Porovnání metod pro detekci škodlivého softwaru v šifrované komunikaci TLS

Abstract

Tato práce se zaměřuje na ověření a porovnání vybraných metod detekce škodlivého softwaru v šifrované komunikaci TLS. Vybrané metody detekce využívají kombinace rysů získané z protokolu TLS se statistikami síťových toků a jsou založené na modelech logistické regrese s L1 penalizací, Random Forest a SVM. Práce přináší srovnání metod na trénovací sadě s využitím 10-násobné křížové validace a následně také na testovací sadě. Pro vyhodnocení výsledků byly použity metriky ACC, TPR, FAR a FDR. Metody se podařilo zlepšit, přičemž nejlepších výsledků dosáhly Random Forest a logistická regrese s L1 penalizací s přesností detekce 97.96\% a 97.94\%. Metody byly porovnány z hlediska výpočetní náročnosti a rychlosti zpracování síťových toků.

This work focuses on the validation and comparison of selected methods for malware detection in TLS encrypted communication. The selected detection methods use a combination of features extracted from the TLS protocol with network flow statistics and are based on logistic regression models with L1 penalty, Random Forest and SVM. The paper presents a comparison of the methods on a training set using 10-fold cross-validation and then on a test set. ACC, TPR, FAR and FDR metrics were used to evaluate the results. The methods were able to improve, with Random Forest and Logistic Regression with L1 penalization achieving the best results with 97.96\% and 97.94\% detection accuracy, respectively. The methods were compared in terms of computational complexity and speed of processing network flows.