Geri Dön

A hybrıd approach for ransomware detectıon based on behavıoral and structural features

Davranışsal ve yapısal özelliklere dayalı hibrit bir fidye yazılımı tespit yaklaşımı

PDF İndir

  1. Tez No: 947950
  2. Yazar: BÜŞRA ÇALIŞKAN
  3. Danışmanlar: PROF. DR. ABDÜL HALİM ZAİM
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2025
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
  13. Sayfa Sayısı: 112

Özet

Fidye yazılımları, dosyaları şifreleyerek geri dönüşü olmayan kayıplara yol açabilmesi ve kullanıcı erişimini tamamen engelleyerek sistemlerin işlevselliğini durdurabilmesi nedeniyle, günümüzün en yıkıcı ve hızla gelişen siber tehditlerinden biri olarak öne çıkmaktadır. İlk olarak 1989 yılında ortaya çıkan AIDS Trojan fidye yazılımından bu yana, bu tehdit türü saldırganlar için kolay ve yüksek kazançlı bir yöntem haline gelmiştir. Fidye yazılımları, çalıştırıldıktan sadece milisaniyeler sonra kullanıcı dosyalarına erişimi engellemekte ve şifreleme işlemi ilerledikçe daha fazla veriyi kullanılamaz hale getirmektedir. Özellikle sağlık, finans, endüstriyel kontrol sistemleri ve kamu altyapıları gibi kesintiye tahammülü olmayan alanlarda bu tür saldırılar, hizmet kesintileri ve kritik veri kaybı gibi telafisi güç sonuçlara yol açmaktadır. Bu nedenle, fidye yazılımlarının tespiti mümkün olduğunca erken bir aşamada gerçekleştirilmeli, tercihen şifreleme süreci başlamadan önce müdahale edilmelidir. Son yıllarda fidye yazılımı saldırıları bireylerden ziyade yüksek değerli hedeflere yönelmiş, kamu kurumları, kritik altyapılar ve uluslararası şirketler bu tehditlerin öncelikli hedefi haline gelmiştir. 2021 sonrası dönemde gerçekleşen olaylar, bu saldırıların yalnızca dijital güvenlik açısından değil, aynı zamanda ekonomik ve sosyal sürdürülebilirlik açısından da küresel etkiler doğurduğunu göstermiştir. Örneğin, 2021 yılında Amerika Birleşik Devletleri'nde faaliyet gösteren en büyük yakıt boru hattı operatörü, yalnızca tek bir güvenlik açığı üzerinden gerçekleştirilen bir fidye yazılımı saldırısı nedeniyle faaliyetlerini bir hafta süreyle durdurmak zorunda kalmıştır. Bu olay, ülkenin doğu yakasındaki akaryakıt tedarikinin neredeyse yarısının kesintiye uğramasına, panik alımlarına ve büyük ekonomik kayıplara neden olmuştur. Benzer şekilde, dünyanın en büyük et işleme şirketine düzenlenen başka bir saldırı, yalnızca Amerika'daki değil, Kanada ve Avustralya'daki üretim tesislerini de etkileyerek küresel gıda arz zincirinde aksamalar yaratmış ve milyonlarca dolarlık fidye ödemesine yol açmıştır. Yine aynı yıl, uzaktan sistem yönetimi yazılımı kullanan yaklaşık 50 farklı hizmet sağlayıcıyı hedef alan bir tedarik zinciri saldırısı sonucu 1500'den fazla kuruluş eş zamanlı olarak fidye yazılımıyla enfekte edilmiştir. Bu saldırı, kamu, eğitim ve perakende gibi çeşitli sektörlerde geniş çaplı kesintilere sebep olmuş ve tarihteki en yüksek fidye talebiyle sonuçlanmıştır. Sağlık sektöründe ise, ulusal düzeyde sağlık hizmetleri sunan bir devlet kurumu saldırıya uğramış, randevular iptal edilmiş, hastaneler geçici olarak çevrimdışı duruma getirilmiş ve toparlanma süreci yüz milyonlarca avroya mal olmuştur. Bu saldırıların etkisi