Detekce Malware v HTTPS komunikaci
V posledních letech lze zaznamenat nárůst malware, kteří ke své komunikaci používají HTTPS protokol. Tato situace s sebou přináší pro bezpečnostní analytiky řadu nových výzev, protože přenos je šifrován a je těžko rozlišitelný od běžné síťové komunikace. Z tohoto důvodu je potřeba najít nové metody...
| Main Author: | |
|---|---|
| Other Authors: | , |
| Format: | Bachelor Thesis |
| Language: | English |
| Published: |
České vysoké učení technické v Praze. Vypočetní a informační centrum.
2017
|
| Subjects: | |
| Online Access: | http://hdl.handle.net/10467/68528 |
| id |
ftczechtuniv:oai:dspace.cvut.cz:10467/68528 |
|---|---|
| record_format |
openpolar |
| institution |
Open Polar |
| collection |
Czech Technical University in Prague: Digital Library |
| op_collection_id |
ftczechtuniv |
| language |
English |
| topic |
Detekce Malware Strojové učení HTTPS Síťová analýza Umělá inteligence Malware detection Machine Learning Network Analysis Artificial Intelligence |
| spellingShingle |
Detekce Malware Strojové učení HTTPS Síťová analýza Umělá inteligence Malware detection Machine Learning Network Analysis Artificial Intelligence Střasák František Detekce Malware v HTTPS komunikaci |
| topic_facet |
Detekce Malware Strojové učení HTTPS Síťová analýza Umělá inteligence Malware detection Machine Learning Network Analysis Artificial Intelligence |
| description |
V posledních letech lze zaznamenat nárůst malware, kteří ke své komunikaci používají HTTPS protokol. Tato situace s sebou přináší pro bezpečnostní analytiky řadu nových výzev, protože přenos je šifrován a je těžko rozlišitelný od běžné síťové komunikace. Z tohoto důvodu je potřeba najít nové metody pro detekci malware bez nutnosti dešifrovat síťovou komunikaci. Metoda, která nepotřebuje k detekci malware dešifrovat síťovou komunikaci, je levnější (protože není potřeba žádný dešifrovací přerušovač sítě), rychlejší a zajišťuje uchování soukromí, což je podstata šifrované komunikace v HTTPS. Cílem této práce je detekovat malware v síťové komunikaci vytvořením nových parametrů pro strojové učení a pou- žitím dat, které zpracovává program Bro IDS. Jelikož není lehké získat data pro takovýto výzkum, použili jsme datasety, které jsou součástí projektu Stratosphere, a některé další jsme si vytvořili sami. Základní jednotkou pro náš datový model jsou informace, které lze získat z šifrované komunikace, jsou to flow, SSL data a x509 certifikáty, které generuje Bro program. Všechna tato data, jsou získána bez nutnosti jakéhokoliv dešifrování. Pro rozpoznání malware komunikace používáme několik algoritmů pro strojové učení, jako např.: Neuronové sítě, XGBoost a Random Forest. Výsledky výzkumu ukazují, že chování malware v síťové komunikaci se liší od běžné komunikace a že naší metodou jsme schopni detekovat malware s přesností až 96.64%. In the last years there has been an increase in the amount of malware using HTTPS traffic for their communications. This situation pose a challenge for the security analysts because the traffic is encrypted and because it mostly looks like normal traffic. Therefore, there is a need to discover new features and methods to detect malware without decrypting the traffic. A detection method that does not need to unencrypt the traffic is cheaper (because no traffic interceptor is needed), faster and private, respecting the original idea of HTTPS. The goal of this thesis is to detect HTTPS malware connections by extracting new features and using data from the Bro IDS program. Since the data for the research is hard to come by, we used data from the Stratosphere project and we created, by hand, our own datasets. Our unit of analysis is an aggregation of all the information that is possible to obtain without decrypting the data. We group together flows, SSL data and X.509 certificates data as they are generated by Bro. To classify the HTTPS malware traffic we used several algorithms, such as Neural Networks, XGBoost and Random Forest. Our results show that the HTTPS malware behaviour is distinct from normal HTTPS behaviour and that our methods are able to separate them with an accuracy of at least 96.64%. |
| author2 |
García Sebastián Bartoš Karel |
| format |
Bachelor Thesis |
| author |
Střasák František |
| author_facet |
Střasák František |
| author_sort |
Střasák František |
| title |
Detekce Malware v HTTPS komunikaci |
