Ộ ỤC VÀ ĐÀO TẠ Ọ Ệ Ệ Ọ Ệ Ọ Ệ Ệ Ễ ỨU ĐỀ ẤT ĐẶC TRƯNG ĐỒ ỆN MÃ ĐỘ Ậ Ị Ế Ế Ộ – Ĩ Ị Ộ ỤC VÀ ĐÀO TẠ Ọ Ệ Ệ Ệ Ọ Ọ Ệ Ệ Ễ ỨU ĐỀ ẤT ĐẶC TRƯNG ĐỒ Ị ỆN MÃ ĐỘ Ế ệ ố ỗ Ậ Ế Ĩ NGƯỜI HƯỚ Ẫ Ọ ốc Dũng ễ Ộ – ỳ Ị LỜI CAM ĐOAN Tôi xin cam đoan Luận án Tiến sĩ với tiêu đề “Nghiên cứu đề xuất đặc trưng đồ thị PSI phát mã độc botnet thiết bị IoT” công trình nghiên cứu riêng tơi, hướng dẫn khoa học TS Ngô Quốc Dũng TS Nguyễn Anh Quỳnh, trừ kiến thức tham khảo từ tài liệu liên quan nước quốc tế trích dẫn luận án Các kết quả, số liệu trình bày luận án hồn tồn trung thực, phần kết cơng bố Tạp chí Kỷ yếu Hội thảo khoa học chuyên ngành công nghệ thông tin (tại Danh mục cơng trình tác giả), phần cịn lại chưa cơng bố cơng trình khác Hà Nội, ngày tháng năm 2020 Tác giả Nguyễn Huy Trung i LỜI CẢM ƠN Luận án nghiên cứu sinh (NCS) thực trình học tập Tiến sĩ Viện Công nghệ thông tin – Viện Hàn lâm Khoa học Công nghệ Việt Nam, Học viện Khoa học Công nghệ – Viện Hàn lâm Khoa học Công nghệ Việt Nam Tại đây, NCS thầy, cô Viện Công nghệ thông tin, Học viện Khoa học Công nghệ giúp đỡ, dạy trang bị kiến thức tảng cần thiết suốt trình thực luận án, đồng thời NCS có hội tiếp xúc chuyên sâu lĩnh vực cấp thiết bảo mật thông tin liên quan đến phát mã độc nói chung mã độc botnet nói riêng thiết bị IoT Trước hết, NCS xin bày tỏ lòng biết ơn chân thành tới hai thầy hướng dẫn khoa học, TS Ngô Quốc Dũng TS Nguyễn Anh Quỳnh Hai thầy ln giúp đỡ, động viên, khích lệ cho NCS nhiều kinh nghiệm quý báu, định hướng cách tư cách làm việc nghiên cứu khoa học sống, giúp NCS vững tin vượt qua khó khăn suốt q trình thực luận án Tiếp đó, NCS muốn gửi lời cảm ơn tới TS Trần Nghi Phú, người anh cho NCS nhiều lời khuyên quý báu trước NCS bắt đầu trình học tập nghiên cứu Tiến sĩ NCS muốn gửi lời cảm ơn chân thành đến cộng Lê Văn Hồng, Nguyễn Dỗn Hiếu có nhiều hỗ trợ giúp đỡ NCS trình thực luận án Bên cạnh đó, NCS xin gửi lời cảm ơn tới Ban Giám đốc, Phòng ban liên quan TS Sử Ngọc Anh - lãnh đạo Khoa An ninh thông tin Học viện An ninh nhân dân tạo điều kiện thời gian tài để NCS tập trung học tập thực luận án Cuối cùng, từ tận đáy lịng NCS xin gửi lời cảm ơn vơ hạn đến với gia đình, đặc biệt gái ln động lực phấn đấu NCS, ln khuyến khích, động viên NSC q trình nghiên cứu khoa học Luận án khơng thể hồn thành khơng có ủng hộ, động viên giúp đỡ họ ii MỤC LỤC Trang LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT vi DANH MỤC CÁC BẢNG vii DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ viii MỞ ĐẦU 1 Đặt vấn đề 1.1 Thông tin 1.2 Cơ sở đề xuất nghiên cứu Mục tiêu nghiên cứu Đối tượng phạm vi nghiên cứu Nội dung phương pháp nghiên cứu Các đóng góp luận án Bố cục luận án CHƯƠNG CƠ SỞ LÝ THUYẾT 11 1.1 Mã độc IoT botnet 11 1.1.1 Khái niệm đặc điểm thiết bị IoT 11 1.1.2 Khái niệm mã độc IoT botnet 15 1.1.3 Sự tiến hóa mã độc IoT botnet 17 1.1.4 Cấu trúc nguyên lý hoạt động mã độc IoT botnet 23 1.1.5 Sự khác biệt mã độc botnet truyền thống IoT botnet 25 1.2 Học máy học sâu phát mã độc IoT botnet 28 1.2.1 Học máy 28 1.2.2 Học sâu 34 iii 1.3 Kết luận Chương 39 CHƯƠNG PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC IOT BOTNET 40 2.1 Tổng quan phương pháp phát mã độc IoT botnet 40 2.1.1 Phân tích động 41 2.1.2 Phân tích tĩnh 43 2.1.3 Phân tích lai 46 2.1.4 So sánh phân tích tĩnh phân tích động 47 2.2 So sánh, đánh giá phương pháp dựa phân tích tích phát mã độc IoT botnet 48 2.2.1 Phân tích tĩnh dựa đặc trưng phi cấu trúc đồ thị 49 2.2.2 Phân tích tĩnh dựa đặc trưng có cấu trúc đồ thị 56 2.2.3 Xây dựng sở liệu thử nghiệm 63 2.2.4 Các tiêu chí đánh giá 68 2.2.5 Kết thực nghiệm nhận xét 70 2.3 Kết luận Chương định hướng nghiên cứu 73 CHƯƠNG ĐẶC TRƯNG ĐỒ THỊ PSI TRONG PHÁT HIỆN MÃ ĐỘC IOT BOTNET 75 3.1 Phát biểu toán 75 3.2 Giải thích tốn 76 3.3 Sơ đồ ý tưởng phương pháp đề xuất 79 3.4 Đồ thị lời gọi hàm phát mã độc IoT botnet 81 3.4.1 Khái niệm đồ thị lời gọi hàm 81 3.4.2 Xây dựng đồ thị lời gọi hàm 83 3.5 Xây dựng đồ thị PSI 88 3.5.1 Các khái niệm liên quan 88 3.5.2 Thuật toán xây dựng đồ thị PSI 90 3.6 Đánh giá thực nghiệm 96 iv 3.6.1 Môi trường thực nghiệm 96 3.6.2 Mơ hình đánh giá 96 3.6.3 Các kết thực nghiệm thảo luận 101 3.7 Kết luận Chương 104 CHƯƠNG ĐẶC TRƯNG ĐỒ THỊ CON PSI CÓ GỐC TRONG PHÁT HIỆN MÃ ĐỘC IOT BOTNET 105 4.1 Phát biểu toán 105 4.2 Sơ đồ ý tưởng phương pháp đề xuất 106 4.3 Xây dựng đặc trưng đồ thị PSI-rooted subgraph 107 4.3.1 Khái niệm 107 4.3.2 Thuật toán xây dựng PSI-rooted subraph 108 4.4 Thực nghiệm đánh giá kết 112 4.4.1 Môi trường thực nghiệm 112 4.4.2 Mơ hình đánh giá 113 4.4.3 Các kết thực nghiệm thảo luận 116 4.5 Kết luận Chương 122 KẾT LUẬN VÀ KIẾN NGHỊ 124 DANH MỤC CƠNG TRÌNH CỦA TÁC GIẢ 127 TÀI LIỆU THAM KHẢO 129 v DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Từ viết tắt Viết đầy đủ (tiếng Anh) Viết đầy đủ (tiếng Việt) IoT Internet of things Vạn vật kết nối Internet DL Deep Learning Học sâu ML Machine Learning Học máy SVM Support Vector Machine Máy hỗ trợ vector GPU Graphical Processing Unit Thẻ xử lý đồ họa CFG Control Flow Graph Đồ thị luồng điều khiển PSI Printable String Information Thơng tin có ý nghĩa DNN Deep Neural Networ Mạng nơ-ron học sâu ELF Executable Linkable Format Định dạng tập tin ELF DNS Domain Name System Hệ thống tên miền KNN K-nearest neighbour Thuật toán k láng giềng gần Random Forest Thuật toán rừng ngẫu nhiên RNN Recurrent Neural Network Mạng nơ-ron hồi quy CNN Convolution Neural Network Mạng nơ-ron tích chập SVM Support Vector Machine Thuật toán máy hỗ trợ vector RF vi DANH MỤC CÁC BẢNG Trang Bảng 1.1 So sánh mã độc botnet máy tính truyền thống IoT 26 Bảng 2.1 Ưu điểm hạn chế phân tích động 42 Bảng 2.2 Ưu điểm hạn chế phân tích tĩnh 44 Bảng 2.3 So sánh phương pháp phân tích, phát mã độc IoT botnet 47 Bảng 2.4 So sánh phương pháp phát mã độc IoT botnet dựa đặc trưng tĩnh nghiên cứu gần 61 Bảng 2.5 Mô tả tập liệu mẫu để thử nghiệm 67 Bảng 2.6 Kết thực nghiệm hướng tiếp cận dựa đặc trưng tĩnh phát mã độc IoT botnet 71 Bảng 3.1 So sánh đồ thị PSI đồ thị lời gọi hàm FCG 93 Bảng 3.2 Chi tiết số lượng cạnh số lượng đỉnh đồ thị PSI lớp mẫu 93 Bảng 3.3 Kết phát mã độc IoT botnet đồ thị PSI đồ thị lời gọi 101 hàm Bảng 3.4 Kết so sánh phương pháp phát IoT botnet 103 Bảng 4.1 Một ví dụ sinh đồ thị PSI có gốc với độ sâu 111 Bảng 4.2 Kết phân loại với đặc trưng đề xuất 116 Bảng 4.3 Kết đánh giá phát mã độc với tập liệu kiến trúc ARM 117 Bảng 4.4 Kết đánh giá phát mã độc với tập liệu dựa kiến trúc MIPS 118 Bảng 4.5 So sánh thời gian xử lý 119 Bảng 4.6 So sánh độ xác phân lớp học máy truyền thống 120 phát mã độc IoT botnet vii DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Trang Hình 1.1 Số lượng thiết bị IoT từ năm 2015 – 2025 12 Hình 1.2 Minh họa ứng dụng Internet of Things (IoT) sống 13 Hình 1.3 Số lượng mã độc botnet thiết bị IoT giai đoạn 2016 – 2018 16 Hình 1.4 Vị trí mã độc IoT botnet loại mã độc 17 Hình 1.5 Mối quan hệ số mã độc IoT botnet 18 Hình 1.6 Quy trình lây nhiễm mã độc IoT botnet 23 Hình 1.7 Một ví dụ minh họa định 30 Hình 1.8 Minh họa lề tối đa cho siêu phẳng với phân loại lớp 32 Hình 1.9 Biểu diễn mạng nơ-ron truyền thẳng 34 Hình 1.10 Một mơ hình mạng nơ-ron tích chập 35 Hình 1.11 Mơ hình Skip-gram (trái) CBOW (phải) 37 Hình 1.12 Mơ hình túi từ phân tán 38 Hình 1.13 Mơ hình nhớ phân tán 38 Hình 2.1 Phân loại phương pháp phát mã độc IoT botnet 41 Hình 2.2 Các phương pháp phân tích lai 46 Hình 2.3 Tổng quan tiến trình phát mã độc IoT botnet dựa đặc trưng tĩnh 48 Hình 2.4 Phân loại đặc trưng tĩnh phát mã độc IoT botnet 49 Hình 2.5 Minh họa chuỗi Opcode tập tin thực thi mã độc 50 Hình 2.6 Một số chuỗi PSI tập tin nhị phân mã độc 52 Hình 2.7 Chuỗi BAD mô tả dạng ASCII 52 Hình 2.8 Chuỗi BAD miêu tả dạng Unicode 53 Hình 2.9 Định dạng tập tin ELF 54 Hình 2.10 Quá trình biểu diễn mã độc thông qua ảnh đa mức xám 55 Hình 2.11 Ví dụ ảnh mẫu mã độc dịng Linux.Gafgyt 56 Hình 2.12 Minh họa đồ thị đơn giản 57 viii KẾT LUẬN VÀ KIẾN NGHỊ Kỷ nguyên 4.0 hay cịn gọi cách mạng cơng nghệ lần thứ 4, hiểu phát triển vượt bậc loạt công nghệ giúp làm mờ ranh giới người kỹ thuật Đồng thời ảnh hưởng lớn kinh tế, xã hội, giáo dục trị Các lĩnh vực quan tâm cách mạng 4.0 kể đến trí thơng minh nhân tạo (AI), công nghệ nano, công nghệ sinh học, liệu lớn đặc biệt Internet vạn vật (IoT) giúp vật có khả kết nối trao đổi liệu thuận tiện hơn, giúp người dùng có nhiều trải nghiệm sống Bên cạnh thuận lợi đó, vấn đề đảm bảo an tồn, an ninh thông tin cho thiết bị IoT, đặc biệt phát mã độc cấp thiết thời buổi Chính thế, luận án tập trung tìm hiểu đặc trưng khác biệt IoT so với công nghệ truyền thống, mã độc IoT botnet so với mã độc botnet thiết bị điện tử truyền thống, từ có sở nghiên cứu chuyên sâu giải pháp phát mã độc IoT botnet cách hiệu Nội dung luận án tập trung nghiên cứu phương pháp phát mã độc IoT botnet Qua trình học tập, nghiên cứu thực luận án, kết đạt sau: Đóng góp 1: Thực nghiệm, phân tích đánh giá phương pháp phát mã độc IoT botnet với sở liệu lớn tập tin thực thi IoT (gồm mã độc lành tính), bao gồm mẫu mã độc IoT botnet thực tế, q trình thực nghiệm phương pháp thực cấu hình hệ thống Kết đạt góp phần đem lại đánh giá tổng quan phương pháp dựa phân tích tĩnh phát mã độc IoT nay, từ đó, nhà nghiên cứu lựa chọn hướng tiếp cận phù hợp cho toán phát mã độc IoT nói chung IoT botnet nói riêng Đóng góp 2: Luận án đề xuất đặc trưng mới, gọi đồ thị PSI (Printable String Information) mơ q trình lây nhiễm mã độc IoT botnet