İçereği Atla

Firewall Log Tabanlı Saldırı Tespiti: Otomasyon ve Analiz Yaklaşımları

Firewall (Güvenlik Duvarı), güvenilir bir iç ağ ile güvenilir olmayan dış ağ (genellikle internet) arasındaki trafiği denetleyen bir ağ güvenliği sistemidir. Belirlenen güvenlik kurallarına göre çalışan firewall, izin verilen trafiğe geçiş izni verirken yetkisiz ve zararlı trafiği engeller. Yazılım veya donanım tabanlı olarak kullanılabilen bu sistemler, ağ üzerindeki veri akışını kontrol ederek izinsiz erişimleri ve siber saldırıları önlemeyi amaçlar.
9 Nisan 2026 yazan
Firewall Log Tabanlı Saldırı Tespiti: Otomasyon ve Analiz Yaklaşımları
Mehrinaz BOZ
 

Firewall Türleri ve Log Üretimi

Güvenlik duvarları (firewall), bilgisayar ağlarını yetkisiz erişimlere, zararlı yazılımlara ve siber saldırılara karşı korumak amacıyla kullanılan temel ağ güvenliği bileşenleridir. İç ağ ile dış ağ (internet) arasındaki veri trafiğini belirlenen güvenlik kurallarına göre denetleyerek, güvenli olmayan paketlerin ağa girişini engellerler. Firewall sistemleri; yapılarına, mimarilerine ve dağıtım modellerine göre farklı türlere ayrılmaktadır.

Yapılarına Göre Güvenlik Duvarları

Yazılımsal güvenlik duvarları

işletim sistemi veya bir uygulama üzerinde çalışan ve yalnızca kurulu oldukları cihazı koruyan firewall türleridir. Ek bir donanıma ihtiyaç duymamaları ve düşük maliyetli olmaları nedeniyle bireysel kullanıcılar ve küçük ölçekli ağlar için uygun çözümler sunarlar. Ancak sistem kaynaklarını kullanmaları ve kullanıcı tarafından devre dışı bırakılabilmeleri, güvenlik seviyesini sınırlayan faktörlerdir.

Donanımsal güvenlik duvarları ise

 ağ trafiğini denetlemek üzere özel olarak tasarlanmış fiziksel cihazlardır. Genellikle ağ ile internet arasına konumlandırılırlar ve tüm ağı tek merkezden koruma altına alırlar. Yüksek performans sunmaları, sistem kaynaklarını etkilememeleri ve VPN, saldırı önleme sistemi (IPS) gibi gelişmiş özellikleri desteklemeleri, bu tür firewall’ların özellikle kurumsal yapılarda tercih edilmesini sağlamaktadır. Buna karşın maliyetlerinin yazılımsal çözümlere göre daha yüksek olması önemli bir dezavantajdır.

Mimarisine ve Filtreleme Yöntemine Göre Güvenlik Duvarları

Paket filtreleme güvenlik duvarları

gelen ve giden veri paketlerini kaynak IP adresi, hedef IP adresi, port numarası ve protokol bilgilerine göre denetleyen en temel firewall türüdür. Hızlı çalışmasına rağmen veri içeriğini incelememesi nedeniyle sınırlı bir güvenlik sunar.

Durum tabanlı (stateful) güvenlik duvarları,

 paket filtrelemenin ötesine geçerek bağlantıların durumunu takip eder. Daha önce kurulmuş güvenilir bağlantılara ait paketlerin geçişine izin verirken, şüpheli bağlantıları engelleyerek daha gelişmiş bir güvenlik seviyesi sağlar.

Proxy (vekil) tabanlı güvenlik duvarları,

 istemci ile sunucu arasındaki doğrudan bağlantıyı keserek aracı görevi üstlenir. Uygulama katmanında çalışarak veri içeriğini derinlemesine analiz eder ve yüksek düzeyde güvenlik sağlar. Ancak yoğun trafik altında gecikmelere ve performans kaybına yol açabilir.

Devre düzeyi (circuit-level) güvenlik duvarları,

 TCP bağlantılarını denetleyerek bağlantıların geçerliliğini kontrol eder. Paket içeriğini incelemediğinden dolayı genellikle diğer firewall türleriyle birlikte kullanılır.

