Rozpoznání škodlivé síťové komunikace pomocí grafových neuronových sítí

Abstract

Táto práca sa zaoberá využitím grafových neurónových sietí (GNN) na klasifikáciu sieťovej prevádzky spojenú s malvérom. Dátová sada obsahujúca sieťovú prevádzku z 50 rôznych rodín malvéru bola manuálne analyzovaná s cieľom identifikovať šum a vzory správania malware. Nasledoval vývoj zreťazeného spracovania dátovej sady za účelom filtrácie neškodnej a irelevantnej prevádzky. Ako východzí bod pri návrhu grafovej reprezentácie bola použitá existujúca grafová reprezentácie. Okrem nej boli navrhnuté ešte dve rozšírené grafové reprezentácie sieťovej prevádzky, ktoré zachytávajú zložitejšie časové a štrukturálne vzťahy v nej. Pre každú z týchto reprezentácií boli navrhnuté a vyhodnotené GNN modely a modifikáciou ich architektúry bolo odvodených niekoľko ďalších. Napriek obmedzenému automatickému ladeniu hyperparametrov z dôvodu výpočtových limitácií dosiahli modely dobré výsledky, pričom najlepší z nich dosiahol hodnotu Macro F1-skóre až 0.76.

This work investigates the use of Graph Neural Networks (GNNs) for malware network traffic classification. A dataset of traffic from 50 malware families was manually analyzed to identify noise and behavioral patterns of malware, followed by the development of a preprocessing pipeline to filter benign and irrelevant traffic. An existing graph representation of network traffic was used as a baseline, and two enhanced graph representations were designed to capture temporal and structural relationships within the data. For each, GNN models and architectural variants were trained and evaluated. Despite limited hyperparameter tuning due to training constraints, the models achieved strong results, with Macro F1-scores up to 0.76.