CLASSIFICATION AND ANOMALY DETECTION OF ATTACKS AND THREATS COMING FROM THE INTERNAL NETWORK IN CORPORATE NETWORKS USING MACHINE LEARNING METHODS

Yıl 2025, Cilt: 4 Sayı: 2, 33 - 43, 30.12.2025

Sercan Akçali , Oğuzhan Kendirli

https://doi.org/10.5281/zenodo.17972846

Öz

Corporate networks are inherently vulnerable to cyber threats that may originate from both internal and external sources.In today’s digital world, organizations are increasingly connected through a growing number of network connections and devices, which introduces various security threats. While the primary focus in corporate networks is often on cyberattacks and threats from external sources, threats that may arise from within the organization can sometimes be overlooked. However, a security breach occurring within the internal network of an organization can be just as devastating causing financial losses and reputational damage as one originating from outside the network.
Numerous endpoints such as routers, switches, printers, CCTV (Closed-Circuit Television) devices, and user devices used both at the organization's headquarters and at affiliated locations make network security more complex. In addition, corporate wireless networks accessed by both local users and guests, the increasing need for remote access to corporate resources via VPN (Virtual Private Network) due to the rise of remote work after the pandemic, and inter-organizational connections via IPSec (Internet Protocol Security) all contribute to a growing number of potential security vulnerabilities.
In this study, a representative corporate network topology was designed, and attacks or threats whether intentional or unintentional through network connections considered secure within the organization were examined using machine learning techniques for detection and classification. The aim of this study is to raise awareness among organizations regarding their internal network security and to encourage a more proactive approach to securing internal systems.
Our study utilized a real-time dataset consisting of Vulnerability, Antivirus, and Spyware threat logs obtained from a Next Generation Firewall system. This dataset was evaluated using machine learning algorithms such as Random Forest, Logistic Regression, XGBoost (Extreme Gradient Boosting), MLP (Multi-Layer Perceptron), and SVC (Support Vector Classification) based on accuracy, F1 score, precision, and recall metrics.
As a result of the study, the XGBoost algorithm demonstrated the best overall performance, achieving the highest values in terms of accuracy (99.17%), F1 score (97.89%), precision (97.11%), and recall (98.69%). The MLP algorithm achieved the highest precision rate (98.84%) in terms of minimizing false positives.

Anahtar Kelimeler

Machine Learning , Corporate Networks , Intrusion Detection System , IPSec , VPN , Wireless Network

Kurumsal Ağlarda İç Ağdan Gelen Atak ve Tehditlerin Makine Öğrenimi Yöntemleri ile Sınıflandırılması ve Anomali Tespiti

Öz

Kurumsal ağlar, hem iç hem de dış ağdan gelebilecek siber tehditlere karşı hassas bir yapıdadır. Günümüzün dijital dünyasında, kurumlar her geçen gün daha fazla sayıda ağ bağlantısına ve cihazlara sahip olmakta, bu durum beraberinde çeşitli güvenlik tehditlerini getirmektedir. Kurumsal ağlarda çoğu zaman odak noktası dış kaynaklı siber saldırılar ve tehditler olurken, kurum içinden gelebilecek saldırılar göz ardı edilebilmektedir. Oysa ki, kurum iç ağında meydana gelebilecek bir güvenlik ihlali, en az kurum dış ağından gelen bir saldırı kadar yıkıcı etkilere, maddi kayıp ve itibar zedelenmesine neden olabilir.
Bir kurumun hem merkez hem de ona bağlı diğer lokasyonlarında kullanılan Router, Switch, Printer, CCTV (Close Circuit TeleVision) cihazları ve kullanıcı cihazları gibi çok sayıda uç nokta, ağ güvenliğini karmaşık hale getirmektedir. Ayrıca hem yerel kullanıcıların hem de misafirlerin bağlandığı kurum kablosuz ağları, pandemi sonrası yaygınlaşan uzaktan çalışma ile birlikte VPN (Virtual Private Network) bağlantısıyla kurum kaynaklarına uzaktan erişim ihtiyacının artması, IPSec (Internet Protocol Security) bağlantısı üzerinden gerçekleşen kurumlar arası bağlantılar potansiyel güvenlik açıklarını artırmaktadır.
Bu çalışmada, temsili kurumsal bir ağ topolojisi tasarlanmış olup kurum için güvenilir kabul edilen ağ bağlantıları üzerinden bilinçli veya bilinçsiz bir şekilde gerçekleştirilen atak ve tehditlerin makine öğrenmesi teknikleri kullanılarak tespit ve sınıflandırması incelenmektedir. Bu çalışma, kurumların kendi güvenliklerini sağlama konusundaki farkındalıklarını artırmayı ve iç ağ güvenliğini sağlamada daha proaktif bir yaklaşım geliştirmelerini hedeflemektedir.
Çalışmamızda, Next Generation Firewall sisteminden alınmış gerçek zamanlı Vulnerability, Antivirus, Spyware threat loglarına dair veri seti kullanılmıştır. Bu veri seti, Random Forest, Logistic Regression, XGBoost (Extreme Gradient Boosting), MLP (Multi Layer Preception), SVC (Support Vector Classification) makine öğrenmesi algoritmaları kullanarak doğruluk, F1 skoru, kesinlik, duyarlılık kriterleri ile değerlendirilmiştir.
Çalışma sonucunda, XGBoost algoritması, en yüksek doğruluk oranı (%99,17), F1 skoru (%97,89), kesinlik (%97,11) ve duyarlılık (%98,69) değerleriyle genel olarak en iyi performansı sergilemiştir. Yanlış pozitifleri minimize etme açısından MLP algoritması en yüksek kesinlik oranına (%98,84) ulaşmıştır.