Yeni nesil güvenlik duvarları (Next-Generation Firewall – NGFW),

 geleneksel firewall özelliklerini uygulama katmanı denetimi, saldırı önleme sistemi (IPS), antivirüs ve kötü amaçlı yazılım tespiti gibi gelişmiş güvenlik mekanizmalarıyla birleştirir. Uygulama ve kullanıcı farkındalığı sunarak günümüzün karmaşık siber tehditlerine karşı kapsamlı koruma sağlar.

Web Uygulama Güvenlik Duvarları (WAF),

 özellikle web uygulamalarını hedef alan SQL enjeksiyonu, XSS gibi saldırılara karşı koruma sağlamak amacıyla geliştirilmiştir. HTTP ve HTTPS trafiğini analiz ederek uygulama katmanında güvenlik sunar.

Dağıtım Modeline Göre Güvenlik Duvarları

Güvenlik duvarları, dağıtım şekillerine göre host tabanlı, ağ tabanlı ve bulut tabanlı (Firewall-as-a-Service – FWaaS) olarak sınıflandırılabilir. Bulut tabanlı firewall çözümleri, esnek yapıları ve ölçeklenebilirlikleri sayesinde özellikle uzaktan çalışma ve dağıtık ağ mimarilerinde öne çıkmaktadır.

Firewall Loglarının Yapısı ve Analiz İçeriği

Firewall logları, ağ güvenliğinin sağlanmasında kritik bir veri kaynağıdır. Bu loglar, ağ trafiği ve güvenlik olaylarını kaydederek hem normal hem de anormal aktivitelerin izlenmesine imkân tanır. Etkili bir firewall log yönetimi, siber tehditlerin erken tespit edilmesi, güvenlik olaylarına hızlı müdahale edilmesi ve ağ performansının izlenmesi açısından büyük önem taşır.

Firewall Loglarının Yapısı

Firewall loglarının içerdiği alanlar, üreticiye ve cihaz modeline göre farklılık gösterebilir. Ancak genel olarak log kayıtları aşağıdaki temel bileşenleri içerir:

  • Zaman Bilgisi (Timestamp): Olayın gerçekleştiği tarih ve saat. Kronolojik sıralama ve korelasyon analizleri için kritik önemdedir.

  • Kaynak Bilgisi: Trafiği başlatan cihaz veya sistemin IP adresi ve port numarası.

  • Hedef Bilgisi: Trafiğin yönlendirildiği sistemin IP adresi ve hedef port numarası.

  • Protokol Bilgisi: Trafikte kullanılan protokol (TCP, UDP, ICMP vb.).

  • Aksiyon Bilgisi: Firewall’un ilgili trafik için aldığı karar (izin/verme veya engelleme).

  • Kural Bilgisi: Trafiğin hangi güvenlik politikası veya kural tarafından işlendiği.

  • Arayüz ve Oturum Bilgileri: Gelişmiş sistemlerde trafiğin geçtiği ağ arayüzleri ve oturum durumu (new, established, closed gibi).

Bu yapı sayesinde her bir trafik hareketi, belirli parametreler üzerinden kaydedilir ve güvenlik ekipleri tarafından analiz edilebilir.

Firewall Loglarının Analiz İçeriği

Firewall logları yalnızca kayıt tutmakla kalmaz; doğru şekilde analiz edildiğinde ağ güvenliği için kritik bilgiler sunar. Log analizinin temel içerikleri şunlardır:

Kritik Olaylar

  • Başarısız oturum açma girişimleri
  • VPN üzerinden gelen şüpheli bağlantılar
  • Mesai saatleri dışındaki yetkisiz erişim denemeleri
    Bu olaylar, doğrudan ağ güvenliğini tehdit edebilecek aktiviteler olarak sınıflandırılır.

Anormal Port Taramaları

İç veya dış ağdan gelen ardışık port taramaları (port scanning), bir saldırı hazırlığının göstergesi olabilir. Firewall logları bu aktiviteleri kaydederek erken uyarı sağlar.

Korelasyon Analizi

Tek başına masum görünen bir olay, başka bir olayla birleştiğinde tehdit oluşturabilir. Örneğin, bir kullanıcının VPN bağlantısı kurup hemen ardından veri tabanından yüksek hacimli veri çekmesi, tek başına normal görünse de korelasyon analizi ile anormal bir davranış olarak tespit edilebilir.

