V posledních letech lze zaznamenat nárůst malware, kteří ke své komunikaci používají HTTPS protokol. Tato situace s sebou přináší pro bezpečnostní analytiky řadu nových výzev, protože přenos je šifrován a je těžko rozlišitelný od běžné síťové komunikace. Z tohoto důvodu je potřeba najít nové metody pro detekci malware bez nutnosti dešifrovat síťovou komunikaci. Metoda, která nepotřebuje k detekci malware dešifrovat síťovou komunikaci, je levnější (protože není potřeba žádný dešifrovací přerušovač sítě), rychlejší a zajišťuje uchování soukromí, což je podstata šifrované komunikace v HTTPS. Cílem této práce je detekovat malware v síťové komunikaci vytvořením nových parametrů pro strojové učení a pou- žitím dat, které zpracovává program Bro IDS. Jelikož není lehké získat data pro takovýto výzkum, použili jsme datasety, které jsou součástí projektu Stratosphere, a některé další jsme si vytvořili sami. Základní jednotkou pro náš datový model jsou informace, které lze získat z šifrované komunikace, jsou to flow, SSL data a x509 certifikáty, které generuje Bro program. Všechna tato data, jsou získána bez nutnosti jakéhokoliv dešifrování. Pro rozpoznání malware komunikace používáme několik algoritmů pro strojové učení, jako např.: Neuronové sítě, XGBoost a Random Forest. Výsledky výzkumu ukazují, že chování malware v síťové komunikaci se liší od běžné komunikace a že naší metodou jsme schopni detekovat malware s přesností až 96.64%.
展开▼
