Bilgisayar ağlarında güvenliğin sağlanması, tehditleri belirlenmesi bir sorundur. Bilgisayarlar, akıllı telefonlar, tabletler, akıllı medya TV vb. ağ sistemlerine izinsiz giriş tespiti, bilgi ve ağ güvenliğinde kapsamlı alan bilgisi olmayan birçok son kullanıcının endişesi haline gelmiştir. Siber saldırılara etkili bir şekilde yanıt vermek zordur. Bu saldırıların tespiti ve önlem alınması için Saldırı Tespit Sistemleri (IDS'ler) ve Saldırı Önleme Sistemleri (IPS'ler) geliştirilmiştir. Bununla birlikte, bu IDS'lerin hala düşük algılama doğruluğu (Acc), Yanlış Negatifler (FN) ve Yanlış Pozitifler (FP) gibi bazı zayıf yanları bulunmaktadır. Bu sorunların giderilmesinde ise izinsiz giriş tespit doğruluğunu artırmaya yardımcı olan ve yanlış negatif oranını ve yanlış pozitif oranını büyük ölçüde azaltan Makine Öğrenimi (ML) teknikleri kullanılmaktadır. Siber savunma sistemleri yapay zekâ yöntemleriyle birleştirilerek siber saldırılara karşı daha etkin müdahale yöntemleri geliştirilmektir. Geleneksel siber savunma yöntemleri incelenerek, siber savunmadaki yapay zekâ uygulamaları gözden geçirildiğinde siber savunma yöntemlerini daha iyi hale getirmek için yapay zekânın kullanılabileceği çeşitli yöntemler araştırılmaktadır. Bu araştırmalar siber güvenlik alanında makine öğrenmesi ve derin öğrenme yöntemlerinin geleneksel kural tabanlı algoritmalara karşı daha üstün olduğunu göstermiştir.
Bu tez çalışmasının ilk aşamasında bilgisayar ağlarına yönelik siber saldırıların tespitinde veri setindeki özelliklerin frekans etkileri incelenmiştir. Öncelikle veriseti içindeki özniteliklerin frekansları belirlenmiştir. Ardından yüksek frekans özelliklerinin siber saldırıları tespit etmedeki etkisi, yaygın olarak kullanılan makine öğrenme algoritmaları Random Forest (RF), J48, Naive Bayes (NB) ve Multi-Layer Perceptron (MLP) ile incelenmiştir. Her bir algoritmanın performansı Kesinlik (P), FP, Doğruluk (Acc) ve Gerçek Pozitif (TP) Oranı istatistikleri dikkate alınarak değerlendirilir. NSL-KDD veri setindeki farklı tipteki siber saldırıların tespit performansları makine öğrenmesi algoritmaları ile analiz edilmiştir. Saldırı tespitinde makine öğrenmesi algoritmalarının başarı kriterleri olarak P, Receiver Operating Characteristic (ROC), F1 skoru, hatırlama ve doğruluk istatistikleri seçilmiştir. Sonuçlar, yüksek frekansa sahip özelliklerin saldırıları tespit etmede etkili olduğunu göstermiştir.
Tez çalışmasının ikinci aşamasında yaygın olarak görülen siber saldırıların tespit edilmesinde iki farklı veriseti kullanılarak hibrit bir saldırı tespit modelleri önerilmiştir. İlk olarak verisetleri ön işlem ile normalize edilmiştir. Daha sonra hibrit modelde kullanılan Long Short-Term Memory (LSTM) ve Convolutional Neural Network (CNN) algoritmaları ile normalize edilmiş verilerden öznitelik çıkarım işlemi yapılmıştır. Son aşamada LightGBM ve XGBoost algoritmalarının saldırıları tespit edilmesi için sınıflandırma algoritması olarak kullanılmıştır. Önerilen modellerin test edilmesinde Doğruluk, Kesinlik, Recall ve F1 score parametreleri kullanılmıştır. Yapılan testlerde özellikle Denial-of-Service Attack (DoS) saldırıların tespitinde sınıflandırma için kullanılan modelde XGBoost algoritmasının daha başarılı sonuçlar elde edildiği görülmüştür. Önerilen diğer modelde kullanılan hibrit modelde CNN-LSTM/LightGBM algoritmalarının yaygın olarak görülen 14 saldırı türünün belirlenmesinde başarılı olduğu görülmüştür.
|
Ensuring security in computer networks and identifying threats is a problem. Computers, smartphones, tablets, smart media TV, etc. Intrusion detection into network systems has become the concern of many end users who do not have extensive domain knowledge in information and network security. Effectively responding to cyber attacks is difficult. Intrusion Detection Systems (IDSs) and Intrusion Prevention Systems (IPS) have been developed to detect and take action against these attacks. However, these IDSs still have some weaknesses such as low detection accuracy (Acc), False Negatives (FN), and False Positives (FP). In solving these problems, Machine Learning (ML) techniques are used, which helps to increase the intrusion detection accuracy and greatly reduces the false negative rate and false positive rate. Cyber defense systems are combined with artificial intelligence methods to develop more effective response methods against cyber attacks. When traditional cyber defense methods are examined and artificial intelligence applications in cyber defense are reviewed, various methods that artificial intelligence can be used to improve cyber defense methods are investigated. These studies have shown that machine learning and deep learning methods are superior to traditional rule-based algorithms in the field of cyber security.
In the first stage of this thesis, the frequency effects of the features in the data set were examined in the detection of cyber attacks against computer networks. First of all, the frequencies of the features in the dataset were determined. Then, the effect of high frequency features in detecting cyber attacks was investigated with widely used machine learning algorithms Random Forest (RF), J48, Naive Bayes (NB) and Multi-Layer Perceptron (MLP). The performance of each algorithm is evaluated by considering the Precision (P), FP, Accuracy (Acc) and True Positive (TP) Ratio statistics. The detection performances of different types of cyber attacks in the NSL-KDD dataset were analyzed by machine learning algorithms. P, Receiver Operating Characteristic (ROC), F1 score, recall and accuracy statistics were chosen as the success criteria of machine learning algorithms in attack detection. The results showed that features with high frequency are effective in detecting attacks.
In the second stage of the thesis, a hybrid attack detection models are proposed by using two different datasets to detect common cyber attacks. First, the datasets are normalized by preprocessing. Then, feature extraction was performed from the data normalized with the Long Short-Term Memory (LSTM) and Convolutional Neural Network (CNN) algorithms used in the hybrid model. In the last stage, LightGBM and XGBoost algorithms are used as classification algorithms to detect attacks. Accuracy, Precision, Recall and F1 score parameters were used to test the proposed models. In the tests performed, it has been seen that the XGBoost algorithm has more successful results in the model used for classification, especially in the detection of Denial-of-Service Attack (DoS) attacks. In the hybrid model used in the other proposed model, CNN-LSTM/LightGBM algorithms were found to be successful in identifying 14 common attack types. |