物联网恶意软件静态特征分析检测方法综述

⃝可在www.sciencedirect.com上在线获取ScienceDirectICTExpress 6（2020）280www.elsevier.com/locate/icte物联网恶意软件及基于静态特征的检测方法综述Quoc-Dung Ngoa，Huy-Trung Nguyenb，c，Yan，Van-Hoang Lec，Doan-Hieu Nguyenca越南邮电技术学院b越南河内越南科学技术学院科学技术研究生院c越南河内人民安全学院接收日期：2020年2月11日;接收日期：2020年4月9日;接受日期：2020年4月18日2020年5月15日网上发售摘要由于缺乏安全设计以及物联网设备的特定特征，例如处理器架构的异构性，物联网恶意软件检测必须应对非常独特的挑战，特别是在检测跨架构物联网恶意软件方面。因此，物联网恶意软件检测领域是近年来安全界研究的重点。有许多研究利用众所周知的动态或静态分析来检测物联网恶意软件;然而，在解决多架构问题时，基于静态的方法更有效。在本文中，我们对静态物联网恶意软件检测进行了全面的调查。我们首先介绍物联网恶意软件的定义，演变和安全威胁。然后，我们总结，比较和分析了近年来提出的现有物联网恶意软件检测方法。最后，我们基于相同的物联网恶意软件数据集和实验配置准确地执行现有研究的方法，以客观地评估并提高这些研究在检测物联网恶意软件方面的可靠性c2020年韩国通信与信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词：物联网;基于静态;物联网僵尸网络恶意软件;调查检测内容1.导言. 2802.物联网恶意软件2813.基于静态特征分析的IoT恶意软件检测2823.1.非基于图的物联网恶意软件检测方法2823.1.1.高级特征2823.1.2.低层特征2833.2.基于图的物联网恶意软件检测方法2834.实验结果和比较2834.1.数据集描述2834.2.评估指标2844.3.结果2845.结论285CRediT作者贡献声明285竞争利益声明285参考文献286*通讯作者：越南科学技术研究生院，越南河内。电子邮件地址：dungnq@ptit.edu.vn（Q.-D. Ngo），huytrung.nguyen. gmail.com（H.-T. Nguyen），levanhoang. gmail.com（V.H. Le），doanhieunguyen. gmail.com（D.-H. Nguyen）。https://doi.org/10.1016/j.icte.2020.04.0051. 介绍物联网（IoT）是连接物理和虚拟世界的最大数字大趋势。人、物体、机器和互联网的连接性的增加是2405-9595/2020韩国通信和信息科学研究所（KICS）。出版社：Elsevier B.V.这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。问：D. Ngo，H.T. Nguyen，V.-H. Le等/ICT Express 6（2020）280281−导致新的商业模式的出现以及人类与世界其他地区之间的新互动。由于硬件和软件的设计和实现的复杂性，以及缺乏安全功能和能力，物联网设备正成为网络犯罪分子的一个有吸引力的目标，他们利用弱认证，过时的固件和恶意软件来危害物联网设备。到2020年，估计所有网络攻击中有25%针对物联网设备（https：// www. gartnerr. com/）。随着物联网技术在行业中的快速采用，这些攻击将无休止地增加。其中物联网设备最危险的威胁之一是恶意软件。2016年10月，Dyn（美国主要DNS服务提供商）受到Mirai恶意软件家族近年来最大和最强大的DDoS攻击之一。该恶意软件感染了超过120万台物联网设备，并针对许多流行的在线服务，如谷歌，亚马逊等。因此，提高物联网设备的安全性对于研究人员来说越来越紧迫，特别是在处理物联网恶意软件时。有许多关于物联网设备安全问题的研究。典型的例子是Granjal等人。[1]他们专注于分析现存的协议和机制，以确保物联网的通信安全。Djamel Eddine Kouicem等人[2]对物联网中最现有的安全和隐私解决方案进行了全面的自上而下的DjamelEddine Kouicem等人对物联网的各种应用进行了分类，以确定它们的安全要求和挑战，从而分析传统的加密解决方案来处理机密性，隐私性和可用性。