Clear Sky Science
Kanıta dayalı, jargonu hafif açıklamalar

Clear Sky Science · tr

Geliştirilmiş örnekleme teknikleriyle hibrit derin öğrenme çerçevesi kullanarak HACDT‑Net ve TRBM‑Net ile saldırı tespiti

· Dizine geri dön

Neden daha akıllı çevrimiçi korumalar önemli

Her çevrimiçi alışveriş yaptığınızda, bir film izlediğinizde veya akıllı bir ev cihazına bağlandığınızda verileriniz, saldırganların sürekli olarak yokladığı ağlardan geçer. Bu saldırıların çoğu engellenir, ancak bazıları—özellikle geleneksel savunmaların tanıyamadığı nadir veya yepyeni türler—sızar. Bu makale, hem yaygın hem de nadir saldırıları gerçek zamanlı olarak tespit edebilen iki gelişmiş yapay zeka “koruyucusunu” inceliyor; bunlar günümüz interneti ve Nesnelerin İnterneti (IoT) cihazlarının gürültülü, dengesiz trafiğinde bile etkili olacak şekilde tasarlanmıştır.

Figure 1
Figure 1.

Gizli ve nadir saldırıların zorluğu

Günümüzün saldırı tespit sistemleri ağ trafiğini izler ve her bağlantının zararsız mı yoksa saldırgan mı olduğuna karar vermeye çalışır. Eskimiş yöntemler, bilinen suçluların vesikalık fotoğrafları gibi sabit imzalara dayanır; bu da yeni taktikler ve ince saldırılarla başa çıkmalarını zorlaştırır. Derin öğrenme veriden doğrudan örüntüler öğrenebilir, ancak iki büyük engelle karşılaşır. Birincisi, ağ günlükleri ciddi şekilde dengesizdir: her nadir saldırı için milyonlarca normal bağlantı vardır. Böyle verilerle eğitilen bir model kolayca her şeyi güvenli ilan etmeyi “öğrenir” ve ilgilendiğimiz olayları kaçırır. İkincisi, saldırılar hem tek bir paketin yapısında hem de etkinliğin zaman içinde nasıl geliştiğinde ortaya çıkar. Birçok model ya mekâna (pakette hangi alanların sıra dışı olduğu) ya da zamana (davranışın nasıl değiştiği) odaklanır; her ikisini birden ele almak nadiren yapılır.

Trafiğin temizlenmesi ve dengelenmesi

Daha güvenilir tespitler oluşturmak için yazarlar önce iki büyük, gerçek dünya veri setini dikkatle temizler: geleneksel ağları temsil eden CICIDS2017 ve IoT ortamlarını temsil eden NF‑BoT‑IoT‑v2. Çoğaltılmış ve açıkça bozuk kayıtları çıkarırlar, eğitimi yanıltabilecek aşırı aykırı değerleri filtreler ve hiçbir sayısal özelliğin tek başına baskın olmaması için tüm sayısal değerleri normalize ederler. En kritik adım doğrudan dengesizlikle ilgilidir. Ekip, nadir saldırıların gerçekçi sentetik örneklerini oluşturan ve gürültülü veya gereksiz normal trafiği budayan gelişmiş yeniden örnekleme stratejileri kullanır. Etkisi, öğrenme algoritmalarının her saldırı türünden yeterli örnek görmesini sağlayarak bunları güvenilir şekilde tanımalarını, arka plan trafiğiyle boğulmamalarını sağlamaktır.

Figure 2
Figure 2.

Desenler için bir, diziler için bir: iki hibrit yapay zeka koruyucusu

İlk model HACTD‑Net, tekil ağ akışlarının nasıl göründüğündeki karmaşık desenleri tespit etmede üstün olmak üzere tasarlanmıştır. Ham trafiği daha temiz, daha düşük boyutlu özetlere sıkıştıran bir otoenkoderle başlar ve fazla tekrarları eler. Bir evrişimsel ağ (convolutional network) bu özetlerde yerel desenleri tarar; tıpkı bir görüntüde kenarları ve şekilleri algılamak gibi. Bunun üzerine bir dönüştürücü (transformer) modülü tüm özelliklere aynı anda bakar ve saldırıları normal kullanımdan ayırmada hangi kombinasyonların en önemli olduğunu öğrenir. Son olarak, bir yoğun (dense) katman karar üretir. Bu model, nadir saldırıları güçlendiren ve kafa karıştırıcı, yanlış etiketli noktaları silen ADASYN‑SMOTE ve Edited Nearest Neighbors adlı yeniden örnekleme yöntemleriyle eşleştirilir.

Evrilen tehditlere karşı dizi‑odaklı bekçi

İkinci model TRBM‑Net, olayların zaman içinde nasıl geliştiğine odaklanır—bu, botnetleri ve IoT ağlarındaki yavaş saldırıları tespit etmek için kritik önemdedir. Zaman içinde paket dizilerini verimli biçimde tarayan temporal evrişimsel katmanlarla başlar; bu, klasik rekürren ağların ağır maliyeti olmadan uzun menzilli eğilimleri yakalar. Bir ResNet bloğu daha derin katmanların eğitimine yardımcı olurken önemli ayrıntıların “unutulmasını” engeller; çift yönlü (bidirectional) GRU ise diziyi hem ileri hem geri okuyarak nedensellik ve bağlamı yakalar. Çok başlı dikkat (multi‑head attention) ardından hizmet içi en söyleyici anları vurgular; örneğin hizmet reddi saldırısına işaret edebilecek zirveler gibi. Bu model, karar sınırlarının yakınında yeni sentetik örneklere odaklanan ve işe yaramayan normal trafiği budayan Borderline SMOTE ile One‑Sided Selection karışımını kullanan farklı bir yeniden örnekleme bileşimiyle çalışır.

Sonuçların günlük güvenlik için anlamı

Milyonlarca gerçek ağ kaydı üzerinde test edildiğinde her iki model de çarpıcı derecede yüksek puanlar elde eder; genel doğruluklar yüzde 99’un üzerinde olup nadir ve ince saldırılarda bile güçlü performans gösterir. HACTD‑Net genel doğrulukta parlıyor; TRBM‑Net ise özellikle IoT ortamlarında zor fark edilen saldırıları daha az kaçırma ile yakalamada hafif üstünlük sağlıyor. Ortalama kullanıcı için bu, böyle hibrit derin öğrenme ve akıllı veri dengeleme yöntemlerine dayanan gelecekteki güvenlik araçlarının daha uyanık, bağlam‑farklı korumalar gibi davranabileceği anlamına gelir. Bu araçlar, zararsız gürültü yüzünden sürekli sizi uyandırmadan koridordaki olağan dışı ayak seslerini fark etmede daha iyidir ve bağlantılı cihaz ağı için güvenilir, gerçek‑zamanlı korumaya bizi yaklaştırır.

Atıf: Padma Priya, N., Mohanbabu, G. Intrusion detection with HACDT-Net and TRBM-Net using a hybrid deep learning framework with enhanced sampling techniques. Sci Rep 16, 11799 (2026). https://doi.org/10.1038/s41598-026-41422-5

Anahtar kelimeler: saldırı tespiti, derin öğrenme, ağ güvenliği, dengesiz veri, IoT saldırıları