CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Anomali

Denetimli ve Denetimsiz Öğrenme: Siber Güvenlikteki Rolü

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Anomali

Denetimli ve denetimsiz öğrenmenin temel farkları, avantajları ve zorlukları üzerine kapsamlı bir inceleme.

Denetimli ve Denetimsiz Öğrenme: Siber Güvenlikteki Rolü

Denetimli ve denetimsiz öğrenme, siber güvenlik alanında anomali tespitinde önemli bir rol oynar. Bu yazıda, her iki yöntemi, avantajlarını ve kullanım alanlarını keşfedeceksiniz.

Giriş ve Konumlandırma

Denetimli ve Denetimsiz Öğrenme: Siber Güvenlikteki Rolü

Siber güvenlik alanında veri analizi, tehditlerin tespit edilmesi ve analiz edilmesi açısından büyük bir öneme sahiptir. Bu bağlamda, denetimli (supervised) ve denetimsiz (unsupervised) öğrenme yöntemleri, veri analizi süreçlerinin temel taşlarını oluşturmaktadır. Bu iki öğrenme yöntemi arasındaki farkları anlamak, siber güvenlik stratejilerini geliştirirken, özellikle pentest (penetrasyon testleri) ve savunma mekanizmaları açısından hayati bir rol oynamaktadır.

Denetimli Öğrenme Tanımı

Denetimli öğrenme, etiketli veri kullanılarak, bir modelin belirli bir hedef değişkeni tahmin etmesi veya sınıflandırması için öğretildiği bir makine öğrenmesi dalıdır. Bu yöntem, geçmiş verileri analiz ederek gelecekteki veriler için tahminler yapabilme yeteneği kazandırır. Örneğin, bir siber güvenlik sistemi, etiketli geçmiş saldırı verileri üzerinde eğitilmiş bir modelle, yeni saldırı türlerini sınıflandırabilir. 

# Denetimli Öğrenme Örneği
from sklearn.model_selection import train_test_split
from sklearn.ensemble import RandomForestClassifier

# Veri seti
X = [...]  # Özellikler
y = [...]  # Etiketler

X_train, X_test, y_train, y_test = train_test_split(X, y, test_size=0.2)
model = RandomForestClassifier()
model.fit(X_train, y_train)

predictions = model.predict(X_test)  # Test verisi üzerinde tahmin yapma

Denetimsiz Öğrenme Tanımı

Denetimsiz öğrenme ise etiketlenmemiş veriler üzerinde çalışarak, verinin doğal yapısındaki gizli kalıpları keşfetmeye odaklanır. Bu tür bir öğrenme yöntemi, siber güvenlik bağlamında, alışılmadık davranışları veya anormallikleri tespit etmek için kullanılır. Örneğin, sistemde meydana gelen olağan dışı bir etkinlik, denetimsiz öğrenme modellerinin dikkatini çeker ve potansiyel tehditleri ortaya çıkarabilir.

# Denetimsiz Öğrenme Örneği
from sklearn.cluster import KMeans

# Veri seti
data = [...]  # Etiketlenmemiş veri

kmeans = KMeans(n_clusters=3)
kmeans.fit(data)  # Veriler üzerinde kümeleme yapma

clusters = kmeans.labels_  # Küme etiketlerini alma

Temel Fark

Denetimli ve denetimsiz öğrenme yöntemleri arasındaki en önemli fark, kullanılan verinin niteliğidir. Denetimli öğrenme, etiketli verilere ihtiyaç duyar ve bu etiketler, modelin öğrenme sürecini yönlendirir. Denetimsiz öğrenme ise etiketlenmemiş verilerle çalışarak, verideki gizli yapıların ve kalıpların keşfedilmesine olanak tanır.

Bu farklılık, siber güvenlik alanında mevcut tehditlerin tespitinde ve analizinde önemli bir etkendir. Örneğin, bir siber güvenlik içerisinde denetimli öğrenme, önceki saldırı verilerini kullanarak yeni saldırıları daha hızlı ve doğru bir şekilde tanımlayabilirken; denetimsiz öğrenme, daha önce gözlemlenmemiş yeni saldırı biçimlerini tespit etmek için güçlü bir yöntem sunar.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlamlandırma

Denetimli ve denetimsiz öğrenme, siber güvenlik uygulamalarında farklı alanlarda etkili bir şekilde kullanılabilir. Pentest süreçlerinde, saldırganların yöntemlerini simüle ederek bu yöntemler üzerinde denetimli öğrenme ile model geliştirmek, erişim kontrolü ve kimlik doğrulama mekanizmalarının zayıf noktalarını ortaya çıkarmak açısından faydalıdır.

