CyberFlow Logo CyberFlow BLOG
Soc L3 Data Hunting

Zaman Serisi Analizi: Siber Güvenlikte Mevsimsellik ve Anomali Tespiti

✍️ Ahmet BİRKAN 📂 Soc L3 Data Hunting

Zaman serisi analizi, siber güvenlikteki mevsimsellik ve anomali tespiti için kritik bir yöntemdir. Bu yazıda, zaman serisi kavramlarını keşfedin.

Zaman Serisi Analizi: Siber Güvenlikte Mevsimsellik ve Anomali Tespiti

Siber güvenlikte zaman serisi analizi, verilerin dinamiklerini anlamanıza ve mevsimsellik ile anomali tespit etmenize yardımcı olur. Detayları keşfedin.

Giriş ve Konumlandırma

Zaman serisi analizi, oldukça geniş bir veri kümesi içinde olguların zamanla nasıl değiştiğini inceleyen bir yöntemdir. Siber güvenlik alanında, zaman serileri grafiklerin önemli bir yeri vardır; çünkü bu grafikler, ağ trafiği, sistem olayları ve güvenlik tehditlerine yönelik gözlemler gibi dinamik verileri içerir. Zaman serisi verileri, belirli aralıklarla toplanan ve zaman damgaları ile kaydedilen olayların düzenli olarak kronolojik bir düzende sunulmasından oluşur. Örneğin, her saat başı kaydedilen ağ trafiği hacmi, bir zaman serisi olarak değerlendirilebilir.

Siber güvenliğin en kritik bileşenlerinden biri olarak zaman serisi analizi, anomali tespitinde ve mevsimsellik desenlerinin ortaya konmasında fayda sağlar. Günümüzde siber saldırılar sıkça tekrarlayan, zamanlaması belirli olan ve beklenmedik anomali davranışları sergileyen karmaşık biçimler alabiliyor. Bu nedenle, zaman serisinin her bir bileşenini anlamak, siber güvenlik uzmanları için saldırıları erken aşamada tespit etme şansı sunar.

Zaman Serisi Analizinin Önemi

Sertifikalı etik hackerlar ve siber güvenlik uzmanları için zaman serisi analizi, güvenlik ihlallerini önceden tahmin etmek adına güçlü bir araçtır. Özellikle makine öğrenmesi teknikleri ile birleştirildiğinde, zaman serisi analizi, geçmiş verileri inceleyerek gelecekteki olayları tahmin etme yeteneği kazandırır. Örneğin, ARIMA ve SARIMA gibi zaman serisi tahmin algoritmaları, uzun dönemli verilerdeki eğilimleri belirlemek ve potansiyel anomalleri yakalamak için kullanılabilir. Gelişmiş algılama sistemleri, bu tür analizler ile belirlenen normalden sapmaları algıladıklarında alarm durumu oluşturabilir.

Mevsimsellik, zaman serileri analizinde belirli bir periyotta düzenli olarak ortaya çıkan döngüsel kalıpların tespiti anlamına gelir. Örneğin, bir şirkette her pazartesi sabah saat 09.00’da itibariyle artan ağ trafiği, bu mevsimsel kalıbın bir örneğini teşkil eder. Bu tür kalıpların tanınması, sistemlerin proaktif bir şekilde korunmasına olanak tanır.

Teknik Bağlamsal Anomaliler

Zaman serisi analizinde, olası anomaliler kapsamında dikkat çeken birkaç kategori bulunur. Örneğin, "bağlamsal anomaliler" normal görünümdeki verilerin zamanlama hatalarıyla ortaya çıkar. Düşünüldüğünde, bir tatil gününde işe giriş yapmaya çalışma, bu tür bir bağlamsal anomali örneğidir. Bunun yanı sıra, "nokta anomalisi" olarak bilinen durumlar da kritik önem arz eder; bu tür anomaliler genellikle kısa süreli, beklenmedik bir artış veya azalış şeklinde kendini gösterir ve genellikle siber saldırıların habercisi olabilir.

Zaman serisi analizinin en kritik yönlerinden biri de "durağanlık" kavramıdır. Bir zaman serisi analizi yapabilmek için verilerin istatistiksel ortalamasının ve varyansının zaman içerisinde büyük değişiklikler göstermemesi gerekmektedir. Bu, verinin gelecekteki durumu üzerinde sağlıklı tahminler yapabilmenin temel koşuludur.

