{rfName}
Un

Indexat a

Llicència i ús

Icono OpenAccess

Citacions

14

Altmetrics

Anàlisi d'autories institucional

Gómez GAutor o coautor

Compartir

6 defebrer de 2023
Publicacions
>
Article

Unsupervised Detection and Clustering of Malicious TLS Flows

Publicat a: Security And Communication Networks. 2023 3676692- - 2023-01-12 2023(), DOI: 10.1155/2023/3676692

Autors:

Gomez, G; Kotzias, P; Dell'Amico, M; Bilge, L; Caballero, J
[+]

Afiliacions

IMDEA Software Inst, Madrid, Spain - Autor o coautor
IMDEA Software Institute - Autor o coautor
Norton Res Grp, Paris, France - Autor o coautor
Norton Research Group - Autor o coautor
Univ Genoa, Genoa, Italy - Autor o coautor
Univ Politecn Madrid, IMDEA Software Inst, Madrid, Spain - Autor o coautor
Universidad Politécnica de Madrid - Autor o coautor
Università degli Studi di Genova - Autor o coautor
Veure més

Resum

Malware abuses TLS to encrypt its malicious traffic, preventing examination by content signatures and deep packet inspection. Network detection of malicious TLS flows is important, but it is a challenging problem. Prior works have proposed supervised machine learning detectors using TLS features. However, by trying to represent all malicious traffic, supervised binary detectors produce models that are too loose, thus introducing errors. Furthermore, they do not distinguish flows generated by different malware. On the other hand, supervised multiclass detectors produce tighter models and can classify flows by the malware family but require family labels, which are not available for many samples. To address these limitations, this work proposes a novel unsupervised approach to detect and cluster malicious TLS flows. Our approach takes input network traces from sandboxes. It clusters similar TLS flows using 90 features that capture properties of the TLS client, TLS server, certificate, and encrypted payload and uses the clusters to build an unsupervised detector that can assign a malicious flow to the cluster it belongs to, or determine if it is benign. We evaluate our approach using 972K traces from a commercial sandbox and 35M TLS flows from a research network. Our clustering shows very high precision and recall with an F1 score of 0.993. We compare our unsupervised detector with two state-of-the-art approaches, showing that it outperforms both. The false detection rate of our detector is 0.032% measured over four months of traffic.
[+]

Paraules clau

Classification

Indicis de qualitat

Impacte bibliomètric. Anàlisi de la contribució i canal de difusió

El treball ha estat publicat a la revista Security And Communication Networks, Q4 Agència Scopus (SJR), el seu enfocament regional i la seva especialització en Computer Networks and Communications, li atorguen un reconeixement prou significatiu en un nínxol concret del coneixement científic a nivell internacional.

Independentment de l'impacte esperat determinat pel canal de difusió, és important destacar l'impacte real observat de la pròpia aportació.

Segons les diferents agències d'indexació, el nombre de citacions acumulades per aquesta publicació fins a la data 2025-12-21:

  • WoS: 4
  • Scopus: 7
[+]

Impacte i visibilitat social

Des de la dimensió d'influència o adopció social, i prenent com a base les mètriques associades a les mencions i interaccions proporcionades per agències especialitzades en el càlcul de les denominades "Mètriques Alternatives o Socials", podem destacar a data 2025-12-21:

  • L'ús d'aquesta aportació en marcadors, bifurcacions de codi, afegits a llistes de favorits per a una lectura recurrent, així com visualitzacions generals, indica que algú està fent servir la publicació com a base del seu treball actual. Això pot ser un indicador destacat de futures cites més formals i acadèmiques. Aquesta afirmació està avalada pel resultat de l'indicador "Capture", que aporta un total de: 29 (PlumX).

És fonamental presentar evidències que recolzin l'alineació plena amb els principis i directrius institucionals sobre Ciència Oberta i la Conservació i Difusió del Patrimoni Intel·lectual. Un clar exemple d'això és:

  • El treball s'ha enviat a una revista la política editorial de la qual permet la publicació en obert Open Access.
[+]

Anàlisi del lideratge dels autors institucionals

Aquest treball s'ha realitzat amb col·laboració internacional, concretament amb investigadors de: France; Italy.

Hi ha un lideratge significatiu, ja que alguns dels autors pertanyents a la institució apareixen com a primer o últim signant, es pot apreciar en el detall: Primer Autor (GOMEZ MONTES, GIBRAN ALBERTO) .

[+]