Možnosti identifikace botnetové robotické aktivitiy
Název práce: | Možnosti identifikace botnetové robotické aktivitiy |
---|---|
Autor(ka) práce: | Prajer, Richard |
Typ práce: | Diplomová práce |
Vedoucí práce: | Palovský, Radomír |
Oponenti práce: | Pavlíček, Luboš |
Jazyk práce: | Česky |
Abstrakt: | Tato diplomová práce zkoumá možné způsoby, jak odhalovat robotickou aktivitu botnetů na síti. Nejprve se věnuje jejich detekci založené na analýze úplných paketů, a to prostřednictvím DNS, HTTP a IRC komunikace. Detekci založenou na analýze úplných paketů však shledává z technických i etických důvodů neuplatnitelnou. Poté se zaměřuje na analýzu vycházející ze záznamů metadat o síťových tocích, které upravuje tak, aby byly zpracovatelné strojovým učením. Pomocí různých metod strojového učení pak vytváří detekční modely, jejichž úspěšnost poměřuje. Jako přijatelně úspěšná se pro odhalování robotické aktivity botnetů projevuje metoda bayesovských sítí. Model s její pomocí vytvořený ovšem odhaluje pouze botnety, které již plní úkoly zadávané C&C servery. "Spící" botnety tedy tento model spolehlivě detektovat nedokáže. |
Klíčová slova: | strojové učení; záznamy úplných paketů; Weka; botnet; C&C server; bayesovské sítě; síťový tok |
Název práce: | On possible approaches to detecting robotic activity of botnets |
---|---|
Autor(ka) práce: | Prajer, Richard |
Typ práce: | Diploma thesis |
Vedoucí práce: | Palovský, Radomír |
Oponenti práce: | Pavlíček, Luboš |
Jazyk práce: | Česky |
Abstrakt: | This thesis explores possible approaches to detecting robotic activity of botnets on network. Initially, the detection based on full packet analysis in consideration of DNS, HTTP and IRC communication, is described. However, this detection is found inapplicable for technical and ethical reasons. Then it focuses on the analysis based on network flow metadata, compiling them to be processable in machine learning. It creates detection models using different machine learning methods, to compare them with each other. Bayes net method is found to be acceptable for detecting robotic activity of botnets. The Bayesian model is only able to identify the botnet that already executes the commands sent by its C&C server. "Sleeping" botnets are not reliably detectable by this model. |
Klíčová slova: | network flow; full packet records; botnet; C&C server; Bayes net; Weka; machine learning |
Informace o studiu
Studijní program / obor: | Aplikovaná informatika/Znalostní technologie |
---|---|
Typ studijního programu: | Magisterský studijní program |
Přidělovaná hodnost: | Ing. |
Instituce přidělující hodnost: | Vysoká škola ekonomická v Praze |
Fakulta: | Fakulta informatiky a statistiky |
Katedra: | Katedra informačního a znalostního inženýrství |
Informace o odevzdání a obhajobě
Datum zadání práce: | 2. 2. 2016 |
---|---|
Datum podání práce: | 27. 4. 2016 |
Datum obhajoby: | 30. 1. 2017 |
Identifikátor v systému InSIS: | https://insis.vse.cz/zp/55970/podrobnosti |