Son olarak, zaman serisi analizinin bağlamına baktığımızda, Network Command & Control (C2) sistemleri gibi zararlı yazılımların durumlarını değerlendirirken de büyük bir işlevsellik sunmaktadır. Her beş dakikada bir düzenli paket iletişimi gibi davranışlar, "beaconing" sinyali olarak adlandırılır ve bu durum zaman serisi analizinde önemli bir gösterge olarak dikkate alınır.

Sonuç olarak, zaman serisi analizi siber güvenlikte kritik bir rol oynamakta ve ilerideki bölümlerde, çeşitli algoritmalar ve uygulama pratikleri aracılığıyla bu yöntemin derinlemesine incelenmesi sağlanacaktır. Bu nedenle okuyucular, zaman serisi analizinin bileşenlerini ve pratik uygulama tekniklerini daha iyi anlayarak, siber güvenlik sürecinde nasıl daha verimli bir pozisyonda olabileceklerini keşfedeceklerdir.

Teknik Analiz ve Uygulama

Zaman Serisi Kavramı ve Bileşenleri

Zaman serisi, belirli aralıklarla (örneğin, her saat başı) kronolojik olarak toplanan veri setlerini ifade eder. Siber güvenlik alanında, bu veriler genellikle ağ trafiği hacmi, oturum açma girişimleri veya sistem logları gibi güvenlik olaylarının zaman içindeki değişimini gösterir. Zaman serisi analizi, bu veriyi inceleyerek güvenlik tehditlerini daha iyi anlamayı sağlar.

Zaman Serisinin Temel Bileşenleri

Zaman serisi analizi, üç ana bileşeni içerir: trend, mevsimsellik ve gürültü.

  1. Trend (Eğilim): Verinin uzun vadedeki genel artış veya azalış yönüdür. Örneğin, bir şirketin büyümesiyle artan genel ağ trafiği, bir eğilim göstergesidir.

  2. Mevsimsellik (Seasonality): Belirli periyotlarla düzenli olarak tekrarlanan döngüsel kalıplardır. Örneğin, her sabah saat 09:00’da zirve yapan ağ trafiği mevsimsellik gösterebilir.

  3. Gürültü (Noise/Irregular): Trend veya mevsimsellikle açıklanamayan, rastgele ve anlık gerçekleşen düzensiz dalgalanmalardır. Güvenlik olayları sırasında meydana gelen ani değişimler bu kategoride değerlendirilebilir.

Mevsimselliğin Önemi

Mevsimsellik, güvenlik analizinde döngüsel kalıpları anlamak için kritik bir bileşendir. Ağ trafiğindeki mevsimsel değişimlerin tanınması, potansiyel tehditleri tespit etmekte yardımcı olabilir. Örneğin, her gün belirli bir saatte artan trafiğin normal olduğunu bilmek, o saatte meydana gelen beklenmedik bir artışın anomali olarak değerlendirilmesini sağlar.

Zaman Modellerinin Temel Mantığı

Zaman serisi analizi için çeşitli modeller kullanılmaktadır. Bu modeller, geçmişteki verilere dayanarak gelecekteki olayları tahmin etmeye çalışır. Kullanılan bazı yaygın zaman serisi algoritmaları arasında ARIMA, SARIMA ve Prophet bulunmaktadır.

  • ARIMA (AutoRegressive Integrated Moving Average): Geçmiş değerleri ve doğrusal hataları kullanarak tahmin yapan klasik bir modeldir. Durağan veri setleri için idealdir.

  • SARIMA (Seasonal ARIMA): Mevsimsel veriler için özel olarak geliştirilmiş daha gelişmiş bir modeldir. Hem eğilim hem de mevsimsellik bileşenlerini dikkate alır.

  • Prophet: Facebook tarafından geliştirilmiş modern bir tahmin algoritmasıdır. Tatiller ve mesai saatleri gibi faktörlerle iyi başa çıkabilmektedir.

Verilerin Durağanlığı

Zaman serisi analizinin başarılı olabilmesi için verinin durağanlığı önemlidir. Durağanlık, istatistiksel ortalamanın ve varyansın zaman içinde büyük değişiklikler göstermemesi anlamına gelir. Eğer veriler durağan değilse, gerekli dönüşümler yapılmalıdır. Örneğin, logaritmik dönüşüm veya fark alma işlemleri ile veri durağan hale getirilebilir.

import pandas as pd

# Örnek veri seti yükleme
data = pd.read_csv(' haber_ogeleri.csv')

# Durağanlık testi
from statsmodels.tsa.stattools import adfuller
result = adfuller(data['değerler'])
print(f'D-test istatistiği: {result[0]}, p-değeri: {result[1]}')

Bu kod, bir veri setinin durağanlığını test eder ve sonuçları yorumlamaya yardımcı olur.

Anomali Tipleri

Zaman serisi analizinin en önemli yanlarından biri de anomali tespitidir. Anomali tipleri, üç ana gruba ayrılabilir:

  1. Nokta Anomalisi (Point): Örneğin, saniyeler süren ve aniden ortaya çıkan aşırı yüksek bir ağ sıçraması.

  2. Bağlamsal Anomali (Contextual): Hacim olarak normal görünmesine rağmen zamanlaması yanlış olan eylemlerdir; örneğin tatilde yapılan bir oturum açma.

  3. Kolektif Anomali (Collective): Tek tek bakıldığında normal olan ancak bir araya geldiklerinde şüpheli görünen dizi eylemler; örneğin yavaş bir port taraması gerçekleştiren bir cihaz grubu.

Logların Kritik Bileşeni

Siber güvenlikte zaman serisi oluşturmak için loglardaki en önemli alan, zaman damgalarıdır. Zaman damgaları kesinlikle standartlaştırılmalı ve her bir güvenlik olayı için doğru zaman bilgisini sağlamalıdır. Bu, olayların doğru bir şekilde analiz edilmesi ve anomali tespitinin gerçekleştirilmesi için elzemdir.

C2 ve Zaman Serisi

Bağlamsal anomali tespitinde önemli bir kavram da Command and Control (C2) sunucularıdır. Zararlı yazılımlar, dışarıdaki C2 sunucularıyla düzenli aralıklarla iletişim kurar. Örneğin, bir zararlı yazılımın dışarıdaki C2 sunucusuna her 5 dakikada bir düşük hacimli paketler göndermesi, "beaconing" sinyali olarak adlandırılır.

Zaman serisi analizinin, C2 iletişimlerini tespit etmek için nasıl kullanılabileceğine dair bir örnek:

import matplotlib.pyplot as plt

# (Örnek veri) Her 5 dakikada bir gönderilen paket verisi
timestamps = pd.date_range('2023-01-01', periods=288, freq='5T')
data = pd.Series([1]*288, index=timestamps)

# Zaman serisi grafiği
plt.figure(figsize=(12,6))
plt.plot(data.index, data.values)
plt.title('Zaman Serisi: Beaconing Sinyali')
plt.xlabel('Zaman')
plt.ylabel('Paket Sayısı')
plt.show()

Bu grafik, bir zararlı yazılımın C2 sunucusuyla olan düzenli iletişimini gösterir ve potansiyel tehditleri hızlıca tespit etmeye yardımcı olur. Bu tür analizler, siber güvenlik uzmanları için kritik bir öneme sahiptir, çünkü potansiyel tehditleri önceden belirleyerek gerekli önlemleri alma şansı sunar.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında zaman serisi analizi, ağ trafiği, güvenlik olayları ve sistem performansı gibi kritik verilerin izlenmesi ve değerlendirilmesi için önemli bir araçtır. Bu bağlamda yapılan analizler, mevsimsellik ve anomali tespiti ile güvenlik olaylarının anlamını daha derinlemesine yorumlamaya olanak tanır.

Elde Edilen Bulguların Güvenlik Anlamı

Zaman serisi analizi kullanıldığında, elde edilen veriler belirli bir zaman dilimi içerisinde inceleme altına alınır. Örneğin, bir ağda her saat başı toplanan veri setleri, zamanın ilerlemesiyle birlikte anlık trafik dalgalanmalarını gösterir. Bu veriler üzerinden yapılan yorumlamalar sonucunda, hangi zaman dilimlerinde anormal hareketlerin gerçekleştiği anlaşılabilir.

Yanlış yapılandırmalar veya sistem zafiyetleri belirli ipuçları sunar. Örneğin, bir ağda gece geç saatlerde artan trafik; gün içinde normal seyrin dışına çıkan bir hareket olarak kabul edilir. Aynı zamanda, kötü niyetli içeriğin kapsamını ve kaynağını belirlemek için zaman damgalarındaki tutarsızlıklar analiz edilmelidir. Eğer ağ trafiği her gün sabah 09:00’da pik yapıyorsa; gün içinde farklı saatlerde benzer durumlar gözlemlendiğinde bu, "bağlamsal anomali" olarak değerlendirilir.

Yanlış Yapılandırmaların ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, sistemlerin güvenliğini tehlikeye atarak potansiyel saldırılara zemin hazırlar. Bir güvenlik duvarının yanlış konfigürasyonu, dış tehditlerin yönlendirilmesine sebep olabilir. Örneğin, bir firewall kuralı yanlışlıkla mevcut ağ trafiğinin hepsini açığa çıkardığında, bu duruma Hedef Müşteri Makinesi (C2) ile düşük hacimli veri transferleri üzerinden iletişim kuran zararlı yazılım örneği ile karşılaşılabilir. Bu durumun tespit edilmesi, olası veri kaybını engellemek ve güvenlik önlemlerinin güçlendirilmesi için kritik öneme sahiptir.

Aynı zamanda, zaman serisindeki bağlı verilerin analiz edilmesiyle, düzenli bir trafiğin ani değişimleri saptanabilir. Mesela, bir şirkete ait sistemden 5 dakika aralıklarla elde edilen verilerin düşük hacimli ve her zamanki gibi ilerleyen bir pattern göstermesi gerekirken, bunların dışında gerçekleşen yüksek hacimdeki veri transferleri anomali olarak algılanır.

Sızan Veri, Topoloji ve Servis Tespiti

Zaman serisi analizinin bir diğer önemli yönü ise sızan verilerin ve ağ topolojisinin tespitidir. Analiz sonucunda belirli bir zaman diliminde sunuculara ait logların sürekli olarak tekrar eden davranışlar göstermesi, mevcut bir zafiyetin belirteci olabilir. Bunun yanı sıra, “beaconing” adı verilen durumun varlığı; yani zararlı yazılımın dışarıdan gelen komuta kontrol sunucusuyla sürekli iletişim kurması gibi davranışlar, mevcudiyetini ve etkisini açıkça ortaya koyar.

Elde edilen tüm bulgular üzerinden yapılacak güvenlik değerlendirmeleri, tehditlerin etkisini anlamak adına kritik öneme sahiptir. Her bir belirti, daha büyük bir resmin parçası olarak incelenmeli ve gerektiğinde insan müdahalesi ile ihlallere karşı önlemler alınmalıdır.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik stratejileri geliştirilirken, öncelikle mevcut sistemlerin başarılı bir şekilde zaman serisi analizi yapacak şekilde yapılandırılması gerekmektedir. Logların standart zaman damgalarıyla düzenlenmesi, anomali tespitinde kritik bir rol oynamaktadır.

  • Firewall ve IDS/IPS sistemlerinin ayarlanması: Güvenlik duvarı kurallarının gözden geçirilmesi ve Intrusion Detection/Prevention Systems'in aktif hale getirilmesi gerekmektedir.
  • Veri Şifreleme: Verilerin şifrelenmesi, sızan verilerin etkisini azaltabilir.
  • Eğitim ve Farkındalık: Personelin güvenlik olaylarına karşı yeterli bilinçlendirilmesi, insan kaynaklı hataların azalmasına katkı sağlar.
  • Düzenli Güncellemeler: Yazılımların güncel tutulması, yeni zafiyetlerin istismar edilmesini engellemeye yardımcı olur.

Sonuç olarak, zaman serisi analizi siber güvenlikte proaktif bir yaklaşım geliştirilmesi açısından oldukça değerlidir. Mevsimsel kalıplar ve anomali tespitleri üzerinde gerçekleştirilen derinlemesine analizler, güvenlik duruşunu güçlendirmeye ve olası saldırıları engellemeye yönelik stratejilerin geliştirilmesine katkı sağlar.