Tez No İndirme Tez Künye Durumu
740901
Federated anomaly detection for log-based defense systems / Log tabanlı savunma sistemleri için federe olağandışılık tespiti
Yazar:UĞUR ÜNAL
Danışman: PROF. DR. HASAN DAĞ
Yer Bilgisi: Kadir Has Üniversitesi / Lisansüstü Eğitim Enstitüsü / Yönetim Bilimleri Ana Bilim Dalı / Yönetim Bilişim Sistemleri Bilim Dalı
Konu:Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol = Computer Engineering and Computer Science and Control
Dizin:Bilgisayar sistemleri = Computer systems ; Sibernetik = Cybernetics
Onaylandı
Doktora
İngilizce
2022
111 s.
Endüstri 4.0 devrimi ve Nesnelerin İnterneti (IoT) teknolojilerinin ortaya çıkışı sistemlerin büyük ağlara yayılmasını ve yeni tehditlere daha savunmasız duruma getirmiştir. Hızla artan çok yönlü siber saldırılar kurumların servislerini ve kritik altyapılı sistemlerin işlevlerini engellemektedir. Bu sistemlerin arızalanması ya da durması, toplumun varlığı ve sağlığı açısından büyük tehlikelere yol açabilmektedir. Ortaya çıkan saldırılara adapte olması ve hızlı çözümler üretebilmesi için bu kuruluşların akıllı savunma sistemlerine ihtiyacı vardır. Olağandışılık tespiti sistemlerin güvenliğinin sağlaması açısından önemli bir savunma metodudur. Sistem günlük-leri evrensel veri kaynakları olup, siber tehditlerin analizleri için en çok kullanılan ve gerçek zamanlı izlenebilen yardımcı veri kaynaklarıdır. Hata ayıklama, sistem sağlını izleme, kullanıcı yetki ve erişim kontrol sistemleri ve saldırı tespit sistemleri, sistem günlüklerinin analiz aracı olarak kullanıldığı örneklerdir. Derin Öğrenme ve Doğal Dil İşleme alanlarındaki gelişmelerle birlikte bağlamsal bilgilerin kullanımı hatalı tespitlerin oranını düşürdüğü görülmektedir. Ek olarak, merkezi olmayan sistemlerin gelişimi ve hızla artan veri miktarı geleneksel makine öğrenme metotlarının işlevini kısıtlamaktadır. Federe Makine Öğrenmesi (FMÖ) ya da Federe Öğrenme (FÖ) dağıtık sistemler için bu sorunlara ve veri gizliliğine çözüm getirmektedir. FÖ, merkezi olmayan büyük verilerin eğitilmesini sağlayan dağıtık bir makine öğrenmesi yöntemidir. Bu yöntem geleneksel yaklaşımın ötesinde eğitilmiş modellerin parametrelerinin ortaklaşa kullanılmasını sağlar. Merkezi hesaplama ünitesi toplanan parametreleri birleşik hale getirip, sistem içerisindeki diğer elemanlara dağıtır. FÖ mimarisi güvenli toplama prensiplerinin kullanılmasını sağlayarak eğitim sırasında veri gizliliğini arttırmaktadır. Böylece veri aktarım hızını, güvenliği ve gizliği konularında yaşanabilecek olan sorunlara çözüm getirmektedir. Hızla gelişen siber dünyada, potansiyel tehlikelere karşı süratle önlem alınması bir gerekliliktir. FÖ mimarisinin getirileri sistemlerde bunu sağlamaktadır. Bu tezin sonucunda, yenilikçi olağandışılık tespiti ve önem tabanlı federe öğrenme yöntemleri önerilmiştir. İlk olarak geliştirilebilir çoklu anomali tespit modeli ,AnomalyAdapters (AAs), önerilmiştir. Bu model önceden eğitimli bir 'transformer' varyantını kullanarak sıralı sistem günlüklerini anlamladırır ve adaptörler aracılığıyla ise, ortaya çıkan aykırılıkları tespit eder. Adaptör tabanlı öğrenme bağlamsal bilgilerin toplanmasını, öğrenme sırasındaki bilgi kaybının engellenmesi ve gerekli olmayan parametrelerin kullanılmamasını sağlar. Bununla birlikte, önerilen model açıklanabilirlik esas alınarak tehdit verilerinin çıkarımı test edilmiştir. Son olarak, Yayılma Olayı'ndan etkilenerek riske bağlı adapte olabilen federe öğrenme (FedRA) sunulmuştur. İlk olarak elde edilen tespit modelini dağıtık öğrenme yapısına geçirip, paylaşılan parametrelerin skor ayarını yapmaktadır. Böylece ortaya çıkan siber saldırılara gerçek zamanlı uyum sağlayabilmektedir.
The adaptation of Industry 4.0 and IoT creates a vast network which opens up various new vulnerabilities to systems. Increasing number of cyber attacks becomes more sophisticated which impedes functionality of enterprises and critical infrastructures. Malfunctioning of the services of these systems can cause catastrophic results considering wealth and well-being of a society. Organizations need an intelligent defense system which is adaptable to newer threats to create rapid solutions. Anomaly detection is widely adopted protection step and is significant for ensuring a system security. Logs, which are accepted sources universally, are utilized in debugging, system health monitoring, user authorization and access control systems and intrusion detection systems. Recent developments in Deep Learning (DL) and Natural Language Processing (NLP) show that contextual information decreases false-positives yield in detection of anomalous behaviors. Additionally, decentralization and exponentially increased number of data sources make traditional machine learning algorithms impractical. Federated Learning (FL) brings a solution to overcome decentralization and privacy issues. It aims to employ participating devices to learn from own data and sending local models for global convergence over secure communication. FL provides data security and decreases communication cost greatly, since local data is not transported to a central server. In a volatile cyber domain, it is a necessity to take a quick precautions for potential threats. The benefits of FL ensure building a defense system which provides real-time detection of cyber attacks. In this thesis, we propose a novel anomaly detection model and risk-adaptive federated approach. First, AnomalyAdapters (AAs) which is an extensible multi-anomaly task detection model. It uses pretrained transformers' variant to encode log sequences and utilizes adapters to learn a log structure and anomaly types. Adapter-based approach collects contextual information, eliminates information loss in learning, and learns anomaly detection tasks from different log sources without overuse of parameters. Moreover, evaluation of this work elucidates the decision making process of the proposed model on different log datasets to emphasize extraction of threat data via explainability experiments. Lastly, Risk-adaptive anomaly detection with federated learning (FedRA) which is based on the idea of Spreading Phenomena. It decentralizes the aforementioned detection approach and adapts weighting of shared parameters to ensure capturing incoming cyber attacks in a timely manner.