Phương pháp phân tích tĩnh là phương pháp phân tích, phát hiện mã độc, lỗ hổng bảo mật dựa trên những đặc trưng của các tập tin chương trình mà không cần thực thi chúng (trên thiết bị thực hoặc môi trường mô phỏng). Việc phân tích như vậy có thể thực hiện trên mã nguồn tường minh hoặc các tập tin nhị phân thực thi.
Trong hướng tiếp cận dựa trên phân tích tĩnh, các đặc trưng phổ biến của mã độc như: tiêu đề tập tin (header), các lời gọi hàm hệ thống, thông tin chuỗi in (PSI), FLF (Function Length Frequency), các thư viện liên kết, OpCode (trích xuất từ mã assembly)… sẽ được trích xuất từ các tập tin thực thi để đưa vào các thuật toán học máy phân loại [1], [10], [12], [18], [21]. Dịch ngược là hướng tiếp cận phổ biến để trích xuất những thông tin đặc trưng trên từ một tập tin thực thi. Cách thức trích xuất và xử lý những đặc trưng đó ảnh hưởng lớn đến độ chính xác và phức tạp của các phương pháp phát hiện mã độc IoT, những đặc trưng đó có thể được chia thành 02 nhóm: dựa trên các đặc trưng có cấu trúc đồ thị và dựa trên các đặc trưng không có cấu trúc đồ thị, như minh họa ở Hình 1.4.
Các phương pháp phát hiện mã độc sử dụng các đặc trưng không có cấu trúc đồ thị nhằm xây dựng các mô hình phát hiện chứa các thuộc tính của cấu trúc tập tin nhị phân để phân loại một tập tin nhị phân là mã độc hay lành tính. Những phương pháp này dựa trên trích xuất các đặc trưng gồm Opcode, Strings hoặc cấu trúc tập tin phân biệt các mẫu mã độc. Những đặc trưng này có thể được chia thành 2 nhóm: đặc trưng mức cao và đặc trưng mức thấp. Cụ thể, các đặc trưng mức thấp có thể được thu thập trực tiếp từ trong cấu trúc của tập tin, trong khi đó các đặc trưng mức cao cần sử dụng các công cụ hỗ trợ phân tách (disassembler) như IDA Pro hoặc Radare2. Những nghiên cứu biểu diễn các tập tin thực thi bằng các đặc trưng không có cấu trúc đồ thị sẽ phụ thuộc nhiều vào giá trị của các đặc trưng (ví dụ lời gọi hàm inet_toa) và sẽ không thể mô tả thông tin ngữ nghĩa phức tạp giữa các đặc trưng (ví dụ như dữ liệu
phụ thuộc trong vòng đời mã độc IoT botnet). Bên cạnh đó các nghiên cứu sử dụng đặc trưng không có cấu trúc đồ thị thường khá yếu với mã độc sử dụng kỹ thuật gây rối như mã hóa, chèn dữ liệu rác...
Hình 1.4: Phân loại các đặc trưng tĩnh trong phát hiện mã độc IoT Botnet
(Nguồn: “A survey of IoT malware and detection methods based on static features”)
Một vài nghiên cứu theo hướng phát hiện mã độc IoT dựa trên phân tích tĩnh gần đây có thể kể đến như:
- Nghiên cứu của HaddadPajouh và các cộng sự [10] đề xuất một hướng tiếp cận sử dụng học sâu với mạng nơ-ron hồi quy (RNN) và các đặc trưng tĩnh trích xuất từ mã OpCode thực thi của ứng dụng IoT. Mô hình đề xuất được huấn luyện với tập dữ liệu gồm 281 mẫu mã độc và 270 mẫu lành tính, sau đó được kiểm tra với 100 mẫu mã độc IoT mới thông qua ba cấu hình mạng bộ nhớ dài - ngắn (LSTM) khác nhau. Độ chính xác cao nhất của mô hình đề xuất là 98,18%.
- Nghiên cứu của Su và các cộng sự [12] đưa ra một mô hình phát hiện mã độc IoT Botnet thời gian thực thông qua việc chuyển đổi mã nhị phân của mã độc sang dạng ảnh đa mức xám, sau đó sử dụng mạng nơ-ron tích chập (CNN) trọng số nhẹ
huấn luyện. Mô hình được thực nghiệm với tập dữ liệu bao gồm 500 mẫu mã độc và 365 mẫu lành tính, đạt được độ chính xác cao nhất là 94,0%.
- Nghiên cứu của Ngô Quốc Dũng và các cộng sự [18] đề xuất hướng tiếp cận sử dụng các đặc trưng tĩnh từ đồ thị thông tin chuỗi in (PSI) cho phát hiện mã độc IoT Botnet. Các đặc trưng từ đồ thị thông tin chuỗi in được xây dựng dựa trên đồ thị hàm gọi (Function Call Graph) rút gọn, tượng trưng cho chu trình hoạt động của mã độc IoT Botnet. Mô hình được thử nghiệm trên tập dữ liệu gồm 12000 mẫu với 7000 mẫu mã độc IoT Botnet và đạt được độ chính xác vào khoảng 98,7%.