Tezin Türü: Yüksek Lisans
Tezin Yürütüldüğü Kurum: Ankara Üniversitesi, Fen Bilimleri Enstitüsü, Türkiye
Tezin Onay Tarihi: 2020
Tezin Dili: Türkçe
Öğrenci: DİLEK BAŞKAYA
Danışman: REFİK SAMET
Özet:nternetin günlük hayatımızın içinde olmasının sağladığı avantajların yanında, siber tehditlere açık olması dezavantajdır. Dağıtılmıs hizmet reddi (DDoS) saldırıları bu siber tehditlerden biridir ve temel amacı ağ kaynaklarını tükenmesini sağlayarak kullanıcıların sistemlere erişmesini engellemektir. Kullanılan tespit yöntemlerinden biri olan imza tabanlı tespit yöntemi, sadece bilinen saldırı tipleri için uygundur. Günümüzde saldırıların çeşitlerinin ve saldırı yöntemlerinin değistiği görülmektedir. Anomali tabanlı yöntemler, bilinmeyen saldırıların tespiti için önemli avantajdır. Kullanılan algoritmalar dışında, verisetlerinde uygulanan çeşitli ön işlemler ile bulunan tespit oranlarının artışı ve daha hızlı sonuç alınmasını sağlanmaktadır. Bu çalışmada, HTTP (Hypertext Transfer Protocol), TCP SYN (Transport Control Protocol Synchronize), UDP (User Datagram Protocol), ICMP (Internet Control Message Protocol) flood DDoS saldırı verileri kullanılarak hazırlanan eğitim veriseti üzerinde, K-Nearest Neighbor (KNN), Random Forest (RF), Multi Layer Perceptron (MLP), C-Support Vector Machine (SVC) makine öğrenmesi algoritmaları ile ölçeklendirme ve özellik azaltma ön işlemleri uygulanarak, kısa sürede, yüksek saldırı tespit oranları edilmesi için bir model oluşturulmuştur. Oluşturulan model, test veriseti üzerinde uygulanarak, çıkan sonuçlar analiz edilmiştir. Çalışmanın sonunda, farklı DDoS saldırıları üzerinde, kullanılan ön işlem ve makine öğrenmesi algoritmasına göre alınan sonuçların, hem NSL-KDD veriseti üzerinde hem de hazırlanan verisetleri üzerinde farklı olduğu gözlenmiştir. Sonuçlar incelendiğinde, hazırlanan verisetleri üzerinde özellik azaltma ön işlemi sonrasında MLP kullanılarak, 1515 ms sürede %99.2 saldırı tespit oranı elde edilmiştir. Aynı ön işlem NSL-KDD verisetinde uygulandığında, RF algoritması kullanılarak 9744 ms sürede %89.9 ve MLP algoritması kullanılarak 24179 ms sürede %89.9 tespit oranı elde edilmiştir. Besides advantages of having Internet, being open to cyber threats is disadvantage. Distributed denial of service (DDoS) attack is one of cyber threats and main purpose is to prevent users from accessing systems by exhausting network resources. Signature-based detection method, which is one of intrusion detection methods used, is solution for known attacks. Today, it is seen that types and methods of attacks have changed. Anomaly-based methods are important advantage for unknown attacks. Apart from machine learning algorithms, preprocesseses are used on dataset lead to significant increase in found rates and result in shorter time. In this study, model was generated by using K-Nearest Neighbor (KNN), Random Forest (RF), Multi-Layer Perceptron (MLP), C-Support Vector Machine (SVC) algorithms and feature reduction, scaling preprocesses on training dataset which was prepared by using HTTP (Hypertext Transfer Protocol), TCP SYN (Transport Control Protocol Synchronize), UDP (User Datagram Protocol), ICMP (Internet Control Message Protocol) flood. Generated model was applied on test dataset and results were analyzed. At end of study, results obtained according to preprocesses and algorithms are used on different DDoS attacks differ both on NSL-KDD and on prepared datasets. When results were examined, by using feature reduction preprocess before MLP on prepared datasets, rate of 99.2% was achieved in 1515 ms. When same preprocess was applied on NSL-KDD dataset, using RF algorithm, rate of 89.9% in 9744 ms and using MLP algorithm, rate of 89.9% in 9744 ms and using MLP algorithm, rate of 89.9% in 24179 ms was obtained.