    SAAS Uygulamalar için bir Anomali Alglama

                                     Sistemi


                             Tunç Gültekin, Özgü Can

       Ege Üniversitesi Bilgisayar Mühendisli§i Bölümü, 35100 Bornova, zmir
                             tuncgultekin@gmail.com,
                                ozgucan@ege.edu.tr


      Özet. SAAS ortamlarnda kullanc ³ifrelerinin ele geçirilmesiyle olu³an
      yetkisiz oturumlarn tespiti ve sonlandrlmas, kullanc güvenli§i açsnda
      oldukça önemlidir. Bunun için kullanclar ³ifreleri olmakszn tanm-
      layabilecek ikincil bir yöntem gerekmektedir. nsan zyolojisinde sklkla
      tekrarlanan hareketler bir süre sonra kas hafzas ad verilen mekaniz-
      maya göre istemsizce yaplmaya ba³lanmakta ve ki³ilere göre farkllk
      gösterebilmektedir. Bu dü³ünceden hareketle, çal³mada kullanclar web
      sayfalar üzerinde gerçekle³tirdikleri sayfa navigasyonu, mouse hareketi
      ve tklama gibi aksiyonlara göre modelleyen ve bu modellerden  anor-
      mal oturum tespiti yapan bir uygulama çats sunulmaktadr.


      Anahtar Kelimeler: Anomali alglama, Saas, N-Gram, Web çerçeveleri


1    Giri³


Kas hafzas di§er bir deyi³le motor ö§renme, tekrarlanan hareketler sonucu elde
edilen ve bir i³in dü³ünmeksizin minimum dikkat ve maksimum verimlilik ile
yaplabilmesini sa§layan hafza biçimidir. Bisiklete binmek, enstrüman çalmak,
klavye ve mouse kullanmak kas hafzas ile gerçekle³tirilir [1] . nsanlarn kendi
al³kanlklarna göre ³ekillenen kas hafzas, kimlikler hakknda da bilgi verebilir.
Örne§in mouse kullanan bir ki³i istemsizce ekrandaki satrlar mouse i³aretçisi
ile izleyip tklayabilir veya bir ba³kas yine istemsizce desenler çizebilir. E§er
i³aretçinin izledi§i yollarn veya tklanan alanlarn birer modeli çkarlabilirse,
ki³iler de ayrt edilebilir [3].
    Bu dü³ünceden ilham alarak bu çal³mamzda; SAAS uygulamalar için kul-
lanclarn gerçekle³tirdi§i istemli veya istemsiz aksiyonlarn (tklamalar, sayfa
geçi³leri ve mouse hareketleri) kullanclara özgü modellerini çkartan ve bu mod-
ellere göre anormal oturum tespiti yapan bir uygulama çats sunmaktayz. Bu
çatda, kullanc aksiyon dizileri, metin kar³la³trmada ve DNA e³le³tirmede
sklkla kullanlan N-Gram [2, 4] yöntemi ile temsil edilmektedir. Elde edilen N-
Gram'larn, Jackard ve Cosine distance [5] yöntemleri ile geçmi³te gerçekle³en
aksiyon N-Gram'larna olan benzerli§i hesaplanmakta ve sonuçlara göre Nor-
mal veya Anormal kullanm ³eklinde kararlar üretilmektedir.


                                          160
     Bildirinin devam ³u bölümlerden olu³maktadr. Bir sonraki bölümde anomali
alglama üzerine yaplan önceki çal³malar anlatlmakta ve bu çal³ma ile kar³la³-
trlmaktadr. Kullanc modelleme ve anomali alglamann detaylar hakknda
Yöntem ba³l§ altnda detayl bilgi verilmekte, uygulama çats ise sistem tasar-
m bölümü altnda anlatlmaktadr. Yaplan deneyler sonucu elde edilen bilgiler
ve parametrelerin sistem performansna etkileri srasyla Deneysel Sonuçlar ve
Sistem Parametreleri ba³lklarnda incelenmektedir.


