Sinan Düztaş, Kötücül Alan Adı Üretme Algoritmalarının Hibrit Derin Öğrenme Modeli ile Gelişmiş Tespiti

Yüksek Lisans Adayı: Sinan Düztaş

EABD: Siber Güvenlik

Tarih: 16.01.2026 / 11:00

Yer: Cisco Lab

Özet: Siber tehdit aktörleri, kötü amaçlı faaliyetlerini yürütmek için zombi ağlara başvurmakta ve bu ağları komuta-kontrol (C2) sunucuları aracılığıyla yönetmektedir. Ancak, bu sunucuların açığa çıkması durumunda, saldırganlar tespit edilebilecek ve faaliyetleri sekteye uğratılabilecektir. Bu nedenle siber tehdit aktörleri, oluşturdukları zombi ağları yönetebilmek ve C2 sunucularını gizleyebilmek maksadıyla alan adı üretim algoritmalarını (DGA) kullanmaktadır. Bu yöntem, kara listeleme veya statik imza tabanlı güvenlik çözümleri gibi geleneksel tespit mekanizmalarının atlatılabilmesine imkân sağlamaktadır. DGA’lar tarafından üretilmiş bütün alan adlarının kara listeye alınması mümkün olmadığından, DGA’ların otomatik olarak tespit edilmesi kritik bir gereklilik haline gelmiştir.

Meşru alan adlarını DGA ile üretilen alan adlarından ayırt etmek, hâlâ süregelen bir zorluktur. Modern zararlı yazılımlar gelişmeye devam etmekte ve bu durum DGA ile üretilen alan adlarının tespitini daha da zorlaştırmaktadır. Geleneksel makine öğrenmesi modelleri, DGA tespiti için büyük ölçüde alan adlarının sözel analizine ve özellik çıkarımının manuel olarak yapılmasına dayanmaktadır. Ancak bu özelliklerin oluşturulması zaman alıcıdır ve genellikle yüksek yanlış pozitif oranlarına yol açmaktadır. Bu tez, söz konusu sınırlamaları aşmak maksadıyla özellik çıkarımı için CNN tabanlı n-gram öğrenme ve LSTM ağlarını ve nihai sınıflandırma için Lojistik Regresyon yöntemini entegre eden hibrit bir çerçeve sunmaktadır. Model girdisi, doğruluğu artırmak için Üst Düzey Alan Adı (TLD) bilgileriyle zenginleştirilmiştir. Model, ICANN, Alexa ve DGArchieve veri setlerinden derlenerek oluşturulan bir veri setiyle eğitilmiş ve performansı CNN, LSTM, GRU ve Transformers gibi derin öğrenme modelleriyle karşılaştırılmıştır. Bu çalışma, manuel özellik mühendisliği ihtiyacını ortadan kaldıran ve genel tespit başarısını artıran özgün bir hibrit çerçeve ile DGA'ların tespiti için kapsamlı bir çözüm sunmak suretiyle siber güvenlik alanına katkıda bulunmayı hedeflemektedir.