Page 40 - bilgem-teknoloji-dergisi-12
P. 40
Siber Güvenlik BILGEM
TEKNOLOJI
marka isim listesi oluşturup bundan yararlanabili- eskiden verilerin büyüklüğünü tanımlamak için kul-
riz. Bunun için dünyada en çok kullanılan bankalar, lanılan sayısal tanımlamaların değişmesidir. Son
Telekom şirketleri, sosyal medya şirketleri, Alexa 10 yılın üzerinde büyümekte olan veriler Makine
üzerinde üst sıralarda sıralanmış markalar gibi Öğrenimi ile sonuç vermemeye başlamıştır. Bugün
amaca uygun veri kümelerini oluşturabiliriz. 1 milyon seviyesindeki veriler “big amount of data”
olarak tanımlanmaktadır. İleride genişleyen veri kü-
Veri Ön İşleme aşaması, öznitelik çıkarımını başarılı meleri ışığında bu kavramın da değişeceğini söy-
bir şekilde sağlayabilmek için kullanmak mantıklı lemek zor değildir. Veri sayısı düşme eğilimi gös-
olabilir. URL adresinin içerisinden özel karakterle- terdikçe, Derin Öğrenme algoritmaları performans
re göre parçalanabilir ardından sisteminize uygun noktasında kayıp yaşamaktadır. Derin Öğrenme
belirlediğiniz anahtar kelimeleri veya marka isimle- algoritmalarının iyi çalışması için büyük miktarda
rini içerip içermediği tespit edilir. Bilinen bir kelime veriye ihtiyaç vardır. Daha az veriyle işlem yapılıyor-
içeriyorsa bu kelimelerin sayısı, firma sayıları çıka- sa Makine Öğrenimi’nin daha iyi sonuçlar vermesi
rılır. Bilinmeyen bir kelime içeriyorsa rastgele keli- beklenmektedir.
tespit yöntemi verimli gibi görünse de banka gibi Bu yöntemlerde tespiti zorlaştıran etmenler aşağıda me içerip içermediği tespit edilir. Uzunluğuna göre
sürekli oltalama saldırılarına maruz kalan sistem- sıralanmıştır. kelime listesine eklenir. Belli uzunluğu geçiyorsa Oltalama Saldırılarında Riski Minimize Etmek
lerde sürekli güvenlik duvarı bloklaması yapılması rastgele kelime kümesinden kelimeler ayrıştırılır için Alınabilecek Önlemler
veri tabanın şişmesine neden olabilmektedir. Typosquatting: Kurumun gerçek adresine benzer do- (“fastpaylogin” verisinden “fast”,”pay”,”login” keli- Personeli sahte ve kötü niyetli e-postaları belir-
main adreslerin saldırgan tarafından satın alınması melerinin çıkartılması gibi). Oluşturulan tüm bu lis- leme ve tetikte olma konusunda eğitilebilirsiniz.
Bu yöntemin verimliliğini ve güvenliğini arttırmak durumu. Örneğin “linked1n.com”, “goggle.com”. telerden zararlı olup olmadığı analizi gerçekleştirilir Kuruluşun altyapısını ve personelin yanıt verme
için genelde kurumsal firmalarda eğer kurumun iş ve öznitelik çıkarımı yapılır. yeteneğini test etmek için taklit edilmiş kimlik avı
yaptığı firmalarla bir bağlantısı yoksa dns taban- Cybersquatting: Kurumun var olan alan adının ak- kampanyaları başlatılabilirsiniz.
lı bloklamalar yapılmaktadır. Bu tarz sistemlerin sine farklı uzantıların saldırgan tarafından satın Öznitelik çıkarımı aşamasında ise kelime tabanlı Filtrelerin düzenli bakımıyla bir güvenli e-posta
eksiği ise, daha önce gerçekleşen saldırıları ya da alınması durumudur. “ozelkurum.com” bir kuruma özniteliklerden yararlanılabilir. DDİ teknikleri bu ko- ağ geçidi kullanabilirsiniz.
tespit edilmemiş olan saldırıları algılama yeteneği- aitken, “ozelkurum.net”, “ozelkurum.org” gibi farklı nuda yardımcı olmaktadır. Özel karakterlere ayrış- Kimlik avı sitelerini gerçek zamanlı olarak belirle-
ne sahip olmamalarıdır. Kara Liste tabanlı oltalama uzantılara sahip alan adlarını içermektedir. tırılan URL içerisinde sözlükte geçen kelime sayısı, mek için makine öğrenimi tekniklerini kullanan gü-
saldırıların tespit edilme başarıları %20 civarında- en uzun ve en kısa kelime uzunluğu, marka isim venlik çözümleri uygulamayı düşünebilirsiniz.
dır [2]. PhishNet, Automated Individual White-List, Birleşik Kelime Kullanımı: Kelimelerin bitişik yazı- kontrolü, bulundurduğu rakam sayısı, URL uzunlu- Posta istemcilerinde kodun, makroların, grafik-
DNS-Based Blaklist (dnspedia vb.), Google Safe mına dayanmaktadır. Saldırganların çok sık tercih ğu, alan adında geçen “www” ve “com” gibi kelimele- lerin otomatik olarak çalıştırılmasını ve postalanan
Browsing API gibi uygulamalar bu konuda yardım- ettiği yöntemlerden biridir. Örneğin, “xbanksecu- rin kullanılıp kullanılmadığı, özel karakterler içermesi bağlantıların önceden yüklenmesini devre dışı bıra-
cı olmaktadır. relogin.com”. Doğal Dil İşleme (DDİ) yöntemleri durumu (@ , ? & , = vb.), alt alan adı sayısı, punnycode kın ve bunları sık sık güncelleyin.
belirli ayraçlar ile kelimelerin ayrılmasına dayanır. içermesi (“tubitak.gov.tr” yerine “xn--tbitak-3ya.gov. İstenmeyen e-postaları azaltmak için şu standart-
Beyaz liste tabanlı tespit yöntemi ise kara liste ta- Kelimelerin bitişik yazılması analizi zorlaştırmak- tr” kullanılması durumu), domainin yaşı, URL adresin lardan birini uygulayabilirsiniz: SPF, DMARC ve DKIM.
banlı tespit yönteminin aksine şüpheli veya zararlı tadır. Bu zorluk bilgisayarların bunu analiz etme IP adres içerip içermediği gibi 40’tan fazla öznitelik Kritik finansal işlemler veya hassas bilgileri pay-
olmadığı bilinen adreslerin oluşturduğu listeye da- zorluğuna dayanmaktadır. İnsanlar tarafından biti- çıkarımı yapılabilmesi mümkündür. laşırken dijital imzalar veya şifreleme aracılığıyla
yanmaktadır. Beyaz liste oluşturmak, kara listeye şik kelimelerin tespit edilmesi ise kolaydır. güvenli e-posta iletişimi tercih edilebilir.
göre daha kolaydır. Oltalama saldırılarının tespit edilmesinde Makine Öğ- Rastgele bağlantılara, özellikle sosyal medyada
Rastgele Karakterlerden Oluşan Kelimeler: Alan reniminin yanı sıra Derin Öğrenme yöntemlerinin de bulunan kısa bağlantıları tıklamaktan kaçınılmalıdır.
Makine Öğrenimi Tabanlı Tespit Yöntemi adlarının rastgele oluşturulmasına dayanmakta- başarılı olduğu gözlemlenmiştir ancak Derin Öğren- Bir e-postanın kaynağı konusunda kesinlikle
Makine Öğrenimi ve Derin Öğrenme Tabanlı sis- dır. Örneğin, “qwrtyght.com”. Kullanıcı tarafından me yönteminin tercih edilmesi, bazı nedenleri içinde emin değilseniz, bağlantıları tıklamayınız veya ek-
temlerin bu noktadaki amacı verimliliği ve güvenliği tespit edilmesi kolay gibi görünse de saldırgan barındırmaktadır. İki farklı yöntem üzerindeki yapılan leri indirmeyiniz.
artırmanın yanında, yanlış pozitif oranını minimum rastgele karakterlerden oluşturduğu bu alan adına tartışmalara bakıldığında şu an için henüz bir fikir bir- Kişisel bilgileri sosyal medyada aşırı paylaşmayınız.
seviyeye düşürmektir. Makine Öğrenimi sırasında uzun alt alan adları ve çok uzun dosya yolu ekleye- liği oluştuğunu söylemek güçtür. Özellikle banka gibi hassas siteler için, ziyaret et-
gerçekleştirilen testlerde Random Forest, Decision rek URL adresinin tarayıcıda görünmesini zorlaş- tiğiniz sayfanın alan adlarını kontrol ediniz. HTTPS
Tree, kernel tabanlı Sıralı Minimum Optimizasyon tırabilir. Makine Öğrenimi ve Derin Öğrenme yöntemlerinde bağlantı olması her zaman güvenli olduğu anlamı-
(SMO), istatiksel tabanlı bir algoritma olan Naive kullanılan en temel fark performanstır. Veri kümele- na gelmez.
Bayes(NB), Support Vector Machine (SVM) ve di- Oluşturulan veri kümelerinden zararlı ve normal rinin ayrıştırılması, ayrıştırılan verilerden öğrenilme- Hesap devralmalarında iki faktörlü kimlik doğru-
ğer algoritmalar kullanılabilir. Random Forest al- olmak üzere iki çıktı alınırken test aşamasında, si ve öğrenilen veriler üzerinden kararların verilmesi lamayı etkinleştiriniz.
goritmasının, SVM ve Decision Tree’ye göre biraz doğru negatif, yanlış pozitif, yanlış negatif, doğru için iki yöntem de kullanılabilmektedir. Derin Öğren- Her çevrimiçi hizmet için güçlü ve benzersiz bir
daha doğruluk oranına sahip olduğu yapılan çalış- pozitif dediğimiz ikili sınıflandırma problemleri ile me algoritmalarına bakıldığında temel olarak kendi parola kullanınız.
malarda gözlemlenmiştir. Daha fazla doğruluk ora- karşılaşılabilmektedir. başına kararlar verebilen bir Yapay Sinir Ağı (YSA) Şifrelenmemiş ve imzalanmamış e-postalara,
nı yakalayabilmek için birden fazla algoritmanın bir oluşturmak için kullanılır. Makine Öğrenimi, Derin özellikle banka verileri gibi hassas paylaşım du-
arada kullanıldığı hibrit yaklaşımlar tercih edilebilir. Makine Öğrenimi gerçekleştirilirken kullanılan veri Öğrenme’yi kapsamaktadır. Derin Öğrenme’de, ol- rumlarında güvenmeyiniz.
setinin zararlı URL/IP ve güvenilir URL/IP adresle- talama saldırılarının tespit edilmesinde Multi Di-
rini içerebilir. Zararlı URL adreslerinin oluşturduğu mensional Feature Selection (MDFS) kullanılabilir. Kaynakça
kümeler için “phishtank.org” gibi ücretsiz siteler- Derin Öğrenme uyguladığımız sistemlerde Makine [1]https://www.enisa.europa.eu/publications/phishing/
den yararlanılabilir. Temiz URL adresleri için ise Öğrenimi yapıldığı söylenebilir ancak her Makine at_download/fullReport
“Google Trend API, Yandex Search API” gibi ara- Öğrenimi uygulandığında sisteme bir Derin Öğren- [2] Khonji, M., Iraqi, Y., & Jones, A. (2013). Phishing detection:
ma motorlarından yararlanılabilir. Arama motorları me yöntemi uygulandığı söylenemez. Öznitelikler a literature survey. IEEE Communications Surveys & Tutorials,
güçlü skorlama algoritmaları kullandığı için arama Makine Öğrenimi’nde manuel olarak verilir. Derin 15(4), 2091-2121.
motorlarında karşımıza çıkan ilk sonuç en güveni- Öğrenme’de ise bu öznitelikleri sistem, verilerden [3] https://cipher.com/blog/phishing-protecti-
lirdir diye basite indirgeyebilir ve bunu başka indi- doğrudan öğrenebilmektedir. on-spf-dkim-dmarc/
katörlerle çoğaltabiliriz. Zararlı URL ve Temiz URL [4] https://www.phishing.org/10-ways-to-avoid-phishing-
Şekil 3 URL Adresi Bölümleri veri kümelerini daha da güçlendirmek için örneğin Derin Öğrenme kullanılmasındaki en temel amaç, scams
38 39