Kötü niyetli alan adlarının veri madenciliği kullanılarak tespit edilmesi

Abstract

İnternetin hayatımızın her alanında yer alması, yanında siber saldırıları da birlikte getirmiştir. Siber saldırılar; devlet kurumlarından özel sektöre, kritik altyapılardan kişisel verilere kadar birçok farklı alan ve boyutta meydana gelmektedir. Siber saldırganların günümüzde en çok kullandığı yöntemlerden biri olan oltalama saldırıları (phishing) her yıl yüz milyonlarca dolarlık zarara sebep olmaktadır. Oltalama saldırısı temelde, `-mış gibi davranmak` üzerine kurulmuştur. Müşterisi olunan bankadan gönderilmiş gibi gelen e-postalar, vatandaşı olunan ülkenin kamu kurumlarına aitmiş gibi görünen internet siteleri ve diğer örnekler.Oltalama saldırılarını engellemek için birçok farklı çözüm geliştirilmektedir. Bunlardan bazıları bilgi ve bilinç seviyesini artırıcı çalışmalar, diğer bazıları ise oltalama saldırılarını engellemeye yönelik teknik çalışmalardır.Bu tez çalışması kapsamında, oltalama amacıyla kullanılan internet sitelerinin tespiti ile ilgili yapılan çalışmalar incelenmiş, ticari ürünler denenmiş ve oltalama amacıyla kullanılabilecek kötü niyetli alan adlarının tespitine yönelik bir yöntem önerilmiştir.Oltalama amacıyla kullanılabilecek kötü niyetli alan adlarının tespiti ile ilgili bu zamana kadar yapılan çalışmalar büyük çoğunlukla aynı/benzer veri setleri ile yapılmış çalışmalardır. Bu veri setleri gerçek hayat senaryoları ile çok örtüşmeyen ya da güncelliğini yitirmiş veriler olabilmekte ve elde edilen sonuçları tam olarak test etmeye imkan vermemektedir.Tez çalışması kapsamında önerilen yöntemin test edilmesi için 18 ay boyunca gerçek verilerden oluşan bir veri seti hazırlanmış ve önerilen yöntemin doğruluğu kontrol edilmiştir. Tez çalışması sırasında, 18 ay boyunca kayıt edilen yaklaşık 160 milyon alan adı günlük olarak analiz edilmiştir.Sonuç olarak önerilen yöntemin, kötü niyetli alan adlarını tespit etmede %89 başarı sağladığı görülmüş, bu başarı oranının nasıl artırılabileceği ve gelecek çalışmalarda neler yapılabileceği ortaya konmuştur.

The presence of the Internet in every area of our lives has also brought cyberattacks to our lives. Cyber attacks are targeting public institutions, private sectors, critical infrastructure, personal data, and more. One of the most popular methods used by cyber attackers today is phishing, causing hundreds of millions of dollars of damage every year. Phishing attacks are based on `fakeness`. Fake emails that behave as coming from the banks, fake websites that act like the original website of public institutions, and more.Many different solutions are being developed to prevent phishing attacks. Some of these solutions aiming to increase the awareness and knowledge of phishing attacks, while others are technical solutions to prevent phishing attacks. Within the scope of this thesis, the studies on the detection of websites used for phishing purposes were examined, commercial products were tried, and a method for the detection of fraudulent domain names was proposed.Mostly, the same/similar data sets were used on the researches done for the detection of fraudulent/malicious domain names that can be used for phishing purposes. These datasets may be data that do not overlap with real-life scenarios or are outdated and do not allow to test the results obtained thoroughly. In order to test the proposed method on the thesis, a data set consisting of real data was prepared for 18 months, and the accuracy of the proposed method was checked. During the thesis study, approximately 160 million domain names registered for 18 months were analyzed daily.As a result, it was seen that the proposed method achieved 89% success in detecting fraudulent domain names, and how this success rate could be increased and what could be done in future studies were demonstrated.