Detekce škodlivých webových stránek pomocí strojového učení
Loading...
Date
Authors
Šulák, Ladislav
Advisor
Referee
Mark
B
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
ORCID
Abstract
Táto práca sa zaoberá problematikou škodlivého kódu na webe so zameraním na analýzu a detekciu škodlivého JavaScriptu umiestneného na strane klienta s využitím strojového učenia. Navrhnutý prístup využíva známe i nové pozorovania s ohľadom na rozdiely medzi škodlivými a legitímnymi vzorkami. Tento prístup má potenciál detekovať nové exploity i zero-day útoky. Systém pre takúto detekciu bol implementovaný a využíva modely strojového učenia. Výkon modelov bol evaluovaný pomocou F1-skóre na základe niekoľkých experimentov. Použitie rozhodovacích stromov sa podľa experimentov ukázalo ako najefektívnejšia možnosť. Najefektívnejším modelom sa ukázal byť Adaboost klasifikátor s dosiahnutým F1-skóre až 99.16 %. Tento model pracoval s 200 inštanciami randomizovaného rozhodovacieho stromu založeného na algoritme Extra-Trees. Viacvrstvový perceptrón bol druhým najlepším modelom s dosiahnutým F1-skóre 97.94 %.
This thesis deals with the problem of web-based malware focusing on the analysis and detection of malicious JavaScript placed on the client side using machine learning techniques.Proposed approach benefits from both known and new observations regarding differencesbetween malicious and benign samples. Such approach has a potential to detect brand newexploits and zero-day attacks. System for such detection has been implemented using multiple machine learning models. Performance of the models has been evaluated with F1-scoreby executing multiple experiments. According to the experiments, the application of decision tree classifiers was the most effective option. The most effective model was Adaboostclassifier which reached F1-score up to 99.16 %. This model worked with 200 instances ofrandomized decision tree based on Extra-Trees algorithm. Multi-layer Perceptron was thesecond-best model with achieved F1-score up to 97.94 %.
This thesis deals with the problem of web-based malware focusing on the analysis and detection of malicious JavaScript placed on the client side using machine learning techniques.Proposed approach benefits from both known and new observations regarding differencesbetween malicious and benign samples. Such approach has a potential to detect brand newexploits and zero-day attacks. System for such detection has been implemented using multiple machine learning models. Performance of the models has been evaluated with F1-scoreby executing multiple experiments. According to the experiments, the application of decision tree classifiers was the most effective option. The most effective model was Adaboostclassifier which reached F1-score up to 99.16 %. This model worked with 200 instances ofrandomized decision tree based on Extra-Trees algorithm. Multi-layer Perceptron was thesecond-best model with achieved F1-score up to 97.94 %.
Description
Keywords
škodlivý software , drive-by-download , detekcia škodlivých URL , škodlivý JavaScript , strojové učenie , statická analýya , webové hrozby , hlboké učenie , malware , drive-by-download , malicious URL detection , malicious JavaScript , machine learning , static analysis , web-based threats , deep learning
Citation
ŠULÁK, L. Detekce škodlivých webových stránek pomocí strojového učení [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2018.
Document type
Document version
Date of access to the full text
Language of document
en
Study field
Bezpečnost informačních technologií
Comittee
doc. Dr. Ing. Petr Hanáček (předseda)
prof. Ing. Martin Drahanský, Ph.D. (místopředseda)
doc. Ing. Radim Burget, Ph.D. (člen)
doc. Ing. Vladimír Drábek, CSc. (člen)
doc. Mgr. Lukáš Holík, Ph.D. (člen)
doc. Ing. Petr Matoušek, Ph.D., M.A. (člen)
Date of acceptance
2018-06-20
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm " B ". Otázky u obhajoby: Jaké jste u webových stránek, resp. Java script kódu z nich, využíval labelování - pouze malicious/benign, nebo více kategorií ? Popište přesněji (např. schématem) vektorizaci na vstupu LSTM. Komentujte, zda bylo pro všechny dokumenty možné extrahovat všechny parametry, nebo jste některé musel pokládat za "missing features".
Result of defence
práce byla úspěšně obhájena