Dağıtık zararlı yazılım toplama ve analiz modeli

Abstract

Siber tehditlerin en başında gelen zararlı yazılımların tehdit alanları genişlediği için her geçen gün sayısı da artmaktadır. Artan zararlı yazılımlar karşısında anti virüs tarayıcılar yeterli olmamaktadır. Zararlı yazılımların vermiş olduğu ekonomik zarar, itibar kaybı ve çalışan verimliliği azalması gibi nedenlerden dolayı zararlı yazılım tespiti için yeni yöntemlere ihtiyaç duyulmaktadır. Bu çalışmada ağ üzerinden yayılmaya çalışan zararlı yazılımların tespiti için tuzak sistemleri temel alan dağıtık zararlı yazılım toplama ve analiz modeli önerilmiştir. Önerilen zararlı yazılım toplama ve analiz modeli ile farklı kurumlarda konumlandırılan ve dağıtık halde bulunan sensörlere yapılan ağ saldırıları tuzak sitemlere yönlendirilmektedir. Tuzak sistemlere yönlendirilen ağ trafiği içerisinden zararlı yazılım toplanabilmektedir. Yakalanan zararlı yazılımlara karşı erken uyarı oluşturulmaktadır. Oluşturulan model, dağıtık sensörler ve zararlı yazılım tespit merkezi olmak üzere iki ana kısımdan oluşmaktadır. Zararlı yazılım tespit merkezi, sanallaştırma sunucuları ve üzerinde barındırdığı tuzak sistemlerini, ağ trafiği izleme modülü, anti virüs tarayıcı modülü ve zararlı ağ trafiği kayıt veri tabanı gibi alt modülleri içermektedir. Dağıtık zararlı yazılım toplama ve analiz modeli ile yeni geliştirilen zararlı yazılımlar için anti-virüs imzası, zararlı yazılımın oluşturduğu ağ trafiğinden IP ve DNS kara listeleri ve saldırı tespit sistemi imzası oluşturulabilmektedir.Being one of the leading threats to cyber security, the number of malwares are increasing rapidly as the threat landscape extend. However, the antivirus software is not capable of handling that number of new malwares. Considering the economic damages, loss of reputation decrease in employee productivity caused by malwares, in addition to antivirus software, new methods needs to be implemented to detect malwares. In this thesis we propose a distributed model to analyze and collect malwares that spread over the Internet. The proposed model depicts the forwarding of network attacks coming from internet to distributed sensors located in enterprise networks to honeypots. The honeypots capture the traffic in order to identify malwares whereas various early notifications are generated to help analyze the flow. The model comprises to two main parts; distributed sensors and malware detection center. Malware detection center is composed of sub modules like virtualization servers which are hosted low and high interaction honeypots, network traffic monitoring systems, anti-virus scanners and malware hash and strings database. Anti-virus signature for recently developed malware, IP and DNS black lists from the traffic generated by malware and intrusion detection system signature can be derived with the proposed distributed malware collection and analysis framework.