KORVAS, V. Detekce komunikace malware v síťových tocích [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Přístup studenta k řešení byl výborný, kdy dílčí úkoly byly hotové vždy před stanoveným termínem. Výsledkem je výborná praktická realizace použitelná jako nástroj v dalších projektech. Pro nejlepší stupeň hodnocení (A - výborně) by bylo nutné věnovat stejnou pozornost také textové části, kdy při dokončování zůstaly některé připomínky stran gramatických chyb v textu nezapracované.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Cílem projektu byla analýza malware na základě viditelné síťové komunikace. Po úvodní analýze existujících datových sad, bylo rozhodnuto vytvořit vlastní datové sady, respektive nástroj, který by toto automatizoval. Součástí bylo také navrhnout jednoduchou metodu pro klasifikaci komunikace. Tímto bylo zadání projektu splněno. Zadání bylo obtížnější, neboť vyžadovalo pochopení principů, které jsou obsahem magisterského studia. Student se nicméně s tímto velmi dobře vypořádal. | ||
| Práce s literaturou | Student získával další informace z vědecké literatury, internetových standardů a relevantních on-line zdrojů. Jejich použití v práci je korektní. | ||
| Aktivita během řešení, konzultace, komunikace | Z aktivity studenta byl zřejmý jeho zájem o řešenou problematiku. Student pravidelně prezentoval dílčí výsledky a konzultoval další postup. Při řešení bylo vidět nadstandarní nasazení, kdy některé prezentované výstupy překračovaly svým zpracováním původní požadavky. Student také aktivně navrhoval další směry práce a řešení pro jednotlivé problémy. Stanovené termíny byly dodržovány. | ||
| Aktivita při dokončování | Praktická část práce byla dokončena ve velkém předstihu a řešení bylo dále upravováno podle požadavků vedoucího práce. Testová část byla dokončena v dostatečném předstihu, tak aby její finální obsah mohl být konzultován. Student byl upozorněn na nutnost stylistického vylepšení textu a odstranění chyb. Přestože velké množství problémů bylo odstraněno, text stále obsahuje překlepy a gramatické chyby. | ||
| Publikační činnost, ocenění | Není, nicméně vytvořený software má potenciál ke zveřejnění jako open-source nástroj. |
Výslednou práci považuji za velmi zdařilou, zejména realizační výstup a rozsah vytvořené datové sady pro testování včetně anotace jednotlivých vzorků. Student navrhl způsob automatického vytváření malwarové komunikace za pomoci sandboxu tria.ge, a dále vytvořil a implementoval nástroj pro detekci malwarové komunikace pomocí vybraných metod strojového učení. Práci hodnotím stupněm B, velmi dobře.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Zadání práce zahrnovalo vygenerování komunikace malwaru pomocí sandboxu, analýzu komunikace, návrh detekce pomocí strojového učení a vyhodnocení detekce. Zadání považuji za náročnější. | ||
| Rozsah splnění požadavků zadání | |||
| Rozsah technické zprávy | Technická zpráva je v obvyklém rozsahu. | ||
| Prezentační úroveň technické zprávy | 75 | U návrhu logického členění práce by bylo vhodné přidat kapitolu detekce s podrobnějším popisem vytvářených modelů strojového učení. Tyto informace jsou rozděleny do části 3.4 a 5.1, kde však chybí popis výběru parametrů modelů ML a jejich vyhodnocení. Také prezentace výsledků detekce formou obrázku, kde nejsou vidět rozdíly mezi jednotlivými metodami (obr. 5.3), není zcela vhodná. Prezentace dosažených výsledků formou tabulky (tab 5.4) je zcela postačující. | |
| Formální úprava technické zprávy | 60 | Práce obsahuje četné překlepy a gramatické chyby, které bylo možné z větší části odstranit pomocí automatické kontroly pravopisu. Z formální stránky chybí číslování podkapitol třetí úrovně, což snižuje přehlednost textu. U odkazů URL pod čarou je potřeba uvést datum přístupu. Pro zvýraznění textu se nedoporučuje používat tučného písma. | |
| Práce s literaturou | 85 | Student cituje velké množství zdrojů. U odkazů na standardy RFC v literatuře není nutné uvádět URL. U některých zdrojů, např. [5] a [14], chybí vydavatel či místo vydání publikace. | |
| Realizační výstup | 90 | Realizační výstup je funkční, kód je komentovaný s uvedením autora. Výsledky detekce student pečlivě vyhodnotil včetně křížové validace. V kapitole 5 uvádí autor přehled experimentů s vyhodnocením. Oceňuji zejména experiment v reálném provozu. Očekával jsem, že vytvořené datové sady budou na přiloženém datovém médium, což se nestalo. Recenzent měl přístup k vytvořeným datasetům i extrahovaným záznamům, které obsahují více jak 500 vzorků malwarové komunikace. | |
| Využitelnost výsledků | Výsledky jsou využitelné v praxi. Vzniklé datové sady se použijí ve výzkumném projektu ETA pro testování detekčních metod malwaru v šifrované komunikaci. |
eVSKP id 146955