FPGA TABANLI PROGRAMLANABİLİR GÖMÜLÜ SALDIRI TESPİT SİSTEMİNİN GERÇEKLEŞTİRİLMESİ

Bu makalede gerçek zamanda çalışan gömülü bir Saldırı Tespit Sistemi’nin (STS) tasarımı gerçekleştirilmiştir.Ağdan yakalanan paketlerin sınıflandırılabilmesi için kullanılan STS, programlanabilir (SOPC - System onProgrammable Chip) bir yapıda oluşturulmuştur. STS’de kullanılan işlemcinin konfigüre ve kontrol ettiği 10/100Ethernet IP MAC Core donanımsal modülü, IEEE 802.3 standardındaki çerçevelerin ağdan yakalanması içinkullanılmıştır. Yakalanan her bir çerçeve gömülü STS’nin hafıza elemanlarına, çerçevelerden elde edilecekpaketlerin sınıflarının belirlenmesi için depolanmıştır. İşlemci çerçevelerden paketlerin, paket özetlerinin eldeedilmesi ve paket sınıfının belirlenmesi için programlanmıştır. Sistemin sınıflandırma sürecinde Yapay SinirAğları (YSA) kullanılmıştır. YSA’nın girişleri paketlerin başlık yapısından elde edilen IP numaraları, portnumaraları gibi özelliklerdir. Gerçekleştirilen gömülü STS, eğitim verileri ile eğitilmiş daha sonra gerçekzamanda paketlerin sınıflandırılması yapılarak paket sınıflarının tespit süreleri elde edilmiştir. STS’nin gerekdonanımsal gerekse yazılımsal olarak kolay ve esnek bir şekilde tasarlanıp modifiye edilebilme veprogramlanabilme özelliğini taşıması için FPGA ortamı tercih edilmiştir. Bunun için üretici Altera firmasınınCyclone III EP3C40F484C7N FPGA (Field Programmable Gate Array-Alan Programlanabilir Kapı Dizileri)platformu kullanılmıştır.

Anahtar Kelimeler:

Saldırı Tespit Sistemi, Chip üzerinde programlanabilir sistem, 10/100Ethernet MAC Modül

PDF

___

El-Semary, A., Edmonds, J., Gonzalez, J., Papa,
M., “A Framework for Hybrid Fuzzy Logic
Intrusion Detection Systems”, The 2005 IEEE
International Conference on Fuzzy Systems,
Reno, Nevada, USA, 325-330,2005
Hwang, K., Cai, M., Chen Y., Qin, M., “Hybrid
Intrusion Detection With Weighted Signature
Generation Over Anomalous Internet Episodes”,
IEEE Transaction on Dependable and Secure
Computing, Vol:4, No:1, 41-53, 2007.
T.Tuncer, Y.Tatar, "Programmable Embedded
System Design:A Study on Sniffer " 3rd
International Conference Application of
Information and Communication Technologies,
Baku,Azerbaijan, 1-5, 2009.
T. Tuncer, Y.Tatar, "FPGA Based Programmable
Embedded Intrusion Detection System", 3rd
International Conference on Security of
Information and Networks, Taganrog, Russia,
–248, 2010.
Bidgoli, B.M., Analoi, M., Rezvani, M.H.,
Shahhoseini H.S., “Performance Evaluation of
Decision Tree For Intrusion Detection Using
Reduce Feature Spaces”, Trends in Intelligent
System and Computer Engineering, LNCS 1876,
, 273-284, 2008.
Ohta, S., Kurebayashi, R., Kobayashi, K.,
“Minimizing False Positives of a Decision Tree
Classifier for Intrusion Detection on the Internet”, Journal of Network and System Management,
Vol:16 ,No:4, 399-419, 2008
Owais, S., Snasel, V., Kromer, P., Abraham, A.,
“Survey: Using Genetic Algorithm Approach in
Intrusion Detection System Techniques”, 7th
Computer Information System and Industrial
Management Applications, Ostrava, The Czech
Republic, 300-307, 2008.
Amor, N.B., Benferhat, S., Elouedi, Z., “Naïve
Bayes vs Decision Trees in Intrusion Detection
System”, Proceedings of The ACM Symposium
on Applied Computing, Nicosia, 420-424, 2004.
Shun, J., Malki, A.H., “Intrusion Detecting
System Using Neural Networks“, Fourth
International Conference on Natural
Computation, Jinan, China, 242-246, 2008.
Jahankhani, H., Hessami A.G., Hsu, F., Beqiri,
E., “Neural Networks for Intrusion Detection
System”, Communications in Computer and
Information Science, LNCS 45, 156-165, 2009.
Ali A.M., Zalim, H. A., Ceylan K.G., ”A Hybrid
Intrusion Detection system Design for Computer
Network Security”, Computer & Electrical
Engineering, Vol:35, No:3, 517-526, 2009.
Kang, D-H., Kim, B-K., Oh, J-T., Nam, T-Y.,
Jang, J-S., ”FPGA Based Intrusion Detection
System Against Unknow and Know Attacks”,
LNCS 4048, 801-806, 2009.
Clark, C.R., Ulmer, C.D., Schimmel, D.E., “An
FPGA-Based Network Intrusion Detection
System on-chip Network Interface”, International
Conference Computer Engineering & System,
-273, 2006.
Lee, J., Hwang, S.H., Park, N., Lee, S-W., Jun,
S., Kim, Y.S., “A High Performance NIDS Using
FPGA-Based Regular Expression Matching”,
Symposium on Applied Computing, Seoul,
Korea, 1187-1191, 2007.
Weaver N., Paxson, V., Gonzalez, M.J., “The
Shunt an FPGA-Based Accelerator for Network
Intrusion Prevention”, Proceedings of the 2007
ACM/SIGDA 15th International Symposium on
Field Programmable Gate Arrays, Monterey,
USA, 199-206, 2007.
Jorge, B., Carlos T. C., “A Low-Cost Embedded
IDS to Monitor and Prevent MAN-in-the-Middle
Attacks on Wired LAN Environments”,
International Conference on Emerging Security
Information System and Technologies, Valencia,
Spain,122-127,2007.
Das, A., Nuguyen, D., Zambreno, J., Memik, G.,
Choudhary, A., “An FPGA-Based Network
Intrusion Detection Architecture”, IEEE
Transaction on Information Forensics and
Security, Vol:3, No:1, 118-132, 2008.
Narayan, R., Hanbo, D., Memik, G., Choudhary,
A., Zambreno, J., “An FPGA Implementation
Decision Tree Classification”, Proceedings of the
Conference on Design Automation and test in
Europa Nice, France, 189-194, 2007.
Tanenbaum, A.S., “Computer Networks”,
Prentice Hall, New Jersey, 2003.
Tuncer T., “Bilgisayar Ağları İçin Saldırı Tespit
Sistemi Tasarımları ve FPGA Ortamında
Gerçekleştirilmesi”, Doktora Tezi, Fırat
Üniversitesi, Fen Bilimleri Enstitüsü, 2010.
Morethanip, “10/100 Ethernet MAC Core for
Avalon Reference Guide”, Germany, 2010.
Altera Corporation, “Nios II Hardware
Development Tutorial”, 2007.
Khan, S., “Basic Input/Output Functions
Morethanip”, Germany, 2005.