Geri Dön

Anomaly detection in ınternet of medical things using deep learning

Anomaly detect ionin internet of medical things using deep learning

PDF İndir

  1. Tez No: 964929
  2. Yazar: AYŞE BETÜL BÜKEN
  3. Danışmanlar: PROF. DR. DEVRİM AKGÜN
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2025
  8. Dil: İngilizce
  9. Üniversite: Sakarya Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Yazılım Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Yazılım Bilim Dalı
  13. Sayfa Sayısı: 81

Özet

Sağlık hizmetlerinin dijital dönüşümü, özellikle Tıbbi Nesnelerin İnterneti (IoMT) teknolojilerinin yaygınlaşmasıyla birlikte önemli bir ivme kazanmıştır. IoMT, sensörler, giyilebilir cihazlar, implantlar, akıllı monitörler ve hasta takibi yapan tıbbi sistemlerin internete bağlanarak veri toplaması, işlemesi ve paylaşmasını mümkün kılan bir altyapıdır. Bu sistemler; uzaktan teşhis, gerçek zamanlı hasta izleme, ilaç takibi, acil müdahale sistemleri ve ameliyat sonrası bakım süreçlerinde kullanılmakta, hasta güvenliğini ve sağlık hizmetlerinin verimliliğini artırmaktadır. IoMT sayesinde doktorlar, hastalarla fiziksel temasa gerek kalmadan sürekli veri akışı sağlayabilirken, erken teşhis ve hızlı müdahale olanağı da sağlanmaktadır. Ancak bu dijitalleşme süreci, beraberinde ciddi güvenlik açıklarını ve siber tehditleri de getirmektedir. IoMT sistemleri, hem bireysel hem kurumsal düzeyde büyük miktarda hassas veriyi işler. Bu veriler; hastanın kimlik bilgileri, tıbbi geçmişi, anlık sağlık durumu ve tedavi süreci gibi kritik içerikler barındırır. Bu tür bilgiler siber saldırganlar için oldukça değerli olup, fidye yazılımları, veri sızıntıları ve kimlik hırsızlığı gibi saldırılara davetiye çıkarmaktadır. Ayrıca, IoMT cihazlarının çoğu sınırlı işlem gücüne ve enerji kapasitesine sahip olduğundan, geleneksel güvenlik protokollerini uygulamakta zorlanmakta ve bu durum onları daha savunmasız hale getirmektedir. IoMT sistemlerinde karşılaşılan başlıca tehditler arasında veri gizliliği ihlalleri, hizmet kesintileri, yetkisiz erişim, cihaz sahteciliği, yazılım açıklıklarının kötüye kullanılması, kötü amaçlı kod enjeksiyonu, fiziksel güvenlik açıkları ve tedarik zinciri saldırıları yer almaktadır. Ayrıca, bu cihazların birçok farklı üretici tarafından geliştirilmesi ve genellikle merkezi olmayan yapılara sahip olması, güvenlik yönetimini daha karmaşık hale getirmektedir. Tıbbi Nesnelerin İnterneti (IoMT) ağlarında, trafik hem iyi huylu (benign) hem de kötü niyetli (malicous) faaliyetlerden oluşabilir. İyi huylu trafik, herhangi bir zararlı amaç olmaksızın rutin veri toplama ve iletimi gibi cihazlar arasındaki normal iletişimi ifade eder. Ancak, çeşitli siber saldırı türleri bu ağları bozabilir. Bir Hizmet Reddi (DoS) saldırısı, kaynaklarını tüketmek ve kullanılamaz hale getirmek için çok sayıda istekle tek bir cihazı veya sunucuyu hedef alır. Bunun daha ciddi bir versiyonu, birden fazla tehlikeye atılmış cihazın aynı anda hedef sistemi sular altında bırakarak kurtarmayı daha da zorlaştırdığı Dağıtılmış Hizmet Reddi (DDoS) saldırısıdır. Sahtecilik, bir saldırganın yetkisiz erişim elde etmek veya iletişimi engellemek için IP veya MAC adresleri gibi verileri tahrif ederek kendisini güvenilir bir cihaz gibi gizlemesini içerir. Keşif (Recon) saldırıları, ağda güvenlik açıklarını araştırmak, hassas bilgileri toplamak ve gelecekteki istismar için sistemin mimarisini haritalamak için kullanılır. MQTT gibi hafif iletişim protokollerinin yaygın