1. Trang chủ
  2. Luận Văn - Báo Cáo

(Luận văn) phát hiện sớm mã độc iot botnet trên các thiết bị iot

75 0 0
(Luận văn) phát hiện sớm mã độc iot botnet trên các thiết bị iot

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG lu an va n NGUYỄN VIỆT DŨNG p ie gh tn to nl w PHÁT HIỆN SỚM MÃ ĐỘC IOT BOTNET d oa TRÊN CÁC THIẾT BỊ IOT an lu nf va LUẬN VĂN THẠC SỸ KỸ THUẬT lm ul (Theo định hướng ứng dụng) z at nh oi z m co l gm @ an Lu HÀ NỘI – 2021 n va ac th si HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG lu NGUYỄN VIỆT DŨNG an n va tn to PHÁT HIỆN SỚM MÃ ĐỘC IOT BOTNET p ie gh TRÊN CÁC THIẾT BỊ IOT oa nl w CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN d MÃ SỐ: 8.48.01.04 nf va an lu z at nh oi lm ul LUẬN VĂN THẠC SỸ KỸ THUẬT (HỆ THỐNG THÔNG TIN) NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS TS PHẠM VĂN CƯỜNG z m co l gm @ an Lu HÀ NỘI – 2021 n va ac th si i BẢN CAM ĐOAN Tôi cam đoan thực việc kiểm tra mức độ tương đồng nội dung luận văn qua phần mềm DoIT cách trung thực đạt kết mức độ tương đồng 5% toàn nội dung luận văn Bản luận văn kiểm tra qua phần mềm cứng luận văn nộp để bảo vệ trước hội đồng Nếu sai xin chịu hình thức kỷ luật theo quy định hành Học viện Hà Nội, ngày tháng năm 2021 lu an HỌC VIÊN CAO HỌC va n (Ký ghi rõ họ tên) p ie gh tn to d oa nl w Nguyễn Việt Dũng nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si ii LỜI CẢM ƠN Để hoàn thành luận văn thạc sĩ này, đầu tiên, em xin gửi lời cảm ơn sâu sắc đến thầy Phó Giáo sư, Tiến sỹ Phạm Văn Cường, người định hướng, trực tiếp dẫn dắt hướng dẫn cho em suốt thời gian thực đề tài nghiên cứu khoa học Đồng thời, em cảm ơn thầy cô Khoa Sau đại học, Khoa Công nghệ Thông tin – Học viện Cơng nghệ Bưu Viễn thơng giúp đỡ, tạo điều kiện thuận lợi cho em trình học tập Học viện trình làm luận văn thạc sỹ lu an Trong nội dung luận văn tránh khỏi hạn chế thiếu n va sót, em mong muốn nhận nhiều đóng góp quý báu đến từ quý tn to thầy cô, bạn bè, đồng nghiệp để nội dung nghiên cứu hoàn thiện Sau cùng, em xin gửi lời cảm ơn đến gia đình, người thân bạn bè p ie gh có ý nghĩa thiết thực áp dụng thực tế nl w bên cạnh ủng hộ, động viên em sống thời gian d oa hoàn thành luận văn thạc sĩ nf va an lu Xin chân thành cảm ơn tất người! z at nh oi lm ul Hà Nội, ngày tháng năm 2021 Người thực z l gm @ Nguyễn Việt Dũng m co an Lu n va ac th si iii MỤC LỤC MỤC LỤC .ii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC HÌNH ẢNH v DANH MỤC BẢNG BIỂU vi MỞ ĐẦU CH NG 1: T NG QUAN VỀ PH T HI N SỚM M ĐỘC TRÊN CÁC THIẾT BỊ IOT 1.1 T ng quan thiết bị IoT IoT Botnet 1.1.1 T ng quan thiết bị IoT lu 1.1.2 T ng quan mã độc IoT Botnet an 1.2 Các nghiên cứu liên quan phát sớm mã độc 17 va n 1.2.1 Phân tích tĩnh 18 1.3 Mơ tả tốn 23 gh tn to 1.2.2 Phân tích động 20 p ie CH NG 2: X Y D NG M H NH HỌC M Y PH T HI N SỚM M ĐỘC IOT BOTNET 25 2.1 T ng quan mơ hình học máy cộng tác 25 w oa nl 2.2 Mơ hình ứng dụng 28 d 2.2.1 Bộ phận thu thập liệu 30 an lu 2.2.2 Bộ phận tiền xử lý chuẩn hóa liệu 34 nf va 2.2.3 Bộ phận trích chọn đặc trưng 39 2.2.4 Bộ t ng hợp dự đoán 47 NG 3: TH C NGHI M V Đ NH GI 49 lm ul CH z at nh oi 3.1 Bộ liệu .49 3.2 Môi trường triển khai thực nghiệm 55 3.3 Kết thực nghiệm 55 z 3.4 Đánh giá kết thực nghiệm .62 @ gm KẾT LUẬN VÀ KIẾN NGHỊ 63 m co l DANH MỤC TÀI LI U THAM KHẢO 65 an Lu n va ac th si iv DANH MỤC TỪ VIẾT TẮT Từ viết tắt Viết đầy đủ (Tiếng Anh) Viết đầy đủ (Tiếng Việt) C&C Command and Control server Máy chủ lệnh điều khiển CFG Control Flow Graph Đồ thị luồng điều khiển CPU Central Processing Unit Bộ xử lý trung tâm Distributed Denial of Service DDoS attack Tấn công từ chối dịch vụ phân tán Deep Learning Học sâu DNN Deep Neural Networ Mạng nơ-ron học sâu DNS Domain Name System Hệ thống tên miền Decision Tree Thuật toán định DL lu an n va tn to DT gh Linux Executable and Linkable Định dạng tệp tin thực thi liên ELF kết động Linux Internet of Things Vạn vật kết nối Internet p ie Format w IoT nl Cơ quan chuyên trách công oa nghệ thông tin truyền thông d ITU International Telecommunication Union an lu Liên hiệp quốc Thuật toán K điểm gần ML Machine Learning Học máy P2P Peer to Peer network Mạng ngang hàng PSI Printable String Information Thơng tin có ý nghĩa RF Random Forest Thuật toán rừng ngẫu nhiên nf va K-nearest neighbors KNN z at nh oi lm ul Support Vector Machine gm SVM Mạng nơ-ron hồi quy @ Recurrent Neural Network z RNN Thuật toán máy hỗ trợ vector m co l an Lu n va ac th si v DANH MỤC HÌNH ẢNH H nh Số lượng mã độc botnet thiết bị IoT giai đoạn 2016 – 2018 H nh Các bước v ng đời mã độc IoT Botnet 10 H nh Mơ hình phát IoT Botnet Haddad Pajouh [31 20 H nh Mơ hình hợp sớm 26 Hình 2.2 Mơ hình hợp muộn 27 H nh Mơ hình hợp trung gian 27 Hình 2.4 Kiến trúc mơ hình ứng dụng 29 lu an n va H nh Kiến trúc V-Sandbox [40] 32 H nh Dữ liệu lời gọi hệ thống thu thập V-Sandbox 33 H nh Dữ liệu luồng mạng thu thập V-Sandbox 33 H nh Dữ liệu sử dụng tài nguyên hệ thống thu thập V-Sandbox 34 H nh Minh họa đồ thị lời gọi hàm 36 tn to Hình 3.1 Minh họa thống kê tập liệu luồng mạng 50 Hình 3.2 Minh họa thống kê tập liệu lời gọi hệ thống 50 gh ie Hình 3.3 Minh họa thống kê tập liệu sử dụng hiệu hệ thống 50 p H nh Thống kê số lượng lời gọi hệ thống tệp lành tính 51 w Thống kê số lượng gói tin mạng IoT Botnet 52 oa nl H nh H nh Thống kê số lượng lời gọi hệ thống mã độc IoT Botnet 51 Thống kê số lượng gói tin mạng tệp lành tính 52 H nh Thống kê yêu cầu chiếm dụng tài nguyên hệ thống IoT Botnet 53 H nh Thống kê yêu cầu chiếm dụng tài nguyên hệ thống tệp lành tính 53 d H nh nf va an lu lm ul Hình 3.10 Bộ đặc trưng liệu luồng mạng chuẩn hóa theo mô tả đặc trưng liệu mạng CSE-CIC-IDS2018 54 z at nh oi Hình 3.11 Bộ đặc trưng liệu sử dụng tài nguyên chuẩn hóa theo đầu V-Sandbox 54 Hình 3.12 Bộ đặc trưng liệu lời gọi hệ thống trích xuất đặc trưng từ đồ thị SCG thành vector đặc trưng 54 z Hình 3.13 Kết đánh giá phương án kết hợp thuật toán học máy 56 Q trình phân tích tệp chứa mã độc 61 H nh Q trình phân tích tệp lành tính 61 m co l gm @ H nh an Lu n va ac th si vi DANH MỤC BẢNG BIỂU B ng Phân loại thiết bị IoT khả tích hợp giải pháp bảo mật [5 B ng 2.1 Các tính mơ trường Sandbox 30 B ng Mô tả đặc trưng CSE-CIC sử dụng 37 B ng Đặc trưng hiệu hệ thống V-Sandbox 38 B ng Kết lựa chọn đặc trưng liệu luồng mạng 41 B ng 2.5 Kết thực nghiệm trích chọn đặc trưng luồng mạng 42 B ng Kết lựa chọn đặc trưng liệu sử dụng tài nguyên hệ thống 43 B ng Kết thực nghiệm trích chọn đặc trư liệu sử dụng tài nguyên thiết bị 46 B ng Mô tả liệu 49 lu B ng 3.2 Độ xác phân loại học máy đơn lẻ huấn luyện liệu kết ký t ng hợp dự đoán 56 an n va p ie gh tn to d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si lu an n va p ie gh tn to d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si MỞ ĐẦU Với phát triển nhanh chóng thiết bị IoT giới số lượng lẫn chức năng, môi trường hoạt động, loại mã độc IoT Botnet tiến hố mạnh mẽ khó bị phát phân tích giúp trì hoạt động lây nhiễm, công mạng Nhiều loại mã độc IoT Botnet gần thiết kế để tránh bị phát giải pháp bảo mật truyền thống có hạn phần mềm phát xử lý mã độc (Anti-virus), hệ thống phát xử lý xâm nhập mạng (IDS/IPS), lọc gói tin tường lửa thông thường (Firewall) Các giải pháp bảo mật truyền thống thực phát mạng lưới IoT lu an Botnet chúng giai đoạn thực thi công từ chối dịch vụ phân tán n va (DDoS) gây hậu thấy rõ gần 400.000 thiết bị IoT bị lây nhiễm tn to mã độc Mirai vụ công DDoS ghi nhận với quy mô lớn Về bản, phương pháp phát mã độc dựa hai phương pháp p ie gh thực mã độc Mirai có lưu lượng lên đến 1.2 Tbps vào năm 2016 phân tích tĩnh động Tuy nhiên, hạn chế lớn phân tích tĩnh khó có w oa nl thể phát sớm mã độc IoT botnet, luận văn lựa chọn sử dụng d phương pháp phân tích động để phát sớm mã độc IoT Botnet Do đó, lu an luận văn thực đề tài “Phát sớm mã độc IoT botnet thiết bị IoT” nf va nhằm tập trung tìm hiểu, ứng dụng thực nghiệm phương pháp hiệu lm ul phát sớm mã độc IoT botnet, góp phần đảm bảo an ninh, an tồn hệ thống z at nh oi mạng nói chung hệ thống mạng thiết bị IoT nói riêng z m co l gm @ an Lu n va ac th si 53 Về thông tin yêu cầu sử dụng tài nguyên hệ thống, hình 3.8 cho thấy mẫu IoT Botnet thường có lượng yêu cầu sử dụng tài nguyên hệ thống cao, lên đến 100 yêu cầu, chủ yếu lượng lớn tập trung ngưỡng 20 yêu cầu sử dụng tài nguyên Hình 3.9 thể tệp lành tính thường khơng yêu cầu sử dụng tài nguyên nhiều mẫu IoT Botnet, mẫu có 20 yêu cầu sử dụng tài nguyên hệ thống lu an n va p ie gh tn to d oa nl w nf va an lu H nh 3.8 Thống kê yêu cầu chiếm dụng tài nguyên hệ thống IoT Botnet z at nh oi lm ul z m co l gm @ an Lu H nh 3.9 Thống kê yêu cầu chiếm dụng tài nguyên hệ thống tệp lành tính n va ac th si 54 Tập liệu sau đưa vào phận tiền xử lý chuẩn hóa có đặc trưng biểu diễn hình 3.10 - 3.12 lu Hình 3.10 Bộ đặc trưng liệu luồng mạng chuẩn hóa theo mơ tả đặc trưng an n va liệu mạng CSE-CIC-IDS2018 p ie gh tn to d oa nl w an lu nf va Hình 3.11 Bộ đặc trưng liệu sử dụng tài nguyên chuẩn hóa theo đầu V-Sandbox z at nh oi lm ul z m co l gm @ thành vector đặc trưng an Lu Hình 3.12 Bộ đặc trưng liệu lời gọi hệ thống trích xuất đặc trưng từ đồ thị SCG n va ac th si 55 Môi t ường triển khai thực nghiệm Quá trình triển khai thực nghiệm để đánh giá mơ hình đề xuất tiến hành máy chủ với thông số kỹ thuật gồm: Bộ vi xử lý AMD Ryzen 3.6 GHz, cứng lưu trữ HDD dung lượng 1TB, nhớ DDR3 32 GB Luận văn tìm hiểu sử dụng thuật toán học máy thường sử dụng cho toán phát mã độc Bagging, ADABoost, Random Forest, GradientBoosting hàm hợp khác biểu hay hồi quy tuyến tính để chọn phương pháp tối ưu Sử dụng phân loại hợp tăng khả t ng hợp kết phân loại xây dựng thành phần học yếu lu an để đưa kết Các thuật toán học máy đơn lẻ thử nghiệm Bagging, Random va Forest, ADABoost, GradientBoosting, cài đặt thông qua ngôn ngữ Python n tn to với thư viện Scikit-learn (Sklearn) [50] Luận văn sử dụng phân loại t ng hợp Bagging, Random p ie gh 3.3 Kết qu thực nghiệm w Forest, ADABoost, GradientBoosting tạo t hợp 64 cách kết hợp thuật toán oa nl hàm hợp bầu chọn, hồi quy tuyến tính để đánh giá hiệu mơ hình d học máy cộng tác Từ cách kết hợp phân loại ph biến với sử dụng lu nf va an phương pháp hợp thu 128 kết thử nghiệm đánh giá độ xác việc phát mã độc IoT Botnet cho mơ hình ứng dụng mơ tả Hình lm ul 3.13 Bảng 3.2 z at nh oi Dựa vào kết thu mô tả hình, ta nhận thấy hàm hợp bầu chọn có hiệu suất tốt tương đương với hàm hồi quy tuyến tính ba thuật tốn phân loại học máy đơn lẻ sử dụng random forest tập liệu thuộc tính z gm @ khác cho kết tốt với độ xác ACC = 99.23% sử dụng phương pháp bầu chọn Các mô hình học máy luận văn điều chỉnh tham số l co toàn liệu tiến hành đánh giá mơ hình ứng dụng dựa số thu m Kết đánh giá mơ hình ứng dụng liệu trình bày bảng an Lu 3.2 n va ac th si 56 lu Hình 3.13 Kết đánh giá phương án kết hợp thuật toán học máy an Độ xác phân loại học máy đơn lẻ huấn luyện liệu n va B ng tn to kết t ng hợp dự đoán Độ ch nh x c hân gh iệu củ mơ hình (ACC - %) p ie Thu t t D D n iệu sử dụng iệu nl w STT id tài oa uồng nguyên d ng iệu Hồi ời gọi Bầu quy hệ chọn tuyến thống tính Bagging + Bagging + Bagging 89.97 98.84 97.2 99.04 99.04 Bagging + Bagging + Random Forest 89.97 98.84 97.78 99.08 99.18 Bagging + Bagging + AdaBoost 89.97 98.84 97.2 98.51 98.79 Bagging + Bagging + Gradient Tree 89.97 98.84 