Web Madenciliği Yöntemleri ile Web Loglarının İstatistiksel Analizi ve Saldırı Tespiti

Öz Webde yer alan bilgilerin doğrusal olmayan bir biçimde hızla artışına paralel olarak web loglarının analiz ihtiyacı da artmıştır. Son yıllarda gerçekleşen siber saldırıların büyük çoğunluğu uygulama katmanında webe yönelik ataklar olmaktadır. Bu çalışmada veri madenciliği yöntemleri kullanılarak web loglarının 3 aşamada analizi yapılmıştır. Birinci aşamada genel istatistiksel analiz, ikinci aşamada web robotlarının isteklerinin temizlenmesiyle sadece kullanıcılara ait logların analizi ve son aşamada da saldırı tespit edilmesine yönelik analiz yapılmıştır. WEKA yazılımı kullanılarak, web madenciliği teknikleri ile çeşitli çıkarımlarda bulunulmuştur. Saldırı girişimlerinin ve türlerinin tespiti için, WEKA’dan elde edilen sonuçlar ışığında log verisi filtrelenerek açık kaynak web saldırı tespit aracı olan Apache Scalp ile analiz edilmiştir. Web madenciliği ile elde edilen örüntülerden yararlanılarak Apache Scalp ile üretilen incelenecek saldırı girişimleri sayısı %88.7 oranında azalırken, gerçekleştirilen analizin işlem süresi de %90.1 oranında kısalmıştır.

Anahtar Kelimeler:

log analizi, web madenciliği; web güvenliği

PDF

___

A. Adamov, "Data mining and analysis in depth. case study of Qafqaz University HTTP server log analysis", In Application of Information and Communication Technologies (AICT) IEEE 8th International Conference, 1-4, 2014.
A. S. Yumnam, Y. Chaitanya Sreeram & S. A. Naeem, "Overview: Weblog mining, privacy issues and application of Web Log mining", In Computing for Sustainable Global Development (INDIACom) International Conference, 638-641, 2014.
A. D. Khairkar, D. D. Kshirsagar & S. Kumar, "Ontology for Detection of Web Attacks", In Communication Systems and Network Technologies (CSNT) International Conference, 612- 615, 2013.
B. Mobasher, R. Cooley, J. Srivastava, "Automatic Personalization based on Web Usage Mining", Communications of the ACM, 43(8),142-151, 2000.
A. Vahaplar, M. M. İnceoğlu, "Veri Madenciliği ve Elektronik Ticaret", Türkiye'de Internet Konferansları VII, 2001.
R. Daş, Web Kullanıcı Erişim Kütüklerinden Bilgi Çıkarımı, Doktora Tezi, Fırat Üniversitesi Fen Bilimleri Enstitüsü, Elazığ, 2008.
J. P. Leite, "Analysis of log files as a security aid", In Information Systems and Technologies (CISTI) IEEE 6th Iberian Conference, 1-6, 2011.
M. Nagappan & M. A. Vouk, "Abstracting log lines to log event types for mining software system logs", In Mining Software Repositories 7th IEEE Working Conference, 114-117, 2010.
K.C. Burçak, Kırıkkale Üniversitesi Web Sitesinin Kullanıcı Örüntülerinin Web Madenciliği ile Analizi, Yüksek Lisans Tezi, Kırıkkale Üniversitesi Fen Bilimleri Enstitüsü, Kırıkkale, 2012.
S. S. Vernekar & A. Buchade, "MapReduce based log file analysis for system threats and problem identification", In Advance Computing Conference (IACC), 831-835, 2013.
O. Ozulku, N. F. Fadhel, D. Argles & G. B. Wills, "Anomaly detection system: Towards a framework for enterprise log management of security services", In Internet Security (WorldCIS) 2014 World Congress, 97-102, 2014.
İ. Haberal, Veri Madenciliği Algoritmaları Kullanılarak Web Günlük Erişimlerinin Analizi, Yüksek Lisans Tezi, Başkent Üniversitesi Fen Bilimleri Enstitüsü, Ankara, 2007.
T. Hussain, S. Asghar & N. Masood, "Web usage mining: A survey on preprocessing of web log file", In International Conference on Information and Emerging Technologies (ICIET), 1-6, 2010.
B. Özakar & H. Püskülcü, "Web içerik ve web kullanım madenciliği tekniklerinin entegrasyonu ile oluşmuş bir veri tabanından nasıl yararlanılabilir?", 2002.
D. S. Sisodia & S. Verma, "Web usage pattern analysis through web logs: A review", In Computer Science and Software Engineering (JCSSE) International Joint Conference, 49-53, 2012.
R. Yevale, M. Dhage, T. Nalawade & T. Kaule, "Unauthorized Terror Attack Tracking Using Web Usage Mining", (IJCSIT) International Journal of Computer Science and Information Technologies, 5 (2), 1210-1212, 2014.
T. Grzinic, , T. Kisasondi, J. Saban, "Detecting anomalous Web server usage through mining access logs", Central European Conference on Information and Intelligent Systems, 228-296, 2013.
M. Turan, Web Mining: Pattern Discovery On The World Wide Web, Yüksek Lisans Tezi, Dokuz Eylül Üniversitesi Fen Bilimleri Enstitüsü, İzmir, 2011.
G. Sarıman, Paralel Programlama ile Web Madenciliğinde Log Analizi, Yüksek Lisans Tezi, Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü, Isparta, 2011.
İnternet: H. Önal, Web Sunucu Loglarından Saldırı Analizi, http://blog.bga.com.tr/2013/01/web-sunucu-loglarndan-saldr- analizi.html, 20.11.2014.
G. Vigna, W. Robertson, V. Kher & R. A. Kemmerer, "A stateful intrusion detection system for world-wide web servers", In Computer Security Applications Conference, 34-43, 2003.
M. Auxilia & D. Tamilselvan, "Anomaly detection using negative security model in web application", In Computer Information Systems and Industrial Management Applications (CISIM) International Conference, 481-486, 2010.
Z. Sun, H.Sheng, M. Wei, J. Yang, H. Zhang & L. Wang, "Application of web log mining in local area network security", In Electronic and Mechanical Engineering and Information Technology (EMEIT) International Conference, 8, 3897-3900, 2011.
E. Yıldız, Veri Madenciliği Teknikleriyle Saldırı Tespiti ve Bir Uygulama, Yüksek Lisans Tezi, Gazi Üniversitesi Bilişim Enstitüsü, Ankara, 2010.
S. E. Salama, M. I. Marie, L. M.El-Fangary & Y. K. Helmy, "Web Server Logs Preprocessing for Web Intrusion Detection", Computer and Information Science, 4(4), 123, 2011.
