Shluková analýza šífrovaného provozu

Abstract

Zvyšující se využívání šifrovacích protokolů, jako je QUIC, zlepšuje bezpečnost, ale ztěžuje analýzu síťového provozu kvůli absenci datových náplní. Tato práce zkoumá využití metod učení bez učitele, zejména shlukovacích algoritmů, k analýze šifrovaných síťových toků pomocí základních atributů exportovaných přes IPFIX. Algoritmy K-Means a HDBSCAN jsou testovány na datasetu CESNET-QUIC22 a hodnoceny pomocí metrik homogenity a normalizované vzájemné informace. Bhattacharyyova vzdálenost slouží k posouzení oddělitelnosti tříd. Výsledky ukazují, že shlukování umožňuje identifikaci vzorců provozu i v šifrovaném prostředí a nabízí praktické využití pro klasifikaci a detekci anomálií.The increasing use of encryption protocols like QUIC enhances Internet security but complicates network traffic analysis by removing access to payload data. This thesis explores unsupervised machine learning, focusing on clustering algorithms, to group encrypted network flows using basic flow-level features exported via IPFIX. K-Means and HDBSCAN are applied to the CESNET-QUIC22 dataset and evaluated using homogeneity and normalized mutual information. The Bhattacharyya distance is used to assess class separability. Results show that clustering can reveal meaningful traffic patterns and application groups, offering practical methods for encrypted traffic classification and anomaly detection.