EN
TR
XSS Saldırılarını Tespit Etmede Başarıyı Artırmak için Makine Öğrenme Tabanlı Hibrit Yaklaşım
Öz
Cross-Site Scripting (XSS, Siteler Arası Betik Çalıştırma) saldırıları, web uygulamalarının güvenliğini tehdit eden yaygın bir saldırı türüdür. Günümüzde XSS saldırılarının tespit edilmesi ve engellenmesi amacıyla birçok çalışma yapılmaktadır. XSS saldırılarını uygulama katmanında engellemenin etkili yollarından birisi Web Uygulama Güvenlik Duvarı (WAF) kullanmaktır. WAF, olası saldırıların tamamını engellemek amacıyla yüksek güvenlik seviyelerinde katı kurallar uygulayarak çok fazla Yanlış Pozitif (YP) oluşturabilmektedir. Web güvenliği için WAF kullanmanın diğer dezavantajı da saldırganlar bu katı kuralların dışında yeni saldırı vektörleri geliştirmekte ve bunun sonucunda WAF beklenen tepkiyi sağlamada başarısız olmaktadır. Makine öğrenme teknikleri, büyük veri kümeleri üzerinde eğitilerek ve desenleri tanıyarak XSS saldırılarını tespit edebilir. Çalışmada 14312 zararsız, 12923 zararlı XSS yükü HTTP isteği olarak WAF’a ve altı farklı makine öğrenme modeline gönderilmiştir. Çalışmadaki hibrit yaklaşım, makine öğrenme tekniklerini (tekil modeller ve topluluk yöntemler) WAF’ın geleneksel saldırı imzalarıyla birleştirerek karar vermektedir. WAF, makine öğrenmesi, topluluk yöntemi ve hibrit yaklaşımın sonuçları; doğruluk, kesinlik, duyarlılık, özgüllük ve F1 skoru metrikleriyle değerlendirilmiştir. Bulgulara göre, en efektif sonucu veren makine öğrenme algoritması karar ağacı olmuştur. WAF ve karar ağacının ayrı ayrı uygulanarak ortak sonucun elde edildiği hibrit yaklaşıma göre WAF’ın doğruluk değeri %30 oranında, duyarlılık %1,27 oranında, kesinlik %48 oranında, özgüllük %76 oranında ve F1 skoru da %25 oranında iyileştirilmiştir.
Anahtar Kelimeler
Kaynakça
- E. Saygılı, “OWASP, WAF ve Bazı Web Güvenlik Zafiyetleri”, içinde Web Uygulama Güvenliği ve Hacking Yöntemleri , 1. Baskı., Dikeyeksen Yayıncılık, 2018, ss. 293-302.
- OWASP, “What’s changed in the Top 10 for 2021”, 2021. [Çevrimiçi]. Erişim adresi: https://owasp.org/Top10/A00_2021_Introduction/
- “OWASP Top Ten 2017 | A7:2017-Cross-Site Scripting (XSS) | OWASP Foundation”. Erişim: 23 Eylül 2025. [Çevrimiçi]. Erişim adresi: https://owasp.org/www-project-top-ten/2017/A7_2017-Cross-Site_Scripting_%28XSS%29
- U. Sarmah, D. K. Bhattacharyya, ve J. K. Kalita, “A survey of detection methods for XSS attacks”, Journal of Network and Computer Applications, c. 118, ss. 113-143, Tem. 2018, doi: 10.1016/J.JNCA.2018.06.004.
- W3Techs, “Usage statistics of JS as client-side programming language on websites”. Erişim: 08 Temmuz 2025. [Çevrimiçi]. Erişim adresi: https://w3techs.com/technologies/overview/client_side_language
- G. Code, “Intrusion detection system for .NET based on phpids”, 2007. [Çevrimiçi]. Erişim adresi: https://code.google.com/archive/p/dotnetids/
- M. Baykara ve R. Daş, “Saldırı tespit ve engelleme araçlarının incelenmesi”, 2019, Dicle Üniversitesi. doi: 10.24012/dumf.449059.