Phương pháp đề xuất có độ phức tạp thấp đảm bảo độ xác cao phát mã độc IoT botnet 124 Đóng góp 3: Luận án đề xuất cải tiến phương pháp phát mã độc IoT botnet dựa đồ thị PSI đặc trưng mới, gọi đồ thị có gốc PSI (PSI-rooted subgraph), đạt hiệu cao với phân lớp học máy đơn giản Phương pháp đề xuất luận án có tính thực tiễn triển khai mơ hình ứng dụng hình (i), liệu đầu vào tập tin thực thi thiết bị IoT thu thập thông qua mạng bẫy IoT (honeypot) thông qua việc chặn bắt luồng mạng từ thiết bị IoT, sau phân tích trích xuất tập tin thực thi từ luồng mạng Sau có tập tin thực thi thiết bị IoT, liệu đưa vào mơ hình đề xuất luận án, từ kết đầu xác định tập tin mã độc, tập tin lành tính Hình (i) Mơ hình ứng dụng thực tế phương pháp phát IoT botnet sử dụng đặc trưng đồ thị PSI Tuy nhiên, theo xu hướng phát triển công nghệ IoT, mã độc IoT botnet tiếp tục xây dựng lây lan rộng rãi thời gian tới Hiện nay, nhà nghiên cứu nước giới quan tâm nghiên cứu vấn đề bảo mật cho thiết bị 125 IoT, đặc biệt phát mã độc IoT Mặc dù đạt số kết quan trọng, góp phần vào lý luận khoa học có ý nghĩa thực tiễn phát mã độc IoT botnet luận án số vấn đề cần tiếp tục nghiên cứu, cải tiến sau đây: Phương pháp đề xuất luận án thử nghiệm với mã độc IoT botnet, cịn loại mã độc IoT khác Trojan, Worm, Ransomware Trong tương lai, cần tiếp tục thử nghiệm phương pháp đề xuất luận án với nhiều loại mã độc IoT khác Q trình trích xuất đặc trưng động phức tạp tốn thời gian có khả giải hạn chế phân tích tĩnh Do đó, nghiên cứu tương lai luận án kết hợp phân tích tĩnh phân tích động cải tiến khai phá đặc trưng đồ thị PSI phát mã độc IoT Quá trình duyệt đồ thị PSI có gốc cịn phức tạp, nghiên cứu tương lai tiếp cận hướng khai phá thuật toán học tăng cường (Reinforcement Learning) để tăng khả xác định hành vi độc hại mã độc IoT botnet, từ việc duyệt đồ thị PSI có gốc có độ phức tạp thấp Hướng tiếp cận NCS nghiên cứu, thực nghiệm cơng bố kết cơng trình [B9] Luận án sử dụng tập liệu với số lượng mẫu phù hợp để tiến hành thực nghiệm, đánh giá, thực nghiệm tương lai thực với tập liệu lớn Kết với tập liệu lớn tăng độ tin cậy phương pháp đề xuất luận án Kết hợp với đặc trưng phi cấu trúc đồ thị: cách thống, đặc trưng có cấu trúc đồ thị mà dựa việc đánh giá tương đồng đồ thị khó kết hợp với đặc trưng phi cấu trúc đồ thị [64] Tuy nhiên, luận án tiếp cận theo hướng sử dụng đặc trưng vector chuyển đổi từ đặc trưng đồ thị PSI nên dễ dàng kết hợp với đặc trưng vector khác (ví dụ nối chuỗi vector) nghiên cứu tương lai 126 DANH MỤC CÔNG TRÌNH CỦA TÁC GIẢ Tất nội dung, kết nghiên cứu trình bày luận án cơng bố tạp chí, hội thảo uy tín ngành cơng nghệ thơng tin nước quốc tế Cụ thể sau: Bài báo đăng Tạp chí khoa học [B1] Huy-Trung Nguyen, Quoc-Dung Ngo, and Van-Hoang Le "A novel graph-based approach for IoT botnet detection." International Journal of Information Security, Vol 19, pp 567–577, 2020 (SCIE index, Q2), ISSN: 1615-5262 (Print) 1615-5270 (Online) DOI: 10.1007/s10207-019-00475-6 [B2] Huy-Trung Nguyen, Quoc-Dung Ngo, Doan-Hieu Nguyen, and Van- Hoang Le "PSI-rooted subgraph: A novel feature for IoT botnet detection using classifier algorithms.", ICT Express Journal, 6(2), pp 128-138, 2020 (ESCI/SCOPUS index, Q1), ISSN: 2405-9595 DOI: 10.1016/j.icte.2019.12.001 [B3] Quoc-Dung Ngo, Huy-Trung Nguyen, Van-Hoang Le, Doan-Hieu Nguyen, “A survey of IoT malware and detection methods based on static features”, ICT Express Journal, In press, 2020 (ESCI/SCOPUS index, Q1), ISSN: 2405-9595 DOI: 10.1016/j.icte.2020.04.005 Bài báo đăng Kỷ yếu Hội thảo [B4] Nguyễn Huy Trung, Ngô Quốc Dũng, Nguyễn Anh Quỳnh, Trần Nghi Phú, Nguyễn Ngọc Toàn, Nguyễn Mạnh Sơn “Phát triển phương pháp lai phát mã độc Botnet thiết bị định tuyến”, Hội thảo quốc gia lần thứ XX: Một số vấn đề chọn lọc Công nghệ thông tin truyền thông, Quy Nhơn, 23-24/11/2017 [B5] Sử Ngọc Anh, Lê Hải Việt, Nguyễn Huy Trung, Ngô Quốc Dũng, “Xây dựng mơ hình thu thập phát công mạng sử dụng thiết bị IoT”, Hội thảo 127 quốc gia lần thứ II: Một số vấn đề chọn lọc an tồn an ninh thơng tin, Thành phố Hồ Chí Minh, 2017 [B6] Sử Ngọc Anh, Nguyễn Huy Trung, Nguyễn Anh Quỳnh, Phạm Văn Huấn “Phát mã độc IoT botnet”, Hội thảo quốc gia lần thứ III: Một số vấn đề chọn lọc an toàn an ninh thông tin, Đà Nẵng, 12/2018 (Kỷ yếu Hội thảo xuất Tạp chí Thơng tin Truyền thông, ISSN 1859-3550, trang 89-94, 2018) [B7] Huy-Trung Nguyen, Quoc-Dung Ngo, and Van-Hoang Le "IoT Botnet Detection Approach Based on PSI graph and DGCNN classifier." In IEEE International Conference on Information Communication and Signal Processing (ICICSP), pp 118-122, 2018 (SCOPUS Index) DOI: 10.1109/ICICSP.2018.8549713 [B8] Huy-Trung Nguyen, Doan-Hieu Nguyen, Quoc-Dung Ngo, Vu-Hai Tran, and Van-Hoang Le "Towards a rooted subgraph classifier for IoT botnet detection." In Proceedings of the 7th International Conference on Computer and Communications Management, pp 247-251 2019 (SCOPUS index) DOI: 10.1145/3348445.3348474 [B9] Quoc-Dung Ngo, Huy-Trung Nguyen, Hoang-Long Pham, Hoang Hanh- Nhan Ngo, Doan-Hieu Nguyen, Cong-Minh Dinh, Xuan-Hanh Vu “A graphbased approach for IoT botnet detection using Reinforcement Learning”, In: 12th International Conference on Computational Collective Intelligence (ICCCI), DaNang, Vietnam Lecture Notes in Artificial Intelligence, Springer Cham, pp 1-14, 2020 [Accepted] 128 TÀI LIỆU THAM KHẢO Tiếng Việt Luangoudon Sonexay, Nguyễn Gia Tuyến, Nguyễn Tấn Khôi, Nguyễn Linh Giang (2018) Nghiên cứu ảnh hưởng đánh giá giải pháp phát ngăn chặn công mạng LLN Tạp chí Thơng tin Truyền thơng, Hội thảo lần thứ III, Một số vấn đề chọn lọc an tồn an ninh thơng tin, Đà Nẵng, Việt Nam Tr 1–5 Nguyễn Văn Tánh, Trần Quang Đức, Nguyễn Linh Giang, Luangoudom Sonxay (2017) Xây dựng hệ thống an ninh mạng Internet of Thing với giải pháp phát hạn chế công DoS giao thức RPL dựa vào chế OVerhearing NXB Khoa học tự nhiên Công nghệ, Kỷ yếu Hội nghị Quốc gia lần thứ X Nghiên cứu ứng dụng Công nghệ thông tin (FAIR), Đà Nẵng, Việt Nam Tr 291–9 URL: DOI: https://dx.doi.org/10.15625/vap.2017.00037 Tiếng Anh Abou Daya Abbas, et al (2019) A graph-based machine learning approach for bot detection IEEE, IFIP/IEEE International Symposium on Integrated Network Management Tr 144–52 Alhanahnah Mohannad, et al (2018) Efficient signature generation for classifying cross-architecture IoT malware IEEE, In 2018 IEEE Conference on Communications and Network Security (CNS) Tr 1–9 Antonakakis Manos, et al (2017) Understanding the Mirai Botnet USENIX, Proceedings of the 26th Conference on Security Symposium Tr 1093–110 Author links open overlay panelMardiana bintiMohamad Noor, Wan HaslinaHassan (2019) Current research on Internet of Things (IoT) security: A survey Comput Netw Số 148., Tr.283–94 Azmoodeh Amin, et al (2018) Detecting crypto-ransomware in IoT networks based on energy consumption footprint J Ambient Intell Humaniz Comput Số 9.(4), Tr.1141–52 Burhan, M.; Rehman, R.A.; Khan, B.; Kim, B.-S (2018) IoT elements, layered architectures and security issues: A comprehensive survey Sensors Số 18.(9), Tr.2796 Chowdhury Sudipta, et al (2017) Botnet detection using graph‑ based feature clustering J Big Data Số 4.(1), Tr.1–14 10 Costin, A., Zaddach, J., Francillon, A and Balzarotti, D (2014) A large-scale analysis of the security of embedded firmwares USENIX, Proceedings of the 23rd USENIX Conference on Security Symposium Tr 95–110 129 11 Daniel Gibert (2016) Convolutional Neural Networks Classification, Thesis of Master Universitat de Barcelona 12 De Donno M., Dragoni, N., Giaretta, A., & Spognardi, A (2017) Analysis of DDoS-capable IoT malwares IEEE, Proceedings of the 2017 Federated Conference on Computer Science and Information Systems, Tr 807–16 13 Gubbi Jayavardhana, et al (2013) Internet of Things (IoT): A vision, architectural elements, and future directions Future generation computer systems Số 29.(7), Tr.1645–60 14 HaddadPajouh Hamed, et al (2018) A Deep Recurrent Neural Network Based Approach for Internet of Things Malware Threat Hunting Future Gener Comput Syst Số 85., Tr.88–96 15 Kaspersky Lab IoT under fire: Kaspersky detects more than 100 million attacks on smart devices in H1 2019 URL: [Online] Available: https://www.kaspersky.com/about/press-releases/2019_iot-under-fire-kasperskydetects-more-than-100-million-attacks-on-smart-devices-in-h1-2019 Visited on: 15/4/2019 16 Khan, Rafiullah, Sarmad Ullah Khan, Rifaqat Zaheer, and Shahid Kha (2012) Future Internet: The Internet of Things Architecture, Possible Applications and Key Challenges IEEE, In 2012 10th international conference on frontiers of information technology Tr 257–60 17 Kumar Ajit (2017) A framework for malware detection with static features using machine learning algorithms, Doctoral dissertation Department of Computer Science, Pondicherry University, India 18 Mark Hung (2017) Leading the IoT: Gartner Insights on How to Lead in a Connected World Gartner URL: https://www.gartner.com/imagesrv/books/iot/iotEbook_digital.pdf 19 McDermott, Christopher D., Farzan Majdani, and Andrei V Petrovski (2018) Botnet detection in the internet of things using deep learning approaches IEEE, In 2018 International Joint Conference on Neural Networks (IJCNN) Tr 1–8 20 Mikolov Tomas, Kai Chen, Greg Corrado, and Jeffrey Dean (2013) Efficient estimation of word representations in vector space Proceedings of the International Conference on Learning Representations (ICLR 2013) URL: https://arxiv.org/abs/1301.3781 21 Narudin, F A., Feizollah, A., Anuar, N B., & Gani, A (2016) Evaluation of machine learning classifiers for mobile malware detection Soft Comput Số 20.