Luận án Nghiên cứu xây dựng hệ thống V-Sandbox trong phân tích và phát hiện mã độc IOT Botnet

Khái niệm thuật ngữ “Internet of Things” (IoT) đã được nhiều nhà nghiên cứu
đưa ra ý kiến của mình trong từng lĩnh vực chuyên biệt. Tuy nhiên, tất cả đều thống nhất
việc sử dụng thuật ngữ này lần đầu vào năm 1999 do Kevin Ashton. Theo Kevin Ashton
[11], “Internet of Things” là “tập hợp các cảm biến và bộ điều khiển nhúng trong các
thiết bị được liên kết thông qua mạng có dây và không dây”. Tại thời điểm này, các thiết
bị “IoT” được sử dụng để chỉ các thiết bị nhúng được điều khiển bởi con người thông
qua mạng có dây hoặc không dây.
Đến năm 2015, Madakam [12] đưa ra cách hiểu IoT là “một mạng lưới mang tính
mở và toàn diện kết nối các đối tượng thông minh có khả năng tự động tổ chức, chia sẻ
thông tin, dữ liệu và tài nguyên, phản ứng và hành động khi đối mặt với các tình huống
và thay đổi của môi trường”. Madakam nhấn mạnh về đặc điểm “thông minh” của các
thiết bị IoT bao gồm: Tự tổ chức hoạt động; Chia sẻ thông tin, dữ liệu và tài nguyên; Có
khả năng phản ứng lại với các thay đổi của môi trường xung quanh. Theo sự phát triển
của công nghệ hiện đại, IoT đã phát triển từ sự hội tụ của công nghệ kết nối không dây,
công nghệ vi cơ điện tử và sự phát triển của Internet.
Sau khi xem xét các định nghĩa của các tổ chức khác nhau, ITU (International
Telecommunication Union) đã định nghĩa IoT như sau: “Internet of Things là một cơ sở
hạ tầng toàn cầu cho xã hội thông tin, cho phép các dịch vụ tiên tiến hoạt động bằng
cách kết nối các vật thể (vật lý và ảo) dựa trên các công nghệ thông tin truyền thông
tương thích hiện có và đang phát triển” [13]. Theo khái niệm này, vạn vật (Things) là
đối tượng của thế giới thực (vật chất tồn tại) hoặc của thế giới thông tin (thực thể ảo), có
khả năng được định danh, tích hợp vào mạng thông tin và truyền thông. 
pdf 139 trang phubao 26/12/2022 4322
Bạn đang xem 20 trang mẫu của tài liệu "Luận án Nghiên cứu xây dựng hệ thống V-Sandbox trong phân tích và phát hiện mã độc IOT Botnet", để tải tài liệu gốc về máy hãy click vào nút Download ở trên.

File đính kèm:

  • pdfluan_an_nghien_cuu_xay_dung_he_thong_v_sandbox_trong_phan_ti.pdf
  • pdfDanhMucCongTrinhCongBo_LATS_Vietlh.pdf
  • pdfLATS_Vietlh_2022_BVHV_tomtat_TA.pdf
  • pdfLATS_Vietlh_2022_BVHV_tomtat_TV.pdf
  • docmau-3-Dong gop moi cua LATS Vietlh_Tieng Viet.doc
  • pdfQĐ 1455 ngay 21.9.2022 thanh lap HD bao ve cap HV Le Hai Viet_0001.pdf
  • pdfTrang thong tin dong gop moi TA va TV_0001.pdf

Nội dung text: Luận án Nghiên cứu xây dựng hệ thống V-Sandbox trong phân tích và phát hiện mã độc IOT Botnet

  1. 107 Python với thư viện Scikit-learn (Sklearn) [113]. Các tham số cụ thể của các thuật toán học máy được sử dụng trong quá trình thực nghiệm được mô tả như trong Bảng 4.3. Bảng 4.3 Các tham số thuật toán học máy được sử dụng Thuật toán Tham số Các giá trị tham số sử dụng n_neighbors 10; 100; 1000 KNN weights “uniform”; “distance” n_jobs -1 randoom_state 42 Decision Tree criterion “gini”; “entropy” splitter “best”; “random” n_estimators 10; 100; 1000 Random Forest random_state 42 n_jobs -1 random_state 42 probability True SVM C np.logspace(-1, 1, 3) gama np.logspace(-1, 1, 3) 4.3.3. Kết quả thử nghiệm Nghiên cứu sinh đã sử dụng các thuật toán học máy phổ biến như SVM, KNN, Decision Tree, Random Forest và hàm hợp nhất Voting, Logistic Regression để đánh giá hiệu quả của mô hình học máy cộng tác đề xuất. Kết quả huấn luyện và đánh giá các thuật toán học máy đơn lẻ với các đặc trưng đầu vào được mô tả trong Bảng 4.4. Kết quả dự đoán của các mô hình học máy đơn lẻ này được kết hợp thông qua hàm hợp nhất “Voting” (và sử dụng thêm hàm “Logistic Regression” để so sánh). Tổng cộng có 64 cách kết hợp 4 thuật toán học máy phổ biến nêu trên. Có 128 kết quả thử nghiệm đánh giá độ chính xác của việc phát hiện mã độc IoT Botnet cho mô hình đề xuất được mô tả trong Hình 4.12. Từ kết quả thử nghiệm này, hàm kết hợp “Voting” cho thấy hiệu quả vượt trội so với hàm “Logistic Regression” và bộ ba thuật toán học máy đơn lẻ KNN (đối với dữ liệu luồng mạng) + Random Forest (đối với dữ liệu sử dụng tài nguyên thiết bị) + KNN (đối với dữ liệu lời gọi hệ thống) cho kết quả tốt nhất với độ chính xác ACC = 99.37% và
  2. 109 Hình 4.12 Kết quả đánh giá các thuật toán học máy cộng tác Bảng 4.4 Độ chính xác các mô hình học máy đơn lẻ huấn luyện trên Dataset Độ chính xác phân loại dữ liệu của mô hình (ACC - %) Thuật toán Dữ liệu Dữ liệu sử dụng Dữ liệu lời luồng mạng tài nguyên thiết bị gọi hệ thống SVM 89.44 97.83 98.26 KNN 89.78 98.70 97.54 Decision Tree 89.97 98.22 95.66 Random Forest 90.07 99.04 98.02 Bảng 4.5 Các mô hình học máy sau khi tối ưu trên Dataset ROC Malware Benign Model ACC FPR AUC Precision Recall F1 Precision Recall F1 Network 0.8978 0.8901 0.1270 0.9500 0.9071 0.9280 0.7795 0.8730 0.8236 (k-NN) Performance (Random 0.9904 0.9846 0.0282 0.9895 0.9973 0.9934 0.9928 0.9718 0.9822 Forest) System-Call 0.9822 0.9715 0.0370 0.9860 0.9801 0.9830 0.9479 0.9630 0.9554 (k-NN) Mô hình 0.9937 0.9896 0.0194 0.9927 0.9987 0.9957 0.9964 0.9806 0.9884 cộng tác Đưa các mô hình sau khi huấn luyện xong vào chạy thực tế thì để đảm bảo khả năng đồng bộ dữ liệu giữa các nguồn dữ liệu đầu vào là lời gọi hệ thống, luồng mạng và hành vi sử dụng tài nguyên hệ thống; nghiên cứu sinh lựa chọn thời gian thu thập dữ liệu
  3. 111 Hình 4.15 Kết quả phân tích tệp lành tính Bảng 4.6 Kết quả thử nghiệm với các mẫu nằm ngoài Dataset Nhãn dự đoán của mô hình học máy Nhãn do ID Mã HASH của tệp tin đầu vào (tỉ lệ dự đoán là mã độc) Virustotal Network Performance Syscall Đề xuất cung cấp Malware Malware Malware Malware 1 0a982a3fb71dd70c248c107fcf33574f Malware (1) (1) (1) (1) (Bashlite) Malware Malware Malware Malware 2 4a832bd4fbb625cd095e9f56d695b047 Malware (1) (1) (1) (1) (Mirai) Benign Benign Benign 3 8b269f0eab1e09040c62ce78dff05c01 Benign (0) Benign (0.21) (0) (0.07) Malware Malware Malware Malware 4 9505af2cafb5b2bb8d10949543c5c416 Benign (0.23) (1) (1) (0.74) (Bashlite) Malware Malware Malware Malware 5 1c7c1763888e0a0b67732db1e8e176ba Malware (1) (1) (1) (1) (Bashlite) Malware Malware Malware Malware 6 f70640f966d77234405df7d715f6e494 Malware (1) (1) (1) (1) (Bashlite) Malware Malware Malware Malware 7 79b62cfd1975f09e24ce131181c1008a Malware (1) (0.83) (1) (0.94) (Mirai) Malware Malware Malware Malware 8 2bb57df01bd06453775472df2098eff1 Malware (1) (1) (1) (1) (Others) Malware Malware Malware Malware Malware 9 a7192c394957ba17878e3c1f57aca67b (1) (0.63) (1) (0.88) (Mirai) Malware Benign Benign 10 571d93ccba8ee531627311fdb0b54c95 Benign (0) Benign (0.83) (0) (0.28) Benign Benign Benign 11 147af70b815093d9247e22f688f25104 Benign (0.33) Benign (0.21) (0) (0.16) Malware Malware Malware Malware 12 89772d4f8d63117a5af7abd11ef66c5c Malware (1) (1) (1) (1) (Bashlite) Benign Benign Benign 13 cf04a95a254a9aada0440281f82d6e9c Benign (0) Benign (0.21) (0) (0.07)
  4. 113 Tập dữ liệu Thời gian thu thập thử nghiệm Dữ liệu đặc trưng ACC (%) Tác giả dữ liệu hành vi (mã độc/ sử dụng /AUC động/mẫu lành tính) Hansen [135] 5000/837 Lời gọi hệ thống 200 giây 98.13/0.97 Lời gọi hệ thống, Không yêu cầu thực Mô hình đề 5023/3888 luồng mạng, yêu cầu thi đầy đủ, tối đa 180 99.37/0.99 xuất tài nguyên thiết bị giây 4.4. Kết luận Chương 4 Trong chương này, nghiên cứu sinh đã đề xuất mô hình học máy cộng tác mới (CMED) để phát hiện sớm hiệu quả IoT Botnet dựa trên việc thu thập mức tối thiểu các dữ liệu động cần thiết. Khung thử nghiệm phát hiện IoT Botnet của nghiên cứu sinh đã được xây dựng dựa trên mô hình học máy cộng tác này và môi trường ảo hóa V-Sandbox. Hiệu quả của mô hình đề xuất đã được chứng minh thông qua các kết quả thử nghiệm trên bộ dữ liệu với 8911 mẫu. Ý tưởng và kết quả thực nghiệm của phương pháp đề xuất trong chương này đã được trình bày, công bố trên Tạp chí khoa học quốc tế. Cụ thể là: - “A collaborative approach to early detection of IoT Botnet” Computers & Electrical Engineering Journal, Oct. 2021 (SCIE index, Q1), ISSN: 0045-7906.
  5. 115 Phương pháp đề xuất của luận án có tính thực tiễn khi có thể triển khai mô hình ứng dụng như hình (i), trong đó các tác tử được tích hợp vào thiết bị IoT hạn chế tài nguyên để thu thập và gửi thông tin hành vi hoạt động của thiết bị về phân hệ tiền xử lý trung tâm làm đầu vào cho phân hệ phân tích, phát hiện, cảnh báo mã độc IoT Botnet. Tại đây, phương pháp trích xuất đặc trưng đồ thị DSCG và mô hình học máy cộng tác phát hiện sớm mã độc IoT Botnet của nghiên cứu sinh đề xuất được áp dụng để phân loại tệp lành tính và mã độc. Đây là một trong những nội dung trong khuôn khổ đề tài nghiên cứu ứng dụng và phát triển công nghệ cấp quốc gia “Nghiên cứu xây dựng hệ thống tự động phát hiện, cảnh báo và ngăn chặn tấn công mạng nhằm vào các thiết bị IoT cỡ nhỏ sử dụng mạng lưới tác tử thông minh” (có mã số KC-4.0-05/19-25) mà nghiên cứu sinh là thành viên chính tham gia. Hình (i) Mô hình ứng dụng thực tế của phương pháp phát hiện IoT Botnet sử dụng tác tử thông minh Tuy nhiên, theo xu hướng phát triển chung của mã độc nói chung, mã độc trên thiết bị IoT sẽ ngày càng phát triển nhanh cả về số lượng và chủng loại. Vì vậy, vấn đề phát hiện mã độc trên các thiết bị này sẽ được các nhà nghiên cứu trong và ngoài nước tiếp tục quan tâm trong thời gian sắp tới. Mặc dù đã đạt được các kết quả nghiên cứu quan trọng về lý luận khoa học và thực tiễn trong phát hiện mã độc IoT Botnet nhưng luận án vẫn còn một số vấn đề cần nghiên cứu, cải tiến trong tương lai gồm:
  6. 117 DANH MỤC CÔNG TRÌNH CỦA TÁC GIẢ Tất cả các nội dung, kết quả nghiên cứu trình bày trong luận án này đều đã được công bố trên các tạp chí, hội thảo uy tín ngành công nghệ thông tin trong nước và quốc tế. Cụ thể như sau: Bài báo đăng trên Tạp chí khoa học 1) “Xây dựng hệ thống phát hiện mã độc trong thiết bị định tuyến dựa trên mô phỏng”, Tạp chí “Nghiên cứu Khoa học và Công nghệ trong lĩnh vực An toàn thông tin” (Journal of Science and Technology on Information security) – Ban cơ yếu chính phủ (1.CS (05) 2017), 2017. 2) “V-Sandbox for Dynamic Analysis IoT Botnet,” IEEE Access, vol. 8, pp. 145768–145786, 2020, (SCIE index, Q1), ISSN: 2169-3536, DOI: 10.1109/ACCESS.2020.3014891 3) “Iot Botnet Detection Using System Call Graphs and One-Class CNN Classification”, International Journal of Innovative Technology and Exploring Engineering (IJITEE), vol. 8, no. 10, pp. 937–942, Aug. 2019, (SCOPUS index), ISSN: 2278-3075, DOI: 10.35940/ijitee.J9091.0881019. 4) “A collaborative approach to early detection of IoT Botnet” Computers & Electrical Engineering Journal, Oct. 2021 (SCIE index, Q1), ISSN: 0045-7906. Bài báo đăng trên Kỷ yếu Hội thảo khoa học chuyên ngành 1) “Xây dựng mô hình phát hiện mã độc trên thiết bị định tuyến bằng tác tử”, Kỷ yếu hội thảo quốc gia lần thứ 20: Một số vấn đề chọn lọc của Công nghệ thông tin và truyền thông, 2017. 2) “Xây dựng mô hình thu thập, phát hiện tấn công mạng sử dụng thiết bị IoT”, Kỷ yếu hội thảo quốc gia lần thứ 2: Một số vấn đề chọn lọc về an toàn an ninh thông tin (SoIS), 2017. 3)“Xây dựng hệ thống phát hiện xâm nhập mạng các thiết bị IoT dân sự trong nhà thông minh”, Kỷ yếu hội thảo quốc gia lần thứ 21: Một số vấn đề chọn lọc của Công nghệ thông tin và truyền thông, 2018.
  7. 119 TÀI LIỆU THAM KHẢO [1] D. Evans, ‘The internet of things: How the next evolution of the internet is changing everything’, CISCO White Pap., vol. 1, no. 2011, pp. 1–11, 2011. [2] K. Angrishi, ‘Turning internet of things (iot) into internet of vulnerabilities (iov): Iot botnets’, ArXiv Prepr. ArXiv170203681, 2017. [3] I. Andrea, C. Chrysostomou, and G. Hadjichristofi, ‘Internet of Things: Security vulnerabilities and challenges’, 2015, pp. 180–187. [4] Kaspersky Lab report, ‘Honeypots and the Internet of Things’, Securelist - Kaspersky Lab’s cyberthreat research and reports, 2017. (accessed May 11, 2018). [5] K. Moskvitch, ‘Securing IoT: In your smart home and your connected enterprise’, Eng. Technol., vol. 12, no. 3, pp. 40–42, 2017. [6] V. Woods and R. Van der Meulen, ‘Gartner Says Worldwide loT Security Spending to Reach $348 Million in 2016’, in Gartner, Stamford, 2016. [7] BKAV company, ‘PETHOLE.’ [Online]. Available: [8] C. Kolias, G. Kambourakis, A. Stavrou, and J. Voas, ‘DDoS in the IoT: Mirai and Other Botnets’, Computer, vol. 50, no. 7, pp. 80–84, 2017, doi: 10.1109/MC.2017.201. [9] C. Lévy-Bencheton, E. Darra, G. Tétu, G. Dufay, and M. Alattar, ‘Security and resilience of smart home environments good practices and recommendations’, Eur. Union Agency Netw. Inf. Secur. ENISA Heraklion Greece, 2015. [10] Kaspersky Lab report, ‘IoT: a malware story’, Securelist - Kaspersky Lab’s cyberthreat research and reports. story/94451/ (accessed Dec. 19, 2019). [11] K. Ashton, ‘That “internet of things” thing’, RFID J., vol. 22, no. 7, pp. 97– 114, 2009. [12] S. Madakam, V. Lake, V. Lake, and V. Lake, ‘Internet of Things (IoT): A literature review’, J. Comput. Commun., vol. 3, no. 05, p. 164, 2015. [13] ‘Overview of Internet of Things’. ITU-T Y.2060, Jun. 2012. [14] ‘State of the IoT 2018: Number of IoT devices now at 7B – Market accelerating’. number-of-iot-devices-now-7b/ (accessed Jan. 06, 2021). [15] K. Chen et al., ‘Internet-of-Things security and vulnerabilities: Taxonomy, challenges, and practice’, J. Hardw. Syst. Secur., vol. 2, no. 2, pp. 97–110, 2018. [16] S. Prentice, ‘The five SMART technologies to Watch’, Gart. Conn., vol. 21, 2014. [17] A. F. A. Rahman, M. Daud, and M. Z. Mohamad, ‘Securing sensor to cloud ecosystem using internet of things (iot) security framework’, 2016, pp. 1–5. [18] C. Bormann, M. Ersue, and A. Keranen, ‘Terminology for Constrained- Node Networks RFC 7228. Retrieved August 12, 2016’, 2014.
  8. 121 Researchers in Electrical and Electronic Engineering (EIConRus), Moscow, Jan. 2018, pp. 105–108. doi: 10.1109/EIConRus.2018.8317041. [35] C.-J. Wu, Y. Tie, K. Yoshioka, and T. Matsumoto, ‘IoT malware behavior analysis and classification using text mining algorithm’, Comput. Secur. Symp. 2016, Oct. 2016. [36] D. Breitenbacher, I. Homoliak, Y. L. Aung, N. O. Tippenhauer, and Y. Elovici, ‘HADES-IoT: A Practical Host-Based Anomaly Detection System for IoT Devices’, 2019, pp. 479–484. [37] M. Ficco, ‘Detecting IoT Malware by Markov Chain Behavioral Models’, 2019, pp. 229–234. [38] A. Azmoodeh, A. Dehghantanha, M. Conti, and K.-K. R. Choo, ‘Detecting crypto-ransomware in IoT networks based on energy consumption footprint’, J. Ambient Intell. Humaniz. Comput., vol. 9, no. 4, pp. 1141–1152, 2018. [39] N. P. Tran, Q. D. Ngo, D. K. Hoang, N. B. Nguyen, and D. T. Nguyen, ‘Phát hiện mã độc trên các thiết bị IoT dựa trên lời gọi Syscall và phân loại một lớp SVM’, Hội Thảo Lần Thứ III Một Số Vấn Đề Chọn Lọc Về Toàn Ninh Thông Tin, 2018. [40] K.-H. Le, M.-H. Nguyen, T.-D. Tran, and N.-D. Tran, ‘IMIDS: An intelligent intrusion detection system against cyber threats in IoT’, Electronics, vol. 11, no. 4, p. 524, 2022. [41] N. Moustafa and J. Slay, ‘UNSW-NB15: a comprehensive data set for network intrusion detection systems (UNSW-NB15 network data set)’, 2015, pp. 1–6. [42] R. Panigrahi and S. Borah, ‘A detailed analysis of CICIDS2017 dataset for designing Intrusion Detection Systems’, Int. J. Eng. Technol., vol. 7, no. 3.24, pp. 479–482, 2018. [43] Y. M. P. Pa, S. Suzuki, K. Yoshioka, T. Matsumoto, T. Kasama, and C. Rossow, ‘Iotpot: A novel honeypot for revealing current iot threats’, J. Inf. Process., vol. 24, no. 3, pp. 522–533, 2016. [44] W. Jung, H. Zhao, M. Sun, and G. Zhou, ‘IoT botnet detection via power consumption modeling’, Smart Health, vol. 15, p. 100103, 2020. [45] A. Shabtai, U. Kanonov, Y. Elovici, C. Glezer, and Y. Weiss, ‘“Andromaly”: a behavioral malware detection framework for android devices’, J. Intell. Inf. Syst., vol. 38, no. 1, pp. 161–190, 2012. [46] C. Guarnieri, A. Tanasi, J. Bremer, and M. Schloesser, ‘The cuckoo sandbox’, 2012. [47] C. Willems, T. Holz, and F. Freiling, ‘Toward automated dynamic malware analysis using cwsandbox’, IEEE Secur. Priv., vol. 5, no. 2, 2007. [48] ‘REMnux: A free Linux Toolkit for Reverse-Engineering and Analyzing Malware’. (accessed Mar. 10, 2020). [49] D. Oktavianto and I. Muhardianto, Cuckoo malware analysis. Packt Publishing Ltd, 2013. [50] Z. Liu et al., ‘An Integrated Architecture for IoT Malware Analysis and Detection’, 2018, pp. 127–137.
  9. 123 [68] J. Kim, J. Kim, H. Kim, M. Shim, and E. Choi, ‘CNN-based network intrusion detection against denial-of-service attacks’, Electronics, vol. 9, no. 6, p. 916, 2020. [69] E. Hodo et al., ‘Threat analysis of IoT networks using artificial neural network intrusion detection system’, 2016, pp. 1–6. [70] S. Alhaidari and M. Zohdy, ‘Feature Pruning Method for Hidden Markov Model-Based Anomaly Detection: A Comparison of Performance’, Jordanian J. Comput. Inf. Technol. JJCIT, vol. 4, no. 03, 2018. [71] M. Alhanahnah, Q. Lin, Q. Yan, N. Zhang, and Z. Chen, ‘Efficient signature generation for classifying cross-architecture IoT malware’, in IEEE Conference on Communications and Network Security (CNS), 2018, pp. 1–9. [72] E. M. Karanja, S. Masupe, and M. G. Jeffrey, ‘Analysis of internet of things malware using image texture features and machine learning techniques’, Internet Things, vol. 9, p. 100153, 2020. [73] M. Shobana and S. Poonkuzhali, ‘A novel approach to detect IoT malware by system calls using Deep learning techniques’, 2020, pp. 1–5. [74] H.-T. Nguyen, D.-H. Nguyen, Q.-D. Ngo, V.-H. Tran, and V.-H. Le, ‘Towards a rooted subgraph classifier for IoT botnet detection’, 2019, pp. 247– 251. [75] V. G. T. da Costa, S. Barbon, R. S. Miani, J. J. P. C. Rodrigues, and B. B. Zarpelao, ‘Detecting mobile botnets through machine learning and system calls analysis’, May 2017, pp. 1–6. doi: 10.1109/ICC.2017.7997390. [76] A. Al Shorman, H. Faris, and I. Aljarah, ‘Unsupervised intelligent system based on one class support vector machine and Grey Wolf optimization for IoT botnet detection’, J. Ambient Intell. Humaniz. Comput., vol. 11, no. 7, pp. 2809–2825, 2020. [77] H. Bahşi, S. Nõmm, and F. B. La Torre, ‘Dimensionality reduction for machine learning based iot botnet detection’, 2018, pp. 1857–1862. [78] Y. N. Soe, Y. Feng, P. I. Santosa, R. Hartanto, and K. Sakurai, ‘Machine Learning-Based IoT-Botnet Attack Detection with Sequential Architecture’, Sensors, vol. 20, no. 16, p. 4372, 2020. [79] C. D. McDermott, F. Majdani, and A. V. Petrovski, ‘Botnet detection in the internet of things using deep learning approaches’, 2018, pp. 1–8. [80] S. Sriram, R. Vinayakumar, M. Alazab, and K. Soman, ‘Network Flow based IoT Botnet Attack Detection using Deep Learning’, 2020, pp. 189–194. [81] N. Koroniotis, N. Moustafa, E. Sitnikova, and B. Turnbull, ‘Towards the development of realistic botnet dataset in the internet of things for network forensic analytics: Bot-iot dataset’, Future Gener. Comput. Syst., vol. 100, pp. 779–796, 2019. [82] ‘Debian Squeeze and Wheezy images for QEMU’. (accessed May 28, 2019). [83] F. Bellard, ‘QEMU, a fast and portable dynamic translator’, ATEC ’05 Proc. Annu. Conf. USENIX Annu. Tech- Nical Conf., pp. 41–44, 2005.
  10. 125 [102] M. Antonakakis et al., ‘Understanding the mirai botnet’, 2017, pp. 1093– 1110. [103] B. Kolosnjaji, A. Zarras, G. Webster, and C. Eckert, ‘Deep learning for classification of malware system call sequences’, 2016, pp. 137–149. [104] P. B. Galvin, G. Gagne, and A. Silberschatz, Operating system concepts. John Wiley & Sons, 2003. [105] H.-V. Le and Q.-D. Ngo, ‘V-Sandbox for Dynamic Analysis IoT Botnet’, IEEE Access, vol. 8, pp. 145768–145786, 2020. [106] B. Rozemberczki and R. Sarkar, ‘Characteristic functions on graphs: Birds of a feather, from statistical descriptors to parametric models’, International Conference on Information & Knowledge Management, 2020, pp. 1325–1334. doi: 10.1145/3340531.3411866. [107] C. Cai and Y. Wang, ‘A simple yet effective baseline for non-attributed graph classification’, ICLR Workshop Represent. Learn. Graphs Manifolds, 2019. [108] A. Narayanan, M. Chandramohan, R. Venkatesan, L. Chen, Y. Liu, and S. Jaiswal, ‘graph2vec: Learning distributed representations of graphs’, ArXiv Prepr. ArXiv170705005, 2017. [109] ‘VirusShare.com’. (accessed Jun. 05, 2019). [110] B. Rozemberczki, ‘The reference implementation of FEATHER from the CIKM ’20 paper’, Feb. 11, 2021. (accessed Mar. 23, 2021). [111] Chen-Cai-OSU, ‘The implementation of paper “A simple yet effective baseline for non-attribute graph classification”’, Jan. 11, 2021. (accessed Mar. 23, 2021). [112] B. Rozemberczki, ‘A parallel implementation of “graph2vec: Learning Distributed Representations of Graphs” (MLGWorkshop 2017).’, Mar. 23, 2021. (accessed Mar. 23, 2021). [113] ‘scikit-learn: machine learning in Python — scikit-learn 0.20.2 documentation’. (accessed Jan. 16, 2019). [114] M. Ahmadi, D. Ulyanov, S. Semenov, M. Trofimov, and G. Giacinto, ‘Novel feature extraction, selection and fusion for effective malware family classification’, 2016, pp. 183–194. [115] B. Kolosnjaji, G. Eraisha, G. Webster, A. Zarras, and C. Eckert, ‘Empowering convolutional networks for malware classification and analysis’, 2017, pp. 3838–3845. [116] U. Bayer, P. M. Comparetti, C. Hlauschek, C. Kruegel, and E. Kirda, ‘Scalable, behavior-based malware clustering.’, 2009, vol. 9, pp. 8–11. [117] P. Indyk and R. Motwani, ‘Approximate nearest neighbors: towards removing the curse of dimensionality’, 1998, pp. 604–613. [118] A. Mohaisen and O. Alrawi, ‘Unveiling zeus: automated classification of malware samples’, 2013, pp. 829–832.
  11. 127 [134] R. Pascanu, J. W. Stokes, H. Sanossian, M. Marinescu, and A. Thomas, ‘Malware classification with recurrent networks’, 2015, pp. 1916–1920. [135] S. S. Hansen, T. M. T. Larsen, M. Stevanovic, and J. M. Pedersen, ‘An approach for detection and family classification of malware based on behavioral analysis’, 2016, pp. 1–5. [136] H. V. Le, Q. D. Ngo, and V. H. Le, ‘Iot Botnet Detection Using System Call Graphs and One-Class CNN Classification’, Int. J. Innov. Technol. Explor. Eng., vol. 8, no. 10, pp. 937–942, Aug. 2019, doi: 10.35940/ijitee.J9091.0881019. [137] I. Indre and C. Lemnaru, ‘Detection and prevention system against cyber attacks and botnet malware for information systems and Internet of Things’, 2016, pp. 175–182. [138] H.-S. Ham, H.-H. Kim, M.-S. Kim, and M.-J. Choi, ‘Linear SVM-based android malware detection for reliable IoT services’, J. Appl. Math., vol. 2014, 2014. [139] I. Sharafaldin, A. H. Lashkari, and A. A. Ghorbani, ‘Toward generating a new intrusion detection dataset and intrusion traffic characterization.’, in ICISSP, 2018, pp. 108–116. [140] G. Karatas, O. Demir, and O. K. Sahingoz, ‘Increasing the Performance of Machine Learning-Based IDSs on an Imbalanced and Up-to-Date Dataset’, IEEE Access, vol. 8, pp. 32150–32162, 2020.