Trong phần này, luận văn sẽ ứng dụng mô hình học máy cộng tác phát hiện sớm IoT Botnet. Kiến trúc t ng quát của mô hình được biểu diễn cụ thể trong hình 2.4. T ng quát của mô hình có 5 thành phần chính để trích xuất và xử lý dữ liệu giúp đưa ra quyết định:
- Bộ phận thu thập dữ liệu;
- Bộ phận tiền xử lý và chuẩn hóa dữ liệu; - Bộ phận trích chọn đặc trưng;
- Các bộ phát hiện dựa trên thuật toán học máy khác nhau; - Bộ t ng hợp kết quả phát hiện.
Sự khác biệt để giải quyết vấn đề phát hiện mã độc IoT Botnet trong mô hình thử nhiệm so với các mô hình truyền thống là mô hình thử nghiệm sử dụng môi trường sandbox (trong trường hợp này là V-Sandbox [40]) để lấy một phần nhỏ lượng dữ liệu đặc trưng cho các hành vi đầu tiên của tệp đầu vào đang được xử lý để thực hiện phân tích và phát hiện mã độc thay vì phải đợi mã độc thực hiện đầy đủ hành vi để thu thập và xử lý với toàn bộ dữ liệu.
T ng quan quy trình xử lý và đưa ra quyết định của hệ thống được mô tả như sau. Các dữ liệu hành vi (bao gồm luồng mạng, lời gọi hệ thống và sử dụng tài nguyên của thiết bị) của tệp ELF đầu vào được thu thập trong môi trường sandbox. Các dữ liệu thu thập được này sẽ được tiền xử lý, chuẩn hóa và lựa chọn các đặc trưng phù hợp để đưa vào các mô hình bộ phân loại sử dụng thuật toán học máy. Những dự đoán của các mô hình học máy đơn lẻ này sau đó sẽ được đưa vào bộ t ng hợp để đưa ra kết luận phân loại cuối cùng.
Các thành phần và hoạt động cụ thể của chúng sẽ được trình bày trong phần tiếp theo và quá trình thực hiện cụ thể sẽ được trình bày trong chương 3 qua phần thực nghiệm và kết quả.