=Paper=
{{Paper
|id=Vol-2045/Bilisim_paper_15
|storemode=property
|title= Oruntu Tanama ve Analiz Yontemleri ile Hizmet Kalitesinin Artirilmasina Yonelik Anormallik Tespit Uygulamasi Gelistirmesi (Anomaly Detection Application Development for Increasing Service Quality with Pattern Recognition and Analysis Methods)
|pdfUrl=https://ceur-ws.org/Vol-2045/13_Bilisim_2017_paper_15.pdf
|volume=Vol-2045
|authors=Busra Keles,Ceren Hakverdi,Esra Karabiyik
}}
== Oruntu Tanama ve Analiz Yontemleri ile Hizmet Kalitesinin Artirilmasina Yonelik Anormallik Tespit Uygulamasi Gelistirmesi (Anomaly Detection Application Development for Increasing Service Quality with Pattern Recognition and Analysis Methods)==
https://ceur-ws.org/Vol-2045/13_Bilisim_2017_paper_15.pdf
ÖRÜNTÜ TANIMA VE ANALİZ YÖNTEMLERİ İLE HİZMET
KALİTESİNİN ARTTIRILMASINA YÖNELİK ANORMALLİK
TESPİT UYGULAMASI GELİŞTİRMESİ
Büşra Keleş Esra Karabıyık
TurkNet, Büyükdere Caddesi No:121, Ercan Plaza TurkNet, Büyükdere Caddesi No:121, Ercan Plaza
Kat:2, 34394 Gayrettepe, İstanbul Kat:2, 34394 Gayrettepe, İstanbul
busra.keles@turknet.net.tr esra.karabiyik@turknet.net.tr
ÖZET
Keywords
Projede amaç network verileri kullanılarak TurkNet
Anomaly detection; machine learning; netflow; suricata.
ağındaki anomali durumlarını tespit etmektir. Bu amaç
için farklı kaynaklardan toplanıp depolanan network
GİRİŞ
verileri işlenmiştir. Ayrıntılı paket trafiğini izlemeye İnternet kullanımı ve teknolojinin hızla geliştiği
olanak sağlayan Netflow verileri ve açık kaynak kodlu günümüzde daha etkin ve güçlü savunma sistemlerinin
saldırı tespiti yapan Suricata yazılımının tespit ettiği geliştirilmesi çok önemlidir. Türkiye'de son yıllarda
alarmlar kullanılmıştır. Verilerin içeriği ağdaki resmi kurumların web sayfalarına yönelik yapılan
paketlerin protokol, port ve ip bilgisi, kullanıcıların saldırılar, bankalara yönelik yapılan saldırılar, benzer
toplam ve saniyelik indirme ve yükleme , bağlantı hızı, şekilde dünyada büyük şirketler ve devlet kurumlarına
gönderilen dns isteği sayısı bilgileri gibi trafiği analiz yapılan saldırılar bu alandaki tehdidin boyutunu açıkça
etmeye yardımcı veriler yer almaktadır. Bu veriler gözler önüne sermektedir. Türkiye'de de siber güvenlik
önişleyiciden geçirilerek farklı makine öğrenmesi bilincinin artması, son zamanlarda yoğun siber saldırılara
algoritmalarında eğitim datası olarak kullanılmıştır ve bu maruz kalınması ve siber güvenlik tedbirleri ile ilgili
modeller ağ trafiğindeki anomalilerin tespitinde girişimlerde bulunmanın ihtiyaç halini almasıyla birlikte
kullanılmıştır. Projede SVM(Support Vector Machine), değişik çalışmalar yapılmaktadır. Bu durumlar saldırı
iForest ve LOF(Local Outlier Factor) olmak üzere üç tespit sistemlerini gündeme getirmektedir.[6] Saldırı
farklı algoritma denenmiştir. Modellerin sonuçları tespit sistemleri içerik olarak bilgi/öğrenme tabanlı
Kibana’nın arayüzünde grafiklerle görselleştirilmiştir. (anormallik tespiti) ve imza (kötüye kullanım tespiti)
Ulaşılan sonuçlarda anomali olarak tanımlanan veriler, tabanlı olmak üzere iki farklı mantığa göre
kullanıcı profillemesi sonucunda kullanıcıların çalışmaktadırlar. İlk yapıda sistemlerin ve ağın işleyişi
davranışlarındaki değişikliklerin tespiti ile DDOS ve belirli bir düzenle özdeşleştirilerek tanımlı ağ veya
benzeri ağ saldırılarıdır. kullanıcı için eşik değerleri tanımlanır. Daha sonra takip
Anahtar Kelimeler edilen trafik bu eşik değerlerine göre değerlendirilerek,
Anomali tespit; makine öğrenmesi; netflow; suricata. oluşacak herhangi bir normal dışı hareket ile saldırının
tanımlanması hedeflenir. İkinci yani imza tabanlı yapıda
ABSTRACT
ise anti virüs sistemlerinde olduğu gibi oluşturulmuş
The main purpose of the project is to detect anomalies in
çeşitli imzalar ile paketler incelenir ve saldırıların bu
TurkNet network structure. For this purpose, various
data sources are used such as Netflow data which şekilde saptanması hedeflenir.
includes the detailed packet traffic and Suricata which is Bu çalışmada, kötüye kullanım tespiti için mevcut açık
an open source, rule based IDS to detect anomalies. The kaynak kodlu çözümlerden yararlanılarak sisteme
data contains different types of information to analyze entegrasyon sağlanacaktır. Anormallik tespiti bu projenin
the network traffic such as the protocol type of the odak konusudur. Anormallik tespiti DOS olarak
packets, source/destination port and source/destination kategorilendirilen ve ağ trafiğinde etki yaratan
ip, total and per time download / upload bytes of users, saldırılardır.
connection speed and the number of dns requests sent by
users. These data has preprocessed and used as train Bu da algoritmanın veri setleri yönelik olarak, nokta
data for different machine learning algorithms which are bazlı trafik verisi toplanıp, örüntü tanıma teknikleri ile
SVM , iForest and LOF. Later on, these models are used profilleme yapılacaktır.[5] Mevcut kullanım bu örüntü ile
to detect anomalies in network traffic. The outputs of the gerçek zamanlı ve sürekli olarak kıyaslanacaktır.
models are visualized on Kibana. As a result, the Kıyaslama sonucunda beklenen güvenlik aralığında
anomalies detected are defined as the change in user olmayan kullanımlar saldırı olarak işaretlenecektir. Profil
behaviors and different network attacks such as DDOS. değişikliklerinin tanımlanması bu projenin katma değerli
çıktılarından biridir. Özel durumlara yönelik profil
değişikliklerin modellenmesi ile hatalı tespit ve yanlış
�alarm oluşturma durumunun önüne geçilmesi söz konusu kapasitesinden daha fazla kullanım istekleri gönderen
olacaktır. Yapay öğrenme teknikleri ile sistemin anormali durumları keşfedildi.
anormallikleri daha kolay tespit etmesi mümkündür.
Benzer anormalliklerden sonuç çıkararak tespit oranının Suricata IDS
iyileştirilmesini sağlayacak bir platform oluşturulacaktır. Suricata açık kaynak kodlu saldırı tespit ve önleme
sistemidir. Ağ trafiğini izleyerek trafiğin pcap
ANOMALİ TESPİT UYGULAMASI
formatında kaydedilmesini daha sonra kaydedilen bu
İnternet dünyasının gelişim sürecinde özellikle tüm
dosyaların offline olarak analiz edilmesini sağlamaktadır.
dünyada kullanılan web trafiğinin artması ve de web
HTTP istekleri, SSH bağlantıları kaydedilebilir, DNS
sayfalarının popüler hale gelmesi ile birlikte kişisel ya da
istek /cevapları da kaydedilir ve tüm kayıtların birçok
tüzel sayfalara yapılan saldırılar, kurum ya da
programlama dili tarafında kolayca anlaşılabilen JSON
kuruluşların sahip oldukları ve tüm dünyaya açık
formatında kaydedilmesini sağlar. Kurallara göre üretilen
tuttukları mail, DNS, database gibi sunucularının benzeri
alarmlar metin formatında kaydedilebilmekte ya da
saldırılara maruz kalabilecekleri ihtimali Saldırı Tespit
syslog’a gönderilebilmektedir.
Sistemlerini ihtiyaç duyulan en önemli konulardan biri
haline getirmiştir. Yapılan proje kapsamında Suricata kuralarak kural
Yapılan çalışmada , Internet Protocol (IP) kullanıcı veritabanı yüklendi. Ardından yüklenen kurallara göre
profilleri ve alternatif saldırı tiplerine yönelik tespit trafik izlenmeye başlandı. Suricata çıktıları
modellerinin oluşturulması ile bölge, cihaz ve kaynak ElasticSerach’e aktarıldı. ElacticSearch, Java ile
bazlı anormallik tespiti yapabilecek bir saldırı tespit geliştirilmiş açık kaynak, lucene tabanlı, ölçeklenebilir
çözümünün geliştirilmesi amaçlanmaktadır. Bu hedefe bir tam metin arama motoru ve veri analiz aracıdır.
uygun olarak TurkNet ağı içerisinde oluşan trafik dikkate ElasticSearch’e atılan veriler kullanılarak Şekil 1 ve
alınarak kullanıcıların profillenmesi, profil Şekil 2 ‘de görülen alarmların izleneceği grafikler ve
değişikliklerinin tespiti ve ağda etki yaratan saldırıların aynı zamanda Dashboard, Kibana üzerinde oluşturuldu.
tespitine yönelik bir çözüm geliştirilmesine Kibana veri görüntüleme platformudur.
odaklanılmıştır.
IP Kullanıcı Eşleştiren Uygulama
Yapılan çalışmada istenen profilleme ve de profil
değişikliklerinin tespiti için anlık IP ve kullanıcı ismi
eşleştiren yapı kuruldu. TurkNet , kurumsal abonelerine
Static IP verirken bireysel abonelerine Dinamik IP
tanımlaması anlık IP eşleştirmesini zorlu kılmaktadır.
TurkNet’in kullanıcı verileri Radius sunucuları
üzerinden geçmektedir. Kullanılan Radius sunucuları
üzerine iki tane FreeRadius Proxy’si kurulması Radius
trafiğinin üst tarafta FreeRadius’lar tarafından
okunmasını sağlamıştır. Yapılan geliştirmede, Şekil 1. Suricata Alarm Monitor-Kibana
FreeRadius’lardan akan Radius log trafiğinin syslog
kullanılarak canlı bir şekilde proje makinalarımıza
akması sağlanmıştır. Radius log trafiğinde start olan
kullanıcılar ve IP bilgileri database’de Canlı IP Matching
tablosuna gönderilir, session’ı bitenler ise geriye dönük
Ip eşleştirme sorgusuna ihtiyaç duyulacağından History
tablosuna kaydı atılır. IP eşleştirme uygulamamız da
TurkNet IP’si midir sorusuna yanıt veren, Static ve
Dinamik IP’ye göre bütün CGNAT-IP eşleştirme
mantıklarının yer aldığı fonksiyonlar yazılım
kütüphanemize eklenerek kullanıcıların IP numaralarının
kullanıcı isimleri ile canlı eşleştirmesi sağlanmıştır.
Geliştirilen IP kullanıcı ismi eşleştirmesi ile
kullanıcıların CRM verileri denilen Hizmet Tipi,
Kampanya, Santral, Cihaz Bilgisi vs. bilgilerine kolayca Şekil 2. Suricata Dashboard-Kibana
ulaşıldı. Bu geniş veri setinde çalıştırılan algoritmalar Suricata üzerinden elde edilen DNS istekleri ile makine
sayesinde çeşitli profillere rastlandı. Çıkan profillemeler öğrenmesi algoritmaları çalıştırılarak anormallik
sonucunda Çarşamba günleri hiç kullanımı olmayan durumları gözlemlendi. Suricata DNS istekleri üzerinde
abonelere rastlandı. Bireysel abonelerin gece çalıştırılan SVM modeli Şekil 3 ‘te görselleştirildi.