yalnızca kurumsal düzeyde değil, ulusal güvenlik ve kamu düzeni açısından da tehdit edici bir boyuta ulaşmıştır. Örneğin, 2022 yılında bir Orta Amerika ülkesi, 27 devlet kurumunun fidye yazılımı tarafından devre dışı bırakılması üzerine olağanüstü hâl ilan etmek zorunda kalmıştır. Vergi sistemlerinden sınır kontrol sistemlerine kadar birçok hizmetin durma noktasına gelmesiyle, saldırının ekonomik ve siyasi sonuçları uluslararası müdahale gerektirecek düzeye ulaşmıştır. Benzer şekilde, 2023 yılında Birleşik Krallık'ın ulusal posta hizmetleri kurumu, fidye ödenmemesine rağmen saldırı nedeniyle uluslararası gönderileri bir aydan uzun süre askıya almak zorunda kalmış, toparlanma süreci ise milyonlarca sterline mal olmuştur. Bu tür saldırılar, sadece sistemleri devre dışı bırakmakla kalmayıp aynı zamanda halkın temel hizmetlere erişimini de engellemektedir. Amerika Birleşik Devletleri Federal Soruşturma Bürosu'nun (FBI) yayımladığı son yıllık raporlar, fidye yazılımlarının özellikle kritik altyapı sektörlerini hedef alma eğiliminde olduğunu vurgulamaktadır. 2024 yılı içerisinde yalnızca ABD'de bildirilen fidye yazılımı şikayetleri sayısı 3000'i aşmış ve bir önceki yıla göre yaklaşık %10 artış göstermiştir. Kayıtlara geçen doğrudan mali zararlar on milyonlarca doları bulmakla birlikte, bu rakamlar sistem duraksamaları, iş gücü kaybı, üçüncü taraf kurtarma maliyetleri gibi dolaylı zararları kapsamamaktadır. Rapor ayrıca, yalnızca bir yıl içinde 60'tan fazla yeni fidye yazılımı türünün ortaya çıktığını, en çok raporlananlar arasında ise Akira, LockBit, RansomHub, FOG ve PLAY gibi gelişmiş varyantların bulunduğunu belirtmektedir. En son gelişmeler arasında, donanım seviyesinde çalışan ve mevcut işletim sistemi savunma mekanizmalarını tamamen atlatabilen yeni nesil fidye yazılımları da yer almaktadır. Özellikle merkezi işlem biriminin (CPU) mikrokod seviyesini hedef alan ve yazılımın işletim sistemi yeniden yüklense bile kalıcılığını sürdürebilen örnekler, fidye yazılımlarının geldiği teknolojik boyutu gözler önüne sermektedir. Bu tür saldırılar, yalnızca yazılım değil, aynı zamanda donanım güvenliğini de kapsayan bütüncül bir yaklaşımın gerekliliğini ortaya koymaktadır. Bu tür örnekler, fidye yazılımlarının yalnızca veri şifreleme kapasitesiyle değil, aynı zamanda hedef seçimi, saldırı teknikleri ve tespit mekanizmalarına karşı geliştirdiği kaçınma stratejileriyle de sürekli olarak evrim geçirdiğini göstermektedir. Bu bağlamda, tespit sistemlerinin yalnızca hızlı değil, aynı zamanda davranış temelli, yapı farkındalığı yüksek ve değişen saldırı vektörlerine karşı uyarlanabilir olması gerekmektedir. Bilimsel çalışmalarda kullanılan tespit yöntemleri genellikle iki temel yaklaşıma ayrılmaktadır: durağan (statik) çözümleme ve devingen (dinamik) çözümleme. Durağan çözümleme, zararlı yazılımlar çalıştırılmadan yapılan incelemelerdir ve çoğunlukla komut dizileri veya dosya başlıkları gibi yapısal özelliklere dayanır. Bu yöntemler hızlı olmasına rağmen, şifrelenmiş veya gizlenmiş yazılımlar karşısında yetersiz kalabilir. Devingen çözümleme ise çalıştırma esnasındaki davranışları izleyerek, bellek kullanımı veya sistem işlevi çağrıları gibi işlemler üzerinden daha bağlamsal bilgiler sunar. Ancak bu yöntem de, sanal ortamı algılayan veya iyi huylu yazılım gibi davranan zararlılar tarafından atlatılabilir. Bu sınırlamaları aşmak için hem durağan hem devingen çözümlemeyi birleştiren bütünleşik yöntemler önerilmektedir. Bu tez çalışmasında, fidye yazılımlarının ayırt edici özelliklerini belirlemek amacıyla, durağan kod çözümlemesi ile devingen davranış izlemesini bir araya getiren bir bütünleşik çözümleme çerçevesi sunulmuştur. Sistem, 32-bit Windows işletim sistemi için tasarlanmıştır. Durağan özellikler talimat düzeyinde sökücü yazılım aracılığıyla; devingen özellikler ise çalıştırma sırasında sistem işlevlerinin izlenmesi yoluyla elde edilmiştir. Tüm yazılımlar, güvenli, tekrarlanabilir ve denetlenebilir bir sanal çalışma ortamında yürütülmüştür. Elde edilen özellik kümesi, makine komut dizilerini ve işlev çağrıları ile birlikte bunlara verilen giriş değerlerine ilişkin bilgileri içermektedir. Ayrıca belleğe yazma izinlerinin değiştirilmesi, kayıt defteri erişimi, kilit oluşturulması ve hata ayıklama önleme gibi davranışlar da izlenmiştir. Özellikle, sayfa koruma bayraklarındaki değişiklikler gibi bellek müdahalesine işaret eden faaliyetler de kaydedilmiştir. Çerçevenin modüler yapısı, dosya sistemi işlemleri, komut satırı çalıştırmaları ve alan adı çözümlemeleri gibi farklı davranışların seçmeli olarak izlenmesini desteklemektedir. Elde edilen veriler üzerinde yapılan istatistiksel çözümleme, fidye yazılımlarına özgü davranışları belirlemeye olanak sağlamıştır. Özellikler, zararlı ve zararsız yazılımlar arasında görülme sıklıklarına göre sınıflandırılmıştır. Ayrıca, karar verme sürecinin yorumlanabilirliğini artırmak amacıyla etki değeri analiz yöntemleri kullanılmış ve belleğe erişim biçimleri, komut düzeyindeki sıra dışı örüntüler ve sistem işlevi kullanımları gibi önemli göstergeler vurgulanmıştır. 165'ten fazla fidye yazılımı ailesine ait örneklerden oluşturulan veri kümesi, zararlı yazılımların hem yapısal hem davranışsal özelliklerini içeren zengin bir temsil sunmaktadır. Söz konusu veri kümesi, kamuya açık çalışmalarda en fazla aile çeşitliliği oranına sahip olup, fazla temsil edilen yazılım türlerine karşı aşırı uyum sorununu azaltmaktadır. Deneysel sonuçlara göre sistem, her bir yazılımı \%96 doğrulukla gerçek zamanlı yaklaşık 9 saniyede çözümleyebilmekte ve anlık tahminleri yalnızca binde bir saniyelik gecikmeyle gerçekleştirebilmektedir. Bu performans, sistemin gerçek zamanlı ya da uç nokta güvenlik çözümleriyle entegre edilebileceğini göstermektedir. Bu çalışmanın temel katkıları şunlardır: (1) kamuya açık bütünleşik bir fidye yazılımı veri kümesinin sunulması, (2) yapısal ve davranışsal çözümlemenin bütünleştirilmesi, (3) ayırt edici özelliklerin belirlenmesi, (4) süre ve işlem verimi açısından performans değerlendirmesi yapılması, (5) modüler ve çalışma anında yapılandırılabilir bir izleme sistemi geliştirilmesi, (6) bellek izin değişimlerinin günlüğe kaydedilmesi, (7) fidye yazılımı ve zararsız yazılım örneklerinin istatistiksel olarak karşılaştırılması, (8) sınıflandırma kararlarının yorumlanabilirliğini sağlayan etki temelli bir analiz yöntemi sunulması.

Özet (Çeviri)

Ransomware represents one of the most severe and rapidly evolving cybersecurity threats due to its ability to cause irreversible damage by encrypting files and demanding ransom payments. Once executed, ransomware can block access to critical data within milliseconds, significantly disrupting operations in sectors such as healthcare, finance, and public services. Consequently, early and accurate detection—particularly before the encryption process is completed—is of utmost importance. Recent threat reports from government-level cybercrime monitoring agencies emphasize the persistent and large-scale damage caused by ransomware. For example, ransomware attacks have been identified as a leading cause of service disruption in critical infrastructure domains, including energy, water systems, transportation, and emergency healthcare networks. While direct ransom demands may account for millions in losses, they represent only a fraction of the broader economic impact, which also includes operational downtime, lost wages, third-party remediation efforts, and long-term data recovery challenges. The continuous emergence of new ransomware variants and strains further demonstrates the adaptability and persistence of attackers, highlighting the urgent need for robust and proactive detection mechanisms. Detection strategies in the literature generally fall into two main categories: static and dynamic analysis. Static approaches examine binaries without executing them, often relying on features such as opcode sequences or header information. Although computationally efficient, these techniques are vulnerable to code obfuscation, packing, or polymorphism. Dynamic analysis, by contrast, monitors runtime behaviors—such as API calls or memory manipulations—providing more contextual insights. However, it is also susceptible to evasion techniques, including environment-aware execution or benign mimicry. To overcome the limitations of both, hybrid approaches that integrate static and dynamic perspectives are increasingly being adopted for more resilient malware detection. This thesis proposes a hybrid analysis framework that combines static disassembly with dynamic behavioral monitoring to extract semantically meaningful features for ransomware classification. The system is designed for 32-bit Windows Executable files. Static features are obtained through the Radare2 disassembly engine at the instruction level, while dynamic features are collected during runtime using the Frida instrumentation toolkit. All samples are executed within a controlled Windows virtual environment to ensure safety, reproducibility, and consistency. The extracted feature set consists of opcode sequences and fine-grained API calls with argument-level context. In addition to conventional API tracing, dynamic hooks capture behaviors such as memory permission modifications, registry access, mutex creation, and anti-debugging tactics. Notably, the framework also records changes in Page Protection Flags, which are often indicative of memory tampering techniques such as shellcode injection or virtual memory manipulation. The framework's modular architecture allows for selective instrumentation of behaviors including file system access, shell command execution, and DNS resolution. This design supports targeted, extensible, and scalable behavioral profiling across diverse ransomware families. A comprehensive statistical analysis was conducted on the extracted features to determine which characteristics are most discriminative between ransomware and benign software. Features were categorized according to their prevalence across classes, enabling the identification of shared, ransomware-specific, and benign-specific behavioral traits. To further enhance interpretability, SHAP-based contribution analysis was employed to explain the decision-making process of the classifier, highlighting critical features such as memory access patterns, instruction-level anomalies, and API usage contexts. The resulting dataset—constructed from samples belonging to over 165 ransomware families—is publicly available and offers a rich hybrid representation that captures both structural and behavioral properties of malware. It also exhibits the highest known ratio of ransomware families to total ransomware samples in publicly available classification datasets, maximizing behavioral diversity and reducing overfitting to overrepresented families. When analyzed by a pre-trained XGBoost classifier, the framework achieves real-time prediction with a latency of only 0.0001 seconds, and completes the full analysis of each sample in under 9.1 seconds. These performance metrics highlight the feasibility of deploying the system in real-time or endpoint-based threat detection settings. The primary contributions of this study are as follows: (1) the release of a publicly available hybrid ransomware dataset, (2) the integration of Radare2 and Frida for semantic-level feature extraction, (3) the identification of discriminative behavioral indicators, (4) benchmarked performance on latency and throughput, (5) the development of a modular and runtime-configurable profiling architecture suitable for large-scale and evasive malware analysis, (6) the inclusion of memory permission logging via Page Protection Flags, (7) a statistical comparison of ransomware and benignware features, and (8) a SHAP-based interpretability framework for understanding classifier decisions.

Benzer Tezler

  1. Tez No

    836936

    Makine öğrenmesi algoritmalarının hibrit yaklaşımı ile ağ anomalisi tespiti

    Network anomaly detection with a hybrid approach of machine learning algorthms

    FEYZA ÖZGER

    Yüksek Lisans

    Türkçe

    Türkçe

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSakarya Uygulamalı Bilimler Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    DOÇ. DR. HALİT ÖZTEKİN

  2. Tez No

    836884

    Analysis of machine learning and deep learning techniques for ransomware detection

    Makine öğrenmesi ve derin öğrenme teknikleri kullanarak özellik seçimi tabanlı fidye yazılımı tespiti

    ELAF TALIB ABDULJABBAR ABDULJABBAR

    Yüksek Lisans

    İngilizce

    İngilizce

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolKarabük Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ İSA AVCI

  3. Tez No

    355318

    A hybrid approach for credibility detection in twitter

    Twitter'da güvenirlilik tespit için bir hibrit yaklaşım

    ALPER GÜN

    Yüksek Lisans

    İngilizce

    İngilizce

    2014

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolOrta Doğu Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. PINAR ŞENKUL

  4. Tez No

    624977

    Kanseı tabanlı ürün tasarımı için hibrit bir yaklaşım

    A hybrid approach for kansei based product design

    ESRA AKGÜL

    Doktora

    Türkçe

    Türkçe

    2020

    Endüstri ve Endüstri MühendisliğiErciyes Üniversitesi

    Endüstri Mühendisliği Ana Bilim Dalı

    PROF. DR. CEM SİNANOĞLU

    PROF. DR. EMEL KIZILKAYA AYDOĞAN

  5. Tez No

    892238

    A hybrid approach for cyberbullying detection

    Siber zorbalığın tespiti için hibrit bir yaklaşım

    DİLARA NİHADİOĞLU

    Yüksek Lisans

    İngilizce

    İngilizce

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAdana Alparslan Türkeş Bilim Ve Teknoloji Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. ESRA SARAÇ EŞSİZ

Geri Dön