Endüstriyel Sistemlerde Anomali Tabanlı Saldırı Tespit Sistemi | by Muhammet Furkan Saydam | Jun, 2023

1. GİRİŞ

Endüstriyel kontrol sistemleri (ICS), otomasyon ve kontrolü sağlayan sistemlerdir. Bu sistemler, enerji, su, doğal gaz ve diğer kritik altyapıların kontrolünde kullanılır. Endüstriyel kontrol sistemleri, kritik altyapıların güvenli, verimli ve etkili bir şekilde yönetilmesine yardımcı olur. Ancak, bu sistemlerin siber güvenlik açıkları da bulunmaktadır. ICS’ler, siber tehditlerin hedefi haline geldi. Bu tehditler, sistemi kontrol etmek, bozmak veya hasara neden olmak için kullanılır. Siber tehdit aktörleri, ICS’lere zarar vermek için çeşitli yollar kullanır. Örneğin, ICS’lere kötü amaçlı yazılım yükleyebilirler veya sistemlerin zayıf noktalarını kullanarak sisteme erişebilirler. ICS’lere yapılan saldırılar son derece ciddi sonuçlara yol açabilir. Kritik altyapıların kontrolünü kaybetmek, çevresel felaketlere veya insan kaybına yol açabilir. Bu nedenle, ICS’lere yapılan saldırılardan korunmak çok önemlidir.

ICS’lerin siber güvenliği, altyapının işletilmesinde en önemli konulardan biridir. Siber güvenliği sağlamak için, siber güvenlik farkındalığının artırılması ve uygun güvenlik önlemlerinin alınması gereklidir. Siber güvenlik farkındalığı, kullanıcıların siber tehditlerin ne olduğunu, neden önemli olduklarını ve bunlardan nasıl korunabileceklerini anlamalarını sağlar. Siber tehditlerin neden olduğu

5

riskleri azaltmak için, ICS’lere yönelik güvenlik politikaları ve prosedürleri geliştirilmelidir. Bu politikalar, ICS’lere yapılan saldırıları önlemek ve saldırı durumunda yanıt vermeyi kolaylaştırmak için tasarlanmıştır. Ayrıca, ICS’lere yönelik güvenlik testleri de yapılmalıdır. Bu testler, sistemdeki zayıf noktaları tespit ederek, altyapının daha güvenli hale getirilmesine yardımcı olur. Sonuç olarak, endüstriyel kontrol sistemleri, kritik altyapıların yönetimi için hayati bir rol oynar. Ancak, bu sistemlerin siber güvenlik açıkları da bulunmaktadır. Siber güvenlik farkındalığı ve uygun güvenlik önlemlerinin alınması, ICS’lere yapılan saldırıları önlemeye yardı

ICS’lere yönelik güvenlik testleri yapılması altyapının güvenliği açısından son derece önemlidir. Bu testler, sistemin güvenlik açıklarını tespit ederek, olası saldırılara karşı önlem alınmasını sağlar.ICS’lere yönelik güvenlik testleri genellikle iki aşamada yapılır. İlk aşama, sistemin genel güvenlik durumunu tespit etmeye yönelik bir incelemedir. Bu inceleme sırasında, sistemdeki ağ yapıları, sunucular, iş istasyonları, sensörler, aktüatörler gibi bileşenler detaylı bir şekilde incelenir. Ayrıca, sisteme erişimi olan kullanıcıların rolleri ve yetkileri de değerlendirilir. Bu aşamada, sistemdeki güvenlik açıkları ve zayıf noktalar tespit edilerek, raporlanır. İkinci aşama ise, tespit edilen güvenlik açıklarının giderilmesine yönelik bir testtir. Bu aşamada, tespit edilen açıkların ne kadar kritik olduğu belirlenir ve önceliklendirilir. Daha sonra, bu açıkların giderilmesi için uygun önlemler alınır ve tekrar check edilir. Bu süreç, tüm güvenlik açıkları giderilene kadar devam eder. ICS’lere yönelik güvenlik testleri, sadece sistemin güvenliğinin sağlanması açısından değil, aynı zamanda endüstriyel faaliyetlerin kesintisiz bir şekilde devam etmesi açısından da son derece önemlidir. Çünkü ICS’lere yönelik bir saldırı, endüstriyel faaliyetleri olumsuz yönde etkileyebilir ve hatta bazı durumlarda ciddi kazalara sebep olabilir.

1.1 Endüstriyel Kontrol Sistemleri (ICS) ve Kritik Altyapıların Özellikleri

Endüstriyel Kontrol Sistemleri (ICS) ve Kritik Altyapılar (CI) genellikle üretim, iletişim, enerji, ulaşım, sağlık ve kamu güvenliği gibi kritik faaliyetlerin sürdürülmesi için gereklidir. Bu sistemler, üretim hatlarının kontrol edilmesi, verilerin toplanması ve işlenmesi, iletişim ağlarının yönetilmesi, tesislerin güvenliği ve çevresel faktörlerin kontrol edilmesi gibi görevleri yerine getirir. ICS’ler, endüstriyel işletmelerde kullanılan otomasyon sistemleridir. Bu sistemler genellikle üretim, tesis yönetimi, veri toplama ve kontrol işlemleri için kullanılır. ICS’ler, üretim süreçlerinin kontrolünü sağlamak için tasarlanmış cihazlar, yazılımlar ve ağlar içerir. Kritik Altyapılar, ülkenin ekonomik, sosyal ve politik istikrarı için önemli olan altyapılardır. Bu altyapılar, enerji santralleri, su arıtma tesisleri, iletişim ağları, havaalanları, demiryolları, limanlar, hastaneler, kamu binaları, finansal kuruluşlar ve benzeri yapılar gibi birçok altyapıyı içerir. ICS’lerin ve Kritik Altyapıların özellikleri şunlardır:

 Yüksek Öncelik: ICS’ler ve Kritik Altyapılar, işlevlerinin sürekli ve güvenilir bir şekilde 6

çalışması gerektiği için yüksek önceliklidir.

•  Yüksek Derecede Özelleştirme: ICS’ler, özel üretim hatları veya işlemler için özel olarak tasarlanmıştır. Bu nedenle, birçok durumda, standart güvenlik önlemleri yetersiz kalabilir.
•  Karmaşık Ağlar: ICS’ler, birçok cihazın bir araya getirilmesiyle oluşan karmaşık bir ağ yapısına sahiptir. Bu nedenle, güvenlik açığına neden olabilecek birçok nokta vardır.
•  Uzun Ömür: ICS’ler, birçok endüstriyel tesisin temel bileşenleridir ve uzun süreli kullanım için tasarlanmıştır. Bu nedenle, güvenlik açıkları yıllar boyunca fark edilmeyebilir.
•  İnternet Bağlantısı: Birçok ICS sistemi, internete bağlanmak için tasarlanmıştır. Bu nedenle, siber saldırılarla karşı karşıya kalmak daha olasıdır.
•  Eskimiş Donanım ve Yazılım: ICS’ler genellikle yıllarca hatta on yıllarca kullanılabildiğinden, bu sistemlerde kullanılan donanım ve yazılım eski olabilir. Bu da güncellemelerin ve yamaların uygulanmasını zorlaştırabilir ve bilinen güvenlik açıklarını içerebilir.
•  Standart Ağ Teknolojileri: ICS’ler genellikle standart ağ teknolojileri kullanmazlar ve kendi iletişim protokollerini kullanırlar. Bu protokoller, siber saldırganlar tarafından bilinmeyebilir ve daha az bilinen protokoller, saldırganların güvenlik açıklarını keşfetmelerini daha zor hale getirir. Ancak, bu protokoller sıklıkla güvenlik açıkları içerir ve saldırganlar, bu açıklardan yararlanarak sisteme saldırabilirler.
•  Sabit Tasarım: ICS’lerin tasarımı genellikle sabittir ve değişiklikler yapmak zor olabilir. Bu da güvenlik yamalarının ve diğer güncellemelerin uygulanmasını zorlaştırabilir.
•  Fiziksel Erişim: ICS’ler genellikle fiziksel olarak korunur ve sadece yetkili personel tarafından erişilebilirler. Ancak, fiziksel erişim sadece bina içindeki kişilere değil, aynı zamanda dışarıdan gelen saldırganlara da izin verebilir. Bu nedenle, ICS’lerin fiziksel güvenliği de önemlidir.
•  İşletme Amaçları: ICS’lerin ana amacı, üretim, imalat veya diğer endüstriyel işlevlerin kontrol edilmesidir. Bu nedenle, bu sistemlerin işletme sürekliliği ve kesintisiz çalışması, birçok kritik altyapı için hayati önem taşır. Bununla birlikte, siber saldırganların hedefi haline gelmeleri, bu amaçlarını etkileyebilir ve hatta tehlikeye atabilir.
• Bu özelliklerin yanı sıra, ICS’ler ve Kritik Altyapılar, diğer birçok siber güvenlik riskiyle de karşı karşıyadır, özellikle de hedeflenen saldırılar, fidye yazılımı saldırıları, casus yazılım saldırıları ve diğerleri. Bu nedenle, bu sistemlerin güvenliği için sürekli olarak güncellenen siber güvenlik politikaları ve önlemleri uygulanmalıdır. Bu özellikler, ICS’ler ve Kritik Altyapılar için güvenlik açıklarına neden olabilir ve bu nedenle, bu sistemlerin güvenlikleri oldukça önem arz etmekte. Özellikle kritik altyapıların güvenlikleri sadece sistemleri etkilemek kalmamakta aynı zamanda insan hayatlarını etkilemekte.