Kaynak ve Hedef Analizi

Loglar, trafiğin hangi cihazlardan geldiğini ve hangi hedeflere yöneldiğini gösterir. Bu analiz, anormal aktivitelerin tespitinde ve riskli kaynakların belirlenmesinde kullanılır.

Zaman Serisi Analizi

Trafik örüntülerinin zaman bazlı analizi, anormal aktivitelerin ve olası DDoS veya brute-force saldırılarının erken tespitini sağlar.

Saldırı Tespiti için Log Analizi Yöntemleri

Log analizi, siber saldırıların tespiti ve güvenlik olaylarına hızlı müdahale edilebilmesi açısından kritik bir rol oynamaktadır. Firewall, sistem ve uygulama logları; yetkisiz erişim girişimleri, anormal davranışlar ve saldırı hazırlıklarının belirlenmesinde temel veri kaynağıdır.

    1. İmza tabanlı analiz, bilinen saldırı kalıplarının loglarda aranmasına dayanır. Hızlı ve düşük yanlış pozitif oranına sahip olmakla birlikte, sıfır gün saldırılarını tespit edemez.

    2. Anomali tabanlı analiz, normal sistem davranışından sapmaları inceleyerek bilinmeyen saldırıları tespit edebilir; ancak yanlış pozitif oranı yüksektir.

    3. Kural tabanlı analiz, önceden tanımlanmış mantıksal kurallar üzerinden çalışır ve kolay uygulanabilir olmasına rağmen sürekli bakım gerektirir.

    4. Korelasyon analizi, farklı kaynaklardan gelen logların ilişkilendirilmesiyle çok aşamalı saldırıların ortaya çıkarılmasını sağlar.

    5. Davranışsal analiz (UEBA), kullanıcı ve sistem davranışlarını modelleyerek iç tehditlerin tespitinde etkilidir.

    6. Zaman serisi analizi, trafik ve erişim örüntülerini zaman bazlı inceleyerek DDoS ve brute-force saldırılarının erken tespitine katkı sağlar.

    7. Makine öğrenmesi ve yapay zekâ tabanlı analizler, gelişmiş saldırıların belirlenmesini mümkün kılmakla birlikte yüksek veri ve kaynak gereksinimine sahiptir.

    8. Tehdit istihbaratı entegrasyonu ve görselleştirme araçları, bilinen kötü niyetli kaynakların tespiti ve analiz süreçlerinin etkinliğini artırır.

SONUÇ

Bu çalışmada, ağ güvenliğinin temel unsurlarından olan firewall sistemleri, firewall türleri, firewall loglarının yapısı, log analiz içeriği ve saldırı tespiti için log analizi yöntemleri bütüncül bir yaklaşımla ele alınmıştır. Firewall’lar, ağ trafiğini denetleyerek yetkisiz erişimleri engellemenin yanı sıra, oluşturdukları log kayıtları sayesinde güvenlik olaylarının izlenmesine ve analiz edilmesine olanak tanımaktadır.

Firewall türleri; yapısal ve mimari özelliklerine göre sınıflandırılmış, özellikle Yeni Nesil Güvenlik Duvarları (NGFW) ve Web Uygulama Güvenlik Duvarları (WAF) çözümlerinin modern siber tehditlere karşı daha kapsamlı koruma sunduğu vurgulanmıştır. Firewall loglarının yapısı incelendiğinde, zaman, kaynak, hedef, protokol, aksiyon ve kural bilgileri gibi alanların güvenlik analizinin temelini oluşturduğu görülmüştür.

Log analiz içeriği kapsamında kritik olayların izlenmesi, anormal trafik ve port taramalarının tespiti, zaman serisi ve korelasyon analizlerinin önemi ortaya konmuştur. Saldırı tespiti için imza, kural, anomali ve davranışsal analiz yöntemlerinin her birinin farklı avantajlara sahip olduğu, ancak tek başına yeterli olmadığı belirlenmiştir.

Firewall Log Tabanlı Saldırı Tespiti: Otomasyon ve Analiz Yaklaşımları
Mehrinaz BOZ 9 Nisan 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment