CyberFlow Logo CyberFlow BLOG
Soc L3 Data Hunting

Temel Bileşenler Analizi (PCA) ile Siber Güvenlik Verilerinde Boyut İndirgeme Stratejileri

✍️ Ahmet BİRKAN 📂 Soc L3 Data Hunting

Siber güvenlikte, verilerin boyutunu azaltarak analizi kolaylaştıran Temel Bileşenler Analizi (PCA) hakkında bilgi edinin.

Temel Bileşenler Analizi (PCA) ile Siber Güvenlik Verilerinde Boyut İndirgeme Stratejileri

Temel Bileşenler Analizi (PCA), siber güvenlik verilerindeki boyut sorununu çözmek için etkili bir yöntemdir. Karşılaşılan boyut problemleri ve çözümleriyle ilgili detayları keşfedin.

Giriş ve Konumlandırma

Siber güvenlik alanında veri analizi, tehdit algılama ve önleme stratejilerinin geliştirilmesinde kritik bir rol oynamaktadır. Giderek büyüyen veri setleri, güvenlik analistlerinin etkili bir şekilde çalışabilmesi için bazı teknik zorlukları da beraberinde getirmektedir. Burada devreye Temel Bileşenler Analizi (PCA) girmekte ve veri boyutunu azaltma ihtiyacı ortaya çıkmaktadır. PCA, çok sayıda birbirini etkileyen özelliği (log özelliği gibi) etkili bir şekilde analiz etmeye ve daha az sayıda yeni, bağımsız özellikler oluşturarak bilgi kaybını en aza indirmeye yarayan bir yöntemdir. Bu yazıda PCA'nın siber güvenlik verileri üzerindeki boyut indirgeme stratejilerini inceleyeceğiz.

PCA'nın Önemi

Büyük veri setlerinde, sayısal özelliklerin sayısının artması, "boyutluluk laneti" olarak bilinen duruma yol açabilir. Bu durum, analizlerin karmaşıklığını artırmakta ve makine öğrenmesi modellerinin eğitimini zorlaştırmaktadır. PCA, verinin en önemli değişimlerini (varyansını) tespit ederek, boyut indirgeme işlemi sırasında bilgi kaybını en aza indirgemeyi amaçlamaktadır. Özellikle güvenlik alanında, bu tür matematiksel yöntemler, tehditlerin daha hızlı ve etkili bir şekilde tespit edilmesinde hayati bir rol oynamaktadır.

Teknik olarak, PCA, orijinal veri setindeki en yüksek varyansa sahip olan bileşenleri belirler ve bu bileşenleri kullanarak yeni bir veri seti oluşturur. Bu süreç, aşağıdaki gibi birkaç temel aşamayı içermektedir:

  1. Veri Normalizasyonu: PCA işlemi için ilk adım, verinin ölçeklendirilmesidir. Tüm sayısal verilerin aynı ölçeğe çekilmesi, algoritmanın daha iyi performans göstermesine yardımcı olur.

  2. Varyansın Hesaplanması: PCA, verideki en yüksek varyansı bulmakta ve bu varyansa karşılık gelen bileşenleri oluşturmaktadır.

import numpy as np
from sklearn.decomposition import PCA

# Örnek veri seti
data = np.array([[2.5, 2.4], [0.5, 0.7], [2.2, 2.9],
                 [1.9, 2.2], [3.1, 3.0], [2.3, 2.7],
                 [2, 1.6], [1, 1.1], [1.5, 1.6], [1.1, 0.9]])

# PCA uygulaması
pca = PCA(n_components=1)  # Boyut indirgeme sayısını belirler
reduced_data = pca.fit_transform(data)

print(reduced_data)

Bu örnekte, PCA algoritması kullanılarak bir veri kümesindeki boyut sayı azaltılmakta ve önemli bileşenler çıkarılmaktadır. Sonuç olarak, siber güvenlik uygulamaları için oldukça yararlı hale gelen ve analistlerin hızlı karar almasını sağlayan bir yapı elde edilmektedir.

