Master's Thesis

Detection of Malicious Websites based on Visual Similarity

Final Thesis 5.1 MB

Author of thesis: Ing. Ondřej Dacík

Acad. year: 2025/2026

Supervisor: Ing. Radek Hranický, Ph.D.

Reviewer: Ing. Martin Žádník, Ph.D.

Abstract:

The goal of this thesis is to design and implement a system that estimates whether a website is malicious based on its visual appearance. The thesis focuses on phishing sites, i.e., sites that mimic legitimate services in an attempt to obtain users’ login credentials. For the purposes of training and testing the models, a tool for automated data collection was developed as part of this work, which was used to compile a dataset containing 12,464 benign and 10,558 phishing pages. The system’s architecture is designed as a client-server model. The client-side consists of a web browser extension that queries the server about the maliciousness of visited websites. The analytical part of the server consists of four independent modules. The core of the system is a graph neural network that analyzes semantic RDF graphs of rendered web pages. This approach is complemented by an analysis of the page’s overall appearance using a convolutional neural network and verification of the service’s identity based on its logo and favicon. The individual predictions are then aggregated by a meta-model, which makes the final decision. Evaluation of the system demonstrated the high effectiveness of the chosen multimodal approach, which achieved an F1 score of 0.9326 on an independent dataset and outperformed existing tools.

Keywords:

phishing, cybersecurity, visual analysis, machine learning, web scraping

Date of defence

23.06.2026

Result of the defence

Defended (thesis was successfully defended)

znamkaAznamka

Grading

A

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A.

Topics for thesis defence

  1. Okomentujte tabulku na straně 47.
  2. Jak náročný je model z výpočetního hlediska?

Language of thesis

Czech

Faculty

Department

Study programme

Information Technology and Artificial Intelligence (MITAI)

Specialization

Machine Learning (NMAL)

Composition of Committee

doc. Ing. Vítězslav Beran, Ph.D. (předseda)
prof. Ing. Hynek Heřmanský, Dr. Eng. (místopředseda)
doc. Ing. Ondřej Lengál, Ph.D. (člen)
doc. Ing. František Zbořil, Ph.D. (člen)
doc. Ing. Michal Bidlo, Ph.D. (člen)
RNDr. Marek Rychlý, Ph.D. (člen)

Supervisor’s report
Ing. Radek Hranický, Ph.D.

Pan Dacík vlastnoručně vytvořil poměrně rozsáhlou datovou sadu screenshotů, log a faviconů jak pro benigní, tak phishingové webové stránky. Na těchto datech vytrénoval složený klasifikátor kombinující modely na principu GNN a CNN pro analýzu screenshotů, detektor shody loga na bázi FAISS a OCR, podobnosti faviconu pomocí perceptuálních hashů a rozhodovací model na bázi Gradient Boosting. Oceňuji, že student výsledky ověřil nejen na testovací části laboratorních dat, ale také na nezávislé datové sadě z reálného provozu akademické sítě CESNET. Kromě klasifikátoru vytvořil také rozšíření pro webové prohlížeče se serverovým backendem pro praktickou detekci phishingu.


S ohledem na nadprůměrnou aktivitu studenta, systematický postup a množství odvedené práce doporučuji hodnocení stupněm "výborně" (A).

Evaluation criteria Verbal classification
Informace k zadání

Práce tématicky navazuje na dříve projekt MV ČR FETA (FIT VUT) a souvisí s řešeným projektem MV ČR THOR (CESNET). Téma řeší detekcí závadných webů podle vizuální podobnosti stránky. Pan Dacík se rozhodl specializovat na phishing, který je jednou z nejzávažnějších hrozeb dnešního Internetu. Zadání považuji za nadprůměrně náročné, protože kombinuje sběr a anotaci dat, vizuální analýzu webových stránek, strojové učení i praktickou implementaci detekčního systému. Všechny body zadání byly splněny.

Aktivita při dokončování

Práce byla dokončena v předstihu před odevzdáním. Její obsah jsem kontroloval a mé připomínky student následně zapracoval.

Publikační činnost, ocenění

Zdrojové kódy realizačního výstupu práce, včetně orchestrace pomocí Docker Compose student zveřejnil na portálu GitHub pod licencí MIT: https://github.com/Pri0r/visual_phish_detector.

Výsledky práce mají také publikační potenciál a je možné, že z nich v budoucnu vznikne odborný článek.

Práce s literaturou

Student využil doporučené literatury a další relevantní zdroje si samostatně dohledal.

Aktivita během řešení, konzultace, komunikace

Student byl během řešení nadprůměrně aktivní a velice samostatný. Práci se mnou průběžně konzultoval, dohodnuté termíny plnil a na konzultace docházel připraven.

Points proposed by supervisor: 97

Grade proposed by supervisor: A

Reviewer’s report
Ing. Martin Žádník, Ph.D.

Student prokázal schopnost samostatně vyřešit komplexní problém a dosáhl velmi dobrých výsledků v klasifikaci stránek.

Evaluation criteria Verbal classification Points
Rozsah splnění požadavků zadání

Evaluation level: zadání splněno a práce obsahuje podstatná rozšíření

Práce obsahuje jako rozšíření modul do prohlížeče a implementuje několik metod pro rozpoznávání podobnosti. 

Rozsah technické zprávy

Evaluation level: je v obvyklém rozmezí

Rozsahem práce odpovídá požadavkům na diplomovou práci a dostatečně popisuje práci studenta.

Prezentační úroveň technické zprávy

Práce má logickou strukturu, kapitoly na sebe navazují a jsou pro čtenáře dobře pochopitelné.

95
Formální úprava technické zprávy

Formální i jazyková stránka práce je na vysoké úrovni.

95
Práce s literaturou

Student vhodně využívá existující přístupy a správně cituje relevantní zdroje.

90
Realizační výstup

Realizační výstup je funkční jako služba nebo jako modul do prohlížeče. Výstup je dostatečně zdokumentován.

90
Využitelnost výsledků

 Výstup má jak další výzkumný, tak i aplikační potenciál a může sloužit operátorům v Security Operation Center.

Náročnost zadání

Evaluation level: obtížnější zadání

Práce byla náročnějšího charakteru z důvodu pochopení a aplikování více metod pro rozpoznání podobnosti webové stránky.

Points proposed by reviewer: 95

Grade proposed by reviewer: A

Responsibility: Mgr. et Mgr. Hana Odstrčilová