|
|
Scalable Binary Executable File Similarity
Kubov, Peter ; Kolář, Dušan (referee) ; Regéciová, Dominika (advisor)
Cieľom tejto práce je navrhnúť a implementovať novú službu s názvom YaraZilla pre hľadanie podobností binárnych súborov so známymi malvérovými vzorkami. Veľké množstvo malvéru je iba variáciou existujúceho malvéru upraveného tak, aby unikol pozornosti antimalvérových systémov. Vďaka rozvíjajúcej sa štúdii podobnosti binárnych súborov sme schopní vytvoriť nástroje, ktoré dokážu odhaliť podobnosť binárne líšiacich sa vzoriek, a zaradiť malvér do rodiny, s ktorou zdieľa najviac podobnosti. Cieľom práce je práve poskytnúť takýto nástroj analytikom v Avaste. Služba, navrhnutá v tejto práci, hľadá podobnosť binárnych súborov využitím rozličných metód na rôznych úrovniach abstrakcie binárnych súborov - inštrukcie, základné bloky, funkcie. Navrhnutá služba je schopná spracovávať obrovské množstvo súborov, ktoré poskytujú interné systémy spoločnosti Avast. Výsledkom práce je nová služba, ktorá poskytuje malvérovým analytikom v Avaste obsiahle štatistiky podobností, ktoré je možné využiť v existujúcich službách alebo ich využiť ako základ pre nové nástroje.
|
|
|
Multi-Criteria Clustering of Files
Jasnický, Matúš ; Jeřábek, Kamil (referee) ; Zobal, Lukáš (advisor)
Cieľom tejto práce je vytvorenie zhlukovacej časti novej verzie nástroja Clusty, ktorý je vyvíjaný spoločnosťou Avast Software. Nástroj slúži na automatickú analýzu a zhlukovanie rozličných typov súborov. Jeho najväčšími nedostatkami sú zhlukovanie súborov na základe jediného kritéria, zlá škálovateľnosť a dostupnosť v prípade poruchy. Medzi prínosy patria výkonnosť, vysvetliteľnosť vzniku zhlukov a možnosť používať techniky ako YARA pravidlá. Navrhnuté riešenie rieši nedostatky súčasnej verzie, pričom ponecháva požadované vlastnosti. Na zhlukovanie nepoužíva žiadnu z existujúcich metód, pretože žiadna zo zvažovaných metód nespĺňala kladené požiadavky. Namiesto toho sú predstavené tri nové metódy založené na metóde použitej v aktuálnej verzii nástroja Clusty a štandardných metódach. Pri zhlukovaní používa systém tzv. pravidiel, ktorý umožňuje používanie viacerých metód súčasne a s rôznymi konfiguráciami. Výsledné zhluky je možné považovať za lepšie ako pri použití súčasnej verzie. Práce navrhuje riešenie problémov nástroja Clusty, a predstavuje použiteľné metódy na zhlukovanie.
|
|
|
Real-Time Detection of Malware Campaigns
Holop, Patrik ; Polčák, Libor (referee) ; Zobal, Lukáš (advisor)
Táto práca sa zaoberá detekciou kampaní škodlivého softwaru v reálnom čase na základe dostupných dát z interných nástrojov spoločnosti Avast Software. Jej cieľom je navrhnúť a implementovať systém, ktorý dokáže automatizovane zachytávať a spracovávať správy o vzniknutých udalostiach a incidentoch u klientov, získať z nich potrebné informácie a vyhodnotiť, či sa jedná o prebiehajúcu kampaň škodlivého softwaru na základe rôznych kritérií. Experimentovanie potvrdzuje, že detegovanie kampaní na základe podrobne vybratých parametrov a metrík je možné. Implementovaný systém je integrovaný pre spoluprácu s internými nástrojmi spoločnosti Avast Software. Táto práca taktiež navrhuje možné vylepšenia detekčného procesu.
|
|
|
The problem of cyber security in the EU industrial environment
Zauana, Magdalena ; Kovář, Jiří (referee) ; Maradová, Karla (advisor)
Práce představí důkladnou analýzu současných strategií kybernetické bezpečnosti přijatých agenturou ENISA, která je zodpovědná za zvyšování kybernetické bezpečnosti v EU. Analýza dále identifikuje nedostatky v implementaci přijatých strategií a osvětlí perspektivní možnosti optimalizace účinnosti agentury ENISA při zvyšování kybernetické bezpečnosti. Současně bude také zkoumat účinnost právních předpisů EU, evropských a mezinárodních norem, jejichž cílem je poskytnout cenný rámec pro organizace, které chtějí zlepšit svou kybernetickou bezpečnost. Kromě toho dokument navrhne opatření pro prevenci a obnovu kybernetické kriminality, která zvýší informovanost všech jednotlivců a organizací vystavených digitálnímu světu, aby se lépe chránili před kybernetickými útoky. To bude tvořit součást celkové analýzy IT rizik, která v konečném důsledku posílí technologická bezpečnostní opatření prostřednictvím metody FMEA. Nakonec bude proveden experiment, při němž bude počítač záměrně infikován malwarem nebo ransomwarem, přičemž budou popsána důkladná preventivní a detekční opatření k předcházení útokům a bude také navržen plán obnovy po útoku. Závěrem je konstatováno, že řešení problému kybernetické bezpečnosti v průmyslovém prostředí EU vyžaduje komplexní a koordinovaný přístup, který zahrnuje spolupráci všech zúčastněných stran. Na podporu argumentů použitých v této studii jsou zahrnuty i poznatky předchozích výzkumníků.
