Tez Arşivi

Tez aramanızı kolaylaştıracak arama motoru. Yazar, danışman, başlık ve özete göre tezleri arayabilirsiniz.


Orta Doğu Teknik Üniversitesi / Fen Bilimleri Enstitüsü / Elektrik ve Elektronik Mühendisliği Bölümü

A faster intrusion detection method for high-speed computer networks

Yüksek hızlı bilgisayar ağları için daha hızlı bir saldırı tespit metodu

Teze Git (tez.yok.gov.tr)

Bu tezin tam metni bu sitede bulunmamaktadır. Teze erişmek için tıklayın. Eğer tez bulunamazsa, YÖK Tez Merkezi tarama bölümünde 286096 tez numarasıyla arayabilirsiniz.

Özet:

The malicious intrusions to computer systems result in the loss of money, time and hidden information which require deployment of intrusion detection systems. Existing intrusion detection methods analyze packet payload to search for certain strings and to match them with a rule database which takes a long time in large size packets. Because of buffer limits, packets may be dropped or the system may stop working due to high CPU load. In this thesis, we investigate signature based intrusion detection with signatures that only depend on the packet header information without payload inspection. To this end, we analyze the well-known DARPA 1998 dataset to manually extract such signatures and construct a new rule set to detect the intrusions. We implement our rule set in a popular intrusion detection software tool, Snort. Furthermore we enhance our rule set with the existing rules of Snort which do not depend on payload inspection. We test our rule set on DARPA data set as well as a new data set that we collect using attack generator tools. Our results show around 30% decrease in detection time with a tolerable decrease in the detection rate. We believe that our method can be used as a complementary component to speed up intrusion detection systems.

Summary:

Bilgisayar sistemlerine yapılan kötü niyetli saldırılar, saldırı tespit sistemlerinin kurulmasını gerektiren, para, zaman ve gizli bilgi kaybına neden olur. Mevcut saldırı tespit metodları belli dizileri bulmaya çalışmak ve bunları bir kural veritabanı ile eşleştirmek için paket yük kısmını inceler ve bu büyük boyutlu paketlerde çok uzun zaman alır. Geçici belleklerdeki limitlerden dolayı paketler düşürülebilir veya sistem yüksek CPU yükünden dolayı çalışmayı bırakabilir. Bu tezde, biz paket yük kısmını incelemeden sadece paket başlık bilgisine bakan imzalar ile oluşturulan imza tabanlı saldırı tespit sistemi geliştirdik. Bu amaçla, biz meşhur DARPA 1998 veri setini, böyle imzaları el ile çıkarmak, yeni bir kural seti oluşturmak ve saldırıları tespit etmek için inceledik. Biz kural setimizi popüler saldırı tespit yazılım aracı olan Snort ta uyguladık. Buna ek olarak biz kural setimizi Snortun paket yük kısmını incelemeyen mevcut kuralları ile geliştirdik. Biz kural setimizi hem DARPA veri seti ile hem de bizim saldırı oluşturan araçları kullanarak topladığımız yeni bir veri seti ile test ettik. Bizim sonuçlarımız, tespit oranında kabul edilebilir bir azalışla tespit zamanının yaklaşık %30 azaldığını gösterdi. Biz inanıyoruz ki, bizim metodumuz saldırı tespit sistemlerininin hızını artırmak için tamamlayıcı bir unsur olarak kullanılabilir.