Kullanıcı davranış analizi ile nüfuz tespiti

Abstract

Bilgisayar sistemlerine yönelik saldırılar her geçen gün artmakta ve busaldırılar sonucunda oluşan zararlar hızla büyümektedir. Birçok kurum günümüzde,bilgi güvenliğinin önemini kavramış ve bu sebeple değişik koruma yöntemlerinebaşvurmuştur. Güvenlik duvarları, anti-virüs yazılımları, açıklık tarayıcılar ve nüfuztespit sistemleri gibi teknolojiler bilgi güvenliğini sağlamak amacıyla kullanılançözümlerin bazılarıdır.Bu çalışmada kullanıcı davranışlarının analizi ile anormallik tabanlı nüfuztespit sistemi tasarımı yapılmıştır. Önerilen yöntemde, ağ üzerinden toplanan verilerveri madenciliği teknikleri kullanılarak ağ kullanıcılarına ait istatistiksel bilgiler eldeedilir. Elde edilen verilerden kullanıcı davranışları çıkarılır. Kullanıcı davranışlarınınsınıflandırılmasında KNN sınıflandırması kullanılır. Bu sonuçlardan kötü niyetlikullanıcılar belirlenerek nüfuz tespiti yapılır. Daha sonra bir alarm üretilir ve bukullanıcı sistem yöneticisine bildirilir. Sonuçta, ağ içerisindeki kullanıcı kontrolaltına alınarak nüfuz işlemlerinin ve aynı zamanda bilinçsizce yapılan ağ kullanımhatalarının önüne geçilir.While attacks on computer systems have been increased, loss resulted fromthese attacks have been grown rapidly. Most of the companies today understand theimportance of information security and they have started to use various methods forprotection. Technologies like firewalls, anti-virus software, vulnerability scannersand intrusion detection systems are some of the solutions used which are to provideinformation security.In this work, an anomaly-based intrusion detection system is designed by usinguser behavior analysis. In the proposed method, statistical information about theusers on the network is gathered from the data collected from the network by usingdata mining techniques. User behaviors are constituted from this statisticalinformation. kNN classification method is used for clustering the user behaviors.Intrusion detection is performed by using anomaly based analysis on these clusters. Ifan intruder is detected, an alarm is created and system administrator is informedabout this intrusion. As a result, users on the network can be controlled by using theproposed method. So the system can be prevented from intrusions and unwantednetwork usage errors.