Original title:
Detekce škodlivého softwaru v komunikaci TLS
Translated title:
Malware Detection in TLS Communication
Authors:
Kapišinský, Marián ; Ryšavý, Ondřej (referee) ; Matoušek, Petr (advisor) Document type: Master’s theses
Year:
2023
Language:
eng Publisher:
Vysoké učení technické v Brně. Fakulta informačních technologií Abstract:
[eng][cze]
Táto diplomová práca demonštruje, že šifrovanú škodlivú komunikáciu je možné stále detekovať v sieťovej prevádzke aj napriek tomu, že rozdiely medzi šifrovanou komunikáciou neustále sa vyvíjajúceho škodlivého and bežného softvéru sa pomaly zmenšujú. Detekcia sa spolieha výlučne na údaje extrahované z nešifrovaných častí protokolu TLS. Údaje sa potom analyzujú pomocou náhodných lesov a izolačných lesov. Práca ukazuje, že oba modely fungujú dobre len s malým počtom nepresných klasifikácií. Tieto dva modely tiež vykazujú podobné výsledky pri nasadení v reálnom svete.
This master's thesis demonstrates that encrypted malware communication can still be detected in the network traffic despite the differences between the encrypted communication of the ever-evolving malware and benign processes slowly diminishing. The detection relies purely on data extracted from the unencrypted portions of the TLS protocol. The data is then analyzed using random forests and isolation forests. The work demonstrates that both models perform well with only a small number of inaccurate classifications. The two models also show similar results in a real-world deployment.
Keywords:
analýza šifrovanej sieťovej komunikácie; detekcia škodlivej komunikácie; transport layer security; škodlivý softvér; encrypted network traffic analysis; malicious traffic detection; malware; transport layer security
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: http://hdl.handle.net/11012/213202