Luận Án Tiến Sĩ: Xây Dựng Hệ Thống V Sandbox Phân Tích Mã Độc IoT Botnet

LỜI CAM ĐOAN

1. MỞ ĐẦU

1.1. Tính cấp thiết của luận án

1.2. Mục tiêu nghiên cứu của luận án

1.3. Đối tượng và phạm vi nghiên cứu

1.3.1. Đối tượng nghiên cứu

1.3.2. Phạm vi nghiên cứu

1.4. Nội dung và phương pháp nghiên cứu

1.4.1. Nội dung nghiên cứu

1.4.2. Phương pháp nghiên cứu

1.4.2.1. Nghiên cứu lý thuyết

1.4.2.2. Nghiên cứu thực nghiệm

1.5. Các đóng góp chính của luận án

1.6. Bố cục của luận án

2. TỔNG QUAN VỀ THIẾT BỊ IOT VÀ MÃ ĐỘC IOT BOTNET

2.1. Tổng quan về thiết bị IoT

2.1.1. Khái niệm thiết bị IoT

2.1.2. Phân loại thiết bị IoT

2.1.3. Các vấn đề bảo mật tồn tại trên thiết bị IoT hạn chế tài nguyên

2.2. Tổng quan về mã độc IoT Botnet

2.2.1. Khái niệm mã độc IoT Botnet

2.2.2. Đặc điểm của mã độc IoT Botnet. Quy trình phát hiện mã độc IoT Botnet

2.3. Thu thập dữ liệu

2.3.1. Tiền xử lý dữ liệu

2.3.1.1. Tiền xử lý dữ liệu luồng mạng

2.3.1.2. Tiền xử lý dữ liệu lời gọi hệ thống

2.3.1.3. Tiền xử lý dữ liệu tương tác với tài nguyên của hệ thống

2.4. Phân tích và phát hiện

2.4.1. Ứng dụng học máy trong phát hiện mã độc IoT Botnet

2.4.2. Ứng dụng học sâu trong phát hiện mã độc IoT Botnet

2.5. Kết luận Chương 2

3. ĐẶC TRƯNG ĐỒ THỊ LỜI GỌI HỆ THỐNG CÓ HƯỚNG TRONG PHÁT HIỆN MÃ ĐỘC IOT BOTNET

3.1. Phát biểu bài toán

3.2. Lựa chọn nguồn dữ liệu động phục vụ tiền xử lý và phân tích

3.3. Bài toán xây dựng đặc trưng từ lời gọi hệ thống

3.4. Sơ đồ và ý tưởng phương pháp đề xuất

3.5. Đồ thị lời gọi hệ thống có hướng DSCG

3.5.1. Khái niệm đồ thị lời gọi hệ thống có hướng DSCG

3.5.2. Xây dựng đồ thị lời gọi hệ thống có hướng DSCG

3.5.3. Tiền xử lý dữ liệu đồ thị DSCG

3.6. Thực nghiệm và đánh giá

3.6.1. Bộ dữ liệu thực nghiệm

3.6.2. Triển khai thử nghiệm

3.6.3. Các chỉ số đánh giá

3.6.4. Kết quả thử nghiệm và đánh giá

3.7. Kết luận Chương 3

4. MÔ HÌNH HỌC MÁY CỘNG TÁC PHÁT HIỆN SỚM MÃ ĐỘC IOT BOTNET

4.1. Phát biểu bài toán

4.2. Vấn đề phát hiện sớm mã độc IoT Botnet

4.3. Mô hình học máy cộng tác trong phát hiện sớm mã độc

4.4. Khảo sát và đánh giá các nghiên cứu liên quan

4.5. Mô hình học máy cộng tác trong phát hiện mã độc

4.6. Các mô hình phát hiện sớm trong nghiên cứu mã độc

4.7. Bài toán phát hiện sớm mã độc IoT Botnet

4.8. Mô hình đề xuất

4.8.1. Kiến trúc tổng quan

4.8.2. Môi trường Sandbox (SC)

4.8.3. Tiền xử lý dữ liệu (PPDC)

4.8.4. Chuẩn hóa dữ liệu tiền xử lý (DNC)

4.8.5. Trích chọn đặc trưng phù hợp

4.8.6. Bộ phân lớp học máy (MLC)

4.8.7. Hàm hợp nhất (FC)

4.9. Thực nghiệm và đánh giá

4.9.1. Tập mẫu thực nghiệm

4.9.2. Triển khai thử nghiệm

4.9.3. Kết quả thử nghiệm

4.9.4. Đánh giá kết quả thử nghiệm

4.10. Kết luận Chương 4

DANH MỤC CÔNG TRÌNH CỦA TÁC GIẢ

TÀI LIỆU THAM KHẢO

I. Giới thiệu và tính cấp thiết

Luận án tập trung vào việc xây dựng hệ thống V-Sandbox để phân tích và phát hiện mã độc IoT Botnet. Với sự phát triển nhanh chóng của IoT, các thiết bị kết nối Internet ngày càng trở nên phổ biến, nhưng đi kèm với đó là các nguy cơ bảo mật nghiêm trọng. Mã độc IoT Botnet đã trở thành mối đe dọa lớn, đặc biệt là trên các thiết bị hạn chế tài nguyên như IP Camera, Router, và Smart Hub. Luận án nhấn mạnh sự cần thiết của việc nghiên cứu và phát triển các giải pháp bảo mật hiệu quả để chống lại các cuộc tấn công này.

1.1. Mục tiêu nghiên cứu

Mục tiêu chính của luận án là xây dựng hệ thống V-Sandbox để thu thập dữ liệu hành vi của mã độc IoT Botnet và phát triển mô hình học máy để phát hiện chúng. Hệ thống này nhằm nâng cao độ chính xác và giảm độ phức tạp trong quá trình phân tích động. Các mục tiêu cụ thể bao gồm: xây dựng môi trường Sandbox, phát triển mô hình học máy, và tích hợp hai thành phần này thành một hệ thống hoàn chỉnh.

1.2. Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu chính là các tệp thực thi ELF trên các thiết bị IoT hạn chế tài nguyên. Phạm vi nghiên cứu tập trung vào việc phát hiện mã độc IoT Botnet thông qua phương pháp phân tích động, đặc biệt là trên các thiết bị như IP Camera và Router.

II. Xây dựng hệ thống V Sandbox

Luận án đề xuất hệ thống V-Sandbox để thu thập dữ liệu hành vi của mã độc IoT Botnet. Hệ thống này mô phỏng môi trường thực tế, cho phép mã độc thực thi và thu thập các dữ liệu liên quan như lời gọi hệ thống, tương tác mạng, và sử dụng tài nguyên. V-Sandbox được thiết kế để hoạt động tự động, mã nguồn mở, và dễ dàng triển khai trên các thiết bị IoT hạn chế tài nguyên.

2.1. Kiến trúc hệ thống

Hệ thống V-Sandbox bao gồm các thành phần chính như môi trường Sandbox, cơ sở dữ liệu thư viện liên kết động, và khối sinh báo cáo tự động. Mỗi thành phần được thiết kế để đảm bảo thu thập đầy đủ dữ liệu hành vi của mã độc, từ đó hỗ trợ quá trình phân tích và phát hiện.

2.2. Thử nghiệm và đánh giá

Hệ thống V-Sandbox đã được thử nghiệm trên các bộ dữ liệu thực tế, bao gồm các tệp ELF lành tính và mã độc. Kết quả thử nghiệm cho thấy hệ thống có khả năng thu thập dữ liệu hiệu quả và hỗ trợ tốt cho quá trình phân tích mã độc. So sánh với các hệ thống Sandbox khác, V-Sandbox cho thấy ưu điểm về độ chính xác và hiệu suất.

III. Đặc trưng đồ thị lời gọi hệ thống

Luận án đề xuất phương pháp sử dụng đồ thị lời gọi hệ thống có hướng (DSCG) để phân tích và phát hiện mã độc IoT Botnet. DSCG là một cách tiếp cận mới, giúp cấu trúc hóa các lời gọi hệ thống một cách tuần tự, từ đó dễ dàng áp dụng các thuật toán học máy để phát hiện mã độc. Phương pháp này có độ phức tạp thấp và hiệu quả cao trong việc phân tích dữ liệu hành vi.

3.1. Xây dựng đồ thị DSCG

Quá trình xây dựng DSCG bao gồm việc thu thập các lời gọi hệ thống từ V-Sandbox, sau đó cấu trúc hóa chúng thành đồ thị có hướng. Đồ thị này phản ánh mối quan hệ tuần tự giữa các lời gọi hệ thống, giúp phân tích hành vi của mã độc một cách chi tiết.

3.2. Thử nghiệm và đánh giá

Phương pháp DSCG đã được thử nghiệm trên các bộ dữ liệu mã độc và lành tính. Kết quả cho thấy DSCG có khả năng phân biệt rõ ràng giữa mã độc và tệp lành tính, đồng thời hỗ trợ tốt cho các thuật toán học máy trong việc phát hiện mã độc.

IV. Mô hình học máy phát hiện mã độc

Luận án đề xuất một mô hình học máy cộng tác để phát hiện sớm mã độc IoT Botnet. Mô hình này kết hợp nhiều nguồn dữ liệu đặc trưng, bao gồm DSCG, dữ liệu mạng, và sử dụng tài nguyên, để nâng cao độ chính xác trong phát hiện mã độc. Mô hình được thiết kế để giảm thiểu tỉ lệ âm tính giả và yêu cầu tối thiểu lượng dữ liệu cần thu thập.

4.1. Kiến trúc mô hình

Mô hình học máy bao gồm các thành phần như môi trường Sandbox, khối tiền xử lý dữ liệu, và bộ phân lớp học máy. Mỗi thành phần được thiết kế để xử lý và phân tích các đặc trưng khác nhau, từ đó đưa ra kết quả phát hiện mã độc chính xác.

4.2. Thử nghiệm và đánh giá

Mô hình học máy đã được thử nghiệm trên các bộ dữ liệu lớn, bao gồm cả mã độc và tệp lành tính. Kết quả thử nghiệm cho thấy mô hình có độ chính xác cao và khả năng phát hiện sớm mã độc hiệu quả. So sánh với các nghiên cứu liên quan, mô hình đề xuất cho thấy ưu điểm vượt trội về hiệu suất và độ tin cậy.

Luận Án Tiến Sĩ: Nghiên Cứu Xây Dựng Hệ Thống V Sandbox Trong Phân Tích Và Phát Hiện Mã Độc IoT Botnet