Web tabanlı saldırı önleme amaçlı yeni bir gerçek zamanlı web uygulaması güvenlik duvarı algoritmasının gerçekleştirilmesi


Tezin Türü: Doktora

Tezin Yürütüldüğü Kurum: Gazi Üniversitesi, Bilişim Enstitüsü, Türkiye

Tezin Onay Tarihi: 2016

Öğrenci: ADEM TEKEREK

Danışman: ÖMER FARUK BAY

Özet:

İnternet üzerinden verilen hizmetlerin artması, günlük hayatta internetin kullanım oranını artırmıştır. İnternetin kullanım oranının artması internet uygulamalarına yönelik tehditlerin de aynı ölçüde artmasına sebep olmuştur. İnternette verilen hizmetlerin altyapısını büyük oranda web uygulamaları oluşturmaktadır. İnterneti hedef alan tehditler, web uygulamalarının güvenlik ihtiyaçlarını ortaya çıkarmıştır. Web uygulama güvenliğini sağlamak için ağ ortamından yapılan saldırılara karşı güvenlik duvarları, saldırı tespit ve engelleme sistemleri kullanılmaktadır. Web uygulamaları ve web tabanlı servislere karşı yapılan saldırılar, web uygulamalarının iletişim protokolü olarak kullandığı Hyper-Text Transfer Protocol (HTTP) kullanılarak da yapılmaktadır ve HTTP denetimi yapılarak web tabanlı saldırılar engellenebilmektedir. Geliştirilen her bir web uygulamasının yapısı birbirinden farklı mimariye sahip olmaktadır. Web uygulamalarının bu değişik mimari yapısı ve çok fazla değişkene sahip olması HTTPnin içerik yapısını da değiştirmektedir. Bu durum HTTP denetimi yapılarak web tabanlı saldırıların denetimini ve engellenmesini zorlaştırmaktadır. Bu tez çalışmasında, HTTP denetimi yapılarak web tabanlı saldırıların denetimini gerçekleştirmek için, İmza Tabanlı Denetim (İTD) ve Anormal Tabanlı Denetim (ATD) metodları kullanılarak öğrenme tabanlı, hibrit bir Web Uygulama Güvenlik Duvarı (WUGD) modeli önerilmiştir. İTD ile, bilinen web tabanlı saldırı türlerinden olan SQL (Structured Query Language) Enjeksiyonu, Siteler Arası Kod (XSS) Yazma, Komut Enjeksiyonu (KE) ve Dizin Geçişi Saldırı (DGS) saldırı türlerine karşı imza denetimi gerçekleştirilmiştir. ATD ile ise standart HTTP istek yapısına uymayan HTTP isteklerinin denetimi yapılmıştır. ATD, Alfanümerik Karakter Analizi (AKA), Harf Frekans Analizi (HFA) ve İstek Uzunluk Analizi (İUA) öznitelikleri ile, yapay zekâ tekniklerinden sinir ağları yöntemi kullanılarak öğrenme tabanlı olarak gerçekleştirilmiştir. ATD sonucunda tespit edilen HTTP istekleri tekrar web uygulamasına geldiği zaman ikinci defa ATD gerçekleştirmemek için İTD veritabanı güncellenmektedir. Böylece imza üretimi gerçekleştirilmektedir. Bu durum sistemin yeni saldırı türlerine karşı adaptasyonunu sağlamaktadır. Ayrıca İTD, ATD'ye göre daha hızlı çalıştığı için sistemin hız performansı da artırılmış olmaktadır. Normal olarak tespit edilen HTTP istekleri Normal İsteklerin İmza Tabanlı Denetimi (NİİTD) veritabanına, anormal olarak tespit edilen HTTP istekleri Anormal İsteklerin İmza Tabanlı Denetimi (AİİTD) veritabanına eklenmektedir. Böylece hız performansı yüksek bir modelin geliştirilmesi sağlanmıştır. Bu yüzden web tabanlı saldırıların denetimini en iyi şekilde yapabilmek için hibrit bir denetim modeli önerilmiştir. Önerilen model gerçek zamanlı, web uygulamaları kullanılarak akan HTTP trafik verisiyle gerçek zamanlı olarak ve literatürde üretilmiş farklı veri kümeleri kullanılarak test edilmiştir. Test sonuçları benzer veri kümelerini kullanan çalışmalarla karşılaştırılmıştır. Karşılaştırma sonuçlarına göre, önerilen modelin mevcut çalışmalara göre daha yüksek denetim performansı gösterdiği ve düşük yanlış pozitif oranına sahip olduğu görülmüştür. Ayrıca YSA ile elde edilen sonuçlarla karşılaştırma amacıyla ATD, veri madenciliği yöntemlerinden bayes sınıflandırma (BS) ve yapay zekâ yöntemlerinde bayes tabanlı yapay sinir ağları (BTYSA) yöntemleri ile de denetim yapılmıştır.