• Ana Sayfa

Anomali tabanlı saldırı tespit sistemlerinde makine öğrenimi modellerinin performans değerlendirmesi

Tezin Türü: Yüksek Lisans

Tezin Yürütüldüğü Kurum: İstanbul Ticaret Üniversitesi, Fen Bilimleri Enstitüsü, Türkiye

Tezin Onay Tarihi: 2020

Tezin Dili: Türkçe

Öğrenci: MEHMET SALİH KARAMAN

Danışman: TURAN METİN

Özet:

ÖZET Bu çalışmada CSE-CIC-IDS2018 veri seti içerisinde bulunan DDOS, DOS, Bot, Brute-Force ve Infilteration tehditleri toplamda 79 özellik ile ifade edilmiştir. DDOS için 2, DOS için 6, Bot için 4, Brute-Force için 6 ve Infilteration saldırısı için 16 özellik seçilerek tehditlerin tespit edilmesi için oluşturulacak veri setleri küçültülmüştür. Ayrıca herhangi bir tehdidin varlığını bulmak için ise 17 özellik kullanılarak burada da veri setleri küçültülmüştür. Model eğitim ve sınamaları için CSE-CIC-IDS2018 veri seti seçilmiş, Anomali Tabanlı Saldırı Tespit Sistemlerin içinde bu veri setinden DDOS, DOS, Botnet, BruteForce ve Infilteration tehditleri kullanılmıştır. Sınamalar sonucunda, bir saldırı olup olmadığını anlamak üzere Karar Ağaçı modeli diğer yöntemlere göre daha yüksek oranda doğruluk tahmininde (%99,974) bulunmuştur. Ayrıca saldırı tespit türünü belirleme başarısı olarak da, ortalamada Karar Ağaçı modelinin daha başarılı olduğu (%99,81) görülmüştür. Anahtar Kelimeler: CSE-CIC-IDS2018, makine öğrenmesi yöntemleri, saldırı tespit sistemleri, siber güvenlik. v ABSTRACT In the this study, DDOS, DOS, Bot, Brute-Force and Infilteration threats in the CSE-CIC-IDS2018 data set were expressed with a total of 79 features. Data sets to be created for detecting threats were minimized by selecting 2 for DDOS, 6 for DOS, 4 for Bot, 6 for Brute-Force and 16 for Infilteration attack. In addition, in order to find the presence of any threat, the data sets have been minimized here by using 17 features. CSE-CIC-IDS2018 data set was selected for model training and testing, DDOS, DOS, Botnet, BruteForce and Infilteration threats were used from this data set in Anomaly Based Attack Detection Systems. As a result of the tests, the Decision Tree model has found a higher rate of accuracy (99. 974%) compared to other methods to understand whether there is an attack or not. In addition, it was observed that the Decision Tree model was more successful (99. 81%) on average, as a success in determining the type of attack detection. Keywords: CSE-CIC-IDS2018, cyber security, intrusion detection systems, machine learning methods. İÇİNDEKİLER İÇİNDEKİLER . i ÖZET. iv ABSTRACT . v TEŞEKKÜR. vi ŞEKİLLER . vii ÇİZELGELER . viii SİMGELER VE KISALTMALAR . ix 1. GİRİŞ . 1 1. 1 Tezin Amacı . 3 1. 2 Tezin Katkısı . 3 1. 3 Tezin Düzeni . 4 2. LİTERATÜR ÖZETİ . 5 3. SİBER GÜVENLİK VE SALDIRI TESPİT SİSTEMLERİ . 8 3. 1. Bilgi Güvenliği . 8 3. 2. Siber Saldırı . 10 3. 2. 1 Temel kavramlar . 10 3. 3. Siber Saldırı Çeşitleri . 14 3. 4. Saldırı Çeşitleri . 15 3. 4. 1 DOS ve DDOS saldırıları . 15 3. 4. 2 Bot saldırıları. 16 3. 4. 3 Kaba kuvvet saldırısı (brute force attack) . 17 3. 4. 4 Sızma saldırısı (penetration attack) . 17 3. 4. 5 SQL injection . 18 3. 4. 6 Sıfır gün saldırısı (zero day attack) . 19 3. 4. 7 Zararlı yazılımlar (malware) . 19 3. 4. 8 Oltalama saldırıları (fishing attack) . 20 3. 4. 9 Ortadaki adam saldırısı (main ın the middle attack) . 