olduğu IoMT'de saldırganlar, kötü amaçlı yükler enjekte etmek, veri akışlarını ele geçirmek veya cihazlar ile sunucular arasındaki mesajlaşmayı bozmak için MQTT tabanlı güvenlik açıklarından yararlanabilir. Bu çeşitli tehditleri anlamak ve tespit etmek, IoMT sistemlerinin bütünlüğünü, gizliliğini ve kullanılabilirliğini korumak için önemlidir. IoMT sistemlerinin sunduğu avantajlardan en üst düzeyde yararlanabilmek için, bu sistemlerin karşı karşıya olduğu siber güvenlik tehditlerine karşı gelişmiş koruma stratejilerinin geliştirilmesi ve uygulanması büyük önem taşımaktadır. Bu yüksek lisans tezinde, IoMT ağlarında ortaya çıkan siber güvenlik açıklarının tespiti amacıyla gelişmiş anomali tespit yaklaşımları araştırılmış ve derinlemesine incelenmiştir. Araştırmanın temel amacı, modern ağ trafiği içinde normal ve anormal davranışları ayırt edebilen, öğrenme yeteneğine sahip makine öğrenmesi (ML) ve derin öğrenme (DL) tabanlı çözümler geliştirmek ve değerlendirmektir. Bu doğrultuda, günümüzün en kapsamlı ve gerçekçi veri kümelerinden biri olan CICIoMT2024 veri kümesi kullanılmıştır. Bu veri kümesi, çeşitli IoMT cihazlarından toplanan ağ trafiği verilerini içermekte olup 18 farklı saldırı türünün yanı sıra normal (benign) trafiği de kapsamaktadır. Tez çalışması üç temel sınıflandırma görevi üzerine yapılandırılmıştır: ikili sınıflandırma (zararsız vs. saldırı), 6 sınıflı sınıflandırma (saldırı türlerinin kategori bazında gruplanması) ve 19 sınıflı ayrıntılı saldırı sınıflandırması. İlk aşamada, temel makine öğrenmesi modelleri olan Lojistik Regresyon, Rastgele Orman (Random Forest) ve AdaBoost algoritmaları uygulanmıştır. Bu algoritmalar, standart ön işleme adımlarından geçirilen veri üzerinde eğitilmiş; veri temizleme, sınıf dengesizliğinin giderilmesi ve temel başarı metriklerinin (doğruluk, kesinlik, duyarlılık, F1 skoru) hesaplanması süreçleri takip edilmiştir. İkili sınıflandırma görevinde Random Forest modeli %98 doğruluk oranı ile oldukça başarılı sonuçlar vermiştir. Bu durum, karar sınırlarının belirgin olduğu basit görevlerde klasik modellerin hâlâ etkili olduğunu göstermektedir. Daha karmaşık sınıflandırma görevleri için derin öğrenme modelleri tercih edilmiştir. Bu kapsamda, Derin Sinir Ağları (DNN), 1-Boyutlu Konvolüsyonel Sinir Ağları (Conv1D), Yinelemeli Sinir Ağları (RNN) ve Uzun-Kısa Süreli Bellek (LSTM) gibi farklı DL mimarileri denenmiştir. Bu modellere ek olarak, hibrid yapıda olan ve RNN ile LSTM katmanlarının üzerine Dikkat Mekanizması (Attention) entegre edilen özel mimariler tasarlanmıştır. Bu hibrid model, zaman serisi tabanlı ve çok değişkenli verileri işleyebilme kabiliyeti sayesinde daha karmaşık görevlerde yüksek başarı sağlamıştır. Özellikle Yinelemeli Sinir Ağları, Uzun-Kısa Süreli Bellek ve Dikkat Mekanizması ile oluşturulan mimari, 2 sınıflı görevde %99, 6 sınıflı görevde %82 ve 19 sınıflı görevde %66 doğruluk oranı elde etmiştir. Bu oranlar, tek başına kullanılan DL mimarilerine kıyasla önemli bir gelişme ortaya koymuştur. Dikkat Mekanizması (attention), modelin giriş verilerindeki en anlamlı zaman adımlarına odaklanmasını sağlayarak, özellikle saldırı davranışlarının aralıklı veya gizli biçimde ortaya çıktığı durumlarda önemli bir avantaj sağlamıştır. Bu sayede, normal trafik ile benzer özellikler taşıyan DoS ve DDoS gibi saldırı türlerinin ayrımı daha başarılı bir şekilde gerçekleştirilmiştir. Ayrıca, hibrid modellerin katmanlı yapısı, verideki hem kısa vadeli (RNN katmanları ile) hem de uzun