VER MADENCL TEKNKLER LE BLGSAYAR ALARINDA ANOMAL TESPT

2013 YKSEK LSANS TEZ BLGSAYAR MHENDSL

dris BUDAK

VER MADENCL TEKNKLER LE BLGSAYAR ALARINDA ANOMAL TESPT

dris BUDAK

Karabk niversitesi Fen Bilimleri Enstits Bilgisayar Mhendislii Anabilim Dalnda Yksek Lisans Tezi Olarak Hazrlanmtr

KARABK Haziran 2013

dris BUDAK tarafndan hazrlanan VER MADENCL TEKNKLER LE BLGSAYAR ALARINDA ANOMAL TESPT balkl bu tezin Yksek Lisans Tezi olarak uygun olduunu onaylarm.

Yrd. Do. Dr. Baha EN Tez Danman, Bilgisayar Mhendislii Anabilim Dal

......

Bu alma, jrimiz tarafndan oy birlii ile Bilgisayar Mhendislii Anabilim Dalnda Yksek Lisans tezi olarak kabul edilmitir. 20/06/2013

nvan, Ad SOYADI (Kurumu) Bakan: ye : ye : Prof. Dr. Abdullah AVUOLU (YB) Yrd. Do. Dr. Baha EN (KB) Yrd. Do. Dr. afak BAYIR (KB)

mzas .......................... .......................... ..........................

....../.../2013 KB Fen Bilimleri Enstits Ynetim Kurulu, bu tez ile, Yksek Lisans derecesini onamtr.

Prof. Dr. Nizamettin KAHRAMAN Fen Bilimleri Enstits Mdr

ii

Bu tezdeki tm bilgilerin akademik kurallara ve etik ilkelere uygun olarak elde edildiini ve sunulduunu; ayrca bu kurallarn ve ilkelerin gerektirdii ekilde, bu almadan kaynaklanmayan btn atflar yaptm beyan ederim.

dris BUDAK

iii

ZET Yksek Lisans Tezi VER MADENCL TEKNKLER LE BLGSAYAR ALARINDA ANOMAL TESPT dris BUDAK Karabk niversitesi Fen Bilimleri Enstits Bilgisayar Mhendislii Anabilim Dal Tez Danman: Yrd. Do. Dr. Baha EN Haziran 2013, 59 sayfa Bilgi ann en nemli unsurlar olan bilginin retilmesi, korunmas ve eriilmesinde kullanlan bilgisayar alarnn hz, gvenlik ve sreklilii bugn hayatn vazgeilmezleri arasnda ilk sralarda yerini almaktadr. Bu yzden adaki dzensizliklerin zamannda tespit edilip nlemlerin alnmas gerekmektedir. Bu almadaki ama bilgisayar alarndaki anomali tespitinde veri madencilii tekniklerinden faydalanarak kili Lojistik Regresyon tekniinin uygulanabilirliini incelemektir. Bu amala saldr tespit sistemleriyle ilgili almalarda en sk kullanlan veri setlerinden olan KDD Cup99 veri seti kullanlarak bir matematiksel model oluturulup bu modelin uygunluu test edilmitir.

iv

alma sonucu elde edilen model, eitim veri seti zerinde uygulandnda gerekte saldr olan kaytlarn % 99,6 kadarnn saldr olduunu bulmutur. Test veri setinde ise bu oran % 99,9 olarak tespit edilmitir. Anahtar Szckler : Saldr tespit sistemleri, bilgisayar alarnda anomali tespiti, lojistik regresyon, veri madencilii teknikleri. Bilim Kodu : 902.1.063

ABSTRACT M. Sc. Thesis ANOMALY DETECTION IN COMPUTER NETWORKS WITH DATA MINING dris BUDAK Karabk University Graduate School of Natural and Applied Sciences Department of Computer Engineering Thesis Advisor: Assist. Prof. Dr. Baha EN June 2013, 59 pages The most important elements of the information age is generation, security, and access to knowledge, so the location of the first rank in indispensable of life today is computer networks with high speed, security, and continuity. Therefore, measures should be taken timely when anomalies detected in the network. The purpose of this study is to detect if logistic regression with data mining techniques is usable in anomaly detection for computer networks. For this purpose KDD Cup99 data set was used for mathematical model and the result model is tested for fitness. As a result of the model, in training dataset our model correctly found % 99,6 of the real anomalies that are in the data set. In testing dataset our model found % 99,9 of the real anomalies that are in the data set.

vi

Key Word Science Code

: Intrusion detection systems, anomaly detection in computer networks, logistic regression, data mining techniques. : 902.1.063

vii

TEEKKR Bu tez almasnn planlanmasnda, aratrlmasnda, yrtlmesinde ve

oluumunda ilgi ve desteini esirgemeyen, engin bilgi ve tecrbelerinden yararlandm, ynlendirme ve bilgilendirmeleriyle almam bilimsel temeller nda ekillendiren sayn hocam Yrd. Do. Dr. Baha ENe sonsuz teekkrlerimi sunarm. A teknolojilerinin ileyiini anlamam konusunda kurum kaynaklarndan

faydalanmam salayarak yardmlarn esirgemeyen, Karabk niversitesi Bilgi lem Daire Bakan Recep KILINa teekkr ederim. Sevgili aileme manevi hibir yardm esirgemeden yanmda olduklar iin tm kalbimle teekkr ederim.

viii

NDEKLER Sayfa KABUL ........................................................................................................................ii ZET...........................................................................................................................iv ABSTRACT................................................................................................................vi TEEKKR..............................................................................................................viii NDEKLER............................................................................................................ix EKLLER DZN....................................................................................................xii ZELGELER DZN..............................................................................................xiii SMGELER VE KISALTMALAR DZN..............................................................xiv BLM 1. ...................................................................................................................1 GR............................................................................................................................1 BLM 2. ...................................................................................................................4 A GVENL..........................................................................................................4 2.1. GVENL SINIFLANDIRMAK.................................................................4 2.2. BLGSAYAR ALARINDA ALINABLECEK 4 TEMEL NLEM...........5 2.2.1. Kurumsal Politika Ve Bilinlendirme almalar....................................5 2.2.2. Kullanc Bilgisayarlarnda Alnabilecek Temel nlemler......................5 2.2.3. A Cihazlarnda Alnabilecek Temel nlemler........................................6 2.2.4. Gvenlik Yazlmlarnn kullanlmas.......................................................6 2.3. VPN (SANAL ZEL BLGSAYAR ALARI).............................................6 2.4. GVENLK DUVARI(FIREWALL)...............................................................7 BLM 3. .................................................................................................................10 SALDIRI TESPT SSTEMLER..............................................................................10 3.1. SALDIRI TESPT YNTEM.......................................................................11 3.1.1. En ok ve Baz Deer..............................................................................12 3.1.2. z Eletirme............................................................................................12

ix

Sayfa BLM 4. .................................................................................................................14 TEMEL STATSTK KAVRAMLARI.....................................................................14 4.1. DEKENLER.............................................................................................14 4.1.1. Nitel (Kategorik, Qualitative, Categorical) Deikenler.........................14 4.1.2. Saysal (Nicel) Deikenler.....................................................................14 4.2. DORULUK VE DUYARLILIK..................................................................15 BLM 5. .................................................................................................................17 REGRESYON.............................................................................................................17 5.1. REGRESYON NEDR....................................................................................17 5.2. REGRESYON ANALZNN TARH..........................................................18 5.3. REGRESYON ANALZ................................................................................19 5.4. EN KK KARELER METODU...............................................................20 BLM 6. .................................................................................................................29 LOJSTK REGRESYON..........................................................................................29 6.1. LOJSTK REGRESYON ANALZ.............................................................29 6.2. LOJSTK REGRESYON LE DORUSAL REGRESYONUN FARKI.....31 6.3. LOJSTK REGRESYON MODELLER.......................................................32 6.4. LOGT MODEL..............................................................................................32 6.4.1. Lojistik Regresyon Forml....................................................................34 6.4.2. Logit Model ile Lojistik Regresyon Arasndaki Benzerlik ve Farklar....35 6.4.3. Lojistik Regresyon in Basit bir rnek ve zm..............................35 BLM 7. .................................................................................................................39 MATEMATKSEL MODELN OLUTURULMASI...............................................39 7.1. VER SET ANALZ.....................................................................................39 7.2. VER SETNN HAZIRLANMASI...............................................................41 7.3. KOLON (DEKEN) SEM.....................................................................43 7.4. MODELN OLUTURULMASI....................................................................47 7.5 MODELN UYGULAMASINA RNEK.......................................................50 7.6 MODELN TEST VER SETNDE UYGULAMASI.....................................51 x

Sayfa BLM 8. .................................................................................................................53 SONULAR...............................................................................................................53 KAYNAKLAR...........................................................................................................54 ZGEM.......................................................................................................59

xi

EKLLER DZN Sayfa ekil 2.1. VPN Eriimi................................................................................................7 ekil 2.2. VPNnin alma ekli................................................................................7 ekil 2.3. Firewall konumlandrlmas........................................................................8 ekil 2.4. UTM Firewall zellikleri............................................................................9 ekil 3.1. Saldr tespit sistemi konumlandrlmas...................................................13 ekil 4.1. Deiken tiplerinin ematik gsterimi......................................................15 ekil 4.2. Doruluk ve duyarllk fark.....................................................................16 ekil 5.1. En kk kareler yntemi.........................................................................22 ekil 5.2. En kk kareler yntemi ile bulunan grafik............................................27 ekil 5.3. Trevin anlam..........................................................................................27 ekil 5.4. Genel trev formlleri...............................................................................28 ekil 6.1. Lojistik regresyon analizinin kullanm amacna rnek.............................30 ekil 6.2. Olaslk ile tahmin edici arasndaki iliki..................................................34 ekil 6.3. Lojistik ilikinin biimi.............................................................................34 ekil 7.1. Veri setinin oluturulduu an emas.....................................................39 ekil 7.2. Veri setinin wireshark ile analizi..............................................................40

xii

ZELGELER DZN Sayfa izelge 5.1. En kk kareler yntemi rnek veri seti...............................................25 izelge 5.2. En kk kareler yntemi rnek zm...............................................26 izelge 6.1. Dorusal ve lojistik regresyon karlatrmas .......................................31 izelge 6.2. UDP Protokol ODDS deerleri............................................................33 izelge 6.3. Web sunucusu balantlar eitim veri seti.............................................36 izelge 6.4. Lojistik regresyon web sunucu balants rnek zm.......................37 izelge 6.5. Lojistik regresyon web sunucu balants olasl iin verilenler.........38 izelge 7.1. Veri seti rnek grnts........................................................................46 izelge 7.2. Durum ileme zeti.................................................................................47 izelge 7.3. Baml deiken kodlamas...................................................................47 izelge 7.4. Snflandrma tablosu..............................................................................48 izelge 7.5. Eitlikteki deikenler............................................................................49 izelge 7.6. Test verisi snflandrma tablosu.............................................................51

xiii

SMGELER VE KISALTMALAR DZN SMGELER : Fark, y = y1 y2 d : Trev, dy/dx = df(x)/dy = f(x) : Ksmi Trev, y=f(a,b) iin y nin a ya gre ksmi trevi: y/a KISALTMALAR BGYS ISO UPS F/O VPN LAN UTM DARPA IP SYN : Bilgi Gvenlii Ynetim Sistemi. : Uluslararas Standartlar Organizasyonu (International Standards Organization). : Kesintisiz G Kayna (Uninterruptable Power Supply). : Fiber Optik. : Sanal zel Bilgisayar Alar. : Yerel Alan A (Local Area Network). : Btnleik Tehdit Yneticisi (Unified Threat Manager) : ABD Savunma Bakanl leri Aratrma Projeleri Birimi (The Defense Advanced Research Projects Agency). : nternet Protokol (nternet protokol adresi olarak da kullanlr). : Sunucuya gnderilen balant istei paketi. madencilii ile ilgili her yl dzenlenen bir konferanstr).

