Využití reputace autonomních systémů pro detekci malwaru
Using reputation of autonomous systems for malware detection
Typ dokumentu
bakalářská prácebachelor thesis
Autor
Vít Dominik
Vedoucí práce
Kohout Jan
Oponent práce
Kopp Martin
Studijní obor
Matematické inženýrstvíStudijní program
Aplikace přírodních vědInstituce přidělující hodnost
katedra matematikyObhájeno
2017-09-07Práva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Zobrazit celý záznamAbstrakt
Autonomní systém (AS) je skupina směrovačů a IP prefixů se společnou směrovací politikou a pod společnou správou. Každý IP rozsah patří do jednoho autonomního systému. Při komunikaci na internetu lze sledovat, do kterých AS datové toky vstupují. Přiřadí-li se každému systému reputace, tedy skóre určující, s jakou pravděpodobností se u jednoho toku dat jedná o malware (anomaly skóre), lze u webových proxy logů rozpoznat, zda se jedná o malware pouze na základě informace, do jakých AS přistupují. V této práci vytvoříme sadu anomaly detektorů využívajících dostupné údaje o AS, pomocí ROC křivek je ohodnotíme a vhodnou kombinací zlepšíme výsledky detekce. Výhoda tohoto přístupu by se měla projevit zejména u zabezpečené komunikace přes HTTPS, kde jsou údaje o AS jediná dostupná informace. Autonomous system (AS) is a group of routers and IP prefixes under the control of single routing policy and administrative. Each IP address belongs to a specific autonomous system. It is possible to acquire the name of visited AS only by observing network traic. By assigning a reputation to every system, such that the score represents a probability of a flow being malicious (anomaly score), one can recognize a malware connection from proxy logs given only the information of AS visited. In this thesis, we focus on creating a set of anomaly detectors using available data about autonomous systems, evaluating their performance employing ROC curves and by appropriate combination improving detection results. The advantage of this approach lies in domain of secured communication, such as HHTPS, where data about AS is the only information accessible.
Kolekce
- Bakalářské práce - 14101 [278]