Skip to main content
Siber Güvenlik

Siber güvenlikte yeni tehditler ve veri bilimi ile anomali tespiti

February 18, 2026 4 min read 20 views Raw
açık hava, ayrıntı, baş içeren Ücretsiz stok fotoğraf
Table of Contents

Siber güvenlik alanı sürekli evriliyor. Kötü amaçlı aktörler daha sofistike teknikler, otomasyon ve yapay zeka kullanırken, savunma ekipleri de veri bilimi ve anomali tespiti yöntemleriyle bu tehditlere karşı dinamik çözümler geliştirmek zorunda. Bu makalede güncel tehditler, veri bilimi temelli anomali tespiti yaklaşımları, uygulama adımları, zorluklar ve en iyi uygulamalar ele alınacaktır.

Yeni ve öne çıkan tehdit türleri

Son yıllarda ortaya çıkan ve önem kazanan bazı tehdit tipleri şunlardır:

1. Yapay zeka destekli saldırılar

Otomasyon ve makine öğrenmesi, saldırganların zararlı yazılımları daha hızlı uyarlamasına, yeni istismar vektörleri bulmasına ve oltalama kampanyalarını kişiselleştirmesine olanak tanıyor.

2. Fileless ve bellek içi saldırılar

Dosya tabanlı izleri bırakmayan, yalnızca bellek veya sistem süreçleri aracılığıyla hareket eden saldırılar tespit edilmeyi zorlaştırıyor.

3. Tedarik zinciri saldırıları

Yazılım tedarik zincirine müdahale ederek geniş ölçekli etkiler yaratmak; son yıllarda özellikle kabul görmüş bir yöntem haline geldi.

4. Ransomware-as-a-Service (RaaS) ve fidye yazılımları

Hizmet modeliyle sunulan fidye yazılımları, teknik uzmanlığı sınırlı grupların bile etkili saldırılar yapmasını sağlıyor.

5. IoT ve bulut kaynaklı riskler

IoT cihazlarının zayıf güvenliği ve bulut yapılandırma hataları geniş yüzey alanı oluşturuyor.

Veri bilimi ile anomali tespiti: Temel yaklaşımlar

Anomali tespiti, beklenenden sapma gösteren davranışları saptamaya odaklanır. Veri bilimi burada hem istatistiksel hem de makine öğrenmesi teknikleriyle kritik rol oynar.

1. İstatistiksel yöntemler

Basit eşikleme, Z-skoru, moving average veya zaman serisi modellemeleri (ARIMA vb.) belirli tipte sapmaları yakalamada başlangıç noktasıdır.

2. Denetimsiz öğrenme

Clustering (DBSCAN, k-means), Isolation Forest, One-Class SVM, PCA tabanlı yöntemler etiket gerektirmeyen ortamlarda anomali tespiti için yaygın kullanılır.

3. Derin öğrenme yaklaşımları

Otoenkoderler, variational autoencoders (VAE), LSTM tabanlı rekonstrüksiyon veya sequence-to-sequence modeller anormal örnekleri yüksek boyutlu veride tespit etmekte etkilidir.

4. Grafik ve ilişki tabanlı yöntemler

Kullanıcı-cihaz, süreç-protocol ilişkilerini modelleyerek Graph Neural Networks ve link-anomali tespiti gibi yöntemlerle karmaşık saldırılar ortaya çıkarılabilir.

5. Yarı denetimli ve aktif öğrenme

Etiketli veri az olduğunda bir sınıfa ait normal davranışı öğrenen modeller (one-class) veya insan geribildirimiyle hızla öğrenen aktif öğrenme stratejileri kullanışlıdır.

Özellik mühendisliği ve veri kaynakları

Anomali tespitinin başarısı büyük ölçüde doğru ve anlamlı özelliklerin çıkarılmasına bağlıdır. Öne çıkan veri kaynakları ve özellikler:

  • NetFlow/pcap- ağ paketleri, bağlantı sayısı, byte/packet oranları, protokol istatistikleri
  • Endpoint telemetri- süreç çağrıları, dosya erişimleri, registry değişimleri, sistem çağrıları
  • Kullanıcı davranışı- oturum süreleri, giriş zamanları, komut kullanım sıklıkları
  • Bulut ve uygulama logları- API çağrıları, yetkilendirme hataları, yapılandırma değişiklikleri
  • Threat intelligence- IOC'ler, kötü amaçlı IP ve domain listeleri

Özelliklerden zaman bazlı özetler (sliding windows), istatistiksel özetler (ort, std, percentil) ve embedding'ler üretmek faydalıdır.

Model değerlendirme ve metrikler

Anomali tespitinde dengesiz sınıflar ve yanlış pozitifler kritik olduğundan uygun metrik seçimi önemlidir:

  • Precision, Recall, F1-score
  • ROC AUC ve özellikle Precision-Recall eğrileri (dengi olmayan sınıflarda daha açıklayıcı)
  • False Positive Rate ve False Negative Rate
  • Zamanla tespit (time-to-detect) ve gecikme metriği

Gerçek dünya uygulama adımları: Uçtan uca bir pipeline

Önerilen adımlar:

  1. Veri toplama: SIEM, EDR, ağ sensörleri, bulut logları entegre edilir.
  2. Ön işlem: Veri temizleme, zaman senkronizasyonu, anonimleştirme ve etiketleme.
  3. Özellik çıkarımı: Pencere tabanlı istatistikler, frekans tabanlı özellikler, embedding'ler.
  4. Model seçimi ve eğitim: Denetimsiz + yarı denetimli bir karışım önerilir.
  5. Değerlendirme: Çoklu metrik, simülasyon ve kırmızı takım senaryoları ile test.
  6. Gerçek zamanlı dağıtım: Stream işleme (Kafka, Flink), model serve (TensorFlow Serving, ONNX), entegrasyon SIEM/SOAR ile.
  7. Geri bildirim ve sürekli öğrenme: Operasyon ekibi geribildirimiyle model güncellemeleri.

Zorluklar ve karşı önlemler

Anomali tespitinde sık karşılaşılan zorluklar:

  • Yüksek yanlış pozitif oranı - eşik ayarı, ensemble modeller ve insan-in-the-loop gerektirir.
  • Konsept kayması (concept drift) - sürekli öğrenme ve model izleme şart.
  • Adversarial saldırılar ve veri zehirlenmesi - güvenli eğitim, doğrulama setleri ve adversarial training gerektirir.
  • Veri gizliliği ve regülasyonlar - anonimleştirme, erişim kontrolü ve düşük verililik yöntemleri kullanılmalı.

Açıklanabilirlik ve operability

Güvenlik ekipleri için modellerin açıklanabilir olması kritik. SHAP, LIME, kural çıkarımı ve kolay anlaşılır uyarılar operasyonel kullanımda fark yaratır. Ayrıca alarm triage süreçleri ve otomatik playbook'lar (SOAR) ile entegrasyon gereklidir.

Gelecek trendler

Gelecekteki önemli eğilimler arasında federated learning ile gizlilik koruyan modeller, self-supervised öğrenme ile etiket bağımlılığının azaltılması, grafik tabanlı ML yaklaşımlarının yaygınlaşması ve transformer tabanlı zaman serisi modellerinin kullanımı yer alıyor. Ayrıca tehdit avcılığı ve anomali tespiti daha fazla otomasyon ve bağlam zenginliğiyle (threat intel entegrasyonu) güçlenecek.

Özet ve öneriler

Siber tehditler hızla gelişiyor ve tek bir teknik yetersiz kalıyor. Başarılı bir anomali tespiti programı için veri çeşitliliği, uygun özellik mühendisliği, hibrit modelleme (istatistiksel + ML + derin öğrenme), açıklanabilirlik ve sürekli operasyonel entegrasyon şarttır. Küçük adımlarla başlayın: veri hatlarını temizleyin, basit modellemelerle pilot kurun, insan-geribildirim döngüsü oluşturun ve zaman içinde yetenekleri ölçeklendirin.

Sen Ekolsoft olarak kurumlara özel anomali tespiti çözümleri, veri entegrasyonu ve model dağıtımı hizmetleri sunuyoruz. Güvenlik operasyonlarınızı veri bilimiyle güçlendirmek isterseniz, teknik değerlendirme ve pilot proje desteği için bizimle iletişime geçebilirsiniz.

Tags

Siber Güvenlik Veri Bilimi Makine Öğrenmesi SIEM anomali tespiti tehdit istihbaratı

Share this post

Related Posts

Web3 ve blockchain geliştirme görseli

Web3 Geliştirme Rehberi: Akıllı Kontratlardan DeFi'ye Kapsamlı Kılavuz

Mar 29, 2026

 Yeşil BT ve sürdürülebilir yazılım geliştirme

Yeşil BT ve Sürdürülebilir Yazılım: Çevreye Duyarlı Teknoloji Geliştirme Rehberi

Mar 29, 2026

 GitHub Actions CI/CD otomasyon ve DevOps

GitHub Actions ile CI/CD Rehberi: Workflow, Matrix Build ve Deployment

Mar 29, 2026