Web uygulamalarının yaygın kullanımı ile birlikte web uygulamalarına yönelik saldırılar artmakta ve daha sofistike hale gelmektedir. Bu saldırıların tespit edilmesi ve engellenmesi ise önemli zorluklar içermektedir. Web saldırılarının tespit edilmesinde etkili olan anomali tabanlı web uygulama güvenlik duvarlarının gerçek zamanlı olarak kullanılabilmeleri için aşılması gereken önemli zorluklar mevcuttur. Bu tez çalışması kapsamında web uygulamalarının güvenliğinin sağlanması ve mevcut zorlukların aşılması amacıyla derin öğrenmeye dayalı yeni yöntemler ve çözümler geliştirilmiştir. Tez çalışması kapsamında ilk olarak, web anomali veriseti eksikliğini gidermek amacıyla GAZI-HTTP isimli yeni ve kapsamlı bir web anomali veriseti oluşturulmuştur. İkinci olarak, web anomali verisetlerindeki dengesiz dağılımdan kaynaklanan problemleri çözmek amacı ile yeni bir veri artırma yöntemi ve derin öğrenme tabanlı yeni bir web uygulama güvenlik duvarı (WAF) geliştirilmiştir. Bu kapsamda özellikle saldırı türü tespitinde yaşanan düşük hassasiyet sorunu çözen DA-SANA veri artırım yöntemi ve Bi-LSTM tabanlı güçlü bir WAF modeli geliştirilmiştir. Üçüncü olarak, web anomali tespitinden kaynaklı gecikmeleri ortadan kaldıran, farklı web uygulamaları için kullanılabilir, genelleştirme gücü yüksek ve gerçek zamanlı kullanılabilecek iki aşamalı, katmanlı topluluk öğrenmeye dayalı derin öğrenme temelli yeni bir WAF sistemi geliştirilmiştir. Geliştirilen sistem sayesinde çok sınıflı saldırı türü tespitinden kaynaklanan problemler ikinci aşamaya ötelenerek, normal web uygulama kullanıcılarının gecikmeden etkilenmesinin önüne geçilmiş ve ikinci aşamadaki topluluk öğrenme modeli ile yüksek hassasiyete sahip bir WAF modeli oluşturulmuştur. Tez kapsamında gerçekleştirilen son çalışmada ise derin öğrenme temelli WAF modellerinin açıklanabilirliğinin sağlanması amacı ile web güvenliği alanına özel yeni bir açıklanabilirlik yöntemi geliştirilmiştir. Derin öğrenme yöntemleri web anomali tespitinde etkin ve başarılı çalışmakla birlikte, modellerin ve model tahminlerinin yorumlanması mümkün olmayıp karakutu modeller olarak adlandırılmaktadır. Bu çalışma ile web güvenliğine özel derin öğrenme temelli karakutu modellerin tahminlerinin açıklanmasını sağlayan, özellikler arasındaki ilişki ve benzerlikleri dikkate alan güçlü bir açıklanabilirlik yaklaşımı ve buna dayalı web tabanlı yazılım çerçevesi geliştirilmiştir
|
With the widespread use of web applications, attacks on web applications are increasing and becoming more sophisticated. Detecting and preventing these attacks contains significant challenges. There are significant problems to be overcome in order to use anomaly-based web application firewalls, which are very effective in detecting web attacks, in real time. In the scope of this thesis, new methods and solutions based on deep learning have been developed in order to ensure the security of web applications and overcome existing challenges. Firstly, a new and comprehensive GAZI-HTTP web anomaly dataset was created to fill the lack of web anomaly datasets. Secondly, a new data augmentation method and a new deep learning-based web application firewall (WAF) have been developed in order to solve the problems arising from the imbalanced distributions in web anomaly datasets. In this context, DA-SANA data augmentation method, which solves the low sensitivity problem, especially in attack type detection, and a powerful WAF model based on Bi-LSTM have been developed. Thirdly, a new two-stage, stacked ensemble learning WAF model based on deep learning has been developed, which can be used for different web applications, has high generalization power and can be used in real-time, eliminating the delays caused by anomaly types detection. Thanks to the developed system, the problems arising from multi-class attack type detection were transferred to the second stage, preventing the normal web application users from being affected without delay, and a high-precision WAF model was created with the ensemble learning model in the second stage. In the last study carried out in the scope of the thesis, a new explainability method specific to the field of web security has been developed in order to ensure the explainability of deep learning-based WAF models. Although deep learning methods work effectively and successfully in web anomaly detection, it is not possible to interpret models and model predictions and they are called black-box models. In this thesis, a strong explainability approach and a web-based software framework, which provides the explanation of the predictions of deep learning-based black box models specific to web security and takes into account the relationships and similarities between the features, has been developed. |