Uygulama Programlama Arayüzü Çağrıları Kullanarak Sistem Güvenliğinin Analiz Edilmesi

Abstract

Bu tez, uygulama programlama arayüzü (API) çağrıları kullanarak makine öğrenimi (ML) yöntemleri ile anomali tespitine odaklanmaktadır. API/sistem çağrıları, sistemlerin ve uygulamaların işleyişini izlemek için kritik veri kaynaklarıdır ve bu çağrılardan elde edilen veriler, anomali tespiti için zengin bilgiler sunmaktadır. API çağrıları, işletim sistemi ile kullanıcı uygulamaları arasındaki etkileşimi sağlayan temel yapı taşlarıdır ve bu çağrılar üzerinden yapılan analizler, sistemin güvenliğini sağlamak için önemli veriler sunmaktadır. Anomali tespiti, sistem güvenliği ve performansı açısından büyük önem taşımaktadır. ML modelleri, büyük miktarda veriyi işleyerek normal ve anormal davranışları öğrenmekte ve bu bilgileri kullanarak yeni verilerdeki anormallikleri tespit etmektedir. Sistem çağrıları kullanılarak yapılan anomali tespiti, ML algoritmaları ile birleştirildiğinde, daha hassas ve doğru tespitler yapabilmektedir. Tez kapsamında, AllMalwarePlusClean2 Subdataset, AllMalwarePlusClean Subdataset ve AllMalware Subdataset adlı üç farklı veri kümesi kullanılmıştır. Bu veri kümeleri, zararlı yazılım ve temiz veri örneklerini içermektedir. Veri kümesi üzerinde ön işleme aşamasında Bit Çifti Kodlaması (BPE) algoritması kullanılmıştır. BPE algoritması, veri boyutunu azaltarak işleme süresini ve hesaplama maliyetini düşürmektedir ve bu da büyük veri kümeleri ile çalışırken önemli avantajlar sağlamaktadır. Tezde, Bi-LSTM, Bi-GRU ve 1D-CNN modelleri kullanılarak anomali tespiti gerçekleştirilmiştir. Bu modeller, zaman serisi ve ardışık bağımlılıkları yakalamada etkin oldukları için tercih edilmiştir. Yapılan deneylerde, Bi-LSTM ve Bi-GRU modelleri, literatürde yaygın olarak kullanılan LSTM ve GRU modellerine kıyasla daha yüksek doğruluk oranları elde etmiştir. Bu modellerin çift yönlü öğrenme kapasiteleri sayesinde zaman serisi verilerindeki bağımlılıkları daha etkili bir şekilde yakaladıkları belirlenmiştir. Yapılan karşılaştırmalarda, Bi-LSTM ve Bi-GRU modellerinin, doğruluk, precision, recall ve F1 skoru gibi metrikler açısından üstün performans sergilediği görülmüştür. Bu durum, Bi-LSTM ve Bi-GRU modellerinin anomali tespiti uygulamalarında kullanılabilirliğini ve etkinliğini vurgulamaktadır.

This thesis focuses on anomaly detection with machine learning (ML) methods using API calls. API, or system calls, are critical data sources for monitoring the operation of systems and applications, and the data obtained from these calls provides a wealth of information for anomaly detection. API calls are the basic building blocks that enable the interaction between the operating system and user applications, and analyzing these calls provides important data to ensure the security of the system. ML models learn normal and abnormal behaviors by processing large amounts of data and use this information to detect anomalies in new data. When anomaly detection using system calls is combined with ML algorithms, it can make more sensitive and accurate detections. In this thesis, three different datasets named AllMalwarePlusClean2 Subdataset, AllMalwarePlusClean Subdataset and AllMalware Subdataset were used. These datasets contain malware and clean data samples. The Byte Pair Encoding (BPE) algorithm was used to preprocess the dataset. The BPE algorithm has reduced the processing time and computational cost by reducing the data size, which provides significant advantages when working with large datasets. In this thesis, anomaly detection is performed using Bi-LSTM, Bi-GRU and 1D-CNN models. These models are preferred because they are effective in capturing time series and sequential dependencies. In the experiments, Bi-LSTM and Bi-GRU models achieved higher accuracy rates compared to the LSTM and GRU models commonly used in the literature. Thanks to their bidirectional learning capacity, these models were found to capture dependencies in time series data more effectively. In the comparisons, Bi-LSTM and Bi-GRU models were found to have superior performance in terms of metrics such as accuracy, precision, recall and F1 score. This emphasizes the usability and effectiveness of Bi-LSTM and Bi-GRU models in anomaly detection applications.