Detekce komunikace malware v síťových tocích

Thumbnail Image

Files

final-thesis.pdf (2.85 MB)
 review_146955.html (10.1 KB)

Date

Authors

Korvas, Václav

Advisor

Referee

Mark

B

Journal Title

Journal ISSN

Volume Title

Publisher

Vysoké učení technické v Brně. Fakulta informačních technologií

ORCID

Abstract

Tato práce se zabývá problematikou síťové komunikace škodlivého kódu, způsoby jejich analýzy a především srovnáním přesností různých algoritmů strojového učení mezi sebou. Práce přináší srovnání přesnosti jednotlivých algoritmů strojového učení, jak na testovacích datech tak při použití v reálném provozu. Jako metriky pro vyhodnocení výsledků byla použita přesnost, F1-skóre a míra falešné pozitivity. Na testovacích datech se jako nejpřesnější ukázaly algoritmy Random Forest a XGBoost, které dosáhly přesnosti 99.2% s mírou falešné pozitivity 0.6%. Při experimentech v reálném provozu bylo přibližně 9% toků nesprávně detekováno a klasifikováno jako malware. Při napadení počítače pak míra klasifikovaných toků jako malware, vzrostla na 18% a k tomu bylo zachyceno několik indikátorů kompromitace, které toto napadení potvrdily.
This thesis deals with the issue of network communication of malicious code, methods of their analysis and especially the comparison of accuracy of different machine learning algorithms among themselves. The paper presents a comparison of the accuracy of different machine learning algorithms, both on test data and when used in real life. Accuracy, F1-score and false positive rate were used as metrics to evaluate the results. On the test data, the Random Forest and XGBoost algorithms were found to be the most accurate, achieving 99.2% accuracy with a rate of false positivity of 0.6%. In real-life experiments, approximately 9% of flows were incorrectly detected and classified as malware. When the computer was compromised, the rate of flows classified as malware increased to 18%, and several indicators of compromise were captured and confirmed the infection of the computer.

Description

Keywords

škodlivý software , strojové učení , dynamická analýza , statická analýza , síťová analýza , síťové toky , virtuální prostředí , malware , machine learning , dynamic analysis , static analysis , network analysis , network flows , sandbox

Citation

KORVAS, V. Detekce komunikace malware v síťových tocích [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.

Document type

Document version

Date of access to the full text

Language of document

cs

Study field

Informační technologie

Comittee

doc. Ing. Ondřej Ryšavý, Ph.D. (předseda) doc. Ing. Vladimír Drábek, CSc. (člen) Ing. Bohuslav Křena, Ph.D. (člen) doc. Ing. Vítězslav Beran, Ph.D. (člen) Dr. Ing. Petr Peringer (člen)

Date of acceptance

2023-06-13

Defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm B.

Result of defence

práce byla úspěšně obhájena

DOI

URI

http://hdl.handle.net/11012/212729

Collections

2023

Endorsement

Review

Supplemented By

Referenced By

Citace PRO