Blog · Siber Güvenlik

Davranışsal Analiz Teknolojisi

İmza Tabanlı Korumanın Çöküşü

30 yıldır antivirüs dünyasının standardı olan "İmza (Signature)" yöntemi, bir suçlunun sabıka kaydına bakmak gibidir. Eğer suçlu daha önce yakalanmışsa (veritabanında kaydı varsa) tanınır. Ancak saldırgan kılık değiştirirse (Polymorphic Malware) veya daha önce hiç suç işlememişse (Zero-Day), imza tabanlı sistemler kör kalır. Davranışsal Analiz (Behavioral Analysis) ise şahsın kimliğine değil, elindeki bıçağa ve hareketlerine bakar.


Nasıl Çalışır? (Teknik İnceleme)

Sistem, işletim sistemindeki "normal" aktiviteleri öğrenir (Baseline). Bu normalden sapan her hareket puanlanır.

Şüpheli Davranış Örnekleri

  • Word Dosyası: Bir .docx dosyasının açılması normaldir. Ancak bu dosya arka planda powershell.exe çağırıp internetten dosya indirmeye çalışırsa, bu %100 bir anomalidir.
  • Fidye Yazılımı: Bir sürecin (Process) 1 dakika içinde 1000 dosyayı değiştirmeye çalışması (Şifreleme girişimi) davranışsal analiz motoru tarafından anında bloklanır.
  • Credential Dumping: lsass.exe belleğine erişim girişimi, parola çalma (Mimikatz) tekniği olarak algılanır.

Makine Öğrenimi (ML) ve AI

Milyonlarca temiz ve zararlı dosyanın özelliklerini analiz eden Makine Öğrenimi algoritmaları, hiç görülmemiş bir dosyanın "zararlı olma ihtimalini" %99 doğrulukla tahmin edebilir. Bu, statik analizden (dosya diskteyken) dinamik analize (dosya çalışırken - Runtime) kadar her aşamada kullanılır.

False Positive Yönetimi

Davranışsal analizin en büyük zorluğu "Hatalı Tespit" (False Positive) oranıdır. Şirket içi yazılan bir muhasebe makrosu, davranışsal olarak virüse benziyor olabilir. Bu nedenle, analiz motorunun "Öğrenme Modu" (Learning Mode) ile kurumun özel yazılımlarına adapte edilmesi gerekir.

Bu konuda desteğe mi ihtiyacınız var?

Rebotek mühendisleri keşif ve projelendirme için yanınızda.

Tüm Yazılar Teklif Al