Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet.Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet.Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet.Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet.Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet.Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet.Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet.Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet.Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet.Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet.
i BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN HÀN LÂM KHOA HỌC VÀ CÔNG NGHỆ VIỆT NAM HỌC VIỆN KHOA HỌC VÀ CÔNG NGHỆ - LÊ HẢI VIỆT NGHIÊN CỨU XÂY DỰNG HỆ THỐNG V-SANDBOX TRONG PHÂN TÍCH VÀ PHÁT HIỆN MÃ ĐỘC IOT BOTNET LUẬN ÁN TIẾN SĨ NGÀNH MÁY TÍNH HÀ NỘI – 2022 BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN HÀN LÂM KHOA HỌC VÀ CÔNG NGHỆ VIỆT NAM HỌC VIỆN KHOA HỌC VÀ CÔNG NGHỆ - Lê Hải Việt NGHIÊN CỨU XÂY DỰNG HỆ THỐNG V-SANDBOX TRONG PHÂN TÍCH VÀ PHÁT HIỆN MÃ ĐỘC IOT BOTNET Chuyên ngành: Hệ thống thông tin Mã số: 48 01 04 LUẬN ÁN TIẾN SĨ NGÀNH MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC: TS Ngô Quốc Dũng GS.TS Vũ Đức Thi Hà Nội – Năm 2022 LỜI CAM ĐOAN Tôi xin cam đoan Luận án Tiến sĩ với tiêu đề “Nghiên cứu xây dựng hệ thống VSandbox phân tích phát mã độc IoT Botnet” cơng trình nghiên cứu riêng tơi, hướng dẫn khoa học TS Ngô Quốc Dũng GS.TS Vũ Đức Thi, trừ kiến thức tham khảo từ tài liệu liên quan nước quốc tế trích dẫn luận án Các kết quả, số liệu trình bày luận án hoàn toàn trung thực, phần kết cơng bố Tạp chí Kỷ yếu Hội thảo khoa học chun ngành (tại Danh mục cơng trình tác giả), phần cịn lại chưa cơng bố cơng trình khác Hà Nội, Ngày tháng Năm 2022 Tác giả luận án LỜI CẢM ƠN Luận án nghiên cứu sinh (NCS) thực trình học tập Tiến sĩ Học viện Khoa học Công nghệ thuộc Viện Hàn lâm Khoa học Công nghệ Việt Nam Tại đây, NCS thầy, cô Học viện Khoa học Công nghệ, Viện Công nghệ thông tin dạy trang bị kiến thức tảng cần thiết suốt trình thực luận án, đồng thời NCS có hội tiếp xúc chuyên sâu lĩnh vực cấp thiết an tồn thơng tin liên quan tới phát mã độc nói chung mã độc Botnet nói riêng thiết bị IoT dân Trước hết, xin trân trọng cảm ơn hai Thầy hướng dẫn nghiên cứu sinh TS Ngô Quốc Dũng GS.TS Vũ Đức Thi, Thầy tận tình hướng dẫn nghiên cứu sinh trình nghiên cứu hồn thành luận án Tiếp đó, NCS muốn gửi lời cảm ơn tới TS Trần Nghi Phú, người đồng nghiệp người anh gợi mở ý tưởng cho phương phướng phát triển nghiên cứu khoa học NCS Bên cạnh đó, NCS muốn gửi lời cảm ơn chân thành đến cộng TS Nguyễn Huy Trung, Lê Văn Hồng, Nguyễn Dỗn Hiếu, Lương Đức Tuấn Đạt có nhiều hỗ trợ giúp đỡ NCS trình thực luận án NCS xin gửi lời cảm ơn tới Ban Giám đốc, Lãnh đạo Khoa An ninh thông tin Phòng ban liên quan Học viện An ninh nhân dân tạo điều kiện để NCS tập trung nghiên cứu thực luận án Cuối cùng, NCS xin gửi lời cảm ơn chân thành đến gia đình, ln ln nguồn động lực phấn đấu, khuyến khích động viên NCS q trình thực luận án Luận án có phần đóng góp to lớn ủng hộ, động viên giúp đỡ gia đình Xin chân thành cảm ơn! MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN iv MỤC LỤC v DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT ix DANH MỤC CÁC BẢNG x DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ xi MỞ ĐẦU 1 Tính cấp thiết luận án Mục tiêu nghiên cứu luận án Đối tượng phạm vi nghiên cứu 3.1 Đối tượng nghiên cứu 3.2 Phạm vi nghiên cứu Nội dung phương pháp nghiên cứu 4.1 Nội dung nghiên cứu 4.2 Phương pháp nghiên cứu 4.2.1 Nghiên cứu lý thuyết 4.2.2 Nghiên cứu thực nghiệm Các đóng góp luận án Bố cục luận án CHƯƠNG TỔNG QUAN VỀ THIẾT BỊ IOT VÀ MÃ ĐỘC IOT BOTNET 1.1 Tổng quan về thiết bi IoT 1.1.1 Khái niệm thiết bi IoT 1.1.2 Phân loại thiết bi IoT 1.1.3 Các vấn đề bảo mật tồn thiết bi IoT hạn chế tài nguyên 11 1.2 Tổng quan về mã độc IoT Botnet 12 1.2.1 Khái niệm mã độc IoT Botnet 12 1.2.2 Đặc điểm của mã độc IoT Botnet 14 1.3 Quy trình phát mã độc IoT Botnet 19 1.3.1 Tổng quan 19 1.3.2 Thu thập liệu 23 1.3.3 Tiền xử lý liệu 30 1.3.3.1 Tiền xử lý liệu luồng mạng 30 1.3.3.2 Tiền xử lý liệu lời gọi hệ thống 33 1.3.3.2 Tiền xử lý liệu tương tác với tài nguyên hệ thống 39 1.3.4 Phân tích phát hiện 41 1.3.4.1 Ứng dụng học máy phát mã độc IoT Botnet 41 1.3.4.2 Ứng dụng học sâu phát mã độc IoT Botnet 43 1.4 Kết luận Chương 45 CHƯƠNG XÂY DỰNG MÔI TRƯỜNG SANDBOX THU THẬP HIỆU QUẢ DỮ LIỆU HÀNH VI CỦA MÃ ĐỘC IOT BOTNET 47 2.1 Phát biểu toán 47 2.1 Kiến trúc tởng quan mơ hình đề xuất 48 2.2 Các thành phần 50 2.2.1 Trích x́t thơng tin thuộc tính bản của ELF (EME) 50 2.2.2 Sinh cấu hình hoạt động Sandbox (SCG) 53 2.2.3 Môi trường Sandbox (SE) 54 2.2.4 Tiền xử lý liệu thô thu thập (RDP) 57 2.2.5 Tính tốn khả thực thi lại Sandbox (SR) 58 2.2.6 Giả lập máy chủ C&C (C&C simulator) 59 2.2.7 Cơ sở liệu thư viện liên kết động (Share Object DB) .60 2.2.8 Sinh báo cáo tự động (Report) 61 2.3 Thử nghiệm đánh giá 61 2.3.1 Bộ liệu thử nghiệm 61 2.3.2 Triển khai thử nghiệm 62 2.3.3 Kết quả kiểm nghiệm V-Sandbox 63 2.3.4 So sánh hiệu quả V-Sandbox với IoT Sandbox khác 66 2.4 Kết luận Chương 69 CHƯƠNG ĐẶC TRƯNG ĐỒ THỊ LỜI GỌI HỆ THỐNG CÓ HƯỚNG TRONG PHÁT HIỆN MÃ ĐỘC IOT BOTNET 71 3.1 Phát biểu toán 71 3.1.1 Lựa chọn nguồn liệu động phục vụ tiền xử lý phân tích 71 3.1.2 Bài tốn xây dựng đặc trưng từ lời gọi hệ thống 72 3.1.3 Sơ đồ ý tưởng phương pháp đề xuất 73 3.2 Đờ thi lời gọi hệ thống có hướng DSCG 75 3.2.1 Khái niệm đờ thi lời gọi hệ thống có hướng DSCG 75 3.2.1 Xây dựng đồ thi lời gọi hệ thống có hướng DSCG 76 3.3 Tiền xử lý liệu đồ thi DSCG 79 3.4 Thực nghiệm đánh giá 81 3.4.1 Bộ liệu thực nghiệm 81 3.4.2 Triển khai thử nghiệm 82 3.4.3 Các số đánh giá 84 3.4.4 Kết quả thử nghiệm đánh giá 85 3.5 Kết luận Chương 88 CHƯƠNG MÔ HÌNH HỌC MÁY CỘNG TÁC PHÁT HIỆN SỚM MÃ ĐỘC IOT BOTNET 90 4.1 Phát biểu toán 90 4.1.1 Vấn đề phát hiện sớm mã độc IoT Botnet 90 4.1.2 Mơ hình học máy cộng tác phát hiện sớm mã độc 91 4.1.3 Khảo sát đánh giá nghiên cứu liên quan 93 4.1.3.1 Mơ hình học máy cộng tác phát mã độc 93 4.1.3.2 Các mơ hình phát sớm nghiên cứu mã độc 95 4.1.4 Bài toán phát hiện sớm mã độc IoT Botnet 98 4.2 Mơ hình đề xuất 98 4.2.1 Kiến trúc tổng quan 98 4.2.2 Môi trường Sandbox (SC) 100 4.2.3 Tiền xử lý liệu (PPDC) 100 4.2.4 Chuẩn hóa liệu tiền xử lý (DNC) 103 4.2.5 Trích chọn đặc trưng phù hợp 104 4.2.6 Bộ phân lớp học máy (MLC) 105 4.2.7 Hàm hợp nhất (FC) 105 4.3 Thực nghiệm đánh giá 106 4.3.1 Tập mẫu thực nghiệm 106 4.3.2 Triển khai thử nghiệm 106 4.3.3 Kết quả thử nghiệm 107 4.3.4 Đánh giá kết quả thử nghiệm 112 4.4 Kết luận Chương 113 KẾT LUẬN 114 DANH MỤC CƠNG TRÌNH CỦA TÁC GIẢ 117 TÀI LIỆU THAM KHẢO 119 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Ký hiệu, chữ viết tắt Từ nguyên gốc Nghĩa tiếng Việt đầy đủ IoT Internet of Things ELF Linux Executable and Linkable Định dạng tệp tin thực thi liên kết Format động Linux DSCG Vạn vật kết nối Internet Directed System Call Graph Đồ thị lời gọi hệ thống có hướng International Telecommunication Union Cơ quan chuyên trách công nghệ thông tin truyền thông Liên hiệp quốc Supervisory Control And Data Acquisition Hệ thống giám sát điều khiển tập trung Peer to Peer network Mạng ngang hàng DDoS Distributed Denial of Service attack Tấn công từ chối dịch vụ phân tán CPU Central Processing Unit Bộ xử lý trung tâm ITU SCADA P2P C&C server Command and Control server Máy chủ lệnh điều khiển KNN K-nearest neighbors Thuật toán K điểm gần SVM Support vector machines Thuật toán học máy vector hỗ trợ DT Decision Tree Thuật toán định FR Random Forest Thuật toán rừng ngẫu nhiên DANH MỤC CÁC BẢNG Bảng 1.1 So sánh đặc điểm Botnet truyền thống IoT Botnet 15 Bảng 1.2 So sánh đặc điểm phương pháp phát mã độc IoT Botnet 22 Bảng 1.3 Các nguồn liệu động thu thập cho phát mã độc IoT Botnet .26 Bảng 1.4 Tóm tắt chức IoT Sandbox 29 Bảng 1.5 So sánh đặc điểm IoT Sandbox có 30 Bảng 1.6 Các nghiên cứu liên quan sử dụng đồ thị lời gọi hệ thống 36 Bảng 2.1 Các tham số cấu hình mặc định cho SE 53 Bảng 2.2 Thống kê kết chạy V-Sandbox 63 Bảng 2.3 Thống kê kết chạy LiSa Sandbox 67 Bảng 2.4 So sánh chức IoT Sandbox 67 Bảng 2.5 Các mẫu lựa chọn ngẫu nhiên từ dataset 67 Bảng 2.6 Kết so sánh LiSa, Cuckoo V-Sandbox 68 Bảng 3.1 Mô tả chi tiết Dataset 81 Bảng 3.2 Các tham số mơ hình học máy điều chỉnh 82 Bảng 3.3 Kịch phân chia tập liệu thử nghiệm 84 Bảng 3.4 Giá trị số đánh giá mơ hình đề xuất 86 Bảng 3.5 So sánh mơ hình đề xuất nghiên cứu liên quan 88 Bảng 4.1 Khảo sát nghiên cứu phát sớm mã độc 97 Bảng 4.2 Mô tả chi tiết Dataset 106 Bảng 4.3 Các tham số thuật toán học máy sử dụng 107 Bảng 4.4 Độ xác mơ hình học máy đơn lẻ huấn luyện Dataset 109 Bảng 4.5 Các mơ hình học máy sau tối ưu Dataset 109 Bảng 4.6 Kết thử nghiệm với mẫu nằm Dataset 111 Bảng 4.7 So sánh với nghiên cứu liên quan 112 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1.1 Số lượng thiết bị kích hoạt tồn cầu Hình 1.2 Phân loại thiết bị IoT dựa chức hoạt động [13] .9 Hình 1.3 Phân lớp thiết bị IoT [18] 10 Hình 1.4 Các bước vòng đời mã độc IoT Botnet 18 Hình 1.5 Vịng đời IoT Botnet 19 Hình 1.6 So sánh quy trình phân tích tĩnh phân tích động mã độc 22 Hình 1.7 Kiến trúc Cuckoo Sandbox [50] 27 Hình 1.8 Kiến trúc IoTBox [44] 28 Hình 1.9 Một đồ thị PSI-graph xây dựng 35 Hình 1.10 Đồ thị PSI-Rooted graph từ đỉnh 11 với độ sâu d=2 36 Hình 1.11 Mơ hình CBOW Skip-gram 38 Hình 1.12 Minh họa kết biểu diễn không gian từ word2vec 38 Hình 1.13 Kiến trúc mạng nơ-ron word2vec 38 Hình 2.1 Kiến trúc V-Sandbox 48 Hình 2.2 Sử dụng Readelf đọc Header ELF 52 Hình 2.3 Sử dụng Readelf liệt kê yêu cầu thư viện động 52 Hình 2.4 Đầu khối EMF 52 Hình 2.5 Đầu khối SCG 54 Hình 2.6 Kiến trúc bên SE 55 Hình 2.7 Lệnh khởi động mơi trường SE 55 Hình 2.8 Thơng tin thư viện liên kết động xác định ldd 57 Hình 2.9 Thơng tin thư viện liên kết động xác định readelf 57 Hình 2.10 Khối RDP cập nhật nội dung tệp “Configuration file” 58 Hình 2.11 Kiến trúc kết nối chung IoT Botnet [2] 60 Hình 2.12 Các thư mục trích xuất từ firmware Router Netgear WNAP320 61 Hình 2.13 Thiết bị C500-Extractor 61 Hình 2.14 Mơ hình triển khai thử nghiệm V-Sandbox 63 Hình 2.15 Thơng tin thu thập tác tử V-Sandbox 64 Hình 2.16 Thông tin thu thập lời gọi hệ thống SystemCall agent 64 Hình 2.17 Thơng tin thu thập File agent 64 Hình 2.18 Thơng tin thu thập Host performance agent 65 Tác giả Tập liệu thử nghiệm (mã độc/ lành tính) Hansen [135] 5000/837 Lời gọi hệ thống 5023/3888 Lời gọi hệ thống, Không yêu cầu thực luồng mạng, yêu cầu thi đầy đủ, tối đa 180 tài nguyên thiết bị giây Mơ hình đề xuất Dữ liệu đặc trưng sử dụng Thời gian thu thập liệu hành vi động/mẫu 200 giây ACC (%) /AUC 98.13/0.97 99.37/0.99 4.4 Kết luận Chương Trong chương này, nghiên cứu sinh đề xuất mơ hình học máy cộng tác (CMED) để phát sớm hiệu IoT Botnet dựa việc thu thập mức tối thiểu liệu động cần thiết Khung thử nghiệm phát IoT Botnet nghiên cứu sinh xây dựng dựa mô hình học máy cộng tác mơi trường ảo hóa VSandbox Hiệu mơ hình đề xuất chứng minh thông qua kết thử nghiệm liệu với 8911 mẫu Ý tưởng kết thực nghiệm phương pháp đề xuất chương trình bày, cơng bố Tạp chí khoa học quốc tế Cụ thể là: - “A collaborative approach to early detection of IoT Botnet” Computers & Electrical Engineering Journal, Oct 2021 (SCIE index, Q1), ISSN: 0045-7906 KẾT LUẬN Sự phát triển không ngừng thiết bị IoT số lượng chủng loại làm thay đởi nhiều khía cạnh xã hội người Thiết bị IoT ngày xâm nhập sâu vào sinh hoạt hàng ngày chúng ta, tác động thay đổi cách thức người giao tiếp với thiết bị, máy móc Các thiết bị đơn giản hóa, cung cấp tiện dụng, phản hồi nhanh chóng giao tiếp người dùng máy móc Bên cạnh ưu điểm, thiết bị IoT tồn vấn đề bảo mật, an ninh thông tin đáng lo ngại Đặc biệt khả bị lây lan mã độc IoT Botnet dễ dàng Do đó, luận án này, nghiên cứu sinh tập trung tìm hiểu đặc điểm khác biệt mã độc IoT Botnet với loại mã độc truyền thống, từ làm sở nghiên cứu, xây dựng mơ hình học máy nhằm nâng cao độ xác giảm độ phức tạp phát mã độc IoT Botnet thiết bị IoT hạn chế tài nguyên theo phương pháp phân tích động Theo đó, nội dung luận án tập trung nghiên cứu phương pháp phát mã độc IoT Botnet, đánh giá ưu nhược điểm phương pháp có Từ đó, luận án đưa giải pháp xây dựng mơ hình học máy có độ xác cao độ phức tạp thấp phát mã độc IoT Botnet Cụ thể, luận án đạt kết nghiên cứu sau: Đóng góp 1: Luận án xây dựng mơi trường V-Sandbox đảm bảo điều kiện để thu thập đầy đủ liệu hành vi mã độc IoT Botnet Môi trường sandbox xây dựng hoạt động hoàn toàn tự động, mã nguồn mở cài đặt dễ dàng, có tính thực tiễn Đóng góp 2: Luận án đề xuất phương pháp mới, gọi đồ thị lời gọi hệ thống có hướng DSCG (Directed System Call Graph) trích xuất đặc trưng hiệu cho phát mã độc IoT Botnet Phương pháp đề xuất có độ phức tạp thấp đảm bảo độ xác cao phát IoT Botnet, đặc biệt với dòng mã độc IoT Botnet xuất Đóng góp 3: Luận án đề xuất mơ hình phát mã độc IoT Botnet mới, có khả kết hợp nhiều nguồn liệu đặc trưng khác để phát sớm mã độc IoT Botnet Mơ hình đề xuất sử dụng mức tối thiểu liệu động cần thiết mà đưa dự báo có độ xác cao, góp phần giảm thiểu thời gian phát mã độc IoT Botnet Phương pháp đề xuất luận án có tính thực tiễn triển khai mơ hình ứng dụng hình (i), tác tử tích hợp vào thiết bị IoT hạn chế tài nguyên để thu thập gửi thông tin hành vi hoạt động thiết bị phân hệ tiền xử lý trung tâm làm đầu vào cho phân hệ phân tích, phát hiện, cảnh báo mã độc IoT Botnet Tại đây, phương pháp trích xuất đặc trưng đồ thị DSCG mơ hình học máy cộng tác phát sớm mã độc IoT Botnet nghiên cứu sinh đề xuất áp dụng để phân loại tệp lành tính mã độc Đây nội dung khuôn khổ đề tài nghiên cứu ứng dụng phát triển công nghệ cấp quốc gia “Nghiên cứu xây dựng hệ thống tự động phát hiện, cảnh báo ngăn chặn tấn công mạng nhằm vào thiết bị IoT cỡ nhỏ sử dụng mạng lưới tác tử thơng minh” (có mã số KC-4.0-05/19-25) mà nghiên cứu sinh thành viên tham gia Hình (i) Mơ hình ứng dụng thực tế phương pháp phát IoT Botnet sử dụng tác tử thông minh Tuy nhiên, theo xu hướng phát triển chung mã độc nói chung, mã độc thiết bị IoT ngày phát triển nhanh số lượng chủng loại Vì vậy, vấn đề phát mã độc thiết bị nhà nghiên cứu nước tiếp tục quan tâm thời gian tới Mặc dù đạt kết nghiên cứu quan trọng lý luận khoa học thực tiễn phát mã độc IoT Botnet luận án số vấn đề cần nghiên cứu, cải tiến tương lai gồm: Phương pháp đề xuất luận án thử nghiệm với liệu chủ yếu chứa mã độc IoT Botnet, chưa bao gồm loại mã độc khác Trong thời gian gần đây, số biến thể loại mã độc Ransomware, Trojan, Spyware,… phát triển để lây lan thiết bị IoT hạn chế tài nguyên Đây nguy đe dọa an ninh, an tồn thơng tin tiềm tàng cần phải nghiên cứu, phát Do đó, cần phải thử nghiệm cải tiến phương pháp đề xuất luận án với loại mã độc thời gian tới Tổng thời gian khởi tạo, thực thi, giám sát tạo báo cáo hành vi mẫu đầu vào mơi trường V-Sandbox cịn dài, dẫn tới hạn chế mặt thời gian giải pháp phát sớm mã độc IoT Botnet Ngoải ra, tỉ lệ chạy thành công mẫu tập liệu V-Sandbox mức 80.5% Cần phải nghiên cứu, cải tiến để tăng tỉ lệ thực thi thành cơng mẫu cịn lại tập liệu thu thập Trong tương lai, nghiên cứu sinh tiếp tục hoàn thiện để tối ưu V-Sandbox để khắc phục nhược điểm Việc sử dụng phân tích động phương pháp đề xuất đạt hiệu cao thực nghiệm phát mã độc IoT Botnet mặt lý thuyết khoa học Tuy nhiên, thực tiễn sử dụng mẫu chữ ký (signature-based) phát mã độc đơn giản tiết kiệm tài nguyên hệ thống triển khai thực tế Vì vậy, nghiên cứu giải pháp tự động chuyển đổi linh hoạt kết phát mơ hình đề xuất thành mẫu chữ ký cho IDS nội dung nghiên cứu mang tính ứng dụng tương lai mà nghiên cứu sinh hướng tới DANH MỤC CƠNG TRÌNH CỦA TÁC GIẢ Tất nội dung, kết nghiên cứu trình bày luận án cơng bố tạp chí, hội thảo uy tín ngành cơng nghệ thơng tin nước quốc tế Cụ thể sau: Bài báo đăng Tạp chí khoa học 1) “Xây dựng hệ thống phát mã độc thiết bị định tuyến dựa mơ phỏng”, Tạp chí “Nghiên cứu Khoa học Cơng nghệ lĩnh vực An tồn thơng tin” (Journal of Science and Technology on Information security) – Ban yếu phủ (1.CS (05) 2017), 2017 2) “V-Sandbox for Dynamic Analysis IoT Botnet,” IEEE Access, vol 8, pp 145768– 145786, 2020, (SCIE index, Q1), ISSN: 2169-3536, DOI: 10.1109/ACCESS.2020.3014891 3) “Iot Botnet Detection Using System Call Graphs and One-Class CNN Classification”, International Journal of Innovative Technology and Exploring Engineering (IJITEE), vol 8, no 10, pp 937–942, Aug 2019, (SCOPUS index), ISSN: 2278-3075, DOI: 10.35940/ijitee.J9091.0881019 4) “A collaborative approach to early detection of IoT Botnet” Computers & Electrical Engineering Journal, Oct 2021 (SCIE index, Q1), ISSN: 0045-7906 Bài báo đăng Kỷ yếu Hội thảo khoa học chuyên ngành 1) “Xây dựng mơ hình phát mã độc thiết bị định tuyến tác tử”, Kỷ yếu hội thảo quốc gia lần thứ 20: Một số vấn đề chọn lọc Công nghệ thông tin truyền thông, 2017 2) “Xây dựng mơ hình thu thập, phát tấn cơng mạng sử dụng thiết bị IoT”, Kỷ yếu hội thảo quốc gia lần thứ 2: Một số vấn đề chọn lọc an tồn an ninh thơng tin (SoIS), 2017 3) “Xây dựng hệ thống phát xâm nhập mạng thiết bị IoT dân nhà thông minh”, Kỷ yếu hội thảo quốc gia lần thứ 21: Một số vấn đề chọn lọc Công nghệ thông tin truyền thông, 2018 4) “Kết hợp CNN LSTM nâng cao hiệu phát tấn công mạng HIDS với liệu ADFA”, Hội thảo quốc gia lần thứ 3: Một số vấn đề chọn lọc an tồn an ninh thơng tin, 2018 In Tạp chí Thơng tin Truyền thơng (số tháng 12/2018, ISSN 1859-3550) 5) “Đề xuất phương pháp phát IoT Botnet hiệu dựa lời gọi hệ thống”, Kỷ yếu hội thảo quốc gia lần thứ 23: Một số vấn đề chọn lọc Công nghệ thông tin truyền thông, 2020 TÀI LIỆU THAM KHẢO [1] D Evans, ‘The internet of things: How the next evolution of the internet is changing everything’, CISCO White Pap., vol 1, no 2011, pp 1–11, 2011 [2] K Angrishi, ‘Turning internet of things (iot) into internet of vulnerabilities (iov): Iot botnets’, ArXiv Prepr ArXiv170203681, 2017 [3] I Andrea, C Chrysostomou, and G Hadjichristofi, ‘Internet of Things: Security vulnerabilities and challenges’, 2015, pp 180–187 [4] Kaspersky Lab report, ‘Honeypots and the Internet of Things’, Securelist Kaspersky Lab’s cyberthreat research and reports, 2017 https://securelist.com/honeypots-and-the-internet-of-things/78751/ (accessed May 11, 2018) [5] K Moskvitch, ‘Securing IoT: In your smart home and your connected enterprise’, Eng Technol., vol 12, no 3, pp 40–42, 2017 [6] V Woods and R Van der Meulen, ‘Gartner Says Worldwide loT Security Spending to Reach $348 Million in 2016’, in Gartner, Stamford, 2016 [7] BKAV company, ‘PETHOLE.’ [Online] Available: http://pethole.net/ [8] C Kolias, G Kambourakis, A Stavrou, and J Voas, ‘DDoS in the IoT: Mirai and Other Botnets’, Computer, vol 50, no 7, pp 80–84, 2017, doi: 10.1109/MC.2017.201 [9] C Lévy-Bencheton, E Darra, G Tétu, G Dufay, and M Alattar, ‘Security and resilience of smart home environments good practices and recommendations’, Eur Union Agency Netw Inf Secur ENISA Heraklion Greece, 2015 [10] Kaspersky Lab report, ‘IoT: a malware story’, Securelist - Kaspersky Lab’s cyberthreat research and reports https://securelist.com/iot-a-malwarestory/94451/ (accessed Dec 19, 2019) [11] K Ashton, ‘That “internet of things” thing’, RFID J., vol 22, no 7, pp 97– 114, 2009 [12] S Madakam, V Lake, V Lake, and V Lake, ‘Internet of Things (IoT): A literature review’, J Comput Commun., vol 3, no 05, p 164, 2015 [13] ‘Overview of Internet of Things’ ITU-T Y.2060, Jun 2012 [14] ‘State of the IoT 2018: Number of IoT devices now at 7B – Market accelerating’ https://iot-analytics.com/state-of-the-iot-update-q1-q2-2018number-of-iot-devices-now-7b/ (accessed Jan 06, 2021) [15] K Chen et al., ‘Internet-of-Things security and vulnerabilities: Taxonomy, challenges, and practice’, J Hardw Syst Secur., vol 2, no 2, pp 97–110, 2018 [16] S Prentice, ‘The five SMART technologies to Watch’, Gart Conn., vol 21, 2014 [17] A F A Rahman, M Daud, and M Z Mohamad, ‘Securing sensor to cloud ecosystem using internet of things (iot) security framework’, 2016, pp 1–5 [18] C Bormann, M Ersue, and A Keranen, ‘Terminology for ConstrainedNode Networks RFC 7228 Retrieved August 12, 2016’, 2014 [19] S Dange and M Chatterjee, ‘IoT Botnet: The Largest Threat to the IoT Network’, in Data Communication and Networks, Springer, 2020, pp 137– 157 [20] S Lyndon, J H Timothy, and A Michelle, ‘The weaponization of IoT devices: Rise of the thingbots’, IBM Managed Security Services Threat Research group, Apr 2017 [Online] Available: https://www.ibm.com/downloads/cas/6MLEALKV [21] G Kambourakis, C Kolias, and A Stavrou, ‘The Mirai botnet and the IoT Zombie Armies’, 2017, pp 267–272 [22] ‘Shodan’ https://www.shodan.io/ (accessed Jun 10, 2020) [23] M C a S J S A Cui, ‘When Firmware Modifications Attack : A Case Study of Embedded Exploitation’ 20th Annual Network & Distributed System Security Symposium, 2013 [24] Andrei Costin, Jonas Zaddach, Aur´elien Francillon, and Davide Balzarotti, ‘A Large-Scale Analysis of the Security of Embedded Firmwares’, EURECOM Sophia-Antipolis Biot Fr., 2014 [25] Brian Krebs, ‘Source Code for IoT Botnet “Mirai” released’ Krebsonsecurity.com, Sep 30, 2016 [Online] Available: https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-miraireleased/ [26] E Cozzi, M Graziano, Y Fratantonio, and D Balzarotti, ‘Understanding Linux Malware’, San Francisco, CA, May 2018 [27] J Gamblin, ‘The malware Mirai Source Code’ Jan 07, 2021 Accessed: Jan 08, 2021 [Online] Available: https://github.com/jgamblin/Mirai-SourceCode [28] E Bertino and N Islam, ‘Botnets and Internet of Things Security’, Computer, vol 50, no 2, pp 76–79, Feb 2017, doi: 10.1109/MC.2017.62 [29] P Beltrán-García, E Aguirre-Anaya, P J Escamilla-Ambrosio, and R Acosta-Bermejo, ‘IoT Botnets’, in Telematics and Computing, Cham, 2019, pp 247–257 [30] N Q Dũng, N H Trung, and L V Hoàng, ‘Phát mã độc IoT botnet dựa đồ thị PSI với mơ hình Skip-gram’, J Sci Technol Inf Secur., vol 7, no 1, pp 29–36, 2018 [31] Konrad Rieck, Thorsten Holz, Carsten Willems, Patrick Düssel, and Pavel Laskov, ‘Learning and Classification of Malware Behavior’ Lecture Notes in Computer Science, vol 5137, 2008 [32] R Doshi, N Apthorpe, and N Feamster, ‘Machine learning DDoS detection for consumer Internet of Things devices’, 2018, pp 29–35 [33] I Alrashdi, A Alqazzaz, E Aloufi, R Alharthi, M Zohdy, and H Ming, ‘AD-IoT: anomaly detection of IoT cyberattacks in smart city using machine learning’, 2019, pp 0305–0310 [34] A O Prokofiev, Y S Smirnova, and V A Surov, ‘A method to detect Internet of Things botnets’, in 2018 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus), Moscow, Jan 2018, pp 105–108 doi: 10.1109/EIConRus.2018.8317041 [35] C.-J Wu, Y Tie, K Yoshioka, and T Matsumoto, ‘IoT malware behavior analysis and classification using text mining algorithm’, Comput Secur Symp 2016, Oct 2016 [36] D Breitenbacher, I Homoliak, Y L Aung, N O Tippenhauer, and Y Elovici, ‘HADES-IoT: A Practical Host-Based Anomaly Detection System for IoT Devices’, 2019, pp 479–484 [37] M Ficco, ‘Detecting IoT Malware by Markov Chain Behavioral Models’, 2019, pp 229–234 [38] A Azmoodeh, A Dehghantanha, M Conti, and K.-K R Choo, ‘Detecting crypto-ransomware in IoT networks based on energy consumption footprint’, J Ambient Intell Humaniz Comput., vol 9, no 4, pp 1141–1152, 2018 [39] N P Tran, Q D Ngo, D K Hoang, N B Nguyen, and D T Nguyen, ‘Phát mã độc thiết bị IoT dựa lời gọi Syscall phân loại lớp SVM’, Hội Thảo Lần Thứ III Một Số Vấn Đề Chọn Lọc Về Tồn Ninh Thơng Tin, 2018 [40] K.-H Le, M.-H Nguyen, T.-D Tran, and N.-D Tran, ‘IMIDS: An intelligent intrusion detection system against cyber threats in IoT’, Electronics, vol 11, no 4, p 524, 2022 [41] N Moustafa and J Slay, ‘UNSW-NB15: a comprehensive data set for network intrusion detection systems (UNSW-NB15 network data set)’, 2015, pp 1–6 [42] R Panigrahi and S Borah, ‘A detailed analysis of CICIDS2017 dataset for designing Intrusion Detection Systems’, Int J Eng Technol., vol 7, no 3.24, pp 479–482, 2018 [43] Y M P Pa, S Suzuki, K Yoshioka, T Matsumoto, T Kasama, and C Rossow, ‘Iotpot: A novel honeypot for revealing current iot threats’, J Inf Process., vol 24, no 3, pp 522–533, 2016 [44] W Jung, H Zhao, M Sun, and G Zhou, ‘IoT botnet detection via power consumption modeling’, Smart Health, vol 15, p 100103, 2020 [45] A Shabtai, U Kanonov, Y Elovici, C Glezer, and Y Weiss, ‘“Andromaly”: a behavioral malware detection framework for android devices’, J Intell Inf Syst., vol 38, no 1, pp 161–190, 2012 [46] C Guarnieri, A Tanasi, J Bremer, and M Schloesser, ‘The cuckoo sandbox’, 2012 [47] C Willems, T Holz, and F Freiling, ‘Toward automated dynamic malware analysis using cwsandbox’, IEEE Secur Priv., vol 5, no 2, 2007 [48] ‘REMnux: A free Linux Toolkit for