vadeli bağımlılıkları (LSTM katmanları ile) yakalayabilme imkânı sunmuştur. Bu başarılı sonuçlara rağmen çalışmada bazı kısıtlar da tespit edilmiştir. Öncelikle, çalışmanın tek bir veri kümesi ile sınırlı olması modelin genellenebilirliği açısından kısıtlayıcıdır. Ayrıca, derin öğrenme modelleri yüksek hesaplama maliyeti gerektirdiğinden, gerçek zamanlı veya uç nokta (edge) cihazlarda uygulanabilirlik açısından dezavantaj oluşturabilmektedir. Sınıf dengesizliği, her ne kadar örnekleme teknikleri ile azaltılmış olsa da, az temsil edilen saldırı türlerinde model başarısında düşüş yaşanmasına neden olmuştur. Bu kısıtların üstesinden gelmek ve alana katkı sağlamak amacıyla tezde çeşitli gelecek çalışmalara yönelik önerilerde bulunulmuştur. Öncelikli olarak, geliştirilen modellerin kenar cihazlarda (edge devices) çalıştırılabilmesi için model küçültme yöntemleri (örneğin pruning, quantization ve bilgi damıtma - knowledge distillation) ile optimize edilmesi önerilmektedir. Bununla birlikte, modelin karar mekanizmasının anlaşılabilirliğini artırmak adına açıklanabilir yapay zekâ (XAI) yaklaşımlarına da yer verilmelidir. SHAP, LIME veya dikkat ısı haritaları gibi araçlarla modelin hangi özelliklere göre karar verdiği görselleştirilebilir ve kullanıcı güveni artırılabilir. Ayrıca, veri kümesinin zenginleştirilmesi ve farklı kaynaklardan gelen IoMT trafiğinin modele dâhil edilmesi, genellenebilirliği artıracaktır. Özellikle farklı protokoller, cihaz türleri ve kullanım senaryoları içeren yeni veriler, modelin daha geniş kullanım alanlarında uygulanmasını sağlayacaktır. Öznitelik mühendisliği (feature engineering) alanında yapılacak geliştirmeler, modelin daha ayrıntılı saldırı türlerini ayırt edebilmesini kolaylaştırabilir. Özellikle mevcut özniteliklerin yetersiz kaldığı durumlarda, pcap dosyalarından yeniden ve daha ayrıntılı öznitelikler çıkarılması model başarısını artıracaktır. Modelin değişen trafik koşullarına ve çevresel değişkenlere uyum sağlayabilmesi için çevrim içi öğrenme (online learning), sürekli öğrenme (continual learning) ve alan uyumlaması (domain adaptation) gibi teknikler de önerilmektedir. IoMT sistemleri dinamik yapılara sahip olduğu için bu tür teknikler modelin zamana bağlı değişikliklere karşı dayanıklı kalmasını sağlayacaktır. Bununla birlikte, geliştirilen modellerin diğer veri kümeleri üzerinde test edilmesi, çapraz veri kümesi genelleme (cross-dataset generalization) konusunda önemli bilgiler sunacaktır. Böylelikle, modellerin farklı sistemlerdeki saldırılara karşı ne derece etkili olduğu değerlendirilebilecektir. Sonuç olarak, bu tez çalışması, IoMT ağlarında anomali tespiti için geliştirilen klasik makine öğrenmesi ve modern derin öğrenme tabanlı yaklaşımların kapsamlı bir karşılaştırmasını sunmaktadır. CICIoMT2024 veri kümesi üzerinde gerçekleştirilen deneyler sonucunda, özellikle hibrid DL modellerin çok sınıflı görevlerde öne çıktığı gözlemlenmiştir. Dikkat mekanizması, zamana duyarlı ve değişken yapılı trafiklerde karar verme sürecini önemli ölçüde iyileştirmiştir. Ancak bu başarıyı gerçek dünya koşullarına taşıyabilmek için açıklanabilirlik, model küçültme, veri kümesi çeşitlendirme ve adaptif öğrenme alanlarında yapılacak çalışmalar gerekmektedir. Sağlık hizmetlerinin daha fazla dijitalleştiği bu çağda, güvenli, ölçeklenebilir ve akıllı saldırı tespit sistemlerinin önemi her geçen gün artmaktadır. Bu çalışma, gelecekte geliştirilecek güvenlik altyapıları için önemli bir temel teşkil etmektedir.

