Clear Sky Science
Kanıta dayalı, jargonu hafif açıklamalar

Clear Sky Science · tr

Birleşik davranış modelleri kullanarak uyarlanabilir bilgi güvenliği stratejilerinin matematiksel modellenmesi

· Dizine geri dön

Daha akıllı siber savunmanın önemi

Hastane kayıtlarından enerji şebekelerine kadar hayatımız artık sürekli saldırı altında olan dijital sistemlere bağlı. Suçlular ve devlet destekli bilgisayar korsanları artık tek, kaba hileler kullanmıyor; savunmacıların tepkilerine göre uyumlanan uzun, sinsi kampanyalar örüyorlar. Bu makale, o kedi-fare oyununu matematiksel olarak modellemenin yeni bir yolunu sunuyor ve savunmacılara sabit kurallara veya tek seferlik makine öğrenimi modellerine dayanmak yerine gerçek zamanlı olarak ayarlanabilen araçlar sağlamayı amaçlıyor.

Figure 1
Figure 1.

Bugünün koruyucu duvarlarının sınırlılıkları

Mevcut güvenlik araçlarının çoğu ya geçmiş saldırıların bilinen parmak izlerini arar ya da ağ trafiğindeki basit istatistiksel tuhaflıklara bakar. Diğerleri tehditleri öngörmek için oyun teorisi veya makine öğrenimi kullanır. Bu yaklaşımların her biri gerçeğin yalnızca tek bir dilimini yakalar: saldırganı ya da savunmacıyı modelleyebilirler, ama nadiren her ikisini bir arada ve genellikle zaman içinde çok değişmeyen davranışları varsayarlar. Bu çalışmada 2018–2025 arasında yayımlanmış 75 araştırma makalesini kapsayan geniş bir literatür taraması, mevcut modellerin üçte birinden azının farklı davranış kalıplarını birleştirmeye çalıştığını ve yalnızca yaklaşık dörtte birinin gerçek zamanlı uyum sağlamayı desteklediğini gösterdi. Başka bir deyişle, çoğu model siber çatışmayı statik ve tek boyutlu olarak ele alıyor; oysa gerçek ihlaller birçok aşama boyunca gelişir ve savunmacıların hamlelerine tepki verir.

Saldırganlar ve savunmacılar için birleşik bir bakış

Yazarlar, saldırganların ve savunmacıların birçok küçük modelini tek, dinamik bir resimde örten birleşik bir davranış modeli öneriyor. Saldırgan tarafında bu, bir ağı tarama, içeri girme, sistemler arasında yan hareket etme ve gizli bir ayak izi sürdürme gibi aşamaları temsil ediyor. Savunmacı tarafında ise anomali tespiti, güvenlik duvarı ayarlarının optimize edilmesi ve hesaplama kaynaklarının en çok gerektiği yerlere kaydırılması gibi bileşenler yer alıyor. Tüm bu parçalar, sistemin tümünün zaman içinde nasıl değiştiğini, belirsizlik ve rastgele bozulmaları da içerecek şekilde tanımlayan matematiksel denklemlerle birbirine bağlanıyor. Kritik olarak, savunmacı olup biteni kusursuz görmüyor; bunun yerine kusurlu uyarılar ve kayıtlar gibi gürültülü sinyaller görüyor ve saldırganın muhtemelen ne yaptığını çıkarım ederek yanıt vermek zorunda kalıyor.

Matematiği hareketli savunmalara dönüştürmek

Fikirlerini test etmek için yazarlar, yaygın siber güvenlik veri setleri (NSL-KDD ve UNSW-NB15) ve modern saldırganların kullandığı "kill chain" aşamalarından esinlenen gerçekçi, sentetik saldırı kampanyalarıyla ayrıntılı bir simülasyon ortamı kurdu. Saldırılar, rasgele zamanlama ve sensör gürültüsü eklenmiş olasılıksal olay zincirleri olarak ilerliyor; bu, gerçek ağların karmaşık koşullarını taklit ediyor. Savunma bileşenleri, yeni kanıtlar geldikçe eşik değerlerini ayarlamak, savunmaları yeniden yapılandırmak ve kaynakları yeniden tahsis etmek için öğrenme kuralları ve geri bildirim kontrolü kullanıyor. Model kapalı döngü olarak çalışıyor: saldırganlar savunmalara göre taktik değiştiriyor, savunmalar tekrar uyum sağlıyor ve bu döngü devam ediyor; araştırmacılar bu sayede tüm sistemin birçok bin zaman adımı boyunca nasıl davrandığını inceleyebiliyor.

Figure 2
Figure 2.

Simülasyonların ortaya koydukları

Basit ihlallerden simüle edilmiş endüstriyel kontrol sistemlerine yönelik karmaşık, yavaş ilerleyen kampanyalara kadar geniş bir senaryo yelpazesinde birleşik model, geleneksel uyum sağlamayan savunmaları ve birkaç gelişmiş karşılaştırma ölçütünü tutarlı şekilde geride bıraktı. Düşük gürültü koşullarında algılama oranları yüzde 90'a yakın veya üzerinde gerçekleşti ve saldırganlar daha sofistike hale geldiğinde ya da izleme verileri ağır biçimde gürültüyle bozulduğunda bile yaklaşık yüzde 85'in üzerinde kaldı. Temel bir statik modelle kıyaslandığında daha fazla saldırıyı tespit etti, saldırgan davranışındaki değişikliklere daha hızlı tepki verdi ve hesaplama kaynaklarını daha etkin kullandı; yanlış alarmları azaltırken kontrolden çıkmış maliyet artışlarından kaçındı. İstatistiksel testler bu kazanımların şansa bağlı olmadığını doğruladı ve saldırganlar ile savunmacılar birbirine uyum sağlarken sistemin iç dinamikleri kaosa saplanmak yerine kararlı kaldı.

Günlük güvenlik için anlamı

Uzman olmayanlar için ana mesaj, siber savunmanın sabit bir duvardan ziyade evrilen bir ekosistem gibi modellenebileceği. Birçok farklı saldırgan ve savunmacı davranışının zaman içinde nasıl etkileştiğini—ve belirsizlik ile kısmi görünürlüğü hesaba katarak—matematiksel olarak tanımlayarak, önerilen çerçeve bir saldırı sırasında öğrenen, sadece önceden öğrenen değil güvenlik sistemlerine giden bir yol gösteriyor. Bu tür birleşik, uyarlanabilir modeller, tehditler gelişirken ağ savunmasını sessizce yeniden şekillendiren ve kritik hizmetlerin çevrimiçi ve güvenilir kalmasına yardımcı olan geleceğin araçlarının temelini oluşturabilir.

Atıf: Nuaim, A.A., Nuaim, A.A., Nadeem, M. et al. Mathematical modeling of adaptive information security strategies using composite behavior models. Sci Rep 16, 10755 (2026). https://doi.org/10.1038/s41598-026-45315-5

Anahtar kelimeler: uyarlanabilir siber güvenlik, davranışsal tehdit modelleme, saldırı–savunma dinamikleri, stokastik güvenlik sistemleri, giriş tespiti