Siber güvenlik analizi için yeni bir siber saldırı simülatörü geliştirilmesi = Design and implementation of a new cyber attack simulator for cyber security analysis

Abstract

Kurumların ve bireylerin iş süreçlerini bilişim teknolojileri ile yürütme zorunluluğu beraberinde risk ve tehditleri de getirmiştir. Siber saldırılar, kurtarılması zor sonuçlara yol açabilir. Bu saldırılara karşı pek çok saldırı tespit ve güvenlik sistemi geliştirilmiş olsa da, bilgi sistemlerine yönelik saldırılar ve güvenlik ihlalleri hızla artmaktadır. Bu çalışmada siber güvenliğin sağlanması noktasında en önemli konulardan biri olan güvenlik zafiyetlerinin anlaşılması ve siber saldırıların tespit edilmesi amaçlanmaktadır. Siber saldırı yöntemlerini test etmek için fiziksel ağları kullanmak çok maliyetli ve zaman alıcı bir süreçtir. Bu tez çalışmasında, siber saldırı senaryolarını simüle etmek, test etmek ve sonuçları değerlendirmek için DEVS modelleme yaklaşımı kullanılarak bir siber saldırı simülasyon modeli geliştirilmiştir. Saldırı modellerinin üzerinde çalıştıralacak model ağın topolojisi, BRITE topoloji üreteci tarafından oluşturulmuştur. Saldırı modllerinin özelliklerine göre saldırı senaryolarının parametre ve yapılandırma ayarlarının yapıldığı görsel arayüzler kullanılarak saldırı simülasyonu gerçekleştirilmiştir. Saldırı adımlarının etkilerinin ve sonuçlarının gözlemlenmesi ve değerlendirilmesi için simülasyon ve izleme çerçevesi kullanılmıştır. Bir sanal ağda bir saldırı senaryosunu simüle eden ve uygun saldırı tespit sistemi uyarıları üreterek bu uyarıları değerlendiren bir uygulama geliştirilmiştir. Bu çalışmada, saldırı önleme amacıyla ağ trafiğinin incelendiği ve şüpheli etkinlik belirlendiğinde "refleks" tipi eylemlerin gerçekleştirildiği saldırı tespit sistemlerinin metodolojisine benzer bir yöntem geliştirilmiştir. Sistemin test edilmesi için Kanada Siber Güvenlik Enstitüsü tarafından paylaşılan CSE-CIC-IDS2018 veri seti kullanılmıştır. Geliştirme ortamı olarak DEVS-Suite simülasyon paketi kullanılmıştır. Farklı siber saldırı simülasyon uygulamaları ile karşılaştırmalar yapılmış ve farklılıkları ortaya konmuştur. Bu araç belirli saldırı türleri için uyarı verileri elde etmek için kullanılsa da, sonraki çalışmalarda daha farklı saldırı türleri için de uyarı verileri oluşturmak üzere genişletilebilir bir altyapı sağlamaktadır. Bu çalışmada, büyük ölçekli kurumsal ağların kolaylıkla tasarlanabileceği ve geçerli düzeyde performans, ölçeklenebilirlik ve doğruluk ile siber güvenlik testlerinin kısa sürede yapılabileceği görülmüştür.

The fact that institutions and people have to deal with their work with information technologies has also brought risks and threats. Cyber attacks can have consequences that are difficult to recover. Although many intrusion detection and security systems have been developed against these attacks, attacks and security breaches against information systems are increasing rapidly. In this thesis, it is aimed to understand security vulnerabilities, which is one of the important issues in terms of cyber security, and to detect cyber attacks. Using real networks for cyber attack test runs is very costly and time consuming. In this thesis, a cyber attack simulation model has been developed using the DEVS modeling approach to simulate cyber attack scenarios, test the attacks and observe the results.. The attack simulation was carried out by using the developed visual interfaces, in which the parameters and configuration settings of the attack scenarios were made according to the characteristics of the attack modes. A simulation and monitoring framework was used to observe and evaluate the effects and consequences of attack steps. An application has been developed that simulates attack scenarios on a simulated network and evaluates these warnings by generating appropriate attack alerts. In this study, a method similar to the methodology of intrusion detection systems, in which network traffic is examined for intrusion prevention and "reflex" type actions are performed when suspicious activity is detected, is developed. CSE-CIC-IDS2018 dataset was used to test the system. DEVS-Suite simulation package was used as application development environment. The developed cyber attack simulator has been compared with other cyber attack simulation applications and its different aspects have been revealed. Although this cyberattack simulator is used to obtain alert data for certain types of attacks, it provides an extensible infrastructure to generate alert data for more different types of attacks in future studies. In this study, it has been seen that large-scale corporate networks can be designed easily and cyber security tests can be carried out in a short time.