KDD Cup : Knowledge Discovery and Data Mining Cup (Bilgi kefi ve veri

xiv

BLM 1 GR Yaadmz bilgi anda imdiye kadar hi olmad kadar bilgi retilmekte ilenmekte ve bunlara eriilmektedir. Bilginin bu denli hzl retilip yaylmasnda hi kukusuz bilgisayar teknolojileri en byk teknik fayday salamaktadr. Bilgiye eriim ve paylam iin ise en fazla verimlilii bilgisayar alar saladndan, a ileyiinin dzgn olmas hayati nem tamaktadr. A trafiindeki anormallikler ise an gerektii gibi kullanmn engelleyen unsurlarn banda gelmektedir. Bu anormallikler altyap sorunlarndan kaynaklanabilecei gibi an ktye kullanlmas veya aa yaplan saldrlardan da kaynaklanabilmektedir. Birok kaynakta saldr tespit sistemleri olarak da anlan anomali tespit sistemleri ada oluan dzensizlikleri tespit edip ilgili kiileri veya yazlmlar uyarmay salayan sistemlerdir. Lojistik regresyonun bilgisayar alarndaki anomali tespitinde kullanmyla ilgili literatrdeki rneklerden drd aada zetlenmitir: 1Random Effects Logistic Regression Model For Anomaly Detection adl almada random effects logistic regression yntemi ile bir model oluturulmutur. Sonuta modelin basitlii, deiken saysnn azl ve sonularn lojistik regresyon ile yorumlanabilmesi avantajlarnn elde edildii grlmtr [1]. 2Protocol-Based Classification for Intrusion Detection adl almada ise diskriminant analizi, lojistik regresyon analizi ve ana bileen (principal component) analiz yntemleri karlatrlmtr. IDS modelinde zellik seim metodu olarak lojistik regresyon kullanldnda KDDCUP99 data

setinde % 99,95 orannda doruluk salanmtr. Bu alma ile bir IDS'in analiz edecei verilerin sadelemi olmas iin yaklak 40 grup veri iinden en ncelikli hangi verilerin analize alnmas gerektii lojistik regresyon yntemiyle elde edilerek, sonuta bir IDS'in daha az veriyle daha performansl ve doru almas salanmtr [2]. 3Scan Detection on Very Large Networks Using Logistic Regression Modeling adl almada ise uzmanlarn fikirleri ve verilerin el yordamyla (manuel) incelenmesiyle oluturulmu "bayesian logistic regression" yntemi kullanlmtr. almada 300 TCP olaynda % 0,4 orannda false pozitif hata ile % 95,5 orannda doruluk ile anomali tespiti gereklemitir [3]. 4HoneyStat: Local Worm Detection Using Honeypots adl almada honeypot'larla benzer zelliklerde honeystat sistemi gelitirilmitir. Ama yerel (local) alarda solucan (worm) tespiti yapmaktr. Bunun iin lojistik regresyon modeli kullanlm ve yeni retilen solucanlar (zero day worms) zerinde baarl sonular elde edilmitir. Zaten almadaki ama henz imza (signature) deeri bilinmeyen solucanlar zerinde baarl tespit ilemi yapabilmektir [4]. Gnmzde eitli organizasyon ve kurumlar tarafndan retilmi gerek ticari gerekse ak kaynak kodlu birok saldr tespit sistemi mevcuttur. Bu tez almasnn zgn taraf ise lojistik regresyonun zm yntemlerinden olan logit modelin kullanlarak ikili lojistik regresyon ile tm a trafiinin analiz edilip belli bir anda trafikte anomali olma olaslnn ne olduunu gsteren bir alma olmasdr. Bu almada lojistik regresyon, hem model parametre seiminde hem de nihai modelin oluturulmasnda kullanlmtr. Bu almada bilgisayar alarndaki anomali tespitinde ikili lojistik regresyon tekniinin uygulanabilirliini incelemek amacyla ncelikle Bilgisayar Alarnda Saldr Tespit Sistemleri anlatlm, daha sonra lojistik regresyon konusunun anlalmas iin En Kk Kareler Yntemi ve Regresyon Analizinden bahsedilmi, en sonunda da bilgisayar alarnda gerekletirilen saldrlardan oluan 2

veri seti zerinde allarak Lojistik Regresyon yntemiyle analiz edilip bir matematiksel model elde edilmi ve modelin uygunluu test edilmitir.

BLM 2 A GVENL A gvenlii ada yer alan bilgilerin gvenliini ve a zerinden verilen hizmetlerin srekliliini salar. A gvenlii tek bir ynteme dayanmaz. Uygulanacak farkl zmler birbirini destekleyerek bir btn oluturur. Bir veya daha fazla rn tarafndan uygulanan bir gvenlik modeli, ana amaca hizmet etmelidir: - Confidentiality (Gizlilik): Bilginin tanlanm/dorulanm kiiler haricinde okunmasna kar korumadr. - Integrity (Btnlk): Bilginin yetkisi olmayanlarca modifiye edilmesine kar korumadr. - Availability (Eriilebilirlik): Bilginin ya da bilgisayar kaynaklarnn hizmet vermesinin engellenmesine kar korunma. Bu maddenin aklda kalmas iin CIA ksaltmas, bilgisayar gvenliindeki amac simgeleyen kolay hatrlanabilir bir kelimedir [5]. 2.1. GVENL SINIFLANDIRMAK Bilgi sistemleri gvenliini ana blme ayrabiliriz: - Mantksal gvenlik bilgi sisteminin iletiim alar vastas ile maruz kalabilecei tehditleri kapsamaktadr.

- Fiziksel gvenlik ise bilgi sistemlerini barndran fiziksel altyapnn gvenliini tarif etmektedir. Fiziksel gvenliin kapsamna sunucu ve istemci donanmlar, sistem odas, sistem odasnn bulunduu bina, g hatlar gibi bileenler girer. - evre gvenlii ise fiziksel gvenlikle bir dnlebilir, ayrld nokta ise bilgi sistemini barndran bina veya kamps alannn snrlarnda alnacak gvenlik nlemleridir [6]. 2.2. BLGSAYAR ALARINDA ALINABLECEK 4 TEMEL NLEM 2.2.1. Kurumsal Politika Ve Bilinlendirme almalar Kurum veya kurulularn st dzeyde bilgi gvenliini ve i srekliliini salamalar iin, teknik nlemlerin yannda teknik olmayan (insan faktr, prosedrel faktrler, vb.) nlemlerin ve denetimlerin alnmas, tm bu srelerin devamllnn salanlmas ve bilgi gvenlii standartlarna uygun olarak ynetilebilmesi amacyla ynetim tarafndan desteklenen, insanlar, i srelerini ve biliim teknolojilerini kapsayan bilgi gvenlii standartlarna uygun olarak Bilgi Gvenlii Ynetim Sistemi (BGYS) kurmalar gerekmektedir. BGYS, ISO 27001 standardnn ngrd bir yapdr. 2.2.2. Kullanc Bilgisayarlarnda Alnabilecek Temel nlemler - Antivirs program kullanlmal. - letim sistemi ve iindeki programlarn yamalar yaplmal. - Bilgisayarlar ada paylama alacaksa kuvvetli bir ifre verilmeli. - Gvenli olmad bilinen sitelere (bedava mp3, program vb.) girilmemeli, internette bedava datlan her programa gvenilmemeli.

2.2.3. A Cihazlarnda Alnabilecek Temel nlemler Fiziksel Altyapnn Salkl almasnn Salanmas: - Aktif cihazlar nemden uzak, herkesin kolayca eriemeyecei merkezi noktalara konumlandrlmal. - Cihazlarda UPS, sigortal ve toprakl prizler kullanlmal. - Kablo gvenlii salanmal, binalar arasnda elik zrhl outdoor fiber optik kablo kullanlmal ve F/O gzergahlarnda (zellikle kaz almalar iin) yeterli ve standartlara uygun uyar levhalar olmaldr. Detayl A Topolojisinin Oluturulup Gncellemesi: - Balant ve yerleim emalar, alt alar (subnet), bilgisayar saylar, band genilii (bandwith), trafik analizleri ve loglanmas, eriim yntemleri, unsurlar kayt altnda tutulmal. 2.2.4. Gvenlik Yazlmlarnn kullanlmas VPN, Firewall, Saldr Tespit ve Engelleme Sistemleri kullanlmaldr [7,8]. 2.3. VPN (SANAL ZEL BLGSAYAR ALARI ) Gvenlik asndan ideal olan, istemcilerin ilerini gerekletirmek iin gerek duyduklar btn bilgilerin, istemciler gibi ayn LANa balanm bulunan sunucular zerinde bulunmasdr. Ancak kurumlar bydke merkez ve evre ofislere blnmekte hatta mobil hale gelmektedir. VPN uzakta yer alan bir adan yerel aa erierek bilgisayarn yerel adaym gibi alabilmesini salayan bir alt yapdr. Sanal bir a oluturarak uzaktan balanan makine konuk gibi deil, aa fiziksel olarak balym gibi grnr [9]. konfigrasyon ynetimi, yazlm ykseltmeleri, performans takibi, verilen sabit IP adresleri gibi

VPN platforma bal olmayan bir yapdr ve eitli yazlmsal veya donanmsal zmler kullanlarak farkl mimariler ile oluturulur. Genel kullanma ak olan a yapsn kullanyor olmas bir takm gvenlik endieleri dourabilir. Bu durum gz nnde bulundurularak baland nokta ile bilgisayar arasnda adanm ve ifreli bir tnel balants sayesinde bilgi ak gvenlii arttrlmtr [10]. Yalnz VPN sadece bilgi gidip gelmesi srasndaki gvenlii kapsadndan karlkl yaplarn gvenlik duvarlar tarafndan korunmas gerekmektedir. Sizin blgeniz ok gvenli olabilir ama size balanan evdeki bilgisayarn gvenlii de nemlidir. nk dardan ieri normal artlarda szamayan kiiler zincirin en zayf halkasndan ieri szabilirler [11]. Ayrca VPN sayesinde byk irketlerin kendi aralarnda internetten faydalanmakszn, zel a kurmalar ou yerde gereksizdir [12]. Aadaki ekil 2.1 ve ekil 2.2den VPN eriimi ve alma ekilleri grlmektedir:

ekil 2.1. VPN eriimi [13].

ekil 2.2. VPNnin alma ekli [14].

2.4. GVENLK DUVARI (FIREWALL) Gvenlik duvar ya da firewall yazlmlar tehlikeli ya da istenmeyen trafiin bir bilgisayar ana girmesini ya da kmasn nleyen denetim yazlmlardr. Firewall'lar, yerel anzla d a arasndaki gvenlik kontrol yazlmlar ya da cihazlardr. Firewall ilk kurulduunda bu nokta zerindeki btn geileri durdurur. Daha nceden belirlenen politikalar dahilinde hangi data paketinin geip gemeyecei, hangi geilerde parola dorulamas yaplaca gibi bilgiler firewall kural tablolarna eklenir. Bu sayede sisteme ulaan kii ve bilgi trafii kontrol altna alnm olur. Son yllarda bu amaca ynelik zel amal donanmlar retilmekte ve satlmakta ise de, bu ilev Linux ynlendiricilerin doal bir zelliidir [15]. ekil 2.3de bir a geidinin nasl konumlandrld grlmektedir:

ekil 2.3. Firewall konumlandrlmas [16]. Gnmz firewall yazlmlar basit bir paket filtreleme yazlm deildir. Bir paketin ne yaplacana karar vermeden nce o paketin ait olduu TCP/IP seansna ilikin eski paketlerin de dikkate alnmasna olanak salarlar. Balant izleme (connection tracking) ad verilen bu zellik sayesinde basit paket filtresi olarak eski gvenlik duvar yazlmlarna (ipchains gibi) gre ok byk stnlk salamaktadr. Gelen ve giden paketlerin ne yaplacana karar verirken k ve var IP adresleri, port adresleri yan sra paketlerin var/k sklklar, ierikleri, hatta gnn tarih ve saati bile dikkate alnabilmektedir. rnein deneme yanlmayla ifre krma abasnn iareti olan, bir IP adresinden be saniye iinde ten fazla ftp ya da ssh balant istei geldiinde, bu paketleri reddetmek ya da daha iyisi, grmezlikten gelmek olasdr. Gene gnmzn ska kullanlan saldr yntemlerinden biri, http, smtp gibi servisleri ar ykleyerek sunucular yant veremez hale getirmeye ynelik DoS (Denial of Service) saldrlardr. Bu saldrlarda, sunucu yazlmnn yant veremeyecei sklkta balant istei (SYN) gnderilir. Firewall yazlmlaryla gelen SYN paketlerinin skln denetlemek, ar yk oluturacak sklktaki paketleri durdurmak olasdr [15].

UTM (Unified Threat Manager - Btnleik Tehdit Yneticisi) Firewall: erik filtreleme, spam e-posta filtreleme, saldr tespit sistemi, casus yazlm engelleme ve a geidinde anti virs grevlerini de yrten gelimi cihazlardr [17]. Aadaki ekil 2.4te UTM firewall zellikleri grlmektedir:

ekil 2.4. UTM firewall zellikleri [18].

BLM 3 SALDIRI TESPT SSTEMLER nternet trafik aklarnn nasl davran gsterdii halen zerinde almalarn devam ettii konulardan biridir. Bu almalar nternet Trafik Tanmlama olarak isimlendirilir. Trafik tanmlamann yaplmasndaki temel ama kapasite ihtiyalarn belirleyebilmek ve altyap sorunlarn tespit edebilmektir. A trafiini dorudan etkileyen dier bir faktr ise a zerinde oluan dzensizliklerdir. A sistemlerine eriim, altyap sorunlarnn dnda a ktye kullanma ya da a zerinde dzensizlik yaratlarak kesintiye uratlabilir. Bunlarn nne gemek iin a trafiini izlemek ve analiz etmek nem kazanmaktadr. Hzl ve verimli alan analiz sistemlerinin varl, bu sorunlarn etkin bir ekilde aa zarar vermesini engelleyebilmektedir. Bu ekilde alan sistemlere saldr tespit sistemleri ad verilmektedir [19]. En genel anlamyla, saldr tespiti iini yapmak iin gelitirilen sistemlere saldr tespit sistemleri(STS) denir. Ancak gnmze kadar yaplan aratrmalar ve almalar incelendiinde, saldr tespit sistemlerinin farkl tanmlar olduu grlmtr. Yaplan bu tanmlara gre STSler; Saldry durdurma giriiminde bulunmayan ve olas gvenlik ihlali durumlarnda, sistem gvenlik alanlarna uyar mesaj (alarm) veren sistemlerdir. Bir STS, olas gvenlik aklarn belirleyebilmek iin bilgisayar veya a ierisinde deiik alanlardan bilgileri toplar ve analiz eder. Gvenlik duvarnn statik izleme kabiliyetini tamamlayan dinamik izleme elemandr.

10

STSlerin gelitirilmesinde gnmze kadar istatistiksel yntemlerin dnda, - kural tabanl (rule based), - eik deeri belirleme (threshold value), - durum gei diyagramlar (state transition diagrams), - yapay sinir alar (artificial neural networks), - veri madencilii (data mining), - yapay baklk sistemi (artificial immune system), - uzman sistemler (expert systems), - rnt eleme (pattern recognition), - bulank mantk (fuzzy logic) gibi farkl birok teknik uygulanmtr. Gnmze kadar STSlerde birok farkl teknik kullanlmtr. Bu teknikler, elde edilen verilerin modellenmesi, snflandrlmas veya kural tablolarnn oluturulmas iin gelitirilmitir. Kullanlan tekniklerden elde edilen veriler sayesinde, saldr tespit yaklamlarnn uygulanmas iin gerekli olan platform oluturulmutur. Bu tekniklerden en ok kullanlanlar, veri madencilii, kural tabanl sistemler, aklayc istatistikler, eik deeri tespiti, durum gei analizi, uzman sistemler, rnt eleme olmutur. 3.1. SALDIRI TESPT YNTEM STSlerde, saldr tespit yntemi olarak anormallik tespiti ve ktye kullanm tespiti olmak zere iki farkl yaklam kullanlr. Anormallik tespitine dayanan yaklam, sistemdeki kullanc davranlarn modellerken, ktye kullanm (imza) tespitine dayanan yaklam, saldrganlarn davranlarn modeller. Bir saldrnn hangi adresten veya hangi porttan geldiini bilmeden engel olmak mmkn deildir. STSler saldrlar tespit ederken bu bilgileri de elde ederler. STSler, detayl olarak toplad ve depolad bilgilerden yararlanarak, saldrlar olabildiince erken tespit etme zelliine sahiptir. Saldrlar tespit etme yntemlerine gre ikiye ayrldn bildiimiz STSlerin, hangi yntemin seileceine dair dikkat edilmesi gereken noktas, anormallik tespiti ynteminin, 11

btn kt davranlar tespit etmeye alrken, ktye kullanm tespiti ynteminin kt olarak bilinen davranlar tanmaya almak olduudur. Her iki yntemin de avantaj ve dezavantajlar olduu gz nnde bulundurularak, tasarmlarda avantajlar bir araya toplayan hibrit yaklamlardan faydalanmann daha gereki olaca deerlendirilmektedir [20]. A trafiinde oluan dzensizlii inceleyerek, saldr tespit etmek iin deiik almalar yaplmtr. Bu almalarn birounda istatistiki yntemler ve trafik rnekleme (sampling) kullanlarak sonu elde edilmeye allmtr. statistik yntemler genelde En ok ve Baz Deer ve z Eletirme olarak iki balk altnda toplanmtr; 3.1.1. En ok ve Baz Deer En ok ynteminde, meydana gelen dzensizlikleri tespit ederken iki ayr yntem izlenebilir. En ok oturum ynteminde; belirli bir zaman dilimindeki oturum says (session) temel alnr. En ok veri ynteminde ise; belirli bir zaman diliminde aktarlan veri miktar (byte) temel alnr. Baz deer, gemite kaydedilen a trafiine gre oluturulmu ablondur. Bu ablon normal a trafiini temsil eder. A trafiinde meydana gelen ve baz deerden farkl olan her trl trafik dzensiz olarak kabul edilir [21]. 3.1.2. z Eletirme z eletirme, normal olmayan trafiin tespit edilmesinde kullanlan bir yntemdir. Bu yntemde motivasyon ada bilinen servis ve IP bloklarnn ak verileri ile karlatrlmasna dayanr. Mevcut servislere ait port ve IP bilgileri, oluturulan bir veritaban yardmyla ak verileri ile karlatrlr. Veri tabannda bulunmayan port veya IP adreslerine gelen veya giden trafik pheli olarak deerlendirilebilir.

12

rnein sadece 80 portundan hizmet veren bir sunucunun 3306 portuna bir istek gnderildiinde uyar sistemi devreye girip pheli durumu bildirebilir. Bu yntem a tarama tespitinde kolayca kullanlabilir [19]. STS sistemleri iin, ticari zmler kullanabilecei gibi Snort gibi ak kaynak koduna sahip zmler de kullanlabilir. Snort iin www.bleedingsnort.com adresinde bulunan bleeding-malware.rules dosyasndaki gncel zararl yazlm imzalar kullanlmal ve sistem sorumlular gzlemledikleri yeni saldrlara ait imzalar da kendileri eklemelidir [7]. Aadaki ekil 3.1de saldr tespit sistemlerinin a zerinde konumlandrlmas grlmektedir:

ekil 3.1. Saldr tespit sistemi konumlandrlmas [22].

13

BLM 4 TEMEL STATSTK KAVRAMLARI 4.1. DEKENLER Varlklarn eitli deerler alabilen zelliklerine deiken denir. Deikenler, nitel ve nicel olmak zere genel olarak ikiye ayrlr (ekil 4.1 deiken tiplerini ematik olarak gstermektedir) : 4.1.1. Nitel (Kategorik, Qualitative, Categorical) Deikenler Gzlem sonular saylarla ifade edilemeyen, saylar kullanlsa bile, bunlarn sembol olmaktan baka fonksiyonu olmayan deikenlerdir. (Snflandrma yolu ile lmlenebilen deikenlerdir. Saysal deildirler.) Yabanc kaynaklarda Dummy Variable (yapay, kukla-glge) veya Binary Data adlar ile rastlanlan kalitatif deikenlere, dummy deiken de denilmektedir, ounlukla saysal olarak nemi olmayan 0 veya 1 deerini alrlar. 4.1.2. Saysal (Nicel) Deikenler Gzlem sonular saylarla ifade edilebilen deikenlerdir. Nicel deikenler de kesikli ve srekli deiken olarak iki farkl ayrma tabi tutulur: Kesikli (Sreksiz) deiken: Tanmlanm olduu aralkta belirli deerleri alabilen deikenlerdir (Deikenin alabilecei deerlerin says sonlu ve saylabilir). Kesiksiz (Srekli) deiken: Tanmlanm olduu aralkta her deeri alabilen deikenlerdir (sonsuz sayda deer alabilir) [23,24].

14

ekil 4.1. Deiken tiplerinin ematik gsterimi [23].

4.2. DORULUK VE DUYARLILIK Doruluk (Accuracy); analiz sonucunun gerek deere ne kadar yakn olduunun; Duyarllk (Precision) ise yaplan lmlerin birbirine ne lde yakn olduunun ifadesidir. Bir analizde lmlerin duyarll geree en yakn bir ekilde her zaman hesaplanabilir. Ancak gerek deer tam olarak bilinmezse sonucun doruluu ancak tahmin edilebilir. Bir lmde, duyarlln ok iyi olmas onun doruluunun da ok iyi olduunu gstermez, ancak geree yaknl konusunda bir fikir verebilir. rnein, iinde tam % 20 demir bulunan bir karmn analizi sonunda bulunan yzde demir miktar sonucun doruluk derecesi hakknda bir fikir verir. te yandan iindeki gerek demir miktar bilinmeyen bir filizin analizi sonunda bulunan yzde demir, o deerin doruluu konusunda bir ey sylemez.

15

Bu sonucun elde edilmesi srasndaki lmlerin birbirine yaknl yani lmn duyarll ise bulunan sonucun doruluu konusunda bir fikir verir. Doruluk, lmlerin aritmetik ortalamasnn gerek deere yaknl olarak tanmlanr ve hata olarak ifade edilir. Duyarllk ise lmlerin birbirine yaknl olarak tanmlanr ve sapma olarak ifade edilir. Duyarllk, ayn deeri yeniden elde etme becerisi olarak da tanmlanr. yi bir duyarllk ounlukla iyi bir doruluk derecesinin gstergesidir. Ancak bu her zaman geerli deildir. ok iyi bir duyarll olduu halde zayf doruluk dereceli lmler de olabilir. ekil 4.2de doruluk ve duyarllk fark gsterilmektedir. Bir analizin sonucu yazlrken yaplan her lmn ayr ayr hesaplanmas gerekmez. Bunun yerine bunlarn ortalamasnn yazlmas yeterlidir. Ancak bu ortalamann bir anlam ifade edebilmesi iin lm aralnn, standart sapmasnn ve ka lmn yapldnn belirtilmesi gerekir [25].

ekil 4.2. Doruluk ve duyarllk fark [25].

16

BLM 5 REGRESYON 5.1. REGRESYON NEDR Regresyon, kelime olarak bir eyin kaynana dnme ya da geriye gitme anlamlarna gelmektedir. Matematiksel terim olarak Regresyon Analizi, iki ya da daha ok deiken arasndaki ilikiyi lmek iin kullanlan analiz metodudur. Eer tek bir deiken kullanlarak analiz yaplyorsa buna tek deikenli regresyon, birden ok deiken kullanlyorsa ok deikenli regresyon analizi olarak isimlendirilir. Regresyon analizi ile deikenler arasndaki ilikinin varl, eer iliki var ise bunun gc hakknda bilgi edinilebilinir. Regresyon terimi iin z Trke olarak balanm szc kullanlmas teklif edilmi [26] ise de Trk ekonometriciler arasnda bu kullanm yaygn deildir. Deikenler arasndaki ilikiye rnek olarak, mevsimlere gre yaan yamur miktar ile rn eitlilii arasndaki ilikiyi; eitim dzeyi ile sahip olunan ocuk says ve boanma miktar arasndaki ilikiyi; rencilerin not ortalamas ve devamszlk durumu ile niversite snavnda ald puan arasndaki ilikiyi verebiliriz. Regresyon genelde nicel iki veya daha ok sayda deiken arasndaki dorusal ilikinin fonksiyonunu ya da biri baml dierleri bamsz deikenler arasndaki doru denklemini gstermekle birlikte, deikenlerden biri bilindiinde dieri hakknda tahmin yaplmasn da salar.

