Geri Dön

Character-level dilated deep neural networks for web attack detection

Ağ yöresi saldırılarının belirlenmesi için karakter düzeyinde seyreltilmiş derin sinir ağları

PDF İndir

  1. Tez No: 897382
  2. Yazar: NAZANIN MOARREF
  3. Danışmanlar: YRD. DOÇ. DR. MEHMET TAHİR SANDIKKAYA
  4. Tez Türü: Doktora
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2024
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Bilimleri ve Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 102

Özet

Ağ yöresi teknolojisinin hızla yaygınlaşması, uygulamalarına yönelik karmaşık ve gelişmiş saldırıların artmasına neden oldu. Bu tehdide karşı durmak için güvenilir bir sistem gerekir. Bu tezin amacı saldırılara karşın etkili bir yöntem geliştirmektir. Birçok araştırma, makina öğrenmesi algoritmalarından yararlanan, saldırı belirleme sorunlarına çözümler önermektedir. Ancak geliştirilmeleri ve sürdürülmeleri büyük miktarda uzman işgücü gerektirdiğinden, bu çözümlerin uygulamada yalnızca sınırlı ölçüde benimsendiği düşünülmektedir. Gerekli başarıyı elde etmek amacıyla bu alandaki birçok çözüm için öznitelik önişleme gereklidir. Saldırganlar, sürekli değişen saldırılarında yerleşik güvenlik önlemlerini aşmak için gelişmiş taktikler kullanır. Bu nedenle güçlü ve esnek modeller geliştirmek, saldırılarının karmaşık yönlerini etkili bir şekilde yakalayan öznitelikler oluşturmayı gerektirir. Birçok mevcut öznitelik önişleme yöntemler veri kümesinde sunulan sözcüklerin varlıklarına ilişkin bilgileri açıklayan özcük dağarcığına (Bag of words) dayalı öznitelik önişleme tekniklerinin uygulanmasına odaklanmaktadır. Bu nedenle bu yöntemler, veri kümesindeki diziyi doğru şekilde gösteremez. Ayrıca, en son saldırıları izlemek için makina öğrenmesi öznitelik gösterimlerinin güncellenmesi gerekmektedir. Modellerin yeni saldırı özniteliklerine uyum sağlamasına ve belirleme yeteneği korumasına olanak tanıyan öznitelik önişleme önemi, bilgisayar güvenliğinin karmaşıklığı içinde ilerledikçe daha da belirgin hale gelir. Öznitelik önişleme genellikle bir makina öğrenmesi dizgesi oluşturmanın en çok zaman alan kısmı olarak kabul edildiğinden, derin öğrenme, saldırı belirlemesinde büyük ilgi toplar. Verilen herhangi bir girdi içindeki öznitelik gösterimini ve sıralı modeli kendiliklerinden öğrenebildikleri ve öznitelik gösterimini verimli bir şekilde genelleştirebildikleri için, birçok geleneksel makina öğrenmesi tekniğinden daha iyi başarı gösterirler. Fakat, saldırı belirlemesindeki üstün başarılarına rağmen, geniş bir aralıktaki ilişkileri ortaya çıkarmak, derin öğrenme uygulamaları için hâlâ bir zorluktur. Evrişimli Sinir Ağlarının (convolutional neural network, CNN) daha uzun dizileri kapsaması için daha büyük alıcı alanlar (receptive fields) gereklidir. Daha geniş alıcı alanlar için daha fazla katman gerekir ve daha fazla katman, daha fazla parametreye ve daha zor bir eğitim sürecine yol açar. Tüm girdiyi işleyebilen uzun kısa süreli bellek (long short-term memory, LSTM) ağlarının kullanılması sıralı verileri yönetmek için başka bir etkili yöntemdir. Ne yazık ki LSTM ağları, yok silinen/taşan gradyanlar sorunuyla başa çıkamamaları nedeniyle hâlâ geniş bir aralıkta yayılmış ilişkileri öğrenmekte zorlanır. Sıralı verilerde veya zaman serisi çözümlemesinde uzun vadeli bağımlılıkları yakalamak için seyreltilmiş LSTM ağları iyi bir seçimdir. LSTM'lerde seyreltilmiş katmanlar ve seyreltilmiş bağlantılar kullanılarak, silinen/taşan gradyanlar sorunu azaltılır. CNN'lerde alıcı alan, daha fazla hesaplama veya parametre gerektirmeden seyreltilmiş evrişimler kullanılarak genişletilebilir. Yöntemi gerçekleştirmek için evrişimler arasına eklenen boşluklarla seyreltme oluşturulur. Bu nedenle seyreltilmiş ağlar, daha fazla bağlamsal bilgi yakalayabildiğinden, geniş bir aralıktaki bağımlılıkların anlaşılmasını gerektiren görevler için uygundur. Bu