21 3. 4. 10 Cryptojacking saldırısı . 22 3. 4. 11 Birthday saldırısı . 22 3. 5 Tarihteki Siber Olaylar. 22 3. 5. 1 Stuxnet. 22 3. 5. 2 Flame . 23 3. 5. 3 Gauss . 23 3. 5. 4 Tinba. 24 3. 5. 5 Shamoon virüsü . 24 3. 5. 6 Wikileaks olayları. 24 3. 5. 7 Sibirya doğalgaz patlaması . 24 3. 5. 8 Ay ışığı labirenti . 25 3. 5. 9 NATO Kosova krizi. 25 3. 5. 10 Estonya siber savaş . 25 3. 5. 11 Gürcistan siber savaşı . 26 3. 5. 12 Mavi Marmara saldırısı . 26 3. 6 Saldırı Tespit Sistemleri . 26 3. 7 STS’lerin Sınıflandırılması . 28 3. 8 Saldırı Tespit Yöntemine Göre . 28 3. 8. 1 Kötüye kullanım . 28 3. 8. 2 Anormallik . 29 3. 8. 3 Veri işleme zamanına göre . 30 3. 8. 3. 1 Gerçek zamanlı STS’ler . 30 3. 8. 3. 2 Gerçek zamanlı olmayan STS’ler . 30 3. 8. 4 Korunan sisteme göre . 31 3. 8. 4. 1 Ağ temelli . 31 3. 8. 4. 2 Sunucu temelli. 32 3. 8. 5 Uygulama temelli. 32 3. 8. 6 Mimari yapı . 32 3. 8. 7 Merkezi sistem . 33 3. 8. 8 Dağıtık sistem . 33 3. 8. 9 Bilgi kaynağı . 33 3. 8. 9. 1 Denetim izi . 33 3. 8. 9. 2 Ağ paketleri . 33 3. 8. 9. 3 Kayıt dosyaları . 34 3. 9 STS Uygulamaları . 34 3. 9. 1 Snort . 36 3. 9. 2 Haystack . 36 3. 9. 3 IDES. 37 3. 9. 4 MIDAS . 38 3. 9. 5 NADIR . 38 3. 9. 6 NSM . 39 3. 10 Veri Setleri . 39 3. 11 DARPA. 40 3. 12 KDD Cup’99 . 40 3. 13 NSL-KDD . 41 3. 14 Kyoto 2006+ . 41 4. MAKİNE ÖĞRENMESİ . 42 4. 1 CRISP-DM Modeli İş Akışı Sürecinin Aşamaları . 42 4. 1. 1. İş sürecinin anlaşılması . 42 4. 1. 2. Verinin anlaşılması . 43 4. 1. 3. Veri ön işleme . 43 4. 1. 4. Uygun modelin seçilmesi . 43 4. 1. 5. Modelin değerlendirilmesi . 43 4. 1. 6. Ürün elde edilmesi . 44 4. 1. 7. Öğrenme Yöntemine Göre Makine Öğrenmesi Algoritmaları . 44 4. 2. 1. Denetimli öğrenme . 44 4. 1. 8. Pekiştirmeli öğrenme . 45 4. 1. 9. Tahmin Yöntemine Göre Makine Öğrenmesi Algoritmaları . 45 4. 1. 10. Sınıflandırma algoritmaları . 45 4. 1. 11. Anomali algılama algoritmaları . 46 4. 1. 12. Regresyon algoritmaları . 46 4. 1. 13. Kümeleme algoritmaları . 46 4. 1. 14. Sınıflandırma Algoritmaları . 46 4. 1. 15. Lojistik regresyon . 46 4. 1. 16. K-En yakın komşu . 47 4. 1. 17. Destek vektör makineleri . 47 4. 1. 18. Çekirdek hilesi . 48 4. 1. 19. Naive bayes . 48 4. 1. 20. Karar Ağacı . 49 4. 1. 21. Rassal orman . 50 4. 1. 22. Yapay sinir ağları . 50 4. 1. 23. Modelin Oluşturulması ve Değerlendirilmesi . 51 4. VERİ SETİ VE UYGULAMA . 54 5. 1. Veri Seti . 54 5. 1. 1. Veri seti içerisinde yer alan tehditler . 55 5. 1. 1. 1. Brute force saldırıları . 55 5. 1. 1. 2. Botnet . 56 5. 1. 1. 3. DDOS saldırıları . 56 5. 1. 1. 4. DOS saldırıları . 56 5. 1. 1. 5. Web attacks . 57 5. 1. 1. 6. Heartbleed saldırıları. 57 5. 1. 1. 7. Infiltration saldırıları . 57 5. 1. 2. CICFlowMeter . 58 5. 1. 3. Veri setinde yer alan özellikler ve açıklamaları . 58 5. 1. 4. Veri setindeki örneklemlerin tanımlanması . 61 5. 2. Uygulama . 62 5. 2. 1. Herhangi bir tehdidinin tespiti için seçilen özellikler ve sonuçlar 63 5. 2. 2. DDOS tehdidinin tespiti için seçilen özellikler . 65 5. 2. 3. DOS tehdidinin tespiti için seçilen özellikler . 67 5. 2. 4. Bot tehdidinin tespiti için seçilen özellikler . 68 5. 2. 5. Brute-Force tehdidinin tespiti için seçilen özellikler . 70 5. 2. 6. Infilteration tehdidinin tespiti için seçilen özellikler . 72 6. SONUÇ ve ÖNERİLER . 75 KAYNAKLAR . 77 ÖZGEÇMİŞ . 81