Reverse-Engineering and Analyzing Malware’ https://remnux.org/ (accessed Mar 10, 2020) [49] D Oktavianto and I Muhardianto, Cuckoo malware analysis Packt Publishing Ltd, 2013 [50] Z Liu et al., ‘An Integrated Architecture for IoT Malware Analysis and Detection’, 2018, pp 127–137 [51] D Uhrıcek, ‘LiSa–Multiplatform Linux Sandbox for Analyzing IoT Malware’, [Online] Available: http://excel.fit.vutbr.cz/submissions/2019/058/58.pdf [52] K Monnappa, ‘Automating linux malware analysis using limon sandbox’, Black Hat Eur 2015, 2015 [53] ‘Padawan live’ https://padawan.s3.eurecom.fr/about (accessed Mar 10, 2020) [54] ‘Detux: The Multiplatform Linux Sandbox’, Feb 23, 2020 https://github.com/detuxsandbox/detux (accessed Mar 10, 2020) [55] ‘KDD Cup 1999 Data’ http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html (accessed Apr 23, 2020) [56] ‘NSL-KDD | Datasets | Research | Canadian Institute for Cybersecurity | UNB’ https://www.unb.ca/cic/datasets/nsl.html (accessed Apr 20, 2021) [57] ‘IDS 2018 | Datasets | Research | Canadian Institute for Cybersecurity | UNB’ https://www.unb.ca/cic/datasets/ids-2018.html (accessed Apr 20, 2021) [58] Y Meidan et al., ‘N-baiot—network-based detection of iot botnet attacks using deep autoencoders’, IEEE Pervasive Comput., vol 17, no 3, pp 12– 22, 2018 [59] N Chandolikar and V Nandavadekar, ‘Selection of relevant feature for intrusion attack classification by analyzing KDD Cup 99’, MIT Int J Comput Sci Inf Technol., vol 2, no 2, pp 85–90, 2012 [60] S K Sahu, S Sarangi, and S K Jena, ‘A detail analysis on intrusion detection datasets’, 2014, pp 1348–1353 [61] H Nguyen, K Franke, and S Petrovic, ‘Improving effectiveness of intrusion detection by correlation feature selection’, 2010, pp 17–24 [62] P Gogoi, M H Bhuyan, D Bhattacharyya, and J K Kalita, ‘Packet and flow based network intrusion dataset’, 2012, pp 322–334 [63] Ar Vasudevan, E Harshini, and S Selvakumar, ‘SSENet-2011: a network intrusion detection system dataset and its comparison with KDD CUP 99 dataset’, 2011, pp 1–5 [64] M Ahmed, A N Mahmood, and J Hu, ‘A survey of network anomaly detection techniques’, J Netw Comput Appl., vol 60, pp 19–31, 2016 [65] V Kanimozhi and T P Jacob, ‘Artificial Intelligence based Network Intrusion Detection with hyper-parameter optimization tuning on the realistic cyber dataset CSE-CIC-IDS2018 using cloud computing’, 2019, pp 0033– 0036 [66] P Lin, K Ye, and C.-Z Xu, ‘Dynamic network anomaly detection system by using deep learning techniques’, 2019, pp 161–176 [67] R I Farhan, A T Maolood, and N Hassan, ‘Performance analysis of flow- based attacks detection on CSE-CIC-IDS2018 dataset using deep learning’, Indones J Electr Eng Comput Sci., vol 20, no 3, pp 1413– 1418, 2020 [68] J Kim, J Kim, H Kim, M Shim, and E Choi, ‘CNN-based network intrusion detection against denial-of-service attacks’, Electronics, vol 9, no 6, p 916, 2020 [69] E Hodo et al., ‘Threat analysis of IoT networks using artificial neural network intrusion detection system’, 2016, pp 1–6 [70] S Alhaidari and M Zohdy, ‘Feature Pruning Method for Hidden Markov Model-Based Anomaly Detection: A Comparison of Performance’, Jordanian J Comput Inf Technol JJCIT, vol 4, no 03, 2018 [71] M Alhanahnah, Q Lin, Q Yan, N Zhang, and Z Chen, ‘Efficient signature generation for classifying cross-architecture IoT malware’, in IEEE Conference on Communications and Network Security (CNS), 2018, pp 1–9 [72] E M Karanja, S Masupe, and M G Jeffrey, ‘Analysis of internet of things malware using image texture features and machine learning techniques’, Internet Things, vol 9, p 100153, 2020 [73] M Shobana and S Poonkuzhali, ‘A novel approach to detect IoT malware by system calls using Deep learning techniques’, 2020, pp 1–5 [74] H.-T Nguyen, D.-H Nguyen, Q.-D Ngo, V.-H Tran, and V.-H Le, ‘Towards a rooted subgraph classifier for IoT botnet detection’, 2019, pp 247– 251 [75] V G T da Costa, S Barbon, R S Miani, J J P C Rodrigues, and B B Zarpelao, ‘Detecting mobile botnets through machine learning and system calls analysis’, May 2017, pp 1–6 doi: 10.1109/ICC.2017.7997390 [76] A Al Shorman, H Faris, and I Aljarah, ‘Unsupervised intelligent system based on one class support vector machine and Grey Wolf optimization for IoT botnet detection’, J Ambient Intell Humaniz Comput., vol 11, no 7, pp 2809–2825, 2020 [77] H Bahşi, S Nõmm, and F B La Torre, ‘Dimensionality reduction for machine learning based iot botnet detection’, 2018, pp 1857–1862 [78] Y N Soe, Y Feng, P I Santosa, R Hartanto, and K Sakurai, ‘Machine Learning-Based IoT-Botnet Attack Detection with Sequential Architecture’, Sensors, vol 20, no 16, p 4372, 2020 [79] C D McDermott, F Majdani, and A V Petrovski, ‘Botnet detection in the internet of things using deep learning approaches’, 2018, pp 1–8 [80] S Sriram, R Vinayakumar, M Alazab, and K Soman, ‘Network Flow based IoT Botnet Attack Detection using Deep Learning’, 2020, pp 189–194 [81] N