Název:
Detekce komunikace malware v síťových tocích
Překlad názvu:
Detection of Malware Communication in Network Flows
Autoři:
Korvas, Václav ; Matoušek, Petr (oponent) ; Ryšavý, Ondřej (vedoucí práce) Typ dokumentu: Bakalářské práce
Rok:
2023
Jazyk:
cze
Nakladatel: Vysoké učení technické v Brně. Fakulta informačních technologií
Abstrakt: [cze][eng]
Tato práce se zabývá problematikou síťové komunikace škodlivého kódu, způsoby jejich analýzy a především srovnáním přesností různých algoritmů strojového učení mezi sebou. Práce přináší srovnání přesnosti jednotlivých algoritmů strojového učení, jak na testovacích datech tak při použití v reálném provozu. Jako metriky pro vyhodnocení výsledků byla použita přesnost, F1-skóre a míra falešné pozitivity. Na testovacích datech se jako nejpřesnější ukázaly algoritmy Random Forest a XGBoost, které dosáhly přesnosti 99.2% s mírou falešné pozitivity 0.6%. Při experimentech v reálném provozu bylo přibližně 9% toků nesprávně detekováno a klasifikováno jako malware. Při napadení počítače pak míra klasifikovaných toků jako malware, vzrostla na 18% a k tomu bylo zachyceno několik indikátorů kompromitace, které toto napadení potvrdily.
This thesis deals with the issue of network communication of malicious code, methods of their analysis and especially the comparison of accuracy of different machine learning algorithms among themselves. The paper presents a comparison of the accuracy of different machine learning algorithms, both on test data and when used in real life. Accuracy, F1-score and false positive rate were used as metrics to evaluate the results. On the test data, the Random Forest and XGBoost algorithms were found to be the most accurate, achieving 99.2% accuracy with a rate of false positivity of 0.6%. In real-life experiments, approximately 9% of flows were incorrectly detected and classified as malware. When the computer was compromised, the rate of flows classified as malware increased to 18%, and several indicators of compromise were captured and confirmed the infection of the computer.
Klíčová slova:
dynamická analýza; statická analýza; strojové učení; síťová analýza; síťové toky; virtuální prostředí; škodlivý software; dynamic analysis; machine learning; malware; network analysis; network flows; sandbox; static analysis
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: http://hdl.handle.net/11012/212729