Makine öğrenmesi kullanarak windows olay kayıtları ile dinamik davranış analizi / Göksun Önal ; thesis advisor Ali Aydın Selçuk.

Tez (Yüksek Lisans)--TOBB ETÜ Fen Bilimleri Enstitüsü Nisan 2025.

Teknolojik gelişmelerin hız kazanmasıyla birlikte siber saldırılar ve zararlı yazılım tehditleri giderek karmaşıklaşmakta ve daha tehlikeli hale gelmektedir. Bu durum, bilgi güvenliği alanında yenilikçi yaklaşımların ve etkili çözümlerin geliştirilmesi gerekliliğini ortaya koymaktadır. Bu tez çalışması, zararlı yazılım analizinde dinamik yöntemlerin etkinliğini artırmayı amaçlayarak, özellikle Windows işletim sistemine ait olay kayıt verilerinin detaylı incelenmesine odaklanmaktadır. Çalışmanın temel hedefi, izole edilmiş sanal ortamlarda zararlı ve zararsız yazılımların çalışma anında oluşturdukları işletim sistemi kayıt verilerinden anlamlı öznitelikler çıkarıp, makine öğrenmesi teknikleri kullanılarak zararlı yazılım tespitine yönelik yenilikçi bir yaklaşım geliştirmektir. Bu amaç doğrultusunda, hem manuel hem de çevrimiçi doğrulama süreçleriyle zararlı veya zararsız olduğu belirlenen çalıştırılabilir dosyalar titizlikle toplanmıştır. Kontrollü sanal makine ortamlarında gerçekleştirilen deneysel uygulamalar sonucunda elde edilen veriler, öncelikle sayısal, bağlamsal, zaman tabanlı ve istatistiksel öznitelikler olarak sınıflandırılmıştır. Bu verilerden hangilerinin kullanılabilir olacağı belirlenirken, bazıları özellik mühendisliği teknikleriyle daha işlevsel hale getirilmiş ve model performansını artıracak kritik göstergeler oluşturulmuştur. İlgili öznitelikler, Gradient Boosting, Logistic Regression ve Destek Vektör Makineleri gibi çeşitli sınıflandırma algoritmaları kullanılarak işlenmiş; elde edilen modellerin performansı ise K-Fold çapraz doğrulama yöntemi ile titizlikle değerlendirilmiştir. Uygulanan veri normalizasyonu ve özellik mühendisliği teknikleri, modellerin genel doğruluğunu artırırken, zararlı ile zararsız yazılımlar arasındaki ayrımı daha net ortaya koymuştur. Bu kapsamlı analiz, dinamik analiz temelli yaklaşımların, geleneksel statik yöntemlere kıyasla daha yüksek doğruluk oranları ve düşük yanılma payları sağladığını göstermiştir. Ayrıca, bu çalışma literatürde sınırlı yer alan dinamik analiz yaklaşımlarına önemli katkılar sunmayı hedeflemektedir. Farklı veri setleri üzerinde gerçekleştirilen kapsamlı deneyler sonucunda, geliştirilen metodolojinin siber saldırılara karşı proaktif bir yaklaşım sağlayabileceği ortaya konulmuştur. Dinamik davranış analizi, hem eski hem de yeni zararlı yazılımların tespitinde geniş zaman aralıklarında etkili sonuçlar vermekte, böylece siber güvenlik stratejilerinin geliştirilmesinde kritik bir rol oynamaktadır. Sonuç olarak, bu tez çalışması, zararlı yazılım tespiti ve önlenmesinde dinamik analiz yöntemlerinin uygulanabilirliğini ve etkinliğini ortaya koyarak, siber güvenlik alanında yeni ufuklar açmaktadır.

With the acceleration of technological developments, cyber attacks and malware threats are becoming increasingly complex and dangerous. This situation demonstrates the necessity of developing innovative approaches and effective solutions in the field of information security. This thesis aims to enhance the effectiveness of dynamic methods in malware analysis by focusing particularly on the detailed examination of Windows operating system event log data. The primary objective of the study is to extract meaningful features from the operating system log data generated during the runtime of malicious and benign software in isolated virtual environments and to develop an innovative approach for malware detection using machine learning techniques. To this end, executable files, determined to be either malicious or benign through both manual and online verification processes, have been meticulously collected. The data obtained from experimental applications conducted in controlled virtual machine environments were primarily classified as numerical, contextual, time-based, and statistical features. In determining which of these features could be utilized, some were further refined through feature engineering techniques, thereby creating critical indicators that enhance model performance. The relevant features were processed using various classification algorithms such as Gradient Boosting, Logistic Regression, and Support Vector Machines; the performance of the resulting models was rigorously evaluated using the K-Fold cross-validation method. The applied data normalization and feature engineering techniques not only increased the overall accuracy of the models but also clarified the distinction between malicious and benign software. This comprehensive analysis has demonstrated that dynamic analysis-based approaches provide higher accuracy rates and lower error margins compared to traditional static methods. Furthermore, this study aims to make a significant contribution to the field of dynamic analysis, an area that has been relatively underrepresented in the literature. Comprehensive experiments conducted on different datasets have revealed that the developed methodology can offer a proactive approach against cyber attacks. Dynamic behavior analysis yields effective results over extended time intervals in detecting both old and new malware, thereby playing a critical role in the development of cybersecurity strategies. In conclusion, this thesis illustrates the applicability and effectiveness of dynamic analysis methods in malware detection and prevention, opening new horizons in the field of cybersecurity.