tezin temel amacı, Hiper Metin Aktarım Protokolü (Hyper Text Transfer Protocol, HTTP) önişleme aşamasının karmaşıklığını en aza indirerek, saldırıları doğru bir şekilde belirlemektir. Bu nedenle HTTP istekleri karakter dizileri olarak yorumlanır. Hem seyreltilmiş LSTM hem de CNN tabanlı yöntemlerin başarıları karşılıklı değerlendirilir. Seyreltilmiş LSTM (dilated LSTM) ağlarına dayanan iki farklı metodoloji göz önüne alınmıştır. Seyreltilmiş LSTM tabanlı ve seyreltilmiş çift yönlü LSTM (Bidirectional LSTM, Bi-LSTM) tabanlı. Bi-LSTM blokları seyreltilmiş Bi-LSTM (dilated Bi-LSTM) yönteminin ilk katmanında yer alır. Sonuç olarak seyreltilmiş Bi-LSTM katmanındaki model, her adımının her iki tarafında da mevcut olan verileri saklar. Model, Bi-LSTM katmanının üst kısmındaki seyrek LSTM katmanlarının yardımıyla silinen/taşan gradyanlar problemini azaltır ve farklı ölçeklerin çeşitli düzeylerdeki zamansal ilişkilerini öğrenir. İlk katmandaki LSTM blokları haricinde, seyreltilmiş LSTM'nin yapısı seyreltilmiş Bi-LSTM ile aynıdır. Farklı evrişim matrisine sahip çok katmanlı seyreltilmiş CNN bloklarının çok kanallı yapısı, seyreltilmiş CNN (dilated CNN) modelini (multichannel multilayer dilated CNN, MC-MLDCNN) oluşturur. Her kanalda birden fazla katman vardır ve bunların seyreklikleri katlanarak artar. Model, çeşitli kanalları ve çok sayıda seyreltilmiş CNN katmanını birleştirerek, çeşitli düzey ve ölçeklerdeki HTTP isteklerindeki karakter dizilimi içindeki korelasyonu ve karşılıklı bağımlılığı etkili bir şekilde tanır. Uzun vadeli bağımlılıkları ve bunun sonucunda da saldırıların karmaşık dizilimini ve yapısını keşfetmeye yönelik CNN tabanlı ve seyreltilmiş LSTM ağı tabanlı yaklaşımların etkinliğini değerlendirmek için üç farklı veri kümesi kullanılmıştır. Deneylerde Consejo Superior de Investigaciones Científica (CSIC) 2010 veri seti, Web Application Firewall (WAF) veri seti ve yaklaşık on yıldır tarafımızca toplanan (self-collected) veri kümesi kullanıldı. WAF veri kümesi, HTTP isteklerinin yalnızca sorgu bölümünü içerir; self-collected veriler yalnızca evrensel kaynak tanılayıcısı (Uniform Resource Identifier, URI) bölümünü içerir ve HTTP isteklerinin tam metni CSIC 2010 veri kümesinde bulunabilir. Deneyin sonuçları, saldırı belirleme başarısı açısından MC-MLDCNN'nin doğruluk, duyarlılık, kesinlik ve F1 puanı açısından seyreltilmiş LSTM ağı tabanlı modellerden daha yüksek başarı gösterdiğini göstermektedir. MC-MLDCNN tabanlı modeller daha az hesaplama süresi gerektirir ve aynı zamanda daha hızlı öğrenir. Bu nedenle bu tezde saldırılarını belirleme için önerilen yöntem MC-MLDCNN'dir. MC-MLDCNN, öznitelik önişleme aşaması yordamını önemli ölçüde basitleştirir ve dış kaynaklara bağımlı değildir. HTTP isteklerinin herhangi bir kısmı verildiğinde bunlar yalnızca karakter düzeyinde incelenir. Model, önemli öznitelikleri ve bunların ilişkilerini kendiliğinden keşfeder. Model, farklı düzeylerde çoklu zamansal ilişkiler elde edebilir, yüksek dereceli öznitelikler arasındaki etkileşimleri çıkarabilir. Sonuçta karmaşık geniş ̧bir aralıktaki öznitelik etkileşimlerini belirleyebilir. Boylece, karmaşık saldırı düzenlerini daha iyi belirleyebilir. Saldırı tanıma görevi açısından, önerilen yöntemlerin verimliliği, literatürde bulunan çeşitli ileri düzey derin öğrenme tabanlı yöntemlerin yanı sıra bazı geleneksel derin öğrenme yaklaşımlarıyla karşılaştırılmıştır. Deneysel sonuçlar, önerilen yöntemin doğruluk, duyarlık, kesinlik ve F1 puanı açısından üstünlüğünü göstermektedir. Doğru saldırı tanımlamasını korurken normal istekleri saldırı (yanlış pozitifler, false positive rate, FPR) olarak sınıflandırma oranını azaltmak, herhangi bir etkili saldırısı algılama sistemi için kritik bir beceridir. Uygulamalarının kullanılabilirliğinden ve kullanılabilirliğinden ödün verilmediğinden emin olmak için FPR da değerlendirilmiştir.

Özet (Çeviri)

The swift expansion of web-based technology has resulted in a rise in intricate and advanced attacks directed toward website securities. An effective approach is necessary to defend against evolving attacks. This thesis's objective is to develop an effective method for detecting attacks. The goal is to detect attacks by utilizing the Hyper Text Transfer Protocol (HTTP) requests and minimizing the complexity of the preprocessing stage. For this reason, the HTTP requests are utilized at the character level. Therefore, the requests are interpreted as sequences of characters. Many studies have offered solutions to attack detection problems that leverage machine learning (ML) techniques. Feature engineering is required for many solutions in this field in order to achieve an efficient performance. Nevertheless, many of the applied techniques struggle to maintain the sequential information in the input. Deep learning (DL) garnered a lot of interest in attack detection since feature engineering is regarded to be the most labor-intensive step in developing an ML system. Since they are able to learn the feature representation and sequenced pattern within any given input automatically and generalize the feature representation efficiently. Hence, DL approaches outperform many traditional ML techniques. However, extracting long-term relationships remains a challenge for DL applications, despite their cutting-edge performance in attack detection. Larger receptive fields are necessary for convolutional neural networks (CNNs) to cover longer sequences. More layers are required for wider receptive fields, and more layers equal more parameters and a more difficult training process. Employing long short-term memory networks (LSTMs) is another efficient method for managing sequential data. Unfortunately, LSTMs still struggle to learn long-term relations because of their inability to deal with the problem of vanishing/exploding gradients. For capturing long-range dependencies in sequential data or time-series analysis, dilated neural networks are a good choice. By utilizing dilated layers and skip connections in LSTMs, the issue of vanishing/exploding gradients is mitigated. In CNNs, the receptive field can be expanded using dilated convolutions without requiring more computation or parameters. Gaps, or dilation, are created between the convolutional filter elements to accomplish the procedure. Dilated networks are therefore well suited for tasks that necessitate comprehending dependencies across a wide range since they can capture more contextual information. In this thesis, both the dilated LSTM and CNN-based methodologies' performances are assessed. Two distinct methodologies based on dilated LSTMs are evaluated: Dilated LSTM and dilated bidirectional LSTM (Bi-LSTM). The dilated Bi-LSTM methodology's first layer contains Bi-LSTM blocks. Consequently, the model in the Bi-LSTM layer retains the data available on both sides of each time step. With the aid of the dilated layers at the top of the Bi-LSTM layer, the model reduces the vanishing/exploding gradients problem and learns the temporal relations of different scales at various levels. With the exception of the LSTM blocks in the first layer, the structure of dilated LSTM is akin to dilated Bi-LSTM methodology. The multichannel of multilayer dilated CNN blocks with different kernel sizes make up the dilated CNN-based model as MC-MLDCNN. There are multiple layers in each channel, and their dilation sizes increase exponentially. By combining a variety of channels and multiple layers of dilated CNNs, the model recognizes the correlation and interdependence within character resolution in HTTP requests at various levels and scales. Three different datasets are used to assess the efficacy of CNN-based and dilated LSTM-based approaches to discover the long-term dependency of the complicated attacks. The Consejo Superior de Investigaciones Científicas (CSIC) 2010 dataset, the Web Application Firewall (WAF) dataset, and the self-collected dataset—which has been gathered for nearly a decade—are all used in the experiments. The WAF dataset only includes the query portion of HTTP requests, the self-collected data only includes the Uniform Resource Identifier (URI) portion and the full text of HTTP requests can be found in the CSIC 2010 dataset. The experiment's results demonstrate that, in terms of attack detection performance MC-MLDCNN performs better than dilated LSTM-based models in terms of accuracy, recall, precision and F1 score. MC-MLDCNN-based models require less computation time and converge faster as well. Therefore, the methodology proposed in this thesis to detect web attacks is MC-MLDCNN. The efficiency of the proposed methodology is compared with several cutting-edge DL-based methodologies found in the literature along with some conventional DL approaches. The experimental outcomes demonstrate the superiority of the proposed methodology using the same aforementioned metrics used for attack detection efficiency. Keeping the rate of categorizing normal requests as attacks (false positives) low while maintaining accurate attack detection is a critical skill for any effective web attack detection system. The business continuity is stopped as a result of the high false positive rate (FPR). To ensure enhanced security without compromising the availability and usability of web applications the FPR scores are also analyzed.

Benzer Tezler

  1. Tez No

    324644

    ZnO tabanlı seyreltik manyetik yarıiletkenlerin üretimi ve bazı yapısal, optik ve manyetik özelliklerinin incelenmesi

    The production and investigation of some structural, optical and magnetic properties of ZnO-based diluted magnetic semiconductors

    SALİH YILMAZ

    Doktora

    Türkçe

    Türkçe

    2013

    Fizik ve Fizik MühendisliğiKaradeniz Teknik Üniversitesi

    Fizik Ana Bilim Dalı

    DOÇ. DR. EMİN BACAKSIZ

  2. Tez No

    100823

    Gökova ve Saros körfezlerinin aktif tektonizmalarının sismik yansıma verileri ile incelenmesi

    Investigation on the active tectonism in the gulfs of Gökova and Saros by means of multi-channel seismic reflection data

    HÜLYA KURT

    Doktora

    Türkçe

    Türkçe

    2000

    Jeofizik Mühendisliğiİstanbul Teknik Üniversitesi

    DOÇ.DR. EMİN DEMİRBAĞ

  3. Tez No

    276474

    Caulerpa racemosa var. cylindracea'den sıvı alg gübre eldesi ve bazı ticari öneme sahip tohumlar üzerine biyokimyasal etkileri

    Production of liquid seaweed fertiliser from Caulerpa racemosa var. cylindracea and its biochemical effects on the commercial seeds

    DENİZ ÇAPARKAYA

    Yüksek Lisans

    Türkçe

    Türkçe

    2009

    BiyokimyaDokuz Eylül Üniversitesi

    Kimya Ana Bilim Dalı

    DOÇ. DR. LEVENT ÇAVAŞ

  4. Tez No

    84436

    Nötrofilik-mezofilik streptomyces'lerin nümerik sınıflandırılması

    Numerical classification of notrophilic-mesophilic-mesophilic streptomyces

    İLKNUR YALÇIN

    Yüksek Lisans

    Türkçe

    Türkçe

    1999

    BiyolojiOndokuz Mayıs Üniversitesi

    Biyoloji Ana Bilim Dalı

    YRD. DOÇ. DR. NEVZAT ŞAHİN

  5. Tez No

    643500

    Bazı tıbbi aromatik bitki tohumlarında hormon uygulamalarının çimlenme ve fidecik karakterlerine etkisi

    The effect of hormone applications on germination and seedling characters of some medical and aromatical plant seeds

    RUSUL ABDULATEF ABDULHUSSEIN ALTAMEMI

    Yüksek Lisans

    Türkçe

    Türkçe

    2020

    ZiraatKastamonu Üniversitesi

    Sürdürülebilir Tarım ve Tabii Bitki Kaynakları Ana Bilim Dalı

    DOÇ. DR. HAKAN ŞEVİK

Geri Dön