Siber Güvenlik Bağlamında PCA'nın Yeri

Siber güvenlikte, PCA kullanımı yalnızca veri analizi ile sınırlı kalmaz; aynı zamanda pentest (penetrasyon testi) süreçlerinde ve savunma stratejilerinde de önemli bir yer tutmaktadır. Örneğin, zararlı yazılım tespitinde, PCA; log verilerinde bulunan yüksek korelasyonlu özelliklerin filtrelenmesine yardımcı olur. Bu sayede, analiz süreci hızlanır ve daha etkili sonuçlar elde edilir.

PCA'nın başarısı, yalnızca veri setinin boyutunu küçültmekle kalmaz, aynı zamanda kullanılabilir analitik bilgiyi büyük ölçüde artırır. Tehdit avcıları, PCA'nın sunduğu verileri kullanarak zararlı etkinlikleri tespit etme kabiliyetlerini geliştirebilirler. Örneğin, potansiyel zararlı alan adlarını analiz ederken, alan adı uzunluğu, entropi ve ardışık harf oranı gibi metrikler PCA ile sıkıştırılarak tek bir güçlü risk bileşeni oluşturulabilir.

Sonuç olarak, PCA, veri analizi süreçlerini optimize etmekte ve veri setlerindeki karmaşıklıkları yönetmenin etkili bir yolu olarak ortaya çıkmaktadır. Siber güvenlik uzmanları için, bu teknik bilgi kaybını asgariye indirirken, saldırıları daha hızlı ve etkili bir şekilde tespit etme imkanı sunmaktadır. Dolayısıyla, hem siber savunma hem de saldırı simülasyonları için vazgeçilmez bir nicel analiz aracı olarak kabul edilmektedir.

Teknik Analiz ve Uygulama

PCA Nedir?

Temel Bileşenler Analizi (PCA), çok boyutlu veri setlerinde kullanılan istatistiksel bir tekniktir. Veri setindeki birbiriyle ilişkili çok sayıda özellik, daha az sayıda yeni ve bağımsız özelliğe dönüştürülerek analiz edilir. Bu dönüşüm, veri kaybını en aza indirgemeyi amaçlar ve verinin en yüksek varyansını korumak için matematiksel bir model oluşturur.

Boyut Problemi ve Çözümü

Veri analizi aşamasında birçok özellik içeren veri setleri ile karşılaşıyoruz. Ancak, yüksek boyutluluk genellikle "boyutlanma laneti" olarak bilinen problemlerle sonuçlanır. Bu fenomen, modelin aşırı yavaşlamasına ve aşırı öğrenme (overfitting) durumuna sebep olabilir. PCA, bu durumu aşarak boyut indirme işlemiyle gerekli olmayan verileri matematiksel olarak azaltır.

Aşağıdaki kod örneği, Python'da PCA işlemini gerçekleştirme adımlarını göstermektedir:

import pandas as pd
from sklearn.decomposition import PCA
from sklearn.preprocessing import StandardScaler

# Veri setini yükleyin
data = pd.read_csv('veri_seti.csv')

# Verileri standartlaştırın
scaler = StandardScaler()
scaled_data = scaler.fit_transform(data)

# PCA uygulayın
pca = PCA(n_components=2)  # 2 temel bileşen
pca_result = pca.fit_transform(scaled_data)

# Sonuçları veri çerçevesine ekleyin
result_df = pd.DataFrame(data=pca_result, columns=['PC1', 'PC2'])

Bu örnek, veri setinin 'veri_seti.csv' dosyasından yüklendiğini ve iki temel bileşene indirgenerek sonuçların yeni bir veri çerçevesine eklenmesini sağlar.

Neden Boyut İndirgenir?

Boyut indirgeme, aslında birçok sebepten ötürü gereklidir. Öncelikle, karmaşık ve yüksek boyutlu veri setlerinin işlenmesi, işlem gücü ve zaman açısından büyük bir yük getirebilir. Bunun yanı sıra, PCA yöntemi kullanarak yüksek korelasyon gösteren veri sütunları arasında anlamlı farklar sağlanabilir. Böylece, algoritmalar daha hızlı çalışabilir ve modelin genel performansı artırılabilir.

Özellik Seçimi Değil, Üretimi

PCA, mevcut log özellikleri arasından en iyilerini seçmek yerine, bu özellikleri matematiksel olarak harmanlayarak yeni yapay özellikler üretir. Örneğin, 'Gönderilen Bayt' ve 'Gönderilen Paket' gibi benzer bilgilere sahip sütunlar, PCA ile bir arada değerlendirilip tek bir öznitelik haline getirilebilir. Bu durum, veri setinin daha anlamlı hale gelmesine yardımcı olur.

PCA Terminolojisi

PCA'da bazı temel terimler vardır:

  • PC1 (Birinci Temel Bileşen): Orijinal veri setindeki en yüksek varyansı içeren bileşendir.
  • PC2 (İkinci Temel Bileşen): PC1'den sonra gelen ve bağımsız olan bileşendir.
  • Varyans Koruma Oranı: Oluşturulan yeni bileşenlerin, orijinal verideki toplam bilginin yüzde kaçını temsil ettiğini gösterir.

Varyansın Korunması

PCA'nın temel amacı, veri setindeki bilgi kaybını minimuma indirerek varyansı korumaktır. Bu nedenle, PCA uygulaması gerçekleştirilmeden önce, tüm sayısal verilerin ölçeklendirilmesi büyük önem taşır. 

# Varyans koruma oranını hesaplamak için
explained_variance = pca.explained_variance_ratio_
print(f'Varyans Koruma Oranı: {explained_variance}')

Bu kod, PCA sonrası oluşan bileşenlerin toplam varyansa katkısını hesaplar ve çıktısını verir.

Çoklu Doğrusallık (Korelasyon) Problemi

Yüksek boyutlu veri setlerinde sıklıkla karşılaşılan sorunlardan biri de çoklu doğrusallıktır. Örneğin, birbirine çok benzeyen log özellikleri bulunması, makine öğrenmesi modellerinin performansını olumsuz etkileyebilir. PCA, bu korelasyon problemini ortadan kaldırarak verinin daha özgürce işlenmesini sağlar.

SOC Analistleri İçin PCA Avantajları

SOC (Güvenlik Operasyon Merkezleri) analistleri, PCA'nın sağladığı boyut indirme avantajlarından faydalanabilir. Zararlı yazılım tespitinde, birçok farklı özellik (örneğin, domain uzunluğu, entropi) PCA ile birleştirilerek tek bir güçlü risk bileşeni haline getirilebilir. Bu, analistlerin daha verimli bir şekilde tehditleri tespit etmesine olanak tanır.

Veri Hazırlığının Altın Kuralı

Veri hazırlığı, PCA sürecinin başarısı için kritik bir öneme sahiptir. Özellikle veriler, PCA uygulamasından önce mutlaka ölçeklendirilmelidir. Ölçekleme, modelin doğru çalışabilmesi için gereklidir.

# StandardScaler kullanarak veri ölçekleme örneği
from sklearn.preprocessing import StandardScaler

scaler = StandardScaler()
scaled_data = scaler.fit_transform(data)

Bu adım, verilerin ortalamasını sıfıra ve standart sapmasını bire indirgeyerek PCA'nın daha etkili çalışmasını sağlar.

Tehdit Avcılığı Senaryosu

PCA, zararlı yazılım örneklerini analiz ederken de kullanılabilir. Örneğin, bir zararlı yazılım verisi içindeki 50 farklı özelliği, analistin ekranında kolayca incelenebilecek 2D bir grafik formatına dönüştürebilir. Bu görselleştirme, analistlerin tehditleri daha hızlı ve etkili bir şekilde değerlendirmesine yardımcı olur.

Sonuç olarak, PCA'nın siber güvenlik verilerindeki uygulamaları, boyut indirgeme stratejileri ile veri setinin yönetimini önemli ölçüde kolaylaştırabilir. Bu eğitim içeriği, PCA'nın teknik ayrıntılarını ele almakta ve siber güvenlik alanındaki pratik kullanım senaryolarını vurgulamaktadır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, elde edilen verilerin anlamlı bir şekilde yorumlanması, sistemlerin güvenliğini artırma ve potansiyel saldırıları önleme açısından kritik bir öneme sahiptir. Bu bağlamda, Temel Bileşenler Analizi (PCA) gibi boyut indirgeme teknikleri, verilerin daha yönetilebilir, daha hızlı analiz edilebilir ve daha az gürültü içeren bir formda sunulmasını sağlar. Aşağıda, PCA’nın siber güvenlik veri setlerindeki kullanımındaki risk, yorumlama ve savunma stratejilerini inceleyeceğiz.

Elde Edilen Bulguların Yorumlanması

PCA'nın gücü, büyük veri setlerinden kritik bilgilerin çıkarılmasını sağlamasıdır. Örneğin, bir ağda tespit edilen verilerde, binlerce log girdisi ile karşılaşılır. Bu durumda, PCA kullanılarak yüksek varyans taşıyan temel bileşenler belirlenir.

Örneğin, varsayalım ki "Gönderilen Bayt" ve "Gönderilen Paket" gibi iki sütun birbirine yüksek derecede korelasyonludur. PCA, bu iki özelliği bir araya getirerek yalnızca bir yeni bileşen üretebilir, böylece modelin karmaşıklığını azaltarak içsel bilgiyi korur. Bu, modellemenin basitliğinin yanı sıra siber güvenlik uzmanlarının dikkatini verinin özü üzerinde yoğunlaştırmasını sağlar.

Yanlış Yapılandırma ve Zayıflıkların Etkisi

Veri analizi sürecinde yanlış yapılandırılmış sistemler, kritik zafiyetlere yol açabilir. Örneğin, bir firewall yapılandırması yeterince sıkı değilse, PCA ile tespit edilen anormal trafik artışları göz ardı edilebilir. Bu tür yanlış yapılandırmalar, aynı zamanda zamanında müdahale edilememesi nedeniyle yüksek maliyetli veri sızıntılarına yol açabilir.

Sızan Veri ve Topoloji Tespiti

Sızan verilerin analizi, ağın topolojik yapısına dair önemli bilgiler sunabilir. PCA uygulandığında, kullanıcıların ağı nasıl kullandığını gösteren, örneğin IP adresleri ve iletişim süreleri gibi özelliklerden oluşan yeni bileşenler elde edilebilir. Bu veriler, ağ içerisindeki olağan dışı aktiviteleri tespit etmek için kullanılabilir. Dolayısıyla, veri sızıntısı ihtimali olan alanlar daha derinlemesine incelenir ve anormallikler daha rahat tespit edilir.

Profesyonel Önlemler ve Hardening Önerileri

Uygulanan PCA'nın sunduğu verimlilik artışı, siber güvenlikte alınacak önlemleri de destekler. Aşağıdaki öneriler, bir güvenlik analistin günlük çalışma pratiklerine temel oluşturabilir:

1. **Sistem Güncellemeleri:** Tüm bileşenlerin güncel tutulması, bilinen zafiyetlerin önlenmesinde kritik bir adımdır.
2. **Ağ Segmentasyonu:** Kritik verilerin bulunduğu alt ağların diğerlerinden izole edilmesi, veri sızıntısının etkisini azaltır.
3. **Güvenlik Duvarı Kuralları:** Ağ trafik kurallarının gözden geçirilmesi ve sıkılaştırılması, olası saldırı yüzeylerini azaltır.
4. **İzleme ve Kaydetme:** Saldırı tespiti için log kayıtlarının analizi, PCA ile daha anlamlı hale getirilir.
5. **Kullanıcı Eğitimleri:** Kullanıcıların kötü niyetli yazılımlara karşı eğitilmesi, insan kaynaklı hataların azaltılmasına yardımcı olur.

Sonuç

Özellikle büyük boyutlu veri setleri ile çalışıldığında, PCA gibi boyut indirgeme yöntemleri, siber güvenlik uzmanlarına büyük kolaylık sağlar. Verilerin daha anlamlı hale gelmesi, olası risklerin hızla tespit edilmesi ve analistlerin müdahale stratejilerini daha etkin bir şekilde oluşturmasına olanak tanır. Bu bağlamda, doğru yapılandırılmış bir veri analizi süreci, siber güvenlikte etkinliği artıracak ve potansiyel saldırıların önüne geçecektir.