SON KULLANICILAR İÇİN ANOMALİ SALDIRI TESPİT SİSTEMLERİ
Öz
Günümüzde yaygın bir şekilde kullanılmakta olan imza tabanlı yaklaşımlar, özellikle sıfır gün saldırıları gibi henüz tespit edilmemiş saldırı vektörlerine karşı başarısız olmaktadırlar. Bu tip saldırılar genellikle en az bir sisteme zarar verdikten sonra tespit edilmektedir. Saldırıya ilişkin imza yapılan analizin ardından son kullanıcıların erişimine sunulur. Dolayısı ile bu süre zarfında kullanıcılar bu tip saldırılara karşı savunmasız kalırlar. Kritik noktalardaki bilgisayar sistemlerinin gerek güncelleme ve gerekse yeni uygulamaların kurulmasının ardından sıfır gün saldırıları ile karşılaşma riski bulunmaktadır. Bilindiği üzere, uygulamalar işletim sistemiyle sistem çağrı arayüzü üzerinden etkileşim kurarlar. Dolayısı ile uygulamalardan ya da sistemin tümünden toplanan sistem çağrı verisinde öğrenme sonrasında belirlenen anormal davranışlar bir saldırının varlığını işaret ediyor olabilir. Bu çalışmada, anomali tespit sistemleri için literatür taraması, kullanılabilecek veri kümeleri ve bunların karşılaştırmalı analizleri sunulmuştur.
Anahtar Kelimeler
Saldırı tespit sistemleri,Anomali tanıma,Makine öğrenmesi,Sistem çağrıları,Host-tabanlı
References
- Ali, M. Q., Khan, H., Sajjad, A., & Khayam, S. A. (2009). On achieving good operating points on an ROC plane using stochastic anomaly score prediction. 16th ACM conference on Computer and communications security, Şikago, ABD.
- Anscombe, F. J., & Guttman, I. (1960). Rejection of Outliers. Technometrics, Sayı(2), 123-147. doi: https://doi.org/10.2307/1266540
- Axelsson, S. (2000). Intrusion detection systems: A survey and taxonomy.
- Bace, R., & Mell, P. (2001). Intrusion Detection Systems Erişim adresi: https://apps.dtic.mil/dtic/tr/fulltext/u2/a393326.pdf
- Bhatkar, S., Chaturvedi, A., & Sekar, R. (2006, 21-24 May 2006). Dataflow anomaly detection. 2006 IEEE Symposium on Security and Privacy (S&P'06) Sunulmuş Bildiri.
- Borisaniya, B., & Patel, D. (2015). Evaluation of modified vector space representation using adfa-ld and adfa-wd datasets. Journal of Information Security, Sayı(3), 250. doi: https://doi.org/10.4236/jis.2015.63025
- Cabrera, J. B. D., Lewis, L., & Mehra, R. K. (2001). Detection and classification of intrusions and faults using sequences of system calls. ACM SIGMOID Record, Sayı(4), 25-34. doi: https://doi.org/10.1145/604264.604269
- Canali, D., Lanzi, A., Balzarotti, D., Kruegel, C., Christodorescu, M., & Kirda, E. (2012). A quantitative study of accuracy in system call-based malware detection. International Symposium on Software Testing and Analysis Sunulmuş Bildiri.
- Canfora, G., Sorbo, A. D., Mercaldo, F., & Visaggio, C. A. (2015, 22-22 May 2015). Obfuscation Techniques against Signature-Based Detection: A Case Study. 2015 Mobile Systems Technologies Workshop (MST) Sunulmuş Bildiri.
- CERT-UK. Code obfuscation. Erişim adresi: https://www.ncsc.gov.uk/content/files/protected_files/guidance_files/Code-obfuscation.pdf