17

Regresyonda, deikenlerden biri baml dierleri bamsz deiken olmaldr. Kurulan eitlikte dier deikenlerden etkilenen baml deiken eitliin solunda yer alr. Baml deikenin haricindekilere bamsz deiken denir ve eitliin sanda yer alan bu deikenler dier deikenlerden etkilenmezler. 5.2. REGRESYON ANALZNN TARH Regresyon ynteminin ilk ekli en kk kareler prensibidir ve ilk olarak Adrien Marie Legendre tarafndan 1805te ortaya atlmtr. Hemen takiben 1809da C.F. Gauss ayn yntemi aklamtr. En kk kareler terimi Legendre tarafndan moindres carrs olarak kullanlm, ancak Gauss ayn yntemi 1795ten beri kullandn iddia etmitir. Legendre ve Gauss bu yntemi astronomik gzlemlerden uydularnn gne etrafndaki yrngelerini tespit etmek iin kullanrken ortaya kartmlardr. 1748de Elerin ayn problem zerinde urat, fakat baar salayamad bilinmektedir. En kk kareler kuramnda sonraki gelime Gaussin 1821de yaynlad bir makalede ortaya kartlm ve bu yaynda Gauss sonradan kendi ad verilen Gauss-Markov teoreminin bir eklini aklamtr [27-29]. Regresyon kelimesini bilimsel bir terim olarak ilk kullanan Francis Galton'dur. ngiliz istatistiki Galton bu terimi, ana konusu kaltm olan bir biyolojik inceleme iin kullanmtr. ncelemesinde bir ailede ocuklarla anne-babalarnn boylar arasndaki ilikiyi aratrmtr. Sonuta ocuklarn boylarnn bir nesil iinde atalarnn boylarna geri dndklerini gzlemlemitir. Boy ortalamalarndaki bu geri dn iin Galton ilk olarak ngilizce reversion terimini kullanm, fakat daha sonra reversion ile e anlaml olan regression terimini kullanmay tercih etmitir. Galton bu almalar yaparken istatistiksel regresyon yntemini de gelitirmitir. Bu yntemi daha geni genel istatiksel alanlarda uygulayp gelitiren ise Karl Pearson ve Udny Yle olmutur. Udny Yle ve Karl Pearson almalarnda baml ve bamsz deikenlerin normal dalm gsterdiini varsaymtr. R. A. Fisher ise 1922 ve 1925'deki yaynlarnda bu kstlayc varsaym biraz daha geniletmitir. Fisher bu sayede regresyonu sadece baml deikenin koullu dalmnn normal olduu durumlarda uygulanabileceini gstermitir [30-35].

18

statistikiler bu metotlar ve kavramlar, kaltm ya da ortalamaya geri dn konularyla hibir ilgisi bulunmayan konularda kullanrken de regresyon terimini kullanmaya devam ettiklerinden gnmzde bu terimin Galtonun konusu ile hibir ilgisi kalmam ve bu terim artk eri uydurma ve dorusal balant bulunmas ile ayn anlamlarda kullanlmaktadr. 5.3. REGRESYON ANALZ Regresyon analizi, aralarnda sebep-sonu ilikisi bulunan iki veya daha fazla deiken arasndaki ilikiyi belirlemek ve bu ilikiyi kullanarak o konu ile ilgili tahminler (estimation) ya da kestirimler (prediction) yapabilmek amacyla yaplr. Doada birok olayda sebep sonu ilikisine rastlamak mmkndr [36]. Sebep-Sonu ilikisine rnek olarak: Gelir-Harcama, Ya-Boy, Gbre-Verim, Yem Miktar-St Miktar, alma Sresi-Alnan Not. Gerek yaamn eitli alanlarnda herhangi bir uygulama ile toplanan veriler tablo ekline getirilerek incelenir ve toplanan veriyi modelleyen bir fonksiyon bulunmaya allr. ou zaman bu veri tablosuna tam olarak uyan bir fonksiyon bulmak mmkn olmaz; veri tablosuna en iyi uyan fonksiyon belirlenmeye allr. Bir veri tablosuna en iyi uyan fonksiyonu bulma srecine regresyon analizi denir [37]. Regresyon analizi ile; - Baml ve bamsz deikenler arasnda bir iliki var mdr? - Eer bir iliki varsa bu ilikinin gc nedir? - Deikenler arasnda ne tr bir iliki vardr? - Baml deikene ait ileriye dnk deerleri tahmin etmek mmkn mdr ve nasl tahmin edilmelidir? - Belirli koullarn kontrol edilmesi durumunda zel bir deiken veya deikenler grubunun dier deiken veya deikenler zerindeki etkisi nedir ve nasl deiir? gibi sorulara cevap aranmaya allr [38]. 19

Bu analiz tekniinde iki (basit regresyon) veya daha fazla deiken (oklu regresyon) arasndaki ilikiyi aklamak iin matematiksel bir model kullanlr ve bu model regresyon modeli olarak adlandrlr [36]. Regresyon analizi yaparken en ok kullanlan yntemlerden biri en kk kareler yntemidir. Basit dorusal regresyon analizinde bir baml ve bir bamsz deiken sz konusu iken, oklu dorusal regresyon analizinde ise bir baml deiken varken iki ya da daha fazla bamsz deiken vardr ve her iki analizde de deikenler arasnda dorusal bir iliki vardr. Ayrca baml ve bamsz iki deiken arasnda erisel bir iliki var ise deikenler arasndaki iliki erisel regresyon modeli ile aklanr. Korelasyon analizinde, deikenlerin baml ve bamsz deiken olarak belirlenmesi hesaplamalarn sonucu asndan nemli deilken, regresyon analizinde ise deikenlerin hangisinin baml hangisinin bamsz deiken olduunu tespit etmek ok nemlidir [36]. ki ya da daha ok sayda, deiken arasndaki ilikiye korelasyon denir. Korelasyon ilikisinde ilikinin miktar bir say ile belirtilir. Bu sayya "korelasyon katsays" denir [39]. 5.4. EN KK KARELER METODU Regresyon analizi yaparken en ok kullanlan yntemlerden biri En Kk Kareler yntemidir. Byk matematiki C. F. Gaussun 18 yandayken (1795) gelitirdii bu yntem, ilk kez 1801 de Cres asteroidinin yrngesinin belirlenmesinde kullanlm ve ilk kez Gaussun toplu eserlerinin yaynland ciltlerden ikincisinde 1809 ylnda yaynlanmtr. Fransz matematiki A. Legendre 1805 ve Amerikal matematiki R. Adrain de 1808 yllarnda ayn yntemi Gaussdan habersiz ve bamsz olarak kefetmilerdir.

20

En kk kareler yntemi, tp, finans, mhendislik, ziraat, biyoloji ve sosyoloji gibi eitli bilim dallarnda eitli deikenler arasndaki ilikiler belirlenirken kullanlan en nemli aralar arasndadr. Belli lmler sonucunda i = 1, 2, . . . , n iin (xi, yi) verileri elde edilmi olsun. Burada, her bir yi nin xi ye bal olarak deitii varsaylmaktadr. Dzlemde noktalar olarak dnldnde, pratikte bu noktalar dzgn bir eri zerinde, baka bir deyimle, bilinen bir fonksiyonun grafii zerinde bulunmazlar. Hatta baz durumlarda, (xi , yi) ler arasnda ne tr bir bant bulunduu dahi bilinmeyebilir. Ancak, yaplan lmlerin doas gerei, her i = 1, 2, . . . , n iin y i = f (xi ) olacak biimde bir fonksiyonun var olduu, lmlerde yaplan hata nedeniyle bu eitliklerin bazlar veya hepsinin salanmad kabul edilebilir. Bu dnceyle, llen yi deeri f (xi) iin yaklak deer kabul edilerek bu yaklamdaki hatann minimum olduu f fonksiyonu belirlenmeye allr. Bu amac gerekletirmek iin f fonksiyonunun bir takm parametrelere bal bir ifadesi bulunduu varsaylp eldeki veriler yardmyla bu parametreler belirlenmeye allr. rnein, f fonksiyonu y = f (x) = mx + b ifadesinde olduu gibi bir ifadesinde olduu gibi bir dorusal fonksiyon veya y = f (x) = ax2 + bx + c ve mdir. yi deeri f(xi) iin yaklak deer, f(xi) yi kabul edilince yaplan hata yi - f(xi ) dir ve ama, bu hatalar minimum olacak ekilde bir f fonksiyonu bulmaktr (aadaki ekil 5.1den grlmektedir).

karesel fonksiyon olabilir ki bu durumda belirlenmesi gereken parametreler a , b , c

21

ekil 5.1. En kk kareler yntemi. Tanm1: yi - f (xi) farklarndan her birine bir artk denir. Tanm2: Bir veri tablosuna en iyi uyan dorusal fonksiyonun grafii olan doruya regresyon dorusu veya en kk kareler dorusu denir. En kk kareler ynteminde aranan fonksiyon, ya da onun parametreleri, tm artklarn kareleri toplam olan:

22

ifadesini minimum yapacak ekilde belirlenir. Bu, ynteme neden en kk kareler yntemi dendiini aklar. Sz edilen kareler toplamnn minimum olmas iin her bir hatann kk olmas gerektiine dikkat edilmelidir [37]. Forml biraz daha aklanacak olursa: Gerek deer (y) ile teorik deer (yt) arasndaki fark y ile gsterilirse,

y = y yt olur. N tane deneysel nokta iin:

(5.1.2)

olmaldr. Burada:

y t = a + bx

(5.3)

dir. Eitlik-5.2 ile verilen ifadenin minimum olma artn salayan a ve b sabitleri, matematiksel kural gereince ayn eitliin a ve bye gre trevlerinin sfra eitlenmesi ile bulunur. Yani;

23

Eitlik-5.6 ve 5.7 den,

bulunur.

24

Bu eitliklerden a ve b ekilirse,

olur. En kk kareler metodu lineer fonksiyonlara uyguland gibi eksponansiyel fonksiyonlara da uygulanabilir. y = k.emx (5.12)

fonksiyonu ln y = ln k + mx eklinde yazlabilir. Dikkat edilirse ln y = f (x) fonksiyonu eimi m olan bir dorudur. Eitlik 5.10 ve 5.11den k ve m sabitlerinin deerleri,

bulunur [40].

25

rnek-1: Bir retici, rettii rnn eitli retim seviyeleri iin maliyetini belirliyor ve aadaki tabloyu (izelge 5.1) oluturuyor, buna gre 3 rnn maliyeti yaklak ka TLdir? izelge 5.1. En kk kareler yntemi rnek veri seti. rn says (x yz) Maliyet (y bin YTL) zm: Bu retici iin gider fonksiyonu yukardaki tabloya en iyi uyan dorusal fonksiyon olarak belirlenir. izelge 5.1deki veri tablosu, dzlemde u (x,y) noktalarn verir: (2,4) , (5,6) , (6,7) ve (9,8). Bu noktalarn hepsini zerinde bulunduran bir doru yoktur. Amacmz, bu noktalara en iyi uyan doruyu, yani regresyon dorusunu bulmaktr. Regresyon dorusunun denklemi: yt = a + bx a ve b belirlenerek bulunacaktr. 2 4 5 6 6 7 9 8

26

Artklar hesaplanr ve veri tablosu aadaki gibi geniletilir:

izelge 5.2. En kk kareler yntemi rnek zm.

rn says (x adet) Maliyet (y TL) yt = a + bx (yt-y) = (a + bx -y) Fa(a,b) = 0 (a ya gre ksmi trevleri)
2 2

2 4 a+2b (a + 2b -4)
2

5 6 a+5b (a + 5b - 6)
2

6 7 a+6b (a + 6b - 7)
2

9 8 a+9b (a + 9b - 8)2 2*(a + 9b - 8)

2*(a + 2b -4) 2*(a + 5b - 6)

2*(a + 6b - 7)

2a+4b-8 Fb(a,b) = 0 (b ye gre ksmi trevleri)

2a+10b-12

2a+12b-14

2a+18b-16 (1. Denklem)

8a + 44b - 50 = 0

2*(a+2b-4)*2 2*(a + 5b 6)*5 2*(a + 6b 7)*6 2*(a + 9b 8)*9

4a+8b-16

10a+50b-60

12a+72b-84

18a+162b-144

44a + 292b 304 = 0

(2. Denklem)

Yukardaki tablodan (izelge 5.2) elde edilen 1. ve 2. denklemler ortak olarak zlrse: b = 0,58 ve a = 3,06 bulunur. Bu durumda bulunacak denklem:

yt = a + bx = 3,06 + 0,58*x Soruda 3 rn iin maliyet sorulduundan x yerine 3 yazlrsa: 3,06 + 1,74 = 4,8 TL olur.

27

Bulunan regresyon dorusu veri noktalar ile birlikte aada ekil 5.2deki grafikte gsterilmitir:

ekil 5.2. En kk kareler yntemi ile bulunan grafik [41]. Konunun daha iyi anlalmas iin trevin anlamna da deinmek gerekir. Trev, herhangi bir erinin, herhangi bir noktasndan geen teetinin, eimini hesaplama ilemidir (ekil 5.3). Yani trev ile eim ayn eydir (Slope: Eim).

28

ekil 5.3. Trevin anlam [42].

29

Aadaki ekil 5.4te genel trev formlleri grlmektedir:

ekil 5.4. Genel trev formlleri. f(x,y)nin xe gre ksmi trevini alrken y bir sabitmi gibi dnlr. Ksmi trev iareti: eklindedir. rnein ( x, y) = 3x 2y + 5x 2y2 + 1 fonksiyonunun xe gre ksmi trevi: ( x, y) /x = 6xy + 5 yye gre ksmi trevi: ( x, y) /y = 3x2 4y olur.

