Gerçek Zamanlı Anomali Tespiti: SCADA Verisi Üzerinden Siber Saldırı Algılama
Fiziksel Süreç Modelleme ve Hibrit ML Yaklaşımı
Renewasoft | 2026
Seviye: İleri Hedef Kitle: SCADA Mühendisi, HES İşletmecisi, CTO, Altyapı Yatırımcısı
Giriş: SCADA Verisi Bir Siber Güvenlik Sinyal Hattıdır
Enerji üretim tesislerinde SCADA verisi uzun yıllar boyunca operasyonel raporlama amacıyla kullanıldı. Ancak bugün SCADA akışları aynı zamanda bir siber güvenlik sinyal hattı haline gelmiştir. Modern saldırılar çoğu zaman doğrudan ağ trafiği üzerinden değil, fiziksel süreçteki küçük ama anlamlı sapmalar üzerinden kendini gösterir: setpoint oynatmaları, sensör drift’i, aktüatör komutlarının beklenmedik sıklığı, debi–basınç–frekans ilişkilerinin bozulması ve titreşim spektrumunda anlık harmonik artışlar [1].
Bu yaklaşımın önemi; NIST ICS rehberlerinde [1], IEC 62443 serisinde [2], MITRE ATT&CK for ICS’de [3] ve CISA’nın ICS odaklı uyarılarında [4] açıkça vurgulanmaktadır. Bu bölümün amacı; SCADA’dan beslenen gerçek zamanlı anomali tespitinin nasıl kurgulanacağını, fiziksel süreç modellemeden ML tabanlı yöntemlere, feature engineering’den false positive yönetimine, SIEM entegrasyonundan erken uyarı mekanizmalarına kadar uçtan uca bir çerçeve ile açıklamaktır.
TL;DR — Yönetici Özeti
-
“Normal” kavramı sabit bir baseline değil; işletme modu, mevsim, yük ve ekipman durumuna göre bağlamsal bir fonksiyondur[1].
-
Fiziksel süreç modelleme (kütle/enerji dengesi, dijital ikiz), istatistiksel sapma ile siber manipulasyonu ayırt etmenin temelidir[1][3].
-
En iyi mimari hibrit: SPC/EWMA (hızlı sinyal) + ML (anlamlandırma) + fiziksel model (tutarlılık)[1][2].
-
False positive yönetimi; çok aşamalı doğrulama, bağlam eşikleri ve alarm birleştirme ile sağlanır[1].
-
SIEM entegrasyonu ile olay yönetimi sağlanır[1][4].
“Normal” Kavramını Tanımlamadan Anomali Bulamazsınız
Anomali tespitinin ilk ve en kritik adımı “normal”in tanımıdır. SCADA ortamında “normal” kavramı, ofis IT sistemlerindeki gibi sabit bir baseline değildir. HES’lerde süreç dinamiği doğası gereği değişkendir: mevsimsel debi değişimleri, rezervuar seviyesi davranışları, türbin yüklenme profili, operatör müdahaleleri, sensor kalibrasyonları ve hidrolik/mekanik yıpranma[1][2]
| İşletme Modu | Normal Davranış Deseni | Anomali Esik Yaklaşımı |
|---|---|---|
| Start-up / Senkronizasyon | Hızlı RPM artısı, geçici titreşim pikleri | Geniş bantlı esikler; süre bazlı timeout |
| Nominal Üretim | Kararli debi–guc–frekans korelasyonu | Dar bantli; mod-conditioned SPC |
| Yük Artırma/Azaltma | Rampa profili; geçici overshoot/undershoot | Rampa suresi ve yönü ile eşleştirme |
| Bakim / Bypass | Sensor offline, kontrol döngüsü devre dışı | Anomali tespiti askıya alınır veya özel mod |
| Acil Durum | Trip, hızlı kapat, koruma rolesi devrede | Olay sonrası forensik analiz modu |
Tablo 1: İşletme Modları ve Anomali Esik Yaklaşımları [1][2]
“Normal”i tanımlamak için önerilen yaklaşım, veri katmanında etiketli bir operasyonel durum alanı üretmektir. Bu etiket, doğrudan SCADA’dan (örn. çalışma modu tag’leri) veya kural tabanlı türetimle (örn. breaker açık/kapalı, RPM, aktif güç) oluşturulabilir[1].
Fiziksel Süreç Modelleme: Korelasyon Yetmez, Nedensellik Lazım
SCADA anomali tespitini siber saldırı bağlamına taşıyan kritik fark: yalnızca istatistiksel aykırılık değil, fiziksel süreç tutarlılığı aranmalıdır. Bir saldırgan, sensor değerini manipüle ederek operatörü yanlış karar almaya zorlayabilir. Bu manipulasyon tek sensörde makul görünürken, süreç fiziğiyle çelişebilir[1][3].
A) Kısıt ve Invariant Tabanlı Modelleme
Kütle korunumu, enerji dengesi, hidrolik basınç–debi ilişkileri; türbin verim eğrileri; rezervuar seviye değişim hızı (dS/dt) ile giriş–çıkış akış dengesi. Örneğin: debi artmış görünürken aktif güç aynı kalıyorsa → verim düşüşü veya telemetri manipulasyonu. Basınç artmadan debi artıyorsa → sensor spoofing şüphesi[1].
B) Basitleştirilmiş Dijital İkiz Mantığı
Tam CFD/FEA dijital ikiz pahalidir; operasyonel amacla reduced-order model kullanilir: debi, net dusu, turbin kanat acisi, governor komutu, jenerator yuku → beklenen guc. Bu model iki sey saglar: (1) Yorumlanabilirlik: ne sapmis, neden sapmis olabilir? (2) Saldiri ayristirma: surec arizasi mi, sensor arizasi mi, siber manipulasyon mu?[1][2]
İstatistiksel Anomali vs ML Tabanlı Anomali: Hangisi Ne Zaman?
| Yöntem | Avantaj | Dezavantaj |
|---|---|---|
| Z-score / MAD | Hızlı, ucuz, şeffaf | Çok değişkenli ilişkileri kaçırır |
| EWMA / CUSUM | Drift ve kucuk sapmalari iyi yakalar | Karmaşık süreçlerde yetersiz kalabilir |
| Hotelling T² | Korelasyonlu tag setlerinde toplu sapma | Root-cause ayrıştırma zayıf |
| Isolation Forest | Etiketsiz, çok boyutlu veride güçlü | Zaman bağımlılığını doğal olarak modellemez |
| Autoencoder / LSTM-AE | Zaman serisi yeniden yapılandırma hatası ile anomali | Veri kalitesi, drift, açıklanabilirdik maliyeti |
| TCN / Transformer | Gecikme ve çok değişkenli ilişkileri yakalar | Eğitim ve bakim maliyeti yüksek |
Tablo 2: Anomali Tespit Yöntemleri Karşılaştırması [1][2]
💡 Pratik Oneri: Uc Katmanli Hibrit Mimari
Katman 1 (Hız): İstatistiksel SPC/EWMA ile hizli sinyal uretimi.
Katman 2 (Derinlik): ML ile anlamlandırma ve sınıflandırma (ariza mi, manipülasyon mu, process change mi).
Katman 3 (Tutarlılık): Fiziksel süreç modeli residual kontrolü (physics-in-the-loop).
Bu üçlü; hız + doğruluk + açıklanabilirdik sağlar[1][2].
Feature Engineering: SCADA Tag Selinden Anlamlı Sinyale
ML kalitesini belirleyen şey çoğu zaman modelden çok feature engineering’dir. SCADA verisi ham haliyle tag seli gibidir; anlamlı sinyale çevirmek gerekir[1].
| Feature Kategorisi | Örnek Özellikler | Siber Tespit Değeri |
|---|---|---|
| Zaman Alanı (Temel) | Rolling mean/std, trend, rate-of-change, step-change | Setpoint sıçraması, drift tespiti |
| Çok Değişkenli İlişkisel | Debi↔guc, basinc↔debi, governor↔RPM↔frekans | Surec tutarlilik kontrolu, spoofing tespiti |
| Frekans Alanı (Titreşim) | FFT bant güçleri (1X, 2X), spectral centroid, envelope | Mekanik stres, kavitasyon, manipülasyon izi |
| Alarm/Olay Logu | Alarm burst rate, sequence pattern, ack gecikmeleri | Alarm susturma/fırtına tespiti, saldırı izi |
Tablo 3: HES Odaklı Feature Engineering Kategorileri [1][2][3]
Kritik: Korelasyonu körelmesine almak değil; mode-conditioned correlation kullanmak gerekir. Nominal üretimde beklenen ilişki start-up modunda farklıdır[1].
False Positive Yönetimi: Alarm Üretmek Kolay, Operatörü Yormamak Zor
Sürekli yanlış alarm üreten bir sistem, sahada alarm fatigue (operatör ilgisizliği) veya esiklerin yükseltilerek körleştirme sonucunu doğurur[1][2]. Bunu yönetmek için üç teknik:
| Teknik | Mekanizma | Ornek |
|---|---|---|
| Çok Aşamalı Doğrulama | Stage-1: SPC aday + Stage-2: ML skor + Stage-3: süreç tutarlılık | Debi artmış → rezervuar dS/dt uyuyor mu? Basınç destekliyor mu? |
| Bağlam Esikleri | Threshold = f(mod, yuk, mevsim, ekipman_yas) | Kış debisi vs yaz debisi farklı esikler |
| Alarm Birleştirme | Ayni root-cause alarmlarını incident içinde grupla | RiskScore = AnomalyScore × AssetCriticality × Exposure |
Tablo 4: False Positive Azaltma Teknikleri [1][2]
SIEM Entegrasyonu: OT Anomalisini Kurumsal Olay Yönetimine Taşımak
SCADA anomali tespiti tek başına dashboard olarak kalırsa etkisi sınırlıdır. SIEM entegrasyonu iki prensip gerektirir: (1) OT telemetrisi IT telemetrisiyle korele edilmeli — örneğin aynı zaman aralığında EWS uzaktan erişim + setpoint değişimi + debi–güç tutarsızlığı saldırı olasılığını dramatik artırır[3][4]. (2) Olay formatı standartlaştırılmalı: timestamp, asset_id, anomaly_type, confidence, severity, recommended_action, supporting_evidence.
Gerçek Senaryo: Manipüle Edilmiş Sensor + Kontrol Drift
💥 Saldırı Senaryosu
Saldırgan mühendislik istasyonuna yetkisiz erişim elde ediyor. Amaç: türbini doğrudan durdurmak değil; verim düşüşü yaratarak ekonomik kayıp ve ekipman stresini artırmak[6].
Adim 1: Debi sensorunu olduğundan yüksek gösteriyor → operatör daha fazla üretim kararı alıyor.
Adim 2: Governor setpoint’ini küçük adımlarla artırıyor → klasik alarm esiklerini tetiklemeyecek kadar kademeli.
Fiziksel Sonuç: Türbin verim eğrisi dışına çıkar; kavitasyon riski artar; titreşim spektrumunda harmonik yükseliş.
Anomali Tespit Sistemi Bunu Nasıl Yakalar?
| Tespit Katmanı | Kontrol Mekanizması | Sonuç |
|---|---|---|
| Çapraz Tutarlılık | Debi artarken rezervuar dS/dt artmalı; artmıyor | Sensor spoof şüphesi |
| Enerji Dengesi | Beklenen güç ≠ ölçülen güç → model residual artışı | Fiziksel model alarmı |
| Komut Paterni | Setpoint değişimleri olağan dışı sık/ritmik | Komut frekansı anomalisi |
| Titreşim Korelasyonu | Beklenenden fazla harmonik artış | Mekanik stres sinyali |
Tablo 5: Sensor Spoofing + Control Drift Tespit Mekanizmalari [1][3]
Bu mekanizmalar birlikte çalıştığında olay tek alarm değil, incident olarak toplanır: Suspected Sensor Spoofing + Control Drift (Confidence: High). Aksiyon: EWS erişim logu kontrolü, redundant sensor karşılaştırma, setpoint kilidi, SIEM playbook tetikleme[3][4].
Kurumsal Yaklaşım: SCADA Anomali Tespitinde Katmanlı Mimari
Gerçek zamanlı anomali tespiti, yalnızca model çıktısı üretmek değil; bu çıktıyı operasyonel ve güvenlik kararlarına entegre etmeyi gerektirir.
Etkili bir yaklaşım üç temel katmandan oluşur:
• Veri entegrasyonu ve bağlam etiketleme
• Çok katmanlı anomali skorlama (istatistiksel + ML + fiziksel model)
• Olay yönetimi ve SIEM entegrasyonu
Bu yapı sayesinde anomali tespiti, tekil alarm üretiminden çıkarak kurumsal olay yönetimi sürecine dönüşür.
| # | Asama | Açıklama |
|---|---|---|
| 1 | AI-Powered Data Integration | SCADA tag’leri, sensörler ve IoT akışları güvenli şekilde toplanır, normalize edilir, zaman senkronu sağlanır |
| 2 | AI-Powered Data Analysis | Bağlam etiketleme (operasyon modlari), feature store, model skorlama pipeline çalışır |
| 3 | AI-Powered Forecasting | Performans sapmaları (verim düşüşü) ve güvenlik anomalileri (spoof/drift) ayrıştırma skoru üretilir |
| 4 | Decision Support | Olaylar dashboard, bakım workflow, operasyon kararları ve SIEM olay yönetimine bağlanır |
Tablo 6: SCADA Anomali Tespit Pipeline (Referans Mimari) [1][4]
🔍 Kritik Tasarım İlkeleri
Explainable AI: “Alarm verdi” değil; “hangi sinyal hangi iliskiyi bozdu” açıklaması.
Model Drift Yönetimi: Mevsimsel değişime adaptif modeller; farkli işletme modlarına özel alt modeller.
Güvenli Entegrasyon: IT/OT ayrımını bozmadan veri toplama; Purdue/DMZ mimarisiyle uyum[5].
Operasyonel Çıktı: Operatöre “ne yapmalıyım?” cevabı veren aksiyon önerileri.
Sık Sorulan Sorular (FAQ)
S1: SCADA verisi tek başına siber saldırıyı yakalamaya yeter mi?
Yeterli olabilir; ancak doğruluk artısı için erişim logları, alarm/komut loglari ve IoT titreşim gibi ek telemetri ile korelasyon önerilir[3][4].
S2: ML modeli için etiketli saldırı verisi gerekiyor mu?
Her zaman değil. One-class yaklaşımlar ve autoencoder normalden sapmayı öğrenebilir. Etiketli veri sınıflandırma ve kok neden ayrıştırmada faydalıdır[1].
S3: Konsept drift (mevsimsel değişim) modeli bozarsa?
Mod bazlı modeller, adaptif esikler ve periyodik yeniden eğitim gerekir. Model health metrikleriyle drift izlenir[1][2].
S4: False positive azaltmanın en etkili yolu?
Tek bir yöntem yetmez; çok aşamalı doğrulama + bağlam farkındalığı + alarm birleştirme birlikte tasarlanmalıdır[1][2].
S5: SIEM’e ham SCADA tag’lerini mi göndermeliyiz?
Hayır. Anlamlandırılmış olay nesneleri (incident/event) göndermek doğrudur; ham veri SOC’u boğar[4].
S6: Sensor arizası ile manipülasyonu nasıl ayırırız?
Redundant ölçüm, fiziksel süreç tutarlılığı, komut/erişim korelasyonu ve zamansal patern analizi birlikte kullanılır[1][3].
S7: Bu yaklaşım operasyonel olarak ne sağlar?
Veri entegrasyonu, bağlam etiketleme, anomali skorlama ve olay yönetimi katmanlarının birlikte çalışmasını sağlar. Bu sayede anomali tespiti, operasyonel karar süreçlerine doğrudan katkı sağlar.
S8: Gercek zamanli sistemlerde gecikme nasil yonetilir?
Edge on-isleme + merkezde ağır analiz hibriti uygulanabilir. Kritik esikler edge’de hızlı, derin analiz merkezde yapılır[1].
Sonuç
Gerçek zamanlı anomali tespiti, HES’lerde yalnızca operasyonel sağlık göstergesi değil, ayni zamanda siber saldırıların fiziksel izlerini yakalayan erken uyarı hattıdır. Başarılı bir sistem; normalin bağlamını tanımlar, süreç modellemesiyle tutarlılık arar, hibrit skorlama yapar, false positive’i yönetir ve SIEM’e bağlanir[1][2][4].
Bu konuda daha fazla bilgi almak için bizimle iletişime geçebilirsiniz: