Siber Güvenlik ve Yapay Zeka

1. TÜBİTAK BİLGEM
Siber Güvenlik Enstitüsü
January 20, 2018
Siber Güvenlik ve Yapay Zeka
Dr. Ferhat Özgür Çatak

2. Mevcut Siber Saldırılar

3. Mevcut Durum
Bilgi Sistemlerinin Mevcut Durumu
• Günümüzde bilgisayar kullanımı ve sonucu olarak üretilen veri miktarı
oldukça artmıştır.
• Sistemlere ve verilere yapılan saldırılar her geçen gün oldukça artmaktadır.
3

4. • Kritik ulusal altyapılar
– Finans (Akbank Swift Saldırısı – 4
Milyon $)
– Enerji
– Ulaştırma
• Sık Sık güncellenmeyen eski
yapılar
Siber Tehditlerin Hedefleri
4

5. Stuxnet
5

6. • Ortadoğu ülkeleri
için hedefleyen
siber casusluk
• Stuxnet otomasyon
sistemleri saldırı,
Flame casusluk
Flame
6

7. Flame
7

8. Ransomware: Petya
• MS17-010 açıklığı sömürülmesi
• Ağ paylaşımları ile kendini kopyalama
• Fidye: Dosyaların şifrelenmesi ve açma için para (bitcoin) istenmesi
8

9. • Hedef
– Sunucu/Bilgisayar
– Ağ bileşenleri
– Uygulamalar
– Web Siteleri
• Yaklaşım
– Band Genişliği
• Kurallara uygun olmayan
yüksek trafik isteği
– Bağlantı
• CPU/Memory Kaynaklarını
tüketme
• Yüksek bağlantı isteği
• Sonuç
– Hizmet dışı kalma
Dağıtık Servis Dışı Bırakma Saldırıları (DDoS)
9

10. Mirai - DDoS
10
Internet'in 145.000 saldırıya uğramış web kamerasının kullanıldığı 1
TBPS'lik DDoS saldırısı.

11. Shodan Arama Motoru
11

12. Digital Attack Map
12

13. Zararlı Yazılım Gelişimi
13
1987
Encrypted
Oligomorphic
1990
Polymorphic
1998
Metamorphic
2000s

14. • Oligomorphic: Malware, orijinal içeriğinin kilidini
açmak için şifre çözme anahtarı (decryption key)
kullanılır.
• Polymorphic: şifre çözme anahtar sayısı oldukça
fazla
– Çok fazla variant mevcut (Propogation Aşaması)
– İmza tabanlı analiz yöntemleri veya Statik analiz
yöntemleri işe yaramaz
Oligomorphic and Polymorphic Mutation
14

15. • Kendi içeriğini değiştirir.
• Encryption/Decryption Yöntemleri yerine, malware
kendini kodu açıp tekrar derler.
Metamorphic Mutation
15

16. • Yapay Zeka
• Yüksek boyutlu veri içeren sistemler üzerinde kural
tabanlı SIEM sistemleri yeterli değil
• Verinin toplanması ve Normal davranışın elde
edilmesi
– Data Boundry
– One-class classification
Çözüm
16

17. TÜBİTAK - Çalışmalar

18. • Zararlı ağ trafiğinin analiz edilmesi
– Model değerlendirme. Precision & Recal & F1
– PCAP: Ağ trafiğinin kayıt edilmesi
– Nitelik Çıkarımı
– Çatak, Ferhat Özgür. "Topluluk Yöntemlerine Dayalı Dağıtık Hizmet Dışı Bırakma
Saldırılarının Algılanması." Süleyman Demirel Üniversitesi Fen Bilimleri Enstitüsü
Dergisi (2017): DOI-10.
Zararlı Ağ Trafiği – Topluluk Yöntemleri
18

19. • Zararlı ağ trafiğinin analiz edilmesi
• Çatak, Ferhat Özgür. "Derin Öğrenme Teknolojileri Kullanarak Dağıtık Hizmet Dışı
Bırakma Saldırılarının Tespit Edilmesi." 5. Yüksek Başarımlı Hesaplama
Konferansı (2017)
– PCAP
– Nitelik Çıkarımı
– Derin Öğrenme
• Keras, Tensorflow
Zararlı Ağ Trafiği – Deep Learning
19

20. • Çalışma devam ediyor
– İşletim sistemi çağırımları (API Calls)
– Text Mining yöntemleri
– Deep Learning yöntemlerinden LSTM
Zararlı Yazılım Davranış Analizi
20

21. • Çatak, Ferhat Özgür. CPP-ELM: Cryptographically Privacy-Preserving Extreme
Learning Machine for Cloud Systems. International Journal of Computational
Intelligence Systems (2018)
• Homomorphic Encryption ve Güvenli Çok Partili Hesaplama
Bulut Tabanlı Sistemler - 1
21

22. • Çatak, Ferhat Özgür. CPP-ELM: Cryptographically Privacy-Preserving Extreme
Learning Machine for Cloud Systems. International Journal of Computational
Intelligence Systems (2018)
• Homomorphic Encryption ve Güvenli Çok Partili Hesaplama
Bulut Tabanlı Sistemler - 2
22

23. • Çatak, Ferhat Özgür. CPP-ELM: Cryptographically Privacy-Preserving Extreme
Learning Machine for Cloud Systems. International Journal of Computational
Intelligence Systems (2018)
• Homomorphic Encryption ve Güvenli Çok Partili Hesaplama
Bulut Tabanlı Sistemler - 3
23

24. Teşekkürler