HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Trần Hồng Anh NGHIÊN CỨU PHƯƠNG PHÁP LAI TRONG PHÁT HIỆN MÃ ĐỘC BOTNET TRÊN THIẾT BỊ IOT Chuyên ngành: Hệ thống thơng tin Mã số: 8.48.01.04 TĨM TẮT LUẬN VĂN THẠC SỸ ( Theo định hướng ứng dụng) Hà Nội - 2021 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Ngơ Quốc Dũng Phản biện 1: PGS TS Hồng Hữu Hạnh Phản biện 2: PGS TS Nguyễn Linh Giang Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: Ngày 28/8/2021 Có thể tìm hiểu luận văn tại: Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Ngày nay, cách mạng công nghiệp 4.0 làm biến đổi nhanh chóng cơng nghiệp quốc gia diễn phạm vi toàn cầu Với nhiều thành phần khác nhau, đặc điểm bật cách mạng cơng nghiệp lần thứ việc dịch chuyển hệ thống máy móc sản xuất truyền thống sang hệ thống tự động hố có khả tự hành cách thông minh (Cyber Physical Systems - CPSs), xóa nhịa biên giới thực ảo Hiện nay, cách mạng công nghiệp 4.0 giai đoạn sơ khai Xu hướng số hóa hay cơng chuyển đổi số xuất lĩnh vực ngành kinh tế Trong bước chuyển đổi đó, cơng nghệ Vạn vật kết nối (IoT – Internet of Things) phát triển cách mạnh mẽ thành phần thiếu hệ thống Các thiết bị IoT ứng dụng khơng trong cơng nghiệp mà cịn góp phần cải thiện đời sống người Phần lớn thiết bị IoT, mục đích triển khai cách dễ dàng diện rộng, sản xuất hàng loạt với khả bảo mật lỏng lẻo Trong thời đại mà thiết bị IoT vốn phân tán khắp nơi giới, bảo mật thiết bị trở thành đích ngắm vơ vàn cơng mã độc Trong số cơng đó, loại cơng lây lan với tốc độ chóc mặt nguy hiểm công sử dụng mã độc IoT Botnet Hiện nay, loại mã độc IoT Botnet phức tạp Mirai dần xuất với tỷ lệ đáng báo động Tuy nhiên, đặc điểm hạn chế tài nguyên hệ thống, việc phát mã độc IoT Botnet ngày đa dạng đổi khó khăn Số lượng nghiên cứu phát IoT Botnet cịn Vì vậy, coi hướng nghiên cứu ứng dụng cấp thiết tình hình Với lý đề cập trên, xin lựa chọn đề tài “Nghiên cứu phương pháp lai phát mã độc Botnet thiết bị IoT” Chương 1: MÃ ĐỘC IOT BOTNET VÀ CÁC HƯỚNG PHÁT HIỆN 1.1 Tổng quan mã độc IoT IoT Botnet 1.1.1 Khái niệm mã độc IoT Mã độc IoT loại mã độc tạo để nhắm tới thiết bị IoT, lợi dụng điểm yếu sẵn có lỗi kiến trúc mã mềm chất lượng thiết bị để thực hành động đánh cắp thông tin cá nhân người sử dụng, xây dựng mạng botnet chí phá hủy hạ tầng mạng Các hướng công mã độc IoT đa dạng, nhiên chúng chủ yếu nhắm vào tầng vật lý tầng mạng thiết bị IoT 1.1.2 Phân loại mã độc IoT Dựa đặc điểm thiết bị IoT tính chất đặc trưng mã độc, phân loại độc IoT thành loại: Worm, Trojan, Rootkit, Spyware, Botnet 1.1.3.Mã độc IoT Botnet nguy công từ chối dịch vụ IoT Botnet mạng lưới tạo nên thiết bị lây nhiễm IoT bot Về bản, chức IoT bot tương tự bot truyền thống Mạng lưới IoT Botnet thường điều khiển botmaster, cho phép thực hoạt động công với hỗ trợ bot Cách gọi mã độc IoT Botnet đề cập luận văn cách gọi chung cho toàn loại mã độc IoT botmaster cài cắm vào thiết bị IoT nạn nhân điều khiển chúng thực hành động công từ chối dịch vụ Hầu hết mã độc sinh thông qua việc chép mã nguồn biến thể mã độc gốc 1.2 Cấu trúc nguyên lý hoạt động mã độc IoT Botnet 1.2.1 Cấu trúc mạng mã độc IoT Botnet Mã độc IoT Botnet sử dụng cấu trúc mạng botnet tương tự với mạng botnet thơng thường, chia thành hai dạng mạng botnet tập trung mạng botnet ngang hàng Trong cấu trúc mạng botnet tập trung, máy chủ C&C có địa cố định Giao thức thường sử dụng trường hợp IRC HTTP Với cấu trúc mạng botnet ngang hàng, giao thức sử dụng chủ yếu giao thức P2P Trong trường hợp này, việc xác định địa máy chủ C&C khó khăn Ngồi hai thành phần bot máy chủ C&C, mạng mã độc IoT Botnet thường có thêm bốn thành phần phụ bao gồm: máy Scanner, máy chủ Report, máy Loader, máy chủ phân phối mã độc Các chức thành phần tổ hợp thực thành phần khác 1.2.2 Nguyên lý hoạt động mã độc IoT Botnet Nguyên lý hoạt động chủ yếu mã độc IoT Botnet thực công từ chối dịch vụ thông qua quy trình: (1) Thực cơng chiếm quyền điều khiển thiết bị; (2) Gửi thông tin thiết bị IoT máy chủ Report; (3) Botmaster giao tiếp với máy chủ Report thông qua máy chủ C&C; (4) Botmaster gửi lệnh lây nhiễm tới máy Loader; (5) Máy loader truy cập vào thiết bị IoT, dẫn thiết bị tải thực thi mã độc; (6) Botmaster thị bot công; (7) Các thiết bị bot công máy chủ mục tiêu 1.3 Các phương pháp phát mã độc IoT Botnet 1.3.1.Phát mã độc IoT Botnet dựa phân tích tĩnh Phương pháp phân tích tĩnh phương pháp phân tích, phát mã độc, lỗ hổng bảo mật dựa đặc trưng tập tin chương trình mà khơng cần thực thi chúng (trên thiết bị thực môi trường mơ phỏng) Việc phân tích thực mã nguồn tường minh tập tin nhị phân thực thi 1.3.2.Phát mã độc IoT Botnet dựa phân tích động Phân tích động phương pháp phân tích cách hoạt động mã độc mã độc thực thi Bằng cách giám sát hoạt động mã độc, cách thức thực thi lây lan nào, kết nối đến đâu, cài đặt vào hệ thống, thay đổi thành phần nhằm mục đích ngăn chặn việc lây nhiễm, tạo dấu hiệu nhận dạng hiệu 1.3.3.Phát mã độc IoT Botnet dựa phương pháp lai Trong phương pháp phân tích tĩnh phân tích động có ưu điểm hạn chế định Hướng phát dựa phân tích tĩnh có lợi việc hiểu rõ cấu trúc mã độc Trong đó, hướng phân tích động lại giải kỹ thuật làm rối mã độc Từ đó, sản sinh hướng tiếp cận nữa, với mục tiêu vận dụng ưu điểm hai phương pháp trên, phương pháp lai Đây hướng nghiên cứu luận văn Có vài cách thức thực phương pháp lai khác nhau, nhiên để đảm bảo tính khách quan hai quy trình phân tích tĩnh động, luận văn lựa chọn cách thực hai quy trình phân tích tĩnh động song song, sau dựa kết hai quy trình tập đặc trưng tĩnh động để tích hợp chúng lại sử dụng thuật tốn học máy để huấn luyện phân loại mã độc Kết