P. V. Patil & D. R. Patil, "Preprocessing Web Logs For Web Intrusion Detection", International Journal of Applied Information Systems (IJAIS), 2012.
M. Mabzool, M. Z. Lighvan, Intrusion Detection System Based On Web Usage Mining, International Journal of Computer Science, 4(1), 2014.
İnternet: OWASP Top Ten Project, https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Pr oject, 08.12.2014.
İnternet: OWASP Top Ten Project, https://www.owasp.org/index.php/Top_10_2013-Top_10, 09.12.2014.
İnternet: Common Vulnerabilities and Exposures (The Standard for http://cwe.mitre.org/, 08.12.2014. Vulnerability Names).
R. Johari, P.Sharma, "A survey on web application vulnerabilities (SQLIA, XSS) exploitation and security engine for SQL Enjeksiyon", Technologies (CSNT) International Conference, 453-458, 2012. Systems and Network
İnternet: Infosec Institute. OWASP Top 10 Tools and Tactics. http://resources.infosecinstitute.com/owasp-top-10-tools-and- tactics/, 08.12.2014
P. Hernandez, I. Garrigos & , J. Mazon, "Modeling web logs to enhance the analysis of Web usage data", In Database and Expert Systems Applications (DEXA) IEEE 2010 Workshop, 297-301, 2010.
A. Guerbas, O. Addam, O. Zaarour, M. Nagi, A. Elhajj, M. Ridley, R. Alhajj, "Effective web log mining and online navigational pattern prediction", Knowledge-Based Systems, 49, 50-62, 2013.
H. Arslan, Sakarya Üniversitesi Web Sitesi Erişim Kayıtlarının Web Madenciliği ile Analizi, Yüksek Lisans Tezi, Sakarya Üniversitesi Fen Bilimleri Enstitüsü, Sakarya, 2008.
T. T. Aye, "Web log cleaning for mining of web usage patterns", In Computer Research and Development (ICCRD) IEEE 2011 3rd International Conference, 2, 490-494, 2011.
M. Shu-yue, L. Wen-cai & , W. Shuo, "The Study on the Preprocessing in Web Log Mining", In Knowledge Acquisition and Modeling (KAM) IEEE 2011 Fourth International Symposium, 315-317, 2011.
M. P. Yadav, P. K. Keserwani & S. G. Samaddar, "An efficient web mining algorithm for Web Log analysis: E-Web Miner", In Recent Advances in Information Technology (RAIT) 2012 1st International Conference, 607-613, 2012.
A. Al-Hamamı, A. Mohammad, S. Hassan, "Applying data mining techniques in intrusion detection system on web and analysis of web usage", Information Technology Journal, 5(1), 1-4, 2006.
C. I. Ezeife, J. Dong, & A. K. Aggarwal, "SensorWebIDS: a web mining intrusion detection system", International Journal of Web Information Systems, 4(1), 97-120, 2008.
İnternet: WEKA, http://weka.wikispaces.com/Primer, 06.01.2012.
M. Dener, M. Dörterler, A. Orman, "Açık Kaynak Kodlu Veri Madenciliği Programları: Weka'da Örnek Uygulama", Akademik Bilişim, 9, 11-13, 2009.
İnternet: http://research.cs.queensu.ca/home/cisc333/tutorial/Weka.html, 03.04.2015.
M. Karabatak, M. C. İnce, "Apriori Algoritması ile Öğrenci Başarısı Analizi", Elektrik Elektronik Bilgisayar Mühendisliği Sempozyumu, 8-12, 2004.
İnternet: Apache Log Analyser for Security Specialists, http://www.infosec.lk/2011/02/scalp-apache-log-analyser-for- security-specialists.html, 24.08.2014.
İnternet: Apache Log Analyser for Security apache- scalp,http://code.google.com/p/apache- scalp/source/browse/trunk/default_filter.xml, 24.08.2014.
T. Ozseven,M.Düğenci, " LOG PreProcessing: Web Kullanım Madenciliği Ön İşlem Aşaması Uygulama Yazılımı", Gazi Üniversitesi Bilişim Teknolojileri Dergisi, 4(2):55-66, 2011,
R. Daş., İ. Türkoğlu, "Creating meaningful data from web logs for improving the impressiveness of a website by using path analysis method", Expert Systems with Applications, 36(3), 6635- 6644, 2009.
S. Araya, , M. Silva ve R. Weber, "A methodology for web usage mining and its application to target group identification", Fuzzy sets and systems, 148(1),139-152, 2004.
R. Meyer, "Detecting Attacks on Web Applications from Log Files" SANS Institute InfoSec Reading Room, 2008.
W. Win, H. H. Htun, "A Simple and Efficient Framework for Detection of SQL Enjeksiyon Attack". IJCCER, 1(2), 26-30, 2013.
Y. M. Mali, R. M. JV, M. Raj, A. T. Gaykar, "Honeypot: a tool to track hackers", IRACST - Engineering Science and Technology: An International Journal,(4), 2250-3498, 2014.
I. Hydara, A. B. M. Sultan, H. Zulzalil, N. Admodisastro, "Current state of research on cross-site scripting (XSS)-A systematic literature review", Information and Software Technology, 58, 170- 186, 2015.
R. Daş İ. Türkoğlu, & M. Poyraz, Genetik Algoritma Yöntemiyle Internet Erişim Kayıtlarından Bilgi Çıkarılması. Sakarya Üniversitesi Fen Bilimleri Enstitüsü Dergisi, 10(2), 67-72, 2006.