此外，他们还回顾了区块链和软件定义网络等新兴从这个角度来看，ImranMakhdoom等人最近的一项调查[3]在提出物联网设备的安全问题和威胁风险时非常全面。此外，他们强调，通信协议提供的固有安全性并不能防止有害的物联网恶意软件和节点妥协攻击。Hassan等人[4]对物联网设备的安全问题进行了调查。然而，作者只专注于介绍包括轻量级身份验证和加密在内的解决方案，而不是物联网恶意软件检测问题。此外，Felt et al.[5]审查了46个移动恶意软件的野生和收集的数据集，以评估移动恶意软件识别和预防方法的有效性。Costin等人[6]仅对所有当前已知的物联网恶意软件类别进行了全面的调查和分析，而没有讨论物联网恶意软件检测方法。物联网恶意软件检测方法可以根据策略类型分为两个主要领域：动态 静态分析。动态方法[7]包括在运行期间监视可执行程序和检测异常行为。然而，监视正在执行的进程是资源密集型的，并且在某些情况下，恶意软件可能会感染真实环境。此外，在执行时间期间，不可能完全监视它们的所有行为，因为许多类型的恶意软件需要触发条件来执行恶意行为。除了动态分析的常见局限性外，物联网可执行文件的执行还面临许多问题如不同的体系结构（例如，MISP。ARM、PowerPC、Sparc）以及物联网设备的资源限制。因此，很难配置一个满足IoT可执行文件要求的环境，相比之下，静态方法通过分析和检测恶意文件而不执行它们来执行。静态分析的主要优点之一是能够观察恶意软件的结构。换句话说，我们可以探索恶意软件样本中所有可能的执行路径，而无需考虑处理器架构的多样性，从而使这种方法有效地解决物联网设备的异构问题。因此，虽然有很多关于物联网调查安全问题的研究，特别是物联网恶意软件检测，但没有研究关注基于静态分析的物联网恶意软件检测方法。有别于现有的调查研究只根据已公布的结果进行评估在这些研究中，本文使用相同的大数据集和相同的系统配置对这些方法进行了实验。总之，本文的主要贡献可以是摘要如下：首先，我们全面概述了目前已知的物联网僵尸网络家族之间– 其次，我们提供了基于静态特征的物联网恶意软件检测的详细分类，并讨论了它们的缺点。– 第三，我们准确地重新实验现有的研究基于静态分析与相同的大数据集和系统配置。本文的其余部分组织如下：第2节概述了物联网恶意软件及其生命周期，从而更好地理解第3节中介绍的静态分析方法可以使用的功能。第3节讨论了目前基于静态特征的物联网恶意软件检测方法及其优缺点。第四部分通过实验对这些方法进行了介绍和评价。第五部分是本次调查的结论2. IoT恶意软件在过去的几十年里，大多数恶意软件都是针对运行Microsoft Windows的个人电脑设计的，Microsoft Windows是世界上最受欢迎的操作系统，拥有83%的市场份额[8]。然而，近年来由于物联网技术，计算设备的多样性已经迅速改变。物联网设备构建在各种CPU架构上，甚至在资源受限的硬件上，如基于Unix的操作系统。随着这一变化，由于缺乏安全设计或实施，物联网设备正成为攻击者最喜欢的目标。一般来说，物联网恶意软件有几个特点，如物联网恶意软件用于执行DDoS攻击;物联网恶意软件扫描物联网服务的开放端口，如FTP，SSH或SSL;物联网恶意软件执行暴力攻击以获得对物联网设备的访问Alex等人[9]指出，当前大多数恶意软件都是通过根据在线指令复制源代码或恶意软件作者创建的相同恶意代码的变体生成的。通过对文献[6，10，11]等多项研究的分析、评价和综合，以及对282问：D. Ngo，H.T. Nguyen，V.-H. Le等/ICT Express 6（2020）280一些物联网恶意软件样本本文给出了物联网恶意软件最近发展和演变的简要图表，如图1所示。由于物联网包括大量且不断增长的连接设备（例如，智能仪表、医疗设备、公共安全传感器等），许多物联网恶意软件家族，如Aidra、Bashlite和Mirai，可以利用旨在定位这些设备上暴露的端口和默认凭据的扫描器。在过去的十年中，物联网恶意软件不断破坏和瞄准具有各种架构的新受害者。Mirai的发展趋势是企业IT运营的变化，扩大了其攻击面，并为消费级设备带来了新的零日漏洞。2019年3月，IBM Xforce发现了一种针对企业物联网设备的类似Mirai的恶意软件。这些攻击会将加密货币矿工和后门程序投放到受影响的设备上。图1.一、物 联 网恶意软件的演变。物联网恶意软件家族之间存在密切的相关性，这反映在 它 们 的 功 能 及 其 源 代 码 的 相 似 性 上 。 