7

Bunlardan ötürü Güvenlik Standartları ve derinlemesine güvenlik sistemleri gibi güvenlik önlemleri alınmalı ve buraların sadece elektronik ortam ve siber güvenliğinin dışında fiziksel güvenliğini de korumak hem devletler hem de özel kurumlar için oldukça önem arz etmekte

ICS’ler, SCADA sistemleri gibi sistemlerde çok düzenli iletişim kalıplarına sahiptir. Sıklıkla aynı sınırlı sayıda okuma ve yazma komutu döngü içinde tekrarlanır. Örneğin, Zhang ve ark. tarafından sunulan gaz boru hattı sistemi, aynı iki komutu bir döngüde tekrarlar. İlk olarak, kontrol için kullanılan tüm kayıtların ve bobinlerin içeriği yazılır. Ardından, sistemdeki ölçülen durumu okumak için bir Modbus okuma komutu kullanılır. Modbus protokolü, özellikle SCADA sistemleri gibi birçok ICS’te kullanılır. Bu protokolde, köle veri isteği yapmaz, sadece ana bilgisayardan komut alır. Veri seri hatlar üzerinden (Modbus RTU/ASCII) veya Ethernet üzerinden (Modbus TCP) iletilir. Bu iki komut, iki yanıt takip eder. Bu düzenlilik, tüm cihaz adreslerinin sabit olduğu bir komut kümesine yol açar ve dört paketin her birinin aynı uzunluğa sahip olmasını sağlar. Bu varyasyon eksikliği beklenen bir durumdur. Bu düzenli kalıplar, regular davranışın modellerini oluşturmak ve anormal sapmaları tespit etmek için kullanılabilecek makine öğrenme algoritmaları tarafından sömürülebilir.

Makine öğrenmesi yöntemlerinin çeşitli fiziksel problemler ve pratik bağlamlar için önemli güvenlik bilgileri sağlayabildiği gözlemlenmiştir. Siber güvenlik uzmanları, otomatik makine öğrenmesi yaklaşımlarının daha sistemli, daha kolay yönetilebilir ve ustalaşılabilir olduğunu savunmaktadır. Bu olanaklar, kabul edilebilir bir güvenlik seviyesiyle gelecekteki endüstriyel sistemlerin planlanması ve işletilmesi için yeni perspektifler açmaktadır. Güvenlik uzmanları, SCADA güvenliğinin önemini listeleyerek ICS’lerin güvence altına alınmasının zorluklarını tartışmaktadır. Son zamanlarda, araştırmacılar SCADA ağ trafiği izleri kullanarak sızma tespit sistemlerini incelemeye başlamışlardır. Yeni çoklu bulut ağlama paradigmalarının ortaya çıkmasıyla, ICS’lerin alt kümesi, çeşitli bulut hizmet sağlayıcılarının sunduğu IaaS platformunun avantajlarından yararlanarak buluta kaydırılabilir. Ancak, bu yeni platformlardaki güvenlik sorunları bu büyük değişiklikten önce ele alınmalıdır. Bu amaçla, çoklu bulut ortamlarında anormallik tespiti için makine öğrenme uygulamalarına daha fazla dikkat edilmelidir.

Günümüzdeki IDS’ler, belirli bir sisteme yönelik olarak anormal tehdit faaliyetlerini tespit etmek için desen tanıma için makine öğrenme algoritmalarını kullanmaktadır. Bilinen tehditlerin bir veritabanıyla etkin bir şekilde karşılaştırılan imza tabanlı sistemleri kullanan diğer IDS’ler de bulunmaktadır. Bu işlevler, güçlü bir tespit sistemi için bir araya getirilebilir ve çeşitli saldırı senaryoları için yeterli bir koruma katmanı sağlar. Makine öğrenme tekniklerinin popülerliğine rağmen, IDS araştırmacı gruplarına, algoritmaları eğitmek ve check etmek için standart veri kümeleri eksikliği vardır. Bu durum, ICS’lerde anormallikleri tespit etmek için sağlam ML(Makine Öğrenmesi) modelleri geliştirmek için bir engel oluşturur. Araştırmaların birçoğu, özellikle ICS bağlamında, araştırmacılar tarafından kullanılan veri kümelerinin tüm saldırı türlerini içermediğinden, IDS’nin performansını değerlendirmek zor olabilir.

IDS araştırmacılarının önerilen algoritmaları eğitmek ve check etmek için ortak bir çerçeveye sahip

8

olmadığını savunmaktadır. Uzmanlar, ICS araştırma topluluğunun IDS’leri için veri paylaşımının iki yaklaşımını belgeleyerek bu boşluğu kapatmaya çalışır. Çalışmalarında, öncelikle bir gaz boru hattından elde edilen bir ağ trafiği veri günlüğü sunulur. Günlük bir laboratuvarda kaydedilmiş olup regular işletim ve siber saldırılarla ilgili unsurları içerir. İkinci olarak, HMI, PLC, Modbus/TCP iletişimi ve Simulink tabanlı bir gaz boru hattı modeli içeren genişletilebilir bir sanal gaz boru hattı sunulur. Sanal gaz boru hattı, siber saldırıları ve regular davranışları modellemek için imkan sağlar. Veri günlüğünün oluşturulmasında toplamda 35 siber saldırı kullanılmıştır. Ayrıca, veri günlüğü 214.580 Modbus ağ paketi kaydı içermekte olup bunlardan 60.048 paket siber saldırılarla ilişkilidir. Veri günlüklerinde her paket, saldırı numarası veya regular olaylarla ilişkili paketler için saldırı etiketi 0 ile etiketlenir. İlgili ICS’lerdeki trafiği temsil etmek için simülasyon araçlarını kullanarak farklı modeller oluşturulabilir.

1.2 Endüstriyel Sistemlerde Kritik Altyapı Alanları

•  Kritik altyapılar, bir ülkenin günlük işleyişinde önemli bir rol oynayan, kamu hizmetlerinin sürekliliğini sağlamak için gereksinim duyulan tesislerdir. Bu tesisler arasında elektrik şebekeleri, su kaynakları, nükleer santraller, telekomünikasyon ağları, sağlık hizmetleri, ulaşım sistemleri, bankalar ve finansal kurumlar, gıda üretim tesisleri, petrol ve gaz hatları gibi birçok altyapı yer almaktadır.
•  Nükleer Santraller: Nükleer santraller, elektrik üretmek için kullanılan kompleks yapılar olup, radyasyon gibi çevresel riskler taşırlar. Bu nedenle, nükleer santrallerin işletmesi, güvenliği, bakımı ve yönetimi son derece kritiktir.
•  Su Yönetimi: Su kaynakları, bir ülkenin yaşamsal önemi olan temel bir kaynaktır. Su kaynaklarının yönetimi, su kaynaklarına erişim, su kalitesi ve su arıtımı gibi konuları kapsar. Bu nedenle, su kaynaklarının yönetimi de kritik bir altyapı olarak kabul edilir.
•  Elektrik: Elektrik altyapısı, bir ülkenin ekonomik kalkınması için hayati önem taşır. Elektrik üretim, dağıtım, iletim ve yönetim sistemleri, birçok farklı endüstriyel sektörün işleyişini etkileyebilir ve bu nedenle de kritik altyapılar arasında yer alır.
•  Sağlık: Sağlık hizmetleri, bir ülkenin toplum sağlığı ve refahı için önemli bir rol oynar. Hastaneler, sağlık merkezleri ve diğer sağlık tesisleri, yaşamsal önem taşıyan tıbbi hizmetlerin sunulmasını sağlar. Bu nedenle, sağlık hizmetleri de kritik altyapılar arasında yer alır.

