Abstract:

Günümüzde yaygın bir şekilde kullanılmakta olan imza tabanlı yaklaşımlar, özellikle sıfır gün saldırıları gibi henüz tespit edilmemiş saldırı vektörlerine karşı başarısız olmaktadırlar. Bu tip saldırılar genellikle en az bir sisteme zarar verdikten sonra tespit edilmektedir. Saldırıya ilişkin imza yapılan analizin ardından son kullanıcıların erişimine sunulur. Dolayısı ile bu süre zarfında kullanıcılar bu tip saldırılara karşı savunmasız kalırlar. Kritik noktalardaki bilgisayar sistemlerinin gerek güncelleme ve gerekse yeni uygulamaların kurulmasının ardından sıfır gün saldırıları ile karşılaşma riski bulunmaktadır. Bilindiği üzere, uygulamalar işletim sistemiyle sistem çağrı arayüzü üzerinden etkileşim kurarlar. Dolayısı ile uygulamalardan ya da sistemin tümünden toplanan sistem çağrı verisinde öğrenme sonrasında belirlenen anormal davranışlar bir saldırının varlığını işaret ediyor olabilir. Bu çalışmada, anomali tespit sistemleri için literatür taraması, kullanılabilecek veri kümeleri ve bunların karşılaştırmalı analizleri sunulmuştur.

Keywords: