CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Stratejileri

Anomali Tespiti: Normal Trafik ve Şüpheli Sıçramalar Arasındaki Farklar

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Stratejileri

Anomali tespiti, siber güvenlikte kritik bir rol oynar. Normal davranışların anlaşılması, şüpheli aktivitelerin zamanında tespit edilmesini sağlar.

Anomali Tespiti: Normal Trafik ve Şüpheli Sıçramalar Arasındaki Farklar

Anomali tespiti, siber güvenlikte suçları önlemenin anahtarıdır. Normal davranışları bilmek, şüpheli aktiviteleri tanımlamak için gereklidir. Bu yazıda, anomali tespitinin önemli yönlerini keşfedin.

Giriş ve Konumlandırma

Anomali Tespiti Nedir?

Anomali tespiti, siber güvenlik alanında kritik bir rol oynayan, anormal davranışların tespit edilmesine yönelik bir süreçtir. Genellikle bir sistemin, ağın veya kullanıcıların belirli bir zaman diliminde gözlemlenen normal davranış profiline dayalı olarak çalışır. Bu profildeki farklılıklar, olası tehditlerin veya saldırıların belirlenmesine yardımcı olabilir. Örneğin, bir kullanıcının bir günde yaptığı erişim sayısının tüm diğer günlerden belirgin bir şekilde fazla olması, anomali olarak değerlendirilerek Siber Güvenlik ekipleri tarafından incelenmelidir.

Anomali tespiti sürecinin en önemli bileşeni, "normal" davranış olarak tanımlanan temel çizgiyi belirlemektir. Temel çizgi olarak bilinen bu profil, bir sistemin trafik akışını, kullanıcı davranışını ve diğer parametreleri izlemesi ile oluşturulur. Süreklilik içinde toplanan veriler, istatistiksel yöntemler ile işlenerek norm dışı davranışlar belirlenir.

Anomalilerin Önemi

Siber güvenlik bağlamında, anomali tespiti genel olarak iki ana amaca hizmet eder: saldırıların önlenmesi ve anormal aktivitelerin hızlı bir şekilde ortaya çıkarılması. Anomali tespitinin en büyük avantajı, bilinmeyen saldırı yöntemlerini saptayabilmesidir. İmza tabanlı sistemler yalnızca tehdit istihbaratı listelerinde yer alan bilinen tehditleri algılayabilirken; anomali tespit sistemleri "bilinmeyen bilinmeyenler" olarak adlandırılan yeni tehditlere karşı savunma sağlar. Bu yetenek, özellikle zero-day saldırılarda etkin bir korunma sağlar.

Siber güvenlikte anomali tespiti, pentest (penetrasyon testi) ve savunma stratejilerinin ayrılmaz bir parçasıdır. Bir penetrasyon testi sırasında, test uzmanları sistemdeki zayıf noktaları keşfetmeye çalışırken, anomali tespiti bu zayıflıklardan yararlanarak kötü niyetli saldırılar hakkında veri sağlamak adına kritik bir destek mekanizması oluşturur. Anomali tespiti, olay müdahale süreçlerinde bile önemli bir rol oynayarak, kurumsal altyapılarda gerçekleşen saldırıları zamanında tespit etmeyi sağlar.

Anomali Tespit Yöntemleri

Anomali tespit yöntemleri genellikle üç kategoriye ayrılabilir: noktasal anomali, bağlamsal anomali ve kolektif anomali. Bu ayrım, her bir anomali tipinin kendine özgü özellikleri ve değerlendirme yöntemleri olmasını sağlar:

  1. Noktasal Anomali (Point Anomaly): Tek bir veri noktasının normalden aşırı sapmasıdır. Örneğin, bir sunucudan bir saniyede 1 GB veri gönderilmesi çoğu zaman anomali olarak kabul edilir.

  2. Bağlamsal Anomali (Contextual Anomaly): Verinin tek başına normal görünüp, içinde bulunduğu bağlamda anormal olmasıdır. Örneğin, gece 03:00'te bir sistem yöneticisinin ağda oturum açması, normalde kabul edilen bir davranış olmayabilir.

  3. Kolektif Anomali (Collective Anomaly): Tekil olayların normal görünüp, bir araya geldiklerinde şüpheli bir desen oluşturmasıdır. Örneğin, bir dizi kullanıcıdan gelen mengene benzeri giriş talepleri, sistemde bir saldırı olduğuna işaret edebilir.

Anomali Tespitinin Zorlukları

Anomali tespiti ile ilgili en büyük zorluklardan biri yanlış alarm üretme potansiyelidir. Anomali tespit sistemleri, olağandışı ancak zararsız her hareketi saldırı olarak değerlendirmek suretiyle sahte alarmlara yol açabilir. Bu durum, güvenlik ekipleri üzerinde gereksiz bir yük oluşturur ve gerçek tehditlerin dikkatlerden kaçmasına neden olabilir. Anomali tespiti uygulamalarında mevsimsellik ve bağlam gibi dış faktörlerin dikkate alınması, bu tür yanlış alarm durumlarının azaltılmasına yardımcı olur.

Sonuç olarak, anomali tespiti, siber güvenlik stratejilerinin kritik bir bileşeni olarak kendini göstermektedir. Modern tehditlere karşı etkin bir savunma oluşturabilmek amacıyla, bu yöntemlerin iyi bir şekilde anlaşılması ve uygulanması gerekmektedir. Anomali tespitinde kullanılan teknikler ve yaklaşımlar, sisteminize yönelik daha sofistike savunma mekanizmaları geliştirmenize olanak tanır.

Teknik Analiz ve Uygulama

Normali Tanımak

Anomali tespiti, siber güvenlik stratejilerinin önemli bir parçasıdır ve bu süreç, bir sistemin, kullanıcının veya ağın uzun süre boyunca izlenmesiyle oluşturulan "normal" davranış profilinin belirlenmesiyle başlar. Normal davranışı tanımlamak için istatistiksel ölçütler ve belirli algoritmalar kullanılır. Standart sapma (Standard Deviation) ve Z-skoru (Z-Score) gibi istatistiksel terimler, verilerin normal dağılımını anlamak için kritik öneme sahiptir. Örneğin, bir ağda iletilen veri miktarının normal düzeyde olması beklenirken, bunun aniden 1 GB'a çıkması bir anomali olarak değerlendirilebilir.

import numpy as np

# Verilerinizi oluşturun
data = np.random.normal(100, 10, 1000)

# Ortalama ve standart sapma hesaplama
mean = np.mean(data)
std_dev = np.std(data)

# Z-skoru hesaplama fonksiyonu
def z_score(value, mean, std_dev):
    return (value - mean) / std_dev

Burada, Z-skoru, bir veri noktasının ortalamadan ne kadar uzak olduğunu anlamada yardımcı olan bir metriktir. Bu sonuç, normal dışındaki davranışların ayrımını yapmamıza olanak tanır.

Zero-Day Savunması

Zero-day saldırıları, bilinmeyen güvenlik açıklarından yararlanarak gerçekleştirilen siber saldırılardır. Anomali tespiti, bu tür saldırıların tespit edilmesinde kritik bir öneme sahiptir çünkü geleneksel imza tabanlı sistemler bilinmeyen tehditleri algılayamaz. Anomali tespiti, henüz hiçbir tehdit istihbarat listesindeki saldırı yöntemlerini yalnızca davranışsal sapmalar izlenerek yakalamaya olanak tanır.

Bu yaklaşımda temel olarak anomali türlerini anlamak ve doğru analiz stratejisi geliştirmek önemlidir. Daha fazla verinin analiz edilmesi, potansiyel tehditleri belirlemede bize yardımcı olabilir.

Sapma Türleri

Anomali tespiti bağlamında üç ana sapma türü vardır: nokta anomali (Point Anomaly), bağlamsal anomali (Contextual Anomaly) ve toplu anomali (Collective Anomaly).

  • Nokta Anomali: Tek bir veri noktasının normdan aşırı sapması. Örneğin, bir sunucudan bir anda 10 katı kadar veri gönderilmesi.

  • Bağlamsal Anomali: Veri tek başına normal görünebilir; ancak içinde bulunduğu bağlamda anormaldir. Örneğin gece saat 03:00'te bir sistem yöneticisinin giriş yapması.

  • Toplu Anomali: Tekil olayların normal olduğu, ancak bir araya geldiklerinde şüpheli bir desen oluşturduğu durumdur. Örneğin, belirli bir zaman diliminde birden fazla başarısız giriş denemesi.