97.69 98.89 98.84 89.97 99.08 97.2 98.99 99.08 z 99.08 97.78 99.23 99.18 97.2 98.41 98.99 97.69 98.89 98.75 98.41 97.3 nf va an lu thiết ị D z at nh oi lm ul Boosting Bagging + Random Forest + Bagging Bagging + Random Forest + Random Bagging + Random Forest + Gradient 99.08 89.97 98.65 97.2 an Lu Bagging + AdaBoost + Bagging 89.97 m 99.08 co Tree Boosting 89.97 l Bagging + Random Forest + AdaBoost gm 89.97 @ Forest n va ac th si 57 Độ ch nh x c hân id iệu củ mơ hình (ACC - %) Thu t t STT D D n iệu sử dụng iệu tài uồng nguyên ng thiết ị D iệu Hồi ời gọi Bầu quy hệ chọn tuyến thống tính 10 Bagging + AdaBoost + Random Forest 89.97 98.65 97.78 98.22 98.65 11 Bagging + AdaBoost + AdaBoost 89.97 98.65 97.2 92.29 93.35 12 Bagging + AdaBoost + Gradient Tree 89.97 98.65 97.69 98.26 97.93 89.97 98.65 97.2 98.94 98.89 89.97 98.65 97.78 98.75 98.99 89.97 98.65 97.2 98.84 98.7 89.97 98.65 97.69 98.7 98.89 90.07 98.84 97.2 99.04 99.04 90.07 98.84 97.78 99.08 99.18 90.07 98.84 97.2 98.51 98.79 90.07 98.84 97.69 98.89 98.84 90.07 99.08 97.2 98.99 99.08 z 99.08 97.78 99.23 99.18 97.2 98.41 98.99 97.69 98.89 98.75 lu Boosting an 13 Bagging + Gradient Tree Boosting + n va Bagging Bagging + Gradient Tree Boosting + Random Forest Bagging + Gradient Tree Boosting + AdaBoost p 15 ie gh tn to 14 16 Bagging + Gradient Tree Boosting + w oa nl Gradient Tree Boosting Random Forest + Bagging + Bagging 18 Random Forest + Bagging + Random d 17 nf va an lu Forest Random Forest + Bagging + AdaBoost 20 Random Forest + Bagging + Gradient Tree Boosting Random Forest + Random Forest + Bagging 22 z at nh oi 21 lm ul 19 Random Forest + Random Forest + Random Forest + Random Forest + Random Forest + Random Forest + Random Forest + AdaBoost + Bagging 99.08 90.07 98.65 an Lu 25 90.07 m Gradient Tree Boosting 99.08 co 24 90.07 l AdaBoost gm 23 90.07 @ Random Forest 97.2 98.36 97.3 n va ac th si 58 Độ ch nh x c hân id iệu củ mơ hình (ACC - %) Thu t t STT D D n sử dụng iệu tài uồng nguyên ng 26 Random Forest + AdaBoost + Random Forest lu 27 Random Forest + AdaBoost + AdaBoost 28 Random Forest + AdaBoost + Gradient an Tree Boosting n va 29 Random Forest + Gradient Tree 30 gh tn to Boosting + Bagging Random Forest + Gradient Tree Boosting + Random Forest ie Random Forest + Gradient Tree p 31 Boosting + AdaBoost thiết ị D iệu Hồi ời gọi Bầu quy hệ chọn tuyến thống tính 90.07 98.65 97.78 98.22 98.65 90.07 98.65 97.2 92.33 93.35 90.07 98.65 97.69 98.26 97.93 90.07 98.65 97.2 98.94 98.89 90.07 98.65 97.78 98.75 98.99 90.07 98.65 97.2 98.84 98.7 90.07 98.65 97.69 98.7 98.89 89.92 98.84 97.2 98.94 98.99 89.92 98.84 97.78 99.08 99.13 w Random Forest + Gradient Tree oa nl 32 iệu Boosting + Gradient Tree Boosting 34 AdaBoost + Bagging + Random Forest 35 AdaBoost + Bagging + AdaBoost 89.92 98.84 97.2 98.84 98.75 36 AdaBoost + Bagging + Gradient Tree 89.92 98.84 97.69 98.94 98.75 89.92 99.08 97.2 98.94 99.08 89.92 99.08 97.78 98.99 99.04 99.08 97.2 99.08 99.04 97.69 98.75 98.55 97.49 97.11 97.78 98.31 98.02 97.2 98.84 98.26 nf va an lu AdaBoost + Bagging + Bagging lm ul d 33 Boosting z at nh oi 37 AdaBoost + Random Forest + Bagging 38 AdaBoost + Random Forest + Random 40 AdaBoost + Random Forest + Gradient 89.92 99.08 89.92 98.65 42 AdaBoost + AdaBoost + Random Forest 89.92 98.65 43 AdaBoost + AdaBoost + AdaBoost 89.92 98.65 97.2 an Lu AdaBoost + AdaBoost + Bagging m 41 co l Tree Boosting 89.92 gm AdaBoost + Random Forest + AdaBoost @ 39 z Forest n va ac th si 59 Độ ch nh x c hân id iệu củ mơ hình (ACC - %) Thu t t STT D D n sử dụng iệu tài uồng nguyên ng 44 AdaBoost + AdaBoost + Gradient Tree Boosting 45 AdaBoost + Gradient Tree Boosting + lu Bagging an 46 AdaBoost + Gradient Tree Boosting + n va Random Forest AdaBoost + Gradient Tree Boosting + AdaBoost AdaBoost + Gradient Tree Boosting + Gradient Tree Boosting thiết ị D iệu Hồi ời gọi Bầu quy hệ chọn tuyến thống tính 89.92 98.65 97.69 97.83 97.73 89.92 98.65 97.2 98.94 98.89 89.92 98.65 97.78 98.94 98.99 89.92 98.65 97.2 98.65 98.6 89.92 98.65 97.69 99.04 98.94 89.97 98.84 97.2 99.04 99.04 89.97 98.84 97.78 99.04 99.18 89.97 98.84 97.2 98.46 98.79 89.97 98.84 97.69 98.84 98.79 89.97 99.08 97.2 98.99 99.08 89.97 99.08 97.78 99.18 99.18 97.2 98.36 98.99 97.69 98.84 98.7 p 48 ie gh tn to 47 iệu 49 Gradient Tree Boosting + Bagging + w 50 oa nl Bagging Gradient Tree Boosting + Bagging + d 51 an lu Random Forest Gradient Tree Boosting + Bagging + Gradient Tree Boosting + Bagging + Gradient Tree Boosting Gradient Tree Boosting + Random Forest + Bagging 54 z at nh oi 53 lm ul 52 nf va AdaBoost Gradient Tree Boosting + Random z Gradient Tree Boosting + Random Gradient Tree Boosting + Random Gradient Tree Boosting + AdaBoost + 99.08 89.97 98.65 an Lu 57 89.97 m Forest + Gradient Tree Boosting 99.08 co 56 89.97 l Forest + AdaBoost gm 55 @ Forest + Random Forest 97.2 98.26 97.3 n va ac th si 60 Độ ch nh x c hân id iệu củ mơ hình (ACC - %) Thu t t STT D D n iệu sử dụng iệu tài uồng nguyên ng thiết ị D iệu Hồi ời gọi Bầu quy hệ chọn tuyến thống tính Bagging 58 Gradient Tree Boosting + AdaBoost + Random Forest lu 59 Gradient Tree Boosting + AdaBoost + an AdaBoost n va 60 Gradient Tree Boosting + AdaBoost + 61 gh tn to Gradient Tree Boosting Gradient Tree Boosting + Gradient Tree Boosting + Bagging ie Gradient Tree Boosting + Gradient Tree p 62 Boosting + Random Forest oa nl Gradient Tree Boosting + Gradient Tree Boosting + AdaBoost 97.78 98.02 98.65 89.97 98.65 97.2 92.48 93.15 89.97 98.65 97.69 98.22 97.93 89.97 98.65 97.2 98.94 98.89 89.97 98.65 97.78 98.7 98.99 89.97 98.65 97.2 98.84 98.7 89.97 98.65 97.69 98.65 98.84 d Gradient Tree Boosting + Gradient Tree an lu 64 98.65 w 63 89.97 Boosting + Gradient Tree Boosting nf va Mơ hình sau huấn luyện xong đưa vào vận hành thử lm ul hệ thống; luận văn lựa chọn thời gian thu thập liệu theo thời gian thực 03 giây z at nh oi (đảm bảo để thu 300 lời gọi hệ thống, 20 trạng thái tài nguyên thiết bị 50 gói tin luồng mạng phân tích) cho q trình thực thi tệp đầu vào z đưa kết dự đoán phân loại tệp tin Kết chạy thực tế minh họa m co l gm @ Hình 3.14, 3.15 an Lu n va ac th si 61 lu an n va p ie gh tn to d oa nl w H nh 14 Quá trình phân tích tệp chứa mã độc nf va an lu z at nh oi lm ul z m co l gm @ an Lu H nh 15 Quá trình phân tích tệp lành tính n va ac th si 62 Đ nh gi kết qu thực nghiệm Với kết nêu phần đánh giá mơ hình ứng dụng có khả phát xác với ACC = 99.23% Kết thực nghiệm cho thấy hiệu việc sử dụng mơ hình học máy cộng tác cho loại liệu hành vi ph biến phát IoT Botnet Sử dụng Information Gain để trích chọn đặc trưng, cách kết hợp phân lớp sử dụng thuật toán học máy với mơ hình cộng tác góp phần làm tăng hiệu phát mơ hình Mơ hình kết hợp cho kết phát vượt trội mơ hình học máy đơn lẻ Khả phát sớm mơ hình thể đặc điểm lấy phần lu an nhỏ lượng liệu đặc trưng cho hành vi tệp đầu vào xử n va lý để thực phân tích phát mã độc thay phải đợi mã độc thực đầy tn to đủ hành vi để thu thập xử lý với toàn liệu Trong chương này, luận văn trình bày kết thực nghiệm triển khai mô p ie gh Kết u n chư ng nl w hình ứng dụng mơ tả chương với liệu tảng phần cứng, oa phần mềm kèm Kết thử nghiệm cho thấy hiệu vượt trội mô hình d ứng dụng khả ứng dụng vào giải toán phát mã độc IoT nf va an lu Botnet thực tế z at nh oi lm ul z m co l gm @ an Lu n va ac th si 63 KẾT LUẬN VÀ KIẾN NGHỊ Cuộc cách mạng 4.0 bùng n phát triển công nghệ, khoa học kỹ thuật năm vừa qua mang lại nhiều thay đ i lớn với sống nhân loại Trong phát triển đó, xu hướng Vạn vật kết nối IoT n i cách mạnh mẽ trở thành phần thiếu không gian số cá nhân, t chức Các thiết bị IoT đã, tiếp tục sử dụng ph biến t chức, doanh nghiệp nhiều quốc gia giới, có Việt Nam Số lượng thiết bị IoT ngày tăng, tỉ lệ thuận với số lượng mã độc, cơng khai thác đem lại thách thức lớn việc bảo đảm an ninh, an tồn thơng tin lu an Song song với việc phát triển mở rộng nhanh số lượng nhà phát n va triển thiết bị IoT lại khơng có quan tâm đến vấn đề bảo mật khiến thiết bị tn to trở thành mục tiêu dễ dàng cho hành vi cơng, khai thác Do việc gh nghiên cứu, phát triển hình thức bảo vệ thiết bị IoT hoàn toàn cần thiết, p ie góp phần đảm bảo an ninh, an tồn thơng tin môi trường mạng w Trong phạm vi nghiên cứu phân tích, phát mã độc Botnet oa nl thiết bị IoT, luận văn tiến hành tìm hiểu phương pháp phân tích, phát d mã độc Botnet thiết bị IoT ph biến sau xây dựng, ứng dụng an lu thực nghiệm mơ hình học máy cộng tác phân tích, phát mã độc IoT nf va Botnet Cụ thể, luận văn đạt số kết sau: lm ul - Nghiên cứu, lựa chọn, ứng dụng xây dựng thử nghiệm thành công mơ hình học máy cộng tác phân tích phát mã độc IoT Botnet z at nh oi - Thử nghiệm phát mã độc với mô hình học máy đơn lẻ so sánh đánh giá với mơ hình học máy xây dựng Kết cho thấy hiệu suất phát z cải thiện vượt trội so với việc sử dụng học máy đơn lẻ @ gm - Đem lại khả ứng dụng thực tế mơ hình cho kết phát l thời gian ngắn yêu cầu lượng liệu đầu vào nhỏ mã độc an Lu thiết bị hệ thống thông tin m co bắt đầu thực hành vi Do giảm thiểu hậu mã độc gây với n va ac th si 64 Kết luận văn góp phần b sung vào nghiên cứu phát mã độc IoT Botnet dựa phương pháp phân tích động tiềm ứng dụng cao Một số nội dung nghiên cứu luận văn chấp nhận công bố Kỷ yếu hội nghị quốc tế lần thứ Điện tử, truyền thơng khoa học máy tính (ICECCE 2021) với báo “Adversarial Attack and Defense on Graph-based IoT Botnet Detection Approach” Tuy nhiên, luận văn c n số hạn chế, vướng mắc phần xử lý sandbox khơng gian tài ngun u cầu lớn, thời gian khởi động chậm Ngoài chạy V-Sandbox để thu thập hành vi liệu số mẫu xảy lu an việc thực v ng lặp để thu thập thêm liệu cho lần chạy khiến cho thời n va gian xử lý mẫu lên đến phút tn to Dựa kết nghiên cứu, luận văn đưa số kiến nghị cho hướng - Tiếp tục nghiên cứu, thử nghiệm cải thiện phương pháp kết hợp đặc p ie gh phát triển tương lai sau: w trưng phân loại nhằm cải thiện độ xác thời gian xử lý phương oa nl pháp phát sớm mã độc IoT Botnet d - Nghiên cứu, cải tiến để rút ngắn thời gian hoạt động V-Sandbox nf va hiệu an lu lượng tài nguyên yêu cầu để làm cho mơ hình phát sớm IoT Botnet hoạt động z at nh oi lm ul z m co l gm @ an Lu n va ac th si 65 DANH MỤC TÀI LIỆU THAM KHẢO lu an n va p ie gh tn to [1] K Ashton, ―That ‗internet of things‘ thing,‖ RFID J., vol 22, no 7, pp 97–114, 2009 [2] International Telecommunication Union, ―Overview of the Internet of things, Recommendation ITU-T Y.20602013.‖ [Online Available: [Online Available: https://www.itu.int/rec/T-REC-Y.2060-201206-I [3] ―Overview of Internet of Things.‖ ITU-T Y.2060, Jun 2012 [4] Knud Lasse Lueth, ―IoT Market – Forecasts at a glance,‖ 2014 [Online Available: https://iot-analytics.com/iot-market-forecasts-overview/ Visited on: 15/4/2018 [5] C Lévy-Bencheton, E Darra, G T tu, G Dufay, and M Alattar, ―Security and resilience of smart home environments good practices and recommendations,‖ Eur Union Agency Netw Inf Secur ENISA Heraklion Greece, 2015 [6] A L Johnson, Symantec Security Response, ―IoT devices being increasingly used for DDoS attacks,‖ 2016 [Online Available: https://www.symantec.com/connect/blogs/iot-devices-being-increasingly-used-ddosattacks Visited on: 17/9/2017 [7] W Zhou, Y Jia, A Peng, Y Zhang, and P Liu, ―The effect of iot new features on security and privacy: New threats, existing