Bilgi Güvenliği Yüksek Lisans Tezleri / Information Security Master Theses

Permanent URI for this collectionhttps://gcris3.etu.edu.tr/handle/20.500.11851/615

Browse

Recent Submissions

Now showing 1 - 2 of 2
  • Thumbnail Image
    Master Thesis
    Dynamic Behavior Analysis Through Novel Windows Event Logs with Machine Learning
    (2025) Önal, Göksun; Selçuk, Ali Aydın; Güven, Mesut
    Teknolojik gelişmelerin hız kazanmasıyla birlikte siber saldırılar ve zararlı yazılım tehditleri giderek karmaşıklaşmakta ve daha tehlikeli hale gelmektedir. Bu durum, bilgi güvenliği alanında yenilikçi yaklaşımların ve etkili çözümlerin geliştirilmesi gerekliliğini ortaya koymaktadır. Bu tez çalışması, zararlı yazılım analizinde dinamik yöntemlerin etkinliğini artırmayı amaçlayarak, özellikle Windows işletim sistemine ait olay kayıt verilerinin detaylı incelenmesine odaklanmaktadır. Çalışmanın temel hedefi, izole edilmiş sanal ortamlarda zararlı ve zararsız yazılımların çalışma anında oluşturdukları işletim sistemi kayıt verilerinden anlamlı öznitelikler çıkarıp, makine öğrenmesi teknikleri kullanılarak zararlı yazılım tespitine yönelik yenilikçi bir yaklaşım geliştirmektir. Bu amaç doğrultusunda, hem manuel hem de çevrimiçi doğrulama süreçleriyle zararlı veya zararsız olduğu belirlenen çalıştırılabilir dosyalar titizlikle toplanmıştır. Kontrollü sanal makine ortamlarında gerçekleştirilen deneysel uygulamalar sonucunda elde edilen veriler, öncelikle sayısal, bağlamsal, zaman tabanlı ve istatistiksel öznitelikler olarak sınıflandırılmıştır. Bu verilerden hangilerinin kullanılabilir olacağı belirlenirken, bazıları özellik mühendisliği teknikleriyle daha işlevsel hale getirilmiş ve model performansını artıracak kritik göstergeler oluşturulmuştur. İlgili öznitelikler, Gradient Boosting, Logistic Regression ve Destek Vektör Makineleri gibi çeşitli sınıflandırma algoritmaları kullanılarak işlenmiş; elde edilen modellerin performansı ise K-Fold çapraz doğrulama yöntemi ile titizlikle değerlendirilmiştir. Uygulanan veri normalizasyonu ve özellik mühendisliği teknikleri, modellerin genel doğruluğunu artırırken, zararlı ile zararsız yazılımlar arasındaki ayrımı daha net ortaya koymuştur. Bu kapsamlı analiz, dinamik analiz temelli yaklaşımların, geleneksel statik yöntemlere kıyasla daha yüksek doğruluk oranları ve düşük yanılma payları sağladığını göstermiştir. Ayrıca, bu çalışma literatürde sınırlı yer alan dinamik analiz yaklaşımlarına önemli katkılar sunmayı hedeflemektedir. Farklı veri setleri üzerinde gerçekleştirilen kapsamlı deneyler sonucunda, geliştirilen metodolojinin siber saldırılara karşı proaktif bir yaklaşım sağlayabileceği ortaya konulmuştur. Dinamik davranış analizi, hem eski hem de yeni zararlı yazılımların tespitinde geniş zaman aralıklarında etkili sonuçlar vermekte, böylece siber güvenlik stratejilerinin geliştirilmesinde kritik bir rol oynamaktadır. Sonuç olarak, bu tez çalışması, zararlı yazılım tespiti ve önlenmesinde dinamik analiz yöntemlerinin uygulanabilirliğini ve etkinliğini ortaya koyarak, siber güvenlik alanında yeni ufuklar açmaktadır.
  • Thumbnail Image
    Master Thesis
    Zararlı Yazılımların Kullandığı Sanallaştırma Karşıtı Yöntemler ve Alınabilecek Önlemler