9

•  Hapishane: Hapishanelerde kullanılan kapılar da kritik bir bileşen oluşturur. Kapılar, hapishane personelinin ve mahkumların güvenliğini sağlamak için tasarlanmıştır. Bu kapılar, sıklıkla elektronik kontrol sistemleri ile yönetilir. Kapı açma ve kapama işlemleri genellikle uzaktan kumanda edilebilir ve personel tarafından izlenebilir. Bu nedenle, kapıların güvenliği kritik önem taşır. Ancak, hapishanelerde kullanılan kapılar da diğer ICS’ler gibi siber saldırılara karşı savunmasız olabilirler. Kapıların açılması ve kapanması gibi işlemler, siber saldırganların hedefi olabilir ve bu saldırılar mahkumların ve personelin güvenliğini tehlikeye atabilir. Bu nedenle, hapishaneler de diğer kritik altyapı alanları gibi siber güvenlik açısından önemlidir ve güvenlik testlerine tabi tutulmalıdır.
•  Ulaşım: Ulaşım, ülkenin ekonomik ve sosyal faaliyetlerinde önemli bir rol oynamaktadır. Demiryolları, havaalanları, limanlar ve karayolları gibi ulaşım altyapıları, ülkelerin ekonomik büyümesinde ve gelişmesinde önemli bir position sahiptir. Bu nedenle, bu altyapıların siber güvenliği de büyük önem taşımaktadır.
•  Finansal Hizmetler: Bankalar, sigorta şirketleri ve diğer finansal kurumlar, finansal hizmetlerin sunulduğu altyapılara sahiptir. Bu kurumların siber saldırılara karşı savunmasız kalması, büyük bir ekonomik threat yaratabilir. Bu nedenle, finansal kurumlar güçlü siber güvenlik önlemleri almak zorundadır.
•  Savunma: Askeri tesisler, ülkenin güvenliği için hayati öneme sahip olan altyapıdır. Bu nedenle, askeri tesislerin siber güvenliği büyük bir önem taşımaktadır. Askeri tesisler, siber saldırılara karşı korunmak için özel olarak tasarlanmış güvenlik önlemlerine sahip olmalıdır.
•  Gıda ve Tarım: Gıda ve tarım, herhangi bir ülkenin hayatta kalması için önemli olan altyapıdır. Bu nedenle, gıda ve tarım endüstrisi, siber güvenlik risklerine karşı korunmalıdır. Özellikle, tarım endüstrisinde, siber saldırıların bitkilerin üretimini ve hasadını olumsuz etkilemesi, gıda kıtlığına neden olabilir.
•  Telekomünikasyon: İletişim altyapısı, günümüz dünyasında hayati bir öneme sahiptir. Telekomünikasyon altyapısına yapılan siber saldırılar, büyük bir ekonomik kayba neden olabilir. Bu nedenle, telekomünikasyon altyapısı, siber güvenlik açısından güçlü olmalıdır.

Bu alanlar, ülkelerin ekonomik, sosyal ve güvenlik açılarından hayati öneme sahiptir. Bu nedenle, bu altyapıların siber güvenliği büyük bir önem taşımaktadır. Kritik altyapıların önemi, ülkelerin sosyo- ekonomik ve stratejik faaliyetlerini devam ettirebilmeleri için gereklidir. Kritik altyapıların hasar görmesi veya işlevsiz hale gelmesi, geniş kapsamlı etkiler yaratabilir ve hatta bir ülkeyi felakete sürükleyebilir. Örneğin, enerji sektörü kritik bir altyapıdır çünkü toplumun hayati işlevlerini destekler.

10

Elektrik kesintileri, tıbbi cihazların çalışmasını durdurabilir, evlerin ısınmasını engelleyebilir, trafik sinyallerini etkileyebilir ve diğer birçok işlevselliği engelleyebilir. Bu nedenle, birçok ülke enerji sektörüne özel önem vermektedir ve bu sektördeki kritik altyapıların korunmasını sağlamak için çeşitli güvenlik politikaları uygulamaktadır. Benzer şekilde, ulaşım sektörü de bir ülkenin sosyo-ekonomik faaliyetlerinde önemli bir rol oynar ve bu sektördeki kritik altyapıların korunması da büyük önem taşır. Ulaşım sektöründeki kritik altyapıların başarısızlığı, hava trafiğini durdurabilir, tren seferlerini durdurabilir ve hatta acil durum müdahalelerini engelleyebilir.

Daha da ileri giderek, örneğin hapishaneler, su kaynakları, kamu sağlığı, gıda tedariki vb. diğer kritik altyapılar, bir ülkenin sosyo-ekonomik ve stratejik faaliyetleri için hayati öneme sahiptir ve korunması gerekmektedir. Sonuç olarak, birçok ülke, kritik altyapılarının güvenliği için özel politikalar uygulamaktadır ve bu sektörlerdeki kritik altyapıların hasar görmesini önlemek için önlemler almaktadır. Kritik altyapıların korunması, ulusal güvenliğin önemli bir parçasıdır. Bu altyapılar, ülkenin işleyişini sürdürebilmesi için gereklidir ve saldırıya uğradığında, ciddi sonuçlar doğurabilir. Bu nedenle, birçok ülke kritik altyapılarını korumak için politikalar ve yasal düzenlemeler geliştirmiştir. Bu politikalar, altyapının güvenliğini sağlamak, tehditleri önceden tespit etmek ve müdahale etmek için hazırlık yapmak gibi amaçlar taşır.

11

2. Ulusular arası Kritik Altyapı Güvenliği

Kritik altyapılar, uluslararası düzeyde de bir güvenlik meselesi haline gelmiştir. Özellikle, siber saldırılar ve terörizm gibi küresel tehditler, kritik altyapılara yönelik riskleri artırmıştır. Bu nedenle, ülkeler arasında işbirliği yapılarak, uluslararası düzeyde kritik altyapıların korunması için çaba gösterilmektedir. Özellikle, NATO ve Avrupa Birliği gibi uluslararası örgütler, kritik altyapıların güvenliğini artırmak için çalışmaktadır. Ülkeler arasında işbirliği yapılarak, uluslararası düzeyde kritik altyapıların korunması içinçaba gösterilmektedir. Kritik altyapılar, her ülkenin ve bölgenin güvenlik açısından büyük öneme sahip olan temel bileşenleridir. Bu altyapılar, enerji, iletişim, ulaşım, su temini gibi temel hizmetleri sağlamakta ve toplumun istikrarını ve refahını desteklemektedir. Ancak, kritik altyapılar, ulusal ve uluslararası çıkarlara yönelik potansiyel tehditlerle karşı karşıyadır ve bu nedenle güvenlikleri büyük önem taşımaktadır.

Bölge farklılıkları, kritik altyapıların güvenliği açısından önemli bir etkendir. Her bölgenin coğrafi, siyasi ve sosyoekonomik özellikleri, kritik altyapılarına yönelik tehditlerin türünü ve yoğunluğunu belirleyebilir. Örneğin, bazı bölgelerde terör saldırıları veya siber saldırılar daha yaygın olabilirken, diğer bölgelerde doğal afetler veya ulusal güvenlik tehditleri öne çıkabilir. Bu nedenle, kritik altyapıların güvenliği, bölgesel özelliklere ve tehditlere özgü olarak ele alınmalıdır. Kritik altyapıların hassasiyeti, onların potansiyel etkileri ve sonuçları dikkate alındığında ortaya çıkar. Örneğin, enerji altyapısının kesintiye uğraması, geniş çaplı elektrik kesintilerine ve ciddi toplumsal etkilere yol açabilir. Benzer şekilde, iletişim altyapısının zarar görmesi, haberleşme ve acil durum iletişimi gibi kritik hizmetlerin aksamasına neden olabilir. Bu nedenle, kritik altyapıların güvenliği, hassas doğaları ve olası etkileri göz önünde bulundurularak büyük ölçekte ele alınmalıdır.

Kritik altyapıların güvenliği, ulusal ve uluslararası düzeyde işbirliği ve koordinasyon gerektiren karmaşık bir konudur. Bir ülkenin kritik altyapıları, diğer ülkelerin kritik altyapılarıyla sıkı bir şekilde bağlantılı olabilir ve birincil hedefler haline gelebilir. Bu nedenle, uluslararası işbirliği ve bilgi paylaşımı, kritik altyapıların güvenliğinin sağlanmasında önemli bir rol oynamaktadır. Aynı zamanda, her ülkenin kendi kritik altyapılarını korumak için ulusal güvenlik politikaları ve tedbirleri geliştirmesi gerekmektedir. Böylelikle, kritik altyapıların hassaslığına ve bölge farklılıklarına uygun güvenlik önlemleri alınabilir ve potansiyel tehditlere karşı etkili bir şekilde mücadele edilebilir.

