Geri Dön

Güvenlik operasyonu merkezlerinde olayların önceliklendirilmesi ve analist atamasına yönelik çok kriterli bir karar destek çerçevesi

A multi-criteria decision support framework for incident prioritization and analyst assignment in security operations centers

PDF İndir

  1. Tez No: 960020
  2. Yazar: EYÜP CAN KILINÇDEMİR
  3. Danışmanlar: DR. ÖĞR. ÜYESİ BARIŞ ÇELİKTAŞ
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2025
  8. Dil: Türkçe
  9. Üniversite: Işık Üniversitesi
  10. Enstitü: Lisansüstü Eğitim Enstitüsü
  11. Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Siber Güvenlik Bilim Dalı
  13. Sayfa Sayısı: 80

Özet

Bu çalışmada, Güvenlik Operasyon Merkezleri (SOC) için olay atama ve önceliklendirme süreçlerine yönelik kapsamlı ve ölçeklenebilir bir çerçeve önerilmektedir. Önerilen model; analist iş yoğunluğu, alarm yoğunluğu ve tutarsız olay yönetimi gibi temel operasyonel zorlukları ele alarak SOC iş akışlarını optimize etmeyi amaçlamaktadır. Geliştirilen çerçeve, her bir olayı; şiddet seviyesi, SLA aciliyeti, olay türü, varlık kritiklik düzeyi, tehdit istihbaratı göstergeleri, tekrar sıklığı ve geçmiş olay verilerine dayalı korelasyon puanı gibi çok sayıda faktörü içeren çok kriterli bir puanlama modeli ile değerlendirmektedir. Bu değerlendirme süreci, dinamik olay puanlarını hesaplayan ve olayın karmaşıklık düzeyini belirleyen matematiksel fonksiyonlar aracılığıyla biçimsel hale getirilmiştir. Eşzamanlı olarak, analist profilleri; iş yükü dağılımını ve uzmanlık uyumunu dikkate alan iki yenilikçi metrik olan Analist Yük Faktörü (ALF) ve Deneyim Uyumluluk Faktörü (EMF) kullanılarak nicelleştirilmiştir. Olay–analist eşleştirme süreci, olay önceliği ile analist uygunluğunu dengeleyen kısıtlı bir optimizasyon problemi olarak tanımlanmıştır. Bu formülasyon; olayların en uygun analistlere, gerçek zamanlı ve otomatik olarak atanmasını sağlarken; operasyonel değerin korunmasını ve triyaj hassasiyetinin sürdürülmesini mümkün kılar. Model, algoritmik yalancı kodlar, puanlama tabloları ve büyük ölçekli SOC ortamlarında modelin karar mantığını ve pratik uygulanabilirliğini gösteren örnek bir vaka çalışması ile doğrulanmıştır. Gerçek dünya koşullarında çerçevenin geçerliliğini değerlendirmek amacıyla, CICIDS2017 benchmark veri setinden seçilen 10 saldırı senaryosu kullanılarak ampirik bir vaka çalışması gerçekleştirilmiştir. Genel olarak, bu çalışmanın katkısı; ikili faktöre dayalı bir analist puanlama şemasının biçimselleştirilmesi ve bağlamsal olay özelliklerinin uyarlanabilir ve kural tabanlı bir yapı çerçevesiyle bütünleştirilmesidir. Operasyonel değeri daha da artırmak amacıyla, gelecekte yapılacak çalışmalarda dinamik ağırlıklandırma mekanizmaları ile gerçek zamanlı SIEM veri akışlarıyla entegrasyon sağlanması planlanmaktadır. Ayrıca, analist geri bildirim döngülerinin ve denetimli öğrenme modellerinin sisteme entegre edilmesiyle olay-atama ve önceliklendirme süreçlerinin sürekli olarak iyileştirilmesi hedeflenmektedir.

Özet (Çeviri)

In this thesis, we propose a comprehensive and scalable framework for incident assignment and prioritization in Security Operations Centers (SOCs). The proposed model aims to optimize SOC workflows by addressing key operational challenges such as analyst fatigue, alert overload, and inconsistent incident handling. Our framework evaluates each incident using a multi-factor scoring model that incorporates severity level, service-level agreement (SLA) urgency, incident type, asset criticality, threat intelligence indicators, frequency of repetition, and a correlation score derived from historical incident data. We formalize this evaluation through a set of mathematical functions that compute a dynamic incident score and derive incident complexity. In parallel, analyst profiles are quantified using Analyst Load Factor (ALF) and Experience Match Factor (EMF), two novel metrics that account for both workload distribution and expertise alignment. The incident–analyst matching process is expressed as a constrained optimization problem, where the final assignment score is computed by balancing incident priority with analyst suitability. This formulation enables automated, real-time assignment of incidents to the most appropriate analysts, while ensuring both operational fairness and triage precision. The model is validated using algorithmic pseudocode, scoring tables, and a simplified case study, which illustrates the real-world applicability and decision logic of the framework in large-scale SOC environments. To validate the framework under real-world conditions, an empirical case study was conducted using 10 attack scenarios from the CICIDS2017 benchmark dataset. Overall, our contributions lie in the formalization of a dual-factor analyst scoring scheme and the integration of contextual incident features into an adaptive, rule-based assignment framework. To further strengthen operational value, future work will explore adaptive weighting mechanisms and integration with real-time SIEM pipelines. Additionally, feedback loops and supervised learning models will be incorporated to continuously refine analyst-incident matching and prioritization.

Benzer Tezler

  1. Tez No

    740430

    Amerika Birleşik Devletleri'nin 2001-2021 döneminde Afganistan'daki varlığının askeri ve siyasi sonuçları

    The united states of America during the 2001-2021 period: Military and political consequences of it's presence in Afghanistan

    MOHAMMAD EQBAL SEDIQI

    Yüksek Lisans

    Türkçe

    Türkçe

    2022

    HukukMilli Savunma Üniversitesi

    Harp ve Silahlı Çatışma Hukuku Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ ERAY GÜÇLÜER

  2. Tez No

    869567

    Hastanemizde yapılan laparoskopik transabdominal servikal serklaj olgularının retrospektif analizi ve laparoskopik transabdominal servikal serklaj işleminin obstetrik sonuçlar üzerindeki etkisi

    Retrospective analysis of laparoscopic transabdominal cervical cerclage cases performed in our hospital and the effect of laparoscopic transabdominal cervical cerclage procedure on obstetric results

    ÇAĞLANUR YILDIZ

    Tıpta Uzmanlık

    Türkçe

    Türkçe

    2024

    Kadın Hastalıkları ve DoğumOndokuz Mayıs Üniversitesi

    Kadın Hastalıkları ve Doğum Ana Bilim Dalı

    DOÇ. DR. AYŞE ZEHRA ÖZDEMİR

  3. Tez No

    953451

    Development of a spatial model on nuclear power plant accidents based on vulnerability and evacuation plans

    Kırılganlık ve tahliye planlarına dayalı nükleer santral kazaları için mekansal bir modelin geliştirilmesi

    MARYNA BATUR

    Doktora

    İngilizce

    İngilizce

    2025

    Jeodezi ve Fotogrametriİstanbul Teknik Üniversitesi

    Geomatik Mühendisliği Ana Bilim Dalı

    PROF. DR. REHA METİN ALKAN

  4. Tez No

    629264

    Building a security operations center with an enhanced cyber intelligence capability

    İleri siber istihbarat yeteneği ile donatılmış güvenlik operasyonları merkezi kurma

    KAAN ÖZYAZICI

    Yüksek Lisans

    İngilizce

    İngilizce

    2020

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolYaşar Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. AHMET HASAN KOLTUKSUZ

  5. Tez No

    938434

    Güvenlik operasyon merkezlerinde açık kaynak uygulamaların değerlendirilmesi

    Evaluation of open source applications in security operations centers

    OKAN ŞENGÜR

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolÜsküdar Üniversitesi

    Siber Güvenlik Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ NURİ BİNGÖL

Geri Dön