CyberFlow Logo CyberFlow BLOG
Soc L3 Data Hunting

Z-Score ve Standart Sapma ile Siber Güvenlikte Anomali Tespiti

✍️ Ahmet BİRKAN 📂 Soc L3 Data Hunting

Z-Score ve standart sapma modelleri ile siber güvenlikte anomali tespiti yöntemlerini öğrenin. Güvenlik analizi için temel ipuçları.

Z-Score ve Standart Sapma ile Siber Güvenlikte Anomali Tespiti

Siber güvenlikte anomali tespiti, Z-Score ve standart sapma modelleri ile etkin bir şekilde gerçekleştirilebilir. Bu yazıda, bu yöntemlerin nasıl kullanıldığını keşfedeceğiz.

Giriş ve Konumlandırma

Z-Score ve Standart Sapma ile Anomali Tespiti: Giriş ve Konumlandırma

Siber güvenlik alanında, anomali tespiti, potansiyel tehditlerin belirlenmesi ve önlenmesi için kritik bir süreçtir. Bu bağlamda, Z-Score ve standart sapma kavramları, verilerin analiz edilmesinde ve olağan dışı davranışların tespit edilmesinde önemli bir rol oynamaktadır. Z-Score, bir veri noktasının, belirli bir veri setinin ortalamasından ne kadar uzak olduğunu gösteren istatistiksel bir ölçüdür. Bu ölçüm, kullanıcı davranışlarını anlamak ve ağ üzerindeki olağan dışı durumları ortaya çıkarmak için sıklıkla kullanılır.

Neden Önemlidir?

Siber güvenlikte anomali tespiti, yalnızca tehditlerin tanınmasına değil, aynı zamanda sistemin genel güvenliğinin sağlanmasına da katkıda bulunur. Gelişen saldırı teknikleri ve sofistike zararlı yazılımlar karşısında, geleneksel imza tabanlı tespit yöntemleri yetersiz kalabilir. Bu durumda, Z-Score gibi istatistiksel yöntemler devreye girerek, ağ trafiği ve kullanıcı aktivitelerinde olağan dışı sapmaları tespit ederek güvenlik analistlerine yardımcı olur. Anomalilerin erken tespiti, potansiyel veri ihlallerinin önlenmesi veya en aza indirilmesi anlamına gelir.

Siber Güvenlik ve Pentest Açısından Bağlam

Penetrasyon testleri (pentest) sırasında, Z-Score ve standart sapma gibi istatistiksel yöntemler, sistemin güvenlik açıklarının belirlenmesine yardımcı olabilir. Testler sırasında, yazılım ve sistemlerin normal çalışma davranışları analiz edilir. Z-Score kullanılarak, normalden sapmalar tespit edilebilir ve bu sapmaların arkasındaki nedenler araştırılabilir. Örneğin, bir IP adresinden gelen olağanüstü yüksek sayıdaki giriş denemeleri, potansiyel bir brute force saldırısını işaret edebilir. Yine, bir kullanıcının alışık olmadığı kadar fazla veri indirmesi, veri sızıntısı ihtimaline karşı alarm yaratabilir.

Teknik İçeriğe Hazırlık

Bu yazının ilerleyen bölümlerinde, Z-Score’un nasıl hesaplandığı, anomali tespit mantığının işleyişi, ve 68-95-99.7 kuralı gibi temel konular ele alınacaktır. Ayrıca, Z-Score’un ağ güvenliğinde nasıl uygulandığı, hangi durumlarda kullanılabileceği ve olası zayıf noktaları hakkında bilgiler verilecektir. Bu noktada, okuyucuların temel istatistik bilgilere sahip olması, Z-Score ve standart sapmanın siber güvenlikteki uygulamalarını anlamalarında yardımcı olacaktır.

Aşağıda Z-Score hesaplama formülü sunulmaktadır:

Z = (X - μ) / σ

Burada:

  • X = Gözlem Değeri (örneğin, gözlemlenen veri trafiği)
  • μ = Ortalama (sistemin geçmişteki normal davranış ortalaması)
  • σ = Standart Sapma (verilerin ortalama etrafında ne kadar yayıldığını gösteren ölçü)

Z-Score hesaplandıktan sonra elde edilen değerler, anomali tespiti sürecinin önemli bir parçası olarak kullanılır. Z-Score değeri sıfıra yakın olan gözlemler, normal ve beklenen davranışlar olarak kabul edilirken, 2 ile 3 arasındaki değerler dikkat edilmesi gereken, şüpheli olaylar olarak sınıflandırılabilir. 3’ten büyük veya -3’ten küçük değerler ise yüksek olasılıkla anormal durumlar veya potansiyel tehditler olarak değerlendirilir.

Sonuç olarak, Z-Score ve standart sapma, siber güvenlikte anomali tespiti için güçlü araçlar olup, potansiyel tehditlerin çabuk bir şekilde belirlenmesi, analiz edilmesi ve yönetilmesine olanak tanımaktadır. Bu içerik, okuyucuları anomali tespitinin dinamik ve teknik yönleri ile ilgili bilgilendirmek üzere hazırlanmıştır ve siber güvenlik alanındaki uygulamalarını anlamalarına yardımcı olmayı hedeflemektedir.

Teknik Analiz ve Uygulama

Z-Score Kavramı

Z-Score, herhangi bir veri noktasının, bir veri setinin ortalamasından ne kadar standart sapma uzağında olduğunu gösteren istatistiksel bir ölçüttür. Bu ölçüt, anomali tespiti bağlamında son derece önemlidir; çünkü siber güvenlikte sıradışı davranışlar ya da olağan dışı veri akışları, potansiyel tehditleri işaret edebilir. Z-Score hesaplamak için genellikle aşağıdaki formül kullanılır:

Z = (X - μ) / σ

Burada:

  • X: Gözlem değeri (örneğin, anlık ağ trafiği)
  • μ (Mü): Ortalama değer
  • σ (Sigma): Standart sapma

Bu formülden yola çıkarak, belirli bir veri setindeki değerlerin normdan ne kadar uzaklaştığını belirlemek mümkün hale gelir.

Z-Score Formülü Bileşenleri

Z-Score hesaplama sürecinde kullanılan değişkenler, veri analizi kadar önemli olan anlamlar taşır. Aşağıda her bir bileşeni ayrıntılı olarak inceleyelim:

  • X (Gözlem Değeri): İncelenen anlık güvenlik durumu. Örneğin, bir kullanıcının o gün indirdiği toplam veri miktarı.
  • μ (Mü - Ortalama): Kullanıcının ya da sistemin geçmişteki normal davranışlarının merkez değeri olarak tanımlanabilir.
  • σ (Sigma - Standart Sapma): Verilerin ortalama değer etrafında ne kadar yayıldığını gösteren bir ölçüttür.

Elde edilen Z-Score değerleri, ilgili güvenlik durumlarını analiz etmemizde yardımcı olur.

Anomali Tespiti Mantığı

Anomali tespiti, siber güvenlikte olası tehditlerin belirlenmesi açısından kritik öneme sahiptir. Normal dağılıma sahip bir veri setinde, olayların %68'i ortalamanın bir standart sapma, %95'i iki standart sapma ve %99.7'si ise üç standart sapma aralığında yer alır. Bu nedenle, Z-Score değeri 3 veya -3'ten büyük olan gözlemler genellikle alert (uyarı) olarak kabul edilir.

Aşağıda bu süreçte kullanılması gereken genel adımlar yer almaktadır:

  1. Veri kümesine ait özellikleri analiz et ve ortalama ile standart sapmayı hesapla.
  2. Bireysel gözlemler için Z-Score değerlerini hesapla.
  3. Hesaplanan Z-Score değerlerine dayanarak anormal durumları belirle.

68-95-99.7 Kuralı (Ampirik Kural)

Normal dağılımın önemli bir özelliği olan 68-95-99.7 kuralı, Z-Score değerleri üzerinden anomali tespit kurallarının oluşturulmasında kullanılabilir. Aşağıda bu kuralın nasıl işlem görebileceğine dair bir örnek verilmiştir:

  • Z-Score = 0: Normal durum
  • Z-Score 0 ile 1 arasında: Hesaplamaların rutin kullanıcı hareketleri
  • Z-Score 2 ile 3 arasında: Şüpheli ancak daha fazla inceleme gerektiren olaylar
  • Z-Score > 3 veya < -3: Yüksek olasılıkla bir anomali veya siber saldırı belirtisi

Bu kurallar kullanılarak, Z-Score'un güvenlik analisti tarafından nasıl değerlendirileceği ve hangi durumların potansiyel tehdit oluşturabileceği net bir şekilde belirlenebilir.

Z-Score Eşik (Threshold) Değerleri

Anomalilerin belirlenmesinde Z-Score'un kritik olduğunu belirtmek gerekir. Belirlenen eşik değerleri, siber güvenlik tehditlerinin tanımlanabileceği parametrelerdir. Örneğin, standardın dışındaki her Z-Score değeri, olayların ya da davranışların incelemesi gereken bir durum bulabileceği anlamına gelir.

Veri Sızdırma (Exfiltration) Senaryosu

Bir siber güvenlik açığının keşfi, Z-Score kullanılarak daha etkili hale getirilebilir. Örneğin, bir kullanıcının sıradışı bir veri indirme işlemi gerçekleştirmesi durumunda, bu davranış Z-Score hesaplamaları ile analiz edilip bir güvenlik ihlali olarak değerlendirilebilir. Örnek bir senaryo:

Eğer bir kullanıcı, gün içerisinde yalnızca 5 MB veri indiriyorsa ve bir gün aniden 100 MB indirmişse, bu durumda Z-Score hesaplama ile kullanıcı alışkanlıkları incelenebilir.

Z-Score'un doğru bir şekilde kullanılması, kullanıcı davranışlarının ve normlarının anlaşılması için kritik öneme sahiptir.

Modelin Zayıf Noktası

Klasik Z-Score modelinin en büyük zayıflığı, ağ loglarının genellikle simetrik bir çan eğrisi şeklinde normal dağılıma sahip olduğu varsayımıdır. Bu varsayım, gerçekte bazı ağ saldırılarının doğası gereği asimetrik olabileceğinden yanıltıcı olabilir. Ayrıca, zaman içinde değişen kullanıcı davranışları göz önüne alındığında, sabit modelin etkinliği sınırlı kalabilir.

Güvenlikte Z-Score Kullanım Alanları

Z-Score, farklı log kaynaklarında Saldırı Tespiti Sistemi (IDS) için önemli bir ölçüm olarak kullanılmaktadır. Aşağıda Z-Score’un kullanıldığı bazı alanlar listelenmiştir:

  • Başarısız giriş denemelerinin analizi
  • Anormal e-posta gönderim hacimlerinin belirlenmesi
  • Gizlenmiş komutların tespiti

Hareketli (Rolling) Z-Score

Z-Score kullanımı, zamanla değişen veri setlerinde daha uyumlu hale gelebilir. Hareketli Z-Score modeli, geçmiş verileri sürekli güncelleyerek, değişen kullanıcı alışkanlıklarına adapte olabilen bir yapıdır. Bu sayede, yüksek olasılıkla yanlış pozitif sonuçlar alma ihtimali de en aza indirgenmiş olur.

Yanlış Pozitifleri Düşürmek

Z-Score analizinde aşırı yanlış pozitif alımını önlemek için verilerin logaritması alınarak normalize edilme işlemi uygulanabilir. Bu yaklaşım, verilerin çarpıklığını azaltmaya yardımcı olur ve daha doğru sonuçlar elde edilmesini sağlar.

Aşağıda bu normalizasyon işlemine dair bir örnek gösterilmektedir:

import numpy as np

# Örnek veri seti
data = np.array([10, 20, 30, 40, 100])

# Logaritmik dönüşüm
log_data = np.log(data)

# Logaritmik verinin Z-Score'u
z_scores = (log_data - np.mean(log_data)) / np.std(log_data)

Sonuç olarak, Z-Score ve standart sapma kullanarak yapılan anomali tespiti, siber güvenlik analistlerinin verecekleri yanıtlarda önemli bir yere sahiptir. Doğru uygulamalar, potansiyel tehditleri hızla tespit etme ve güvenlik olaylarını önleme hususlarında büyük katkı sağlamaktadır.

Risk, Yorumlama ve Savunma

Siber güvenlikte anomali tespiti, sistemlerin normal davranışlarını belirlemek ve bu davranışların dışındaki sapmaları tanımlamak için güçlü bir yaklaşımdır. Z-Score ve standart sapma bu bağlamda önemli istatistiksel araçlardır. Bu bölümde, elde edilen bulguların güvenlik anlamını nasıl yorumlayabileceğimizi ve meydana gelebilecek zafiyetler ile bunların etkilerini ele alacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Z-Score, bir veri noktasının (örneğin bir kullanıcının indirdiği veri miktarı) sistemin veya kullanıcının geçmiş normal davranışına ne kadar uzak olduğunu gösterir. Örneğin, Z-Score değerinin 2 ile 3 arasında olması, söz konusu olayın dikkat çekici, ancak daha fazla araştırma gerektiren bir durum olduğunu gösterir. Z-Score değerinin 3'ten büyük olması ise, bu noktanın sistemin normalinden oldukça uzaklaştığını ve potansiyel bir güvenlik ihlaline işaret ettiğini gösterir.

Z-Score = (X - μ) / σ
  • X: Gözlem değeri
  • μ: Geçmişteki ortalama
  • σ: Standart sapma

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar veya zafiyetler, sistemlerin güvenliğini tehlikeye atar. Örneğin, eğer bir sunucu için oturum açma girişimleri üzerinde normalin çok üzerinde bir Z-Score hesaplanıyorsa, bu durum olası bir brute force saldırısını gösterebilir. Bu tür bir durum ciddi sonuçlar doğurabilir; zira otomatik botlar tarafından gerçekleştirilen oturum açma denemeleri, yetkisiz erişim fırsatlarını artırır.

Başka bir örnek olarak, gizlenmiş PowerShell komutları normal olmayan uzunluklara ulaşmışsa, bunun sebebi kötü niyetli bir yazılımın etkinliği olabilir. Bu gibi durumlar, sistemin savunmasızlığını gösterir ve gereken önlemlerin alınması için uyarı niteliği taşır.

Sızan Veri, Topoloji ve Servis Tespiti

Sizin güvenlik ağı üzerindeki anomali tespit süreçlerinizde sızan verilerin analizi, kritik öneme sahiptir. Eğer bir iç hesap, olağan dışı yüksek bir Z-Score ile dışarıya e-posta gönderiyorsa, bu durum phishing veya spam saldırılarının bir belirtisi olabilir. Örneğin:

Z-Score > 3: Ele geçirilen bir iç hesaptan dışarı gönderilen yüksek hacimli e-posta.

Buna ek olarak, bir ağda oluşan trafik topolojisinin analizi de Z-Score ile gerçekleştirilebilir. Örneğin, bir ağ segmentinde olağan dışı yüksek veri transferleri, bir veri sızıntısı olasılığını artırır. Doğru şekilde yapılandırılmış bir güvenlik sistemi, bu hareketleri hızla tespit edebilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte etkin bir savunma geliştirmek için bazı profesyonel önlemler dikkate alınmalıdır:

  1. Log Yönetimi: Tüm ağ aktiviteleri ve sistem günlükleri düzenli olarak toplanmalı ve analiz edilmelidir.

  2. Eşik Değerlerin Belirlenmesi: Güvenlik analistleri, Z-Score hesaplamaları yoluyla belirlenen eşik değerlerini belirlemeli ve bu değerlerin dışındaki anormal aktiviteleri çözümlemek için prosedürler geliştirmelidir.

  3. Hareketli Z-Score Modelleri: Kullanıcı davranışlarına göre sürekli güncellenen hareketli Z-Score modellerinin uygulanması, zamanla değişen tehdit profillerine karşı daha dinamik bir güvenlik sağlarken, yanlış pozitiflerin azaltılmasına da yardımcı olabilir.

  4. Logaritmik Dönüşüm: Ağ verileri genellikle çarpık dağılım gösterdiğinden, Z-Score hesaplamadan önce logaritmik dönüşüm işlemleri uygulamak, doğruluk payını artırabilir.

Kısa Sonuç Özeti

Z-Score ve standart sapma, anomali tespitinde güçlü araçlar olarak öne çıkmaktadır. Bu teknikler, siber güvenlik alanında sistemlerin normal davranışlarını belirlemek ve sapmaları tespit etmek için kullanılmaktadır. Yanlış yapılandırmalar ve zafiyetler, siber saldırılar için bir kapı açarken, sızan veriler ve ağ topolojisi incelemeleri, potansiyel tehditleri ortaya çıkaran unsurlar olarak değerlendirilmelidir. Etkin bir savunma geliştirmek için profesyonel önlemler alınmalı ve sistemlerin sürekli olarak güncellenmesi sağlanmalıdır.