2    Önceki Çal³malar


Literatürde bir çok çal³ma anomali alglama yöntemleri üzerine yo§unla³m³tr.
Bu çal³malardan bazlar a§ paketleri üzerinden saldr tespiti yaparken, bazlar
da; web uygulamalar üzerindeki kullanc davran³larndan yararlanarak anor-
mal durum alglamas yapar. Zhang ve arkada³lar yaptklar ara³trmada [11], a§
üzerindeki anormal durum tespit yöntemlerini; istatistiksel, snandrc tabanl,
makine ö§renmesi tabanl ve sonlu durum makinesi tabanl olarak 4 gruba ayr-
maktadr. Kullanc davran³lar, kullanclarn kimlikleri hakknda bilgi verdi§i
için web uygulamalar üzerinden yaplan anormal durum tespitinin temelini
olu³turmaktadr. Velásquez'n yapt§ çal³mada [8], web içeri§i üzerindeki navi-
gasyon dizileri, her bir sayfada geçirilen süre gibi bilgiler incelenerek kullanclar
gruplanmakta ve davran³lar analiz edilmektedir. Cadez ve arkada³larnn çal³-
masnda [6] msnbc.com'dan alnan web sayfas navigasyon dizileri önceki çal³-
maya benzer ³ekilde kullanc gruplar ortaya çkarmak için kullanlm³tr.
    Navigasyon dizileri d³nda, DOM (Document Object Model) nesnelerinin
yerle³imi, ba§lantlarn ³ekli gibi web sayfalarnn yapsal özellikleri de anor-
mal durumlarn tespitinde kullanlabilecek özelliklerdendir. Pan'n çal³masnda
[9] web sayfalarnn yapsal özelliklerinden özentilikler çkarlmakta ve destek
vektör makineleri kullanlarak, sahtecilik (phishing) amacyla yaratlan web say-
falarnn tespiti sa§lanmaktadr. Birim zamanda yaplan istek saylarnn çok
yüksek oldu§u, ayn zamanda saldrya da çok açk olan SAAS ortamlar için
anormal durum ve saldr tespiti ayr bir önem ta³r. Nascimento ve Correia'nn
ara³trmasnda [10], saldr tespitinde kullanlan modeller gerçek bir SAAS uygu-
lamas üzerinde test edilmekte ve kar³la³lan zorluklar incelenmektedir. Kul-
lanc davran³larn saldr tespitinde kullanan ilk ara³trmalardan biri olan
Xie ve Yu'nun çal³masnda [7], uygulama katman temelli da§tk servis reddi
(application-layer-based DDoS) saldrlarn erken tespiti için bir sakl yar Markov
modeli (H-sMM) tasarm önerilmektedir.
    Anlatlan çal³malarda kullanc davran³lar, genel saldr tespiti ve kullanc
proli belirleme için kullanlmakta olup bir yazlm çats önerilmemektedir. Biz
bu çal³mamzda di§erlerinden farkl olarak; kullanc davran³larndan, hesap
³ifrelerinin ele geçirilmesi gibi yetkisiz kullanmlar belirlenmesi için yararlan-
makta ve bir anomali alglama çats önermekteyiz.


                                         161
3      Yöntem


Anomali alglama sistemi; sunucu tarafnda anomali alglama motoru ve istemci
tarafnda Javascript kütüphanesi olmak üzere iki ana bile³enden olu³maktadr.
Aktif kullancnn, web sayfalar üzerindeki mouse hareket davran³lar Javascript
kütüphanesi tarafndan toplanr ve bir aksiyon iste§i gerçekle³ti§inde, örne§in
kullanc ba³ka bir sayfaya geçmek istedi§inde, toplanan mouse hareket bilgileri
ile birlikte aksiyon tipi sunucu tarafnda çal³an anomali alglama motoruna gön-
derilir. Burada kullancnn aktif oturumundaki davran³lar önceki oturumlar
ile kar³la³trlarak, normal veya anormal durum ³eklinde bir karar üretilir. Aktif
oturum bilgisi, kullancnn her yeni aksiyonunda güncellenmektedir. Buna göre
ilgili oturum için anomali kontrolü, sunucu tarafnda belirli zaman aralklarnda
bir asenkron olarak gerçekle³tirilebilir. Bu ³ekilde periyodik asenkron kontroller
ile sistem asl uygulamann cevap sürelerini etkilemeden anormal oturum kon-
trolü yapabilir. Kullanc saysnn fazla oldu§u ortamlarda ise yatay ve dikey
ölçekleme yöntemleri ile sistem performans iyile³tirilebilir. lerleyen bölümlerde
anomali alglama sisteminin bile³enleri anlatlacaktr.