Denetimsiz öğrenmenin en büyük avantajı ise bu modüle edilmiş modelin, kullanıcıların alışılmış davranışlarının dışındaki aktiviteleri saptaması ve olası tehditleri hızlıca iletebilmesidir. Örneğin, bir ağa bağlanan yeni bir cihazın alışılmış hareketlerini anlamak, anormal bir durum tespit edilmesi için kritiktir.

Sonuç olarak, denetimli ve denetimsiz öğrenme yöntemleri, siber güvenlik stratejileri geliştirmek ve koruma mekanizmalarını güçlendirmek için kritik öneme sahiptir. Bu iki yaklaşımın birleşimi, kuruluşların siber tehditlere karşı daha etkili savunma geliştirmelerine olanak tanır. Gelecek bölümlerde, bu öğrenme türlerinin uygulama tekniklerine, avantajlarına ve karşılaşılan zorluklara daha ayrıntılı bir şekilde odaklanacağız.

Teknik Analiz ve Uygulama

Siber güvenlik alanındaki tehditler, hızla evriliyor ve bu nedenle güvenlik uzmanlarının bu tehditleri daha etkin bir şekilde tespit etmesi ve yönetmesi önemlidir. Denetimli (Supervised) ve denetimsiz (Unsupervised) öğrenme yöntemleri, bu bağlamda kritik bir rol oynamaktadır. Her iki yaklaşımın da belirli avantajları ve zorlukları bulunmaktadır.

Denetimli Öğrenme Tanımı

Denetimli öğrenme, etiketlenmiş veri kümesi kullanarak öğrenme yapılmasını sağlayan bir makine öğrenimi tekniğidir. Bu yöntemde, model belirli bir hedef veya çıktı üzerinde eğitilir. Örneğin, dolandırıcılık analizi gibi uygulamalarda, geçmişte etiketlenmiş dolandırıcılık verileri kullanılarak bir model oluşturulur. Model, daha sonra yeni veriler üzerinde doğru tahminlerde bulunabilir.

Bir denetimli öğrenme modeli oluştururken kullanılan bazı teknikler şunlardır:

  • Sınıflandırma (Classification): Verilerin belirli sınıflara ayrılması.
  • Regresyon (Regression): Sürekli bir çıktı tahmin edilmesi.
  • Karar Ağaçları (Decision Trees): Verilerin karar ağaçları çoklu verileri kolayca ayırt eder.

Denetimsiz Öğrenme Tanımı

Denetimsiz öğrenme, etiketlenmemiş veriler üzerinde çalışarak gizli yapıları keşfetmeyi amaçlayan bir başka makine öğrenimi tekniğidir. Bu yöntemde, model veriler arasında gizli kalıplar veya gruplar bulmaya çalışır. Örneğin, anomali analizi uygulamalarında, normal davranışları anlamak için başlangıçta etiketlenmemiş veriler kullanılır. Denetimsiz öğrenmede yaygın olarak kullanılan teknikler arasında:

  • Gruplama (Clustering): Verilerin doğal gruplara ayrılması.
  • Boyut İndirgeme (Dimensionality Reduction): Verilerin karmaşıklığını azaltarak daha anlamlı hale getirilmesi.
# Örnek K-Means ile Gruplama
from sklearn.cluster import KMeans
import numpy as np

# Örnek veri
data = np.array([[1, 2], [1, 4], [1, 0],
                 [4, 2], [4, 4], [4, 0]])

# K-Means modeli oluşturma
kmeans = KMeans(n_clusters=2, random_state=0).fit(data)

# Grupları gösterme
print(kmeans.labels_)

Temel Fark

Denetimli ve denetimsiz öğrenme arasındaki temel fark, verilerin etiketlenip etiketlenmemesidir. Denetimli öğrenme, etiketlenmiş verilere dayanırken, denetimsiz öğrenme etiketlenmemiş veri setleri üzerinde çalışır. Bu fark, modellerin öğrenme şekillerini ve elde ettikleri çıktıların doğruluğunu etkiler. Denetimli öğrenme, daha yüksek doğrulukla tahmin yapabilirken, denetimsiz öğrenme yeni bilgilere erişim ve keşif yapılmasını sağlar.

Kullanım Alanları

Denetimli öğrenme ve denetimsiz öğrenme yöntemleri, siber güvenlikte çeşitli alanlarda uygulanmaktadır:

  • Dolandırıcılık Tespiti: Denetimli öğrenme, geçmiş dolandırıcılık verileri kullanılarak optimize edilirken, denetimsiz öğrenme, bilinmeyen dolandırıcılık tekniklerini tespit etmek için kullanılabilir.
  • Anomali Tespiti: Denetimsiz öğrenme, sistemlerdeki normal davranış kalıplarını keşfederek anormallikleri belirler.
  • Veri Gruplama: Kullanıcı davranışlarına göre gruplama yaparak, olası saldırı senaryolarını önceden tahmin etme imkanı sağlar.

Avantajlar

Denetimli Öğrenme Avantajları:

  • Yüksek doğrulukla tahmin yapabilir.
  • Önceden belirlenmiş hedef ve sonuçlara ulaşmak için uygundur.

Denetimsiz Öğrenme Avantajları:

  • Bilinmeyen verilerde yeni kalıplar keşfetme olanağı sunar.
  • Veri setinin kapsamlı şekilde analiz edilmesine yardımcı olur.

Zorluklar

Denetimli öğrenmenin zorluğu, etiketli veri elde etmenin maliyetli ve zaman alıcı olmasıdır, ayrıca etiketleme hataları sonuçları etkileyebilir. Denetimsiz öğrenmenin zorluğu ise modelin yapılan keşifleri yorumlama ve sınıflandırmada yaşadığı sıkıntılardır. Özellikle karmaşık veri setleri ile çalışırken yorumlama zorluğu ve bilgi kaybı yaşanabilir.

SOC L2 Final Süreci

SOC L2 analizleri, denetimli ve denetimsiz öğrenme yöntemlerini bir arada kullanarak anomaliyi analiz eder. Analistler, önceden tanımlanmış modelleri kullanarak potansiyel tehditleri tespit ederken, denetimsiz yöntemlerle yeni ve ortaya çıkmamış tehditleri de keşfederek güvenlik duruşunu güçlendirir. Bu iki yaklaşımın bir arada kullanımı, siber güvenlikte daha gelişmiş bir tehdit tespit ve yanıt mekanizması oluşturulmasına olanak tanır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, özellikle anomali tespiti süreçlerinde denetimli (supervised) ve denetimsiz (unsupervised) öğrenme tekniklerinin rolü, risk değerlendirmesi ve güvenlik yorumlaması açısından oldukça kritiktir. Bu bağlamda, elde edilen bulguların güvenlik anlamını ve mevcut riskleri değerlendirmek önemli bir adım olarak öne çıkmaktadır.

Elde Edilen Bulguların Güvenlik Anlamı

Siber güvenlik sistemleri, büyük miktarda veri toplar ve analiz eder. Bu veriler, uygulama günlükleri, ağ trafiği ve kullanıcı davranışları gibi çeşitli kaynaklardan gelir. Denetimli öğrenme metodolojisi, etiketlenmiş veri kullanarak belirli saldırı türlerini algılamaya yönelik eğitim almış modelin oluşturulmasına olanak tanır. Örneğin, dolandırıcılık tespiti için kullanılan bir model, önceki dolandırıcılık olaylarını örnek alarak daha sonra anormal davranışları tespit etme görevini üstlenir.

Aşağıdaki kod örneğinde, bir denetimli öğrenme algoritması ile dolandırıcılık tespiti yapılmaktadır:

from sklearn.ensemble import RandomForestClassifier
from sklearn.model_selection import train_test_split
from sklearn.metrics import accuracy_score

# Veri yükleme
X, y = load_data()  # load_data fonksiyonu veriyi yükler

# Eğitim ve test kümesine ayırma
X_train, X_test, y_train, y_test = train_test_split(X, y, test_size=0.2, random_state=42)

# Model oluşturma
model = RandomForestClassifier()
model.fit(X_train, y_train)

# Tahmin yapma
predictions = model.predict(X_test)

# Sonuçların değerlendirilmesi
accuracy = accuracy_score(y_test, predictions)
print(f"Model doğruluğu: {accuracy:.2f}")

Bu kod, bir Random Forest algoritması kullanarak dolandırıcılık deteksiyonu gerçekleştirir. Son uçta elde edilen doğruluk, bulguların güvenlik açısından ne kadar etkili olduğunu yorumlama imkanı sunar.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar veya sistem zafiyetleri, siber güvenlik açısından ciddi tehditler oluşturur. Örneğin, yanlış yapılandırılmış bir güvenlik duvarı, istenmeyen trafiğin içeri girmesine neden olabilir. Böyle bir durumda, sistemin zayıflıkları kötü niyetli aktörler tarafından istismar edilebilir. Ancak, denetimsiz öğrenme teknikleri belirli bir yapılandırma eksikliğini veya zayıflığını tespit etmede etkili olabilir. Özellikle anomali tespiti bağlamında, sistem davranışındaki tuhaf değişimlerin izlenmesi sağlanarak risklerin proaktif şekilde belirlenmesi mümkündür.

from sklearn.cluster import DBSCAN

# Veri kümesini oluşturma
data = create_dataset()  # create_dataset fonksiyonu veriyi oluşturur

# DBSCAN ile anomali tespiti
model = DBSCAN(eps=0.5, min_samples=5)
model.fit(data)

# Anomali etiketlerinin alınması
labels = model.labels_
print("Anomalilerin etiketleri:", labels)

Yukarıdaki kod, DBSCAN algoritması kullanarak veri kümesindeki anomali tespitini sağlar. Belirli etiketlerin çıkarılması, sistemlerdeki olası zafiyetlerin derinlemesine analiz edilmesine olanak tanır.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan veriler, sistemin güvenliğini tehdit eden bir başka önemli unsurdur. Örneğin, kullanıcı bilgileri veya finansal verilerin sızması, potansiyel zararlara yol açabilir. Bu tür durumları tespit etmek için sızan verilerin izlenmesi gerekmektedir. Benzer şekilde, ağ topolojisi tespitinde ise, ağ elemanlarının düzeni ve aralarındaki ilişkilerin analizi, anormal davranışların tespiti açısından kritik öneme sahiptir.

Bir servis tespit sistemi, herhangi bir güvenlik olayı sonrası sistemin hangi servislerinin etkilenip etkilenmediğini tespit edebilir. Bu süreçte, denetimli ve denetimsiz öğrenme yaklaşımları birlikte kullanılarak daha kapsamlı bir bakış açısı elde edilir.

Profesyonel Önlemler ve Hardening Önerileri

Risklerin yönetilmesi ve azaltılması adına uygulanabilecek profesyonel önlemler şunlardır:

  • Güvenlik Duvarı Yönetimi: Yanlış yapılandırmaların önüne geçmek için güvenlik duvarı kuralları dikkatlice gözden geçirilmeli ve düzenli aralıklarla güncellenmelidir.

  • Güncellemeler ve Yamanı: Yazılım ve işletim sistemleri güncel tutulmalı, bilinen zafiyetlere karşı yamalar uygulanmalıdır.

  • Ağ Segmentasyonu: Ağın belirli bölümleri arasında yeterli izolasyon sağlanarak bir saldırının yayılması engellenmelidir.

  • Hizmet Faaliyetlerinin Envanteri: Tüm servis ve uygulamaların envanterinin düzenli olarak güncellenmesi, potansiyel zafiyet alanlarının belirlenmesine yardımcı olabilir.

Sonuç Özeti

Denetimli ve denetimsiz öğrenme teknikleri, siber güvenlik alanında risk, yorumlama ve savunma süreçlerinde önemli rollere sahiptir. Elde edilen bulguların güvenlik anlamı, yanlış yapılandırmalar ve zafiyetler gibi unsurların etkisi, sızan veriler ve servis tespitleri ile desteklenmektedir. Profesyonellerin alması gereken önlemler ile sistemlerin güvenliği artırılabilir. Anomali tespit sistemlerinin doğru yapılandırılması ve yönetimi, potansiyel tehditlerin bertaraf edilmesine katkıda bulunacaktır.