- R. Barnett, “WAF Virtual Patching Challenge: Securing WebGoat with ModSecurity”, Tem. 2009.
Ayrıntılar
Birincil Dil
Türkçe
Konular
Makine Öğrenme (Diğer), Siber Güvenlik ve Gizlilik (Diğer), Bilgisayar Yazılımı
Bölüm
Araştırma Makalesi
Yayımlanma Tarihi
29 Mart 2026
Gönderilme Tarihi
11 Temmuz 2025
Kabul Tarihi
25 Kasım 2025
Yayımlandığı Sayı
Yıl 2026 Cilt: 38 Sayı: 1
APA
Olcay, İ., & Yolaçan, E. N. (2026). XSS Saldırılarını Tespit Etmede Başarıyı Artırmak için Makine Öğrenme Tabanlı Hibrit Yaklaşım. Fırat Üniversitesi Mühendislik Bilimleri Dergisi, 38(1), 121-138. https://doi.org/10.35234/fumbd.1740528
AMA
1.Olcay İ, Yolaçan EN. XSS Saldırılarını Tespit Etmede Başarıyı Artırmak için Makine Öğrenme Tabanlı Hibrit Yaklaşım. Fırat Üniversitesi Mühendislik Bilimleri Dergisi. 2026;38(1):121-138. doi:10.35234/fumbd.1740528
Chicago
Olcay, İdris, ve Esra N. Yolaçan. 2026. “XSS Saldırılarını Tespit Etmede Başarıyı Artırmak için Makine Öğrenme Tabanlı Hibrit Yaklaşım”. Fırat Üniversitesi Mühendislik Bilimleri Dergisi 38 (1): 121-38. https://doi.org/10.35234/fumbd.1740528.
EndNote
Olcay İ, Yolaçan EN (01 Mart 2026) XSS Saldırılarını Tespit Etmede Başarıyı Artırmak için Makine Öğrenme Tabanlı Hibrit Yaklaşım. Fırat Üniversitesi Mühendislik Bilimleri Dergisi 38 1 121–138.
IEEE
[1]İ. Olcay ve E. N. Yolaçan, “XSS Saldırılarını Tespit Etmede Başarıyı Artırmak için Makine Öğrenme Tabanlı Hibrit Yaklaşım”, Fırat Üniversitesi Mühendislik Bilimleri Dergisi, c. 38, sy 1, ss. 121–138, Mar. 2026, doi: 10.35234/fumbd.1740528.
ISNAD
Olcay, İdris - Yolaçan, Esra N. “XSS Saldırılarını Tespit Etmede Başarıyı Artırmak için Makine Öğrenme Tabanlı Hibrit Yaklaşım”. Fırat Üniversitesi Mühendislik Bilimleri Dergisi 38/1 (01 Mart 2026): 121-138. https://doi.org/10.35234/fumbd.1740528.
JAMA
1.Olcay İ, Yolaçan EN. XSS Saldırılarını Tespit Etmede Başarıyı Artırmak için Makine Öğrenme Tabanlı Hibrit Yaklaşım. Fırat Üniversitesi Mühendislik Bilimleri Dergisi. 2026;38:121–138.
MLA
Olcay, İdris, ve Esra N. Yolaçan. “XSS Saldırılarını Tespit Etmede Başarıyı Artırmak için Makine Öğrenme Tabanlı Hibrit Yaklaşım”. Fırat Üniversitesi Mühendislik Bilimleri Dergisi, c. 38, sy 1, Mart 2026, ss. 121-38, doi:10.35234/fumbd.1740528.
Vancouver
1.İdris Olcay, Esra N. Yolaçan. XSS Saldırılarını Tespit Etmede Başarıyı Artırmak için Makine Öğrenme Tabanlı Hibrit Yaklaşım. Fırat Üniversitesi Mühendislik Bilimleri Dergisi. 01 Mart 2026;38(1):121-38. doi:10.35234/fumbd.1740528