I. Luận Án Tiến Sĩ
Luận án tiến sĩ với tiêu đề 'Nghiên cứu xây dựng hệ thống V-Sandbox trong phân tích và phát hiện mã độc IoT Botnet' là một công trình nghiên cứu độc lập của tác giả Lê Hải Việt, dưới sự hướng dẫn của TS. Ngô Quốc Dũng và GS. Vũ Đức Thi. Luận án tập trung vào việc giải quyết các vấn đề liên quan đến an ninh mạng và bảo mật IoT, đặc biệt là phát hiện và phân tích mã độc trên các thiết bị IoT hạn chế tài nguyên. Nghiên cứu này được thực hiện tại Học viện Khoa học và Công nghệ thuộc Viện Hàn lâm Khoa học và Công nghệ Việt Nam, với mục tiêu chính là xây dựng một hệ thống tự động để thu thập dữ liệu hành vi và phát hiện mã độc IoT Botnet.
1.1. Tính cấp thiết của luận án
Sự phát triển nhanh chóng của IoT đã mang lại nhiều tiện ích, nhưng cũng kéo theo các vấn đề về an ninh mạng. Theo thống kê, hơn 50 tỷ thiết bị IoT đã được kết nối vào năm 2020, và nhiều thiết bị trong số này có lỗ hổng bảo mật nghiêm trọng. Mã độc IoT Botnet đã trở thành mối đe dọa lớn, với các cuộc tấn công từ chối dịch vụ (DDoS) quy mô lớn được ghi nhận. Việc nghiên cứu và xây dựng hệ thống phát hiện mã độc là cấp thiết để bảo vệ các thiết bị IoT hạn chế tài nguyên.
1.2. Mục tiêu nghiên cứu
Mục tiêu chính của luận án là xây dựng hệ thống V-Sandbox để thu thập dữ liệu hành vi và phát hiện mã độc IoT Botnet dựa trên mô hình học máy. Các mục tiêu cụ thể bao gồm: xây dựng môi trường sandbox, đề xuất đặc trưng từ đồ thị lời gọi hệ thống, và phát triển mô hình học máy để phát hiện sớm mã độc.
II. Hệ Thống VSandbox
Hệ thống VSandbox là một môi trường mô phỏng được thiết kế để thu thập dữ liệu hành vi của mã độc IoT Botnet. Hệ thống này bao gồm các thành phần chính như môi trường sandbox, cơ sở dữ liệu thư viện liên kết động, và các công cụ tiền xử lý dữ liệu. VSandbox được xây dựng để đảm bảo mã độc có thể thực thi đầy đủ vòng đời của nó, từ đó thu thập được các dữ liệu hành vi cần thiết.
2.1. Kiến trúc hệ thống
Hệ thống VSandbox bao gồm các thành phần chính như: môi trường sandbox (SE), khối tiền xử lý dữ liệu (RDP), và cơ sở dữ liệu thư viện liên kết động. Môi trường sandbox được thiết kế để mô phỏng các điều kiện thực tế, cho phép mã độc thực thi và thu thập dữ liệu hành vi một cách tự động.
2.2. Thử nghiệm và đánh giá
Hệ thống VSandbox đã được thử nghiệm trên các bộ dữ liệu mã độc IoT Botnet và so sánh với các sandbox khác như LiSa và Cuckoo. Kết quả cho thấy VSandbox có hiệu quả cao trong việc thu thập dữ liệu và phát hiện mã độc, với độ chính xác và tỉ lệ âm tính giả thấp.
III. Phân Tích Mã Độc IoT Botnet
Luận án tập trung vào việc phân tích mã độc IoT Botnet thông qua các phương pháp phân tích động. Đặc biệt, nghiên cứu đề xuất sử dụng đồ thị lời gọi hệ thống có hướng (DSCG) để cấu trúc hóa các lời gọi hệ thống thu được từ môi trường sandbox. Phương pháp này giúp nâng cao độ chính xác trong việc phát hiện mã độc.
3.1. Đồ thị lời gọi hệ thống có hướng DSCG
DSCG là một đặc trưng mới được đề xuất trong luận án, giúp cấu trúc hóa các lời gọi hệ thống của mã độc. Đồ thị này được xây dựng từ dữ liệu thu thập được trong môi trường sandbox, và được sử dụng làm đầu vào cho các mô hình học máy để phát hiện mã độc.
3.2. Ứng dụng học máy
Luận án đề xuất sử dụng các mô hình học máy như SVM, Random Forest, và KNN để phân tích và phát hiện mã độc dựa trên đặc trưng DSCG. Các mô hình này được huấn luyện trên bộ dữ liệu lớn và đạt được độ chính xác cao trong việc phát hiện mã độc IoT Botnet.
IV. Bảo Mật IoT và Ứng Dụng Thực Tiễn
Luận án không chỉ tập trung vào việc phát hiện mã độc mà còn đề cập đến các giải pháp bảo mật IoT để ngăn chặn các cuộc tấn công từ Botnet IoT. Hệ thống VSandbox và các mô hình học máy được đề xuất có thể được ứng dụng trong thực tế để bảo vệ các thiết bị IoT hạn chế tài nguyên.
4.1. Giải pháp bảo mật IoT
Luận án đề xuất các giải pháp bảo mật để ngăn chặn mã độc IoT Botnet, bao gồm việc cập nhật firmware thường xuyên, sử dụng các công cụ phân tích mã độc, và triển khai hệ thống VSandbox để giám sát và phát hiện mã độc.
4.2. Ứng dụng thực tiễn
Hệ thống VSandbox và các mô hình học máy được đề xuất có thể được triển khai trong các mạng IoT để giám sát và phát hiện mã độc. Điều này giúp nâng cao an ninh mạng và bảo vệ các thiết bị IoT khỏi các cuộc tấn công từ Botnet IoT.
