.2 Thống kê kết quả chạy V-Sandbox

Một phần của tài liệu (LUẬN án TIẾN sĩ) nghiên cứu xây dựng hệ thống v sandbox trong phân tích và phát hiện mã độc iot botnet (Trang 75 - 79)

Kiến trúc CPU

Số mẫu liên kết tĩnh

chạy thành cơng Số mẫu liên kết động chạy thành cơng

Tởng số mẫu chạy thành cơng ARM 1672 (81.36%) 607 (78.63%) 2279 (80.62%) MIPS 1790 (86.56%) 1021 (77.82%) 2811 (83.17%) Intel 80386 1745 (94.12%) 313 (83.47%) 2058 (92.33%) PowerPC 770 (66.09%) 148 (35.92%) 918 (58.21%) x86-64 692 (84.39%) 153 (64.83%) 845 (80.02%) Toàn bộ Dataset 6669 (83.76%) 2242 (72.16%) 8911 (80.50%)

Hình 2.15 Thơng tin thu thập bởi các tác tử của V-Sandbox

Hình 2.16 Thơng tin thu thập lời gọi hệ thống bởi SystemCall agent

Hình 2.18 Thơng tin thu thập bởi Host performance agent

Hình 2.19 Thơng tin thu thập bởi Network agent

Hình 2.21 Báo cáo tổng thể về hành vi của mẫu được chạy

Để chứng minh tính hiệu quả của V-Sandbox trong thu thập được đầy đủ dữ liệu hành vi của mã độc so với các IoT Sandbox khác, nghiên cứu sinh trình bày cụ thể kết quả so sánh trong mục 2.3.4 của luận án này. Ngồi ra, trong kết quả so sánh tại Bảng 2.5, tồn bộ các hành vi trong vòng đời của mã độc IoT Botnet cũng đã được V-Sandbox ghi nhận. Đây là minh chứng rõ ràng cho khả năng thu thập được đầy đủ dữ liệu hành vi mã độc IoT Botnet của mơi trường V-Sandbox.

2.3.4. So sánh hiệu quả V-Sandbox với các IoT Sandbox khác

Để so sánh hiệu quả hoạt động của V-Sandbox với các IoT Sandbox khác, nghiên cứu sinh sẽ tiến hành thử nghiệm và đánh giá khả năng thu thập dữ liệu hành vi của các IoT Sandbox nởi tiếng khác (như LiSa Sandbox, IoTBOX, Cuckoo Sandbox) với V- Sandbox trên cùng một tập dữ liệu. Cụ thể, kết quả chạy Dataset của nghiên cứu sinh với LiSa Sandbox được trình bày trong Bảng 2.3. Vì IoTBOX khơng cơng bố rộng rãi mã nguồn, khơng dễ để cài đặt và kiểm tra tính hiệu quả của Sandbox này trên bộ dữ liệu Dataset. Ngồi ra, Cuckoo Sandbox đã được nghiên cứu sinh cài đặt và chạy thử

nghiệm, nhưng chỉ hỗ trợ tốt cho các kiến trúc x86, việc cài đặt cho các kiến trúc CPU khác gặp nhiều khĩ khăn. Do đĩ, để so sánh, nghiên cứu sinh đã chọn một vài mẫu ngẫu nhiên để đánh giá hiệu quả của Cuckoo Sandbox trong Bảng 2.5. Tởng quan về các chức năng của IoT Sandbox đã cĩ với V-Sandbox được so sánh trong Bảng 2.4. Trong Bảng 2.5, mơ tả 12 mẫu được chọn ngẫu nhiên để so sánh hiệu quả của Sandbox được đề xuất với hai Sandbox được đánh giá cao hiện nay là Cuckoo và LiSa Sandbox. Trong Bảng 2.6, trình bày kết quả so sánh hiệu quả của V-Sandbox với Cuckoo và LiSa Sandbox với các mẫu cụ thể này.

Một phần của tài liệu (LUẬN án TIẾN sĩ) nghiên cứu xây dựng hệ thống v sandbox trong phân tích và phát hiện mã độc iot botnet (Trang 75 - 79)

Tải bản đầy đủ (PDF)

(139 trang)