Kas hafzas di§er bir deyi‡le motor §renme, tekrarlanan hareketler sonucu elde edilen ve bir i‡in d‡nmeksizin minimum dikkat ve maksimum verimlilik ile yaplabilmesini sa§layan hafza biimidir. Bisiklete binmek, enstrman almak, klavye ve mouse kullanmak kas hafzas ile gerekle‡tirilir [ 1 ] . nsanlarn kendi al‡kanlklarna gre ‡ekillenen kas hafzas, kimlikler hakknda da bilgi verebilir. rne§in mouse kullanan bir ki‡i istemsizce ekrandaki satrlar mouse i‡aretisi ile izleyip tklayabilir veya bir ba‡kas yine istemsizce desenler izebilir. E§er i‡aretinin izledi§i yollarn veya tklanan alanlarn birer modeli karlabilirse, ki‡iler de ayrt edilebilir [ 3 ].

Bu d‡nceden ilham alarak bu al‡mamzda; SAAS uygulamalar iin kullanclarn gerekle‡tirdi§i istemli veya istemsiz aksiyonlarn (tklamalar, sayfa gei‡leri ve mouse hareketleri) kullanclara zg modellerini kartan ve bu modellere gre anormal oturum tespiti yapan bir uygulama ats sunmaktayz. Bu atda, kullanc aksiyon dizileri, metin kar‡la‡trmada ve DNA e‡le‡tirmede sklkla kullanlan N-Gram [ 2, 4 ] yntemi ile temsil edilmektedir. Elde edilen NGram’larn, Jackard ve Cosine distance [ 5 ] yntemleri ile gemi‡te gerekle‡en aksiyon N-Gram’larna olan benzerli§i hesaplanmakta ve sonulara gre Normal veya Anormal kullanm ‡eklinde kararlar retilmektedir.

Bildirinin devam ‡u blmlerden olu‡maktadr. Bir sonraki blmde anomali alglama zerine yaplan nceki al‡malar anlatlmakta ve bu al‡ma ile kar‡la‡trlmaktadr. Kullanc modelleme ve anomali alglamann detaylar hakknda Yntem ba‡l§ altnda detayl bilgi verilmekte, uygulama ats ise sistem tasarm blm altnda anlatlmaktadr. Yaplan deneyler sonucu elde edilen bilgiler ve parametrelerin sistem performansna etkileri srasyla Deneysel Sonular ve Sistem Parametreleri ba‡lklarnda incelenmektedir. 2

nceki ˙al‡malar Literatrde bir ok al‡ma anomali alglama yntemleri zerine yo§unla‡m‡tr. Bu al‡malardan bazlar a§ paketleri zerinden saldr tespiti yaparken, bazlar da; web uygulamalar zerindeki kullanc davran‡larndan yararlanarak anormal durum alglamas yapar. Zhang ve arkada‡lar yaptklar ara‡trmada [ 11 ], a§ zerindeki anormal durum tespit yntemlerini; istatistiksel, snandrc tabanl, makine §renmesi tabanl ve sonlu durum makinesi tabanl olarak 4 gruba ayrmaktadr. Kullanc davran‡lar, kullanclarn kimlikleri hakknda bilgi verdi§i iin web uygulamalar zerinden yaplan anormal durum tespitinin temelini olu‡turmaktadr. VelÆsquez’n yapt§ al‡mada [ 8 ], web ieri§i zerindeki navigasyon dizileri, her bir sayfada geirilen sre gibi bilgiler incelenerek kullanclar gruplanmakta ve davran‡lar analiz edilmektedir. Cadez ve arkada‡larnn al‡masnda [ 6 ] msnbc.com’dan alnan web sayfas navigasyon dizileri nceki al‡maya benzer ‡ekilde kullanc gruplar ortaya karmak iin kullanlm‡tr.

Navigasyon dizileri d‡nda, DOM (Document Object Model) nesnelerinin yerle‡imi, ba§lantlarn ‡ekli gibi web sayfalarnn yapsal zellikleri de anormal durumlarn tespitinde kullanlabilecek zelliklerdendir. Pan’n al‡masnda [ 9 ] web sayfalarnn yapsal zelliklerinden zentilikler karlmakta ve destek vektr makineleri kullanlarak, sahtecilik (phishing) amacyla yaratlan web sayfalarnn tespiti sa§lanmaktadr. Birim zamanda yaplan istek saylarnn ok yksek oldu§u, ayn zamanda saldrya da ok ak olan SAAS ortamlar iin anormal durum ve saldr tespiti ayr bir nem ta‡r. Nascimento ve Correia’nn ara‡trmasnda [ 10 ], saldr tespitinde kullanlan modeller gerek bir SAAS uygulamas zerinde test edilmekte ve kar‡la‡lan zorluklar incelenmektedir. Kullanc davran‡larn saldr tespitinde kullanan ilk ara‡trmalardan biri olan Xie ve Yu’nun al‡masnda [ 7 ], uygulama katman temelli da§tk servis reddi (application-layer-based DDoS) saldrlarn erken tespiti iin bir sakl yar Markov modeli (H-sMM) tasarm nerilmektedir.

Anlatlan al‡malarda kullanc davran‡lar, genel saldr tespiti ve kullanc proli belirleme iin kullanlmakta olup bir yazlm ats nerilmemektedir. Biz bu al‡mamzda di§erlerinden farkl olarak; kullanc davran‡larndan, hesap ‡ifrelerinin ele geirilmesi gibi yetkisiz kullanmlar belirlenmesi iin yararlanmakta ve bir anomali alglama ats nermekteyiz.

Anomali alglama sistemi; sunucu tarafnda anomali alglama motoru ve istemci tarafnda Javascript ktphanesi olmak zere iki ana bile‡enden olu‡maktadr. Aktif kullancnn, web sayfalar zerindeki mouse hareket davran‡lar Javascript ktphanesi tarafndan toplanr ve bir aksiyon iste§i gerekle‡ti§inde, rne§in kullanc ba‡ka bir sayfaya gemek istedi§inde, toplanan mouse hareket bilgileri ile birlikte aksiyon tipi sunucu tarafnda al‡an anomali alglama motoruna gnderilir. Burada kullancnn aktif oturumundaki davran‡lar nceki oturumlar ile kar‡la‡trlarak, normal veya anormal durum ‡eklinde bir karar retilir. Aktif oturum bilgisi, kullancnn her yeni aksiyonunda gncellenmektedir. Buna gre ilgili oturum iin anomali kontrol, sunucu tarafnda belirli zaman aralklarnda bir asenkron olarak gerekle‡tirilebilir. Bu ‡ekilde periyodik asenkron kontroller ile sistem asl uygulamann cevap srelerini etkilemeden anormal oturum kontrol yapabilir. Kullanc saysnn fazla oldu§u ortamlarda ise yatay ve dikey lekleme yntemleri ile sistem performans iyile‡tirilebilir. lerleyen blmlerde anomali alglama sisteminin bile‡enleri anlatlacaktr. 3.1

Anomali Alglama Motoru Sunucu tarafnda, gnderilen kullanc oturum bilgilerine gre, normal veya anormal oturum ‡eklinde karar reten sistemdir. Bunun iin kullancnn oturum ierisindeki aksiyonlarnnn nceki oturumlar ile benzerli§inden yararlanmaktadr. Aksiyon a kavram, kullancn web uygulamas zerinde gsterdi§i bir davran‡ (durum de§i‡imini) ifade etmektedir ve kullanm yntemine gre, iki web sayfas arasndaki gei‡e kar‡lk gelebilece§i gibi, ayn web sayfas zerindeki bir butona tklama gibi bir i‡leme de kar‡lk gelebilmektedir.

