Açik kaynak saldiri tespit sistemlerinin açik kural setleriyle analizi

Abstract

İnternet teknolojilerinin gelişmesiyle birlikte siber saldırılarda da artış gözlenmektedir. Bunun sonucunda siber saldırıları tespit etmek ve önlemek amacıyla çeşitli sistemler geliştirilmiştir. Saldırıları tespit etmek amacıyla en çok kullanılan açık kaynak ve ağ tabanlı saldırı tespit sistemleri Snort ve Suricata iken, en çok kullanılan açık kaynak ve host tabanlı saldırı tespit sistemleri ise OSSEC ve Wazuh'tur. Bu çalışmada, Snort ve Suricata'nın en son versiyonlarının varsayılan konfigürasyonlarla ve açık kural setleri kullanılarak saldırıları tespit etmedeki etkinliği karşılaştırmalı olarak analiz edilirken, OSSEC'in ve Wazuh'un ise host tabanlı saldırı tespit sistemleri olarak tespit etkinliği incelenmiştir. Tespit etkinliğini ölçmek için alarm üretilen atak sayılarının toplam atak sayısına oranı hesaplanmıştır. Çalışmada açık Kural Seti olarak Community Kural Seti, Registered Kural Seti, Talos Kural Seti, Emerging Threats Kural Seti ve Broadcom Kuralları kullanılmıştır. Deneylerde 600 farklı atak trafiği ve 38 farklı zararsız trafik kullanılarak saldırı tespit sistemlerinin tespit etkinliği ve yanlış pozitif alarm oluşturma miktarları analiz edilmiştir. Atak trafiği olarak web uygulama atakları, zararlı yazılım trafikleri ve CVE referanslı zafiyet sömürü trafikleri olmak üzere üç farklı kategoride trafiklere yer verilmiştir. Deneyler sırasında kural setleri tek başına kullanılarak, tüm kural setleri birlikte kullanılarak, zararlı yazılım trafikleri tehdit aktörlerine göre analiz edilerek ve CVE referanslı zafiyet sömürü atakları platformlara ve işletim sistemlerine göre analiz edilerek Snort ve Suricata saldırı tespit sistemlerinin tespit etkinliklerinin ölçülmesi amaçlanmıştır. OSSEC ve Wazuh saldırı tespit sistemlerine ise web uygulama atak trafikleri ve CVE referanslı zafiyet sömürü trafikleri gönderilerek alarm oluşturma durumları analiz edilmiş, ardından başarılı bir atak sonrasında oluşacak alarmlar incelenmiştir. Deneyler sonucunda atak trafiklerinde kural setleri ayrı olarak kullanıldığında en etkin sonuçların Talos Kural Seti ile alındığı, tüm kural setleri birlikte kullanıldığında ise Snort saldırı tespit sisteminin her üç atak türünde de atakları tespit etmede Suricata'dan daha etkin olduğu görülmüştür. Zararsız trafiklerde ise tüm kural setleri tek başına kullanıldığında Talos Kural Seti ve Emerging Threats Kural Seti'nin yanlış pozitif alarm oluşturmadığı ve zararsız trafiklerde tüm kural setleri birlikte kullanıldığında Suricata'nın daha az yanlış pozitif alarm oluşturduğu analiz edilmiştir. OSSEC ve Wazuh Saldırı Tespit Sistemleri'nin ise sızmayla sonuçlanmayan ataklarda alarm vermemekle birlikte, kullanıcıların zararsız komutlarından çok fazla yanlış pozitif alarm oluşturduğu gözlenmiştir.

With the development of internet technologies, there is an increase in cyber attacks. As a result, various systems have been developed to detect and prevent cyber attacks. The most widely used open source and network-based intrusion detection systems are Snort and Suricata, while the most widely used open source and host-based intrusion detection systems are OSSEC and Wazuh. In this study, the efficiency of the latest versions of Snort and Suricata in detecting attacks with default configurations and using open rule sets is comparatively analyzed, while the detection efficiency of OSSEC and Wazuh as host-based intrusion detection systems are examined. In order to measure the detection efficiency, the ratio of the number of alarms generated to the total number of attacks was calculated. Community Rule Set, Registered Rule Set, Talos Rule Set, Emerging Threats Rule Set and Broadcom Rules were used as open rule set in the study. In the experiments, detection efficiency and false positive alarm generation amounts of intrusion detection systems were analyzed by using 600 different attack traffic and 38 different benign traffic. As attack traffic, there are traffic in three different categories: web application attacks, malware traffic and CVE referenced vulnerability exploitation traffic. During the experiments, it was aimed to measure the detection efficiency of Snort and Suricata intrusion detection systems by using rule sets alone, using all rule sets together, analyzing malware traffic according to threat actors, and analyzing CVE-referenced vulnerability exploitation attacks according to platforms and operating systems. On the other hand, web application attack traffics and CVE-referenced vulnerability exploitation traffics were sent to the OSSEC and Wazuh intrusion detection systems, and alarm generation situations were analyzed, and then the alarms that would occur after a successful attack were examined. As a result of the experiments, it has been seen that the most effective results are obtained with the Talos Rule Set when the rule sets are used separately in attack traffic, and when all rule sets are used together, the Snort intrusion detection system is more effective detecting attacks than Suricata in all three attack types. It has been analyzed that Talos Rule Set and Emerging Threats Rule Set do not create false positive alarms when all rule sets are used alone in benign traffic, and Suricata generates fewer false positive alarms when all rule sets are used together in benign traffic. It has been observed that the OSSEC and Wazuh Intrusion Detection Systems didn't create alarms in unsuccessful attacks, but it generates too many false positive alarms from the usual commands of the users.