Detekce malwaru v šifrované komunikaci
| but.committee | doc. Ing. Petr Matoušek, Ph.D., M.A. (předseda) prof. Ing. Tomáš Hruška, CSc. (člen) Ing. Ondřej Lengál, Ph.D. (člen) doc. Ing. Ondřej Ryšavý, Ph.D. (člen) Ing. Martin Hrubý, Ph.D. (člen) Ing. Vojtěch Mrázek, Ph.D. (člen) | cs |
| but.defence | Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných, např. ohledně případného dopadu rozšifrování paketů pro detekci mallwaru. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A - výborně. | cs |
| but.jazyk | angličtina (English) | |
| but.program | Informační technologie a umělá inteligence | cs |
| but.result | práce byla úspěšně obhájena | cs |
| dc.contributor.advisor | Ryšavý, Ondřej | en |
| dc.contributor.author | Korvas, Václav | en |
| dc.contributor.referee | Matoušek, Petr | en |
| dc.date.created | 2025 | cs |
| dc.description.abstract | Stále častější používání šifrování TLS (Transport Layer Security) představuje významnou výzvu pro tradiční nástroje síťového zabezpečení, které nejsou schopny kontrolovat šifrovaný provoz bez narušení soukromí. Tato práce navrhuje a implementuje modulární, vícevrstvý systém detekce škodlivého softwaru (MDS) určený k identifikaci škodlivé činnosti v rámci šifrované komunikace bez nutnosti dešifrování. Systém kombinuje modely strojového učení s učitelem, detektor anomálií založený na autoenkodéru, reputační vrstu a vrstvu indikátoru kompromitace (IoC), které zvyšují detekční schopnosti. Pro trénování a vyhodnocování modelů strojového učení byla vytvořena vlastní datová sada neškodných a škodlivých toků TLS. Dosažené výsledky byly slibné. Offline experimenty ukázaly, že nejvýkonnější model Random Forest využívající vlastností TLS dosáhl 99,02\% přesnosti bez falešně pozitivních výsledků. Vyhodnocení v reálném provozu potvrdilo účinnost systému v dynamickém prostředí, dosažením nízké míry falešně pozitivních výsledků a úspěšné odhalení změn chování během infikovaní škodlivým softwarem. Výsledky ukázaly užitečnost a praktickou hodnotu navrženého přístupu pro detekci šifrovaného malwaru a zároveň identifikovaly oblasti pro budoucí zlepšení, jako je širší sběr dat, využití více modelů uměle inteligence nebo podpora více šifrovacích protokolů, například QUIC. | en |
| dc.description.abstract | The increasing in usage of Transport Layer Security (TLS) encryption poses a significant challenge to traditional network security tools, which are unable to inspect encrypted traffic without violating privacy. This thesis proposes and implements a modular, multi-layered Malware Detection System (MDS) designed to identify malicious activity within TLS-encrypted communication without decryption. The system combines supervised machine learning models, an autoencoder-based anomaly detector, a reputation score layer, and an Indicator of Compromise (IoC) layer to enhance detection capabilities. A custom dataset of benign and malicious TLS flows was created for training and evaluation of the machine learning models. The achieved results were promising. Offline experiments demonstrated that the best-performing Random Forest model using TLS features achieved a 99.02\% accuracy with no false positives. Real-time evaluations confirmed the system’s effectiveness in dynamic environments, maintaining low false positive rates and successfully detecting behavioral changes during malware execution. The results showed the usefulness and practical value of the proposed approach for encrypted malware detection, while also identifying areas for future improvement, such as broader dataset collection, ensemble modeling or support for multiple encryption protocols, like QUIC. | cs |
| dc.description.mark | A | cs |
| dc.identifier.citation | KORVAS, V. Detekce malwaru v šifrované komunikaci [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2025. | cs |
| dc.identifier.other | 164379 | cs |
| dc.identifier.uri | http://hdl.handle.net/11012/254955 | |
| dc.language.iso | en | cs |
| dc.publisher | Vysoké učení technické v Brně. Fakulta informačních technologií | cs |
| dc.rights | Standardní licenční smlouva - přístup k plnému textu bez omezení | cs |
| dc.subject | Analýza šifrovaného provozu | en |
| dc.subject | detekce malwaru | en |
| dc.subject | malware | en |
| dc.subject | strojové učení | en |
| dc.subject | detekce anomálií | en |
| dc.subject | zabezpečení sítě v reálném čase | en |
| dc.subject | reputační systémy | en |
| dc.subject | indikátory kompromitace | en |
| dc.subject | Encrypted Traffic Analysis | cs |
| dc.subject | TLS Malware Detection | cs |
| dc.subject | Malware | cs |
| dc.subject | Machine Learning | cs |
| dc.subject | Anomaly Detection | cs |
| dc.subject | Real-Time Network Security | cs |
| dc.subject | Reputation Systems | cs |
| dc.subject | Indicators of Compromise | cs |
| dc.title | Detekce malwaru v šifrované komunikaci | en |
| dc.type | Text | cs |
| dc.type.driver | masterThesis | en |
| dc.type.evskp | diplomová práce | cs |
| dcterms.dateAccepted | 2025-06-24 | cs |
| dcterms.modified | 2025-06-24-12:55:52 | cs |
| eprints.affiliatedInstitution.faculty | Fakulta informačních technologií | cs |
| sync.item.dbid | 164379 | en |
| sync.item.dbtype | ZP | en |
| sync.item.insts | 2025.08.27 02:04:26 | en |
| sync.item.modts | 2025.08.26 20:21:42 | en |
| thesis.discipline | Počítačové sítě | cs |
| thesis.grantor | Vysoké učení technické v Brně. Fakulta informačních technologií. Ústav informačních systémů | cs |
| thesis.level | Inženýrský | cs |
| thesis.name | Ing. | cs |