Kullancnn oturum davran‡larnn tanmlanmasnda, her bir durumdaki mouse hareket deseni d bilgisi de aksiyon bilgisine eklenmektedir. Bir matris d ile gsterilen mouse hareket deseni, istemli mouse hareketlerini ierdi§i gibi, ki‡iyi tanmlamada faydal olabilecek, kas hafzas kullanlarak yaplan istemsiz hareketleri de iermektedir. Desen matrisin her bir hcresi mouse i‡aretisinin, ekrann ilgili blgesine ka kere geldi§ini belirtmektedir. Desen matrisinin olu‡turulma detaylar ilerleyen blmde anlatlacaktr.

Aksiyonlar bir araya gelerek aksiyon dizilerini A yani oturumlar meydana getirirler. Aktif oturum nceki oturumlar ile kar‡la‡trlrken, aktif oturumun aksiyon dizileri N-Gram yntemi ile kk gruplara ayrlmakta ardndan nceki oturumlarn aksiyon N-Gram’lar ile kar‡la‡trlmaktadr. Durum gei‡ bilgisi ayn olan iki farkl aksiyon veya aksiyon grubu, mouse hareket desenine baklmakszn E‡ olarak kabul edilmi‡tir. E‡le‡en aksiyon N-Gram’lar saylarak, Jackard Distance yntemi ile oturumlar arasnda benzerlikler hesaplanmakta ve bu benzerliklerin ortalamas alnmaktadr. Elde edilen ortalama, kar‡la‡trlan oturumun nceki oturumlar ile arasndaki aksiyon davran‡larnn benzerli§ini vermektedir. rnek aksiyon dizileri: Aksiyon dizileri iin 2’li N-Gram’lar: A1 = ffaa b; ab cg; fab c; ac gg; fac g; ag kg; fag k; ak tg; fak t; at bgg A2 = ffaa b; ab cg; fab c; ac ag; fac a; aa kg; faa k; ak tg; fak t; at bgg E‡le‡en 2’li N-Gram’lar: faa b; ab cg; fak t; at bg Jackard Distance: (2 / 5) mouse hareket desenlerinden alnan bilgilere gre sonular iyile‡tirmek iin, e‡le‡en aksiyonlarn desen matrisleri vektrel hale getirilip, Cosine distance yntemi ile benzerlikleri hesaplanmaktadr. Ardndan yine bu benzerliklerin ortalamas alnmaktadr. Elde edilen ortalama, kar‡la‡trlan oturumun nceki oturumlar ile e‡ kabul edilen aksiyonlarnn bireysel benzerli§ini vermektedir.

Oturum benzerlik skoru: = Aksiyon Dizi Benzerli§i / Mouse Hareket Benzeri§i A§rl§ = N-Gram Jackard Distance Ortalamas = Mouse Desen Matrisleri iin Cosine Distance Ortalamas

Benzerlik skoru belirli bir e‡ik de§erin altnda olan oturumlar, anormal olarak kabul edilir. Skor retiminde, aksiyon gei‡lerine mi, yoksa aksiyonlarnn bireysel benzerli§ine mi daha ok a§rlk verilece§i Alpha parametresi ile belirlenmektedir. Bunun sayesinde sistem uygulamaya zg ‡ekilde ayarlanabilmektedir. rne§in; aksiyon saysnn az olup, tekil sayfa aktivitesinin daha nemli oldu§u uygulamalarda Alpha de§eri 0’a yakn tutulmaldr. Oturum kar‡la‡trmalar yaplrken eskiyen kullanc al‡kanlklarndan etkilenmemek iin, kullancnn yalnzca en yeni K adet oturumu kullanlmaktadr. Karar retim sreci ekil - 1 ‘de anlatlmaktadr. ekil - 1: Anomali alglama sistemi. 3.2

Javascript Ktphanesi stemci tarafnda al‡arak, kullancnn aksiyon isteklerini, anomali alglama motoruna bildiren ve her aksiyon iin t birim srede bir mouse hareket koordinatlarn kaydeden sistemdir. Bu koordinatlardan sunucu tarafnda d matrisi ile gsterilen mouse hareket deseni hesaplanr. r ve c matrisin satr ve stun saylar olacak ‡ekilde, tarayc ekran yatayda r, dikeyde de (c hcreye blnm‡ kabul edilerek, kaydedilmi‡ olan mouse i‡areti konumlarna kar‡lk gelen matris hcrelerinin de§eri bir arttrlr. Sonuta matrisin her bir hcresi, mouse i‡aretisinin ekrann ilgili blgesine ka kere geldi§ini gstermektedir. Bu i‡lemin detaylar, Algoritma - 1’de yer almaktadr. Kullanc tarafndan bir aksiyon iste§i oldu§unda matrisin son hali aksiyon bilgisi ile birlikte anomali alglama motoruna gnderilir. Matrislerin kar‡la‡trlmas srasnda u de§erlerin e§ilim yaratmamas iin minimum ve maksimum de§erlere gre normalizasyon yaplmaktadr. rnek bir ekran ve mouse desen matrisi ekil 2.a ve 2.b’de grlebilir. Algoritma 1 JsActionCapturer ekil - 2: rnek ekran ve mouse desen matrisi.

(a) rnek ekran (b) mouse desen matrisi len n tanml IEquatable arayz uygulanm‡ ve Equals yordam ierisinde UserName kar‡la‡trmas yaplm‡tr.

MouseMoveTrace : Javascript Ktphanesi tarafndan gnderilen mouse hareket koordinatlarnn tutuldu§u snftr.

Action : Kullancnn web uygulamas zerinde gerekle‡tirdi§i bir operasyonu bir durum de§i‡imi olarak belirtir ve ilk durumdaki mouse hareket desenini zerinde barndrr. Nesne kar‡la‡trmalarnda kullanmak zere, .Net ile birlikte gelen n tanml IEquatable arayz uygulanm‡ ve Equals yordam ierisinde State1 ve State2 ‘ye gre kar‡la‡trma yaplm‡tr.

ActionSequence : Kullancnn bir oturum ierisinde gerekle‡tirdi§i aksiyon dizilerini tutar.

AnomalyDetectorSession : ActionSequence snfndan tretilen snf, kullancnn bir oturumunu temsil eder, aksiyon dizileri ile birlikte kullancy tanmlayan bilgileri de ierisinde barndrr.

AnomalyDetectorHttpHandler : Javascript ktphanesi tarafndan XhrPostlar ile Json formatnda gnderilen aksiyon isteklerini i‡leyerek aktif oturumun aksiyon dizilerine ekleyen snftr. .Net’in IHttpHandler arayznden tretilmi‡tir.

Utils : Jackard ve Cosine Distance’larn hesaplanmas, mouse koordinatlarndan desen matrislerin yaratlmas ve aksiyon N-Gram’larnn olu‡turulmas gibi ortak olarak kullanlan temel i‡levleri sa§layan snftr.

AnomalyDetector : Sistemin temel bile‡enidir, Singleton tasarm deseni kullanlarak geli‡tirilen snf; sistem parametreleri ile birlikte e‡itli public yorekil - 3: Anomali alglama motoru snf diagram. damlar barndrr;

Javascript ktphanesi AnomalyDetectorJsLib tipinde bir snf olarak tasarlanm‡tr. Web uygulamasnda anomali analizine dahil edilmek istenen her Aksiyon (ba§lantya tklama veya bir Javascript fonksiyonu a§rma), AnomalyDetectorJsLib’in bir nesnesinin DoAction fonksiyonu zerinden a§rlmaldr. Bu fonksiyon bir sonraki aksiyonun Id ‘si ile birlikte aksiyon ieri§ini parametrik olarak alr, aksiyon bilgisini Json formatnda XhrPost olarak sunucu tarafna gnderir ve aksiyonun kendisini gerekle‡tirir. AnomalyDetectorJsLib nesneleri ayn zamanda, belirtilen zaman aral§nda bir kullancnn mouse hareket koordinatlarn bir liste olarak kaydeder. Bu koordinatlar her aksiyon iste§inde aksiyon bilgisi ile birlikte sunucuya gnderilir. 5