Koroniotis, N Moustafa, E Sitnikova, and B Turnbull, ‘Towards the development of realistic botnet dataset in the internet of things for network forensic analytics: Bot-iot dataset’, Future Gener Comput Syst., vol 100, pp 779–796, 2019 [82] ‘Debian Squeeze and Wheezy images for QEMU’ https://people.debian.org/~aurel32/qemu/ (accessed May 28, 2019) [83] F Bellard, ‘QEMU, a fast and portable dynamic translator’, ATEC ’05 Proc Annu Conf USENIX Annu Tech- Nical Conf., pp 41–44, 2005 [84] ‘Toolchains - eLinux.org’ https://elinux.org/Toolchains (accessed Mar 12, 2020) [85] G Verma, M Imdad, S Banarwal, H Verma, and A Sharma, ‘Development of Cross-Toolchain and Linux Device Driver’, in System and Architecture, Springer, 2018, pp 175–185 [86] ‘lsof(8) Linux manual page’ http://man7.org/linux/manpages/man8/lsof.8.html (accessed Apr 13, 2020) [87] ‘top(1) Linux manual page’ http://man7.org/linux/manpages/man1/top.1.html (accessed Apr 13, 2020) [88] ‘strace(1) - Linux manual page’ http://man7.org/linux/manpages/man1/strace.1.html (accessed Apr 13, 2020) [89] ‘ldd(1) Linux manual page’ http://man7.org/linux/manpages/man1/ldd.1.html (accessed Apr 14, 2020) [90] T T Group, ‘Tcpdump/Libpcap public repository’ https://www.tcpdump.org (accessed Mar 25, 2020) [91] M A Aydın, A H Zaim, and K G Ceylan, ‘A hybrid intrusion detection system design for computer network security’, Comput Electr Eng., vol 35, no 3, pp 517–526, 2009 [92] R Agarwal and M V Joshi, ‘PNrule: A new framework for learning classifier models in data mining (a case-study in network intrusion detection)’, 2001, pp 1–17 [93] A A Gendreau and M Moorman, ‘Survey of Intrusion Detection Systems towards an End to End Secure Internet of Things’, in 2016 IEEE 4th International Conference on Future Internet of Things and Cloud (FiCloud), Aug 2016, pp 84–90 doi: 10.1109/FiCloud.2016.20 [94] S Edwards and I Profetis, ‘Hajime: Analysis of a decentralized internet worm for IoT devices’, Rapidity Netw., vol 16, 2016 [95] B Vignau, R Khoury, and S Hallé, ‘10 Years of IoT Malware: a FeatureBased Taxonomy’, 2019, pp 458–465 [96] N.-P Tran, N.-B Nguyen, Q.-D Ngo, and V.-H Le, ‘Towards malware detection in routers with C500-toolkit’, May 2017, pp 31–35 doi: 10.1109/ICoICT.2017.8074691 [97] L K Yan and H Yin, ‘DroidScope: Seamlessly Reconstructing the OS and Dalvik Semantic Views for Dynamic Android Malware Analysis’, 2012, pp 569–584 [98] T Bläsing, L Batyuk, A.-D Schmidt, S A Camtepe, and S Albayrak, ‘An android application sandbox system for suspicious software detection’, 2010, pp 55–62 [99] ‘VirusTotal - Free Online Virus, Malware and URL Scanner’ https://www.virustotal.com/en/ (accessed Apr 25, 2018) [100] H V Le, ‘ndhpro/V-IoT-Sandbox’, May 14, 2020 https://github.com/ndhpro/V-IoT-Sandbox (accessed May 14, 2020) [101] A Marzano et al., ‘The evolution of bashlite and mirai iot botnets’, 2018, pp 00813–00818 [102] M Antonakakis et al., ‘Understanding the mirai botnet’, 2017, pp 1093– 1110 [103] B Kolosnjaji, A Zarras, G Webster, and C Eckert, ‘Deep learning for classification of malware system call sequences’, 2016, pp 137–149 [104] P B Galvin, G Gagne, and A Silberschatz, Operating system concepts John Wiley & Sons, 2003 [105] H.-V Le and Q.-D Ngo, ‘V-Sandbox for Dynamic Analysis IoT Botnet’, IEEE Access, vol 8, pp 145768–145786, 2020 [106] B Rozemberczki and R Sarkar, ‘Characteristic functions on graphs: Birds of a feather, from statistical descriptors to parametric models’, International Conference on Information & Knowledge Management, 2020, pp 1325– 1334 doi: 10.1145/3340531.3411866 [107] C Cai and Y Wang, ‘A simple yet effective baseline for non-attributed graph classification’, ICLR Workshop Represent Learn Graphs Manifolds, 2019 [108] A Narayanan, M Chandramohan, R Venkatesan, L Chen, Y Liu, and S Jaiswal, ‘graph2vec: Learning distributed representations of graphs’, ArXiv Prepr ArXiv170705005, 2017 [109] ‘VirusShare.com’ https://virusshare.com/ (accessed Jun 05, 2019) [110] B Rozemberczki, ‘The reference implementation of FEATHER from the CIKM ’20 paper’, Feb 11, 2021 https://github.com/benedekrozemberczki/FEATHER (accessed Mar 23, 2021) [111] Chen-Cai-OSU, ‘The implementation of paper “A simple yet effective baseline for non-attribute graph classification”’, Jan 11, 2021 https://github.com/Chen-Cai-OSU/LDP (accessed Mar 23, 2021) [112] B Rozemberczki, ‘A parallel implementation of “graph2vec: Learning Distributed Representations of Graphs” (MLGWorkshop 2017).’, Mar 23, 2021 https://github.com/benedekrozemberczki/graph2vec (accessed Mar 23, 2021) [113] ‘scikit-learn: machine learning in Python — scikit-learn 0.20.2 documentation’ https://scikit-learn.org/stable/ (accessed Jan 16, 2019) [114] M Ahmadi, D Ulyanov, S Semenov, M Trofimov, and G Giacinto, ‘Novel feature extraction, selection and fusion for effective malware family classification’, 2016, pp 183–194 [115] B Kolosnjaji, G Eraisha, G Webster, A Zarras, and C Eckert, ‘Empowering convolutional networks for malware classification and analysis’, 2017, pp 3838–3845 [116] U Bayer, P M Comparetti, C Hlauschek, C Kruegel, and E Kirda, ‘Scalable, behavior-based malware clustering.’, 2009, vol 9, pp 8–11 [117] P Indyk and R Motwani, ‘Approximate nearest neighbors: towards removing the curse of dimensionality’, 1998, pp 604–613 [118] A Mohaisen and O Alrawi, ‘Unveiling zeus: automated classification of malware samples’, 2013, pp 829–832 [119] A Dhammi and M Singh, ‘Behavior analysis of malware using machine learning’, 2015, pp 481–486 [120] A Pektaş and T Acarman, ‘Classification of malware families based on runtime behaviors’, J Inf Secur Appl., vol 37, pp 91–100, 2017 [121] A Mohaisen, O Alrawi, and M Mohaisen, ‘Amal: High-fidelity, behavior- based automated malware analysis and classification’, Comput Secur., vol 52, pp 251–266, 2015 [122] R Islam, R Tian, L M Batten, and S Versteeg, ‘Classification of malware based on integrated static and dynamic features’, J Netw Comput Appl., vol 36, no 2, pp 646–656, 2013 [123] W Han, J Xue, Y Wang, L Huang, Z Kong, and L Mao, ‘MalDAE: Detecting and explaining malware based on correlation and fusion of static and dynamic characteristics’, Comput Secur., vol 83, pp 208–233, 2019 [124] W Han, J Xue, Y Wang, Z Liu, and Z Kong, ‘MalInsight: A systematic profiling based malware detection framework’, J Netw Comput Appl., vol 125, pp 236–250, 2019 [125] J Saxe and K Berlin, ‘Deep Neural Network Based Malware Detection Using Two Dimensional Binary Program Features’, ArXiv150803096 Cs, Aug 2015, Accessed: Aug 22, 2018 [Online] Available: http://arxiv.org/abs/1508.03096 [126] A Damodaran, F Di Troia, C A Visaggio, T H Austin, and M Stamp, ‘A comparison of static, dynamic, and hybrid analysis for malware detection’, J Comput Virol Hacking Tech., vol 13, no 1, pp 1–12, 2017 [127] K Grosse, N Papernot, P Manoharan, M Backes, and P McDaniel, ‘Adversarial examples for malware detection’, 2017, pp 62–79 [128] S Tobiyama, Y Yamaguchi, H Shimada, T Ikuse, and T Yagi, ‘Malware Detection with Deep Neural Network Using Process Behavior’, in 2016 IEEE 40th Annual Computer Software and Applications Conference (COMPSAC), Atlanta, GA, USA, Jun 2016, pp 577–582 doi: 10.1109/COMPSAC.2016.151 [129] I Firdausi, A Erwin, and A S Nugroho, ‘Analysis of machine learning techniques used in behavior-based malware detection’, 2010, pp 201–203 [130] F Ahmed, H Hameed, M Z Shafiq, and M Farooq, ‘Using spatiotemporal information in API calls with machine learning algorithms for malware detection’, in Proceedings of the 2nd ACM workshop on Security and artificial intelligence - AISec ’09, Chicago, Illinois, USA, 2009, p 55 doi: 10.1145/1654988.1655003 [131] T Shibahara, T Yagi, M Akiyama, D Chiba, and T Yada, ‘Efficient dynamic malware analysis based on network behavior using deep learning’, 2016, pp 1–7 [132] M Neugschwandtner, P M Comparetti, G Jacob, and C Kruegel, ‘Forecast: skimming off the malware cream’, 2011, pp 11–20 [133] U Bayer, E Kirda, and C Kruegel, ‘Improving the efficiency of dynamic malware analysis’, 2010, pp 1871–1878 [134] R Pascanu, J W Stokes, H Sanossian, M Marinescu, and A Thomas, ‘Malware classification with recurrent networks’, 2015, pp 1916–1920 [135] S S Hansen, T M T Larsen, M Stevanovic, and J M Pedersen, ‘An approach for detection and family classification of malware based on behavioral analysis’, 2016, pp 1–5 [136] H V Le, Q D Ngo, and V H Le, ‘Iot Botnet Detection Using System Call Graphs and One-Class CNN Classification’, Int J Innov Technol Explor Eng., vol 8, no 10, pp 937–942, Aug 2019, doi: 10.35940/ijitee.J9091.0881019 [137] I Indre and C Lemnaru, ‘Detection and prevention system against cyber attacks and botnet malware for information systems and Internet of Things’, 2016, pp 175–182 [138] H.-S Ham, H.-H Kim, M.-S Kim, and M.-J Choi, ‘Linear SVM-based android malware detection for reliable IoT services’, J Appl Math., vol 2014, 2014 [139] I Sharafaldin, A H Lashkari, and A A Ghorbani, ‘Toward generating a new intrusion detection dataset and intrusion traffic characterization.’, in ICISSP, 2018, pp 108–116 [140] G Karatas, O Demir, and O K Sahingoz, ‘Increasing the Performance of Machine Learning-Based IDSs on an Imbalanced and Up-to-Date Dataset’, IEEE Access, vol 8, pp 32150–32162, 2020 ... DỤC VÀ ĐÀO TẠO VIỆN HÀN LÂM KHOA HỌC VÀ CÔNG NGHỆ VIỆT NAM HỌC VIỆN KHOA HỌC VÀ CÔNG NGHỆ - Lê Hải Việt NGHIÊN CỨU XÂY DỰNG HỆ THỐNG V-SANDBOX TRONG PHÂN TÍCH VÀ PHÁT HIỆN MÃ ĐỘC IOT. .. nguyên nghiên cứu sinh thực 3.2 Phạm vi nghiên cứu Trong phạm vi nghiên cứu mình, nghiên cứu sinh lựa chọn nghiên cứu giải toán phát mã độc, cung cấp khả phân biệt tập tin thực thi mã độc (malware)... cận phát mã độc IoT Botnet với phạm vi nghiên cứu sau: - Lựa chọn nghiên cứu phát mẫu mã độc IoT Botnet xuất thiết bị IoT hạn chế tài nguyên với lý do: có nhiều dịng mã độc lây nhiễm thiết bị IoT