Topluluk öğrenmesi kullanılarak zararlı alan adlarının sınıflandırılması

Abstract

İnternet kullanımı her geçen gün daha da yaygınlaşmakta ve insan hayatındaki varlığını giderek artırmaktadır. Kullanımın artmasıyla birlikte siber saldırılar da her geçen gün artmakta ve hem kullanıcıların hem de sistemlerin güvenliği tehdit altında kalmaktadır. Doğrudan sistemleri hedef alan siber saldırılar mevcut olmakla birlikte kullanıcıları zararlı web sitelerine yönlendirerek çeşitli çıkarlar elde etmeye çalışan siber saldırılar da mevcuttur. Böyle bir ortamda alan adlarının zararlı olup olmadığının tespiti büyük önem arz etmektedir. Bu alandaki ilk çalışmalar zararlı alan adlarından oluşan bir kara liste oluşturarak erişilmek istenen web sitesinin kara listede olup olmadığını tespit etmeye yönelmiştir. Ancak bu yaklaşım, kullanıcıları sadece daha önce zararlı olduğu tespit edilen web sitelerinden korumaktadır. İlk kez kullanılacak zararlı web sitelerini tespit edememektedir. Daha sonra makine öğrenmesi yöntemlerinin de gelişimiyle kötücül web sitelerinin yapay zeka ile tespit edilip sınıflandırılması çalışmaları hız kazanmıştır. Bu alanda makine öğrenmesi ve derin öğrenme yöntemleriyle çeşitli çalışmalar yapılmakta ve kayda değer başarılar elde edilmektedir. Bu çalışma kapsamında topluluk öğrenmesi yöntemleri kullanılarak zararlı alan adı tespiti ve sınıflandırması yapılmıştır. Literatürde bu alanda makine öğrenmesi ve derin öğrenme teknikleriyle araştırmalar olsa da topluluk öğrenmesi yöntemleri kullanılan bir çalışma henüz bulunmamaktadır. Ayrıca mevcut çalışmaların birçoğunda sınıflandırma sürelerine yer verilmemiştir. Ancak operasyonel anlamda işletilebilir bir sistem kurmak için modelin doğruluğu kadar çalışma hızı da önemlidir. Bu sebeple çeşitli topluluk öğrenmesi yöntemleriyle sınıflandırma performanslarını doğruluk oranı ve sınıflandırma süresi açısından kıyaslayan bir çalışma yapılmıştır. Çalışma kapsamında Canadian Institute for Cybersecurity tarafından sağlanan CIC-Bell-DNS 2021 veri kümesi kullanılarak 4 farklı sınıf (phishing, malware, spam, benign) için sınıflandırma yapılmıştır.Internet usage is becoming increasingly prevalent, exerting a growing influence on people's daily lives. As usage surges, cyberattacks are on the rise, endangering the security of both users and systems. While there are direct cyberattacks targeting systems, there are also those that attempt to lead users to harmful websites to pursue various interests. In this context, it's vital to determine the malicious nature of domain names. Initial efforts in this domain focused on establishing a blacklist of malicious domain names to identify whether a desired website was on that list. However, this approach only safeguards users from known malicious websites, failing to detect newly used malicious sites. With the advancement of machine learning, artificial intelligence-based methods have gained momentum in identifying and categorizing malicious websites. This study employs ensemble learning methods for malicious domain detection and classification. While research on machine learning and deep learning techniques exists in the literature, there has been no study involving ensemble learning methods in this context. Additionally, most existing studies do not address classification times. However, for the establishment of an operational system, the classification speed of the model is as crucial as the model's accuracy. Hence, a study comparing classification performance in terms of accuracy and classification time using various ensemble learning methods was conducted. Within this study, domain names were classified into four distinct categories (phishing, malware, spam, benign) using the CIC-Bell-DNS 2021 dataset provided by the Canadian Institute for Cybersecurity.