Makine öğrenmesi tabanlı web uygulama güvenlik duvarı

Abstract

İnternet ve bilgisayar sistemleri günlük hayatın vazgeçilmez bir parçasıdır. Teknolojinin gelişmesi ve dijital dönüşümle birlikte web uygulamalarının da sayısı artmıştır. Web uygulamaları geliştirilirken güvenli olarak geliştirilmemeleri, zafiyet içermeleri ve saldırganlar tarafından kolayca erişilebilir olmaları nedeniyle güvenlik yönünden risk altındadır. Web uygulamalarını saldırılardan korumak amacıyla web uygulama güvenlik duvarı kullanılmaktadır. Web uygulama güvenlik duvarlarında imza tabanlı ve anomali tabanlı yöntemler kullanılmaktadır. İmza tabanlı teknik ile imza veri tabanındaki saldırılar ile karşılaştırılarak sadece bilinen saldırılar engellenebilirken, anomali tabanlı teknikte makine öğrenmesi yapay zeka tabanlı yöntemler ile sistemin normal davranışları belirlenerek anomali durumlar tespit edilebilmekte böylece sıfırıncı gün olarak adlandırılan bilinmeyen saldırılar da engellenebilmektedir. Bu tez çalışmasında doğal dil işleme ve makine öğrenmesi teknikleri kullanılarak anomali tabanlı bir model önerilmiştir. Öznitelik çıkarma işlemi olarak karakter n-gram ve tf-idf modelleri kullanılmıştır. Ayrıca karakter n-gram ve kelime n-gram modelleriyle farklı deneysel çalışmalar gerçekleştirilerek sonuçlar karşılaştırılmıştır. Deney sonuçlarına göre önerilen karakter n-gram ve doğrusal destek vektör makineleri modeliyle %99.52 oranıyla en yüksek doğruluk oranıyla saldırılar tespit edilmiştir.Internet and computer systems are an indispensable part of daily life. The number of web applications has increased with the development of technology and digital transformation. Web applications has high risk for security because applications not developed securely, contains vulnerabilities and easily accessible by hackers. Web application firewall is used to protect web applications from attacks. Signature-based and anomaly-based methods are used in web application firewalls. While with the signature-based technique, only known attacks can be prevented by comparing the attacks in the signature database, in the anomaly-based technique, the normal behavior of the system can be determined with machine learning and artificial intelligence-based methods, and anomaly situations can be detected, so that unknown attacks called zero-day can be prevented. In this thesis, an anomaly-based model is proposed using natural language processing and machine learning techniques. Character n-gram and tf-idf models were used as feature extraction process. In addition, different experimental studies were carried out with the character n-gram and word n-gram models and the results were compared. According to the results of the experiment, attacks were detected with the highest accuracy rate of 99.52% with the proposed character n-gram and linear support vector machines model.