Clear Sky Science
Kanıta dayalı, jargonu hafif açıklamalar

Clear Sky Science · tr

BERT-spaCy hibrit NLP ve blok zinciri destekli uyarlanabilir CTI ile IOC çıkarımı ve tehdit tahmini

· Dizine geri dön

Daha akıllı siber savunmalar neden önemli

Günlük yaşam artık hastane kayıtlarından çevrimiçi bankacılığa, akıllı evlerden endüstriyel robotlara kadar dijital sistemlere dayanıyor. Buna karşın siber saldırılar birçok savunmanın başa çıkabildiğinden daha hızlı ve daha sofistike biçimde artıyor. Bu makale, saldırıları daha erken tespit etmeyi, yeni olaylardan otomatik olarak öğrenmeyi ve kuruluşların uyarı işaretlerini bozulma korkusu olmadan güvenle paylaşabilmesini sağlamayı amaçlayan gelişmiş ama pratik bir siber tehdit istihbaratı yaklaşımı sunuyor.

Figure 1
Figure 1.

Dağınık ipuçlarını net uyarı işaretlerine dönüştürmek

Modern saldırılar e-postalarda, güvenlik kayıtlarında, sosyal medya gönderilerinde ve teknik raporlarda dağınık izler bırakır. Bu izler, ele geçirildiğine işaret eden göstergeler olarak bilinir ve şüpheli web adresleri, IP numaraları, kötü amaçlı yazılım adları ve dosya parmak izleri gibi öğeleri içerir. Yazarlar, üç tekniği birleştiren bir hibrit metin-analiz motoru geliştirir: çok yapılandırılmış öğeler için el ile hazırlanmış desenler, genel metin işleme için hızlı bir dil aracı kiti (spaCy) ve bağlamı anlamak için güçlü bir derin öğrenme modeli (BERT). Birlikte çalıştıklarında, dil gürültülü veya gayri resmi olsa bile bu araçlar yapılandırılmamış yazılardan yaklaşık %95 doğrulukla yararlı tehdit ipuçları çıkarabiliyor.

Makineleri saldırıları tanımaya ve uyum sağlamaya öğretmek

Çıkarılan ipuçları tek başına yeterli değil; sistem bir olayın muhtemelen zararsız mı yoksa tehlikeli mi olduğuna karar vermelidir. Bunu yapmak için çerçeve, BERT, bir geriye dönük ağ (LSTM) ve daha basit bir olasılıksal yöntem de dahil olmak üzere bir makine öğrenimi modelleri topluluğu kullanır. Her model farklı güçlü yönler getirir — derin bağlam anlayışı, sıra (sequence) kavrama veya küçük örneklerde sağlamlık — ve bunların görüşleri güven ağırlıklı bir oyla birleştirilir. Sistem öğrenmeye devam edecek şekilde tasarlanmıştır: yeni etiketlenmiş örnekler geldiğinde iç parametrelerini sıfırdan başlatmadan günceller. Bir yıllık simüle edilmiş işletme süresince bu uyarlanabilir yaklaşım tespit doğruluğunu %75'ten %93'e yükseltir ve özellikle gerçek saldırıların nadir olduğu dengesiz verilerde yanlış alarmları azaltır.

Değiştirilemez bir kayıtla güveni sağlamlaştırmak

Siber savunmada kalıcı bir sorun güven: kuruluşlar, paylaştıkları tehdit bilgilerinin sonradan değiştirilmesinden, kötüye kullanılmasından veya itiraz edilmesinden çekinebilir. Bunu ele almak için çerçeve, hafif bir blok zinciri esinli defter ekler. Her işlenen rapor — çıkarılan ipuçları, sistem kararı ve gözlem zamanı — önceki bloğa bağlı kriptografik bir blok içine mühürlenir ve sessizce yeniden yazılması son derece zor bir denetim izi oluşturur. Testlerde zincirde kasıtlı müdahale güvenilir biçimde tespit edilmiştir. Tasarım sade ve tek bir düğümde çalıştığı için, her kayıt için sadece birkaç milisaniye ek yük getirir ve sistemi yoğun güvenlik operasyon merkezleri için yeterince hızlı tutar.

Figure 2
Figure 2.

Farklı dijital ortamlarda güvenilirliği test etmek

Siber savunmalar genellikle bir veri kümesinde iyi performans gösterir ama ortam değiştiğinde tökezler. Bu nedenle yazarlar sistemlerini saldırı türleri ve desenleri bakımından farklılık gösteren iki yaygın kullanılan ağ trafiği koleksiyonunda test eder. Bir modelin veri kümeleri arasında taşındığında ne kadar tutarlı performans gösterdiğini ölçmek için bir “veri kümesi aşırı dayanıklılık indeksi” tanıtırlar. BERT tabanlı bileşen bu ölçekte neredeyse mükemmel puan alır, LSTM’den biraz daha iyi ve daha geleneksel yöntemleri açıkça geride bırakır. Kapsamlı simülasyonlar ve etki büyüklüğü analizleri dahil detaylı istatistiksel kontroller, bu kazanımların tesadüfe bağlı olma olasılığının düşük olduğunu ve gürültülü, dengesiz koşullar altında da kararlı kaldığını gösterir.

Günlük güvenlik için ne anlama geliyor

Basitçe söylemek gerekirse bu çalışma, dağınık insan yazımı raporları ve ham ağ izlerini canlı, güvenilir bir erken uyarı sistemine nasıl dönüştürebileceğini gösteriyor. Gelişmiş dil anlayışı, uyarlanabilir öğrenme ve tahrifatı belli eden bir defteri birleştirerek çerçeve tehditleri daha doğru tespit eder, daha hızlı yanıt verir — rapor demetleri başına işleme süresini yaklaşık yarıya indirir — ve görülenlerin ve verilen kararların güvenilir bir geçmişini korur. Bankalar, hastaneler, endüstriyel tesisler ve nesnelerin interneti ortamları için böyle bir sistem, statik kural setlerinin yakalamasını beklemek yerine yeni saldırılar ortaya çıktıkça gelişmeye devam eden paylaşılan, şeffaf bir siber savunma omurgası sağlayabilir.

Atıf: Mishra, S., Alfahidah, R.A. & Alharbi, F. BERT-spaCy hybrid NLP and blockchain-enhanced adaptive CTI for IOC extraction and threat prediction. Sci Rep 16, 8147 (2026). https://doi.org/10.1038/s41598-025-34505-2

Anahtar kelimeler: siber tehdit istihbaratı, kötü amaçlı yazılım tespiti, blok zinciri güvenliği, makine öğrenimi, ağ saldırısı