30

BLM 6 LOJSTK REGRESYON 6.1. LOJSTK REGRESYON ANALZ Lojistik regresyon analizinin kullanm amac istatistikte kullanlan dier model yaplandrma teknikleriyle ayndr. En az deikeni kullanarak en iyi uyuma sahip olacak ekilde sonu deikeni (baml ya da cevap deikeni) ile bamsz deikenler kmesi (aklayc deikenler) arasndaki ilikiyi tanmlayabilen ve genel olarak kabul edilebilir modeli kurmaktr [43]. Son yllarda youn bir ekilde kullanlan lojistik regresyon analizi, gzlemlerin gruplara atanmasnda sk kullanlan yntemden (dierleri kmeleme analizi ve diskriminant analizi) birisidir. Kmeleme analizinde gzlemlerin atanaca kme says tam bilinmezken, diskriminant ve lojistik regresyon analizinde grup says bilinmekte, mevcut veriler kullanlarak bir ayrmsama modeli elde edilmekte ve kurulan bu model yardmyla veri kmesine eklenen yeni gzlemlerin gruplara atanmas mmkn olmaktadr [43]. Lojistik regresyon analizi, son dnemlerde zellikle sosyal bilimler alannda kullanm yaygnlaan bir yntemdir. Neden sonu ilikilerinin ortaya konulmas amacyla yaplan ou sosyo-ekonomik aratrmada, incelenen deikenlerden bazlar olumlu-olumsuz, baarl-baarsz, evet-hayr, memnun - memnun deil eklinde iki dzeyli verilerden olumaktadr. Bu trden baml deikenin iki dzeyli ya da ok dzeyli kategorik verilerden olumas durumunda; baml deiken ile bamsz deiken(ler) arasndaki neden-sonu ilikisinin incelenmesinde, Lojistik Regresyon Analizi nemli bir yere sahiptir [44,45].

31

Amalarndan birisi snflandrma, dieri ise baml ve bamsz deikenler arasndaki ilikileri aratrmak olan lojistik regresyon analizinde, baml deikeni kategorik veri oluturmakta ve kesikli deerler almaktadr. Bamsz deikenlerin ise hepsinin veya bazlarnn srekli ya da kategorik deikenler olmasna ilikin bir zorunluluk bulunmamaktadr [46]. Aadaki ekil 6.1de lojistik regresyonun kullanm rnei grlmektedir. Mteri Mi? Eitim Gelir sim Ya sim Mteri Olma htimali 0,67 0,78 0,34 0,97 ...

Lojistik Regresyon Uygulanyor

Ali

34

8 11 5 20 ...

3 2 6 4 ...

E E H E ...

Veli 23 Ela 56 Gl 54 ... ...

Bir banka kendisine mteri olma ihtimali yksek olan kiileri belirleyerek reklam almalarn ona gre yapabilir.

Can Kaan Helin Arda ...

ekil 6.1. Lojistik regresyon analizinin kullanm amacna rnek. Baz nicel deikenler de regresyon modellerinde nitel olarak kullanlabilmektedir. rnein iletme bykl; ii says, retim deeri, katma deer gibi ltlerle saysal olarak ifade edilebildii gibi; kk, orta ve byk lekli iletmeler olmak zere kl bir nitel deiken olarak da modellere dahil edilebilir [47]. Glge(nitel) deikenlerin regresyon modelinde nicel olarak kullanld modellere varyans zmlemesi(varz) modeli denilmektedir [48]. Regresyon zmlemesinde aklayc (bamsz) deikenler gibi, aklanan (baml) deikenler de iki deerli (niteliksel) olabilmektedir. rnein bir ailenin ev ya da otomobil sahibi olup olmadna, gelir dzeyine, ailedeki kii saysna bal olabilir. Burada baml deiken, ev ya da otomobil sahiplii olup tpk yapay aklayc deikenlerdeki gibi 0 ve 1 deerini alr. ki deerli (kesikli) baml

32

deikenleri ele almada ok yaygn ekilde kullanlan drt yaklam vardr. Bunlar; Dorusal Olaslk Modeli, Logit Model, Probit Model ve Tobit Modeldir [49].

33

6.2. LOJSTK REGRESYON LE DORUSAL REGRESYONUN FARKI Lojistik regresyonu, dorusal regresyondan ayran en belirgin zellik, lojistik regresyonda baml deikeninin kategorik deiken olmasdr. Lojistik regresyon ve dorusal regresyon arasndaki bu fark, hem parametrik model seimine, hem de varsaymlara yansmaktadr. Lojistik regresyonda da, dorusal regresyon analizinde olduu gibi baz deiken deerlerine dayanarak kestirim yaplmaya allr, ancak iki yntem arasnda nemli fark vardr : 1- Dorusal regresyon analizinde tahmin edilecek olan baml deiken srekli iken, lojistik regresyonda baml deiken kesikli bir deer olmaldr. 2- Dorusal regresyon analizinde baml deikenin deeri, lojistik regresyonda ise baml deikenin alabilecei deerlerden birinin gerekleme olasl kestirilir. 3- Dorusal regresyon analizinde bamsz deikenlerin oklu normal dalm gstermesi koulu aranrken, lojistik regresyonun uygulanabilmesi iin bamsz deikenlerin dalmna ilikin hibir n koul yoktur [43]. Bilinen dorusal regresyon analizinde baml deiken ve bamsz deiken(ler) saysal (lmle belirtilen srekli ya da kesikli saysal) olarak belirtilir. rnein, ya ile kan basnc arasnda bir iliki aranacaksa; hem ya, hem de kan basnc saysal olarak belirtilmelidir. Nitelik olarak belirtilemezler. Baml deiken nitelik olarak belirtilirse, bamsz deiken ya da deikenlerle arasndaki iliki lojistik regresyon yntemiyle aranr [50]. Aadaki izelge 6.1de iki yntem karlatrlmtr: izelge 6.1. Dorusal ve lojistik regresyon karlatrmas [50]. Deikenler Dorusal Regresyon Analizi Baml Srekli Saysal Kesikli Saysal Bamsz Srekli Saysal Kesikli Saysal Lojistik Regresyon Analizi Nitelik Srekli Saysal Kesikli Saysal Nitelik (Her bamsz deiken baka bir lm biimine de sahip olabilir)

34

Lojistik regresyon analizi sonucunda elde edilen modelin uygun olup olmad model ki-kare testi ile her bir bamsz deikenin modelde varlnn anlaml olup olmad ise wald istatistii ile test edilir. 6.3. LOJSTK REGRESYON MODELLER Log-lineer, logit ve probit modeller iki kl baml deikenleri aklamada regresyon gibi genel dorusal modellerin temelini oluturmaktadr. Bu modeller balant fonksiyonu olarak Sradan En Kk Kareler tahmini yerine Maksimum Benzerlik (En ok Olabilirlik) tahminini kullanarak standart regresyondan ayrlr [47]. Fonksiyon, log-lineer analizde baml deiken ynin logaritmasnda, logit analizde log oddlar (bahis oranlar) kullanlrken, probit analizinde kmlatif normal dalm (cumulative normal distribution) kullanlr [47,51]. Lojistik Regresyon genel olarak e ayrlr: 1- kili (Binary) lojistik regresyon: Baml deiken iki dzeyli olduunda kullanlr(Var-Yok, Evet-Hayr). Bu almada ikili lojistik regresyon teknii kullanlmtr. 2- Sral (Ordinal) lojistik regresyon: Baml deiken sral nitel veri tipinde (hafif-orta-iddetli vb.) olduunda kullanlr. 3- Multinomial lojistik regresyon: Baml deiken ikiden ok dzeyli sral olmayan nitel veri tipinde olduunda kullanlr. 6.4. LOGT MODEL Odds baar ya da grlme olaslnn p, baarszlk ya da grlmeme olaslna 1-p orandr. Baka bir deyile: ncelenen bir olayn olaslnn kendi dnda kalan dier olaylarn olaslna oranna odds deeri denilir. Odds ratio (OR) ise iki oddsun birbirine orandr. ki deiken arasndaki ilikinin zet bir lsdr (bahis oran da denir). 35

izelge 6.2. UDP Protokol ODDS deerleri. Protokol udp mi? Evet Hayr Toplam Saldr Var 3 45 48 Toplam Yok 127 180 307 130 225 355

rnein yukardaki izelge 6.2ye bakldnda: Protokol tipi udp olan balantlarda saldr olma oddsu: (3/130) / (127/130) = 3/127 = 0,024 Udp olmayan balantlarda ise: 45/180 = 0,25 Odds ratio = 0,25 / 0,024 = 10,4 Bu sonu udp protokol kullanmayan balantlarn saldr olma olaslnn, udp kullananlardan yaklak 10 kat daha fazla olduunu gstermektedir. Logit ismi, odd deerinin doal logaritmasn ifade etmektedir. Yani olasl gstermek zere, logit; (6.1)

Logit model, bamsz deiken deeri sonsuza gittii zaman, baml deikenin 1e asimptot olduu matematiksel bir fonksiyondur [24]. Logit modellerinde olaslklar 0 ile 1 arasnda snrlandrlmlardr. Bunu yaparken lojistik regresyon modeli olaslklara bir dnm uygulamaktadr; nk olaslklar ve tahmin edici deiken arasndaki iliki dorusal deildir ve S eklinde bir eridir. 36

Aada ekil 6.2den grlecei zere, deikenler ile olaslklarn dorusal

lojistik regresyon varsaym altnda bir iliki ierisinde sonulanmasn

olaslklarn lojistik dnm ok ile gsterilmekte olup bu dnm, tahmin edici salamaktadr [52].

ekil 6.2. Olaslk ile tahmin edici arasndaki iliki [52]. 6.4.1. Lojistik Regresyon Forml Lojistik regresyon analizi baml deikenin 0 ila 1 deerleri arasnda ald ve tahmin edilen olaslklarn 0-1 aralnda snrl olacan kabul eder. 0-1 aralnda snrlandrlm ilikiyi tanmlamak iin lojistik regresyon yntemi lojistik erisini kullanmaktadr (ekil 6.3). Lojistik regresyon fonksiyonu baml ve bamsz deikenler arasnda aadaki lojistik fonksiyonunu kullanmaktadr:

37

ekil 6.3. Lojistik ilikinin biimi [53]. Yukardaki ekil 6.3te geen formlde p olayn olma olasl (baml deikenin tahmin edilen deerini) vektrn, model parametreleri vektrn, X ise sabit terimi de ierisinde barndran bamsz deikenler matrisini temsil etmektedir. Bu fonksiyondan hareketle baml deikenin tahmin edilen olaslk deerleri (p) vektr aadaki Eitlik6.2deki formlle hesaplanmaktadr [53].

(6.2)

Yukardaki Eitlik6.2de: P : ncelenen olayn gzlenme olasln, 0: Bamsz deikenler sfr deerini aldnda baml deikenin deerini (yani sabiti), 1 2..... k : Bamsz deikenlerin regresyon katsaylarn, X1 X2.... Xk : Bamsz deikenleri, k: Bamsz deiken saysn, e: 2.71 saysn gstermektedir [54]. 6.4.2. Logit Model ile Lojistik Regresyon Arasndaki Benzerlik ve Farklar 38

Lojistik regresyon, bir ya da daha fazla aklayc deiken ile ikili bir yant deikeni arasndaki ilikiyi gstermek iin kullanlan bir tekniktir. Aklayc deikenler kategorik, srekli ya da her ikisi de olabilir. Logit modellerde ise aklayc deikenler sadece kategorik deikenlerden oluabilir [55]. 6.4.3. Lojistik Regresyon in Basit bir rnek ve zm Aadaki izelge 6.3te okulumuzdaki web sunucusuna yaplan(hedef IP'ler sunucunun, kaynaklar farkl olabilir) balantlarla ilgili a trafiinden elde edilen loglarn incelenmesi sonucu zetlenen veriler grlmektedir:

39

izelge 6.3. Web sunucusu balantlar eitim veri seti.

TOPLAM BYTE PROTOKOL PORT ANOMAL NORMAL

Gnderilen veri > TCP = 1 150 byte ise 1 UDP = 0 deilse 0 0 0 1 1 0 1 0 1

Login portu Saldr Balants Normal Balant ise 1 deilse 0 Says Says 0 0 0 1 9 35 8 19 168 275 37 58

Buna gre yaplan bir balantnn aadaki gibi gzlendii bir anda saldr olma ihtimali nedir? Toplam oturum says: 350 Protokol: TCP PORT: 21 (FTP login) Gnderilen veri: 200 byte zm: Denklemde baml deiken saldr olmasdr. Bamsz deikenler: TOPLAM BYTE ksaca X1 denilmitir. PROTOKOL ksaca X2 denilmitir. PORT ksaca X3 denilmitir. Sabitimize de ksaca 0 denilmitir. lk aamada bulunacak regresyon eitlii aadaki gibi olacaktr: g(x) = 0 + 1. X1 + 2. X2 + 3. X3

40

imdi ilk satrdan balayarak izelge 6.4te grld zere denklemleri yazlacak olursa: izelge 6.4. Lojistik regresyon web sunucu balants rnek zm.
TOPLAM BYTE PROTOKOL Gnderilen veri > 150 byte ise 1 deilse 0 X1 = 0 X1 = 0 X1 = 1 X1 = 1 TCP = 1 UDP = 0 X2 = 0 X2 = 1 X2 = 0 X2 = 1 PORT ANOMAL NORMAL Normal Balant Says 168 275 37 58 LOGIT Ln(Anomali/Normal) Login Saldr portu ise 1 Balant deilse 0 Says X3 = 0 X3 = 0 X3 = 0 X3 = 1 9 35 8 19

Ln(9/168) = -2,9267 Ln(35/275) = -2,0614 Ln(8/37) = -1,5315 Ln(19/58) = -1,1160

Yukardaki tablodan ilk satrdan balayarak her satr iin bir denklem olmak zere aadaki denklemler elde edilir: 0 + 1*0 + 2*0 + 3*0 = -2,9267 0 + 1*0 + 2*1 + 3*0 = -2,0614 0 + 1*1 + 2*0 + 3*0 = -1,5315 0 + 1*1 + 2*1 + 3*1 = -1,1160 Yukardaki denklemler ortak olarak zldnde katsaylar aadaki gibi bulunur: 0 = -2,9267 1 = 1,3952 2 = 0,8683 3 = -0,4498 Regresyon eitlii: g(x) = 0 + 1*X1 + 2*X2 + 3*X3 g(x) = -2,9267 + 1,3952*X1 + 0,8683*X2 + -0,4498*X3

41

Soruda olasl sorulan veriler aadaki izelge 6.5te grlmektedir:

izelge 6.5. Lojistik regresyon web sunucu balants olasl iin verilenler. TOPLAM BYTE deilse 0 350 > 150 X1 = 1 PROTOKOL UDP = 0 TCP X2 = 1 21 (FTP login) X3 = 1 PORT Login portu = 1 deilse 0

Gnderilen veri > 150 byte ise 1 TCP = 1

Bulunan g(x) eitliinde yukardaki veriler yerine koyulursa: g(x) = -2,9267 + 1,3952*1 + 0,8683*1 + -0,4498*1 = 1,113 stenen olayn olasl (Y=1);

Olaslk hesab aadaki gibi olur: P = 1/(1 + e-g(x)) = 1/(1 + e1.113) = 0,2473 Yani verilen balant bilgilerinin bir saldr olma olasl yaklak olarak tr (Bu da dk bir ihtimali gstermektedir).

42

BLM 7 MATEMATKSEL MODELN OLUTURULMASI 7.1. VER SET ANALZ Saldr Tespit Sistemleriyle ilgili almalarda en sk kullanlan veri seti DARPA 1998 ve 1999 veri setleridir. Model oluturma almasnda yine bu verilerden tretilen KDD Cup99 veri seti kullanlmtr. Veri setini oluturan kaynak aadaki ekil 7.1de de grld gibi saldrnn hedefi olan bir i a ve saldry gerekletiren bir d a olmak zere iki farkl adan olumaktadr: ekil 7.1. Veri setinin oluturulduu an emas [56].

Hava kuvvetlerini temsil eden i a 172.16.0.0/16 IP adres uzayna sahiptir. Bu a ierisinde drt kurban makine bulunmaktadr.

43

Bunlarn zerinde SunOS, Solaris, Linux, ve Windows NT almaktadr (1998 veri setlerinde sadece UNIX makineler kullanlmtr). ekil 7.1de grlen trafik oluturucular yzlerce sunucuyu ve eitli uygulamalar altran internet kullanclarn temsil etmektedir. Protokoller (HTTP, SMTP, telnet ...) ve trafik younluklar, 1998de gerek Hava Kuvvetleri andan toplanan trafie benzer olacak ekilde tasarlanmtr. A zerinde 2 noktadan veri toplanmtr: drt kurban makine ile ynlendirici arasndaki i a dinleyicisi ve ynlendirici ile internet arasndaki d a dinleyicisinden. Bu saldr yazlmlar internet ortamndan ve hacker sitelerinden toplanm saldrlardr [56]. DARPA verileri ile alrken matlab ya da SQL sunucularla birlikte tcpdump ktlar ekil 7.2de grld zere wireshark (eski ad ethereal) programyla da incelenebilir (bu almada SQL kullanlmtr) :

44

ekil 7.2. Veri setinin wireshark ile analizi [57]. A dinleyicisi iki ynl paketleri yakalad iin kurban makinelere gelen paketler iin var IP adresi 172.16.x.x olan paketler olarak szlmelidir. rnek bir filtre: (ip.dst == 172.16.0.0/16) and !(ip.src == 172.16.0.0/16) and !(ntp) and !(rip) and ! (loop) and !(arp) and !(nbns) [57]. 7.2 VER SETNN HAZIRLANMASI Bu almada kddcup.data_10_ percent_corrected dosya ismi ile internetten indirilebilen yaklak 75 Mb byklnde ve iinde yaklak 500 bin kayt bulunan gerek kddCupp-99 veri setinin % 10una karlk gelen veri seti kullanlmtr. Veri setinin ilk 250 bin kayd model oluturmak iin kalan ise test iin kullanlmtr. Veritabannda kullanlan tablo aadaki SQL komutu ile oluturuldu: create table tbl_kdd( transmission int NOT NULL AUTO_INCREMENT, duration long, protocol_type varchar(35), service varchar(35), flag varchar(35), src_bytes double, dst_bytes double, double, hot double, land varchar(35), wrong_fragment double, urgent num_failed_logins double, 45 logged_in varchar(60),

num_compromised double, root_shell double, su_attempted double, num_root double, num_file_creations double, num_shells double, num_access_files double, num_outbound_cmds double, double, is_host_login varchar(60), is_guest_login varchar(60), countk double, srv_count double, serror_rate double, srv_serror_rate rerror_rate double, srv_rerror_rate double, same_srv_rate double, dst_host_count double, diff_srv_rate double, srv_diff_host_rate double,

dst_host_srv_count double, dst_host_same_srv_rate double, dst_host_diff_srv_rate double, dst_host_same_src_port_rate double, double, dst_host_srv_rerror_rate double, dst_host_srv_diff_host_rate double, label varchar(60), CONSTRAINT dst_host_serror_rate double, dst_host_srv_serror_rate double, dst_host_rerror_rate transmissionPk PRIMARY KEY (transmission) ); Verileri veritabanna aktarma ileminde verileri tabloya alma ilemi iin MySQL komut satrnda aadaki komut kullanlabilir: load data local infile 'xaa' into table tbl_kdd fields terminated by ',' enclosed by '' lines terminated by '\n' (duration, protocol_type, service, flag, src_bytes, dst_bytes, land, wrong_fragment, urgent, hot, num_failed_logins, num_root, logged_in, num_compromised, num_shells, root_shell, su_attempted, srv_serror_rate, num_file_creations, srv_rerror_rate, num_access_files, diff_srv_rate,

num_outbound_cmds, is_host_login, is_guest_login, countk, srv_count, serror_rate, rerror_rate, same_srv_rate, srv_diff_host_rate, dst_host_count, dst_host_srv_count, dst_host_same_srv_rate, dst_host_diff_srv_rate, dst_host_same_src_port_rate, dst_host_srv_diff_host_rate, dst_host_serror_rate, dst_host_srv_serror_rate, dst_host_rerror_rate, dst_host_srv_rerror_rate, label) Fakat yukardaki load data local infile 'kddcup.data.corrected' ... komutu eski MySQL versiyonlarnda desteklenmediinden bunun yerine phpmyadmin web arayznden de verileri tablolara alma ilemi yaplabilir. Bunun iin ise veri miktar ok fazla olduundan baz ayar dosyalarnda deiiklikler yaplmas gerekir: - /etc/php5/apache2/php.ini dosyasndaki deerler aadaki gibi yapld:

46

upload_max_filesize = 3000, memory_limit = 4000, post_max_size = 3000, max_execution_time = 0, max_input_time = -1 - /etc/phpmyadmin/config.inc.php dosyasna aadaki satr eklenmitir (varsaylan olarak 300 saniye iken 0 yaplarak snrlar kaldrlmtr) $cfg['ExecTimeLimit'] = 0; Ayrca veri setinin sadece % 10unda deil de tmnde yaplacak veri madencilii almalar iin tm dosya boyutu 750 Mb olduu iin incelemelerde dosya boyutunun fazlalndan kaynaklanan sorunlarla karlamamak iin dosya her birinde 1 milyon satr bulunan be paraya blnebilir, bunun iin linux makinede kullanlan komut: split -l 1000000 kddcup.data.corrected 750 Mblk veriyi tabloya aldktan sonra (ki ubuntu-apache-MySQL kurulu 4Gb Rame sahip, 4 ekirdekli, 2 Ghz ilemcili bir PC iin bu ilem ortalama 2 gn srmektedir) KDD Cup99 veri seti toplam 4 898 431 satr (her satr bir balant -connection veya transmission- ) iermektedir: mysql> select count(*) from tbl_kdd ; +----------+ | count(*) | +----------+ | 4898431 | +----------+ 1 row in set (0,00 sec) Bu almada kddcup.data_10_percent_corrected dosyas ikiye blnerek ilk yars eitim, ikinci yars test verisi olarak kullanldndan eitim seti toplam 250 000 satr iermektedir: mysql> select count(*) from yuzdeon_ilk250bin ; +----------+ | count(*) | +----------+ 47

| 250000 | +----------+ 1 row in set (0,37 sec)

7.3 KOLON (DEKEN) SEM Veri setinde toplam 41 adet deiken bulunmaktadr. Aadaki prensiplere uyarak bu say 9a indirilmitir: 1- Paketlerin sadece balk bilgisine deil ieriine de baklarak anlalacak alanlar da alnmtr (rnein bu yzden hot, su_attempted gibi alanlar alnmtr). 2- Parametrelerin birbirlerinden bamsz olanlar seilmitir. rnein root_shell, su_attempted, num_root alanlarnn tm birden alnmak yerine su_attempted alan alnmtr. 3- Parametrelerin baml deikeni etkilemeyecek olanlar seilmemitir. rnein src_bytes ve dst_bytes alanlar bu yzden alnmamtr. Verileri incelemek ve ikili hale getirmek iin ncelikle veriler SQL sunucusuna alnp aadaki kurallara uygun olarak ikili hale getirilmitir. kili hale getirmekle hem performans art hem de almalarda kolaylk olmas salanmtr, ayrca anlalrlk da arttrlmtr, yoksa ikili (binary) lojistik regresyonda baml deikenin iki dzeyli olmas yeterli olup, bamsz deikenler iin byle bir art bulunmamaktadr: protocol_type: Balantnn(connection, veri setindeki her satr bir balantdr) protokol tipini gsterir; tcp, udp, icmp deerlerinden birini alabilir. kili hale dnm: Tcp=1; udp veya icmp=0. service: Hedefteki a servisini gsterir(network service on the destination). kili hale dnm: Smtp, ftp, pop_3, ldap, login, imap4, auth, IRC, telnet, sql_net, exec, shell, klogin, kshell = 1; dierleri = 0.