Özet (Çeviri)

The increasing adoption of the Internet of Medical Things (IoMT) in healthcare systems offers transformative benefits in patient monitoring, real-time diagnostics and automated medical services. However, this growing integration of interconnected medical devices into healthcare infrastructures simultaneously opens up critical cybersecurity vulnerabilities. IoMT environments are particularly vulnerable due to their device heterogeneity, constrained computational capabilities and the high-stakes nature of patient data and services. Traditional signature-based intrusion detection systems (IDS) fall short in handling modern and evolving network threats, particularly zero-day attacks and subtle anomalous behavior that may not match known malicious patterns. Consequently, there is a pressing need for intelligent anomaly detection solutions that are capable of learning complex attack patterns from network data in IoMT contexts. This thesis presents a comprehensive investigation into machine learning (ML) and deep learning (DL) approaches for network-based anomaly detection using the CICIoMT2024 dataset, one of the most comprehensive benchmark datasets in this field. The goal is to evaluate and compare the effectiveness of different algorithms in classifying network traffic into normal and various anomalous categories, thereby providing a strong baseline for future IoMT security frameworks. The dataset includes traffic from diverse IoMT devices and comprises 18 distinct attack classes in addition to benign data. Our experiments are structured around three classification tasks: binary classification (benign vs. anomalous), 6-class classification (aggregated attack categories) and 19-class classification (fine-grained attacks). In the baseline evaluation, traditional machine learning models such as Logistic Regression, Random Forest and AdaBoost were trained using standard pipeline techniques involving data cleaning, class balancing, and performance metrics evaluation. For the binary classification task, Random Forest performed exceptionally well, achieving an accuracy of 0.98 along with high precision and recall, demonstrating that classical models are still highly effective for simple anomaly detection tasks where the decision boundaries are more clearly separable. To address more complex classification tasks, deep learning architectures were introduced. These included Dense Neural Networks (DNN), 1D Convolutional Neural Networks (Conv1D), Recurrent Neural Networks (RNN), Long Short-Term Memory (LSTM) networks and Attention mechanisms. Furthermore, we proposed hybrid deep learning models that combine RNN layers with LSTM units and Attention mechanisms. The hybrid model architecture, specifically the RNN + LSTM + Attention stack, demonstrated superior performance in handling multivariate time series data with spatial and temporal dependencies. This model achieved an accuracy of 0.99 in binary class task, 0.82 in the 6-class task and 0.66 in the 19-class task, significantly outperforming the standalone models The attention mechanism enhanced the model's capacity to focus on the most informative time steps, particularly in sequences where anomalous behavior manifests intermittently or subtly. This capacity to dynamically prioritize relevant temporal features proved crucial in distinguishing between closely related attack types, such as DoS vs. DDoS or Spoofing vs. Benign traffic. Additionally, the inclusion of stacked layers in the hybrid models allowed for multi-level abstraction, enabling the model to learn both short-term patterns (through RNN layers) and long-term dependencies (through LSTM layers). Despite these promising results, the research identified several limitations. First, the reliance on a single dataset, albeit comprehensive, may limit generalizability. Second, deep models entail considerable computational overhead, rendering them less feasible for real-time or edge deployment without optimization. Lastly, class imbalance, even after downsampling, remains a challenge in training fair and unbiased models, especially when detecting underrepresented attack types. To overcome these limitations and further advance the field, several recommendations for future work are proposed. One major direction involves optimizing models for real-time deployment on edge devices using model compression techniques like weight sparsification, reduced-precision formats and teacher-student training frameworks. Another crucial area is explainability—employing tools like SHAP, LIME, or attention heatmaps can help visualize decision-making processes and provide insights into model behavior, thereby increasing trust in AI-powered intrusion detection systems. Moreover, expanding the dataset to include traffic from newer IoMT devices and communication protocols would enhance generalization and adaptability to real-world conditions. Feature engineering is another avenue for improvement. Re-extracting and enriching feature sets from raw pcap files could uncover new, more discriminative patterns—especially those that are currently indistinguishable using the existing features. This could also improve classification performance for subtle or overlapping attack types. Furthermore, adaptability to dynamic conditions in IoMT networks, which frequently experience changes in traffic volumes, device states, and operational contexts, is critical. Online learning, domain adaptation, and continual training approaches could help ensure models remain effective over time. Lastly, cross-dataset generalization and benchmarking are necessary to test the robustness and transferability of proposed models across different network environments. Evaluating the trained models on other benchmark datasets or real-world IoMT traffic can reveal the degree to which these systems can handle diverse operational scenarios and novel attack strategies. In conclusion, this thesis provides a thorough and structured comparison of various machine learning and deep learning methods for anomaly detection in IoMT networks using a large, realistic dataset. The findings underscore the potential of hybrid deep learning models with attention mechanisms to outperform traditional techniques in complex classification tasks. Nevertheless, realizing practical and generalizable solutions requires further efforts in dataset diversification, model explainability, optimization for edge devices, and adaptive learning strategies. As healthcare continues to evolve into a more connected and data-driven domain, robust and intelligent anomaly detection systems will play a crucial role in protecting patient data and ensuring the continuity and security of critical medical services.

Benzer Tezler

  1. Tez No

    928518

    Enhancing security level of industrial internet of things devices based on botnet detection and feature selection

    Endüstriyel nesnelerin interneti cihazlarının güvenlik seviyesinin botnet tespiti ve özellik seçimi tabanlı geliştirilmesi

    WEAM HUSHAM ABDULWAHHAB AL JABBARI

    Yüksek Lisans

    İngilizce

    İngilizce

    2022

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolYıldız Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    PROF. DR. HASAN HÜSEYİN BALIK

    ASSOC. DR. MUHAMMED ALİ AYDIN

  2. Tez No

    730910

    Saldırı tespit ve engelleme sistemleri için yapay zeka tabanlı yeni bir güvenlik modelinin oluşturulması

    Building a new artificial intelligence based security model for intrusion detection and prevention systems

    İLHAN FIRAT KILINÇER

    Doktora

    Türkçe

    Türkçe

    2022

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolFırat Üniversitesi

    Elektrik ve Elektronik Mühendisliği Ana Bilim Dalı

    PROF. DR. ABDULKADİR ŞENGÜR

    DOÇ. DR. FATİH ERTAM

  3. Tez No

    887328

    Privacy and security enhancements of federated learning

    Federe öğrenme uygulamalarında mahremiyet ve güvenlik geliştirmeleri

    ŞÜKRÜ ERDAL

    Yüksek Lisans

    İngilizce

    İngilizce

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilişim Uygulamaları Ana Bilim Dalı

    PROF. DR. ENVER ÖZDEMİR

    DR. FERHAT KARAKOÇ

  4. Tez No

    639767

    Yapay zekâya dayalı anlamsal video işleme yöntemlerinin tıpta kullanılabilirliğinin araştırılması

    Investigation of usability of artificial intelligence semantic video processing methods in medicine

    HASAN UCUZAL

    Yüksek Lisans

    Türkçe

    Türkçe

    2020

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİnönü Üniversitesi

    Biyoistatistik ve Tıp Bilişimi Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ EMEK GÜLDOĞAN

  5. Tez No

    804903

    Nesnelerin interneti tabanlı ağ trafiğinde ileri makine öğrenimi ve derin öğrenme yöntemleri ile anomali tespiti

    Anomaly detection in internet of things based network traffic with advanced machine learning and deep learning methods

    YAĞIZ ONUR KOLCU

    Yüksek Lisans

    Türkçe

    Türkçe

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolAfyon Kocatepe Üniversitesi

    Bilgisayar Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ AHMET HAŞİM YURTTAKAL

Geri Dön