Implementation of an intrusion detection system using audit trails

Abstract

IMPLEMENTATION OF AN INTRUSION DETECTION SYSTEM USING AUDIT TRAILS Kırk yıl kadar önce dünyada sınırlı bilgisayar vardı ve sadece hükümetler yada büyük şirketler böyle bir sistemi finanse edebiliyordu. Bu nedenle de sadece sınırlı sayıda insan bilgisayarlara ulaşabiliyordu. Bugünlerdeyse insanların büyük bir kısmının kişisel bilgisayarı yada kütüphane, Internet kafe gibi ortamlarda kişisel bilgisayarlara erişim imkanı var. Ayrıca Internet sayesinde bu bilgisayarları kullanarak dünyadaki pek çok bilgisayara da ulaşma şansları var. Bu büyük gelişmenin bazı avantaj ve dezavantajları var. Bu gelişme dünyayı daha küçük bir yer haline getirirken bazı güvenlik sorunlarının da ortaya çıkmasına neden olmuştur. Pek çok insan kişisel ve kurumsal bilgilerini bilgisayarlarda saklamaktadır. Bazı insanlarsa erişim haklarının olmadığı bu bilgilere erişmeye çalışmaktadır. Bu nedenle yeni bir kavram saldırı ortaya çıkmıştır. Saldırıları engellemek için de Saldırı Tespit Sistemleri STS geliştirilmektedir. Genel olarak, saldırıların iki kaynağı vardır. Birincisi ağ üzerinden başka bir bilgisayarı kullanarak, ikincisi de bilgilerin bulunduğu bilgisayara fiziksel erişimi olan kişilerce yapılmaktadır. STS'lerin büyük çoğunluğu ilk tür saldırılar için geliştirilmiştir. Ama günümüzde ikinci tür saldırıları tespit etme konusunda yeterli çalışma yapılmamaktadır. Bu tezle bilgisayara fiziksel erişimi olanlarca yapılan saldırıları tespit etmek için bir STS geliştirmek amaçlanmaktadır. Bunu yaparken açık kaynak kodlu ve bedava programlarca sağlanan kütükler kullanılacaktır. Bu yöntemin seçilmesinin sebebi, birden fazla kaynaktan elde edilen bilgilerin birleştirilmesinin tek kaynağa oranla daha fazla bilgi içermesidir. Bu sistem Linux platformunda geliştirilecektir. Bunun sebebi, Linux'un giderek daha etkin ve popüler olması, ayrıca belirtilen tipte saldırıların tespiti konusunda bu platformda yeterli çalışma yapılmamış olmasıdır. Haziran 2005 Onu IMPLEMENTATION OF AN INTRUSION DETECTION SYSTEM USING AUDIT TRAILS Forty years ago, there were only a limited number of computers in the World. And these were owned by governments, some universities or big companies. So, only a few people were able to access these computers. Nowadays, the development of technology has enabled a great number of people to have their own personal computers, or they are able to access computers using libraries, internet cafes and so on. Moreover these people are connected to the other computers all over the World using Internet. This great development has its pros and cons. While this technology made the World a smaller place, it has exposed a security risk. Most people keep their personal and business information in computers. Some other people try to reach this information in unauthorized or illegal ways. This brings a new term Intrusion. To prevent such access, Intrusion Detection Systems (IDS) are therefore needed and developed. There are mainly two domains for intrusions: (1) through another machine using a network, or (2) accessing the computer physically. Most of the IDSs are developed to detect intrusion coming from another computer using the network or internet. But there seems to be a lack of studies about intrusion made by people who have physical access to the computer of interest. This thesis aims to implement an IDS focused the host based intrusion detection. While implementing this system, audit logs are used which are provided by open source and freely available programs. This method is chosen to show that correlating different audit logs provide more information than using a single one. As a development platform Linux is chosen, because it is an open source operating system which has become more popular and powerful day by day. Also there is not much intrusion detection systems implemented for Linux. So, Linux was considered to be a good platform to implement such a system. June 2005