Aykırı Veri

Aykırı veri, genel dağılımın çok dışına düşen verilere işaret eder. Anomali tespit süreçlerinde, bu veriler analiz edilerek güvenlik tehditlerinin tespiti sağlanabilir. Bu noktada istatistiksel tanımlamalar devreye girer.

Bir veri kümesinde bir aykırı değerlilik tespit edilmesi, genellikle istatistiksel bir modelin yeniden değerlendirilmesine neden olabilir. Yanlış alarm oluşumlarının önlenmesi için dikkatli bir analiz yapılması gerekir.

# Aykırı değerleri bulma
def find_outliers(data, threshold=3):
    mean = np.mean(data)
    std_dev = np.std(data)
    outliers = [x for x in data if (x < mean - threshold * std_dev) or (x > mean + threshold * std_dev)]
    return outliers

outliers = find_outliers(data)

Yukarıdaki kod, belirli bir eşik değeri kullanarak aykırı değerleri tespit etmektedir.

Mevsimsellik ve Bağlam

Anomali tespitinde mevsimsellik ve bağlam oldukça önemlidir. Örneğin, Black Friday gibi özel günlerde bir e-ticaret sitesinde görülen trafik artışı, bir saldırı olarak değerlendirilmemelidir. Bu tür mevsimsel dalgalanmalar, yanlış alarm (False Positive) üretmemek için analiz edilmelidir.

Mevsimsellik analizi, belirli zaman dilimlerinde verilerin tekrar eden desenlerini tanımlamak amacıyla kullanılır. Bu bağlamda, sadece sayılara değil, aynı zamanda dış faktörlere de dikkat edilmelidir. 

import pandas as pd

# Örnek veri
dates = pd.date_range(start='2023-01-01', periods=365)
sales = np.random.poisson(200, 365) + 100 * np.sin(np.linspace(0, 3.14 * 2, 365))

data = pd.DataFrame({'Date': dates, 'Sales': sales})

# Mevsimsellik analizi
data['Weekday'] = data['Date'].dt.weekday
grouped = data.groupby('Weekday')['Sales'].mean()

Yukarıdaki kod, mevsimselliği analiz etmek için kullanılır. Belirli günlerdeki satışların ortalamasını hesaplayarak, hangi günlerin normal, hangi günlerin anormal olduğunu belirleyebiliriz.

Hatalı Sinyaller

Anomali tespit sistemlerinin en büyük dezavantajı, olağandışı fakat zararsız her hareketin saldırı olarak algılanabilme potansiyelidir. Bu durum, yanış alarm üretimi olarak adlandırılır. Yanlış alarmlar, güvenlik ekiplerinin kaynaklarını boşa harcamasına neden olabileceği için anomali tespit süreçlerinde dikkatli bir iyileştirme gerektirir.

Siber güvenlikte, sahte alarmların sistematik olarak tespit edilmesi için, doğru istatistiksel standart değerlerinin belirlenmesi ve analiz stratejilerinin geliştirilmesi kritik öneme sahiptir. Bu nedenle, olası yanlış alarm durumlarında sistemin yeniden değerlendirilmesi gerektiği unutulmamalıdır.

Risk, Yorumlama ve Savunma

Siber güvenlik ortamında anomali tespiti, sistemlerin ve ağların normal davranış profillerinin belirlenmesi ve bu profillerden sapmaların izlenmesi açısından kritik bir öneme sahiptir. Ancak bu süreç, riskleri değerlendirmek ve olayların anlamını yorumlamak için titizlik gerektiren bir süreçtir. Aşağıda bu sürecin belirli aşamaları ve önemli noktaları hakkında detaylar sunulacaktır.

Normali Tanımak

Başarılı bir anomali tespiti için ilk adım, bir sistemin veya ağın "normal" davranış profiline dair bir temel oluşturulmasıdır. Bu temelin oluşturulmasında genellikle uzun bir zaman dilimi boyunca toplanan veriler kullanılır. Belirlenen bu normal davranış, herhangi bir mevcut veya potansiyel tehdidin değerlendirilmesinde kritik bir referans noktası sağlar. Örneğin, belirli bir uygulamanın günde ortalama 2000 kullanıcı tarafından kullanıldığı ve bu kullanımın ani bir yükselişle 10000’e çıkması gibi durumlar, potansiyel bir güvenlik tehdidi olarak yorumlanabilir.

