Tez No İndirme Tez Künye Durumu
790942
Graf ve karekod yöntemleriyle dönüştürülmüş log kayıtları üzerinde derin öğrenme tabanlı siber saldırı tespiti / Deep learning-based cyber attack dedection on encoded log by graph and qr code methods
Yazar:YUSUF ALACA
Danışman: DOÇ. DR. YÜKSEL ÇELİK
Yer Bilgisi: Karabük Üniversitesi / Lisansüstü Eğitim Enstitüsü / Bilgisayar Mühendisliği Ana Bilim Dalı
Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control
Dizin:
Onaylandı
Doktora
Türkçe
2023
102 s.
Bilişim ve iletişim teknolojilerinin gelişip her alanda büyük faydalar sağlamalarının yanında, riskleri de barındırmaktadır. Bu risklerin başında bu teknolojileri kullanan devlet altyapıları, üretim tesisleri, ticaret, finans, haberleşme ve ulaşım sistemlerin siber saldırılara maruz kalmasıdır. Siber saldırılara maruz kalan sistemlere bağlı hizmetlerin sekteye uğraması, büyük mali kayıplara sebep olabilmektedir. Saldırıları tespit etmek ve engellemek için siber savunma teknolojileri geliştirilmesine rağmen, siber saldırı yöntemleri de aynı şekilde geliştirilmektedir. Siber savunmada, iletişim ağları üzerinde çok büyük verilerin olması, saldırı türlerinin fazlalığı ve bilgisayar korsanlığı becerilerinin giderek gelişmesinden dolayı geleneksel saldırı tespit yöntemlerinin yetersizliği önemli bir problemdir. Bu problemin üstesinden gelmek için araştırmacılar, son yıllarda makine öğrenmesi ve derin öğrenme yöntemleri başta olmak üzere birçok saldırı algılama mekanizmaları üzerinde yoğunlaşmışlardır. Biz de bu çalışmamızda derin öğrenme temelli iki farklı özgün saldırı tespit metodu önererek bu problemlerin çözümüne katkı sunmaya çalıştık. İlk olarak, graf tabanlı log ön işleme yöntemine, graf algoritması olan Node2Vec kullanarak karmaşık ve farklı yapılardaki log şablonları arasında ilişki kurularak tek tip hale dönüştürülerek vektörel hale getirilmesi sağlanmıştır. Daha sonra bu veriler LSTM derin öğrenme algoritmasına girdi olarak verilmiş ve model eğitilmiş, Graf tabanlı LSTM (Graph based LSTM, GLSTM) yöntemi önerilmiş ve siber saldırılar tespit edilmiştir. Önerilen GLSTM yaklaşımıyla, log kayıtlarının ön işlem adımlarından sonra graf tabanlı olarak vektörel hali oluşturularak derin öğrenme algoritması yardımıyla analiz edilmiştir. Önerilen modeli test etmek için Hadoop 'un farklı sistemlerden ve heterojen kaynaklardan topladığı, farklı yapılara sahip HDFS veri seti kullanılmıştır. GLSTM metodu ile yapılan deneysel çalışmalar sonucu elde edilen %97.01 doğruluk oranı, literatürdeki diğer benzer çalışmalarla kıyaslanmış ve başarısı gösterilmiştir. İkinci olarak, siber saldırıların tespit edilmesinde her bir saldırının karekodunu oluşturarak, hafif derin öğrenme modellerini kullanarak en uygun özelliklerin seçimini optimizasyon algoritmasıyla otomatik olarak yapılmasını sağlayan çok amaçlı optimizasyon tabanlı hibrit bir yöntem olan CNN tabanlı karekodlarla log kayıtlarından siber saldırı tespiti yapan (CNN based QR Code Log, CNNQRLog) modeli önerilmiştir. İlk olarak çok sınıfa sahip hacimli verilerin QR kod resimleri oluşturulmuştur. Ardından MobileNetV2 ve ShuffleNet CNN modelleri kullanılarak QR kod görüntüleri eğitilmiştir. Eğitilen görüntülere ait derin CNN modelleri ile özellikleri çıkarılmış ve sınıflandırma amacına yönelik en etkili özelliklerin belirlenmesi için Harris Hawk Optimizasyon (HHO) algoritması özellik seçim amacıyla kullanılmıştır. Sonuç olarak önerilen hibrit model HHO ile seçilen özelliklerin sınıflandırılması sonucu saldırı türleri %95.89 doğruluk oranı elde edilmiş olup modelin diğer benzer CNN modeller ile kıyaslanarak daha iyi performans gösterdiği gösterilmiştir.
In addition to the fact that information and communication technologies develop and provide great benefits in every field, they also contain risks. At the beginning of these risks is the exposure of government infrastructures, production facilities, trade, finance, communication, and transportation systems using these technologies to cyber-attacks. Interruption of services connected to systems exposed to cyber-attacks can cause great financial losses. Although cyber defense technologies have been developed to detect and prevent attacks, cyber-attack methods are being developed similarly. In cyber defense, the inadequacy of traditional intrusion detection methods is an important problem due to the large amount of data on communication networks, the abundance of attack types, and the gradual development of hacking skills. To overcome this problem, researchers have focused on many attack detection mechanisms, especially machine learning and deep learning methods, in recent years In this study, we tried to contribute to solving these problems by suggesting two unique attack detection methods based on deep learning. First, the graph-based log preprocessing method was transformed into a vector by establishing a relationship between complex and different log templates using the graph algorithm Node2Vec. Then, these data were given as input to the LSTM deep learning algorithm, and the model was trained, Graph based LSTM (Graph-based LSTM, GLSTM) method was proposed, and cyber attacks were detected. With the proposed GLSTM approach, a graph-based vector version was created and analyzed with the help of a deep learning algorithm after the preprocessing steps of the log records. The HDFS dataset with different structures collected by Hadoop from different systems and heterogeneous sources was used to test the proposed model. The 97.01% accuracy rate obtained from experimental studies with the GLSTM method was compared with similar studies in the literature, and its success was demonstrated. Secondly, the CNN-based QR Code detects cyber attacks from log records with a CNN-based data matrix. This multi-purpose optimization-based hybrid method creates the data matrix of each attack. It uses light deep learning models to automatically select the most convenient features with the optimization algorithm. Log, CNNQRLog) the model has been proposed. First, QR code images of bulky data with multiple classes were created. Then, QR code images were trained using MobileNetV2 and ShuffleNet CNN models. Deep CNN models and features of the trained images were extracted, and the Harris Hawk Optimization (HHO) algorithm was used to select the most effective features for classification purposes. As a result, a 95.89% accuracy rate of attack types was obtained due to the classification of selected features with the proposed hybrid model HHO. It was shown that the model performed better when compared with other similar CNN models.