    (TOBB ETÜ Fen Bilimleri Enstitüsü, 2019) Tekin, Osman Tufan; Selçuk, Ali Aydın
    Zararlı yazılım analizi yıllar içerisinde çok fazla yol kat etmiştir. Dinamik ve statik olarak ikiye ayırabileceğimiz analiz sürecinde, statik analizin davranışsal sonuçları verememesi sebebiyle dinamik analiz süreçleri gelişmiştir. Kum havuzları, otomatik dinamik analizi çok kısa sürelerde yapıp, analiste raporu sunabilmektedir. Bu sebeple günümüz zararlı yazılımları, tespit edilmemek veya tespit edilse de davranışlarının analiz edilme sürelerini uzatmak için analiz karşıtı yöntemler kullanmaya başlamıştır. Zararlı yazılımların bunu yaparken motivasyonu, her türlü kazançlarını arttırmaktır. Bu sebeple bütün analiz tekniklerinden kaçmak için her geçen gün yeni teknikler geliştirilmekte ve bu geliştirilen tekniklerin zararlı yazılımlar tarafından kullanımı da artmaktadır. Sanal ortamların kullanımı, zararlı yazılım analizinde aktif bir yer almaktadır. İsteğe bağlı ortam oluşturulabilmesi, kişisel veri barındırmaması ve analiz adımları arasında kolay geçişler sağlanabilmesinden dolayı manuel analizler için vazgeçilmez bir hal almaktadır. Ayrıca kum havuzları için de aynı kolaylıklar sağlandığı için, onlar tarafından da tercih edilmektedir. v Zararlı yazılımlar, her iki analiz sürecinde de zararlı olduğunu belli etmemek için birçok yöntem kullanmaktadır. Bu yöntemlerden birisi olan sanallaştırma karşıtı yöntemi, kum havuzları içerisinde de sanal ortamlar kullanıldığı için, bütün analiz karşıtı yöntemler arasında çok geniş bir alan kaplamaktadır. Sanallaştırma için kullanılan ürünlerinin kullandığı sanallaştırma tekniklerinin farklı olması da zararlı yazılım geliştiricileri tarafında bu konu üzerine daha fazla çalışmak için motivasyon olmaktadır. Dolayısıyla birçok sanallaştırma karşıtı teknik şu anda zararlı yazılımlar tarafından kullanılmaktadır. Sanal ortam tespiti için donanımsal ve yazılımsal olarak kontroller yapılabilmektedir. Donanımsal olarak sistem kaynakları veya donanım bilgileri içerisinde sanallaştırma platformunun imzaları kontrol edilebilir. Yazılımsal olarak da işletim sistemi içerisinden ulaşılabilen sanallaştırma platformlarına ait bilgiler bulunmaktadır. Özellikle sanal makine içerisinde Windows işletim sistemi varsa, Windows'a ait Kayıt Defteri, Windows Management Instrumantation gibi yapılar, içerisinde çok fazla sanallaştırma platformlarına ait imza barındırdıkları için sanal makine tespitini kolaylaştırmaktadır. Bu çalışmada, sanallaştırma ortamı olarak en çok tercih edilen VMware, işletim sistemi olarak en çok tercih edilen Windows 10 üzerinde zararlı yazılımlar tarafından kullanılan sanallaştırma karşıtı yöntemler incelenmiştir. Bu sanallaştırma karşıtı yöntemlere karşı alınabilecek önlemler anlatılmıştır. Sanallaştırma karşıtı kullanılan bir başka yöntem ise Windows Management Instrumantation'dır. Çoğu kum havuzu tarafından önlem alınmamış bu yöntem incelenmiş ve kancalama tekniği kullanılarak bu yöntemi engelleme yolları anlatılmıştır. Windows Management Instrumantation için kullanılabilecek bir kancalama uygulaması geliştirilmiş ve bu uygulama ile sanallaştırma karşıtı tekniklere önlem alınabileceği gösterilmiştir.