Risk Değerlendirmesi

Bir anomali tespit edildiğinde, ilk adım olarak yapılması gereken risk değerlendirmesi, anomali türünü ve kapsamını belirlemektir. Aykırı değerler (outlier) olarak adlandırılan bu durumlar, istatistiksel analizler aracılığıyla belirlenir. Bir anomali tespit sistemi, sadece sayısal verilere odaklanmamalıdır; aynı zamanda mevsimsellik ve kullanıcı davranışları gibi dış faktörleri de dikkate almalıdır.

Aşağıda, siber güvenlikte karşılaşılan üç temel anomali türü ve bu türlerin risk değerlendirmesi açısından önemi açıklanmaktadır:

  1. Point Anomaly: Tek bir veri noktasının normalden aşırı sapmasıdır. Örneğin, bir saniyede 1 GB veri gönderimi, normal bir kullanıcı aktivitesi değildir ve bu tür durumlar hızlı bir şekilde incelenmelidir.

    # Aykırı değer analizi
data = [100, 102, 98, 2000, 101]  # Bu veri kümesinde 2000 bir aykırı değer
avg = sum(data) / len(data)
std_dev = (sum((x - avg) ** 2 for x in data) / len(data)) ** 0.5
z_scores = [(x - avg) / std_dev for x in data]

  2. Contextual Anomaly: Verinin tek başına normal görünüp, içinde bulunduğu bağlamda anormal olmasıdır. Örneğin, gece saat 03:00'te bir sistem yöneticisinin sisteme girmesi, beklenmedik bir durumdur ve şüphe uyandırabilir.

  3. Collective Anomaly: Normal görünen tekil olayların bir araya gelerek anormal bir desen oluşturmasıdır. Örneğin, birkaç gün boyunca belirli bir gün saat 14:00'te gerçekleşen girişimler, başka günlerdeki girişimlerle kıyaslandığında alarmlara neden olabilir.

Hatalı Sinyaller ve Yanlış Alarm Yönetimi

Anomali tespit sistemlerinin bir dezavantajı, yanlış alarm (false positive) üretme potansiyelidir. Bu, zararsız olan olağandışı hareketlerin saldırı olarak algılanmasına neden olur ve güvenlik uzmanlarını gereksiz yere meşgul edebilir. Bu tür durumlar, anomali tespit algoritmalarının optimizasyonunu ve eğitim sürecini önemli kılmaktadır. Ayrıca, sistem yöneticilerinin bu yanlış alarmlar için bir değerlendirme süreci geliştirmesi gerekmektedir.

Savunma Stratejileri ve Hardening Önerileri

Belirlenen anomali türleri ve analiz sonuçlarına göre, uygun savunma stratejileri belirlenmelidir. Özellikle aşağıdaki önlemler değerlendirilebilir:

  • Güvenlik Duvarı Kuralları: Şüpheli trafik belirlenirse, güvenlik duvarı kurallarının güncellenmesi veya değiştirilmesi gerekmektedir.

  • Erişim Kontrolleri: Özellikle belirli zaman dilimlerinde erişim kontrol listelerinin gözden geçirilmesi önemlidir. Anormal zamanlarda veya yerlerden gelen girişimlere yanıt vermek için ek kimlik doğrulama.

  • Log İncelemesi ve İzleme: Sistem ve ağ loglarını düzenli olarak incelemek ve anomali tespit sistemleri ile entegre etmek, potansiyel tehditlere karşı proaktif bir yaklaşım sağlar.

  • Sızma Testleri: Sistemlerin zafiyetlerini belirlemek için düzenli olarak sızma testleri yapılmalı ve elde edilen bulgular üzerinden hardening işlemleri gerçekleştirilmelidir.

Sonuç Özeti

Anomali tespiti, siber güvenlikte proaktif bir yaklaşım sağlarken, risk değerlendirme ve savunma süreçleri için kritik öneme sahiptir. Normal davranış profillerinin belirlenmesi, anomalilerin anlaşılması ve yönetilmesi, güvenlik sistemlerinin etkinliğini artırmakta, potansiyel tehditleri önceden tespit etme şansı sunmaktadır. Ancak, yanlış alarmların ve hatalı yorumlamaların önüne geçebilmek için sürekli bir sistem geliştirme ve güncelleme süreci gereklidir. Bu süreçte, sistem yöneticileri ve güvenlik uzmanlarının bir araya gelip etkileşimde bulunmaları, güvenlik duruşunu güçlendirecektir.