Siber Güvenlik Sistemleri

Siber Saldırı Tespit Sistemi (IDS) ve Siber Saldırı Önleme Sistemi (IPS)

Günümüzde akıllı cihazların yaygınlaşan kullanımı ve internet sayesinde, ticari uygulamalardan kamu hizmetlerine kadar bir çok aktivite internet ağı üzerinden yürütülmektedir. İnternet ile milyonlarca bilgisayar ve akıllı cihaz alt-ağlar ve genel ağlar ile  birbirine bağlanmaktadır. Ancak internet ağı üzerinde sürdürülen aktivitelerin hem ticari hem de kamusal değeri nedeniyle ağ üzerindeki bilgisayarlar ve cihazlar sürekli devam eden ve gün geçtikçe daha da gelişen siber saldırılara maruz kalmaktadır. Her ne kadar şifreleme ve güvenlik duvarı teknolojilerinde önemli ilerlemeler kaydedilse dahi, ağ üzerinde yapılan saldırıların artarak devam edeceği ve bu saldırıların tamamen önlenemeyeceği görülmektedir. Bu nedenlerle son zamanlarda şifreleme ve güvenlik teknolojilerine ek olarak siber saldırı tespit ve önleme algoritmalarına önemli yatırımlar yapılmaktadır.

Ancak son zamanlarda ortaya çıkarılan siber korsanlık vakalarının gösterdiği üzere, geleneksel siber saldırı tespit yaklaşımları (örn. SNORT, BRO, IBM QRadar IDS) zaman içinde geliştirilen bir çok saldırıyı tespit etmekte yetersiz kalmaktadır. Daha önce kayıt edilen saldırıların izdüşümlerine dayalı imza tabanlı geleneksel siber saldırı tespit yaklaşımlarının en önemli sorunu, saldırı yapan kişilerin ve grupların saldırılarını zaman içinde ağın koruma sistemlerine göre adaptif olarak değiştirmesi, çeşitlendirmesi ve geliştirmesidir. Geçmişte görülmemiş siber saldırıları da yakalamak için tasarlanan anomali tespitine dayalı sistemler her ne kadar imzaya dayalı geleneksel yaklaşımlara göre belirli alanlarda avantajlı olsalar dahi, gerçek hayat koşullarında (a) ağ yükünün son derece değişken olması, (b) bir zaman önce düzensiz kabul edilen bir durumun zaman içinde normal kabul edilmesi, (c) anomali tanımının kişiye (örn. sistem yöneticilerin düzensiz davranışları), zaman ve bağlama göre farklılaşması nedeniyle oldukça zordur.  Özellikle anomaliye dayalı sistemlerin yüksek sayıda yanlış alarm vermeleri, bu sistemleri kullanan personele aşırı yük bindirmekte ve bu yaklaşımların gerçek hayat koşullarında kullanımı engellenmektedir.

Şirketimizde internet ağı üzerinde siber saldırıları saptamak ve önlemek için derin öğrenmeye ve destek vektör makinelerine dayalı anomali tespit sistemleri üretilmektedir. Milli ve yerli teknikler ile internet ağ yükü incelenerek gerçek zamanlı IDS ve IPS yapılmaktadır. Sistem internet üzerinde birçok derinlikte ağ yükünü (örn. paket seviyesinde, istek seviyesinde, bağlantı seviyesinde ve oturum seviyesinde) inceleyebilmekte ve bir çok uygulamada da (örn. HTTP, FTP gibi) kullanılabilmektedir. Sistemimiz ağ yükünden gerçek zamanlı yüksek betimleme gücüne sahip derin öğrenmeye dayalı öznitelik vektörleri çıkarmakta ve çıkarılan öznitelik vektörlerini derin tekrarlamalı sinir ağları ve destek vektör makineleri ile işleyerek anomali tespiti yapmaktadır. Bu sayede sıfırıncı gün IDS ve IPS yapabilmektedir.