be defined in 4 main categories. DoS: denial-of-service is the rendering of a device on the network that cannot serve real users by consuming system resources. Example attack: syn flood. R2L: Attempt to connect to a system without access. Example attack: guessing password. U2R: It is the attack type to obtain admin or root user rights while having normal user rights. Example attack: buffer overflow. Probing: This attack collects information about the target device. This information includes open ports, valid IP addresses, services running on it, operating system installed, and so on. Example attack: port scanning. In this thesis, the attacks in the KDD’99 data set used in Intrusion Detection systems will be categorized and attack statistics and information about these attacks will be given. In addition, system models that will detect an attack that can be performed by using Artificial Neural Networks (ANN) and Decision Tree algorithms, which are among the supervised learning models, have been made in real time and with high performance.trinfo:eu-repo/semantics/openAccessAttribution-ShareAlike 3.0 United StatesAkıllı Saldırı Tespit SistemleriKDD’99Siber GüvenlikKarar AğaçlarıYapay Sinir AğlarıYapay ZekâArtificial IntelligenceArtificial Neural NetworksCyber SecurityDecision TreesIntelligent Attack Detection SystemsAkıllı saldırı tespit sistemleriSmart intrusion detection systemsMaster Thesis