|
|
Scalable Binary Executable File Similarity
Kubov, Peter ; Kolář, Dušan (oponent) ; Regéciová, Dominika (vedoucí práce)
This work aims to design and implement a new service searching for binary file similarities within known malware samples called YaraZilla. Studying file similarity has a growing potential in malware analysis. The vast amount of new malware is a polymorphic variation of existing malware created for deceiving anti-malware detections. The newly created service is designed to operate by using various binary file similarity techniques on multiple levels of binary code abstraction - instructions, basic blocks, functions. The service is designed to process immense amounts of files supplied by Avast systems. The result of this work is a service that presents malware analysts at Avast with a comprehensive report on malware similarity. Apart from that, the result of service can be integrated into existing services and provides a foundation for new tools.
|
|
|
Multi-Criteria Clustering of Files
Jasnický, Matúš ; Jeřábek, Kamil (oponent) ; Zobal, Lukáš (vedoucí práce)
This work aims to create the clustering part of a new version of the clustering tool named Clusty, which is developed by Avast Software. Clusty is a tool for automatic analysis and online clustering of all incoming samples. The most notable shortcomings are using a single criterion for clustering, vertical scalability, and lack of support for achieving high availability. Among the good features belong a good performance, interpretability of clusters' origin, and an ability to use other techniques like YARA rules. The designed tool overcome the shortcomings while keeping the features. None of the existing clustering methods is being used because none of them had satisfied the requirements. Instead, three new methods are proposed. They are based on the method in the current version of Clusty and the standard methods. The tool uses so-called rules to allow using multiple clustering methods concurrently. The clustering results can be considered better compared to the results from the current version. This work proposes a solution for the shortcomings and shows the usable clustering methods.
|
|
|
Real-Time Detection of Malware Campaigns
Holop, Patrik ; Polčák, Libor (oponent) ; Zobal, Lukáš (vedoucí práce)
This thesis deals with a real-time detection of malware campaigns based on the available data of internal tools used in the Avast Software company. Its goal is to design and implement a system that obtains and processes messages representing incidents detected at clients. The system extracts and processes useful information and estimates if the threat data are related to an emerging or continuous malware campaign based on various criteria. The experimentation proves that campaign detection based on the carefully selected data and metrics is possible. The implemented system is integrated with other internal tools of the Avast Software company. This thesis also suggests steps for further improving the detection process.
|
|
|
The problem of cyber security in the EU industrial environment
Zauana, Magdalena ; Kovář, Jiří (oponent) ; Maradová, Karla (vedoucí práce)
Cybersecurity, cyber-attack, cybercrime, cyber incident, cyberspace, industrial environment, critical infrastructure, sensitive data, industrial systems, industrial network, information technology (IT), risk analysis (RA), technological security, FMEA (FMECA), malware, ransomware, legislation
|
|
|
Služba pro dotazování nad aliasy škodlivého softwaru
Julina, Tomáš ; Regéciová, Dominika (oponent) ; Zobal, Lukáš (vedoucí práce)
Cílem této bakalářské práce je navrhnout a vytvořit službu, která řeší problém existence aliasů jmen škodlivého softwaru tím, že takové aliasy mapuje na jména rodin, která by byla předem určená jako kanonická. Tato práce také přináší několik způsobů, kterými je možné zmíněné mapování aliasů na konkrétní rodiny automaticky získávat. Vytvořená služba umožní výzkumníkům, kteří se zabývají škodlivým softwarem, tohoto mapování využít při výzkumu. Další využití může být v existujících službách, které s aliasy rodin aktuálně nepracují, což mohlo mít za následek vznik duplicitních dat.
|
|
|
Detekce malware domén pomocí metod strojového učení
Ebert, Tomáš ; Poliakov, Daniel (oponent) ; Hranický, Radek (vedoucí práce)
Tato bakalářská práce se zabývá detekcí malware domén pomocí metod strojového učení na základě různých informací získaných o doméně (DNS záznamy, geolokační údaje atd.). S rychle rozšiřujícími se hrozbami, nejen formou malwaru, jsou často současné přístupy nedostačující ať už jen rychlostí detekce malware domén, nebo celkovým rozeznáním, zda se jedná o nebezpečnou doménu. Výstupem této práce je natrénovaný model klasifikátoru XGBoost, jehož výhodou je rychlá a efektivní detekce v reálném čase oproti detekci pomocí černých listin, které získávají data domén často s týdenním zpožděním. Pro tento model bylo získáno 131 tisíc malware domén, pomocí kterých bylo možné získat model s vysokými hodnotami. Pomocí experimentů bylo dosaženo skóre F1 96.8786 % u klasifikátoru XGBoost s poměrem falešně pozitivních detekcí 0.004887.
|
|
|
Optimization of Classification Models for Malicious Domain Detection
Pouč, Petr ; Jeřábek, Kamil (oponent) ; Hranický, Radek (vedoucí práce)
This thesis focuses on the development of advanced methods for malicious domain name detection using optimization techniques in machine learning. The thesis investigates and evaluates the effectiveness of different optimization strategies for classification. As evaluation tools, I selected classification algorithms that differ in their approach, including deep learning, decision tree techniques, or hyperplane search. These methods are investigated in terms of their ability to effectively classify domain names depending on the implemented optimization techniques. Optimization strategies include the creation of ground-truth datasets, application of data processing methods, advanced feature selection, solving the class imbalance problem, and hyperparameter tuning. The final part of the paper presents a detailed analysis of the benefits of each optimization approach. The experimental part of the study demonstrates exceptional results by combining several methodologies. The top CNN models obtained up to 0.9926 F1 while lowering FPR to 0.3%. The contribution of this study is to provide specific methodologies and tactics for the successful identification of malicious domain names in the cybersecurity area.
|
|
|
Development of YARA-X ecosystem
Ďuriš, Tomáš ; Křivka, Zbyněk (oponent) ; Regéciová, Dominika (vedoucí práce)
The aim of this work is to extend and create an unified ecosystem of tools for the YARA language. The focus is on incorporating modules that can gather information about the structure of executable files. Additionally, a module that can present obtained information to the user in multiple formats is also being proposed. An interactive environment has been created for evaluating YARA rules and enhancing the overall ecosystem by using an error-tolerant parsing algorithm. The proposed solution enables the seamless integration and utilization of existing tools while addressing the limitations of the original YARA ecosystem. The output of the work is an extended system with tools that facilitate the debugging of YARA rules, obtaining information from executable files, and visualizing them. The final solution has been thoroughly tested, utilized by analysts, and integrated into main YARA-X branch.
|
|
|
Poloautomatická klasifikace podezřelých URL a jejich detekce v síťovém provozu
Novotná, Michaela ; Poliakov, Daniel (oponent) ; Žádník, Martin (vedoucí práce)
Tato práce se zaměřuje na návrh a implementaci systému pro detekci a analýzu potenciálně škodlivých URL adres v síťovém provozu. Systém zahrnuje proces získávání podezřelých URL adres z honeypotů, automatickou analýzu URL adres, která zahrnuje také proces klasifikace. Dále se systém zaměřuje na manuální klasifikaci prostřednictvím webového rozhraní, které je navrženo zároveň i pro procházení dat získaných v průběhu automatické analýzy. Další část systému představují detekční a reportovací moduly pro systém NEMEA, které zajišťují detekci škodlivých adres v síťovém provozu. Systém se zaměřuje na získávání informací o kybernetických hrozbách a jejich sdílení s veřejností prostřednictvím platforem MISP a URLhaus. Po úspěšném testování byl systém nasazen v prostředí sítě CESNET a předán bezpečnostnímu oddělení organizace.
|
|
|
Automated Detection of Malware Activity on Local Networks
Pap, Adam ; Regéciová, Dominika (oponent) ; Ryšavý, Ondřej (vedoucí práce)
The aim of this work is to analyze the network communication of malware and then identify suitable significant features that would allow to develop a suitable method for its detection. As part of the solution of the thesis, a dataset was created from which an IoC for each malware family were extracted. These IoCs were then validated through the AlienVault OTX platform, in order to verify their relevance. Metrics such as false positive rate, accuracy and sensitivity were used for evaluation. On the test data, the two IoC models created from the datasets achieved an accuracy of 99.337% and 94.732% for dataset 1 and 2, respectively. The IoC models of dataset No. 1 falsely classified 3.03% of communication windows as malicious in real communication. IoC models of set No. 2 classified 5.66% as malicious. After the samples of different malware families were run on the machine, the IoC models of set No. 1 classified 7.14% of the windows as malicious. Set No. 2 models classified 15.79%.
|
host ::
RSS.