luận chương Nội dung chương trình bày cách khái quát mã độc IoT nói chung IoT Botnet nói riêng Cùng với tổng quan hướng nghiên cứu vận dụng để phân tích, phát mã độc IoT Botnet Trong chương 1, luận văn đưa khái niệm, phân loại mã độc IoT nói chung cụ thể IoT Botnet nói riêng Từ đó, làm rõ cấu trúc nguyên lý hoạt động, lây lan mã độc IoT Botnet Bên cạnh đó, luận văn tìm hiểu số hướng nghiên cứu phương pháp vận dụng để phân tích, phát mã độc IoT Botnet ưu điểm, nhược điểm phương pháp phân tích động, phân tích phân tích lai Kết nghiên cứu chương sở để luận văn lựa chọn xây dựng thử nghiệm phương pháp lai phát mã độc IoT Botnet chương Chương 2: PHƯƠNG PHÁP LAI TRONG PHÁT HIỆN MÃ ĐỘC IOT BOTNET 2.1 Xây dựng đặc trưng tĩnh 2.1.1.Một số đặc trưng tĩnh phát mã độc IoT Botnet Trong phân tích tĩnh, tùy thuộc vào việc trích chọn xử lý đặc trưng ảnh hưởng đến độ xác độ phức tạp phương pháp phát mã độc IoT Botnet Dựa nghiên cứu phân tích tĩnh phát mã độc IoT, có số đặc trưng tĩnh sử dụng phát mã độc IoT Botnet, bao gồm : mã thực thi (Opcode), chuỗi (String), tiêu đề tập tin ELF (Executable and Linkable format), ảnh đa mức xám, đồ thị hàm gọi (FCG), đồ thị thông tin chuỗi in (PSI) 2.1.2.Đặc trưng tĩnh chọn cho phương pháp lai Dựa nguyên lý hoạt động mã độc IoT Botnet, thấy, cho dù mã độc IoT Botnet ngày tiến hóa số lượng biến thể lẫn chủng loại hoạt động chúng tuân theo quy luật định Đây coi đặc trưng riêng mã độc IoT Botnet hướng hiệu phát mã độc IoT Botnet Đồ thị PSI xây dựng thể cho chu trình hoạt động tiêu biểu mã độc IoT Botnet Vì lý đó, luận văn lựa chọn việc trích xuất đặc trưng từ đồ thị để làm đặc trưng tĩnh phục vụ cho phương pháp lai 2.1.3 Xây dựng tập đặc trưng tĩnh Sau xác định lựa chọn việc trích xuất đặc trưng tĩnh từ đồ thị thông tin chuỗi in PSI, việc xây dựng tập đặc trưng tĩnh cho phương pháp lai thực thông qua bước thể Hình 2.1 Hình 2.1: Quy trình xây dựng tập đặc trưng tĩnh Kết quy trình tập one-hot vector với chiều dài tùy ý tượng trưng cho tập đồ thị PSI mẫu tệp thực thi ELF 2.2 Xây dựng đặc trưng động 2.2.1.Một số đặc trưng động phát mã độc IoT Botnet Khác với phân tích tĩnh, tính hiệu phân tích động chủ yếu xoay quanh việc thực thi mã độc môi trường thời gian thực giám sát hành vi chúng Một số loại đặc trưng động chủ yếu thường thu thập bao gồm: lời gọi hệ thống (System call), thông tin mở rộng lời gọi hệ thống (EXINFO), lưu lượng truy cập mạng thông tin hiệu máy chủ 2.2.2 Lựa chọn môi trường giám sát thời gian thực Lựa chọn môi trường thời gian thực để giám sát thu thập hành vi đặc trưng mã độc yếu tố quan trọng quy trình phân tích động Mơi trường máy ảo sandbox sử dụng để mô giám sát cần phải đáp ứng số tiêu chí định Luận văn lựa chọn cơng cụ V-sanbox để mô Điểm mạnh Vsandbox nằm khả kích hoạt bổ sung hành vi độc hại mã độc IoT, nên liệu lời gọi hệ thống bao gồm nhiều thông tin lời gọi kết nối, gửi, nhận thông tin, Dựa thông tin này, luận văn tập trung khai thác liệu lời gọi hệ thống để xây dựng tập đặc trưng động 2.2.3 Xây dựng tập đặc trưng động Như vậy, quy trình xây dựng tập đặc trưng động thực thông qua ba bước thể Hình 2.4 Hình 2.2: Quy trình xây dựng tập đặc trưng động Kết quy trình tập one-hot vector với chiều dài tùy ý tượng trưng cho tập đồ thị SCG mẫu tệp thực thi ELF 2.3 Phương pháp tích hợp đặc trưng 2.3.1.Lựa chọn phương pháp tích hợp đặc trưng tĩnh động Có nhiều hướng tiếp cận cho phương pháp lai phát mã độc dựa việc tích hợp nhiều đặc trưng trích xuất từ đặc điểm tệp tin Tuy nhiên, việc kết nhiều mức độ nhiễu khác xung đột liệu khiến cho độ xác phương pháp giảm xuống điều hồn tồn xảy Vì lý đó, luận văn lựa chọn việc giới hạn kết hợp hai đặc trưng tập tin thực thi ELF đồ thị thông tin chuỗi in PSI đồ thị lời gọi hệ thống SCG Trong hướng tích hợp vector đặc trưng, có ba hướng tiếp cận, bao gồm: Early fusion, Late fusion Intermediate fusion Luận văn lựa chọn sử dụng phương pháp Early fusion để kết hợp hai tập vector đặc trưng tĩnh động để đảm bảo đơn giản liệu, tránh nhiễu tối ưu thời gian tính tốn 2.3.1.Xây dựng tập đặc trưng lai tĩnh động Tập đặc trưng lai tĩnh động xây dựng sử dụng phương pháp early fusion để kết hợp tập vector đặc trưng tĩnh trích xuất từ đồ thị thơng tin chuỗi in PSI tập vector đặc trưng động trích xuất từ đồ thị lời gọi hệ thống SCG Quy trình thực mơ tả Hình 2.5 Hình 2.3: Xây dựng tập vector đặc trưng lai tĩnh động Vector đặc trưng thu sau trình kết hợp có dạng: 2.4 Các thuật tốn phân loại mã độc Hiện nay, có nhiều nghiên cứu sử dụng kỹ thuật học máy phân loại mã độc Trong đó, thuật tốn thuật toán Cây định, thuật toán k-láng giềng gần nhất, Support Vector Machines Random Forest thường cho độ xác cao Ngun nhân tốn phát mã độc toán phân loại hai lớp Do đó, thuật tốn với ngun tắc phân chia ví dụ có nhãn khác thường có hiệu tốt Vì vậy, luận văn lựa chọn sử dụng bốn thuật toán cho toán phân loại mã độc với tập vector đặc trưng lai tĩnh động 2.4.1 Cây định (DT) Cây định nhận đầu vào giá trị đặc trưng mơ tả đối tượng hay tình trả giá trị rời rạc Để xác định nhãn phân loại cho mẫu đó, ta cho mẫu chuyển động từ gốc phía nút Tại nút, đặc trưng tương ứng với nút kiểm tra, tùy theo giá trị thuộc tính mà mẫu 10 chuyển xuống nhánh tương ứng bên Quá trình lặp lại mẫu tới nút nhận nhãn phân loại nhãn nút tương ứng 2.4.2 K-láng giềng gần (k-NN) Các phân loại k-láng giềng gần dựa việc học giống Khi có mẫu chưa biết cho trước phân loại k-láng giềng gần tìm kiếm không gian mẫu k mẫu huấn luyện gần mẫu chưa biết Mẫu chưa biết phân vào lớp phổ biến số k láng giềng gần 2.4.3 Support Vector Machines (SVM) Nguyên tắc SVM tìm siêu phẳng phù hợp với lề cực đại, tức khoảng cách từ siêu phẳng tới ví dụ có nhãn khác lớn SVM thuật toán mạnh thường dùng toán phân loại Tuy nhiên, thuật tốn u cầu khả tính tốn cao, nhạy với liệu nhiễu thường gặp phải vấn đề vừa liệu 2.4.4 Random Forest (RF) Random Forest (RF) thuật toán phân loại cách xây dựng nhiều định từ tập liệu Thuật tốn Ramdom Forest xử lý lượng lớn đặc trưng tập liệu Ngoài ra, trình xây dựng cây, chúng tạo ước lượng khơng mang tính khuynh hướng lỗi tổng qt Thêm vào đó, thuật tốn cịn ước tính tốt liệu bị thiếu 11 Kết luận chương Nội dung chương luận văn trình bày kết trình nghiên cứu, tìm hiểu hướng tiếp cận dựa phương pháp lai phát mã độc IoT Botnet Hướng tiếp cận phương pháp lai mà luận văn chọn tiến hành phân tích tĩnh động song song, sau kết hợp đặc trưng thu thành tập đặc trưng lai dùng cho phát mã độc IoT Botnet Để tích hợp tập vector đặc trưng tĩnh động thành tập vector đặc trưng lai, luận văn sử dụng phương pháp tích hợp đặc trưng Early fusion Phương pháp kết hợp đặc trưng đảm bảo đơn giản liệu, tránh nhiễu tối ưu thời gian tính tốn đổi với tập vector đặc trưng lai Mơ hình phương pháp lai thử nghiệm xây dựng chương sở để tiến hành thực nghiệm đánh giá hiệu phương pháp tiến hành chương 12 Chương 3: THỬ NGHIỆM VÀ ĐÁNH GIÁ 3.1 Xây dựng tập liệu 3.1.1.Phương pháp thu thập mẫu mã độc IoT Botnet lành tính Tập liệu thu thập từ nguồn sau: - Đối với mẫu mã độc IoT: có hai nguồn thu thập từ nhóm dự án IoTPOT từ VirusShare - Đối với mẫu lành tính: trích xuất từ thiết bị IoT SOHO, tải từ trang web hãng sản xuất, thu thập số hãng khác từ OpenWRT Sau thu thập, tệp tin kiểm tra để đảm bảo độ xác nhãn mã độc lành tính Các mẫu bị trùng lặp, hư hại tập tin ELF bị loại bỏ để đảm bảo tính khách quan Các mẫu dịch ngược thực thi sandbox bị loại bỏ để đảm bảo tính thống tập liệu 3.1.2 Mơ tả tập liệu Như vậy, sau thực phương pháp trên, tập liệu thu bao gồm 6520 mẫu, có 4644 mẫu mã độc IoT Botnet 1876 mẫu tập tin IoT lành tính Tập liệu chia thành hai tập phục vụ cho việc huấn luyện kiểm tra với tỷ lệ phân chia 70% 30% 3.2 Phương pháp đánh giá độ đo sử dụng 3.2.1 Phương pháp đánh giá Bên cạnh việc giá độ xác phương pháp lai phát mã độc, để so sánh trội phương pháp lai, luận văn thực thực nghiệm tương tự với hai tập vector đặc trưng tĩnh vã động riêng biệt Để xử lý vấn đề thiếu cân mẫu mã độc lành tính tập liệu, phân loại đánh trọng số cho nhãn Quá trình thực nghiệm thể Hình 3.1 Hình 3.1: Thực nghiệm phân loại mã độc Tập vector đặc trưng lai đưa vào trích chọn đặc trưng để giảm bớt kích thước liệu, sau chuẩn hóa để tập liệu có giá trị kỳ vọng khơng 13 độ lệch chuẩn Cuối tập liệu chuẩn hóa đưa vào phân loại để huấn luyện chọn mơ hình phân loại tốt để kiểm tra 3.2.2 Các độ đo sử dụng để đánh giá Tương tự nghiên cứu phân loại mã độc, luận văn sử dụng độ đo Accuracy, TPR, FPR, Precision, F1 để đánh giá hiệu phân loại 3.3 Kết thực nghiệm Kết thực nghiệm phương pháp lai thể Bảng 3.2 Bảng 3.1: Kết thực nghiệm với phương pháp lai (%) ACC ROC AUC FPR Precision TPR F1 DT 94.99 93.89 8.70 96.48 96.48 96.48 k-NN 98.57 97.78 4.09 98.37 99.64 99.00 SVM 99.18 98.79 2.13 99.14 99.71 99.43 RF 98.52 97.53 4.80 98.10 99.86 98.97 Mối quan hệ tỷ lệ dương dương sai biểu diễn thông qua đường cong ROC tương ứng với phân loại Hình 3.2 Hình 3.2: Đường cong ROC phân loại Kết so sánh phương pháp lai với hai phương pháp phân tích tĩnh động thể Bảng 3.3 Bảng 3.2: So sánh phương pháp phân tích động, phân tích tĩnh phương pháp lai (%) ACC ROC AUC FPR Precision TPR F1 PSI 96.83 96.66 3.73 98.47 97.06 97.76 3.1 Đánh giá so sánh 14 SCG 98.41 97.75 3.71 98.61 99.2 98.91 Lai 99.18 98.79 2.13 99.14 99.71 99.43 Theo Bảng 3.1, bốn phân loại cho tỷ lệ xác cao với tỷ lệ dương sai thấp Trong đó, mơ hình cho kết cao Support Vector Machines Như vậy, phương pháp nghiên cứu phát mã độc IoT Botnet với độ xác cao Hình 3.2 cho thấy phân loại khơng bị bias số lượng lớn mẫu mã độc tập liệu khả phân loại hai nhãn mã độc lành tính tốt Đối với thực nghiệm riêng lẻ với hai phương pháp phân tích tĩnh động, kết cho thấy phân loại Support Vector Machines cho kết tốt phương pháp tĩnh động Bên cạnh đó, dựa liệu từ Bảng 3.3, thấy phương pháp lai cho kết cao tốt so với việc sử dụng riêng lẻ tập đặc trưng tĩnh động cho thực nghiệm Bảng 3.3: So sánh với số phương pháp khác Phương ACC AUC Precision TPR F1 pháp HaddadPaj (%) (%) (%) (%) (%) 96,35 96,28 97,74 96,53 97,13 95,13 95,23 96,9 94,67 95,77 99,18 98,79 99,14 99,71 99,43 ouh Su Luận văn So sánh mơ hình phương pháp lai nghiên cứu với mơ hình phát mã độc IoT Botnet số nghiên cứu khác cho kết khả quan theo Bảng 3.4, thể hiệu cải tiến phương pháp lai so với phương pháp tĩnh động đơn 15 Kết luận chương Trong chương 3, luận văn trình bày trình thử nghiệm đánh giá mơ hình phương pháp lai trình bày chương 2, bao gồm xây dựng tập liệu, lựa chọn phương pháp đánh giá, tiến hành thử nghiệm, cuối so sánh đưa kết luận đánh giá Kết đánh giá cho thấy phương pháp lai thử nghiệm có độ xác cao tỷ lệ dương sai thấp, có khả phân loại mã độc lành tính tốt Đồng thời, kết thể tính hiệu cải tiến phương pháp lai thử nghiệm luận văn 16 KẾT LUẬN VÀ KIẾN NGHỊ Sự phát triển mạnh mẽ mạng Internet đặc biệt thời gian gần Internet vạn vật (IoT - Internet of Things) mang lại tiện ích phong phú cho người dùng truyền nhận liệu, liên lạc, quản lý, theo dõi sức khoẻ, thiết bị tự hành hay sở hạ tầng thơng minh Phân tích phát mã độc IoT Botnet thiết bị IoT hướng quan trọng mặt lý thuyết ứng dụng, sở tảng để mở rộng để nghiên cứu cho tất loại mã độc thiết bị IoT, nội dung quan trọng để phịng chống nguy cơng mạng hoạt động đảm bảo an ninh mạng, góp phần bảo vệ an ninh quốc gia, trật tự an toàn xã hội Để xác định phạm vi nghiên cứu, luận văn tiến hành nghiên cứu phương pháp phân tích, phát mã độc Botnet thiết bị IoT, đồng thời tìm hiểu hướng tiếp cận sử dụng phương pháp lai phát mã độc IoT Botnet Mơ hình phương pháp lai tiến hành thực nghiệm với tập liệu mẫu IoT Botnet thu thập thực tế Kết đánh giá cho thấy rõ ưu phương pháp lai so với phương pháp tĩnh động đơn Kết luận văn bước đầu cho việc mở rộng hướng phát mã độc IoT Botnet dựa phương pháp lai, kết hợp ưu điểm tốt phương pháp phân tích tĩnh phân tích động Nội dung nghiên cứu luận văn trình bày cơng bố Kỷ yếu hội nghị quốc tế, cụ thể là“IoT Botnet Detection Based on the Integration of Static and Dynamic Vector Features” Hội nghị quốc tế lần thứ tám Truyền thông Điện tử (ICCE 2020) “Toward an approach using graph-theoretic for IoT botnet detection” Hội nghị quốc tế máy tính, mạng Internet vạn vật (CNIOT 2021) Tuy nhiên, luận văn số hạn chế xây dựng tập đặc trưng lai Cụ thể khó khăn việc dịch ngược số mẫu mã độc IoT Botnet để trích xuất đồ thị PSI Bên cạnh đó, cơng cụ V-sandbox hỗ trợ loại tảng kiến trúc danh sách thị máy chủ C&C mơ cịn hạn chế nên chưa thể mơ hết mẫu mã độc Ngồi ra, phương pháp tích hợp đặc trưng tĩnh động cịn đơn giản phù hợp tích hợp số loại vector đặc trưng Trong trường hợp cần tích hợp nhiều loại đặc trưng tĩnh động phương pháp tích hợp không hiệu 17 Dựa kết nghiên cứu, luận văn đưa số kiến nghị cho hướng phát triển tương lai sau: - Tiếp tục cải thiện phương pháp tích hợp đặc trưng tĩnh động, để tích hợp nhiều đặc trưng mạnh hơn, góp phần cải thiện độ xác phương pháp phát mã độc IoT Botnet nói riêng mã độc IoT nói chung - Nghiên cứu phương pháp phòng thủ, bảo vệ thiết bị IoT khỏi bị lây nhiễm mã độc IoT Botnet nói chung mã độc IoT nói chung Từ xây dựng cơng cụ kiểm định, đánh giá độ an ninh, an toàn thiết bị IoT trước đưa vào sử dụng hệ thống thông tin, hệ thống thông tin quan trọng an ninh quốc gia - Nghiên cứu phương pháp phịng, chống hoạt động cơng mạng sử dụng mã độc IoT Botnet cá nhân, tổ chức Xây dựng quy trình ứng phó với phương thức công mạng để xác định nguồn gốc, loại trừ hành vi công mạng thu thập tài liệu chứng phục vụ trình điều tra, truy tố 18 ... thiết bị IoT? ?? Chương 1: MÃ ĐỘC IOT BOTNET VÀ CÁC HƯỚNG PHÁT HIỆN 1.1 Tổng quan mã độc IoT IoT Botnet 1.1.1 Khái niệm mã độc IoT Mã độc IoT loại mã độc tạo để nhắm tới thiết bị IoT, lợi dụng điểm yếu... văn tiến hành nghiên cứu phương pháp phân tích, phát mã độc Botnet thiết bị IoT, đồng thời tìm hiểu hướng tiếp cận sử dụng phương pháp lai phát mã độc IoT Botnet Mơ hình phương pháp lai tiến hành... vào thiết bị IoT, dẫn thiết bị tải thực thi mã độc; (6) Botmaster thị bot công; (7) Các thiết bị bot công máy chủ mục tiêu 1.3 Các phương pháp phát mã độc IoT Botnet 1.3.1 .Phát mã độc IoT Botnet