Anahtar Kelimeler

Makine Öğrenmesi , Kurumsal Ağlar , Saldırı Tespit Sistemi , IPSec , VPN , Kablosuz Ağ

Kaynakça

• [1] H. Yılmaz, “TS ISO/IEC 27001 Bilgi Güvenliği Yönetimi Standardı Kapsamında Bilgi Güvenliği Yönetim Sisteminin Kurulması ve Bilgi Güvenliği Risk Analizi,” KİDDER Denetişim Dergisi, pp. 2014–15.
• [2] M. Karakaya, Kurumsal güvenlik için siber tehditlerin incelenmesi ve saldırı senaryoları, 2022.
• [3] N. Bakhareva, A. Shukhman, A. Matveev, P. Polezhaev, Y. Ushakov and L. Legashev, “Attack detection in enterprise networks by machine learning methods,” in Proc. 2019 Int. Russian Automation Conf. (RusAutoCon), 2019, pp. 1–6.
• [4] B. Chikkoppa, J. Hanumanthappa, V. Pati, S. Allagi, L. S. Rodriguez-Baca and C. F. Cruzado, “A Comparative Study of Malware Detection in Enterprise Networks,” in Proc. 2024 2nd World Conf. on Communication & Computing (WCONF), 2024, pp. 1–5.
• [5] V. L. Thing, “IEEE 802.11 network anomaly detection and attack classification: A deep learning approach,” in Proc. 2017 IEEE Wireless Communications and Networking Conf. (WCNC), 2017, pp. 1–6.
• [6] H. Çakır and H. Yaşar, “Kurumsal siber güvenliğe yönelik tehditler ve önlemleri,” Düzce Üniversitesi Bilim ve Teknoloji Dergisi, vol. 3, no. 2, pp. 488–507, 2015.
• [7] Z. Senturk and E. Irmak, “Windows Aktif Dizin Etki Alanı Servisi ve Kurumsal Ağ Güvenliği: PowerShell Erişiminin Analizi ve Önlemler,” Gazi Univ. J. Sci. Part C, vol. 12, no. 3, pp. 475–487, 2024.
• [8] M. K. Pehlivanoğlu, R. Atay and D. E. Odabaş, “İki Seviyeli Hibrit Makine Öğrenmesi Yöntemi ile Saldırı Tespiti,” Gazi Mühendislik Bilimleri Dergisi, vol. 5, no. 3, pp. 258–272, 2019.
• [9] M. Hacıbeyoğlu, F. N. Arıcı and M. Karaaltun, “Intrusion Detection System Application with Machine Learning,” Afyon Kocatepe Univ. J. Sci. & Eng., vol. 24, no. 5, pp. 1166–1180, 2024.
• [10] Ç. Kılınç and Ö. Can, “Siber Güvenlikte T-Pot Honeypot Uygulanması: Kurumsal Ağ Üzerinde Örnek Durum Çalışması,” Computer Science (IDAP-2023), pp. 24–30, 2023.
• [11] H. Ulus and M. Demirci, “Kurum İçi Saldırıların Tespiti ve Önlenmesi için Sunucu İzleme Uygulaması,” Gazi Univ. J. Sci. Part C, vol. 6, no. 3, pp. 507–523, 2018.
• [12] J. Guo, C. Gu, X. Chen and F. Wei, “Model learning and model checking of IPsec implementations for Internet of Things,” 2019.
• [13] P. Kırcı, Ç. Toka and F. Erdem, “IP/MPLS Ağlar Üzerinde Sanal-Yerel Servisler ve Yönlendirici Konfigürasyonları,” Uludağ Üniversitesi Mühendislik Fakültesi Dergisi, vol. 20, no. 2, pp. 155–165, 2015.
• [14] S. García, J. Luengo and F. Herrera, Data Preprocessing in Data Mining. Springer, 2015.
• [15] E. Rahm and H. H. Do, “Data cleaning: Problems and current approaches,” IEEE Data Eng. Bull., vol. 23, no. 4, pp. 3–13, 2000.
• [16] D. Pyle, Data Preparation for Data Mining. Morgan Kaufmann, 1999.
• [17] J. Zhang, M. Zulkernine and A. Haque, “Random-forests-based network intrusion detection systems,” IEEE Trans. Syst., Man, Cybern. C, vol. 38, no. 5, pp. 649–659, 2008.
• [18] M. Bhavsar, K. Roy, J. Kelly and O. Olusola, “Anomaly-based intrusion detection system for IoT application,” Discover Internet of Things, vol. 3, no. 1, p. 5, 2023.
• [19] X. Wang and X. Lu, “A host‐based anomaly detection framework using XGBoost and LSTM for IoT devices,” Wireless Commun. Mobile Comput., vol. 2020, no. 1, 2020.
• [20] R. Chalapathy and S. Chawla, “Deep learning for anomaly detection: A survey,” 2019.
• [21] K. Ghanem, F. J. Aparicio-Navarro, K. G. Kyriakopoulos, S. Lambotharan and J. A. Chambers, “Support vector machine for network intrusion and cyber-attack detection,” in Proc. 2017 Sensor Signal Processing for Defence Conf. (SSPD), 2017, pp. 1–5.