Gelişmiş kalıcı tehdit saldırılarının ağ akış analiziyle tespit edilmesi

Abstract

Son yıllarda, bilgi güvenliği manzarasında zararlı faaliyetlerin kaynağı bağlamında bireysel saldırganlardan büyük suç örgütlerine ve devletlere doğru bazı değişiklikler yaşandı. Gelişmiş kalıcı tehdit saldırıları bu trendin bir tezahürüdür. Bu saldırılar dikkatli şekilde planlanan ve uzmanlıkla gerçekleştirilen siber saldırılardır. Bu tez çalışması, gelişmiş kalıcı tehditler hakkında kapsamlı bir araştırma sunmaktadır. Gerçek hayatta gerçekleştirilen gelişmiş kalıcı tehdit saldırılarından yola çıkarak yaşam döngüleri tanımlanmış ve ortak hedefleri belirlenmiştir. Potansiyel olarak gelişmiş kalıcı tehdit saldırılarına maruz kalabilecek hedefler için literatürden araştırılan saldırının etkilerini azaltma stratejileri ve savunma metotları gözden geçirilmiştir. Bu çalışma ile gelişmiş kalıcı tehdit saldırılarını belirleyecek bütünsel bir güvenlik politikası oluşturulmuştur. Gelişmiş kalıcı tehdit saldırıları, ağ akış trafik bilgileri kullanılarak tespit edilmeye çalışılmıştır. Kullanıcı bilgisayarlarının ağ akış trafik bilgileri ile oluşturulan matris üzerinde tekil değer ayrıştırması metodu uygulanarak boyut küçültme işlemi yapılmış ve kosinüs benzerliği kullanılarak kullanıcı bilgisayar davranışları karşılaştırılmıştır. Bu çalışmanın yapılan testler neticesinde gelişmiş kalıcı tehdit saldırılarının tespitinde etkili olabileceği, gerçek bilgi sistem altyapılarında kullanılabileceği değerlendirilmektedir. Gelişmiş kalıcı tehdit saldırılarına karşı yeni bir alternatif güvenlik yaklaşımı getirmesi nedeniyle çalışmanın literatüre önemli katkılar sağlayacağı düşünülmektedir.

In recent years, information security landscape has seen a shift in the source of malicious activity from individual attackers to large criminal organizations and governments. Advanced persistent threats are a manifestation of this trend. They are carefully planned and expertly executed attacks, usually employed as an important weapon in cyber warfare. This thesis provides a thorough investigation of advanced persistent threats. We describe their life cycle, classify their nature and common objectives using information from real examples. We also review mitigation strategies and defense methods, extract strategic principles from the literature for strengthening potential targets. This work constitutes a holistic security policy to determine advanced persistent threats. APT attacks will be tried to detect using network flow data. Flow data matrix is created using information of a user's computer network traffic flow. Singular value decomposition is applied on the matrix. In this way dimension reduction process is carried out. Later on user computer behavior is compared using cosine similarity. The result of the study shows that the proposed model can effectively be used to detect advanced persistent threats in real information system infrastructures. It is thought that this study provides an important contribution to the literature bringing a new alternative security approach against advanced persistent threats.