Systém pro automatickou analýzu síťových dat malware

Abstract

Tato práce se zabývá detekcí škodlivé komunikace v šifrovaném síťovém provozu pomocí metod strojového učení. Vzhledem k šifrování přenášených dat není možné analyzovat samotný obsah komunikace, a proto se detekce soustředí na síťová metadata a chování spojení. Pomocí datasetu CTU-SME-11 byly vytvořeny statistické příznaky, jako jsou délky a směrovost paketů, otisky TLS handshake či podobnost IP adres, na jejichž základě byly natrénovány klasifikační modely. Výsledky ukazují, že i bez znalosti aplikační vrstvy lze dosáhnout vysoké přesnosti v rozpoznávání škodlivých toků. Součástí práce je i testování modelů na neoznačených datech, které slouží k validaci predikční konzistence a ukazuje možnosti dalšího využití v reálném prostředí.

This thesis deals with the detection of malicious communication in encrypted network traffic using machine learning methods. Due to the encryption of the transmitted data, the content of the communication itself cannot be analysed, and therefore, the detection focuses on network metadata and connection behaviour. Using the CTU-SME-11 dataset, statistical features such as packet lengths and directionality, TLS handshake fingerprints, and IP address similarity were created and used to train classification models. The results show that even without knowledge of the application layer, high accuracy in detecting malicious flows can be achieved. The work also includes testing the models on unlabeled data to validate the prediction consistency and shows the potential for further use in a real environment.