12

13

2.1 Ülkelerin kritik altyapılarının güvenliği, devletlerin ekonomik ve sosyal güvenliği açısından hayati önem taşımaktadır. Kritik altyapıların savunulamaması, hizmetlerin kesintiye uğraması, insanların hayatlarını riske atabilir ve ekonomik kayıplara neden olabilir. Bu nedenle, birçok ülke kritik altyapılarının güvenliğini artırmak için önlemler almaktadır. Birçok ülke, kritik altyapıların güvenliğini sağlamak için ulusal düzeyde siber güvenlik stratejileri belirlemiş ve kritik altyapıların tespiti, korunması, savunulması ve yanıt verme kapasitesi gibi konuları ele almıştır. Kritik altyapıların siber güvenliğini sağlamak için bazı ülkeler, siber güvenlik testleri ve tatbikatlar yapmaktadır. Bunun yanı sıra, bazı ülkeler kritik altyapıların işletilmesinde siber güvenlik kurallarını zorunlu kılmaktadı Ancak, ulusal düzeyde alınan önlemler yeterli olmayabilir. Kritik altyapılar genellikle sınır ötesi etkilere sahiptir ve bir ülkedeki kritik altyapıların güvenliği diğer ülkeleri de etkileyebilir. Bu nedenle, uluslararası iş birliği ve koordinasyon önemlidir. Bu iş birliği çerçevesinde ülkeler, kritik altyapıların siber güvenliği konusunda bilgi paylaşımı, en iyi uygulamaların benimsenmesi ve kriz yönetimi stratejilerinin belirlenmesi gibi konularda iş birliği yapmaktadır. Sonuç olarak, kritik altyapıların güvenliği, birçok ülke için öncelikli bir konudur ve ulusal ve uluslararası düzeyde önlemler alınması gerekmektedir. Bu önlemler, kritik altyapıların işletilmesini sağlamak ve insanların güvenliğini korumak için hayati önemesahiptir. Türkiye, kritik altyapıların güvenliği konusunda birçok adım atmıştır. Türkiye Siber Güvenlik Stratejisi ve Eylem Planı’nı yayınlamıştır ve kritik altyapıların siber güvenliği konusunda birçok düzenleme yapmıştır. Ayrıca, Türkiye Siber Olaylara Müdahale Merkezi (TÜBİM) gibi kurumlar oluşturarak, siber güvenlikle ilgili tehditleri izlemekte ve müdahale etmektedir.

Terörist faaliyetlerinin gerçekleştirilmesi için siber dünyanın kullanılması, siber terör kavramının ortaya çıkmasını sağlamıştır. Siber terörün uluslararası alanda genel kabul gören bir tanımı yoktur. Genel olarak siber terör, kritik öneme sahip ulusal altyapılara (enerji, ulaşım, haberleşme gibi) bilgisayar ağlarını kullanarak zarar vermeyi veya bu altyapıları tamamen kullanılamaz hale getirmeyi amaçlayan saldırılar biçiminde kendini göstermektedir. Siber terörün gerçekleştirme amaçları genel olarak devlet tarafından korunan telekomünikasyon, ulusal güvenlik ağları gibi yapılarda yer alan bilgilerin elde edilmesi, değiştirilmesi veya terörist eylemlerinde kullanılmasıdır. Ayrıca siber terör, siyasal bir amaç için insanlara zarar vermeyi veya acı çektirmeyi de hedeflemektedir. Geleneksel terörden farklı olarak siber terör bazı özelliklere sahiptir. Bunlar siber terör yöntemlerinin kullanılması, siber terör saldırısının gerçekleştirilme sebepleri, saldırıyı düzenleyenin bilinçli olarak bilgi teknolojilerini kullanması şeklinde sıralanabilir. Siber terör saldırıları, geleneksel terör saldırılarına göre daha ölümcül düzeyde tehlikeler taşıyabilmektedir. Bu alanda yapılan çalışmada siber ataklar geliştirilmiş, gaz boru hattı kontrol sistemine bu ataklar uygulanmış ve sistemin tepkisine göre bir veri kümesi elde edilmiştir. Gaz boru hattı gibi kritik altyapılara yönelik gerçekleşen ataklar siber terör atakları olarak kabul edilebilmektedir

Türkiye’de kritik altyapıların belirlenmesi ve güvenliği ile ilgili çalışmalar genellikle Başbakanlık Afet ve Acil Durum Yönetimi Başkanlığı (AFAD) tarafından yürütülmektedir. AFAD, ulusal çapta threat yönetimi, afet ve acil durum planlaması, acil müdahale, kurtarma ve rehberlik faaliyetleri yürüten bir

14

kuruluştur. AFAD, kritik altyapıların belirlenmesi, sınıflandırılması, threat analizleri ve güvenlik tedbirleri ile ilgili faaliyetleri de yürütmektedir.

Türkiye’de kritik altyapıların güvenliği konusunda çeşitli stratejiler ve yönelimler belirlenmiştir. Bunlardan biri, 2013 yılında kabul edilen “Kritik Altyapıların Korunması Ulusal Stratejisi”dir. Bu strateji, kritik altyapıların tespit edilmesi, sınıflandırılması, korunması, yönetimi, eğitimi ve uluslararası işbirliği gibi konuları ele almaktadır. Bunun yanı sıra, ülkede çeşitli bakanlıklar ve kurumlar da kritik altyapıların güvenliği ile ilgili faaliyetler yürütmektedir.

Türkiye’de kritik altyapıların güvenliği için çeşitli ürün ve hizmetler de sunulmaktadır. Örneğin, siber güvenlik firmaları, kritik altyapıların threat analizleri ve güvenlik testleri yapmakta, güvenlik açıklarının tespit edilmesi ve giderilmesi için hizmetler sunmaktadır. Bunun yanı sıra, özel sektörde de kritik altyapıların güvenliği konusunda çeşitli yatırımlar yapılmaktadır. Örneğin, enerji şirketleri, nükleer santraller ve su kaynakları gibi kritik altyapıların güvenliği için çeşitli teknolojik çözümler geliştirmekte ve yatırımlar yapmaktadır. Türkiye’de kritik altyapıların güvenliği için bir dizi yasal düzenleme yapılmıştır. Bu düzenlemeler arasında Siber Güvenlik Kanunu, Elektronik Haberleşme Kanunu ve Bilgi Teknolojileri Kurumu Kanunu yer almaktadır. Bu kanunlar, ülkenin kritik altyapılarının siber saldırılara karşı korunmasını sağlamak için önemli bir rol oynamaktadır.

Ayrıca, Türkiye’de kritik altyapıların güvenliği için özel bir kuruluş olan Siber Güvenlik Kurulu (SGK) kurulmuştur. SGK, siber güvenlik politikalarını belirleyen, kritik altyapıların güvenliğini sağlamak için threat yönetimi faaliyetlerini yürüten ve siber saldırılara karşı müdahale eden bir kurumdur. Bu kurum, kritik altyapılar için siber güvenlik standartları ve rehberlik belgeleri hazırlayarak, ülkenin siber güvenlik açıklarını azaltmaya ve kritik altyapıların güvenliğini sağlamaya çalışmaktadır.

3. Anomali Tabanlı Saldırı Tespit Sistemi

Anomali tabanlı saldırı tespit sistemi (ATS), endüstriyel kontrol sistemlerinde ve kritik altyapılarda kullanılan bir güvenlik önlemidir. Bu sistem, regular işletme durumundan sapmaları tespit ederek potansiyel saldırıları belirlemeye yardımcı olur. Peki, neden anomali tabanlı saldırı tespit sistemi tercih ederiz?

 Geleneksel imza tabanlı saldırı tespit sistemlerine kıyasla, ATS saldırıları tanımlamak için imzalar veya önceden bilinen kötü amaçlı kodlara bağımlı değildir. Bu nedenle, bilinmeyen veya gelişmiş saldırı türlerine karşı daha etkili bir koruma sağlar.