| title_short |
Detekce Malware v HTTPS komunikaci |
| title_full |
Detekce Malware v HTTPS komunikaci |
| title_fullStr |
Detekce Malware v HTTPS komunikaci |
| title_full_unstemmed |
Detekce Malware v HTTPS komunikaci |
| title_sort |
detekce malware v https komunikaci |
| publisher |
České vysoké učení technické v Praze. Vypočetní a informační centrum. |
| publishDate |
2017 |
| url |
http://hdl.handle.net/10467/68528 |
| genre |
sami |
| genre_facet |
sami |
| op_relation |
KOS-587864528305 http://hdl.handle.net/10467/68528 |
| op_rights |
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.html. Vysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html. |
| _version_ |
1766186668261376000 |
| spelling |
ftczechtuniv:oai:dspace.cvut.cz:10467/68528 2023-05-15T18:14:00+02:00 Detekce Malware v HTTPS komunikaci Detection of HTTPS Malware Traffic Střasák František García Sebastián Bartoš Karel 2017-06-20 application/pdf application/octet-stream http://hdl.handle.net/10467/68528 ENG eng České vysoké učení technické v Praze. Vypočetní a informační centrum. Czech Technical University in Prague. Computing and Information Centre. KOS-587864528305 http://hdl.handle.net/10467/68528 A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.html. Vysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html. Detekce Malware Strojové učení HTTPS Síťová analýza Umělá inteligence Malware detection Machine Learning Network Analysis Artificial Intelligence BAKALÁŘSKÁ PRÁCE BACHELOR THESIS 2017 ftczechtuniv 2022-05-01T06:28:40Z V posledních letech lze zaznamenat nárůst malware, kteří ke své komunikaci používají HTTPS protokol. Tato situace s sebou přináší pro bezpečnostní analytiky řadu nových výzev, protože přenos je šifrován a je těžko rozlišitelný od běžné síťové komunikace. Z tohoto důvodu je potřeba najít nové metody pro detekci malware bez nutnosti dešifrovat síťovou komunikaci. Metoda, která nepotřebuje k detekci malware dešifrovat síťovou komunikaci, je levnější (protože není potřeba žádný dešifrovací přerušovač sítě), rychlejší a zajišťuje uchování soukromí, což je podstata šifrované komunikace v HTTPS. Cílem této práce je detekovat malware v síťové komunikaci vytvořením nových parametrů pro strojové učení a pou- žitím dat, které zpracovává program Bro IDS. Jelikož není lehké získat data pro takovýto výzkum, použili jsme datasety, které jsou součástí projektu Stratosphere, a některé další jsme si vytvořili sami. Základní jednotkou pro náš datový model jsou informace, které lze získat z šifrované komunikace, jsou to flow, SSL data a x509 certifikáty, které generuje Bro program. Všechna tato data, jsou získána bez nutnosti jakéhokoliv dešifrování. Pro rozpoznání malware komunikace používáme několik algoritmů pro strojové učení, jako např.: Neuronové sítě, XGBoost a Random Forest. Výsledky výzkumu ukazují, že chování malware v síťové komunikaci se liší od běžné komunikace a že naší metodou jsme schopni detekovat malware s přesností až 96.64%. In the last years there has been an increase in the amount of malware using HTTPS traffic for their communications. This situation pose a challenge for the security analysts because the traffic is encrypted and because it mostly looks like normal traffic. Therefore, there is a need to discover new features and methods to detect malware without decrypting the traffic. A detection method that does not need to unencrypt the traffic is cheaper (because no traffic interceptor is needed), faster and private, respecting the original idea of HTTPS. The goal of this thesis is to detect HTTPS malware connections by extracting new features and using data from the Bro IDS program. Since the data for the research is hard to come by, we used data from the Stratosphere project and we created, by hand, our own datasets. Our unit of analysis is an aggregation of all the information that is possible to obtain without decrypting the data. We group together flows, SSL data and X.509 certificates data as they are generated by Bro. To classify the HTTPS malware traffic we used several algorithms, such as Neural Networks, XGBoost and Random Forest. Our results show that the HTTPS malware behaviour is distinct from normal HTTPS behaviour and that our methods are able to separate them with an accuracy of at least 96.64%. Bachelor Thesis sami Czech Technical University in Prague: Digital Library |