Clear Sky Science
Kanıta dayalı, jargonu hafif açıklamalar

Clear Sky Science · tr

Ağı Güvenlik Alarmları için DBSCAN Algoritması ve Rete Kural Çıkarımı Temelli Çok Katmanlı Tarama Yöntemi

· Dizine geri dön

Daha akıllı alarmlar neden önemli?

Günümüzün kurumları—hastanelerden bankalara, bulut sağlayıcılardan kentsel altyapıya kadar—artık hiç uyumayan ağlara dayanıyor. Bu ağlar, insan analistlerin gerçekçi olarak inceleyemeyeceği kadar çok sayıda alarm üreten güvenlik araçları tarafından izleniyor. O selin içinde gerçek ihlalleri veya ciddi zaafiyetleri işaret eden birkaç kritik alarm gömülü. Bu makale, bu önemli sinyalleri gürültüden ayırmanın yeni bir yolunu sunuyor; yanlış alarmları azaltırken gerçek saldırıları daha iyi yakalıyor ve bunu çok az hesaplama gücüyle yapıyor.

Dağınık kayıtlardan temiz, kullanılabilir veriye

Ağ alarmları, her biri kendi formatı ve ayrıntı düzeyi olan birçok farklı cihaz ve satıcıdan gelir. Yazarlar önce bu karmaşayı dikkatli bir temizleme ve standartlaştırma adımıyla ele alıyor. Tüm gelen alarmlar ortak bir yapıya dönüştürülüyor ve yinelenenler, eksik alanlar ve bariz hatalar ayıklanıyor. Örneğin, aynı saldırı hakkında birkaç cihazdan birkaç saniye içinde gelen tekrarlı uyarılar, tek ve daha zengin bir kayıtta birleştiriliyor. Sonuç, neyin olduğuna, ne zaman olduğuna ve hangi sistemlerin dahil olduğuna dair en önemli bilgileri koruyan; sonraki analizleri yavaşlatacak gereksiz ayrıntıları ise kaldıran düzenli bir alarm veritabanı oluyor.

Figure 1
Figure 1.

Zamandaki desenlerin gerçekten problemi ortaya çıkarmasına izin vermek

Temizlenmiş veri bile bunaltıcı olabilir; bu yüzden bir sonraki katman zamanda doğal gruplaşmaları arıyor. Yöntem, ilgili alarmların birbirine yakın göründüğü dönemleri arayan yoğunluk tabanlı kümeleme adı verilen bir tekniğe dayanıyor; izole veya rastgele alarmları ise gürültü olarak kabul ediyor. Bu, önceden kaç tür olay olduğunu tahmin etme gereğini ortadan kaldırıyor. Sistem ayrıca üst üste binen kayan zaman pencereleri kullanıyor, böylece hızlı hareket eden saldırılar yanlışlıkla farklı partilere bölünmüyor. Dikkatle ayarlandığında, bu adım en bilgilendirici etkinlik patlamalarını koruyor ve ham akışlardaki yanıltıcı arka plan gürültüsünü yüzdeye kadar üçte bir oranında atabiliyor.

Eksik parçalarla başa çıkmayı öğreten kurallar

Gerçek dünya ağları kusursuz değildir: paketler düşer, cihazlar hatalı davranır ve bazı alarmlar hiç ulaşmaz. Geleneksel kural motorları eksiksiz bilgi bekler ve bir parça eksikse basitçe başarısız olurlar. Burada yazarlar klasik Rete kural sistemini yeniden tasarlıyor; her kural koşuluna ne kadar önemli olduğunu yansıtan bir ağırlık veriliyor. Tüm ayrıntıların kusursuzca eşleşmesini talep etmek yerine, motor zaman içinde yeterince önemli parçanın hizalanıp hizalanmadığını kontrol ediyor. Bu “bulanık” yaklaşım, örneğin erken bir sondaj veya küçük bir sensör uyarısı kaydedilmemiş olsa bile saldırı desenini tanımaya izin veriyor. Aynı zamanda nadiren kullanılan veya uzun süredir boşta kalan kural dalları budanarak bellek kullanımı düşük tutuluyor.

Figure 2
Figure 2.

Kendini yeniden şekillendiren sinir ağı

Desenler ve kurallar alarmları daha anlamlı özelliklere dönüştürdükten sonra, son aşama hangi olayların gerçek tehdit hangilerinin zararsız olduğuna karar vermek için bir sinir ağı kullanıyor. Tasarlandıktan sonra sabit kalan birçok makine öğrenimi modelinin aksine, bu ağ eğitim sırasında gizli katmanlarını büyütebilir veya küçültebilir. Küçük başlar, performansı açıkça iyileştiriyorsa birimler ekler ve katkısı olmayan bölümleri budar. Bu uyarlanabilir tasarım, modelin hem basit hem de karmaşık veri kümelerine tahmin yapmadan uyum sağlamasına yardımcı oluyor; aşırı uyum riskini azaltıyor ve eğitim süresini kısaltırken doğruluğu yüksek tutuyor.

Denemeler pratikte ne gösteriyor?

Ekip, çerçevelerini bilinen kamu izinsiz giriş veri setlerinde ve büyük bir gerçek dünya şirket alarm koleksiyonunda değerlendirmiş. Tam kümeleme, özel IoT alarm sistemleri ve ayarlanmış sinir ağları dahil olmak üzere son dört gelişmiş yöntemle karşılaştırıldığında, yeni çok katmanlı boru hattı öne çıkıyor. Yaklaşık yüzde 96,6 gerçek pozitif oranına ulaşıyor; bu, neredeyse tüm gerçek saldırı kökenlerini doğru şekilde işaretlediği anlamına geliyor ve aynı zamanda gürültülü veya alakasız alarmları yaklaşık yüzde 18,7 oranında tutuyor. Bir diğer dikkat çekici nokta, tüm bunları rakip yaklaşımlardan çok daha düşük olarak yüzde 1’in altında CPU kullanımıyla yapması. İstatistiksel testler, bu kazanımların şansa bağlı olmadığını; yöntemin kümeleme, kural çıkarımı ve uyarlanabilir öğrenmeyi nasıl birleştirdiğine dayandığını doğruluyor.

Günlük güvenlik ekipleri için bunun anlamı

Günlük olarak alarmlarda boğulan güvenlik analistleri için bu çalışma, hem daha doğru hem de sınırlı donanıma daha az yük getiren araçlara işaret ediyor. Veriyi temizleyerek, zaman içinde akıllıca gruplayarak, eksik parçaları tolere ederek ve kendini ayarlayan bir sinir ağı kullanarak çerçeve, gerçekten dikkat edilmeyi hak eden nispeten küçük alarm kümesini vurgulamaya yardımcı oluyor. Bu, gerçek saldırılara daha hızlı yanıt, yanlış ipuçlarını kovalamaya harcanan daha az zaman ve mevcut ekipmanın daha iyi kullanımı demek. Ağlar boyut ve karmaşıklık olarak büyüdükçe, böyle çok katmanlı tarama dijital altyapıyı koruyan kişileri bunaltmadan güvenli tutmanın önemli bir bileşeni olabilir.

Atıf: Ni, L., Zhang, S., Huang, K. et al. Multi-level screening method for network security alarms based on DBSCAN algorithm and rete rule inference. Sci Rep 16, 5632 (2026). https://doi.org/10.1038/s41598-026-36369-6

Anahtar kelimeler: ağ güvenliği, izinsiz giriş tespiti, alarm filtreleme, makine öğrenimi, siber saldırı tespiti