(1), Tr.343–57 22 Pa Yin Minn Pa, Shogo Suzuki, Katsunari Yoshioka, Tsutomu Matsumoto, Takahiro Kasama, and Christian Rossow (2016) IoTPOT: A novel honeypot for revealing current IoT threats J Inf Process Số 24.(3), Tr.522–33 130 for Malware 23 R Isawa, T Ban, S Guo, D Inoue, and K Nakao (2014) An accurate packer identification method using support vector machine IEICE Trans Fundam Electron Commun Comput Sci Số 97.(1), Tr.253–63 24 Shoshitaishvili Yan, et al (2015) Firmalice - Automatic Detection of Authentication Bypass Vulnerabilities in Binary Firmware Internet Society, NDSS Symposium Tr 1–15 URL: http://dx.doi.org/10.14722/ndss.2015.23294 25 Su Jiawei, et al (2018) Lightweight Classification of IoT Malware based on Image Recognition IEEE, In 42nd annual computer software and applications conference (COMPSAC) Tr 664–9 26 Yu Bo, et al (2018) A survey of malware behavior description and analysis Front Inf Technol Electron Eng Số 19.(5), Tr.583–603 27 Zhao David, et al (2013) Botnet detection based on traffic behavior analysis and flow intervals Comput Secur Số 39., Tr.2–16 28 Internet of Things - number of connected devices worldwide 2015-2025 URL: [Online] Available: https://www.statista.com/statistics/471264/iot-number-ofconnected-devices-worldwide/ Visited on: 14/8/2019 29 OWASP Board Votes URL: [Online] Available: https://owasp.org/index.php/OWASP_Board_Votes Visited on: 7/10/2017 30 A L Johnson, Symantec Security Response (2016) IoT devices being increasingly used for DDoS attacks URL: [Online] Available: https://www.symantec.com/connect/blogs/iot-devices-being-increasingly-usedddos-attacks Visited on: 17/9/2017 31 Akshay Report - Linux based Operating Systems for IoT takes lead with a massive 80% market share URL: [Online] Available: https://iotgadgets.com/2017/07/report-linux-based-operating-systems-iot-takeslead-massive-80-market-share/ Visited on: 7/10/2017 32 Alasmary, Hisham, et al (2019) Analyzing and Detecting Emerging Internet of Things Malware: A Graph-based Approach IEEE Internet Things J Số 6.(5), Tr.8977–88 33 Alasmary, Hisham, et al (2018) Graph-Based Comparison of IoT and Android Malware Springer, Cham, In International Conference on Computational Social Networks Lecture Notes in Computer Science Tr 259–72 34 Albawi Saad, Tareq Abed Mohammed, and Saad Al-Zawi (2017) Understanding of a convolutional neural network IEEE, In 2017 International Conference on Engineering and Technology (ICET) Tr 1–6 35 Allix Kevin, et al (2014) A Forensic Analysis of Android Malware How is Malware Written and How it Could Be Detected? IEEE, In 2014 IEEE 38th Annual Computer Software and Applications Conference Tr 384–93 131 36 Amin Azmoodeh, et al (2019) Robust Malware Detection for Internet Of (Battlefield) Things Devices Using Deep Eigenspace Learning IEEE Trans Sustain Comput Số 4.(1), Tr.88–95 37 Andrei Costin (2016) Large Scale Security Analysis of Embedded Devices’ Firmware, Thesis of Doctor Paris Institute of Technology, France 38 Angrishi Kishore (2017) Turning internet of things (iot) into internet of vulnerabilities (iov): Iot botnets arXiv preprint arXiv:1702.03681 39 Annamalai Narayanan, et al (2017) Graph2vec: Learning distributed representations of graphs ACM, Proceedings of the 13th International Workshop on Mining and Learning with Graphs (MLG) Tr 1–8 URL: http://www.mlgworkshop.org/2017/paper/MLG2017_paper_21.pdf 40 Annamalai Narayanan, Mahinthan Chandramohan, Rajasekar Venkatesan, Lihui, Chen, Yang Liu and Shantanu Jaiswa (2017) graph2vec: Learning Distributed Representations of Graphs in KDD Workshop on Mining and Learning with Graphs URL: https://arxiv.org/pdf/1707.05005.pdf 41 Bai Jinrong, Qibin Shi, and Shiguang Mu (2019) A Malware and Variant Detection Method Using Function Call Graph Isomorphism." Secur Commun Netw , Tr.1–13 42 Bai Jinrong, Yanrong Yang, Shiguang Mu, and Yu Ma (2013) Malware detection through mining symbol table of Linux executables Inf Technol J Số 12.(2), Tr.380–384 43 Baidu Research (2017) DeepBench URL: [Online] Available: https://github.com/baidu-research/DeepBench.Visited on: 10/7/2018 44 Celeda, P., Krejci, R., & Krmicek, V (2012) Revealing and analysing modem malware IEEE, In 2012 IEEE International Conference on Communications (ICC) Tr 971–5 45 Celeda, P., Krejcí, R., Vykopal, J., & Drasar, M (2010) Embedded malware-an analysis of the Chuck Norris botnet IEEE, In 2010 European Conference on Computer Network Defense Tr 3–10 46 Cesare, Silvio, Yang Xiang, and Wanlei Zhou (2013) Control flow-based malware variantdetection IEEE Trans Dependable Secure Comput Số 11.