6. Bố cục của luận án
1.4. Kết luận Chương 1
Trong Chương 1, nghiên cứu sinh đã trình bày những vấn đề cơ bản về thiết bị IoT và vấn đề bảo mật cịn tồn tại của thiết bị này. Nghiên cứu sinh cũng đã đánh giá, phân tích tình hình nghiên cứu phát hiện nguy cơ tấn cơng phở biến nhất đối với thiết bị IoT – IoT Botnet. Từ đĩ cho thấy việc nghiên cứu các phương pháp phát hiện mã độc IoT Botnet cịn rất hạn chế, cần được cải tiến. Vì vây, đề tài luận án nghiên cứu sinh tập trung vào việc phát hiện IoT Botnet cĩ ý nghĩa khoa học lớn cả về lý thuyết và thực tế. Ngồi ra, nghiên cứu sinh cũng đã trình bày tởng quan về mã độc IoT Botnet với những đặc điểm khác biệt với mã độc Botnet trên thiết bị truyền thống, khảo sát và đánh giá các phương pháp phát hiện IoT Botnet hiện cĩ. Từ đĩ làm cơ sở tiền đề cho các nội dung nghiên cứu tại các chương tiếp theo về phương pháp phát hiện mã độc IoT Botnet trong luận án của nghiên cứu sinh.
Với những nội dung đã trình bày trong Chương 1, nghiên cứu sinh xác định các vấn đề cần giải quyết để đạt được mục tiêu nghiên cứu của luận án gồm:
- Quá trình thu thập dữ liệu động phục vụ phân tích và phát hiện mã độc IoT Botnet trên các thiết bị IoT hạn chế tài nguyên cịn gặp nhiều khĩ khăn, nhất là các nhược điểm của mơi trường IoT Sandbox hiện cĩ. Vì vậy, cần xây dựng một mơi trường IoT Sandbox mới (đặt tên là V-Sandbox) cho phép mơ phỏng đầy đủ các yêu cầu cần thiết để mã độc IoT Botnet cĩ thể thực thi trọn vẹn vịng đời của mình. Sandbox này phải cho phép thu thập khơng những đầy đủ dữ liệu hành vi của mã độc mà cịn cần đạt được tỉ lệ mơ phỏng thành cơng cao hơn so với các cơng cụ mơ phỏng khác trên cùng một tập dữ liệu.
- Thu thập được nhiều dữ liệu đồng nghĩa với việc sẽ cĩ nhiều dữ liệu dư thừa, gây rối làm ảnh hướng đến tính chính xác trong việc phát hiện mã độc. Chính vì vậy, việc xây dựng thuật tốn tiền xử lý, phân tích và phát hiện mã độc dựa trên lượng lớn dữ liệu thu thập được, bao gồm cả dữ liệu gây rối, với tỉ lệ âm tính giả thấp là cấp thiết. Trong các dữ liệu hành vi thì lời gọi hệ thống (System Call) cung cấp chi tiết và ít dữ liệu dư thừa nhất về tương tác của các tập tin thực thi với hệ thống. Hiện nay các nghiên cứu phân tích động dựa trên lời gọi hệ thống đa phần sử dụng đặc trưng tần xuất xuất hiện lời gọi và chưa khai thác hiệu quả đặc trưng vịng đời của mã độc IoT Botnet. Với giả thuyết nghiên cứu đã nêu, nghiên cứu sinh đề xuất đặc trưng đồ thị lời gọi hệ thống cĩ hướng (Directed System Call Graph - DSCG) để cấu trúc hố một cách tuần tự các
lời gọi hệ thống thu được từ mơi trường V-Sandbox đề xuất ở trên. Phương pháp tiền xử lý dữ liệu lời gọi hệ thống được đề xuất sẽ cĩ độ phức tạp thấp, dễ áp dụng với những thuật tốn học máy đơn giản.
- Để cĩ thể đưa các kết quả phân tích động vào thực tế, nghiên cứu sinh thấy rằng việc phát hiện sớm đĩng vai trị then chốt để hạn chế lây lan và phát tán của mã độc. Mặc dù đặc trưng DSCG mang lại các kết quả khả quan nhưng việc sử dụng tồn bộ dữ liệu về quá trình hoạt động của các tập tin thực thi chưa cho phép giải quyết vấn đề phát hiện sớm mã độc IoT Botnet. Với cách tiếp cận này, nghiên cứu sinh đã đề xuất mơ hình học máy cộng tác phát hiện sớm mã độc IoT Botnet. Trong mơ hình này, các dữ liệu đặc trưng động thu thập từ V-Sandbox bao gồm dữ liệu luồng mạng, lời gọi hệ thống, thơng tin sử dụng tài nguyên thiết bị,… sẽ được kết hợp với nhau trong việc xây dựng mơ hình phát hiện mã độc IoT Botnet hợp nhất với số lượng dữ liệu thu thập là tối thiểu.
Ba vấn đề này sẽ lần lượt được giải quyết tại các chương tiếp theo của luận án này. Kết quả khảo sát, phân tích đánh giá và thực nghiệm mơ hình đề xuất trong Chương 1 đã được trình bày, cơng bố trên các Tạp chí, Kỷ yếu Hội thảo uy tín trong nước. Cụ thể là:
-“Xây dựng mơ hình phát hiện mã độc trên thiết bị định tuyến bằng tác tử”, Kỷ yếu hội
thảo quốc gia lần thứ 20: Một số vấn đề chọn lọc của Cơng nghệ thơng tin và truyền thơng, 2017.
-“Xây dựng mơ hình thu thập, phát hiện tấn cơng mạng sử dụng thiết bị IoT”, Kỷ yếu
hội thảo quốc gia lần thứ 2: Một số vấn đề chọn lọc về an tồn an ninh thơng tin (SoIS), 2017.
-“Xây dựng hệ thống phát hiện xâm nhập mạng các thiết bị IoT dân sự trong nhà thơng minh”, Kỷ yếu hội thảo quốc gia lần thứ 21: Một số vấn đề chọn lọc của Cơng nghệ
thơng tin và truyền thơng, 2018.
-“Kết hợp CNN và LSTM trong nâng cao hiệu năng phát hiện tấn cơng mạng của HIDS với bộ dữ liệu ADFA”, Hội thảo quốc gia lần thứ 3: Một số vấn đề chọn lọc về an tồn
an ninh thơng tin, 2018. In tại Tạp chí Thơng tin và Truyền thơng (số tháng 12/2018, ISSN 1859-3550)
CHƯƠNG 2. XÂY DỰNG MƠI TRƯỜNG SANDBOX THU THẬP HIỆU QUẢ DỮ LIỆU HÀNH VI CỦA MÃ ĐỘC IOT BOTNET