MAKİNE ÖĞRENMESİ YÖNTEMLERİ İLE SİBER GÜVENLİK DEĞERLENDİRMESİ: AĞ TRAFİK ANALİZİ VE ZARARLI YAZILIM ALGILAMA

Abstract

Günümüzde bilgiye olan ihtiyacımızın ve bağımlılığımızın artması, bilginin değerinin de artmasına sebep olmakta ve eş zamanlı olarak bilgi varlıklarımıza yönelik siber saldırıları da artırmaktadır. Bu siber saldırıların büyük bir kısmı bilgisayar ağları üzerinden sistemlerimize ulaşıp zararlar vermektedir. Bu saldırılar, kurum ve kişilerin itibarlarını ve finansal varlıklarını tehdit etmesinin yanı sıra, hastane, baraj, nükleer santraller gibi insan yaşamını ilgilendiren birçok tesis için de büyük bir tehdit oluşturmaktadır. Bu tehditlerin başında, zararlı yazılım bulaşmış ve uzaktan kontrol edilen bilgisayar grupları olan botnetler gelmektedir. Botnetlerin sahip oldukları değişme ve gizlenme yetenekleri sayesinde geçmişte olduğu gibi gelecekte de en önemli siber tehditler arasında yer almaya devam etmesi beklenmektedir. Botnetlerin algılanmasında ağ trafiğini incelemek yerine ağ akış bilgilerinden yararlanılması, şifreli ağ trafiğini açılması için gerekli olan yüksek bilgisayar gücü gereksinimi ve ağ trafiğinde karşımıza çıkan kişisel verilerin işlenmesindeki yasal sorunlar dahil olmak üzere birçok zorluğun aşılmasına yardımcı olmaktadır. Bu tez çalışmasında, zararlı yazılım bulaşması sonucu botnet ağına dahil olmuş bilgisayarların ağ akış trafiğini botnet veya normal olarak sınıflandırabilen, TCP, UDP ve ICMP için protokole özgü uyarlanabilen veya genel olarak tüm protokolleri birlikte ele alabilen, sınıflandırma için düşük hesaplama gücü gerektiren, eğitim süresi kısa, aşırı öğrenmeye karşı dirençli sınıflandırma modelleri oluşturulmuş ve bu modellerin tahmin başarıları ile eğitim süreleri karşılaştırılmıştır. Önerilen modellerin botnet bulaşmış bilgisayarları yüksek doğruluk ve verimlilikle tespit edebildiği gösterilmiştir. En iyi performası Random Forest algoritması sadece 3 özellik kullanarak, TCP ve UDP protokolünde %95’in üzerinde, ICMP protololünde %99’un üzerinde doğrulık skoru ile göstermiştir. Optimum öngörücü sayıları baz v alınarak yapılan kıyaslamada, rastgele orman algoritmasının eğitim süresinin KNN algoritmasından yaklaşık 4 kat, LightGBM algoritmasından ise yaklaşık 2 kat daha düşük olduğu görülmüştür