kullanımları kurumsal abonelerinde gündüz kullanım Sınıflandırma için bir düzlemde bulunan iki grup
desenlerine ile karşılaşıldı. Abonelerin hizmet bilgileri arasında bir sınır çizerek iki grubu ayırmak mümkündür.
ile kullanım verilerini karşılaştığımızda aldığı hizmet Bu sınırın çizileceği yer ise iki grubun da üyelerine en
�uzak olan yer olmalıdır. İşte SVM bu sınırın nasıl
çizileceğini belirler.[1]
Şekil 3. Suricata SVM Model Şekil 5. Suricata SVM Model
Çalıştırılan data setinin ilk kolonunda timestamp , ikinci Çalıştırılan model çıktılarında görüldüğü gibi çıkan
kolonunda timestamp’e gönderilen toplam DNS istekleri patern dışında kalan noktalar anormallik durumunu
sayısı bulunmaktadır. Son kolonda ise o timestamp’e göstermektedir.
hangi IP’lerin istek gönderdikleri liste halinde Aynı veriler, yeni makine öğrenmesi algoritmalarından
oluşturulmuştur. biri olan LOF (Local Outlier Factor) algoritması ile de
Suricata’dan aldığımız veri JSON objeleri dönmektedir. çalıştırıldı. LOF algoritmasının çalışma prensibi, SVM
JSON objelerini ön işleyiciden geçirip istenilen formata gibi cluster’lar oluşturmak yerine, her sample’a bir adet
getirilerek bir txt dosyasına aktarıldı. Modele uygun hale LOF değeri atar. Bu LOF değeri, o sample’ın outlier
getirmek için bu txt dosyasındaki veriler iki boyutlu olup olmama durumunu komşu değerlerine bakarak
matrise atıldı. belirler. LOF algoritmasının bir sınıflandırma algoritması
olan SVM’e göre avantajı, SVM algoritmasında
SVM algoritması için uygun Kernel fonksiyonu RFB anormallik tespiti normal sample’lara göre yapıldığı için
Kernel olarak belirlendi. Bu kernel çeşidinin tespit edilen anomali sayısı gerçek anormallik sayısına
kullanılmasındaki sebep datanın daha karmaşık olması göre daha düşük çıkabilir.
ile birlikte eğrisel bir karar çizgisine ihtiyaç
duyulmasıdır. LOF algoritması SVM’den farklı olarak sınıflandırma
yerine, bir noktanın kumşularına olan uzaklığına bakarak
Modellerde default gelen nu ve gamma o uzaklığa ait bir LOF değeri atar. Bu LOF değeri
parametrelerinden ziyade modelin en doğru şekilde noktanın komşularından ne kadar izole olduğunun
çalışması için farklı değerler bu parametreler için ortalama değeridir. LOF değeri birden küçük olan
denendi.[9] Denen değerlerle, modelin overfitting ve sample’lar yoğun bölgelerde bulunurken, LOF değeri
underfitting arasında dengeli çalıştırılması amaçlandı. birden büyük olan sample’lar, komşulardan uzak,
Farklı nu ve gamma değerleri ile çalıştırılan Suricata yoğunluğu az bölgelerde bulunmakta olduğundan outlier
SVM modelinin çıktıları Şekil 4 ve Şekil 5 ‘de olarak değerlendirilmeye daha yakındırlar.
görülmektedir.
Öncelikle LOF algoritması Python kütüphanesi haline
getirildi. Ardından SVM modelinde kullanılan aynı data
LOF algoritmasına verildi. Aynı sonuç LOF algoritması
ile de alındı. Fakat SVM 14 sn. de cevap dönerken LOF
1.4 sn. de sonuç verdi.
Netflow
Netflow, network cihazları üzerinden geçen trafiğin
(belirlenen vlan ve interface’ler üzerinde)
tanımlanmasını ve network trafiğini izlememizi sağlayan
bir protokoldür. Bu datadan kolaylıkla trafiğin kaynak ve
hedef IP adresleri, kaynak ve hedef portları, servis tipleri
elde edilebilir. Netflow ‘un asıl amacı, router’ların
belirlenmiş interface ve vlan’leri üzerinden geçen
trafiğin örneklemler alınarak istatistiksel veriler
Şekil 4. Suricata SVM Model sağlamasıdır.
