This study presents a comparative analysis of three widely adopted unsupervised anomaly detection algorithms—Isolation Forest, Local Outlier Factor (LOF), and One-Class Support Vector Machine (SVM)—with the aim of evaluating their effectiveness in detecting network intrusions. Using a publicly available cybersecurity dataset, this study applied Principal Component Analysis (PCA) to reduce dimensionality and optimize computational performance. Each model was trained exclusively on normal traffic data and was tested against mixed data containing both normal and attack instances. The performance was assessed using key metrics, including precision, recall, and F1-score, along with confusion matrices, to evaluate the classification behavior. The results indicate that the One-Class SVM achieved the best overall performance, with the highest recall (99.06%) and F1-score (0.8511), making it highly effective in detecting a broad range of attack types while maintaining a manageable false-positive rate. While Isolation Forest achieved strong precision (78.56%), it underperformed in recall, making it more suitable for applications where false positives must be minimized. LOF delivered a balanced but less robust performance owing to its higher false-alarm rate.
Bu çalışma, ağ tabanlı saldırıların tespitine yönelik olarak yaygın biçimde kullanılan üç gözetimsiz anomali tespit algoritmasının — Isolation Forest, Yerel Aykırı Değer Faktörü (LOF) ve Tek Sınıf Destek Vektör Makinesi (One-Class SVM) — karşılaştırmalı bir analizini sunmaktadır. Çalışmada, kamuya açık bir siber güvenlik veri seti kullanılmış ve hesaplama maliyetini azaltmak ile model performansını artırmak amacıyla Temel Bileşenler Analizi (PCA) uygulanmıştır. Modeller yalnızca normal ağ trafiği verileriyle eğitilmiş, ardından hem normal hem de saldırı örneklerini içeren karışık veri üzerinde test edilmiştir. Performans değerlendirmesi, sınıflandırma başarımını ölçmek amacıyla doğruluk, geri çağırma, F1 puanı ve karışıklık matrisleri gibi temel metrikler kullanılarak gerçekleştirilmiştir. Elde edilen sonuçlar, One-Class SVM algoritmasının %99,06 geri çağırma oranı ve 0,8511 F1 puanı ile en yüksek genel performansı sağladığını, geniş yelpazedeki saldırı türlerini etkili şekilde tespit ederken kabul edilebilir düzeyde yanlış pozitif oranını koruduğunu göstermektedir. Isolation Forest algoritması yüksek doğruluk (%78,56) elde etmiş olmasına rağmen, düşük geri çağırma performansı nedeniyle yanlış pozitiflerin en aza indirilmesinin öncelikli olduğu senaryolarda daha uygun bir seçenek olarak değerlendirilmektedir. LOF algoritması ise görece yüksek yanlış alarm oranı nedeniyle daha dengeli fakat daha az sağlam bir performans sergilemiştir