CHƯƠNG 1 TỔNG QUAN VỀ THIẾT BỊ IOT VÀ MÃ ĐỘC IOT BOTNET
2.1. Phát biểu bài tốn
Trong quá trình thu thập dữ liệu động cho bài tốn phát hiện mã độc IoT Botnet trên các thiết bị IoT hạn chế tài nguyên, nghiên cứu sinh tiến hành thực thi các mẫu trong bộ dữ liệu thử nghiệm ( Dataset với hơn 11,000 mẫu gồm IoT Botnet và tệp lành tính) với các IoT Sandbox đã được cơng bố (như Cuckoo Sandbox [46], CWSandbox [47], IoTBOX [43], REMnux [48],…). Tuy nhiên, chỉ một tỉ lệ nhỏ các mẫu này được kích hoạt thực thi và thu thập dữ liệu thành cơng với các IoT Sandbox kể trên. Dựa trên kết quả khảo sát, nghiên cứu và đánh giá, nghiên cứu sinh xác định nguyên nhân của vấn đề này là các IoT Sandbox hiện cĩ tồn tại một trong những hạn chế sau:
- Khơng hỗ trợ đa dạng kiến trúc vi xử lý ngồi i386 và x86-64 như: MIPS, ARM, SPARC, PowerPC.
- Mơi trường mơ phỏng chưa cung cấp đầy đủ các thành phần cần thiết cho mã độc thể hiện đầy đủ hành vi độc hại như: kết nối và giao tiếp với máy chủ C&C (Command-and-Control server), các thư viện liên kết động (Shared libraries) phù hợp.
- Chưa thu thập được đầy đủ dữ liệu về hành vi độc hại trong quá trình mã độc IoT Botnet thực thi, cụ thể bao gồm luồng mạng, lời gọi hệ thống và thơng tin chiếm dụng tài nguyên của thiết bị.
Như vậy, để giải quyết các hạn chế kể trên, bài tốn nghiên cứu của Chương này được phát biểu như sau:
Xây dựng một mơi trường Sandbox cho phép mơ phỏng đầy đủ các yêu cầu cần thiết để mã độc IoT Botnet cĩ thể thực thi trọn vẹn vòng đời của mình. Sandbox này phải cho phép thu thập khơng những đầy đủ dữ liệu hành vi phổ biến của mã độc mà cịn cần đạt được tỉ lệ mơ phỏng thành cơng cao hơn so với các cơng cụ mơ phỏng khác trên cùng một tập dữ liệu.
Để giải quyết bài tốn kể trên, nghiên cứu sinh đã xây dựng mơi trường sandbox cho thiết bị IoT hạn chế tài nguyên đặt tên là V-Sandbox. Nội dung mơi trường sandbox đề xuất được trình bày cụ thể trong phần tiếp theo của luận án.