(4), Tr.307–17 47 Chris Eagle (2011) The IDA Pro Book: The Unofficial Guide to the World’s Most Popular Disassembler 2nd ed William Pollock, Canada 48 Cisco Talos (2018) New VPNFilter malware targets at least 500k net- working devices worldwide URL: [Online] Available: https://blog.talosintelligence.com/2018/05/VPNFilter.html/ Visited on: 18/6/2018 132 49 Costin, Andrei, and Jonas Zaddach (2018) IoT malware: Comprehensive survey, analysis framework and case studies BlackHat USA 50 Cozzi Emanuele, et al (2018) Understanding Linux Malware IEEE, IEEE Symposium on Security and Privacy (SP) Tr 161–75 51 D Kiran el al (2017) An Improved CBIR System Using Low-Level Image Features Extraction and Representation International Journal of Applied Engineering Research Số 12.(19), Tr.9032–7 52 Darabian Hamid, et al (2019) An opcode-based technique for polymorphic Internet of Things malware detection Concurrency and Computation: Practice and Experience Số 32.(6), Tr.1–14 53 Darki, A., Faloutsos, M., Abu-Ghazaleh, N., & Sridharan, M (2019) IDAPro for IoT malware analysis? In 12th {USENIX} Workshop on Cyber Security Experimentation and Test ({CSET} 19) Tr 1–9 54 Darki, Ahmad, et al (2018) RARE: A systematic augmented router emulation for malware analysis Springer, Cham, In International Conference on Passive and Active Network Measurement Lecture Notes in Computer Science Tr 60–72 55 De Donno Michele, et al (2018) DDoS-capable IoT malwares: Comparative analysis and Mirai investigation Secur Commun Netw Hindawi , Tr.1–30 56 De Paola Alessandra, et al (2018) Malware Detection through Low-level Features and Stacked Denoising Autoencoders Italian Conference on Cyber Security (ITASEC) URL: http://ceur-ws.org/Vol-2058/paper-07.pdf 57 Dovom Ensieh Modiri, et al (2019) Fuzzy pattern tree for edge malware detection and categorization in IoT J Syst Archit Số 97 58 E Bertino and N Islam (2017) Botnets and internet of things security IEEE Comput Số 50.(2), Tr.76–79 59 Ed Skoudis, Lenny Zeltser (2004) Malware: fighting malicious code Prentice Hall 60 Fan, Ming, et al (2018) Android malware familial classification and representative sample selection via frequent subgraph analysis IEEE Trans Inf Forensics Secur Số 13.(8), Tr.1890–905 61 Felt Adrienne Porter, et al (2011) A survey of mobile malware in the wild ACM, In Proceedings of the 1st ACM workshop on Security and privacy in smartphones and mobile devices Tr 3–14 62 G Rothermel (2005) Representation and analysis of software Angew Chem Wiley Số 46.(31), Tr.5896–900 133 63 Hallman, R., Bryan, J., Palavicini, G., Divita, J., & Romero-Mariona, J (2017) IoDDoS-the internet of distributed denial of sevice attacks In Proceedings of the 2nd International Conference on Internet of Things, Big Data and Security (IoTBDS) Tr 47–58 64 Hassen, Mehadi, and Philip K Chan (2017) Scalable function call graph-based malware classification In Proceedings of the Seventh ACM on Conference on Data and Application Security and Privacy Tr 239–48 65 Helenius Marko (2002) A system to support the analysis of antivirus products’ virus detection capabilities Tampere University Press 66 Ho, Hoang Nam, et al (2013) Detecting recurring deformable objects: an approximate graph matching method for detecting characters in comics books Springer, Berlin, Heidelberg, International Workshop on Graphics Recognition Lecture Notes in Computer Science Tr 122–34 67 Homayoun Sajad, et al (2018) BoTShark: A deep learning approach for botnet traffic detection Springer, Cham., In Cyber Threat Intelligence Advances in Information Security Tr 137–53 68 Igor Santos, Felix Brezo, Xabier Ugarte-Pedrero, and Pablo G Bringas (2013) Opcode sequences as representation of executables for data-mining-based unknown malware detection Inf Sci Số 231., Tr.64–82 69 International Telecommunication Union Overview of the Internet of things, Recommendation ITU-T Y.20602013 URL: [Online] Available: https://www.itu.int/rec/T-REC-Y.2060-201206-I 70 Islam Rafiqul, Ronghua Tian, Lynn M Batten, and Steve Versteeg (2013) Classification of malware based on integrated static and dynamic featuresc J Netw Comput Appl Số 36.(2), Tr.646–56 71 J Steven Perry Anatomy of an IoT malware attack URL: [Online] Available: https://developer.ibm.com/technologies/iot/articles/iot-anatomy-iot-malwareattack/ Visited on: 31/11/2017 72 James King, Ali Ismail Awad (2016) A distributed security mechanism for resource-constrained IoT devices Informatica Số 40.(1), Tr.133–143 73 Kevin Ashton (2009) That “Internet of Things” thing RFID J Số 22.(7), Tr.97– 114 74 Khoshhalpour Ehsan, and Hamid Reza Shahriari (2018) BotRevealer: Behavioral detection of botnets based on botnet life-cycle ISeCure- ISC Int J Inf Secur Số 10.(1), Tr.55–61 75 Kim Yoon (2014) Convolutional neural networks for sentence classification arXiv preprint arXiv:1408.5882 134 76 Knud Lasse Lueth (2014) IoT Market – Forecasts at a glance URL: [Online] Available: https://iot-analytics.com/iot-market-forecasts-overview/ Visited on: 15/4/2018 77 Kolias Constantinos, et al (2017) DDoS in the IoT: Mirai and other botnets IEEE Comput Số 50.(7), Tr.80–4 78 Kolter J Zico, and Marcus A Maloof (2006) Learning to detect and classify malicious executables in the wild J Mach Learn Res ACM Số 7., Tr.2721–44 79 Kotsiantis, S B., Zaharakis, I., & Pintelas, P (2007) Supervised machine learning: A review of classification techniques Emerg Artif Intell Appl Comput Eng Số 160.(1), Tr.249–68 80 Krizhevsky, A (2014) One weird trick for parallelizing convolutional neural networks arXiv preprint arXiv:1404.5997 81 Kumar Ajit, K S Kuppusamy, and G Aghila (2018) FAMOUS: Forensic Analysis of MObile devices Using Scoring of application permissions Future Gener Comput Syst Số 83., Tr.158–72 82 Le Quoc, and Tomas Mikolov " (2014) Distributed representations of sentences and documents In Proceedings of the 31 st International Conference on Machine Learning Tr 1188–1196 83 Lin, Zhaowen, Fei Xiao, Yi Sun, Yan Ma, Cong-Cong Xing, and Jun Huang (2018) A Secure Encryption-Based Malware Detection System KSII Trans Internet Inf Syst Số 12.(4), Tr.1799–818 84 Liu Liu, Bao-sheng Wang, Bo Yu, and Qiu-xi Zhong (2017) Automatic malware classification and new malware detection using machine learning Front Inf Technol Electron Eng Số 18.(9), Tr.1336–47 85 Mikhail Kuzin, Yaroslav Shmelev, Vladimir Kuskov (2018) New trends in the world of IoT threats URL: [Online] Available: https://securelist.com/newtrends-in-the-world-of-iot-threats/87991/ Visited on: 15/2/2019 86 Mikolov Tomas, Ilya Sutskever, Kai Chen, Greg S Corrado, and Jeff Dean (2013) Distributed representations of words and phrases and their compositionality ACM, Proceedings of the 26th International Conference on Neural Information Processing Systems Tr 3111–9 URL: https://dl.acm.org/doi/10.5555/2999792.2999959 87 Muhammad Junaid Bohio (2015) Analysis of a MIPS Malware SANS Institute URL: [Online] Available: https://www.sans.org/readingroom/whitepapers/malicious/analyzing-backdoor-bot-mips-platform-35902 Visited on: 16/7/2017 88 Mwangi Karanja, Shedden Masupe, and Jeffrey Mandu Internet of things malware: Survey Int J Comput Sci Eng Surv IJCSES Số 8.(3), Tr.2017 135 89 Narayanan, A., Chandramohan, M., Chen, L., Liu, Y., & Saminathan, S (2016) Subgraph2vec: Learning distributed representations of rooted sub-graphs from large graphs arXiv preprint arXiv:1606.08928 90 Pascanu Razvan, et al (2015) Malware classification with recurrent networks IEEE, In 2015 IEEE International Conference on Acoustics, Speech and Signal Processing (ICASSP) Tr 1916–20 91 Prokofiev, A O., Smirnova, Y S., & Surov, V A (2018) A method to detect Internet of Things botnets IEEE, In 2018 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus) Tr 105–8 92 Rawat Waseem, and Zenghui Wang (2017) Deep convolutional neural networks for image classification: A comprehensive review Neural Comput Số 29.(9), Tr.2352–449 93 Sathya R., and Annamma Abraham (2013) Comparison of supervised and unsupervised learning algorithms for pattern classification Int J Adv Res Artif Intell Số 2.(2), Tr.34–8 94 Sebastián M., Rivera, R., Kotzias, P., & Caballero, J (2016) Avclass: A tool for massive malware labeling Springer, Cham, In International Symposium on Research in Attacks, Intrusions, and Defenses Lecture Notes in Computer Science Tr 230–53 95 Shafiq M Zubair, Syed Ali Khayam, and Muddassar Farooq (2008) Embedded malware detection using markov n-grams Springer, Berlin, Heidelberg, International conference on detection of intrusions and malware, and vulnerability assessment Lecture Notes in Computer Science Tr 88–107 96 Shahzad Farrukh, and Muddassar Farooq (2012) Elf-miner: Using structural knowledge and data mining methods to detect new (linux) malicious executables Knowl Inf Syst Số 30.(3), Tr.589–612 97 Shang Shanhu, et al (2010) Detecting malware variants via function-call graph similarity IEEE, In 5th International Conference on Malicious and Unwanted Software Tr 113–20 98 Sherwood Timothy, Erez Perelman, Greg Hamerly, and Brad Calder (2002) Automatically characterizing large scale program behavior ACM SIGPLAN Not Số 37.(10), Tr.45–57 99 Souri Alireza, and Rahil Hosseini (2018) A state‑ of‑ the‑ art survey of malware detection approaches using data mining techniques Souri Alireza Rahil Hosseini Số 8.(3), Tr.1–22 100 Srivastava, N., Hinton, G., Krizhevsky, A., Sutskever, I., & Salakhutdinov, R (2014) Dropout: a simple way to prevent neural networks from overfitting J Mach Learn Res Số 15.(1), Tr.1929–58 136 101 Symantec Official Blog (2015) Linux.Wifatch URL: [Online] Available: https://www.symantec.com/security_response/writeup.jsp?docid=2015-0112162314-99&tabid=2 Visited on: 19/9/2017 102 Symantec Security Response Security Response Team Vpnfilter: New router malware with destructive capabilities URL: [Online] Available: https://www.symantec.com/blogs/threat-intelligence/vpnfilteriot-malware, 2018 Visited on: 18/8/2018 103 W Zhou, Y Jia, A Peng, Y Zhang, and P Liu (2018) The effect of iot new features on security and privacy: New threats, existing solutions, and challenges yet to be solved IEEE Internet Things J Số 6.(2), Tr.1606–16 104 Wang, Aohui, Ruigang Liang, Xiaokang Liu, Yingjun Zhang, Kai Chen, and Jin Li (2017) An Inside Look at IoT Malware Springer, Cham, In International Conference on Industrial IoT Technologies and Applications Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering, Tr 176–86 105 Wang Junfeng, Bai Jinrong (2018) Function call graph fingerprint based malicious software detection method CN105046152A, 2018 URL: https://patents.google.com/patent/CN105046152B/en 106 Wu Chun-Jung, Ying Tie, Satoshi Hara, Kazuki Tamiya, Akira Fujita, Katsunari Yoshioka, and Tsutomu Matsumoto (2018) IoTProtect: Highly Deployable Whitelist-based Protection for Low-cost Internet-of-Things Devices J Inf Process Số 26., Tr.662–72 107 Xin Yang, et al (2018) Machine learning and deep learning methods for cybersecurity IEEE Access Số 6., Tr.35365–81 108 Xu Ming, Lingfei Wu, Shuhui Qi, Jian Xu, Haiping Zhang, Yizhi Ren, and Ning Zheng (2013) A similarity metric method of obfuscated malware using functioncall graph J Comput Virol Hacking Tech Số 9.(1), Tr.35–47 109 Yashaswini J (2017) A Review on IoT Security Issues and Countermeasures Orient J Comp Sci Technol Số 10.(2), Tr.454–9 110 Ye Yanfang, et al., (2017) A survey on malware detection using data mining techniques ACM Comput Surv CSUR Số 50.(3), Tr.1–40 111 Zaddach Jonas, et al (2014) AVATAR: A Framework to Support Dynamic Security Analysis of Embedded Systems Internet Society, Proceedings of the Network and Distributed System Security Symposium, Tr 1–16 112 Ziv Chang (2019) IoT Device Security Locking Out Risks and Threats to Smart Homes Trend Micro Research URL: [Online] Available: https://documents.trendmicro.com/assets/white_papers/IoT-Device-Security.pdf 137 113 Домът на Виерко (2013) lightaidra 0x2012 (aidra) URL: [Online] Available: https://vierko.org/tech/lightaidra-0x2012/ Visited on: 19/9/2017 114 (2019) Demystifying Neural Network in Skip-Gram Language Modeling URL: [Online] Available: https://aegis4048.github.io/demystifying_neural_network_in_skip_gram_langua ge_modeling’ Visited on: 20/5/2019 115 Detect-It-Easy URL: [Online] Available: https://github.com/horsicq/Detect-ItEasy Visited on: 15/9/2017 116 Firmware Analysis Tool URL: [Online] https://github.com/ReFirmLabs/binwalk Visited on: 17/9/2018 Available:: 117 IDA pro URL: [Online] Available:: https://www.hex-rays.com Visited on: 14/8/2017 118 IoT devices examples, definitions and e-shop for good price!, URL: [Online] Available: https://iotbuzzer.com/iot-devices-definition-and-examples/ Visited on: 20/2/2020 119 OpenWrt URL: [Online] Available: https://openwrt.org Visited on: 18/9/2018 120 Radware Brickerbot results in PDOS attack URL: [Online] Available: https://security.radware.com/ddos-threatsattacks/brickerbot-pdos-permanentdenial-of-service/ Visited on: 18/5/2018 121 UPX - the Ultimate Packer for eXecutables URL: [Online] Available: https://github.com/upx Visited on: 15/9/2017 122 VirusShare, Because Sharing is Caring https://virusshare.com Visited on: 10/1/2019 URL: [Online] Available: 123 VirusTotal URL: [Online] Available: https://www.virustotal.com Visited on: 19/9/2018 138 ... tự mã độc thiết bị di động [61] mã độc Linux [50] mã độc IoT botnet xem mã độc botnet lây nhiễm thiết bị IoT Trong phạm vi nghiên cứu, luận án định nghĩa mã độc IoT botnet sau: Định nghĩa 1.3 Mã. .. pháp phát mã độc IoT botnet dựa đồ thị PSI đồ thị có gốc PSI (PSI- rooted subgraph) để hồn thiện quy trình phát mã độc IoT botnet mà luận án đề xuất với độ xác cao độ phức tạp thấp Toàn mã nguồn nghiên. .. phương pháp đề xuất Chương nhằm đưa giải pháp hiệu phát mã độc IoT botnet Phần tập trung vào đề xuất cách thức xử lý đồ thị PSI nhằm sinh đặc trưng đồ thị mới, gọi đồ thị PSI có gốc (PSI- rooted