Microsoft’tan Siber Güvenlikte Devrim: Project Ire ile “Virüs Avcısı” Yapay Zekâ

Microsoft Project Ire, yazılımları ön bilgi olmadan tersine mühendislikle inceleyip kendi başına “zararlı/temiz” sınıflandırması yapabilen otonom bir yapay zekâ ajanı olarak tanıtıldı. Amaç, klasik imza tabanlı AV yaklaşımlarını aşarak davranış ve yapı analizi ile erken yakalama sağlamak. Sistem, Microsoft Research ve Defender ekiplerinin ortak çalışmasıyla prototip olarak geliştirildi.

Project Ire Nedir?

Microsoft’a göre Ire, “malware sınıflandırmada altın standart” sayılan tam tersine mühendisliği insan desteği olmadan otomatikleştirmeyi hedefliyor. Decompilers (ayrıştırıcılar) ve diğer analiz araçlarının çıktısını derleyip yorumlayarak nihai karara varıyor.

Nasıl Çalışıyor?

Değerlendirme; dosya türü/ yapı belirleme ile başlıyor, ardından angr ve Ghidra gibi çerçevelerle control-flow graph (CFG) yeniden inşa ediliyor. Model, özel API’ler üzerinden fonksiyonları tek tek özetleyip bir “kanıt zinciri” (chain of evidence) oluşturuyor. Bu izlenebilir rapor daha sonra doğrulayıcı araçlarla tutarlılık açısından sınanıyor ve nihai hüküm veriliyor.

Test Sonuçları: Sürücüler ve “Gerçek Dünya”

Microsoft, iki farklı erken değerlendirme paylaştı:

  • Windows sürücüleri (public dataset): Ire, %90 doğru tespit (precision 0.98, recall 0.83) ve %2 yanlış pozitif ile güçlü performans gösterdi.
  • “Gerçek dünya” zorlu set (~4.000 dosya): Otonom çalışmada precision 0.89, recall 0.26; yani işaretlediği her 10 dosyanın yaklaşık 9’u doğruydu, fakat tüm kötü amaçlıların yaklaşık dörtte birini yakalayabildi. Yanlış pozitif ~%4.

Bağımsız haber kaynakları da bu metrikleri aktardı ve performansın sürücü setinde yüksek, “hard-target” senaryoda ise düşük recall ile dengeli olduğunu vurguladı. TechRadar

“Conviction Case” ve Defender Entegrasyonu

Ire, Microsoft içinde bir APT örneği için “conviction case” (otomatik engellemeyi gerekçelendirecek güçte tespit) yazan ilk tersine mühendis olarak kayda geçti. Yol haritasında Ire’ın Microsoft Defender organizasyonunda “Binary Analyzer” rolüyle kullanılacağı, hedefin ise hafızadan doğrudan tespit seviyesine yükselmek olduğu açıklandı.

Neden Önemli?

  • İmza ötesi: Önceden bilinmeyen varyantlarda, davranış/akış temelli çıkarımla erken yakalama.
  • Ölçek ve tutarlılık: İnsan analistlerin üzerinde olan yük ve standart dışılık sorunlarını azaltma potansiyeli.
  • Şeffaflık: Kanıt zinciri sayesinde güvenlik ekiplerine denetlenebilir rapor sağlama.

Sınırlamalar ve Gerçekçi Beklenti

Erken prototip; özellikle zor dosya setlerinde (manuel inceleme kuyruğuna giden örnekler) geri çağrımı düşük. Bu yüzden kısa vadede en iyi kullanım; yüksek precision ile “olası kötü”leri önceliklendirme ve analist verimini artırma.

Kurumlar İçin Pratik Öneriler

Yama ve sürücü hijyeni: LoLDrivers gibi riskli sürücülere karşı sürücü whitelisting ve imza doğrulama politikalarını sıkılaştırın. Microsoft

EDR/XDR ile birlikte konumlandırın: Ire benzeri otonomi çıktıları, uç nokta ve ağ telemetrisiyle korelasyon içinde değer kazanır.

Olay yönetimi entegrasyonu: Kanıt zinciri raporlarını SOAR/Ticketing’e bağlayıp hızlı karar akışlarına ekleyin.

Model riski yönetimi: Düşük recall alanlarında ikinci görüş (analist/ek araç) politikası uygulayın.

Related Posts

İran Bağlantılı Tehdit Aktörlerinden Yeni Operasyon: Cavern Zararlı Yazılımı İsrail’i Hedef Alıyor

İran İstihbaratına bağlı çalışan bir hack grubu (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji firmalarını hedef almak için “Cavern” adında yepyeni ve çok gelişmiş bir siber silah kullanmaya başladı. Saldırı…

15 Yıldır Fark Edilmeyen Linux Açığı Ortaya Çıktı: GhostLock Root Yetkisi Kazandırabiliyor

Siber güvenlik araştırmacıları, yaklaşık 15 yıldır Linux çekirdeğinde bulunan kritik bir güvenlik açığını ortaya çıkardı. CVE-2026-43499 olarak takip edilen ve GhostLock adı verilen açık, yerel erişime sahip saldırganların sistemde root…

One thought on “Microsoft’tan Siber Güvenlikte Devrim: Project Ire ile “Virüs Avcısı” Yapay Zekâ

  1. Project Ire gerçekten siber güvenlik alanında büyük bir adım gibi görünüyor. Klasik imza tabanlı yaklaşımların ötesine geçip tersine mühendislik ile zararlı yazılımları insan desteği olmadan sınıflandırması etkileyici. angr ve Ghidra gibi aracılar kullanılarak CFG çıkarılması ve kanıt zinciri oluşturması analistler için hem tutarlı hem şeffaf raporlar sağlamasına yardımcı oluyor. Makalede belirtilen test sonuçlarında yüksek doğruluk ancak düşük geri çağrım olması, teknolojinin henüz olgunlaşma aşamasında olduğunu gösteriyor. Bu nedenle Ire’ı yama ve sürücü hijyeni, EDR/XDR korelasyonu ve analist incelemeleriyle birlikte kullanmak mantıklı olacaktır. Güzel bilgilendirme için teşekkürler!

  2. Microsoft Project Ire, imza tabanlı geleneksel antivirüs yaklaşımlarının ötesine geçerek zararlı/temiz sınıflandırmasını tersine mühendislik ve kontrol akış grafiği analizi ile otomatik yapması açısından oldukça yenilikçi. Yazıda paylaşılan test sonuçları, sistemin hem Windows sürücülerinde hem de gerçek dünya örneklerinde yüksek doğruluk ve düşük yanlış pozitif oranına sahip olduğunu gösteriyor; ancak zorlu dosya setlerinde recall oranının düşük kalabildiği ve insan analistlerinin ikinci bir görüş olarak hala gerekli olduğu da vurgulanıyor. Project Ire’ın Microsoft Defender ile entegrasyonu ve kanıt zinciri raporlaması, olay yönetimi ve şeffaflık için büyük avantaj sağlayabilir. Bununla birlikte LoLDriver’lar gibi riskli sürücüler için whitelisting ve imza doğrulama politikalarını sıkılaştırmak, Ire çıktılarını EDR/XDR telemetrisiyle korele etmek ve düşük recall durumlarında model risk yönetimi uygulamak da unutulmamalı. Diğer gelşmiş tehditler hakkında bilgi edinmek için siber güvenlik haberleri yazımıza da göz atabilirsiniz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir