Siber Güvenlik ve Yapay Zeka

Açık Veri Mahremiyet Modelleri Siber Güvenlik Enstitüsü
Açık Veri Güvenli˘gi
Ve
Siber Güvenlikte Büyük Veri
Dr. Ferhat Ozgur Catak 1
1
TUBITAK-BILGEM Siber Güvenlik Enstitüsü ozgur.catak@tubitak.gov.tr
Big Bang’ten Entropiye BIG DATA - Büyük Veri Türkiye Konferansı
12.12.2017 - Ankara
Dr. Ferhat Ozgur Catak Açık Veri Güvenli˘gi Ve Siber Güvenlikte Büyük Veri

˙Içindekiler
1 Açık Veri
Tanım
Tehditler
Kimliklendirme Saldırıları
2 Mahremiyet Modelleri
Mahremiyet Modelleri
k-anonymity
k-anonymity Saldırıları
l-diversity
l-diversity: Saldırılar
t-Closeness
˙Istatiksel Veritabanları
Differential Privacy
3 Siber Güvenlik Enstitüsü
Zararlı A˘g Traﬁ˘ginin Tespit
Edilmesi - Topluluk Yöntemleri
Edilmesi - Derin Ö˘grenme
Homomorphic Encryption -
Secure Multi-Party
Computation
Zararlı Yazılım Davranı¸s Analizi

Table of Contents
1 Açık Veri
Tanım
Tehditler
Kimliklendirme Saldırıları
2 Mahremiyet Modelleri
k-anonymity
k-anonymity Saldırıları
l-diversity
t-Closeness
3 Siber Güvenlik Enstitüsü
Edilmesi - Topluluk Yöntemleri
Edilmesi - Derin Ö˘grenme
Homomorphic Encryption -
Secure Multi-Party
Computation
Zararlı Yazılım Davranı¸s Analizi

Açık Veri Nedir? I
Tanım
Açık veriler, bazı verilerin telif hakkı, patent veya di˘ger kontrol
mekanizmalarından herhangi bir kısıtlama olmaksızın herkesin diledi˘gi
gibi kullanmak ve yeniden yayınlamak için serbestçe bulunması ﬁkridir.
Özellikleri
Herkes tarafından kullanılabilir
ve da˘gıtılabilir
Ön tanımlı ve kolay eri¸sim
Güncel veri

Açık Veri Nedir? II

Tehditler I
Mahremiyet - Anonimle¸stirme
Günümüzde, veri toplayan kurumlar, topladıkları verileri anonim hale
getirmektedirler
Tüm ki¸sisel tanımlayıcıları (ad, adres, TCNO) kaldırarak
payla¸smaktadırlar.
Bu yöntemin son derece etkisiz
oldu˘gu gösterilmi¸stir.
Kısmi tanımlayıcılar
(Quasi-Identiﬁers), çok sayıda
örnek oldu˘gu durumlarda,
ki¸sisel kimli˘gi if¸sa
edebilmektedirler.

Tehditler II
Ki¸sisel Kimliklendirilebilir Veri
Personally Identiﬁable Information – PII
Bir kimli˘gi ayırt etmek veya izlemek
Bir kimli˘ge ba˘glantılı veya ba˘glanabilir
Örnekler
˙Isim, adres, TCNO, Do˘gum tarihi, Telefon numarası
Cihaza özel sabit tanımlayıcılar (IP adresi, MAC adresi)
Kullanıcı hareketlerinin logları
Lokasyon, ﬁnansal ve çalı¸sma verileri

Tehditler III
Mosaic Effect
Hassas verileri ortaya çıkarmak veya
Mahremiyet korumasını atlatmak için
Farklı veri kümelerinin birle¸stirilmesi.
Ya¸sanan Olaylar
Netﬂix
America Online

Tehditler IV

Kimliklendirme Saldırıları I
¸Sekil: Amerikan toplumunun %87’si posta kodu, cinsiyet ve do˘gum tarihi bilgisiyle tekil
olarak elde edilebilmektedir.

Kimliklendirme Saldırıları II

Kimliklendirme Saldırıları III
Sparsity ve Similarity
Non-null nitelikler az. Bir kayıdın deste˘gi: non-null alanlar supp(r)
Genelle¸stirilmi¸s Kosinüs Benzerli˘gi
Sim(r1, r2) =
(r1i , r2i )
|supp(r1) supp(r2)|

En çok bilinenler:
k-anonymity
l-diversity
t-closeness

k-anonymity I
k-anonymity
Samati ve Sweeney tarafından 1998 yılında önerilmi¸stir.
Saldırgan modeli: quasi-identiﬁer (kimlik if¸sası) kullanılarak ba˘glantı
olu¸sturulması
Çözüm: Ayırt edilemez veri gruplarının olu¸sturulması

k-anonymity II
Tablo: K-Anonimle¸stirme Nitelik Tipleri
Nitelik Tipi Özellik Örnek Aksiyon
Anahtar (Key) do˘grudan bir
ki¸siyi belirleyebilir
˙Isim, TC Kimlik
No
Kaldır veya gizle
Yarı Tanım-
layıcı (Quasi
Identiﬁer)
Ki¸siyi tanımlamak
için dı¸s bilgilerle
ba˘glantılı olabilir
Posta kodu ˙Il ˙Ilçe
do˘gum tarihi cin-
siyet
Bastır veya genel
hale getir
Hassas (Sen-
sitive)
Ki¸si hakkında
hassas veri
Gelir, hastalık Ki¸siyle olan ili¸skisi
kesilmelidir.

k-anonymity III
¸Sekil: Örnek veri kümesi

k-anonymity Saldırıları I
Sıralı Olmayan E¸sleme Saldırısı
Problem: kayıtların belirli bir sıra içerisinde yer alması
Çözüm: veri rassal olarak sıralanmalıdır

k-anonymity Saldırıları II
Homojenlik Saldırısı
Hassas de˘gerlerin sınıf etiketleri çe¸sitlilik göstermemesi
Saldırganın ön bilgiye sahip olması

l-diversity I
l-diversity
K-Anonimity yöntemi hassas verilerin da˘gılımı ilgilenmez. Homogenity
attack
Her bir satırın en fazla 1/l olasılıkla hassas veriye ba˘glı olması

l-diversity II

Saldırılar
l-diversity hassas verinin semanti˘gi ile ilgilenmez.

t-Closeness
t-Closeness
t-Closeness ise hassas verilerin sınıf da˘gılımlarının bütün veri kümesi
içerisinde da˘gılma yakın olmasını sa˘glar.

˙Istatiksel Veritabanları I
Problem: veritabanlarından mahremiyet ihlali olmadan istatiksel veri
(toplam, ortalama, say v.b.) elde edilmesi
Örnek: sa˘glık veritabanları, ara¸stırma amacıyla sıklıkla kullanılır. Bazı
hastalıklar ile bazı nitelikler (ya¸s, cinsiyet, a˘gırlık v.b.) ili¸skisi incelenir.
Örnek sorgu: "60 ya¸s üstü insanlarda hastalı˘gın görünme oranı"
Ki¸sisel sorgu izin verilmez: "Ali’de bu hastalık var mı?"

Differential Privacy I
∆f = maxD,ˆD||f(D)−f(ˆD)|| count sorgusu için f : ∆f = 1
count sorgusu, Q, veri kümesi D, sonuç = Q(D) + Laplace(1
) ifadesiyle
-differential privacy sa˘glanır
Laplace Da˘gılımı: Bir hatanın frekansı, hatanın mutlak büyüklü˘günün
üssel bir fonksiyonu olarak ifade edilebilir.
f(x; µ, λ) =
1
2λ
exp −
|x − µ|
λ

Differential Privacy II
Noisy Queries
Count:
select count(*) + Laplace(1.0/e)
from tbl where ... group by ...
Average:
select (count(*) + Laplace(2.0/e))/count(*)
Sum:
select sum(*) + Laplace(1.0/e)
Median:
Median rownum + Laplace(1.0/e)

Zararlı A˘g Trafi˘ginin Tespit Edilmesi - Topluluk Yöntemleri I
Çatak, FÖ. Detection of Distributed Denial of Service Attacks Based on
Ensemble Methods, Journal of Natural and Applied Sciences, pp
1-7,(2017)(In press)
Katkılar
DDoS sırasında olu¸sturulan PCAP dosyasında bulunan alanlardan
önemli olanları ortaya çıkarmak.
Yüksek boyutlu a˘g trafi˘gi dosyasından topluluk yöntemlerine dayalı
sınıflandırma modelleri çıkarılması
Literatürde yer alan çalı¸smalar genellikle oldukça eski sayılabilecek
KDDCUP’99 verikümesini kullanmaktadır. Bu çalı¸sma ile daha güncel bir
veri kümesi kullanılmaktadır.

Zararlı A˘g Trafi˘ginin Tespit Edilmesi - Topluluk Yöntemleri II
Algoritma 1 Gradyan artırma sınıflandırıcısı sözde kodu.
Girdi: (xi , yi )n
i=1, türevlenebilir kayıp f. L (y, F(y)), iterasyon M
1: sabit bir deger ile modeli ilklendir F0 = arg minr
n
i=1 L (yi , r)
2: for i = 1 to M do
3: Sözde-reziduali hesapla rim = − ∂L(y,F(x))
∂F(x)
F(x)=Fm(x)
, ∀i ∈ n
4: Sözde-rezidual kullanarak {(xi , rim)}n
i=1, zayıf sınıflandırıcı hm(x) he-
saplanir
5: Optimizasyon problemi çözülerek çarpan γm hesaplanir.
γm = arg min
γ
n
i=1
L (yi , Fm−1(xi ) + γhm(xi )
6: Sınıflandırma modelini güncelle
Fm(x) = Fm−1(x) + γmhm(x)
7: Çıktı: Fm(x)

Zararlı A˘g Traﬁ˘ginin Tespit Edilmesi - Topluluk Yöntemleri III
Tablo: Veri kümesinde bulunan nitelikler.
Nitelik Adı Açıklama
ackdat TCP ba˘glantı kurulum zamanı SYN_ACK ve ACK paketleri arasındaki süre.
ct_ﬂw_http_mthd Http hizmetinde Get ve Post gibi yöntemler olan akı¸s sayısı.
ct_ftp_cmd Ftp oturumunda bir komut olan akı¸sların sayısı.
dbytes Hedef i¸slem boyutu
dinpkt Hedef katmanlararası varı¸s süresi (ms)
djit Hedef jitter (ms)
dload Hedef bit / saniye
dloss Yeniden aktarılan veya silinen hedef paket sayısı
dmean Hedef tarafından iletilen Ham paket boyutunun ortalaması.
dpkts Hedef paket sayısı
dur Toplam süre
dwin Hedef TCP pencere de˘geri
is_ftp_login Ftp oturumu
response_body_len Sunucu http servisi tarafından cevap boyutu
sbytes Kaynak i¸slem boyutu
sinpkt Kaynak katmanlararası varı¸s süresi (ms)
sjit Kaynak jitter (ms)
sload kaynak bit / saniye
sloss Yeniden aktarılan veya silinen kaynak paket sayısı
smean Kaynak tarafından iletilen Ham paket boyutunun ortalaması.
spkts Kaynak paket sayısı
swin Kaynak TCP pencere de˘geri
synack TCP ba˘glantısı kurulum zamanı SYN ve SYN_ACK paketleri arasındaki süre.
tcprtt TCP ba˘glantısı kurulumu gidi¸s-dönü¸s süresi ’SYN_ACK’ ve ’ACKDAT’ toplamı.
trans_depth Http request / response transaction ba˘glantısındaki derinlik.

Zararlı A˘g Traﬁ˘ginin Tespit Edilmesi - Topluluk Yöntemleri IV
0 1000 2000 3000 4000 5000
Adımlar
0.0
0.1
0.2
0.3
0.4
0.5
0.6
0.7
Sapma Öğrenmeğoranı=0.005
Öğrenmeğoranı=0.2
¸Sekil: Ö˘grenme oranları - epochs.

Zararlı A˘g Traﬁ˘ginin Tespit Edilmesi - Topluluk Yöntemleri V
sbytes
smean
sload
dbytes
spkts
tcprtt
dmean
dur
dload
swin
sinpktsynack
ackdat
rate
slossresponse_body_lendjitct_flw_http_mthd
trans_depthsjit
dloss
dpkts
dinpktct_ftp_cmddwinis_ftp_login
0.000
0.025
0.050
0.075
0.100
0.125
0.150
0.175
ÖznitelikÖnemDeğeri
Ö nitelik Önemi
¸Sekil: Veri kümesinde bulunan niteliklerin önem de˘gerleri.

Zararlı A˘g Trafi˘ginin Tespit Edilmesi - Derin Ö˘grenme I
Çatak, FÖ. Detection of Distributed Denial of Service Attacks Using Deep
Learning Technologies, The 5th High Performance Computing Conference.
Istanbul (2017)
Katkılar
Derin ö˘grenme yöntemlerine dayanan zararlı a˘g akı¸sının algılanması için
yeni bir sınıflandırma modeli önerilmektedir.
Keras, tensorflow teknolojilerinin kullanımı
Siber güvenlik veri kümeleri üzerinde derin ö˘grenme yöntem ve
teknolojilerinin kullanılması
Tablo: Kullanılan altyapılar.
Platform CPU Memory
Quadro 1000M 96 CUDA cores @ 1 GHz 16 GB
Intel i7-600 4 Çekirdek @ 4 GHz 16 GB

Zararlı A˘g Traﬁ˘ginin Tespit Edilmesi - Derin Ö˘grenme II
25 500 800 1
x0
x1
xn
... ...
...
s
20% dropout
¸Sekil: Sınıﬂandırma modeli.

Zararlı A˘g Traﬁ˘ginin Tespit Edilmesi - Derin Ö˘grenme III
Tablo: Modelin de˘gerlendirme sonuçları.
Class Precision Recall F1 Accuracy
Normal 0.99 0.99 0.99 0.9889
Attack 0.95 0.96 0.96 0.9889
Tablo: ˙I¸slem Süresi.
Platform E˘gitim (sn)
Quadro 1000M 3516,21
Intel i7-600 10601,42

Homomorphic Encryption - Secure Multi-Party Computation I
Çatak, FÖ. CPP-ELM: Cryptographically Privacy-Preserving Extreme
Learning Machine for Cloud Systems, International Journal of Computational
Intelligence Systems vol(11), pp 33-44, (2017)
Katkılar
Paillier cryptosytem (Partially Homomorphic) tabanlı ELM e˘gitim modeli
önerildi ve bu ¸sekilde gizlilik koruma sınıﬂandırma modeli e˘gitimi
sa˘glanmı¸stır.
Olasılıksal sinir a˘g modelinin gizli katman çıktı matrisinin hesaplanması
ba˘gımsız partilere da˘gıtılmaktadır ve bu ¸sekilde veri ileti¸simini en aza
indirilmesi sa˘glanmaktadır.

Homomorphic Encryption - Secure Multi-Party Computation II
Homomorphic Encryption
One can say that a public-key encryption scheme is additively
homomorphic if, given two encrypted messages such as a and b ,
there exists a public-key summation operation ⊕ such that a ⊕ b is
an encryption of the plaintext of a + b
The formal deﬁnition is that an encryption scheme is additively
homomorphic if for any private key, public key (sk, pk), the plaintext
space P = ZN for a, b ∈ ZN .
Encpk (a + b mod N) = Encpk (x) × Encpk (y)
Encpk (x · y mod N) = Encpk (x)y (1)
Floating Point Numbers
ˆx ← ConvertInteger(x) where x ∈ Rm
, ˆx ∈ Zm
(2)

Homomorphic Encryption - Secure Multi-Party Computation III
:User :ClientApp :CloudApp
M1: init(datasetPath)
Instance created
M2: prepareDataset()
M3: normalize()
X ← Xnormalized
M4: split(ServerSizen)
X1, · · · , Xn
M5: encrypt(CryptoKeypriv)
Xenc
1 , · · · , Xenc
n
M6: sendToCloudServers()
M7: sendELMweights(w, b)
void
M8: sendCryptoKey(Keypub)
void
M9: sendEncryptedDataset(Xn)
void
encrypted Hidden Matrices
¸Sekil: Sequence diagram of overall
method: Client computation.
:User :ClientApp :CloudApp
M10: calcHiddenMatrix()
M10.a: calcHiddenMatrix()
encrypted Hidden Matrixn (Hn)
encrypted Hidden Matrixn (Hn)
Each Cloud ServerEach Cloud Server Hidden Layer Matrix Calculation
M11: createClassificationModel()
M12: mergeHiddenMatrices(Xenc
1 , · · · , Xenc
n )
Encrypted Global Hidden Matrix (Henc
)
M13: decryptHiddenMatrix(H)
Decrypted Hidden Matrix (H)
M14: createClassificationModel()
f
ELM Classifier (f)
¸Sekil: Sequence diagram of overall
method: server computation.

Homomorphic Encryption - Secure Multi-Party Computation IV
Tablo: Performance Results (in Seconds) for Each Data Set.
Data Key
Number of Parties
2 3 5 7 10
Ion.
512 7477,43 8280,77 9743,51 11481,17 12542,17
1024 39550,93 40020,45 45148,68 56751,82 82240,62
Sonar
512 8345,99 7824,33 8621,37 10192,59 11047,74
1024 33775,32 30149,92 35418,41 38780,89 44357,66
Breast
512 7681,71 9245,26 10630,49 13672,9 18651,20
1024 44035,76 48736,21 58554,61 72524,98 99986,21
Aust.
512 8709,58 10463,64 11629,93 15406,08 17817,07
1024 39188,52 45621,76 52264,14 71074,53 79875,20

Zararlı Yazılım Davranı¸s Analizi I
Zararlı Yazılımların Geli¸simi
Encrypted Oligomorphic Polymorphic Metamorphic

Zararlı Yazılım Davranı¸s Analizi II
Oligomorphic ve Polymorphic Malware
Oligomorphic : Malware, orijinal içeri˘ginin kilidini açmak için ¸sifre
çözme anahtarı (decryption key) kullanılır.
Polymorphic : ¸sifre çözme anahtar sayısı oldukça fazla
Çok fazla variant mevcut (Propogation A¸saması)
˙Imza tabanlı analiz yöntemleri veya Statik analiz yöntemleri i¸se
yaramaz

Zararlı Yazılım Davranı¸s Analizi III
Metamorphic Malware
Kendi içeri˘gini de˘gi¸stirir.
Encryption/Decryption Yöntemleri yerine, malware kendini kodu açıp
tekrar derler.

Zararlı Yazılım Davranı¸s Analizi IV
LSTM A˘gları
Sandbox kullanımı: cuckoo
Davranı¸s analizi
Anti-Anti VM tekniklerinin kullanımı
VMWare kalıntıları: VMwareService.exe, VMwareTray.exe, VMwareUser.exe
Dosya Sistemi ve Registry: C:Program FilesVMwareVMware Tools
Interrupt Descriptor : sidt - Store Interrupt Descriptor Table
MongoDB veritabanında yer alan sistem ça˘gırımları (API call)

Te¸sekkürler
Te¸sekkürler
Dr. Ferhat Özgür Çatak
TÜB˙ITAK-B˙ILGEM
Siber Güvenlik Enstitüsü

Siber Güvenlik ve Yapay Zeka

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

More from Ferhat Ozgur Catak

More from Ferhat Ozgur Catak (20)

Siber Güvenlik ve Yapay Zeka