|
|
|
A Service for Querying Aliases of Malicious Software
Julina, Tomáš ; Regéciová, Dominika (referee) ; Zobal, Lukáš (advisor)
The main goal of this bachelor's thesis is to design and develop service, which would deal with the problem of existence of malware aliases by providing mapping of each alias to specific family. The specific family would be set as canonical in advance. This thesis also presents several ways of obtaining data automatically for such mapping. The created service is meant to help malware researchers in their research. It can also be used in existing services, that currently don't take malware aliases into account, which could have caused some duplicity in their data.
|
|
|
Detekce malware domén pomocí metod strojového učení
Ebert, Tomáš ; Poliakov, Daniel (referee) ; Hranický, Radek (advisor)
This bachelor thesis deals with the detection of malware domains using machine learning methods learning based on various information obtained about the domain (DNS records, geolocation data etc.). With the rapid proliferation of threats, not only in the form of malware, the current examples are often approaches are insufficient, either in terms of the speed of detection of malware domains or in terms of overall recognition,whether a domain is dangerous. The output of this work is a trained XGBoost classifier model, which has the advantage of fast and efficient real-time detection over blacklist detection, which often acquires domain data with a week delay. For this model, 131,000 malware domains were obtained, using which obtain a high-value model. Using experiments, a score of F1 of 96.8786 % for the XGBoost classifier with a false positive detection rate of 0.004887.
|
|
|
Optimization of Classification Models for Malicious Domain Detection
Pouč, Petr ; Jeřábek, Kamil (referee) ; Hranický, Radek (advisor)
Tato diplomová práce se zaměřuje na rozvoj pokročilých metod pro detekci škodlivých doménových jmen s využitím optimalizačních technik v oblasti strojového učení. Práce zkoumá a hodnotí účinnost různých optimalizačních strategií pro klasifikaci. Jako nástroje pro hodnocení jsem vybral klasifikační algoritmy, které se liší v jejich přístupu, včetně hlubokého učení, techniky rozhodovacích stromů, nebo hledání hyperrovin. Tyto metody byly posouzeny na základě schopnosti efektivně klasifikovat doménová jména v závislosti na použitých optimalizačních technikách. Optimalizace zahrnovala vytvoření přesně označených datových sad, aplikaci technik zpracování dat, pokročilou selekci atributů, řešení nerovnováhy tříd a ladění hyperparametrů. Experimentální část práce prokazuje vynikající úspěšnost kombinováním jednotlivých metod. Přičemž nejlepší modely CNN dosahovaly až 0.9926 F1 při současném snížení FPR na hodnotu 0.300%. Přínos práce spočívá v poskytnutí konkrétních metod a strategií pro efektivní detekci škodlivých doménových jmen v oblasti kybernetické bezpečnosti.
|
|
|
Development of YARA-X ecosystem
Ďuriš, Tomáš ; Křivka, Zbyněk (referee) ; Regéciová, Dominika (advisor)
The aim of this work is to extend and create an unified ecosystem of tools for the YARA language. The focus is on incorporating modules that can gather information about the structure of executable files. Additionally, a module that can present obtained information to the user in multiple formats is also being proposed. An interactive environment has been created for evaluating YARA rules and enhancing the overall ecosystem by using an error-tolerant parsing algorithm. The proposed solution enables the seamless integration and utilization of existing tools while addressing the limitations of the original YARA ecosystem. The output of the work is an extended system with tools that facilitate the debugging of YARA rules, obtaining information from executable files, and visualizing them. The final solution has been thoroughly tested, utilized by analysts, and integrated into main YARA-X branch.
|
|
|
Semi-automatic classification of suspicious URLs and their detection in network traffic
Novotná, Michaela ; Poliakov, Daniel (referee) ; Žádník, Martin (advisor)
This thesis focuses on the design and implementation of a system for detecting and analyzing potentially malicious URL addresses in network traffic. The system includes the process of obtaining suspicious URL addresses from honeypots, automatic analysis of URLs, which also includes the classification process. Furthermore, the system focuses on manual classification through a web interface, which is also designed to browse data obtained during automatic analysis. Another part of the system consists of detection and reporting modules for the NEMEA system, which ensure the detection of malicious addresses in network traffic. The system focuses on obtaining information about malicious URLs and sharing it with the public through the MISP and URLhaus platforms. After successful testing, the systém was deployed in the CESNET network environment and handed over to the organization’s security department.
|
|
|
Automated Detection of Malware Activity on Local Networks
Pap, Adam ; Regéciová, Dominika (referee) ; Ryšavý, Ondřej (advisor)
The aim of this work is to analyze the network communication of malware and then identify suitable significant features that would allow to develop a suitable method for its detection. As part of the solution of the thesis, a dataset was created from which an IoC for each malware family were extracted. These IoCs were then validated through the AlienVault OTX platform, in order to verify their relevance. Metrics such as false positive rate, accuracy and sensitivity were used for evaluation. On the test data, the two IoC models created from the datasets achieved an accuracy of 99.337% and 94.732% for dataset 1 and 2, respectively. The IoC models of dataset No. 1 falsely classified 3.03% of communication windows as malicious in real communication. IoC models of set No. 2 classified 5.66% as malicious. After the samples of different malware families were run on the machine, the IoC models of set No. 1 classified 7.14% of the windows as malicious. Set No. 2 models classified 15.79%.
|
guest ::
