Geri Dön

Detecting malicious activity inside of the network

Ağ içerisindeki kötü niyetli aktivitelerin tespiti

PDF İndir

  1. Tez No: 856677
  2. Yazar: AYŞENUR KUMBASAR
  3. Danışmanlar: PROF. DR. ENVER ÖZDEMİR
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2023
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Bilişim Enstitüsü
  11. Ana Bilim Dalı: Bilişim Uygulamaları Ana Bilim Dalı
  12. Bilim Dalı: Bilgi Güvenliği Mühendisliği ve Kriptografi Bilim Dalı
  13. Sayfa Sayısı: 75

Özet

Küresel gelişim ve dijitalleşme ile birlikte günümüz dünyasında tüm sektörlerde olduğu gibi bankacılık ve finans sektörlerinde de kullanılan uygulama ve hizmetler hızla online dünyaya adapte olmaya başlamıştır. İnternet ortamına geçiş hızındaki artış, güvenlik konusunun bankalar ve müşteriler için giderek daha önemli ve ciddi hale geldiğini göstermektedir. Finans ve bankacılık sektörlerinde hizmet veren şirketler, hedef sisteme verdiği zarar ve saldırganların elde ettiği veriler açısından siber saldırganlar için cazip bir hedef konumundadır. Kullanılan veritabanları, sunucular, bilgisayarlar, ağlar gibi önemli ve hassas iş ve müşteri bilgilerini içeren bilgi sistemlerinin korunması büyük önem taşımaktadır. Aynı şekilde müşterilere sunulan hizmetlerde güvenli ve sağlam bir online iletişim ortamının sağlanması ve verilerin güvenilir ortamlarda iletilmesinin sağlanması bankacılık sektöründeki en önemli unsurlardan biridir. Siber tehditlerden kaynaklanan finansal etki, günümüzde şirketler için büyük bir endişe kaynağıdır. Bir veri ihlali sebebi ile, bütün ticari sırlar, hassas veriler ifşa edilebilir. Yaşanan ihlal, kuruluşların itibarının zarar görmesine, müşteri kayıplarına ve yeni müşteri kazanmada zorluklara sebep olabilir. Artan siber saldırılara önlem olarak bankalar, güvenli iletişim ve kişisel ve ticari bilgi ve belgelerin korunmasını sağlamak için güvenlik sistemlerine de büyük yatırımlar yapıyor. Bir kuruluşun veya işletmenin performansını büyük ölçüde etkileyebilecek siber saldırılara karşı korunmak için bir güvenlik planına sahip olmaları büyük önem taşımaktadır. Bu sistemler ile anormal ve yetkisiz faaliyetleri tespit edip müdahale ederek bu tür saldırıları önleme potansiyeline sahiptirler. Kritik altyapıların güvenliğini sağlamak için yapılan yatırımlar, genel olarak izinsiz girişi önleme, siber saldırıyı tespit etme, saldırganın aktiviteleri sonucunda karşılaşılabilecek fiziksel etkileri hafifletme gibi önemli unsurları sağlamak amacındadır. Kuruluşlar, ihtiyaçlarına ve bu ihtiyaçların önem derecelerine göre ulusal standartlar ve kurum politikalarına uygun olarak en uygun yatırımları gerçekleştirmektedir. Böylelikle düzenli yapılan kontroller sonucu bir güvenlik ihlali veya dışarıdan izinsiz giriş gibi durumların tespiti ve önlenmesi erkenden sağlanarak, ihlal olması durumunda bile yaşanılan kayıpların en aza indirilmesi sağlanmış olacaktır. Ancak kullanılan güvenlik ürünlerinin çoğu dış tehditlere odaklanır ve içerden kaynaklanan bir tehditi tespit etmede yetenekli değillerdir. Araştırmalar, siber saldırıların büyük çoğunluğunun içeriden kişiler tarafından gerçekleştirildiğini gösteriyor. Ancak saldırgan kurum içinde çalışan bir kişi ise bu sistemler bu tür faaliyetleri tespit etmekte yetersiz kalabilmektedir. İçerideki saldırgan, dışarıdakilerin sahip olmadığı hassas verilere, sistemlere ve ağlara meşru erişim ayrıcalıklarına sahiptir. İçerideki kötü niyetli kullanıcı zararlı aktivitesini gerçekleştirebilmek için meşru yolları ve yöntemleri izlediği için tahmin edilmesi ve engellenmesi zordur. Kurum içerisinde çalışan, gerçek kimlik bilgileriyle oturum açan yetkili herhangi bir kullanıcının çalıştığı kurumun çıkarları doğrultusunda hareket edip etmediğini anlamak mümkün olamamaktadır. Ayrıca içerden gelen tehditler, genellikle eylem gerçekleştikten sonra tespit edilebildiğinden, kritik verilerin kurtarılması da çok zor olabilmektedir. İçeriden gelen saldırganlar, sistemler, kurum ağı gibi kurum içi organizasyon hakkında detaylı bilgilere sahip olduklarından hassas ve gizli verileri suistimal edebilmekte ve büyük kayıplar yaratarak kurumlara geri dönülmez zararlar verebilmektedir. Dolayısıyla iç tehdidin neden olduğu zararın maliyetinin dış tehditten çok daha yüksek olduğu söylenebilir. Dış tehditlere odaklanan güvenlik duvarı, izinsiz giriş tespit ve önleme sistemleri gibi geleneksel güvenlik önlemlerinde, içerideki tehditleri tespit etmek veya önlemek çok başarılı sonuçlar getirememektedir. Örneğin bir saldırgan, sistemde oturum açmak için yetkili bir kullanıcının bilgilerini başarılı bir şekilde kullanırsa, bu anormal davranış güvenlik mekanizmalarında tespit edilemeyebilir. Makine öğrenmesi araçları kullanılarak, içeriden gelen potansiyel tehditlerin algılanması, kullanıcı davranışlarının analiz edilmesi, ve bir anomali tespit edildiğinde uyarılması sağlanabilir. İçerideki saldırganlar, kötü niyetli aktivitelerini gerçekleştirebilmek için verileri kurcalama, manipule etme gibi eylemler gerçekleştirebilir. Kurum içerisinde iyi bildiği güvenlik ihlallerini kullanarak ve güvenlik önlemlerini kolaylıkla atlatarak erişim yetkilerini arttırabilir. Kalıcı erişim için bir arkakapı kurabilir. Erişim kazandığı veya halihazırda bulunan erişimini kullanarak kritik verilerin dışarıya aktarımını gerçekleştirmeye çalışabilir. İçeriden gelen tehditleri tespit edebilmek için farklı göstergeler izlenebilir. Bu göstergeler içerisinde alışılmadık zamanlarda sistem üzerinde etkinlik göstermesi olabilir. Sistem üzerinden veri çıkarmaya çalışması sonucu trafik üzerinde gözlemlenebilecek hacim artışı veya kullanıcının alışılmadık kaynaklara erişim sağlaması izlenerek kötü niyetli aktiviteler tespit edilebilir. Fakat bu gibi göstergeler daha çok saldırganların zararlı aktivitelerini gerçekleştirme adımlarında tespitine yardımcı olabilir. Kötü niyetli eylemleri gerçekleştirebilmek için sistem üzerinde normal bir kullanıcının geçirdiği süreden daha fazla bir süre harcaması gerekmektedir. Bu yüzden makine öğrenme araçları ile kullanıcıların bir sistem üzerindeki oturum süreleri karşılaştırılarak elde edilen sonuç kötü niyetli kullanıcıların eylemlerini gerçekleştiremeden hazırlık aşamasında tespitinde önemli bir sonuç sağlayabilir. Bu çalışma, kullanıcıları davranış odaklı izleyerek içeriden gelen tehditleri tespit etmeye odaklanmaktadır. SVM, Random Forest ve KNN makine öğrenme algoritmaları ile normal kullanıcı davranışı ve kötü amaçlı kullanıcı davranışı incelenerek, iç tehditlerin tespit edilmesi ve beraberinde gelecek önleyici kontrollerle kuruma verilebilecek zararın en aza indirilmesine yardımcı olunması amaçlanmaktadır. Çalışmamızda makine öğrenmesi algoritmasında Marnegie Mellon Üniversitesi tarafından yayınlanan CERT Insider Threat veritabanının 6.2 sürümünü kullandık. CERT veri seti, içeriden gelen tehditleri tespit etmek için kullanılan çerçeveleri test etmek için yapay olarak geliştirilmiş sentetik bir veri setidir. Verisetinden elde ettiğimiz sistem üzerinde kullanıcıların oturum açma ve oturum kapama sürelerini farklı SVM, Random Forest ve KNN algoritmaları ile hesaplayarak doğruluk skorlarını karşılaştırdık. Makine öğrenimindeki en etkili veri sınıflandırma yöntemlerinden biri olan Random Forest algoritmasının, kullandığımız verisetindeki anormal aktiviteleri sınıflandırma konusunda daha iyi bir performansa sahip olduğunu tespit ettik.

Özet (Çeviri)

In today's world with the global development and digitalization, applications and services used in banking and finance sectors, as in all sectors, have started to adapt to the online world quickly. The increase in the rate of transition to the Internet environment shows that the issue of security is becoming more and more important and serious for banks and customers. Companies serving in the financial and banking sectors are an attractive target for cyber attackers in terms of damage to the target system and data obtained by attackers. The protection of information systems containing important and sensitive business and customer information, such as databases, servers, computers, networks used, is of high importance. In the same way, providing a secure and robust online communication environment in the services provided to customers and ensuring that data is transmitted in reliable environments is one of the most important elements in the banking sector Banks are also making major investments in security systems to ensure secure communication and the protection of personal and business information and documents as a precaution against this increasing number of cyber attacks. With these systems, they have the potential to prevent such attacks by detecting and responding to abnormal and unauthorized activities. However, research shows that the majority of cyber attacks are carried out by insiders. Most security products in use focus on external threats. However, if the attacker is a person working within the organization, these systems may be insufficient to detect such activities. The inside attacker has legitimate access privileges to sensitive data, systems, networks that outsiders do not have. It is difficult to predict and prevent as the malicious user inside follows legitimate paths and methods. Since the systems have detailed information about the internal organization such as the corporate network, they can misuse sensitive and confidential data and cause irreversible damage to the organizations by creating great losses. Therefore, it can be said that the cost of damage caused by internal threat is much higher than external threat. This study focuses on detecting insider threats by monitoring users with a behavioural focus. By examining normal user behaviour and malicious user behaviour with SVM, KNN and Random Forest algorithms, it is aimed to detect internal threats and help minimize the damage that can be done to the institution with preventive controls that will come with it.

Benzer Tezler

  1. Tez No

    529094

    Machine learning approach for external fraud detection

    Dış saldırıların belirlenmesi için makine öğrenimi yaklaşımı

    AJI MUBALAIKE

    Yüksek Lisans

    İngilizce

    İngilizce

    2018

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilişim Uygulamaları Ana Bilim Dalı

    PROF. DR. ERTUĞRUL KARAÇUHA

    PROF. DR. EŞREF ADALI

  2. Tez No

    557795

    Blok zincir tabanlı elektronik seçim sistemi tasarımı ve kısmi uygulaması

    Blockchain based electronic voting system design and partial application

    BİLAL GÜLTEKİN

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilişim Uygulamaları Ana Bilim Dalı

    PROF. DR. ERTUĞRUL KARAÇUHA

  3. Tez No

    683649

    Detection of the DNS tunneling attack traffic within DNS over HTTPS traffic

    HTTPS tabanlı DNS trafikleri içerisindeki DNS tünelleme saldırı trafiğinin algılanması

    MURAT SELÇUK KARALAR

    Yüksek Lisans

    İngilizce

    İngilizce

    2021

    Bilgi ve Belge Yönetimiİstanbul Teknik Üniversitesi

    Hesaplamalı Bilimler ve Mühendislik Ana Bilim Dalı

    DOÇ. DR. ENVER ÖZDEMİR

  4. Tez No

    30842

    Otomatik vezne makinaları (ATMs) ve uygulamaları

    Autamated teller machines (ATMs) and applications

    A. C. BANU ÇAĞLAR

    Yüksek Lisans

    Türkçe

    Türkçe

    1994

    BankacılıkMarmara Üniversitesi

    Bankacılık Ekonomisi ve İşletmeciliği Ana Bilim Dalı

    PROF. DR. METE DOĞRUER

  5. Tez No

    655610

    Sözcüksel analiz kullanarak kötü niyetli URL'leri derin öğrenme teknikleri ile tespit etme

    Detecting malicious URL's using lexical analysis with deep learning techniques

    CEMİLE SARICAOĞLU

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolGazi Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ MEHMET DEMİRCİ

Geri Dön