Günümüzde akıllı cihazların yaygınlaşan kullanımı ve internet sayesinde, ticari uygulamalardan kamu hizmetlerine kadar bir çok aktivite internet ağı üzerinden yürütülmektedir. İnternet ile milyonlarca bilgisayar ve akıllı cihaz alt-ağlar ve genel ağlar ile birbirine bağlanmaktadır. Ancak internet ağı üzerinde sürdürülen aktivitelerin hem ticari hem de kamusal değeri nedeniyle ağ üzerindeki bilgisayarlar ve cihazlar sürekli devam eden ve gün geçtikçe daha da gelişen siber saldırılara maruz kalmaktadır. Her ne kadar şifreleme ve güvenlik duvarı teknolojilerinde önemli ilerlemeler kaydedilse dahi, ağ üzerinde yapılan saldırıların artarak devam edeceği ve bu saldırıların tamamen önlenemeyeceği görülmektedir. Bu nedenlerle son zamanlarda şifreleme ve güvenlik teknolojilerine ek olarak siber saldırı tespit ve önleme algoritmalarına önemli yatırımlar yapılmaktadır.
Ancak son zamanlarda ortaya çıkarılan siber korsanlık vakalarının gösterdiği üzere, geleneksel siber saldırı tespit yaklaşımları (örn. SNORT, BRO, IBM QRadar IDS) zaman içinde geliştirilen bir çok saldırıyı tespit etmekte yetersiz kalmaktadır. Daha önce kayıt edilen saldırıların izdüşümlerine dayalı imza tabanlı geleneksel siber saldırı tespit yaklaşımlarının en önemli sorunu, saldırı yapan kişilerin ve grupların saldırılarını zaman içinde ağın koruma sistemlerine göre adaptif olarak değiştirmesi, çeşitlendirmesi ve geliştirmesidir. Geçmişte görülmemiş siber saldırıları da yakalamak için tasarlanan anomali tespitine dayalı sistemler her ne kadar imzaya dayalı geleneksel yaklaşımlara göre belirli alanlarda avantajlı olsalar dahi, gerçek hayat koşullarında (a) ağ yükünün son derece değişken olması, (b) bir zaman önce düzensiz kabul edilen bir durumun zaman içinde normal kabul edilmesi, (c) anomali tanımının kişiye (örn. sistem yöneticilerin düzensiz davranışları), zaman ve bağlama göre farklılaşması nedeniyle oldukça zordur. Özellikle anomaliye dayalı sistemlerin yüksek sayıda yanlış alarm vermeleri, bu sistemleri kullanan personele aşırı yük bindirmekte ve bu yaklaşımların gerçek hayat koşullarında kullanımı engellenmektedir.
Bu proje kapsamında İnternet ağı üzerinde siber saldırıları saptamak için derin öğrenmeye ve destek vektör makinelerine dayalı anomali tespit algoritmaları tasarlanmaktadır. Ortaya çıkarılan teknikler ile internet ağ yükü incelenerek gerçek zamanlı anomali tespiti yapılmaktadır. Tasarlan sistem internet üzerinde bir çok derinlikte ağ yükünü (örn. paket seviyesinde, istek seviyesinde, bağlantı seviyesinde ve oturum seviyesinde) incelenebilmekte ve bir çok uygulamada da (örn. HTTP, FTP SMTP gibi) kullanılabilmektedir. Bu doğrultuda projenin temel amaçları: 1) Ağ yükünden gerçek zamanlı anomali tespitinde kullanılmak üzere yüksek betimleme gücüne sahip derin öğrenme kullanılarak öznitelik vektörlerinin çıkarılması, 2) Çıkarılan öznitelik vektörlerini işleyecek derin tekrarlamalı sinir ağlarına ve destek vektör makinelerine dayalı anomali tespit algoritmalarının tasarlanması, 3) Anomali tespitinde kullanılmak üzere derin sinir ağlarına dayalı sistem mimarisinin geliştirilmesi, bilgi birikimi sağlanarak son derece önem kazanan bu teknolojinin bir çok diğer güvenlik uygulamasında da kullanılabilmesi için genel tasarım ve yazılım altyapısının kurulmasıdır.
Yanlış hata oranını son derece azaltmak için, literatürde ilk defa, derin tekrarlamalı sinir ağları ve destek vektör makineleri performansı optimize etmek için bir arada tasarlanmaktadır. Ortaya çıkarılan sistem hem etiketsiz hem de yarı etiketli veriler üzerinde eğitilebilmektedir. İnternet ağ yükü bilgisi sıralı zaman serileri kullanılarak özkodlayıcılar ile betimlendikten sonra bu verileri işleyecek derin tekrarlamalı sinir ağları tasarlanmaktadır. Sinir ağları çıktıları da tek sınıflı destek vektör makineleri kullanılarak skorlanmakta be bu sayede hem normal durum bilgisi hem de anomali durum bilgisi aynı zamanda ağ yükü verisinden çıkarılmaktadır. Sıralı ağ yükü bilgisinin hem yakın hem uzak zaman içindeki değişimini en iyi modelleye bilmek için Uzun-Kısa-Zaman Bellekli (İngilizce: Long-Short Term Memory (LSTM)) tekrarlamalı sinir ağları kullanılmaktadır. Bu sayede çok farklı boyutlarda ve dağılımda ağ yükleri tekdüze şekilde işlenerek sonuç üretilmekte ve yanlış alarmın en önemli sebeplerinden olan çok küçük ya da çok büyük boyuttaki ağ yüklerinin yol açtığı hatalar önlenebilmektedir.
Projemiz kapsamında tekrarlamalı sinir ağları yazılım alt yapısı geliştirilerek hem öznitelik çıkarımı hem de çıkarılan özniteliklerin işlenmesi modüler hale getirilmektedir. Geliştirilen kriterler geleneksel yaklaşımlardan farklı olarak hesap karmaşıklığı ve işlem yükü özelliklerini de kapsamaktadır. Projede derin öğrenmeye ve destek vektör makinelerine dayalı anomali tespit yaklaşımları ile siber saldırı önleme sistem tasarımlarının alt yapısı geliştirilmekte, veri işleme performans ve hesaplama karmaşıklığını bir arada en iyileyen yeni bir kuram ortaya çıkarılmaktadır. Bu sayede literatürde ilk defa derin öğrenmeye dayalı anomali tespitinin teorik ve pratik alt yapısı oluşturularak bundan sonraki Ar-Ge faaliyetlerine yön verilmesi hedeflenmektedir.
Örnek Yayınlar:
T. Ergen and S. S. Kozat, “Unsupervised Anomaly Detection with LSTM Neural Networks,” IEEE Transactions on Neural Networks and Learning Systems, 2019.
T. Ergen, A. H. Mirza and S. S. Kozat, “Energy Efficient LSTM Networks for Online Learning,” IEEE Transactions on Neural Networks and Learning Systems, Accepted, 2019.
H. Gokcesu and S. S. Kozat, “Online Anomaly Detection with Minimax Optimal Density Estimation in Nonstationary Environments,” IEEE Transactions on Signal Processing, vol. 66, iss. 5, pp. 1213-1227, 2018.