15

•  ATS, regular davranışları öğrenerek sistemin regular işleyişini anlar ve bu bilgiyi kullanarak anormallikleri tespit eder. Bu sayede, sistemdeki saldırılar veya hatalar hakkında bilgi sahibi olmak için bir referans noktası oluşturulur.
•  ATS’nin öğrenme yeteneği, sürekli olarak yeni tehditlerin ve saldırı yöntemlerinin ortaya çıkmasına rağmen etkin kalmasını sağlar. Sistem, zamanla güncellenerek yeni tehditlere karşı güncel koruma sağlar.
•  ATS, sistemin anormal durumlarını tespit ederek hızlı bir şekilde müdahale edilmesini sağlar. Bu sayede, saldırılar veya hataların neden olduğu zararlar en aza indirilir ve sistem kesintileri önlenir.
•  Anomali tabanlı saldırı tespit sistemi, yanlış alarm oranını decrease eder. ATS, sistemin regular davranışını öğrendiği için regular olaylara yanlışlıkla alarm verme olasılığı düşüktür, bu da güvenlik ekibinin yanıt verme süresini ve kaynaklarını optimize eder.
• 3.1 Kritik altyapılarda ATS’nin önemi ve avantajları:
• Kritik altyapılar, toplumun temel hizmetlerini sağlamada hayati öneme sahiptir. Bu nedenle, bu altyapıların güvenliğinin sağlanması büyük önem taşır. ATS, bu tür sistemlerdeki saldırıları tespit ederek siber saldırılara karşı etkin bir koruma sağlar.
• Kritik altyapılardaki bir saldırı veya hata, ciddi sonuçlara yol açabilir. ATS, erken aşamada potansiyel tehditleri tespit ederek müdahale süresini kısaltır ve olası zararları önler.
• ATS’nin sürekli izleme yeteneği, kritik altyapıların sürekli korunmasını sağlar. Sistem, anormallikleri tespit ettiğinde otomatik olarak uyaran veya müdahale sistemlerini devreye alabilir, böylece güvenlik açıkları hızla kapatılır.
• ATS, kritik altyapıların siber saldırı riskini azaltır ve saldırıya uğramış veya tehlikede olan sistemleri belirleyerek güvenlik ekibinin müdahale etmesini sağlar.
• Kritik altyapılardaki güvenlik olaylarının yönetimi, sadece bir güvenlik önlemi değil, aynı zamanda bir süreç gerektirir. ATS’nin entegre edilebileceği derin güvenlik kavramı ve IEC 62443 standardı, bu sürecin etkin bir şekilde uygulanmasına yardımcı olur.
• Derin güvenlik kavramı, endüstriyel kontrol sistemlerinin ve kritik altyapıların korunması için kapsamlı bir yaklaşımı ifade eder. Bu yaklaşım, ATS’nin yanı sıra diğer güvenlik önlemlerini de içerir ve sistemin her katmanında güvenlik tedbirlerinin alınmasını hedefler. IEC 62443, endüstriyel otomasyon ve kontrol sistemlerinin güvenlik gereksinimlerini belirleyen bir uluslararası standarttır. Bu standart, endüstriyel kontrol sistemlerinin korunması için bir çerçeve sunar ve saldırılara karşı korunmayı hedefler. IEC
• 62443, güvenlik politikaları, ağ tasarımı, erişim kontrolü, güvenlik yönetimi ve diğer önemli alanlarda

16

gereksinimleri belirler.

Bu bilgiler, ATS’nin tercih edilme nedenlerini, kritik altyapılarda önemini ve derin güvenlik kavramını anlatmanızı sağlayacaktır. İşte anomali tabanlı saldırı tespit sistemi, kritik altyapılarda kullanımının önemi ve avantajları, derin güvenlik kavramı ve IEC 62443 hakkında daha fazla bilgi:

Anomali tabanlı saldırı tespit sistemi (ATS), kritik altyapılarda kullanıldığında önemli avantajlar sunar. ATS, regular işletme durumundan sapmaları tespit etmek için makine öğrenmesi ve istatistiksel yöntemler kullanır. Bu sayede, bilinmeyen saldırı türleri veya gelişmiş saldırı teknikleri üzerinde bile etkin bir şekilde çalışabilir. Kritik altyapılar, enerji, su, ulaşım ve iletişim gibi toplumun temel ihtiyaçlarını karşılar. Bu nedenle, bu altyapıların siber saldırılardan korunması hayati önem taşır. ATS, altyapının regular işleyişini anlayarak anormallikleri tespit eder ve potansiyel saldırıları önceden belirleyerek hızlı bir yanıt sağlar.

ATS’nin bir diğer avantajı, hızlı tespit ve yanıt süreleridir. Anormal aktiviteleri algıladığında otomatik olarak alarm verir veya müdahale sistemlerini devreye alır. Bu sayede, saldırıların veya hataların neden olduğu zararlar decrease edilir ve altyapının kesintisiz çalışması sağlanır. Derin güvenlik kavramı, ATS’nin yanı sıra diğer güvenlik önlemlerini de içeren bütüncül bir yaklaşım sunar. Bu yaklaşım, kritik altyapının her katmanında güvenlik tedbirlerinin alınmasını hedefler. Fiziksel güvenlik, ağ güvenliği, erişim kontrolü, güvenlik yönetimi gibi farklı alanlarda tedbirler alarak güvenliği artırır.

IEC 62443, endüstriyel otomasyon ve kontrol sistemlerinin güvenliği için kapsamlı bir standarttır. Bu standart, kritik altyapılardaki güvenlik gereksinimlerini belirler ve uygun güvenlik önlemlerinin alınmasını sağlar. IEC 62443, threat değerlendirmesi, ağ tasarımı, güvenlik politikaları ve diğer önemli alanlarda yönergeler sunarak altyapının güvenliğini sağlamaya yardımcı olur. IEC 62443 standardı, ATS’nin uygulanması için de önemli bir rehberlik sağlar. Standart, ATS’nin doğru bir şekilde konfigüre edilmesi, verilerin doğru bir şekilde analiz edilmesi ve sistemin sürekli güncellenmesi gibi konularda yönergeler sunar.

ATS’nin IEC 62443 standartlarına uygun bir şekilde tasarlanması ve uygulanması, altyapının güvenliğini artırır ve saldırılara karşı daha etkili bir koruma sağlar.

Derin güvenlik ve IEC 62443 standartları, ATS’nin yanı sıra diğer güvenlik önlemleriyle birlikte çalışarak kritik altyapıların güvenliğini sağlar. Bu bütüncül yaklaşım, altyapıların siber saldırılara karşı daha dayanıklı ve korunaklı olmasını sağlar. ATS’nin yanı sıra, güvenlik açıklarını önlemek için güncel yazılım ve donanım güvenlik güncellemeleri, ağ güvenliği protokolleri, erişim kontrolü politikaları ve personel eğitimi gibi diğer güvenlik önlemleri de önemlidir. Bu önlemler, kritik altyapıların güvenlikrisklerini decrease etmek için bir araya gelir. Bu bilgiler, ATS’nin tercih edilme nedenlerini, kritik altyapılarda önemini, derin güvenlik kavramını ve IEC 62443 standartlarını açıklamanızı sağlayacaktır.

17

3.2 ATS’de Yapay Zeka Modelleri

Lojistik Regresyon: Lojistik regresyon, ikili sınıflandırma problemlerinde kullanılan bir algoritmadır. Veri kümesindeki özelliklerin değerlerine dayanarak bir girişin belirli bir sınıfa ait olma olasılığını tahmin eder. Lojistik regresyon, lineer regresyon yöntemini sınıflandırma problemlerine uyarlamıştır. Sınıflandırma sınırını belirleyen bir eşik değeri kullanarak, girişin bir sınıfa ait olup olmadığını belirler.

Karar Ağaçları: Karar ağaçları, sınıflandırma ve regresyon problemlerinde yaygın olarak kullanılan bir algoritmadır. Veri kümesindeki özelliklerin değerlerine göre karar düğümlerinde bölünme yaparak sonuç tahminleri yapar. Her bir düğümde verilerin belirli bir özelliğe göre bölünmesi gerçekleşir ve sonuçları tahmin etmek için yaprak düğümleri kullanılır. Karar ağaçları, kolay yorumlanabilirlikleri ve etkili sonuçları nedeniyle tercih edilen bir algoritmadır.

Destek Vektör Makineleri (SVM): SVM, sınıflandırma ve regresyon problemlerinde kullanılan bir algoritmadır. SVM, verileri yüksek boyutlu uzayda temsil ederek, sınıfları ayıran en iyi hiper düzlemi bulmaya çalışır. SVM’nin temel amacı, verilerin sınıflar arasında mümkün olan en büyük marjı olan bir hiper düzlemle ayrılmasını sağlamaktır. Bu, sınıflandırma problemlerinde yüksek doğruluk sağlayan bir özelliktir.

Rastgele Ormanlar: Rastgele ormanlar, bir ensamble yöntemi olan karar ağaçlarının birleşimiyle çalışan bir algoritmadır. Rastgele ormanlar, birden fazla karar ağacını eğiterek ve her bir ağacın tahminini birleştirerek daha doğru sonuçlar elde etmeyi hedefler. Her bir ağaç, rastgele seçilen özelliklerin bir alt kümesiyle eğitilir ve bu şekilde veriye farklı bakış açıları kazandırır. Rastgele ormanlar, aşırı uyum (overfitting) sorununu azaltır ve genellemeyi artırır.

