{rfName}
Un

Indexado en

Licencia y uso

Icono OpenAccess

Citaciones

14

Altmetrics

Investigadores/as Institucionales

Gómez GAutor o Coautor

Compartir

6 de febrero de 2023
Publicaciones
>
Artículo

Unsupervised Detection and Clustering of Malicious TLS Flows

Publicado en: Security And Communication Networks. 2023 3676692- - 2023-01-12 2023(), DOI: 10.1155/2023/3676692

Autores:

Gomez, G; Kotzias, P; Dell'Amico, M; Bilge, L; Caballero, J
[+]

Afiliaciones

IMDEA Software Inst, Madrid, Spain - Autor o Coautor
IMDEA Software Institute - Autor o Coautor
Norton Res Grp, Paris, France - Autor o Coautor
Norton Research Group - Autor o Coautor
Univ Genoa, Genoa, Italy - Autor o Coautor
Univ Politecn Madrid, IMDEA Software Inst, Madrid, Spain - Autor o Coautor
Universidad Politécnica de Madrid - Autor o Coautor
Università degli Studi di Genova - Autor o Coautor
Ver más

Resumen

Malware abuses TLS to encrypt its malicious traffic, preventing examination by content signatures and deep packet inspection. Network detection of malicious TLS flows is important, but it is a challenging problem. Prior works have proposed supervised machine learning detectors using TLS features. However, by trying to represent all malicious traffic, supervised binary detectors produce models that are too loose, thus introducing errors. Furthermore, they do not distinguish flows generated by different malware. On the other hand, supervised multiclass detectors produce tighter models and can classify flows by the malware family but require family labels, which are not available for many samples. To address these limitations, this work proposes a novel unsupervised approach to detect and cluster malicious TLS flows. Our approach takes input network traces from sandboxes. It clusters similar TLS flows using 90 features that capture properties of the TLS client, TLS server, certificate, and encrypted payload and uses the clusters to build an unsupervised detector that can assign a malicious flow to the cluster it belongs to, or determine if it is benign. We evaluate our approach using 972K traces from a commercial sandbox and 35M TLS flows from a research network. Our clustering shows very high precision and recall with an F1 score of 0.993. We compare our unsupervised detector with two state-of-the-art approaches, showing that it outperforms both. The false detection rate of our detector is 0.032% measured over four months of traffic.
[+]

Palabras clave

Classification

Indicios de calidad

Impacto bibliométrico. Análisis de la aportación y canal de difusión

El trabajo ha sido publicado en la revista Security And Communication Networks, Q4 Agencia Scopus (SJR), su enfoque regional y su especialización en Computer Networks and Communications, le otorgan un reconocimiento lo suficientemente significativo en un nicho concreto del conocimiento científico a nivel internacional.

Independientemente del impacto esperado determinado por el canal de difusión, es importante destacar el impacto real observado de la propia aportación.

Según las diferentes agencias de indexación, el número de citas acumuladas por esta publicación hasta la fecha 2025-12-21:

  • WoS: 4
  • Scopus: 7
[+]

Impacto y visibilidad social

Desde la dimensión de Influencia o adopción social, y tomando como base las métricas asociadas a las menciones e interacciones proporcionadas por agencias especializadas en el cálculo de las denominadas “Métricas Alternativas o Sociales”, podemos destacar a fecha 2025-12-21:

  • La utilización de esta aportación en marcadores, bifurcaciones de código, añadidos a listas de favoritos para una lectura recurrente, así como visualizaciones generales, indica que alguien está usando la publicación como base de su trabajo actual. Esto puede ser un indicador destacado de futuras citas más formales y académicas. Tal afirmación es avalada por el resultado del indicador “Capture” que arroja un total de: 29 (PlumX).

Es fundamental presentar evidencias que respalden la plena alineación con los principios y directrices institucionales en torno a la Ciencia Abierta y la Conservación y Difusión del Patrimonio Intelectual. Un claro ejemplo de ello es:

  • El trabajo se ha enviado a una revista cuya política editorial permite la publicación en abierto Open Access.
[+]

Análisis de liderazgo de los autores institucionales

Este trabajo se ha realizado con colaboración internacional, concretamente con investigadores de: France; Italy.

Existe un liderazgo significativo ya que algunos de los autores pertenecientes a la institución aparecen como primer o último firmante, se puede apreciar en el detalle: Primer Autor (GOMEZ MONTES, GIBRAN ALBERTO) .

[+]