solutions, and challenges yet to be solved,‖ IEEE Internet Things J., vol 6, no 2, pp 1606–1616, 2018, doi: https://doi.org/10.1109/JIOT.2018.2847733 [8] Andrei Costin, ―Large Scale Security Analysis of Embedded Devices‘ Firmware,‖ Thesis of Doctor, Paris Institute of Technology, France, 2016 [9] Costin, Andrei, and Jonas Zaddach, ―IoT malware: Comprehensive survey, analysis framework and case studies,‖ presented at the BlackHat USA, 2018 [10] Mikhail Kuzin, Yaroslav Shmelev, Vladimir Kuskov, ―New trends in the world of IoT threats,‖ 2018 [Online Available: https://securelist.com/new-trends-in-theworld-of-iot-threats/87991/ Visited on: 15/2/2019 [11] Helenius Marko, ―A system to support the analysis of antivirus products‘ virus detection capabilities.‖ Tampere University Press, 2002 [12] Ed Skoudis, Lenny Zeltser, ―Malware: fighting malicious code.‖ Prentice Hall, 2004 [13] Kaspersky Lab report, ―IoT: a malware story,‖ Securelist - Kaspersky Lab’s cyberthreat research and reports https://securelist.com/iot-a-malware-story/94451/ (accessed Dec 19, 2019) [14] P Beltrán-García, E Aguirre-Anaya, P J Escamilla-Ambrosio, and R AcostaBermejo, ―IoT Botnets,‖ in Telematics and Computing, Cham, 2019, pp 247–257 [15] Angrishi Kishore, ―Turning internet of things (iot) into internet of vulnerabilities (iov): Iot botnets.‖ arXiv preprint arXiv:1702.03681, 2017 [16] Allix Kevin, et al., ―A Forensic Analysis of Android Malware How is Malware Written and How it Could Be Detected?,‖ 2014, pp 384–393 doi: https://doi.org/10.1109/COMPSAC.2014.61 [17] Muhammad Junaid Bohio, ―Analysis of a MIPS Malware.‖ SANS Institute, 2015 [Online] Available: [Online] Available: https://www.sans.org/readingroom/whitepapers/malicious/analyzing-backdoor-bot-mips-platform-35902 Visited on: 16/7/2017 d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si 66 lu an n va p ie gh tn to [18] De Donno Michele, et al, ―DDoS-capable IoT malwares: Comparative analysis and Mirai investigation,‖ Secur Commun Netw Hindawi, pp 1–30, 2018, doi: https://doi.org/10.1155/2018/7178164 [19] Celeda, P., Krejci, R., & Krmicek, V., ―Revealing and analysing modem malware,‖ 2012, pp 971–975 doi: https://doi.org/10.1109/ICC.2012.6364598 [20] Celeda, P., Krejcí, R., Vykopal, J., & Drasar, M., ―Embedded malware-an analysis of the Chuck Norris botnet,‖ 2010, pp 3–10 doi: https://doi.org/10.1109/EC2ND.2010.15 [21] Домът на Виерко, ―lightaidra 0x2012 (aidra),‖ 2013 [Online Available: https://vierko.org/tech/lightaidra-0x2012/ Visited on: 19/9/2017 [22] Symantec Official Blog, ―Linux.Wifatch,‖ 2015 [Online Available: https://www.symantec.com/security_response/writeup.jsp?docid=2015-011216-231499&tabid=2 Visited on: 19/9/2017 [23] Kolias Constantinos, et al., ―DDoS in the IoT: Mirai and other botnets,‖ IEEE Comput., vol 50, no 7, pp 80–84, 2017, doi: https://doi.org/10.1109/MC.2017.201 [24] ―Radware Brickerbot results in PDOS attack.‖ [Online Available: https://security.radware.com/ddos-threatsattacks/brickerbot-pdos-permanent-denial-ofservice/ Visited on: 18/5/2018 [25] Symantec Security Response Security Response Team, ―Vpnfilter: New router malware with destructive capabilities.‖ [Online Available: https://www.symantec.com/blogs/threat-intelligence/vpnfilteriot-malware, 2018 Visited on: 18/8/2018 [26] T Ronghua, ―An Integrated Malware Detection and Classification System,‖ MEng Chongqing Univ BEngChangchun Univ Sci Technol, 2011 [27] Costin, A., Zaddach, J., Francillon, A and Balzarotti, D., ―A large-scale analysis of the security of embedded firmwares,‖ 2014, pp 95–110 [28] McDermott, Christopher D., Farzan Majdani, and Andrei V Petrovski, ―Botnet detection in the internet of things using deep learning approaches,‖ 2018, pp 1–8 doi: https://doi.org/10.1109/IJCNN.2018.8489489 [29] Shoshitaishvili Yan, et al., ―Firmalice - Automatic Detection of Authentication Bypass Vulnerabilities in Binary Firmware,‖ 2015, pp 1–15 [Online] Available: http://dx.doi.org/10.14722/ndss.2015.23294 [30] A Azmoodeh, A Dehghantanha, and K.-K R Choo, ―Robust Malware Detection for Internet of (Battlefield) Things Devices Using Deep Eigenspace Learning,‖ IEEE Trans Sustain Comput., vol 4, no 1, pp 88–95, Jan 2019, doi: 10.1109/TSUSC.2018.2809665 [31] H HaddadPajouh, A Dehghantanha, R Khayami, and K.-K R Choo, ―A deep Recurrent Neural Network based approach for Internet of Things malware threat hunting,‖ Future Gener Comput Syst., vol 85, pp 88–96, 2018 [32] R Doshi, N Apthorpe, and N Feamster, ―Machine learning ddos detection for consumer internet of things devices,‖ 2018, pp 29–35 [33] I Alrashdi, A Alqazzaz, E Aloufi, R Alharthi, M Zohdy, and H Ming, ―AD-IoT: anomaly detection of IoT cyberattacks in smart city using machine learning,‖ 2019, pp 0305–0310 [34] N Moustafa and J Slay, ―The evaluation of Network Anomaly Detection Systems: Statistical analysis of the UNSW-NB15 data set and the comparison with the KDD99 data set,‖ Inf Secur J Glob Perspect., vol 25, no 1–3, pp 18–31, 2016 d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si 67 lu an n va p ie gh tn to [35] A M da Silva Cardoso, R F Lopes, A S Teles, and F B V Magalhães, ―Realtime DDoS detection based on complex event processing for IoT,‖ 2018, pp 273–274 [36] M Ficco, ―Detecting IoT Malware by Markov Chain Behavioral Models,‖ 2019, pp 229–234 [37] S Sachdeva, R Jolivot, and W Choensawat, ―Android Malware Classification based on Mobile Security Framework.,‖ IAENG Int J Comput Sci., vol 45, no 4, 2018 [38] D Breitenbacher, I Homoliak, Y L Aung, N O Tippenhauer, and Y Elovici, ―HADES-IoT: A Practical Host-Based Anomaly Detection System for IoT Devices,‖ 2019, pp 479–484 [39] T G Dietterich, ―Ensemble learning,‖ Handb Brain Theory Neural Netw., vol 2, pp 110–125, 2002 [40] H.-V Le and Q.-D Ngo, ―V-Sandbox for Dynamic Analysis IoT Botnet,‖ IEEE Access, vol 8, pp 145768–145786, 2020 [41] Y M P Pa, S Suzuki, K Yoshioka, T Matsumoto, T Kasama, and C Rossow, ―Iotpot: A novel honeypot for revealing current iot threats,‖ J Inf Process., vol 24, no 3, pp 522–533, 2016 [42] C Guarnieri, A Tanasi, J Bremer, and M Schloesser, ―The cuckoo sandbox,‖ 2012 [43] ―REMnux: A free Linux Toolkit for Reverse-Engineering and Analyzing Malware.‖ https://remnux.org/ (accessed Mar 10, 2020) [44] K Monnappa, ―Automating linux malware analysis using limon sandbox,‖ Black Hat Eur 2015, 2015 [45] F Bellard, ―QEMU, a fast and portable dynamic translator,‖ ATEC ’05 Proc Annu Conf USENIX Annu Tech- Nical Conf., pp 41–44, 2005 [46] H V Le, Q D Ngo, and V H Le, ―Iot Botnet Detection Using System Call Graphs and One-Class CNN Classification,‖ Int J Innov Technol Explor Eng., vol 8, no 10, pp 937–942, Aug 2019, doi: 10.35940/ijitee.J9091.0881019 [47] A Narayanan, M Chandramohan, R Venkatesan, L Chen, Y Liu, and S Jaiswal, ―graph2vec: Learning distributed representations of graphs,‖ ArXiv Prepr ArXiv170705005, 2017 [48] J H Lau and T Baldwin, ―An empirical evaluation of doc2vec with practical insights into document embedding generation,‖ ArXiv Prepr ArXiv160705368, 2016 [49] I Sharafaldin, A H Lashkari, and A A Ghorbani, ―Toward generating a new intrusion detection dataset and intrusion traffic characterization.,‖ in ICISSP, 2018, pp 108–116 [50] ―scikit-learn: machine learning in Python — scikit-learn 0.20.2 documentation.‖ https://scikit-learn.org/stable/ (accessed Jan 16, 2019) d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si

Ngày đăng: 12/07/2023, 17:31

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan