CHƯƠNG 1 TỔNG QUAN VỀ THIẾT BỊ IOT VÀ MÃ ĐỘC IOT BOTNET
2.3. Thử nghiệm và đánh giá
2.3.3. Kết quả kiểm nghiệm V-Sandbox
Trong Bảng 2.2, mơ tả kết quả chạy Dataset trên V-Sandbox. Kết quả thử nghiệm cho thấy với Dataset chứa 11069 mẫu bao gồm 6316 mẫu mã độc IoT Botnet và 4753 mẫu lành tính, V-Sandbox đã chạy và phân tích thành cơng 8911 mẫu với nhiều kiến trúc CPU khác nhau. Đáng chú ý, tỷ lệ mẫu liên kết tĩnh đạt hơn 80% và mẫu liên kết động là hơn 70%. Kết quả này là một lợi thế khi kết hợp máy chủ C&C và thư viện liên kết động trong V-Sandbox. Các kết quả phân tích được thu thập từ V-Sandbox cho các mẫu trong Bộ dữ liệu được minh họa trong các hình dưới đây.
Bảng 2.2 Thống kê kết quả chạy V-Sandbox
Kiến trúc CPU
Số mẫu liên kết tĩnh
chạy thành cơng Số mẫu liên kết động chạy thành cơng
Tởng số mẫu chạy thành cơng ARM 1672 (81.36%) 607 (78.63%) 2279 (80.62%) MIPS 1790 (86.56%) 1021 (77.82%) 2811 (83.17%) Intel 80386 1745 (94.12%) 313 (83.47%) 2058 (92.33%) PowerPC 770 (66.09%) 148 (35.92%) 918 (58.21%) x86-64 692 (84.39%) 153 (64.83%) 845 (80.02%) Toàn bộ Dataset 6669 (83.76%) 2242 (72.16%) 8911 (80.50%)
Hình 2.15 Thơng tin thu thập bởi các tác tử của V-Sandbox
Hình 2.16 Thơng tin thu thập lời gọi hệ thống bởi SystemCall agent
Hình 2.18 Thơng tin thu thập bởi Host performance agent
Hình 2.19 Thơng tin thu thập bởi Network agent
Hình 2.21 Báo cáo tổng thể về hành vi của mẫu được chạy
Để chứng minh tính hiệu quả của V-Sandbox trong thu thập được đầy đủ dữ liệu hành vi của mã độc so với các IoT Sandbox khác, nghiên cứu sinh trình bày cụ thể kết quả so sánh trong mục 2.3.4 của luận án này. Ngồi ra, trong kết quả so sánh tại Bảng 2.5, tồn bộ các hành vi trong vòng đời của mã độc IoT Botnet cũng đã được V-Sandbox ghi nhận. Đây là minh chứng rõ ràng cho khả năng thu thập được đầy đủ dữ liệu hành vi mã độc IoT Botnet của mơi trường V-Sandbox.