Geri Dön

Honeypot sistemlerden elde edilen logların makine öğrenmesi ile analizi

Analysis of logs obtained from honeypot systems using machine learning methods

PDF İndir

  1. Tez No: 952149
  2. Yazar: KÜBRA ÇAKMAK AYDIN
  3. Danışmanlar: PROF. DR. MEHMET ŞİMŞEK
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Cowrie honeypot sistemi, makine öğrenmesi algoritmaları, siber saldırı tespiti, SSH kaba kuvvet saldırıları, hizmet dışı bırakma saldırıları, Cowrie honeypot system, machine learning algorithms, cyber attack detection, SSH brute-force attacks, denial of service (DoS) attacks
  7. Yıl: 2024
  8. Dil: Türkçe
  9. Üniversite: Milli Savunma Üniversitesi
  10. Enstitü: Alparslan Savunma Bilimleri ve Milli Güvenlik Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Siber Güvenlik Bilim Dalı
  13. Sayfa Sayısı: 85

Özet

İnternetin küresel ölçekte yaygınlaşmasına paralel olarak siber tehditlerin çeşitliliğinin ve yoğunluğunun arttığı günümüzde, honeypot sistemleri hem saldırgan davranışlarını anlamak hem de gerçek zamanlı saldırı verileri toplamak için etkin ve düşük maliyetli çözümler sunmaktadır. Bu çalışmada, normal kullanıcı aktiviteleri ile saldırı senaryolarına ait ağ trafiğinden elde edilen log verileri kullanılarak, ağ trafiğinin normal ya da anormal (SSH brute-force ve DoS saldırıları) olup olmadığı, farklı makine öğrenmesi algoritmaları aracılığıyla tespit edilerek sınıflandırılmıştır. Bu doğrultuda, saldırı verilerinin toplanması amacıyla deneysel bir altyapı oluşturulmuş ve sistematik veri üretimi gerçekleştirilmiştir. Veri toplama süreci için VMware Workstation üzerinde Ubuntu ve Parrot OS işletim sistemlerinin birlikte kullanıldığı sanal bir test ortamı yapılandırılmıştır. Sanal ortam dâhilinde, SSH brute-force saldırılarına ilişkin verilerin elde edilmesi amacıyla Cowrie honeypot sistemi kurulmuş ve SSH servisi simüle edilmiştir. Gerçek tehdit aktörlerinden bağımsız olarak Hydra ve Medusa gibi araçlar kullanılarak yapay SSH brute-force saldırıları gerçekleştirilmiş ve bu saldırılar honeypot tarafından kaydedilmiştir. Bu log kayıtları ile Hping3 aracı kullanılarak yapılan kontrollü DoS saldırılarından ve normal kullanıcı aktivitelerinden elde edilen loglar birleştirilmiştir. Toplanan log kayıtları veri ön işleme süreçlerinden geçirilerek model eğitimi için uygun bir veri setine dönüştürülmüştür. Bu veri seti, çeşitli denetimli öğrenme algoritmaları ile çoklu sınıflandırma problemine tabi tutulmuştur. Yapılan deneysel değerlendirmelerde, veri seti üzerinde Rastgele Orman ve Karar Ağaçları algoritmalarının %92 doğruluk ve %0.99 ROC AUC değeri ile kötü niyetli etkinliklerin tespitinde diğer algoritmalara kıyasla daha üstün performans göstermiştir. Bu çalışma, makine öğrenmesi tabanlı saldırı tespit sistemleri için özgün ve dengeli bir veri seti sunarak literatüre önemli bir katkı sağlamakta ve aynı algoritmaların farklı veri setleri üzerindeki performans farklılıklarını analiz ederek veri kalitesinin model başarısındaki belirleyici rolünü ortaya koymaktadır.

Özet (Çeviri)

In today's world, where the diversity and intensity of cyber threats have increased in parallel with the global expansion of the internet, honeypot systems offer effective and low-cost solutions both for understanding attacker behaviors and for collecting real-time attack data. In this study, log data obtained from network traffic involving both normal user activities and attack scenarios were utilized to detect and classify whether the traffic is normal or anomalous (specifically, SSH brute-force and DoS attacks) using various machine learning algorithms. To this end, an experimental infrastructure was established and systematic data generation was carried out. A virtual test environment was configured using Ubuntu and Parrot OS operating systems within VMware Workstation. Within this environment, the Cowrie honeypot system was deployed to simulate SSH services and to collect data related to SSH brute-force attacks. Artificial SSH brute-force attacks were generated using tools such as Hydra and Medusa, independently of real threat actors, and were recorded by the honeypot. These log records were combined with those obtained from controlled DoS attacks performed using the Hping3 tool, as well as from normal user activities. The collected logs were then subjected to preprocessing procedures and transformed into a dataset suitable for model training. This dataset was evaluated as a multi-class classification problem using various supervised learning algorithms. Experimental results demonstrated that Random Forest and Decision Tree algorithms outperformed others in detecting malicious activities, achieving 92% accuracy and 0.99 ROC AUC. This study contributes significantly to the literature by providing an original and balanced dataset for machine learning-based intrusion detection systems and systematically analyzing the performance variations of the same algorithms on different datasets, thereby highlighting the critical role of data quality in model success.

Benzer Tezler

  1. Tez No

    373729

    Behavior based malicious software detection and classification

    Davranış tabanlı zararlı yazılım tespiti ve sınıflandırılması

    ABDURRAHMAN PEKTAŞ

    Yüksek Lisans

    İngilizce

    İngilizce

    2012

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolGalatasaray Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. TANKUT ACARMAN

  2. Tez No

    566222

    Kümelenmiş gömülü bir sistemde bal küpü ile saldırı ve saldırgan yapısının analizi

    Analysis of attack and attacker behavior on clustered embedded system with honeypot

    KADİR SÜMER

    Yüksek Lisans

    Türkçe

    Türkçe

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSüleyman Demirel Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ ARİF KOYUN

  3. Tez No

    967832

    Mitigating vulnerability leakage from llms for secure code analysis

    Güvenli kod analizi için büyük dil modellerinden kaynaklanan zafiyet sızıntısının azaltılması

    BENGÜ GÜLAY

    Yüksek Lisans

    İngilizce

    İngilizce

    2025

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolSabancı Üniversitesi

    Bilgisayar Bilimleri ve Mühendisliği Ana Bilim Dalı

    PROF. CEMAL YILMAZ

  4. Tez No

    847084

    Detection of common IoT authentication attacks and design of a lightweight authentication and key management protocol

    Nesnelerin internetinde yaygın asıllama saldırılarının belirlenmesi ve hafifsıklet asıllama ve anahtar yönetimi protokolünün tasarımı

    IŞIL ÇETİNTAV

    Doktora

    İngilizce

    İngilizce

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ MEHMET TAHİR SANDIKKAYA

  5. Tez No

    476209

    Kısıtlı kaynak kullanılarak düşük maliyetli siber tuzak sistemi kurulması ve yönetilmesi

    Developing distributed cost effective cyber trap system using limited resources

    BURAK ÇAKMAK

    Yüksek Lisans

    Türkçe

    Türkçe

    2016

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolHava Harp Okulu Komutanlığı

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. GÜRAY YILMAZ

Geri Dön