3.3 EKS protokollerinin ATS’ye Uyarlanması

Modbus ve Profibus gibi endüstriyel otomasyon protokolleri, kritik altyapı sistemlerinde yaygın olarak kullanılan iletişim protokolleridir. Ancak, bu protokollerin bazı güvenlik açıkları bulunmaktadır. Örneğin, Modbus protokolü, otantikasyon ve veri bütünlüğü gibi temel güvenlik önlemlerini sağlamak için yeterli mekanizmalara sahip değildir. Ayrıca, Profibus protokolü, güvenli kimlik doğrulama mekanizmaları olmadan cihazlar arasında iletişim sağlar ve bu da potansiyel güvenlik açıklarına yol açabilir. ATS, Modbus ve Profibus gibi protokollerin güvenliğini sağlamak için farklı güvenlik önlemleri ve yöntemler uygulayabilir. Birincil olarak, veri trafiğini şifreleme kullanarak koruma altına alabilir. Veri şifreleme, iletişimdeki bilgilerin gizliliğini sağlar ve yetkisiz erişim ve veri manipülasyonu gibi tehditlere karşı koruma sağlar.

ATS, protokollerin güvenliğini sağlamak için erişim kontrolü mekanizmaları uygulayabilir. Bu mekanizmalar, yalnızca yetkili cihazların ve kullanıcıların protokole erişmesine izin verir. Kimlik 18

doğrulama ve yetkilendirme gibi yöntemler kullanarak, yalnızca tanınmış cihazların ve kullanıcıların protokole erişmesi sağlanır. Güvenlik duvarları (firewall) ve ağ segmentasyonu gibi önlemler de ATS tarafından kullanılabilir. Güvenlik duvarları, protokol trafiğini izler ve istenmeyen veya zararlı trafiği engeller. Ağ segmentasyonu ise ağı mantıksal bölgelere ayırarak, saldırıların yayılma alanını sınırlar ve etkisini azaltır. ATS, güvenlik açıklarını tespit etmek ve saldırı girişimlerini engellemek için anomali tabanlı saldırı tespit sistemlerini kullanabilir. Bu sistemler, regular davranış kalıplarını öğrenerek anormal aktiviteleri tespit eder ve müdahalede bulunur. Bu sayede, Modbus ve Profibus gibi protokollerdeki saldırıları erkenden tespit edebilir ve önlem alabilir.

Güncel yazılıxm ve firmware sürümlerinin kullanılması da protokollerin güvenliği için önemlidir. ATS, protokolleri destekleyen yazılım ve cihazlarda güncellemeleri düzenli olarak yaparak, bilinen güvenlik açıklarını giderir ve sistemlerin güvenliğini sağlar. Eğitim ve farkındalık da kritik altyapı güvenliğinde önemli bir faktördür. ATS, kullanıcıları ve personeli, Modbus ve Profibus gibi protokollerin güvenlik önlemleri ve potansiyel tehditler konusunda bilinçlendirebilir. Eğitim programları ve bilgilendirme oturumları düzenleyerek, protokollerin güvenliğine yönelik farkındalığı artırır ve kullanıcıların doğru güvenlik uygulamalarını benimsemesini sağlar. Son olarak, ATS, sürekli izleme, günlük kayıtları ve olay yönetimi gibi yöntemleri kullanarak protokollerin güvenliğini sürdürülebilir bir şekilde sağlayabilir. Sürekli izleme ile potansiyel saldırı girişimleri ve anormal aktiviteler tespit edilebilir. Günlük kayıtları ve olay yönetimi ise olası saldırıların analizini yaparak, tehditleri daha iyi anlamayı ve gelecekteki saldırıları önlemeyi sağlar. Bu şekilde, ATS, Modbus ve Profibus gibi protokollerin güvenliğini sağlayarak kritik altyapı sistemlerinin güvenliğini artırır.

19

4. Kritik Altyapıların ATS Önemi

Bu çalışmada, kritik altyapıların güvenliği için kullanılan Anomali Tabanlı Saldırı Tespit Sistemi’nin (ATS) yapay zeka odaklı uygulamaları incelenmiştir. ATS, yapay zeka teknolojilerini kullanarak kritik altyapılarda siber saldırıları tespit etmek ve önlemek için geliştirilmiş bir sistemdir. Bu çalışma, ATS’nin yapay zeka algoritmalarının ve tekniklerinin kritik altyapı güvenliği üzerindeki etkisini araştırmayı amaçlamaktadır.

4.1 Kritik Altyapı Güvenliği Standartları

İlk olarak, ATS için kullanılan yapay zeka algoritmalarından biri olan makine öğrenmesi incelenmiştir. Makine öğrenmesi, ATS’nin regular işleyişe ait verileri analiz ederek bir mannequin oluşturmasını ve anormallikleri tespit etmesini sağlar. Bu algoritma, veri tabanlı bir yaklaşım kullanarak kritik altyapının regular davranışını tanımlamayı ve siber saldırılara karşı savunma mekanizmaları oluşturmayı hedefler.

Bunun yanı sıra, ATS’de derin öğrenme algoritmaları da kullanılmaktadır. Derin öğrenme, büyük veri setleri üzerinde karmaşık desenleri ve ilişkileri tanımlama yeteneğine sahip olan yapay sinir ağlarına dayanan bir yapay zeka yöntemidir. ATS, derin öğrenme ağlarını kullanarak kritik altyapının regular ve anormal durumlarını öğrenir ve saldırıları tespit etmek için bu bilgileri kullanır. Bu şekilde, ATS’nin saldırıların hızlı bir şekilde tespit edilmesi ve etkili bir şekilde önlenmesi için daha yüksek bir hassasiyet ve doğruluk sağladığı gözlemlenmiştir. ATS’nin yapay zeka odaklı uygulamaları arasında bir diğer önemli teknik, derin güvenlik (deep safety) olarak adlandırılan bir kavramdır. Derin güvenlik, ATS’nin sadece ağ katmanına değil, uygulama katmanına da odaklanmasını sağlayan bir yaklaşımdır. Bu yaklaşım, kritik altyapı sistemlerindeki zayıflıkları tespit etmek ve saldırılara karşı koruma sağlamak için yapay zeka algoritmalarını kullanır. Derin güvenlik, ATS’nin daha kapsamlı bir güvenlik sağlama ve saldırılara karşı daha etkili bir şekilde savunma oluşturma yeteneğini arttırır.

Bunun yanı sıra, ATS’nin yapay zeka odaklı uygulamaları arasında IEC 62443 standardı da önemli bir yer tutar. IEC 62443, endüstriyel kontrol sistemlerinin güvenliği için bir dizi standart ve kılavuz sağlayan bir uluslararası standardizasyon serisidir. ATS, IEC 62443 standardını kullanarak kritik altyapıların güvenliğini sağlamak için uygun algoritma ve teknikleri benimser. Bu standardın kullanımı, ATS’nin kritik altyapılarda uygun bir güvenlik düzeyi sağlamasını ve siber saldırılara karşı etkili bir şekilde koruma sağlamasını sağlar.

Son olarak, ATS’nin yapay zeka odaklı uygulamalarının kritik altyapıların güvenliği üzerindeki önemi ve avantajları vurgulanmalıdır. ATS, siber saldırılarla mücadelede daha hızlı ve etkili tepkiler verilmesini sağlar. Yapay zeka algoritmaları sayesinde ATS, sürekli olarak güncellenen tehditlerin tespit edilmesini ve önlenmesini sağlar. Ayrıca, ATS’nin öğrenme yeteneği, yeni saldırı modellerinin tespit edilmesini ve adaptif bir şekilde güvenlik önlemlerinin güncellenmesini sağlar. Bu şekilde, ATS’nin kritik altyapıların güvenliği için önemli bir savunma mekanizması olduğu ve yapay zeka odaklı uygulamaların bu alanda büyük bir potansiyele sahip olduğu sonucuna varılabilir.

20

4.2 Yapay Zeka Modeli

Bu yapay zeka projesinde kullanılan knowledge seti, kritik altyapı güvenliği üzerinde çalışılan dört farklı saldırı türünü içermektedir. Her bir saldırı türü için 100 paket olmak üzere toplamda 400 paket bulunmaktadır. Information seti, aşağıdaki girdileri içermektedir:

Vacation spot IP (Hedef IP): Paketin gönderildiği hedef IP adresi.
Vacation spot Port (Hedef Port): Paketin gönderildiği hedef port numarası.
Supply Port (Kaynak Port): Paketin gönderildiği kaynak port numarası.
Supply IP (Kaynak IP): Paketin gönderildiği kaynak IP adresi.
Whole Packet Dimension (Toplam Paket Boyutu): Paketin toplam boyutu (byte cinsinden).

Bu knowledge setinde yer alan saldırılar arasında DoS (Denial of Service) saldırısı bulunmaktadır. DoS saldırısı, bir hedef cihazın veya ağın kaynaklarını tüketmek veya işlevsiz hale getirmek için yoğun trafik gönderilerek gerçekleştirilen bir saldırı türüdür. Bu saldırıda farklı bir IP cihazı kullanılırken, farklı bir porttan bağlantı kurulması ve farklı paket boyutları kullanılması gibi değişkenler bulunabilir. Bu şekilde, farklı varyasyonlardaki DoS saldırıları üzerinde çalışılarak, ATS’nin bu saldırıları tespit etme ve önleme yetenekleri araştırılmıştır.

Bu bilgileri kullanarak, ATS’nin yapay zeka algoritmalarının ve tekniklerinin bu saldırıları tespit etme ve doğru bir şekilde sınıflandırma yeteneklerini araştırabilirsiniz. Ayrıca, veri setindeki diğer girdileri ve saldırı türlerini de benzer şekilde açıklayarak, ATS’nin genel performansını ve güvenlik sağlama yeteneklerini daha kapsamlı bir şekilde analiz edebilirsiniz.

Bu knowledge setinde yer alan girdiler, kritik altyapıların güvenliği için önemli bir rol oynamaktadır. Vacation spot IP (Hedef IP) ve Vacation spot Port (Hedef Port) bilgileri, saldırıların hedeflenen cihaz ve bağlantı noktaları üzerindeki etkisini değerlendirmek için kullanılır. Bu bilgiler, saldırıların hangi hedef cihazları ve hedef portları etkilediğini belirlemek ve bu bilgilere dayanarak uygun önlemler almak için değerli birer göstergedir. Supply Port (Kaynak Port) ve Supply IP (Kaynak IP) bilgileri, saldırıların kaynaklarını ve kökenlerini belirlemek için kullanılır. Bu bilgiler, saldırıları gerçekleştiren kaynakların kimliklendirilmesine yardımcı olur ve saldırıların hangi kaynaklardan geldiğini tespit etmek için kullanılır. Bu şekilde, saldırganların tespit edilmesi ve izlenmesi için önemli birer veri sağlar.

Whole Packet Dimension (Toplam Paket Boyutu), saldırıların paket boyutlarındaki değişiklikleri ve bu değişikliklerin hedef cihaz üzerindeki etkisini değerlendirmek için kullanılır. Bazı saldırılar, aşırı miktarda trafik veya büyük boyutlu paketler göndererek hedef cihazın kaynaklarını tüketmeye çalışabilir. Bu bilgi, saldırıların etkisini değerlendirmek ve bu tür saldırılara karşı koruma önlemleri geliştirmek için önemlidir Bu girdilerin kullanılmasının önemi, ATS’nin yapay zeka algoritmalarının saldırıları tespit etme ve sınıflandırma yeteneklerini artırmak için bilgi sağlamasıdır. Yapay zeka

21

algoritmaları, bu girdilerin analizini yaparak regular ve anormal trafik desenlerini öğrenir ve saldırıları tespit etmek için bu desenleri kullanır. Örneğin, belirli bir hedef IP veya port üzerinde yoğun bir trafik veya beklenmedik bir paket boyutu gözlendiğinde, ATS bu durumu anormal bir durum olarak tespit edebilir ve uygun önlemler alabilir. Bu knowledge setinin kullanılmasının bir diğer önemi, ATS’nin eğitim ve check aşamalarında gerçek dünya senaryolarını simüle etmesidir. Gerçek verilere dayalı olarak yapay zeka algoritmaları eğitilir ve check edilir, böylece ATS’nin saha uygulamalarında daha iyi bir performans sergilemesi sağlanır. Bu da, ATS’nin gerçek saldırıları tespit etme ve müdahale etme yeteneklerini artırır.

Ayrıca, bu knowledge seti, ATS’nin algoritma ve modellerini iyileştirmek için kullanılan veri analizlerinde de önemli bir rol oynar. Girdilerin analizi, yapay zeka algoritmalarının saldırıları doğru bir şekilde tespit etme yeteneklerini geliştirmek için kullanılır. Örneğin, farklı IP adresleri, portlar ve paket boyutları üzerinde yapılan analizler, algoritmaların daha genel ve çeşitli saldırı modellerini tanıyabilmesini sağlar. Sonuç olarak, ATS’nin kritik altyapı güvenliği için kullanılan yapay zeka odaklı projesinde bu knowledge seti ve girdileri kullanmak önemlidir. Bu girdiler, saldırıların hedeflerini, kaynaklarını, paket boyutlarını ve diğer önemli özelliklerini yakalamamıza yardımcı olur. Böylece ATS, gerçek zamanlı saldırıları tespit etme, analiz etme ve müdahale etme yeteneklerini geliştirerek kritik altyapıların güvenliğini sağlamada etkili bir araç haline gelir.

Yapay zeka, kritik altyapıların güvenliğinde önemli bir rol oynayan bir araçtır. Ancak, bu aracın sonuçlarının güvenilirliği, kullanılan girdilerin doğruluğu ve veri setinin temsiliyeti ile doğrudan ilişkilidir. Bu nedenle, ATS tarafından kullanılan knowledge setinin ve girdilerin kalitesi büyük önem taşır. Veri setinin, gerçek saldırıları ve regular trafik desenlerini yeterince kapsaması ve temsil etmesi önemlidir.

Güvenilir sonuçlar elde etmek için, ATS’nin yapay zeka algoritmalarının eğitimi ve testi dikkatli bir şekilde yapılmalıdır. Algoritmaların, gerçek saldırıları doğru bir şekilde tespit edebilme ve yanlış pozitif sonuçları en aza indirme yetenekleri doğrulanmalıdır. Ayrıca, algoritmaların farklı veri setleri ve senaryolar üzerinde check edilerek genelleme yetenekleri de değerlendirilmelidir. Girdilerin doğruluğu ve güvenilirliği, ATS’nin uygulama bağlamında doğru veri toplama ve kaydetme süreçlerine de bağlıdır. Yanlış veya eksik veriler, yapay zekanın sonuçlarını olumsuz yönde etkileyebilir. Bu nedenle, veri toplama sürecindeki hataların ve eksikliklerin en aza indirilmesi ve veri setinin güncelliğinin sağlanması önemlidir. Bir diğer önemli nokta, yapay zekanın sonuçlarının güvenirliğini değerlendirmek için doğrulama ve doğruluk testlerinin yapılmasıdır. ATS’nin sonuçları gerçek zamanlı olarak değerlendirilmeli ve doğruluğu doğrulama süreçleriyle kontrol edilmelidir. Bu, yanlış pozitif ve yanlış negatif sonuçları azaltmaya yardımcı olur ve ATS’nin güvenilirliğini artırır. Yapay zekanın güvenilir sonuçlar üretmesi için, aynı zamanda güncel ve ileri düzey tekniklerin kullanılması önemlidir. Yeni algoritmaların ve yöntemlerin araştırılması ve uygulanması, ATS’nin performansını artırabilir ve sonuçların güvenilirliğini artırabilir. Ayrıca, yapay zeka sistemlerinin sürekli izlenmesi ve geliştirilmesi, güvenilirlik seviyesinin sürekli olarak iyileştirilmesine yardımcı olur.

22

Güvenilir sonuçlar için yapay zekanın kullanıldığı ATS, aynı zamanda insan denetimini ve uzmanlığını da içermelidir. Yapay zekanın çıkardığı sonuçların insanlar tarafından değerlendirilmesi ve doğrulanması, yanlış anlamaları ve hataları düzeltmek için önemlidir. Bu, yapay zeka sistemlerinin karar alma süreçlerinde insan faktörünün etkin bir şekilde kullanılmasını sağlar. Sonuç olarak, yapay zeka ile çalışan ATS’nin çıkaracağı sonuçların güvenirliği, kullanılan girdilerin doğruluğuna, veri setinin temsiliyetine, algoritmaların kalitesine ve doğrulama süreçlerine bağlıdır. Kaliteli veri setleri, iyi eğitilmiş algoritmalar ve insan denetimi ile birlikte ATS’nin güvenilir sonuçlar üreteceği söylenebilir. Ancak, yapay zekanın sınırlamalarının farkında olmak ve sonuçların her zaman tamamen doğru olmayabileceğini unutmamak önemlidir.

Derin ağlar, yapay sinir ağlarının bir türüdür ve genellikle karmaşık ve büyük ölçekli veri setleri üzerinde yüksek performans sağlar. Derin ağlar, çok katmanlı yapılara sahiptir ve bu sayede karmaşık örüntüleri ve ilişkileri öğrenme yetenekleri daha gelişmiştir. Bu nedenle, kritik altyapı güvenliği projelerinde derin ağlar yaygın olarak kullanılır. Aktivasyon fonksiyonları, yapay sinir ağlarında her katmandaki çıktıları belirlemek için kullanılır. Sigmoid ve ReLU (Rectified Linear Unit) aktivasyon fonksiyonları en yaygın kullanılanlardır. Sigmoid fonksiyonu, çıktıları 0 ile 1 arasına sıkıştırır ve özellikle ikili sınıflandırma problemlerinde kullanılır. ReLU fonksiyonu ise negatif değerleri sıfır yapar ve pozitif değerleri olduğu gibi bırakır. Bu fonksiyon, derin ağlarda genellikle daha iyi sonuçlar verir ve eğitim sürecini hızlandırır.

Adam optimizer, derin öğrenme modelinin eğitiminde yaygın olarak kullanılan bir optimizasyon algoritmasıdır. Adam, gradyan tabanlı optimizasyon yöntemlerinden biridir ve eğitim sürecinde hızlı bir şekilde minimuma ulaşmayı sağlar. Ayrıca, adaptif öğrenme hızı özelliğine sahiptir, yani her parametre için ayrı ayrı öğrenme hızı ayarlanır. Bu da eğitim sürecinin daha hızlı ve etkili olmasını sağlar.

Derin ağlarda sigmoid ve ReLU gibi aktivasyon fonksiyonlarının kullanılmasının tercih edilme nedenleri performans ve eğitim süreci ile ilgilidir. Sigmoid fonksiyonu, 0 ile 1 arasında bir çıktı üretirken, ReLU fonksiyonu sıfır olmayan değerleri olduğu gibi bırakır. ReLU, daha iyi bir yakınsama hızı sağlar ve gradiyan kaybı sorununu azaltır. Bu nedenle, derin ağların eğitiminde ReLU genellikle tercih edilen aktivasyon fonksiyonudur.

Adam optimizer, derin ağların eğitiminde tercih edilme nedenlerinden biri, adaptif öğrenme hızı özelliğidir. Bu özellik her parametre için ayrı ayrı öğrenme hızını ayarlar, böylece eğitim sürecinin hızlanmasına ve daha iyi sonuçlar elde edilmesine yardımcı olur. Ayrıca, Adam optimizeri, diğer optimizasyon yöntemlerine kıyasla daha az hiperparametre ayarı gerektirir, bu da uygulama kolaylığı sağlar. Bu nedenlerle, kritik altyapı güvenliği projelerinde derin ağların eğitiminde Adam optimizer sıkça kullanılan bir tercihtir.

Bu makalede, kritik altyapı sistemlerinin siber güvenliği ve yapay zekanın bu alanda nasıl uyarlandığına

23

odaklandık. Kritik altyapılar, enerji, ulaşım, haberleşme gibi hayati öneme sahip sektörleri destekleyen sistemlerdir. Bu nedenle, bu altyapıların güvenliği büyük önem taşır ve siber saldırılara karşı korunmaları gerekmektedir. Yapay zeka, son yıllarda siber güvenlik alanında önemli bir rol oynamıştır. Özellikle anomali tabanlı saldırı tespit sistemleri, kritik altyapıların güvenliğini artırmak için yaygın olarak kullanılan yapay zeka tekniklerinden biridir. Bu sistemler, regular davranış kalıplarını öğrenerekanormal aktiviteleri tespit eder ve müdahalede bulunur. Bu makalede, kritik altyapıların anomali tabanlı saldırı tespit sistemi (ATS) ile güvenliğini sağlamak için bir proje üzerinde çalıştık. Projemizde, Modbus ve Profibus gibi endüstriyel protokollerin güvenliği üzerine odaklandık ve ATS’i bu protokollerde kullanarak saldırıları tespit etmeyi hedefledik. Projemizde, ATS için özel bir veri seti kullanıldı. Bu veri seti, farklı atak senaryolarını simüle etmek için tasarlandı. Veri setinde, her 100 paketten 4’ü saldırı paketi olarak kabul edildi. Bu sayede, ATS’nin saldırıları doğru bir şekilde tespit edip etmediğini değerlendirebildik. ATS’in performansını değerlendirmek için çeşitli metrikler kullanıldı. Doğruluk, hassasiyet, özgünlük ve F1 skoru gibi metrikler, ATS’in saldırıları tespit etme yeteneğini ve yanlış alarm oranını değerlendirmede kullanıldı. Bu metrikler, ATS’nin güvenirliğini ve etkinliğini ölçmek için önemliydi.

Elde edilen sonuçlar, ATS’nin başarılı bir şekilde saldırıları tespit ettiğini gösterdi. Doğruluk oranı yüksek seviyelerdeydi ve saldırıları doğru bir şekilde tespit etme yeteneği kanıtlandı. Ayrıca, yanlış alarm oranının düşük olduğu gözlendi, bu da ATS’in güvenilirliğini artırdı.

ATS’in kullanımının kritik altyapı güvenliği için önemli avantajları vardır. Sistem, otomatik olarak saldırıları tespit ettiği için hızlı bir müdahale sağlar. Bu da kritik altyapıların kesintisiz işleyişini sağlamak için önemlidir. Ayrıca, ATS, manuel analiz iş yükünü azaltır ve siber güvenlik ekibine değerli bir araç sunar. ATS’nin kullanımıyla kritik altyapılar, saldırılara karşı daha iyi korunur. Anomali tabanlı saldırı tespit sistemi, geleneksel imza tabanlı yöntemlere göre daha etkilidir. Çünkü yeni ve bilinmeyen saldırıları da tespit edebilir. Bu da kritik altyapıların güvenlik açıklarını daha iyi kapatmasına yardımcı olur. Yapay zeka tekniklerinin kullanımı, ATS’in güvenirliğini artırır. Derin ağlar, sigmoid ve ReLU gibi aktivasyon fonksiyonları ve Adam optimizeri gibi güçlü optimizasyon algoritmaları kullanılarak ATS’in performansı iyileştirilebilir. Bu teknikler, daha doğru ve hızlı sonuçlar elde etmek için önemlidir.

Projemizde kullanılan Modbus ve Profibus protokolleri, bazı güvenlik açıklarına sahiptir. Bu protokollerdeki açıklar, kötü niyetli kullanıcıların saldırılarını kolaylaştırabilir. Bu nedenle, ATS’in bu protokollerde kullanılması, güvenlik açıklarını tespit etmek ve saldırılara karşı önlem almak için önemlidir. ATS, Modbus ve Profibus gibi protokollerdeki açıkları tespit etmek ve saldırıları önlemek için çeşitli yöntemler kullanır. Öncelikle, protokollerin regular davranış kalıplarını öğrenir ve anormal aktiviteleri tespit eder. Ayrıca, güncel veritabanları ve imza tabanlı taramalar kullanarak bilinen saldırıları tanımlayabilir. ATS ayrıca, protokollerin güncellemelerini düzenli olarak takip eder ve güncellemeleri yaparak bilinen güvenlik açıklarını giderir. Bu sayede, protokollerin güvenliği ve ATS’in

etkinliği sürekli olarak artırılır. Projemizde elde ettiğimiz sonuçlar, ATS’in Modbus ve Profibus gibi

24

protokollerin güvenliğini sağlamada etkili olduğunu gösterdi. Saldırıları başarıyla tespit etti ve güvenlik açıklarını belirledi. Bu sonuçlar, ATS’in kritik altyapılar için önemli bir güvenlik aracı olduğunu doğrulamaktadır.

Sonuç olarak, bu makalede kritik altyapıların güvenliği ve yapay zeka tekniklerinin kullanımı üzerinde odaklandık. ATS’in anomali tabanlı saldırı tespit sistemleriyle birlikte kullanılması, kritik altyapıların güvenliğini artırır. Modbus ve Profibus gibi protokollerdeki güvenlik açıklarının tespit edilmesi ve önlenmesi, ATS’in önemini vurgular. Gelecekte, kritik altyapıların güvenliği daha da önem kazanacak ve yapay zeka teknikleri bu alanda daha fazla kullanılacaktır. ATS’in geliştirilmesi ve iyileştirilmesi, kritik altyapıların siber saldırılara karşı daha etkin bir şekilde korunmasına yardımcı olacaktır. Ayrıca, yeni protokollerin ve güvenlik tehditlerinin ortaya çıkmasıyla birlikte ATS’in sürekli olarak güncellenmesi önemlidir.

Kaynakçalar

Afad-Kritik-Altyapılar

https://dergipark.org.tr/en/pub/niibfd/issue/66297/991343

Nist-ics

https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final

Sans-ics-security

https://www.sans.org/cyber-security-courses/ics-scada-cyber-security-essentials/

Modbus-Exploiting

https://www.sciencedirect.com/science/article/pii/S1877050920312576/pdf?md5=259cdd001606f2a65 cf612548b7e14d0&pid=1-s2.0-S1877050920312576-main.pdf

ICS-Vulnerabilirty

https://media.kasperskycontenthub.com/wp- content material/uploads/websites/43/2016/07/07190426/KL_REPORT_ICS_Statistic_vulnerabilities.pdf