3.1     Anomali Alglama Motoru

Sunucu tarafnda, gönderilen kullanc oturum bilgilerine göre, normal veya anor-
mal oturum ³eklinde karar üreten sistemdir. Bunun için kullancnn oturum
içerisindeki aksiyonlarnnn önceki oturumlar ile benzerli§inden yararlanmak-
tadr. Aksiyon a kavram, kullancn web uygulamas üzerinde gösterdi§i bir
davran³ (durum de§i³imini) ifade etmektedir ve kullanm yöntemine göre, iki
web sayfas arasndaki geçi³e kar³lk gelebilece§i gibi, ayn web sayfas üzerindeki
bir butona tklama gibi bir i³leme de kar³lk gelebilmektedir.
    Kullancnn oturum davran³larnn tanmlanmasnda, her bir durumdaki
mouse hareket deseni d bilgisi de aksiyon bilgisine eklenmektedir. Bir matris
d ile gösterilen mouse hareket deseni, istemli mouse hareketlerini içerdi§i gibi,
ki³iyi tanmlamada faydal olabilecek, kas hafzas kullanlarak yaplan istemsiz
hareketleri de içermektedir. Desen matrisin her bir hücresi mouse i³aretçisinin,
ekrann ilgili bölgesine kaç kere geldi§ini belirtmektedir. Desen matrisinin olu³tu-
rulma detaylar ilerleyen bölümde anlatlacaktr.

    Aksiyonlar bir araya gelerek aksiyon dizilerini A yani oturumlar meydana
getirirler. Aktif oturum önceki oturumlar ile kar³la³trlrken, aktif oturumun
aksiyon dizileri N-Gram yöntemi ile küçük gruplara ayrlmakta ardndan önceki
oturumlarn aksiyon N-Gram'lar ile kar³la³trlmaktadr. Durum geçi³ bilgisi
ayn olan iki farkl aksiyon veya aksiyon grubu, mouse hareket desenine baklmak-
szn E³ olarak kabul edilmi³tir. E³le³en aksiyon N-Gram'lar saylarak, Jackard
Distance yöntemi ile oturumlar arasnda benzerlikler hesaplanmakta ve bu benz-
erliklerin ortalamas alnmaktadr. Elde edilen ortalama, kar³la³trlan oturumun
önceki oturumlar ile arasndaki aksiyon davran³larnn benzerli§ini vermektedir.

      Örnek aksiyon dizileri:


                                        162
   A1 = {aa−b , ab−c , ac−g , ag−k , ak−t , at−b }
   A2 = {aa−b , ab−c , ac−a , aa−k , ak−t , at−b }

   Aksiyon dizileri için 2'li N-Gram'lar:

   A1 = {{aa−b , ab−c }, {ab−c , ac−g }, {ac−g , ag−k }, {ag−k , ak−t }, {ak−t , at−b }}
   A2 = {{aa−b , ab−c }, {ab−c , ac−a }, {ac−a , aa−k }, {aa−k , ak−t }, {ak−t , at−b }}

   E³le³en 2'li N-Gram'lar:

   {aa−b , ab−c }, {ak−t , at−b }

   Jackard Distance: (2 / 5)

    mouse hareket desenlerinden alnan bilgilere göre sonuçlar iyile³tirmek için,
e³le³en aksiyonlarn desen matrisleri vektörel hale getirilip, Cosine distance yönte-
mi ile benzerlikleri hesaplanmaktadr. Ardndan yine bu benzerliklerin ortala-
mas alnmaktadr. Elde edilen ortalama, kar³la³trlan oturumun önceki otu-
rumlar ile e³ kabul edilen aksiyonlarnn bireysel benzerli§ini vermektedir.

   Oturum benzerlik skoru:


                                             1
                                    α ∗ β + (1 − α) ∗ γ


       α = Aksiyon Dizi Benzerli§i / Mouse Hareket Benzeri§i A§rl§
       β = N-Gram Jackard Distance Ortalamas
       γ = Mouse Desen Matrisleri için Cosine Distance Ortalamas

    Benzerlik skoru belirli bir e³ik de§erin altnda olan oturumlar, anormal olarak
kabul edilir. Skor üretiminde, aksiyon geçi³lerine mi, yoksa aksiyonlarnn birey-
sel benzerli§ine mi daha çok a§rlk verilece§i Alpha parametresi ile belirlen-
mektedir. Bunun sayesinde sistem uygulamaya özgü ³ekilde ayarlanabilmektedir.
Örne§in; aksiyon saysnn az olup, tekil sayfa aktivitesinin daha önemli oldu§u
uygulamalarda Alpha de§eri 0'a yakn tutulmaldr. Oturum kar³la³trmalar
yaplrken eskiyen kullanc al³kanlklarndan etkilenmemek için, kullancnn
yalnzca en yeni K adet oturumu kullanlmaktadr. Karar üretim süreci ekil
- 1 `de anlatlmaktadr.


                                           163
                       ekil - 1: Anomali alglama sistemi.


3.2   Javascript Kütüphanesi


stemci tarafnda çal³arak, kullancnn aksiyon isteklerini, anomali alglama
motoruna bildiren ve her aksiyon için t birim sürede bir mouse hareket koor-
dinatlarn kaydeden sistemdir. Bu koordinatlardan sunucu tarafnda d matrisi
ile gösterilen mouse hareket deseni hesaplanr. r ve c matrisin satr ve sütun
saylar olacak ³ekilde, tarayc ekran yatayda r, dikeyde de (c hücreye bölün-
mü³ kabul edilerek, kaydedilmi³ olan mouse i³aretçi konumlarna kar³lk gelen
matris hücrelerinin de§eri bir arttrlr. Sonuçta matrisin her bir hücresi, mouse
i³aretçisinin ekrann ilgili bölgesine kaç kere geldi§ini göstermektedir. Bu i³lemin
detaylar, Algoritma - 1'de yer almaktadr. Kullanc tarafndan bir aksiyon is-
te§i oldu§unda matrisin son hali aksiyon bilgisi ile birlikte anomali alglama
motoruna gönderilir. Matrislerin kar³la³trlmas srasnda uç de§erlerin e§ilim


                                        164
yaratmamas için minimum ve maksimum de§erlere göre normalizasyon yapl-
maktadr. Örnek bir ekran ve mouse desen matrisi ekil 2.a ve 2.b'de görülebilir.


Algoritma 1 JsActionCapturer

1: xSeperation = getScreenXSize()/c
2: ySeperation = getScreenYSize()/r
3: d ⇐ c by r zero matrix
4: for each time t do
5:      x = getMouseXCoord()
6:      y = getMouseYCoord()
7:      for i = 0 to c − 1 do
8:         if i==0 then
9:              xP os = 0
10:        else
11:             xP os = x/(i ∗ xSeperation)
12:        end if
13:        for j = 0 to r − 1 do
14:             if j==0 then
15:               yP os = 0
16:             else
17:               yP os = y/(j ∗ ySeperation)
18:             end if
19:             d[xP os][yP os] = d[xP os][yP os] + 1
20:        end for
21:     end for
22: end for


4      Sistem Tasarm


Sunucu tarafnda çal³an anomali alglama motoru, .Net C# kullanlarak geli³ti-
rilmi³tir ve a³a§daki snardan olu³maktadr.
      - User
      - MouseMoveTrace
      - Action
      - ActionSequence
      - AnomalyDetectorSession
      - AnomalyDetector
      - AnomalyDetectorHttpHandler
      - Utils
Bu snara ait snf diyagramlar ekil - 3 `de görülebilir.

    User : Sistemde her kullancya ait tanmlayc bilgileri tutan snftr. Tanmla-
yc olarak UserName (kullanc ad) kullanlmaktadr. User nesneleri, User-
Name de§erlerine baklarak kar³la³trlmaktadr bunun için; .Net ile birlikte ge-


                                               165
                 ekil - 2: Örnek ekran ve mouse desen matrisi.


                                  (a) Örnek ekran


                              (b) mouse desen matrisi


len ön tanml IEquatable arayüzü uygulanm³ ve Equals yordam içerisinde
UserName kar³la³trmas yaplm³tr.
    MouseMoveTrace : Javascript Kütüphanesi tarafndan gönderilen mouse hare-
ket koordinatlarnn tutuldu§u snftr.
    Action : Kullancnn web uygulamas üzerinde gerçekle³tirdi§i bir operasy-
onu bir durum de§i³imi olarak belirtir ve ilk durumdaki mouse hareket desenini
üzerinde barndrr. Nesne kar³la³trmalarnda kullanmak üzere, .Net ile bir-
likte gelen ön tanml IEquatable arayüzü uygulanm³ ve Equals yordam
içerisinde State1 ve State2 `ye göre kar³la³trma yaplm³tr.
    ActionSequence : Kullancnn bir oturum içerisinde gerçekle³tirdi§i aksiyon
dizilerini tutar.
    AnomalyDetectorSession : ActionSequence snfndan türetilen snf, kul-
lancnn bir oturumunu temsil eder, aksiyon dizileri ile birlikte kullancy tanm-
layan bilgileri de içerisinde barndrr.
    AnomalyDetectorHttpHandler : Javascript kütüphanesi tarafndan XhrPost-
lar ile Json formatnda gönderilen aksiyon isteklerini i³leyerek aktif oturumun
aksiyon dizilerine ekleyen snftr. .Net'in IHttpHandler arayüzünden türetilmi³tir.
    Utils : Jackard ve Cosine Distance'larn hesaplanmas, mouse koordinatlarn-
dan desen matrislerin yaratlmas ve aksiyon N-Gram'larnn olu³turulmas gibi
ortak olarak kullanlan temel i³levleri sa§layan snftr.
    AnomalyDetector : Sistemin temel bile³enidir, Singleton tasarm deseni kul-
lanlarak geli³tirilen snf; sistem parametreleri ile birlikte çe³itli public yor-


                                        166
               ekil - 3: Anomali alglama motoru snf diagram.


damlar barndrr;

    Javascript kütüphanesi AnomalyDetectorJsLib tipinde bir snf olarak tasar-
lanm³tr. Web uygulamasnda anomali analizine dahil edilmek istenen her Ak-
siyon (ba§lantya tklama veya bir Javascript fonksiyonu ça§rma), AnomalyDe-
tectorJsLib'in bir nesnesinin DoAction fonksiyonu üzerinden ça§rlmaldr. Bu
fonksiyon bir sonraki aksiyonun Id `si ile birlikte aksiyon içeri§ini parametrik
olarak alr, aksiyon bilgisini Json formatnda XhrPost olarak sunucu tarafna
gönderir ve aksiyonun kendisini gerçekle³tirir. AnomalyDetectorJsLib nesneleri
ayn zamanda, belirtilen zaman aral§nda bir kullancnn mouse hareket koordi-
natlarn bir liste olarak kaydeder. Bu koordinatlar her aksiyon iste§inde aksiyon
bilgisi ile birlikte sunucuya gönderilir.


5    Deneysel Sonuçlar


Anomali alglama sisteminin verimlili§i, uygun bir gerçek veri seti bulunamad-
§ndan, yapay kullanclar ve kullanc davran³larn içeren bir veri seti yaratlarak
analiz edilmi³tir. Bunun için rastgele tekdüze da§l³ kullanlarak;


    - 20 farkl aksiyon ismi tanmlanm³tr.
    - Aksiyonlar aras geçi³ olaslklarn içeren 20x20'lik 10 farkl matris tanm-
        lanm³tr. Buradaki her matris farkl birer kullanc proline kar³lk
        gelmektedir.
    - Her kullanc için minimum 15 maksimum 20 adet oturum yaratlm³tr.


                                         167
    -   Her bir oturumda ilgili kullancnn geçi³ olaslklar matrisi kullanlarak
         yaratlan minimum 8, maksimum 10 aksiyon yer almaktadr.

    Yaratlan veri seti kullanc oturum listesine eklendikten sonra, test için ayn
geçi³ olaslklar matrisleri kullanlarak yeni oturumlar üretilmi³ ve bunlarn nor-
mal oturum olarak gösterilip gösterilmedi§ine baklm³tr. Benzer ³ekilde farkl
kullanclarn test oturumlar birbirleri ile de§i³tirilerek anormal oturumlarn al-
glanp alglanmad§na da baklm³tr. Güvenilir test sonuçlar elde etmek için
100 farkl veri seti türetilip bunlarn do§ruluk sonuçlarnn ortalamas alnm³tr.
Buna göre sistemin do§rulu§u %83.21 olarak görülmektedir.


6    Sistem Parametreleri


Sistem 3 adet d³ parametreye sahiptir, bunlar; Anomali E³ik De§eri T , Ak-
siyon geçi³i / Aksiyon benzerli§i orann belirleyen Alpha ve en son kaç otu-
rum ile kar³la³trma yaplaca§n belirleyen K de§erleridir. 0 ile 1 aral§nda
olan Anomali E³ik De§eri için dü³ük de§erler verildi§inde sistem tüm oturum-
lar anormal olarak alglamaktadr, yüksek de§erlerde ise anormal oturum bulma
oran dü³mektedir. Alpha parametresi sistemin çal³trlaca§ web uygulamasna
göre belirlenmelidir, Alpha 1'e yakn iken sistem kullanc Aksiyonlarnn sralama
benzerli§ine daha çok önem vermektedir, sfra yakla³t§nda ise aksiyonlardaki
mouse hareket desenlerinin benzerli§i önem kazanr.
    ç parametre olarak kabul edilen N-Gram'lardaki N says 3 olarak alnm³tr,
bu saynn üstünde elde edilebilecek N-Gram kombinasyonlar (aksiyon says)N
³eklinde artt§ için kar³la³trlmas gereken N-Gram saylar da artmaktadr.
Daha dü³ük de§erlerde ise sistemin do§ru alglama oran dü³mektedir. Farkl
parametre birle³imleri, 100 farkl set üzerinde test edilerek, yapay veri setleri için
en iyi parametre yaplandrmas ³u ³ekilde belirlenmi³tir; Anomali E³ik De§eri
T = 0,88 Alpha = 0,9 K = 10
    Buna göre yapay veri setleri üzerinde kullanclarn mouse hareket davran³lar-
nn iyi bir ³ekilde modellenemedi§i ve sistemin yüksek Alpha de§erlerinde ba³ka
bir deyi³le aksiyonlarn dizi benzerli§ine önem veren yaplandrmada iyi çal³t§
görülmektedir. Gerçek bir sistemde en uygun parametre de§erlerini belirlemek
için; bir süre oturum örneklemesi yaplarak farkl parametre kombinasyonlarnn
ba³ar oranlar hesaplanabilir ve bunlar üzerinde optimizasyon yaplabilir.
    Parametrelerin farkl de§erlerine göre elde edilen do§ru alglama oranlar
ekil - 4 'de görülmektedir. ekil - 4.a 'ya göre Alpha de§erindeki art³a ba§l
olarak do§ru alglama oran artmaktadr. Alpha de§erinin artmas navigasyon
benzeri§inin katksn arttrd§ için, test veri setinde navigasyon benzerliklerinin
daha belirleyici oldu§u söylenebilir. ekil - 4.b 'de kar³la³trlacak oturum saysn
belirleyen K de§erinin artmas do§rululuk orann arttrsa da etkisinin dü³ük
oldu§u görülmektedir. ekil - 4.c 'de ise e³ik de§erindeki art³n sonuçlar iy-
ile³tirdi§i söylenebilir fakat 0.88 de§erinden sonra sonuçlar sabit kalmaktadr.
Bu testler için, analiz edilen parametre d³ndaki parametrelerde belirtilmi³ olan
optimum de§erleri kullanlm³tr. Anomali E³ik De§eri T dü³ük iken, sistem tüm


                                         168
oturumlar anormal olarak kabul etmekte ve ba³ar oran dü³mektedir, benzer
³ekilde yüksek de§erde ise tüm oturumlar normal olarak etiketlenmektedir. Al-
pha'nn dü³ük de§erlerinde sistem ba³arsnn oldukça dü³tü§ü gözlenmektedir,
bunun sebebi; yapay veri setinin mouse hareket desenleri açsndan daha dü³ük
ayrt edilebilirli§e sahip olmasdr. Kar³la³trmalarda kullanlacak olan oturum
saysn belirleyen K parametresinin de§i³imi sistem ba³arsn kayda de§er ³ek-
ilde etkilememi³ gibi görünse de, bu parametre gerçek veride zaman içinde de§i³e-
bilecek kullanc davran³larn yakalamak açsndan faydal olacaktr. Örne§in
bir SAAS kullancs zaman içerisinde farkl sayfa navigasyon davran³lar veya
farkl mouse hareket al³kanlklar geli³tirebilir, buna göre sistemin kullancnn
son oturumlarn göz önüne alarak anomali skorlar üretmesi, do§rulu§u arttra-
caktr.


7   Sonuç


Bu çal³mada kullanclarn SAAS uygulamalar üzerinde yaptklar sayfa navi-
gasyonu, tklama ve mouse hareketi gibi aksiyonlara göre kendilerine özgü kul-
lanm modellerini çkaran ve bu modelleri, Anormal oturum tespitinde kul-
lanan bir uygulama çats sunulmu³tur. Sayfalar üzerinde ve sayfalar arasnda
gerçekle³tirilen tüm aksiyonlar N-Gram'lar ile modellenmekte ve önceki aksiy-
onlar ile kar³la³trlmaktadr. Bunun yannda mouse hareketleri de matrisler
ile temsil edilmekte ve aksiyon bilgileri e³le³en N-Gram kar³la³trma sonuçlar,
matris benzerlikleri ile daha da iyile³tirilmektedir. Çal³ma özellikle SAAS or-
tamlarnda kullanc ³ifrelerinin 3. ahslar tarafndan ele geçirilmesi durumunda,
sistem kullanm al³kanlklarna göre Anormal oturumlarn alglanmas ve son-
landrlmas için önemlidir. Sistemi test etmek için rasgele tekdüze da§l³ ile ya-
pay kullanc oturumlar veri-seti üretilmi³ ve sistemin %83'ün üzerinde ba³ar
üretmekte oldu§u gözlenmi³tir.


                                        169
        ekil - 4: Parametre Analizi

       (a) Alpha / Sistem Ba³ar Oran


         (b) K / Sistem Ba³ar Oran


     (c) E³ik De§eri T / Sistem Ba³ar Oran


                     170


11
Kaynaklar


1. Krakauer, J.W., Shadmehr, R.: Consolidation of Motor Memory. Trends in Neuro-
  sciences. 29, 5864 (2006)
2. William B. Cavnar and John M. Trenkle: N-Gram-Based Text Categorization. In
  Proceedings of SDAIR-94, 3rd Annual Symposium on Document Analysis and In-
  formation Retrieval, pp. 161175. (1994)
3. William B. Cavnar and John M. Trenkle: Prediction of Human Behaviors in the
  Future Through Symbolic Inference. International Conference on Robotics and Au-
  tomation (ICRA), pp. 19701970. IEEE, Shanghai (2011)
4. Andrija TomoviÄ, Predrag JaniÄiÄ, Vlado KeÅ¡elj: N-Gram-based Classi-
  cation and Unsupervised Hierarchical Clustering of Genome Sequences. Computer
  Methods and Programs in Biomedicine, vol. 81, pp. 137153. (2006)
5. Singhal, Amit: Modern Information Retrieval: A Brief Overview. Bulletin of the
  IEEE Computer Society Technical Committee on Data Engineering , vol. 24, pp.
  3543. (2001)
6. I. Cadez, D. Heckerman, C. Meek, P. Smyth and S. White: Visualization of Naviga-
  tion Patterns on a Web Site Using Model-based Clustering. Knowledge Discovery
  and Data Mining , pp. 280. (2000)
7. Y. Xie and Shun-Zheng Yu: A Large-Scale Hidden Semi-Markov Model for Anomaly
  Detection on User Browsing Behaviors. IEEE/ACM Transactions on Networking ,
  vol. 17, pp. 5465. (2009)
8. J. VelÃ¡squez, H. Yasuda, and T. Aoki: Combining the Web Content and Usage
  Mining to Understand the Visitor Behavior in a Web Site. In Proceedings of 3rd
  IEEE International Conference on Data Mining, pp. 669672. (2003)
9. Y. Pan, X. Ding: Anomaly Based Web Phishing Page Detection. In Proceedings of
  22nd Computer Security Applications Conference, pp. 381392. (2006)
10. G. Nascimento, M. Correia: Anomaly-based Intrusion Detection in Software as a
  Service. In Proceedings of the IEEE/IFIP 41st International Conference on Depend-
  able Systems and Networks Workshops, pp. 1924. (2011)
11. W. Zhang, Q. Yang, Y. Geng: A Survey of Anomaly Detection Methods in Net-
  works. In Proceedings of the International Symposium on Computer Network and
  Multimedia Technology, pp. 13. (2009)


                                       171