Oltalama saldırılarının makine öğrenmesi ile tespitinde kullanılan özniteliklerin analizi

Abstract

Oltalama saldırısı teknik altyapısı olan sosyal mühendislik saldırısıdır. Oltalama saldırılarının teknik altyapısını, yasal web sitelerinin kopyalanması ile oluşturulan oltalama web siteleri oluşturur. Oltalama saldırılarının yaygınlaştığı günümüzde, oltalama web sitelerinin tespiti için liste veya sezgisel yöntemler tercih edilmektedir. Liste yöntemleri, sıfır gün saldırılarında etkili olmadığından, sezgisel yöntemler oltalama web sitelerinin tespitinde tercih edilmektedir. Bu çalışmada oltalama web sitelerinin tespitinde kullanmak için yeni bir veri kümesi toplanmıştır. Sunulan veri kümesi 25 öznitelik içermektedir. Bu veri kümesinde HTTP yanıt geçmişi yeni bir öznitelik olarak literatüre sunulmuştur. Öznitelikler URL, HTML ve HTTP yanıtları olarak 3 gruba ayrılmıştır. Oltalama web sitelerinin tespitinde farklı gruplara ait özniteliklerin etkileri araştırılmıştır. Deneylerde Destek Vektör Makinesi, Stokastik Gradyan İnişi, Perseptron, Naïve Bayes, Çok Katmanlı Perseptron, k-En Yakın Komşu ve Karar Ağacı makine öğrenmesi sınıflandırıcıları kullanılmıştır. Deney sonuçları incelendiğinde URL ve HTTP yanıtları gruplarına ait özniteliklerin, tüm özniteliklerin kullanılmasına kıyasla zaman ve başarım oranları açısından daha iyi sonuçlar verdiği görülmüştür. Karar Ağacı sınıflandırıcısı 0,99'lık F1-skor oranı ile URL ve HTTP yanıtları özniteliklerini kullanarak en iyi başarım oranına sahiptir.

Phishing attack is a social engineering with a technical infrastructure. The technical infrastructure of phishing attacks consists of phishing websites created by copying legitimate websites. Nowadays when phishing attacks are widespread, list or heuristic methods are preferred to detect phishing websites. Since list methods are not effective in zeroday attacks, heuristic methods are preferred for detection of phishing websites. In this study, a new data set has been collected to be used in detecting phishing websites. The presented data set contains 25 attributes. In this dataset, HTTP response history is presented to the literature as a new feature. Attributes are divided into 3 groups as URL, HTML and HTTP responses. The effects of features belonging to different groups were investigated in the detection of phishing websites. Support Vector Machine, Stochastic Gradient Descent, Perceptron, Naïve Bayes, Multi-layer Perceptron, k-Nearest Neighbors and Desicion Tree machine learning classifiers were used in the experiments. When the results of the experiment were examined, the attributes belonging to the URL and HTTP responses groups gave better results in terms of time and performance rates compared to the use of all attributes. Decision Tree classifier has the best success rate using URL and HTTP responses features with a F1-score rate of 0.99.