48

flag: Balant durumunu gsterir. SF balantnn normal bir ekilde sonlandn, OTH ise balant takip iinin balantnn ortasnda baladn gsterir. kili hale dnm: SF veya OTH = 0; dierleri 1. land: Hedef ve kaynak IP/port bilgilerinin ayn olup olmadn gsterir. kili hale dnm: Hedef ve kaynak ip/port bilgileri ayn ise = 1; deilse 0. wrong_fragment: Hatal fragment saysn gsterir. kili hale dnm: Sfr ise=0; deilse=1. hot: Bir balantda altrlan kritik komut saysn gsterir. rnein sistem klasrne girmek, programlar oluturup altrmak gibi. kili hale dnm: Sfrdan byk ise 1; deilse 0. num_failed_logins: Hatal login ilemlerinin saysn gsterir. kili hale dnm: Sfrsa 0; deilse 1. su_attempted: Root kullancs haklarn elde etmek iin, su root komutunun denenip denenmediini gsterir. kili hale dnm: su root komutu denenmise 1 dier durumda 0. num_access_files: Kontrol ya da eriim izinlerini tutan kritik dosyalarda yaplan ilem saysn gsterir. kili hale dnm: Sfrdan byk ise 1; deilse 0. Yukardaki deiimler iin altrlan SQL komutlar: update yuzdeon_ilk250bin set protocol_type = '1' where protocol_type = 'tcp'; update yuzdeon_ilk250bin set protocol_type = '0' where protocol_type != '1'; update yuzdeon_ilk250bin set service = '1' where service in('smtp', 'ftp', 'pop_3', 'ldap', 'login', 'imap4', 'auth', 'IRC', 'telnet', 'sql_net', 'exec', 'shell', 'klogin', 'kshell' ); update yuzdeon_ilk250bin set service = '0' where service != '1'; 49

update yuzdeon_ilk250bin set flag = '0' where (flag = 'SF') or (flag = 'OTH') ; update yuzdeon_ilk250bin set flag = '1' where flag != '0'; update yuzdeon_ilk250bin set wrong_fragment = 1 where wrong_fragment > 0; update yuzdeon_ilk250bin set hot = 1 where hot != 0; update yuzdeon_ilk250bin set num_failed_logins = 1 where num_failed_logins != 0; update yuzdeon_ilk250bin set su_attempted = 1 where su_attempted > 0; update yuzdeon_ilk250bin set num_access_files = 1 where num_access_files > 0; update yuzdeon_ilk250bin set label = '0' where label = 'normal.'; update yuzdeon_ilk250bin set label = '1' where label != '0'; kili hale getirirken veri analizinin dikkatli yaplmas ve sonuca etkisi yksek oranda olan deikenlerin zellikle seilmesi gerekmektedir. rnein protocol_type deeri iin aada yaplan analizlere gre en az arlk icmp protokolnde olduundan icmp protokol ayr tutulmayp, udp ile birlikte alnmtr (tcp=1; udp veya icmp=0). Select count(*) from tbl_kdd ; => Sonu: 4898431 => Sonu: 194288 Select count(*) from tbl_kdd where protocol_type = 'udp'; => Sonu: 2940 Select count(*) from tbl_kdd where protocol_type = 'icmp'; => Sonu: 2833545 Select count(*) from tbl_kdd where protocol_type = 'icmp' and label != 'normal.'; Sonu: 2820782 Select count(*) from tbl_kdd where protocol_type = 'tcp'; Sonu: 1101928 Verilerin rnek grnts aada izelge 7.1de grlmektedir (en son kolondaki label bu kaydn-satrn- saldr olup olmadn tutmaktadr, saldrlar iin 1, normal kaytlar iin 0 deeri verilmitir) : Select protocol_type, service, flag, land, wrong_fragment, hot, num_failed_logins, su_attempted, num_access_files, label from yuzdeon_ilk250bin => Sonu: 1870598 Select count(*) from tbl_kdd where protocol_type = 'tcp' and label != 'normal.';

Select count(*) from tbl_kdd where protocol_type = 'udp' and label != 'normal.';

izelge 7.1. Veri seti rnek grnts.

50

1 0 0 1 0 0 0 1 1 1 1 1 0 0 0 1 0

1 protocol_type 1 service 0 flag 0 land 1 wrong_fragment

51 1 0 1 1 0 1 1 0 0 1 0 0 0 1 0 0 0 1 1 1 1 1 0 1 1

hot num_failed_logins su_attempted num_access_files label

7.4. MODELN OLUTURULMASI SPSS yazlmn kullanarak veri seti ikili lojistik regresyon ile analiz edildiinde aadaki sonular elde edilmitir:

izelge 7.2. Durum ileme zeti. Arlklandrlmam Durumlar Seilen Durumlar Analize Alnanlar Eksik Durumlar Toplam Seilmeyen Durumlar Toplam N 250000 0 250000 0 250000 Yzde 100,0 ,0 100,0 ,0 100,0

Yukardaki izelge 7.2 veri setindeki tm kaytlarn analiz iin kullanldn gstermektedir. Veri setinde 250 bin kayt vard, izelgede grld zere tm incelemeye alnmtr.

izelge 7.3. Baml deiken kodlamas.

Orjinal Deer 0 1 sel Deer 0 1

izelge 7.3 SPSSin, baml deiken iin, veri setindeki 0lar ikili (binary) 0 olarak , 1leri ise ikili 1 olarak aldn gstermektedir, ki byle olmas iin data seti nceden buna gre hazrlanmtr. nk incelenmek istenen konu saldr olma durumu olduundan saldr olma durumu 1, olmamas durumu ise 0 olarak kodlanmtr. Bu tamamen bir tercih meselesidir ve tamamen tersi de seilebilirdi. Fakat sonularn yorumunun kolay olmas iin genelde asl ilgilenilen cevap iin 1 kullanlmas ileri daha ok kolaylatrmaktadr.

52

Block 1: Method = Enter SPSS ktsndaki yukardaki ifade ise metot olarak giri (enter) seildiini yani admsal (stepwise) ya da hiyerarik metotlarn kullanlmadn gsterir.

izelge 7.4. Snflandrma tablosu. Tahmin label Gerek label Toplam Yzde Eik deeri 0,5 0 1 0 59805 1 11420 736 178039 Doruluk Yzdesi 84 99,6 95,1

izelge 7.4e bakldnda tm veri setinde doru snflandrlan yani saldr olup olmadnn doru olarak tahmin orannn % 95,1 olduu grlmektedir. Saldr olmayan birbirinden farkl toplam 59805+11420=71225 adet kayt olduu ve bunlarn 59805 tanesini yani % 84n modelin doru tahmin ettii grlmektedir.

53

izelge 7.5. Eitlikteki deikenler. B A d m 1a S.E. Wald df Sig. Exp(B)

a. 1. Admda ele alnan deikenler: protocol_type, service, flag, land, wrong_fragment, hot, num_failed_logins, su_attempted, num_access_files.

Yukardaki izelge 7.5 ise kullanlan deikenlerin hangilerinin hangi katsaylarla nihai modelde bulunacan gstermektedir. rnein tabloda service deikeninin katsaysnn (coefficent deerinin) -1,372 olmas demek deikendeki 1 birimlik artn(yani 0 yerine 1 olmasnn baka bir deyile http yerine telnet olmasnn) sonucun log odds (yani logit) deerini -1,372 orannda drdn gsterir. land ve wrong_fragment hari dier deikenlerin iinde mutlak deer olarak en byk katsayya -7,133 ile protocol_type ; en kne ise -0,267 ile num_access_files deikenlerinin sahip olduu grlmektedir. Bu da bir kaydn saldr olup olmadn belirlemede en byk belirleyici role sahip parametrenin protocol_type olduunu; en az arln ise olduunu gstermektedir. Parametrelerin S.E.(Standart Error) deeri ise tahminin ne kadar stabil olduunun lsdr ve ne kadar dkse o kadar tutarl sonular alnr. rnein land ve wrong_fragment hari dier tm deikenlerin ortalamas yaklak 0,4 iken bu iki deikenin ortalamas yaklak 5 civarndadr, bu da bu iki deikenin stabiliteyi ne kadar fazla bozduunu gstermektedir. Wald istatistii deikenlerin hangilerinin model iin anlaml olduunu hangilerinin gereksiz olduunu gstermektedir. Deikenler iinde wald deeri sfra ok yakn 54 num_access_files deikeninde

olan land ve wrong_fragment deikenlerinin modelde gereksiz olduu sonucu kmaktadr. Tablodaki Sig. kolonu ise deikenin anlamllk dzeyini gstermekte olup SPSSte varsaylan olarak p<0,05 olarak almaktadr. Sig deeri sfra ne kadar ok yaknsa parametrenin modeldeki anlamllk dzeyi o kadar fazla demektir. Buna gre Sig deeri 1 olan land ve wrong_fragment deikenlerinin modelde anlaml olmadklar sonucu kmaktadr. Sig, wald ve SE deerlerinden anlald zere land ve wrong_fragment deikenleri nihai modelde bulunmayacaklardr. Buna gre nihai model aadaki gibi olacaktr: Regresyon eitlii aadaki gibi olmak zere: g(x) = 0 + 1. X1 + 2. X2 ++ k. Xk g(x) = 2,843 + protocol_type*(-7,133) + + num_failed_logins*3,803 service*(-1,372 ) + + flag*6,882 + +

hot*6,454

su_attempted*2,610

num_access_files*(-0,267) P = 1/(1 + e-g(x)) 7.5 MODELN UYGULAMASINA RNEK rnein aadaki gibi bir kayt iin modelin rettii sonuca baklrsa: protocol_type=tcp, service=telnet, flag=S0, hot=0, num_failed_logins=0, su_attempted=0, num_access_files=0, label=neptune. Kaydn label yani saldr olup olmad ile ilgili bilgi alnacak alanda neptune yazmaktadr. Yani bu bir neptune saldrsdr.

55

Her parametre iki kategorili hale evrilip g(x) fonksiyonunda yerine koyulursa: g(x) = 2,843 + 1*(-7,133) + 1*(-1,372 ) + 1*6,882 + 0*6,454 + 0*3,803 + 0*2,610 + 0*(-0,267) = 1,22 P = 1/(1 + e-g(x)) = 1/(1 + e-1,22) = 0,7721 Sonuta bu kaydn yaklak % 77 ihtimalle saldr olduu sylenebilir. Modelde eik(cutoff) deeri % 50 olduundan ve 77>50 olduundan model, sonu iin % 100 dorulukla bu bir saldr demektedir. 7.6 MODELN TEST VER SETNDE UYGULAMASI Aadaki izelge 7.6 ise test iin kullanlan veri setinde (KddCupp-99 veri setinin % 5ini ieren yaklak 250bin kayt) modelin uygulanmas ile elde edilen sonular gstermektedir. Model test verileri zerinde gerekte saldr olan kaytlar % 99,99 orannda doru saptayabilirken, gerekte saldr olmayan kaytlarda ise % 42 orannda doru sonu retebilmektedir.

izelge 7.6. Test verisi snflandrma tablosu. Tahmin label Gerek label Toplam Yzde Tahmin >= 0,5 ise saldr kabul edildi. 0 1 0 10912 1 15141 11 217957 Doruluk Yzdesi 42 99,9 93,8

Yukardaki tablodaki verileri elde etmede kullanlan SQL komutlar aada grlebilir (ihtimal adndaki yeni alan kolonda modelin rettii sonu depolanmaktadr): 56

UPDATE yuzdeon_son250bin SET ihtimal = 1/(1+exp( -1* ( 2.843 + protocol_type*(-7,133) + service*(-1,372 ) + flag*6,882 + hot*6,454 + num_failed_logins*3,803 + su_attempted*2,610 + num_access_files*(-0,267) ) ) ) SELECT count(*) AND label = 1 Sonu: 217957 SELECT count(*) AND label = 0 Sonu: 15141 SELECT count(*) AND label = 0 Sonu: 10912 SELECT count(*) AND label = 1 Sonu: 11 SELECT count(*) FROM yuzdeon_son250bin Sonu: 244021 Toplam hata oran: (15141+11)/244021 = 0,0621 Toplam doru oran: (10912 + 217957) / 244021 = 0,9379 Gerekte saldr olmayan kaytlarda doruluk oran: 10912/(10912 + 15141) = 0,4188 Gerekte saldr olan kaytlarda doruluk oran: 217957/(217957 + 11) = 0,9999 FROM yuzdeon_son250bin WHERE ihtimal < 0,5 FROM yuzdeon_son250bin WHERE ihtimal < 0,5 FROM yuzdeon_son250bin WHERE ihtimal >= 0,5 FROM yuzdeon_son250bin WHERE ihtimal >= 0,5

57

BLM 8 SONULAR Sonu olarak denilebilir ki modelin analiz ettii bir kayt gerekte bir saldr ise bunun % 99un zerinde bir ihtimalle saldr olduu bulunabilmektedir. Bu oran ok yksek bir baar orandr. Fakat gerekte saldr olmayan bir kaydn analizinde modelin baar oran biraz dk (modelin bulunduu eitim veri setinde % 84. Test veri setinde ise % 42). Bu da modelin srekli saldrlara maruz kalan, fakat gvenlik seviyesi ok yksek olmas gereken, hibir saldrya tahamml olmayan, yanl alarmlarla (false-pozitif) uraacak yeterli eleman olan, kritik neme sahip a iletim merkezleri iin son derece uygun bir model olduunu gstermektedir. leriki almalarda gnmz internet trafii verilerinin zelliklerini de dikkate alp bu modeli gelitirerek bunu kullanan bir yazlm retilip gerek hayatta kullanlabilir, ya da bu almadaki ile ayn veri seti ve parametreleri kullanarak yapay sinir alar ile de bir model oluturup iki modelin karlatrlmas salanabilir.

58

KAYNAKLAR 1. Mok M. S., Sohn S. Y., Ju Y. H., "Random effects logistic regression model for anomaly detection", Department of Information and Industrial Engineering, Yonsei University, Expert Systems with Applications 37 (2010): 71627166 (2010). 2. Yu K. M., Wu M. F., Wong W. T., "Protocol-Based Classification for Intrusion Detection" Chung Hua University, Wseas Transactions On Computer Research 3 (3): 135-141 (2008). 3. Gates C., McNutt J. J., Kadane J. B., and Marc I. Kellner M. I., "Scan Detection on Very Large Networks Using Logistic Regression Modeling", Carnegie Mellon University, Proceedings of the 11th IEEE Symposium on Computers and Communications (ISCC'06) , Pittsburgh, 14 (2006). 4. Dagon D. et al., "HoneyStat: Local Worm Detection Using Honeypots", Recent Advances in Intrusion Detection, 3224: 39-58 (2004). 5. nternet: Anonim, "A Gvenlii", http://tr.docdat.com/docs/index-99198.html (2013). 6. Tan H., Akta Z. A., "Bir Kuruluun Bilgi Sistemi Gvenlii in Bir Yaklam, 4. A Ve Bilgi Gvenlii Sempozyumu, Ankara, 34-40 (2011). 7. Karaaslan E., Akn G., Demir H., "Kurumsal Alarda Zararl Yazlmlarla Mcadele Yntemleri ", Akademik Biliim 2008 Bildiriler, anakkale, 225-230 (2008).

8. nternet: Karaaslan E., Kamps A Ynetimi, Ege niversitesi BTAM Kamps Network Ynetim Grubu, http://www.karaarslan.net/bildiri /KampusAgYonetimi.pdf (2006). 9. nternet: Anonim, "OpenVpn Kurulumu", http://www.turkcenet.org/el-dosyalarmainmenu-38/openvpn-kurulumu-mainmenu-72.html?showall=1 (2013). 10. nternet: Gnen S., zel Sanal A ve Servis Kalitesi (VPN- Virtual Private Network QoS- Quality of Service) http://okul.selyam.net/docs/index23409.html (2013). 11. nternet: Anonim, "A Gvenlii Nasl Salanr", http://www.redbilisim.com/ sayfa.aspx?id=42 (2013).

59

12. nternet: Kaya S., "Vpn balants kurma ip adresini farkl gsterme(Virtual Private Network)", http://secotech.wordpress.com/ (2013). 13. nternet: Anonim, "How VPN Works" http://www.alliancedatacom.com/howvpn-works.asp (2011). 14. nternet: Cisco Support Community, "Cisco PIX 500 Series Security Appliances", http://www.cisco.com/en/US/products/hw/vpndevc/ps2030 /products_configuration_example09186a008046f307.shtml (2013). 15. Kmr Y. S., Ayfer C. U., "Linux ile A Ynetimi", Bilkent niversitesi, Bilgisayar Merkezi, Akademik Biliim 2007 Bildiriler Kitab, Ktahya, 253-260 (2007). 16. nternet: Anonim, http://cehturkiye.com/fw-dmz.png (2011). 17. nternet: Altun H., "FortiGate 110C Firewall Nasl Kurulur Ayarlar Nasl Yaplr" http://www.mshowto.org/fortigate-110c-firewall-nasil-kurulurayarlari-nasil-yapilir.html (2013). 18. nternet: Virtual Graffiti Inc., http://www.avfirewalls.com/images/FortiGate/ deployment-enterprise.gif (2011). 19. nternet: Seral D., Kuzey Kbrs Geni Bant Kullanclarnn Davranlar, Biliim Sistemleri Mhendislii Blm, Uluslararas Kbrs niversitesi, http://www.emo.org.tr/ekler/8dd5e44f08b1423_ek.pdf (2010). 20. Gven E. N., Sarolu ., "Saldr Tespit Sistemleri zerine Bir nceleme", 3. Uluslararas Katlml Bilgi Gvenlii Ve Kriptoloji Konferans Bildiriler Kitab, Ankara, 273-278 (2008). 21. Seral D., alkan B., "Pasif A Verileri zerinden Dzensizlik Tespiti", 3. Uluslararas Katlml Bilgi Gvenlii Ve Kriptoloji Konferans, Ankara, 152156 (2008). 22. nternet: Interactive Systems "Intrusion Detection" http://www.interactivesys.ne t/intrusion-detection.html (2011). 23. nternet: en A., Parametrik Olmayan statistiksel www.deu.edu.tr/ userweb/ali.sen/dosyalar/HAFTA1.pdf (2011). Teknikler,

24. nal M. E., Topuz D., Uan O., "Dorusal Olaslk ve Logit Modelleri ile Parametre Tahmini", Hacettepe niversitesi Sosyoekonomi Dergisi 2006-1 4951 (2006). 25. nternet: Demir M., Analitik Verilerin Deerlendirilmesi, http://web.adu.edu.tr /user/mdemir/K214/K21402analitikveridegerlendirme090301.pdf (2009).

60

26. nternet: Caymaz C., Regresyon analizi, http://www.makaleler.com/egitimmakaleleri/regresyon-analizi.htm (2013). 27. nternet: Legendre, A. M., Nouvelles mthode pour la dtermination des orbites des comtes - Sur la Mthode des moindres quarrs" www.bibnum.education.fr/math%C3%A9matiques/alg%C3%A9bre/legendreet-la-m%C3%A9thode-des-moindres-carr%C3%A9s# (2013). 28. nternet: School of Mathematics and Statistics University of St Andrews, "Johann Carl Friedrich Gauss", www-history.mcs.st-and.ac.uk/Biographies/Gauss.html (2013). 29. nternet: Xavier University, "Carl Friedrich Gauss - Theoria Combinationis Observationum Erroribus Minimis Obnoxiae, www.cs.xu.edu/math/ Sources/Gauss/Gauss.html (2013). 30. nternet: Yalta A. T., Balanm zmlemesi Temel Kavramlar, http://www.acikders.org.tr/pluginfile.php/2261/mod_resource/content/2/ekono metri1-tuba-06-baglanim-cozumlemesi-temel-kavramlar.pdf (2013). 31. nternet: Yalta A. T., Ekonometri 1 Ders Notlar, http://yalta.etu.edu.tr/files/ ekonometri1-kitap-surumu-%28s2,0%29.pdf (2013). 32. nternet: Anonim, "George Udny Yule Presentation", http://www.aprendermat.info/turquia/historyDetail.htm?id=Yule (2013). 33. nternet: Otrar M., "statistik Biliminin Ksa Tarihi", www.mustafaotrar.net/ teknikler/001_ist_tarihi.htm (2013). 34. Fisher, R.A., The goodness of fit of regression formula, and the distribution of regression coefficients, J. Royal Statist. Soc., 85: 597-612 (1922). 35. Fisher, R.A., Statistical Methods For Research Workers, 5, Cosmo Publications, New Delhi, 96-109 (2007). 36. nternet: Gltekin F., "Regresyon Analizi" www.fikretgultekin.com (2012). 37. nternet: Golayolu A., "En Kk Kareler Yntemi", http://www.baskent.edu.tr /~afet/dersler/genel_matematik_2/dersnotlari_listesi/ DERS_%207.pdf (2011). 38. nternet: statistik Analiz, "Regresyon Analizi", http://istatistikanaliz.com/ regresyon_analizi.asp (2012). 39. nternet: Anonim, http://www.akademikdestek.net/info/ korelasyon_regresyon.doc (2012). "Korelasyon",

61

40. nternet: Tan M., Karada M., Atom Fizii Laboratuvar Deney Klavuzu, http://gef-ortaogretim-fenmatematik-fizik.gazi.edu.tr/posts/download?id=28993 (2013). 41. nternet: Dariga A. ., En Kk Kareler Yntemi (2013). 42. nternet: Anonim, "Differentiation http://en.wikipedia.org/ wiki/Derivative (2011). And www.matemasuk.com The Derivative",

43. Cokun S., Kartal M., Bircan H., Cokun A., Lojistik Regresyon Analizinin ncelenmesi ve Di Hekimliinde Bir Uygulamas Cumhuriyet niversitesi Di Hekimlii Fakltesi Dergisi, 7 (1): 42-44 (2004). 44. Girginer N., Canku B., Tramvay Yolcu Memnuniyetinin Lojistik Regresyon Analiziyle llmesi: Estram rnei" Celal Bayar niversitesi ..B.F Ynetim Ve Ekonomi Dergisi 15 (2008-1): 185-187 (2008). 45. Agresti, A., An Introduction to Categorical Data Analysis, 423, John Wiley and Sons Inc., New Jersey, 103 (1996). 46. Iok, E., Bebeklerin Doum Arlklarn ve Boylarn Etkileyen Faktrlerin Lojistik Regresyon Analizi le Aratrlmas, VI. Ulusal Ekonometri ve statistik Sempozyumu Bildiri Kitab, Gazi niversitesi, Ankara, 3 (2003). 47. Altnta T., Yapay Baml Deikenli Tahmin Modelleri ve Bir Uygulama, Yksek Lisans Tezi, Ondokuz Mays niversitesi Fen Bilimleri Enstits, Samsun, 13-17 (2006). 48. Aydn N., Glge Deikenlerin Kullanm Ve eitli Uygulamalar, Yksek Lisans Tezi, stanbul niversitesi Sosyal Bilimler Enstits, stanbul, 3 (2005). 49. Altnta T., Salam V., Uslu V. R., "Logit Ve Probit Analizle Bir Marka Bamll Aratrmas", TK 16. statistik Aratrma Sempozyumu Bildiriler Kitab, Trkiye statistik Kurumu 143-144 (2007). 50. nternet: Smblolu K., "Lojistik Regresyon Analizi" http://78.189.53.61/-/bs/ess/k_sumbuloglu.pdf (2011). 51. Kaptan . B., Bireysel Kredilerin Risk Ve Tketici Davran Asndan Analizi, Doktora Tezi, Ankara niversitesi Sosyal Bilimler Enstits, Ankara, 174 (2011). 52. nternet: Bykkara G., "Kredi Riski", http://www.acikders.org.tr /pluginfile.php/3496/mod_resource/content/2/Kredi_ Riski.pdf (2012). 53. Polat F., Yemeklik Ya Sektrnde Tketici Davranlarn Etkileyen Faktrlerin Analizi, Doktora Tezi, Ankara niversitesi Fen Bilimleri Enstits, Ankara, 28-31 (2011). 62

54. zdamar, K., Paket Programlar ile statistiksel Veri Analizi, Kaan Kitabevi, Eskiehir, 1: 475-477 (2002). 55. Karahan S., Multinomial Logit Modeller Ve Bir Uygulama, Yksek Lisans Tezi, Hacettepe niversitesi Salk Bilimleri Enstits, Ankara, 5-7, 25-27 (2005). 56. nternet: Aydn M. A., rencik B., Bilgisayar Alarnda Saldr Tespiti iin statistiksel Yntem Kullanm Ve Bir Karma Saldr Tespit Sistemi Tasarm, http://www.emo.org.tr/ekler/3eaa6722798a773_ek.pdf (2013). 57. nternet: Erol M., Saldr Tespit Sistemlerinde statistiksel Anormallik Belirleme Kullanm http://web.itu.edu.tr/~orencik/SizmaBelirlemedeAnormallikTespiti Kullanimi.pdf (2005).

63

ZGEM dris BUDAK 1981 ylnda Konya ili Akehir ilesinde dodu; orta renimini Akehir Anadolu Lisesinde tamamlad. Liseye Konya Meram Fen Lisesi'nde balayp, Akehir Seluklu Lisesinde bitirdi. 1999 ylnda Ege niversitesi Bilgisayar Mhendislii Blmnde renime balayp 2003 ylnda mezun oldu. 2004-2008 yllar arasnda bilgisayar yazlm reticisi olarak alt. 2009 ylnda Karabk niversitesi Bilgi lem Daire Bakanlnda sistem-a sorumlusu olarak greve balad ve halen ayn yerde a sorumlusu olarak almaya devam etmektedir. 2013 ylnda Karabk niversitesi Fen Bilimleri Enstits Bilgisayar Mhendislii Anabilim Dalnda yksek lisans programn tamamlad. ADRES BLGLER Adres : Karabk niversitesi Bilgi lem Daire Bakanl Balklarkayas Mevkii / KARABK Tel E-posta : (555) 868 2873 : idrisbudak@karabuk.edu.tr

ALIMANIN BLDR OLARAK SUNULDUU YERLER 1. Budak ., en B., Yldrm M. Z., "Lojistik Regresyon ile Bilgisayar Alarnda Anomali Tespiti", Akademik Biliim 2013, Antalya (2013).

64