SİBER SALDIRILARIN TESPİTİNDE YAPAY ZEKÂ TABANLI ALGORİTMA TASARIMI

Abstract

ÖZET

İnternet ağlarındaki hızlı genişleme bilgisayar ağlarında güvenliğin sağlanmasını zorlaştırmaktadır. Siber saldırıların tespiti ve önlenmesi zorlu bir süreçtir. Bu saldırıların tespiti ve önlem alınması için Saldırı Tespit Sistemleri (IDS'ler) ve Saldırı Önleme Sistemleri (IPS’ler) geliştirilmiştir. Farklı güvenlik çözüm önerilerinin çeşitlendirilmesine rağmen IDS'lerin hala düşük algılama doğruluğu (Acc), Yanlış Negatifler (FN) ve Yanlış Pozitifler (FP) gibi bazı zayıf yanları bulunmaktadır. Bu sorunların giderilmesinde ise izinsiz giriş tespit doğruluğunu artırmaya yardımcı olan ve yanlış negatif oranını ve yanlış pozitif oranını büyük ölçüde azaltan Yapay Zeka (YZ) çözümleri ve Makine Öğrenimi (ML) teknikleri kullanılmaktadır. Siber uzaydaki tehditlerin belirlenmesinde yapay zekâ yöntemleriyle birleştirilerek siber saldırılara karşı yeni yöntemler önerilmektedir. Bu araştırmalar siber güvenlik alanında makine öğrenmesi ve derin öğrenme yöntemlerinin geleneksel kural tabanlı algoritmalara karşı daha başarılı sonuçlar ortaya çıkardığını göstermiş olsada; hala geliştirilen saldırı modellerinden IDS'lerin düşük algılama doğruluğu, Yanlış Negatifler (FN) ve Yanlış Pozitifler (FP) gibi saldırıların tespit edilmesinde eksik yönleri bulunmaktadır. Bu tez çalışmasının ilk bölümünde bilgisayar ağlarına yönelik siber saldırıların tespitinde veri setindeki özelliklerin frekans etkileri incelenmiştir. İlk olarak veriseti içindeki özniteliklerin frekansları belirlenmiştir. Belirlenen özniteliklerin yüksek frekans özelliklerinin siber saldırıları tespit etmedeki etkisi, yaygın olarak kullanılan makine öğrenme algoritmaları Random Forest (RF), J48, Naive Bayes (NB) ve Multi-Layer Perceptron (MLP) ile incelenmiştir. Her bir algoritmanın performansı Kesinlik (P), FP, Doğruluk (Acc) ve Gerçek Pozitif (TP) Oranı istatistikleri dikkate alınarak değerlendirilmiştir. NSL-KDD veri setindeki farklı tipteki siber saldırıların tespiti makine öğrenmesi algoritmaları ile analiz edilmiştir. Saldırı tespitinde makine öğrenmesi algoritmalarının başarı kriterleri olarak P, Receiver Operating Characteristic (ROC), F1 skoru, hatırlama ve doğruluk istatistikleri seçilmiştir. Sonuçlar, yüksek frekansa sahip özelliklerin saldırıları tespit etmede etkili olduğunu göstermiştir.

Tez çalışmasının ikinci bölümünde yaygın olarak görülen siber saldırıların tespit edilmesinde iki farklı veriseti kullanılarak 4 farklı saldırı tespit modeli önerilmiştir. Tasarlanan saldırı tespit modelleri NSL-KDD ve CICIDS2018 verisetleri ile test edilmiştir. Önerilen modellerde ilk olarak verisetleri ön işlem ile normalize edilmiştir. Daha sonra hibrit modelde kullanılan Long Short-Term Memory (LSTM) ve Convolutional Neural Network (CNN) algoritmaları ile normalize edilmiş verilerden öznitelik çıkarım işlemi yapılmıştır. Son aşamada LightGBM ve XGBoost algoritmalarının saldırıları tespit edilmesi için sınıflandırma algoritması olarak kullanılmıştır. Önerilen modellerin test edilmesinde doğruluk, kesinlik, recall ve F1 score parametreleri kullanılmıştır. Yapılan deneysel çalışmada SQL Injection, Brute Force ve Denial-of-Service Attack (DoS) atakların tespitinde XGBoost algoritmasının daha başarılı sonuçlar elde ettiği görülmüştür. Önerilen bir diğer modelde ise CNN-LSTM/LightGBM algoritmaları ile yapılan testlerde, yaygın olarak görülen 14 saldırı türünün tespitinde başarılı olduğu görülmüştür.

ABSTRACT

The rapid expansion in internet networks makes it difficult to provide security in computer networks. Detection and prevention of cyber attacks are challenging processes. Intrusion Detection Systems (IDSs) and Intrusion Prevention Systems (IPS) have been developed to detect and take action against these attacks. Despite the diversification of different security solution proposals, IDSs still have some weaknesses such as low detection accuracy (Acc), False Negatives (FN), and False Positives (FP). Artificial Intelligence (AI) solutions and Machine Learning (ML) techniques are used to solve these problems, which helps to increase the intrusion detection accuracy and greatly reduces the false negative rate and false positive rate. New methods are proposed against cyber attacks by combining them with artificial intelligence methods in identifying threats in cyber space. Although these studies have shown that machine learning and deep learning methods in the field of cyber security are more successful than traditional rule-based algorithms; IDSs, which are still developed attack models, have shortcomings in detecting attacks such as low detection accuracy, False Negatives (FN) and False Positives (FP). In the first part of this thesis, the frequency effects of the features in the data set were examined in the detection of cyber attacks against computer networks. First, the frequencies of the features in the dataset were determined. The effect of the high frequency properties of the determined features in detecting cyber attacks was investigated by widely used machine learning algorithms Random Forest (RF), J48, Naive Bayes (NB) and Multi-Layer Perceptron (MLP). The performance of each algorithm was evaluated considering the Precision (P), FP, Accuracy (Acc) and True Positive (TP) Ratio statistics. The detection of different types of cyber attacks in the NSL-KDD dataset was analyzed by machine learning algorithms. P, Receiver Operating Characteristic (ROC), F1 score, recall and accuracy statistics were chosen as the success criteria of machine learning algorithms in attack detection. The results showed that features with high frequency are effective in detecting attacks.

In the second part of the thesis, 4 different attack detection models were proposed by using two different datasets to detect common cyber attacks. The designed intrusion detection models were tested with NSL-KDD and CICIDS2018 datasets. In the proposed models, firstly, the datasets were normalized by preprocessing. Then, feature extraction was performed from the data normalized with the Long Short-Term Memory (LSTM) and Convolutional Neural Network (CNN) algorithms used in the hybrid model. In the last stage, LightGBM and XGBoost algorithms were used as classification algorithms to detect attacks. Accuracy, precision, recall and F1 score parameters were used to test the proposed models. In the experimental study, it was seen that the XGBoost algorithm achieved more successful results in detecting SQL Injection, Brute Force and Denial-of-Service Attack (DoS) attacks. In another proposed model, in tests with CNN-LSTM/LightGBM algorithms, it was found to be successful in detecting 14 common attack types.