Saldırı Tespit Sistemi : IDS

Saldırı Tespit Sistemi (IDS), ağ veya sistem faaliyetlerini kötü amaçlı aktiviteler veya güvenlik politikası ihlalleri açısından izlemek için tasarlanmış bir güvenlik mekanizmasıdır. IDS konsepti, 1980’lerin başında James P. Anderson‘un denetim günlükleri aracılığıyla bilgisayar saldırılarını tespit etme fikrini ortaya atmasıyla başlamıştır. Zamanla, IDS gerçek zamanlı izleme, gelişmiş saldırı modeli tanıma ve güvenlik operasyon merkezleri (SOC) ile entegrasyon yeteneklerini içerecek şekilde evrim geçirmiştir.

IDS Türleri: Host Tabanlı (HIDS) & Ağ Tabanlı (NIDS)

Host Tabanlı IDS (HIDS)

HIDS, bireysel uç noktalarda çalışarak sistem günlüklerini, dosya bütünlüğünü ve uygulama davranışlarını analiz eder ve anormallikleri tespit eder. Yetkisiz erişimler ve ayrıcalık yükseltme girişimleri gibi sistem spesifik tehditlere karşı derinlemesine içgörü sağlar.

Ağ Tabanlı IDS (NIDS)

NIDS, ağ trafiğini gerçek zamanlı olarak izler, paketleri kötü amaçlı kalıplar, bilinen güvenlik açıkları veya anormal davranışlar açısından denetler. Genellikle ağ çevresine veya stratejik noktalara konuşlandırılarak saldırılar iç sistemlere ulaşmadan önce tespit edilir.

HIDS ve NIDS Arasındaki Farklar

IDS Tespit Yaklaşımları: Anomali Tabanlı & İmza Tabanlı

İmza Tabanlı IDS

• Önceden tanımlanmış kurallar veya imzalar kullanarak bilinen saldırı modellerini tespit eder.
• Düşük yanlış pozitif oranına sahiptir ancak sıfırıncı gün saldırılarına karşı etkisizdir.
• Örneğin: Snort, Suricata.

Anomali Tabanlı IDS

• Normal aktivitelerden sapmaları tespit etmek için istatistiksel modelleme ve davranış analizi kullanır.
• Bilinmeyen tehditleri tanımlayabilir ancak yanlış pozitif (false positive) üretme olasılığı yüksektir.
• Doğruluğun artırılması için sürekli eğitim ve ayarlama gerektirir.

Anomali Tespiti Yapan IDS Çözümlerinde Kullanılan Bazı Eğitim Veri Setleri

1. KDD Cup 99 (KDD99)

• 1999 yılında DARPA tarafından hazırlanan ve en popüler IDS veri setlerinden biridir.
• Normal trafik ve çeşitli saldırı türleri (DoS, U2R, R2L, Probing).
• Makine öğrenimi tabanlı IDS modellerini eğitmek ve karşılaştırmak için.
• Data seti buradan inceleyebilirsiniz.

2. NSL-KDD

• KDD99 veri setinin düzeltilmiş ve geliştirilmiş versiyonudur.
• Dengeli bir saldırı dağılımı içerir, tekrarlayan veriler azaltılmıştır.
• Daha iyi bir değerlendirme yapmaya olanak tanır ve makine öğrenimi modelleri için daha uygun hale getirilmiştir.
• Data seti buradan inceleyebilirsiniz.

3. UNSW-NB15

• 2015 yılında Avustralya New South Wales Üniversitesi tarafından geliştirildi.
• Gerçek dünya ağ trafiğini ve modern saldırıları içerir (Fuzzers, Backdoor, Analysis, DoS, Exploits, etc.).
• Güncel saldırı türlerini içermesi nedeniyle daha gerçekçi sonuçlar üretir.
• Data seti buradan inceleyebilirsiniz.

4. CIC-IDS2017

• Kanada Siber Güvenlik Enstitüsü (CIC) tarafından oluşturulmuştur.
• HTTP, HTTPS, FTP, SMTP gibi protokollere ait normal trafik ve anormal saldırı trafiği.
• Gerçek ağ ortamında oluşturulmuş olması ve modern siber saldırıları içermesi.
• Data seti buradan inceleyebilirsiniz.

5. CSE-CIC-IDS2018

• CIC-IDS2017’nin daha geliştirilmiş bir versiyonudur.
• Normal ve kötü amaçlı trafiği içeren geniş çaplı bir veri setidir.
• Makine öğrenimi ve derin öğrenme tabanlı IDS çözümlerini eğitmek için uygundur.
• Data seti buradan inceleyebilirsiniz.

Saldırı Tespit Sistemleri (IDS), modern siber güvenlik stratejilerinin vazgeçilmez bir parçasıdır. Host Tabanlı (HIDS) ve Ağ Tabanlı (NIDS) sistemler, farklı yaklaşımlarla tehditleri tespit ederek kurumların güvenliğini artırır. İmza tabanlı yöntemler bilinen saldırıları tanımlarken, anomali tabanlı yöntemler yeni ve bilinmeyen tehditlere karşı etkili olabilir. KDD Cup 99, NSL-KDD, UNSW-NB15, CIC-IDS2017 ve CSE-CIC-IDS2018 gibi veri setleri, IDS çözümlerinin eğitimi ve test edilmesi için önemli kaynaklardır. IDS’lerin sürekli gelişimi ve güncel tehditlere uyum sağlaması, siber güvenliğin geleceği için büyük önem taşımaktadır.