Anomali alglama sisteminin verimlili§i, uygun bir gerek veri seti bulunamad§ndan, yapay kullanclar ve kullanc davran‡larn ieren bir veri seti yaratlarak analiz edilmi‡tir. Bunun iin rastgele tekdze da§l‡ kullanlarak; - 20 farkl aksiyon ismi tanmlanm‡tr. - Aksiyonlar aras gei‡ olaslklarn ieren 20x20’lik 10 farkl matris tanmlanm‡tr. Buradaki her matris farkl birer kullanc proline kar‡lk gelmektedir. - Her kullanc iin minimum 15 maksimum 20 adet oturum yaratlm‡tr. - Her bir oturumda ilgili kullancnn gei‡ olaslklar matrisi kullanlarak yaratlan minimum 8, maksimum 10 aksiyon yer almaktadr.

Yaratlan veri seti kullanc oturum listesine eklendikten sonra, test iin ayn gei‡ olaslklar matrisleri kullanlarak yeni oturumlar retilmi‡ ve bunlarn normal oturum olarak gsterilip gsterilmedi§ine baklm‡tr. Benzer ‡ekilde farkl kullanclarn test oturumlar birbirleri ile de§i‡tirilerek anormal oturumlarn alglanp alglanmad§na da baklm‡tr. Gvenilir test sonular elde etmek iin 100 farkl veri seti tretilip bunlarn do§ruluk sonularnn ortalamas alnm‡tr. Buna gre sistemin do§rulu§u %83.21 olarak grlmektedir. 6

Sistem 3 adet d‡ parametreye sahiptir, bunlar; Anomali E‡ik De§eri T , Aksiyon gei‡i / Aksiyon benzerli§i orann belirleyen Alpha ve en son ka oturum ile kar‡la‡trma yaplaca§n belirleyen K de§erleridir. 0 ile 1 aral§nda olan Anomali E‡ik De§eri iin d‡k de§erler verildi§inde sistem tm oturumlar anormal olarak alglamaktadr, yksek de§erlerde ise anormal oturum bulma oran d‡mektedir. Alpha parametresi sistemin al‡trlaca§ web uygulamasna gre belirlenmelidir, Alpha 1’e yakn iken sistem kullanc Aksiyonlarnn sralama benzerli§ine daha ok nem vermektedir, sfra yakla‡t§nda ise aksiyonlardaki mouse hareket desenlerinin benzerli§i nem kazanr.

parametre olarak kabul edilen N-Gram’lardaki N says 3 olarak alnm‡tr, bu saynn stnde elde edilebilecek N-Gram kombinasyonlar (aksiyon says)N ‡eklinde artt§ iin kar‡la‡trlmas gereken N-Gram saylar da artmaktadr. Daha d‡k de§erlerde ise sistemin do§ru alglama oran d‡mektedir. Farkl parametre birle‡imleri, 100 farkl set zerinde test edilerek, yapay veri setleri iin en iyi parametre yaplandrmas ‡u ‡ekilde belirlenmi‡tir; Anomali E‡ik De§eri T = 0,88 Alpha = 0,9 K = 10

Buna gre yapay veri setleri zerinde kullanclarn mouse hareket davran‡larnn iyi bir ‡ekilde modellenemedi§i ve sistemin yksek Alpha de§erlerinde ba‡ka bir deyi‡le aksiyonlarn dizi benzerli§ine nem veren yaplandrmada iyi al‡t§ grlmektedir. Gerek bir sistemde en uygun parametre de§erlerini belirlemek iin; bir sre oturum rneklemesi yaplarak farkl parametre kombinasyonlarnn ba‡ar oranlar hesaplanabilir ve bunlar zerinde optimizasyon yaplabilir.

Parametrelerin farkl de§erlerine gre elde edilen do§ru alglama oranlar ekil - 4 ’de grlmektedir. ekil - 4.a ’ya gre Alpha de§erindeki art‡a ba§l olarak do§ru alglama oran artmaktadr. Alpha de§erinin artmas navigasyon benzeri§inin katksn arttrd§ iin, test veri setinde navigasyon benzerliklerinin daha belirleyici oldu§u sylenebilir. ekil - 4.b ’de kar‡la‡trlacak oturum saysn belirleyen K de§erinin artmas do§rululuk orann arttrsa da etkisinin d‡k oldu§u grlmektedir. ekil - 4.c ’de ise e‡ik de§erindeki art‡n sonular iyile‡tirdi§i sylenebilir fakat 0.88 de§erinden sonra sonular sabit kalmaktadr. Bu testler iin, analiz edilen parametre d‡ndaki parametrelerde belirtilmi‡ olan optimum de§erleri kullanlm‡tr. Anomali E‡ik De§eri T d‡k iken, sistem tm oturumlar anormal olarak kabul etmekte ve ba‡ar oran d‡mektedir, benzer ‡ekilde yksek de§erde ise tm oturumlar normal olarak etiketlenmektedir. Alpha’nn d‡k de§erlerinde sistem ba‡arsnn olduka d‡t§ gzlenmektedir, bunun sebebi; yapay veri setinin mouse hareket desenleri asndan daha d‡k ayrt edilebilirli§e sahip olmasdr. Kar‡la‡trmalarda kullanlacak olan oturum saysn belirleyen K parametresinin de§i‡imi sistem ba‡arsn kayda de§er ‡ekilde etkilememi‡ gibi grnse de, bu parametre gerek veride zaman iinde de§i‡ebilecek kullanc davran‡larn yakalamak asndan faydal olacaktr. rne§in bir SAAS kullancs zaman ierisinde farkl sayfa navigasyon davran‡lar veya farkl mouse hareket al‡kanlklar geli‡tirebilir, buna gre sistemin kullancnn son oturumlarn gz nne alarak anomali skorlar retmesi, do§rulu§u arttracaktr. 7

Bu al‡mada kullanclarn SAAS uygulamalar zerinde yaptklar sayfa navigasyonu, tklama ve mouse hareketi gibi aksiyonlara gre kendilerine zg kullanm modellerini karan ve bu modelleri, Anormal oturum tespitinde kullanan bir uygulama ats sunulmu‡tur. Sayfalar zerinde ve sayfalar arasnda gerekle‡tirilen tm aksiyonlar N-Gram’lar ile modellenmekte ve nceki aksiyonlar ile kar‡la‡trlmaktadr. Bunun yannda mouse hareketleri de matrisler ile temsil edilmekte ve aksiyon bilgileri e‡le‡en N-Gram kar‡la‡trma sonular, matris benzerlikleri ile daha da iyile‡tirilmektedir. ˙al‡ma zellikle SAAS ortamlarnda kullanc ‡ifrelerinin 3. ahslar tarafndan ele geirilmesi durumunda, sistem kullanm al‡kanlklarna gre Anormal oturumlarn alglanmas ve sonlandrlmas iin nemlidir. Sistemi test etmek iin rasgele tekdze da§l‡ ile yapay kullanc oturumlar veri-seti retilmi‡ ve sistemin %83’n zerinde ba‡ar retmekte oldu§u gzlenmi‡tir. ekil - 4: Parametre Analizi (a) Alpha / Sistem Ba‡ar Oran

(b) K / Sistem Ba‡ar Oran (c) E‡ik De§eri T / Sistem Ba‡ar Oran

170