Netflow verileri cihazlardan bir dakikada gelecek şekilde
ayarlandı. Netflow’un nfdump dosyalarına da IP
�kullanıcı eşleştiren uygulama kullanılarak hem kaynak
hem de hedef IP için kullanıcı adları eklendi. Netflow
datası üzerinde üç farklı makine öğrenmesi algoritması
çalıştırıldı ve kıyaslamaları yapıldı. Bu algoritmalar
SVM (Support Vector Machine), iForest ve LOF (Local
Outlier Factor ) algoritmalarıdır.
Girdi olarak verilerin kullanılabilmesi için verilerin
kaynağına bağlanıp veriler istenilen şekilde önişleyiciden
geçirildi. Önişleyici ile Netflow üzerinden gelen bilgiler
arasında IP adresleri, TCP Flows, UDP Flows, ICMP
Flows, TCP Packets,UDP Packets, ICMP Packets, TCP
Bytes, UDP Bytes, ICMP Bytes, bps ve zaman olmak
saldırı tespit etmek için gerekli olan veriler alındı.[16]
Model de verileri işleyebilmek için matematiksel bir Şekil 8. Netflow- LOF Model Çıktısı
biçime vektörel hale dönüştürüldü. Her bir dakikayı
temsil eden veri noktaları boyutlu bir vektöre çevrildi. Üç farklı model de anomali durumunu oluşturan aynı IP
Elde edilen veriler mat. (Matlab data format) formatında sonuçlarını döndüğü görüldü. Fakat çalışma süreleri
dosyalarda saklandı. Ardından model eğitildi. Model farklılık gösterdi. Aşağıdaki Tablo 1’de dosya boyutuna
eğitimi zaman aldığından eğitim verisi ile eğitilmiş göre modellerin çalışma süreleri yer almaktadır. Bu
model sınıfları dizişik veriye çevrilip (serialization ) çalışma sürelerine bakılarak, proje için LOF (Local
saklanabilir. Böylelikle bir kez eğitilmiş model ile yeni Outlier Factor) algoritması tercih edildi.
gelen data sınıflandırılabilir. Vektör de saklanan Netflow
datasının öncelikle 3 ayrı makine öğrenmesi Model Çalışma Süresi Dosya Boyut
algoritmasında denenerek kıyaslaması yapıldı.[3] Aynı SVM 4.9 sn. 9.92 Mbyte
data ile çalıştırılan üç ayrı modelin çıktıları Şekil 6, Şekil
7 ve Şekil 8’ de görülmektedir. LOF 3.69 sn. 9.92 Mbyte
iForest 13.5 sn. 9.92 Mbyte
Tablo 1. Modellerin Kıyaslanması
iForest algoritması da diğer algoritmalar gibi anormallik
tespiti için kullanılır. SVM’in sınıflandırma metodundan
farklı olarak ağaç yapısını kullanır. Her örnek için ayrı
bir ağaç yapısı oluşturulur. Anormali durumları bu ağaç
yapısının üst katmanında yer almaktadır. Her örnek
bulunduğu bölgeye göre bir anormali skoru alır.
Şekil 6. Netflow-SVM Model Çıktısı Bu algoritmanın avantajı; büyük veri setlerinde bile, veri
setinin küçük bir bölümünü kullanarak doğru sonuçlar
verebiliyor olmasıdır. Bu da bu algoritmayı büyük veri
setlerinde kullanmayı daha mümkün hale getirmektedir.
Aynı zamanda algoritma eğitim data setteki örnek
anormalliklere ihtiyaç duymadan anomali tespiti
yapabilmektedir.[4] Bu da algoritmanın veri setleri,
işaretlenmemiş veri setleri (unsupervised learning) ile
kullanımını mümkün hale getirmektedir.[12]
Ardından IP bilgisi alınan Netflow datası üzerinde çeşitli
akışların kombinasyonları ile model çalıştırıp kıyaslandı.
Örnek olarak TCP-ICMP Flows, ICMP-UDP Bytes,
TCP-UDP Packets gibi çeşitli Netflow’dan gelen data
üzerinde modeller çalıştırıp aynı anormallikler tespit
edebiliyor mu diye kıyaslamalar yapıldı. Gelen
anormalliklerin IP bilgisine sahip olduğundan buradan
Şekil 7. Netflow – iForest Çıktısı yazılan IP ‘den kullanıcı bulan program ile kullanıcıya
ulaşabiliniyor. Bu kombinasyonların çıktıları aşağıdaki
şekillerde yer almaktadır.
� Şekil 12.Suricata Dashboard
Şekil 9. TCP-UDP Flows Model Çıktısı Aşağıdaki şekilde de uygulanan algoritmaların aynı
anormallikleri yakaladıklarını üst üste kesişmelerinden
anlayabiliriz. (En son grafik bu kesişmeyi
göstermektedir.)
Şekil 10. TCP-UDP Packets Model Çıktısı
Şekil 13. Suricata Dashboard
PCA, veri analizi esnasında veri setinin boyutlarını
küçültmek için kullanılır. Böylece bazı işlemlerin hızlı
sonuçlanması sağlanır. Ayrıca, çok boyutlu verileri
küçülttüğü için kolay görselleştirme de sağlar. Suricata
alarmlarının her biri birer boyut olarak alındı. Ve 44
boyutlu vektör ile model çalıştırıldı. Çalıştırılan bu
modellerin görselleştirilmesi içinde PCA uygulandı.
Aşağıdaki şekilde LOF algoritmasının PCA uygulanmış
sonucu görülmektedir.
Şekil 11.TCP-UDP Bytes Model Çıktısı
Yukarıdaki şekillerin çıktılarında sınırların dışında kalan
alanlar anormallik durumunu göstermektedir.
SONUÇ
Yapılan proje sonrasında Suricata’dan gelen alarmlar
üzerinde makine öğrenme algoritmaları çalıştırıldı. [7]
Suricata alarmları üzerinde çalıştırılan algoritmalar;
SVM, iForest, LOF ve PCA (Principal Component
Analysis) uygulanmış (boyut indirgenmiş) LOF
algoritmalarıdır. Uygulanan algoritmaların çıktıları
ElasticSearch’e atılıp Kibana üzerinden grafikleri
oluşturulmuştur. Aşağıdaki şekilde ilk iki grafikte Şekil 14. PCA Uygulanmış LOF Algoritması
Suricata alarmlarının grafikleri gösterilmektedir. En son Koyu renkli noktalar anormallik durumlarını
grafikte ise uygulanan modellerin çıktıları göstermektedir. Bu çalışmalar ile projemiz
görselleştirilmiştir. tamamlanmıştır.
�Yapılan çalışmada bir saldırı tespit sisteminin [12] Animesh Patcha and Jung-Min Park. An overview
geliştirilmesi hedeflenmekteydi. Bu hedefe uygun olarak of anomaly detection techniques: Existing solutions and
TurkNet ağı içerisinde oluşan trafik dikkate alınarak latest technological trends. Computer networks,
kullanıcıların profillenmesi, profil değişikliklerinin 51(12):3448–3470, 2007.
tespiti ve ağda etki yaratan saldırıların tespitine yönelik
[13] Heiko Paulheim and Robert Meusel. A
bir çözüm geliştirilmesi yapılmıştır.
decomposition of the outlier detection problem into a set
of supervised learning problems. Machine Learning,
100(2-3):509–531, 2015.
KAYNAKÇA
[1] Mennatallah Amer, Markus Goldstein, and Slim [14] MI Petrovskiy. Outlier detection algorithms in data
Abdennadher. Enhancing one-class support vector mining systems. Programming and Computer Software,
machines for unsupervised anomaly detection. In 29(4):228–237, 2003.
Proceedings of the ACM SIGKDD Workshop on Outlier
Detection and Description, pages 8–15. ACM, 2013. [15] Leonid Portnoy. Intrusion detection with unlabeled
data using clustering. 2000.
[2] Mikhail Atallah, Wojciech Szpankowski, and Robert
Gwadera. Detection of significant sets of episodes in [16] R Sekar, Ajay Gupta, James Frullo, Tushar
event sequences. In Data Mining, 2004. ICDM’04. Shanbhag, Abhishek Tiwari, Henglin Yang, and Sheng
Fourth IEEE International Conference on, pages 3–10. Zhou. Specification-based anomaly detection: a new
IEEE, 2004. approach for detecting network intrusions. In
Proceedings of the 9th ACM conference on Computer
[3] Elnaz Bigdeli, Mahdi Mohammadi, Bijan Raahemi, and communications security, pages 265– 274. ACM,
and Stan Matwin. A fast and noise resilient cluster-based 2002.
anomaly detection. Pattern Analysis and Applications,
pages 1–17, 2015. ÖZGEÇMİŞLER
[4] Varun Chandola, Arindam Banerjee, and Vipin
Kumar. Anomaly detection: A survey. ACM computing Büşra Keleş
surveys (CSUR), 41(3):15, 2009.
Liseyi Türk Telekom Anadolu
[5] Nathan Eagle and Alex Sandy Pentland. Lise’sinde okumuştur. Doğuş
Eigenbehaviors: Identifying structure in routine. Üniversitesi’nden Elektronik ve
Behavioral Ecology and Sociobiology, 63(7):1057–1066, Haberleşme Mühendisliğinden
2009. mezundur.Endüstri Mühendisliği
ile çift anadal yapmıştır. Türk
[6] Levent Ertoz, Eric Eilertson, Aleksandar Lazarevic, Telekom, Siemens, ve TurkNet’te
Pang-Ning Tan, Vipin Kumar, Jaideep Srivastava, and staj yapmıştır. Ardından TurkNet’te Proje Uzman Destek
Paul Dokas. Minds-minnesota intrusion detection Yardımcısı olarak çalışmaya başlamıştır. TurkNet’te
system. Next generation data mining, pages 199–218, Proje Uzman Destek Yardımcısı pozisyonundan sonra
2004. sırası ile çalıştığı pozisyonlar; İş Zekası ve İş Süreçleri
[7] Eleazar Eskin, Andrew Arnold, Michael Prerau, Analisti, Yardımcı Proje Yönetici ve Proje Yöneticisidir.
Leonid Portnoy, and Sal Stolfo. A geometric framework Şu an TurkNet’te Proje Yöneticisi olarak çalışan Büşra,
for unsupervised anomaly detection. In Applications of AR-GE projelerini yönetmektedir.
data mining in computer security, pages 77–101. Ceren Hakverdi
Springer, 2002.
Liseyi Beşiktaş Anadolu
[8] Isabelle Guyon and Andr´e Elisseeff. An introduction Lisesi'nde okumuştur. Boğaziçi
to variable and feature selection. The Journal of Machine Üniversitesi Bilgisayar Eğitim
Learning Research, 3:1157–1182, 2003. Teknolojileri bölümünden
[9] Robert Gwadera, Mikhail J Atallah, and Wojciech mezundur. Satko ve TurkNet
Szpankowski. Reliable detection of episodes in event firmalarında staj yapmıştır.
sequences. Knowledge and Information Systems, TurkNet firmasında Yazılım
7(4):415–437, 2005. Uzman Yardımcısı olarak
çalışmaktadır. AR-GE ve yazılım geliştirmeleri
[10] Wenjie Hu, Yihua Liao, and V Rao Vemuri. Robust yapmaktadır.
support vector machines for anomaly detection in
computer security. In ICMLA, pages 168–174, 2003. Esra Karabıyık
[11] Gerhard Mu¨nz, Sa Li, and Georg Carle. Traffic Liseyi Ümraniye Anadolu
anomaly detection using k-means clustering. In GI/ITG Lisesinde okumuştur. İstanbul
Workshop MMBnet, 2007. Ticaret Üniversitesinde
Matematik Bölümünü %100
burslu tamamlamıştır. İstanbul
�Teknik Üniversitesi Hesaplama Bilim ve Mühendislik'de
yüksek lisans yapmaktadır. Türknet İletişim
Hizmetlerinde Yazılım Geliştirme Uzman Yardımcısı
olarak görev almaktadır.