图 1 介 绍 了Linux.Hydra作为自2008年以来出现的第一个支持DDoS的物联网恶意软件。自从Linux.Hydra的代码发布以来，物联网恶意软件开发人员已经演变成Psybot，Chuck Norris和最后一个变体Tsunami的变体。然而，Tsunami的部分代码被开发到Remaiten和LightAidra中，这是最新的物联网恶意软件之一。此外，该图显示Tsunami是Bashlite的祖先，Mirai恶意软件继承了Bashlite，并在2016年变得越来越复杂。从那时起，Mirai继续发展，使其成为一个恶意软 件 家 族 ， 而 不 是 一 个 单 独 的 恶 意 软 件 流 ， 如BrickerBot，VPNFilter。因此，不可否认的是，今天支持DDoS的物联网恶意软件的流行程度正在稳步上升，因为恶意软件作者将继续运用他们的创造力和编程技能来改变他们的恶意软件，以便在物联网设备上进行更严重的感染。综上所述，通过对物联网恶意软件的特征、演变过程的分析，我们发现物联网恶意软件存在一些静态特征，可以作为恶意代码检测的特征，如elf结构、字符串、函数调用图、灰度图像等，这些特征将在第3节中详细讨论。3. 基于静态特征分析的在本节中，我们将讨论自2013年以来提出在静态分析中，现有研究[7，12-在下一小节中，我们将展示我们的方法来划分这些基于静态的功能，如图所示。 二、图二、物 联 网恶意软件检测中基于静态的特征分类。3.1. 非基于图的IoT恶意软件检测方法非基于图的检测方法旨在建立一个包含二进制文件结构属性的模型来分类二进制文件是恶意的还是良性的。这些方法依赖于提取静态特征，如操作码，字符串或文件结构来区分恶意样本。这些特征可以分为两组：高级特征和低级特征。特别地，低级特征可以直接从二进制文件结构本身获得，而高级特征必须由反汇编器（例如，IDAPro，雷达2）。3.1.1. 高级特征操作码（Opcode）是恶意软件检测中最受欢迎的功能之一。操作码是可以由处理器（CPU）执行的单个指令，其描述可执行文件的行为。在汇编语言中，操作码是一个命令，如CALL，ADD或MOV。基于这一特征，HamedHaddadPajouh 等 人 [12] 提 出 了 一 种 使 用 递 归 神 经 网 络（RNN）深度学习的方法，使用操作码序列检测物联网恶意软件。该方法在281个基于ARM的物联网恶意样本和270个基于ARM的物联网良性样本的数据集上实现了98.18%的准确率。Ensieh Modiri Dovom等人[13]将可执行文件的操作码转换为向量空间，并应用模糊和快速模糊模式树方法来检测物联网恶意软件。为了在恶意软件检测中证明这种方法，他们在基于ARM的物联网数据集上进行了实验，该数据集包括1078个良性样本和128个恶意软件样本，实验结果达到了99. 83%的准确率。类似地，HamidDarabian等人[14]提出了一种用于物联网恶意软件检测的基于顺序操作码的技术。通过统计可执行文件中的操作码重复次数，作者发现恶意软件样本中的某些操作码的重复频率高于良性文件。他们的问：D. Ngo，H.T. Nguyen，V.-H. Le等/ICT Express 6（2020）280283×实验结果在从良性样本中检测物联网恶意软件方面达到了99%的准确率和F-测量。Nghi Phu等人[22]提出了一种特征选择方法来检测跨架构恶意软件，称为CFDVex。实验取得了较好的跨架构恶意软件检测效果实验结果表明，该方法在仅训练Intel 80386架构样本的情况下，对MIPS架构样本的IoT恶意软件检测准确率达到95.72%。字符串-可执行文件中的字符串是一系列字符，例如通常 以 ASCII 存 储 的“gayfgt（ 每 个 字符 1 个 字 节 ）或Unicode（每个字符2个字节）格式。可执行文件中的每个可打印字符串都可以提取有价值的信息，如IP地址、要连接 的 URL 等 ， 判 断 一 个 可 执 行 文 件 是 否 恶 意 [23] 。Mohannad Alhanahnah等人。[15]基于可打印字符串为多架构物联网恶意软件分类生成了良好的签名。为了进行评估，他们使用了两个包含5150个恶意软件样本的IoT- POT恶意软件数据集，通过这种基于签名的检测机制，他们的实验结果实现了95.5%的IoT恶意软件检测率3.1.2. 低级特征ELF文件头-ELF（可执行和可链接格式）文件格式包含许多有趣的信息，可用于恶意软件检测。基于这种背景，Farrukh Shahzad和Muddassar Farooq [16]提出了一个Linux恶意软件检测工具，称为ELF-Miner。为了证明他们的方法，使用了包括709个ELF样本的数据集，并实现了超过99.9%的检测准确率，误报率低于0.1%。在另一项工作中，Jinrong Bai et al.[17]介绍了一种从ELF文件的符号表中提取系统调用信息的方法使用由756个良性样本和763个恶意软件样本组成的数据集，实验结果在检测ELF文件是恶意还是良性时达到了98%以上的准确率。灰度图像-灰度图像是一种图像类型 每个像素具有从0到255的范围内的值。在恶意软件检测问题中，可执行文件被分析并转换为二进制字符串0和1，然后将这些二进制值组合成8位向量段，表示从00到FF的十六进制值。这些矢量最终被转换成像素值范围在0和255之间的图像数据，其中0为黑色，255为白色。从这个角度来看，Su等人[18]提出了一种轻量级的解决方案，通过将这些灰度图像馈送到卷积神经网络模型进行检测来区分物联网恶意软件和良性样本。此外，任何大小的文件将被标准化，以适应64 64灰度图像，其剩余的内容将被删除，如果冗余或覆盖零值，如果丢失。该实验在检测物联网恶意软件方面达到了93.33%的准确率。3.2. 基于图的IoT恶意软件检测方法恶意软件检测最流行的功能是控制流图。控制流图是一个有向图，表示在程序期间可以采取的所有可能的执行路径，其中每个顶点（节点）由基本块表示，并且每个有向边表示基本块之间的可能的控制流。控制流信息有两种主要形式（1）过程间控制流和(2)过程内控制流。过程间控制流图将可执行文件中的函数和过程之间的关联同时，将过程内控制流图表示为一组控制流图，每个过程对应一个控制流图或函数。Hisham Alasmary等人[19]使用控制流图（CFG）作为抽象结构来突出物联网和Android恶意软件二进制文件之间的相似性和差异。在由2.874个IoT恶意软件样本和201个Android恶意软件样本组成的数据集上的实验结果表明，IoT恶意软件比Android恶意软件更可能包含更少量的节点和边，并且IoT和Android恶意软件CFG之间的图论特征具有重大变化。因此，它们证明了CFG在检测IoT恶意软件和Android恶意软件方面的有用性。为了继续改进和扩展检测物联网恶意软件的这一研究方向，Hisham Alasmary等人[20]展示了一种物联网恶意软件检测方法，该方法通过使用23个静态特征来表示物联网恶意软件的控制流图（CFG）的特征。通过使用这种简单的方法，这项工作实现了99.66%的准确率与6000个恶意软件和良性样本的数据集遵循相同的方法，Azmoodeh et al.[21]建议一种基于深度学习的方法，用于检测基于Opcodesequence图的Internet Of Battlefield Things（IoBT）恶意软件。他们用包含128个恶意软件和1078个良性文件的数据集对所提出的方法进行了评估，然后分别实现了98.37%和98.59%的准确率和精确率。HT Nguyen等人[7]提出了一种物联网僵尸网络检测方法，该方法基于跟踪僵尸网络生命周期中留 下 的 足 迹 。 这 些 封 装 显 示 为 可 打 印 字 符 串 信 息（PSI），用于任何程序的编程阶段，如IP地址，用户名/密码模式。在这项工作中，他们定义了一种基于图的数据结构，称为PSI-Graph，以表示物联网僵尸网络的生命周期行为。在10000多个样本的数据集上，本研究达到了98%以上的准确率。与其他方法相比，该方法在检测率和分类时间上都有较好的效果。基于上述文献综述，我们比较了表1中的静态物联网恶意软件检测方法，包括用于检测的特征、分类算法以及可能影响这些方法性能的弱点。4. 实验结果及比较4.1. 数据集描述所有基于静态特征的物联网恶意软件检测方法（见第节）都在物联网上的可执行文件该数据集被描述为284问：D. Ngo，H.T. Nguyen，V.-H. Le等/ICT Express 6（2020）280表1物联网恶意软件检测的静态方法之间的比较方法特征机制被动技术弱点[12个]操作码识别恶意代码神经网络仅适用于基于ARM通过一系列的样品操作码[13个国家]操作码应用模糊模式树起毛仅适用于基于ARM检测恶意样本样品 数据集没有足够的样本。[14个]操作码通过以下方式检测恶意软件机器学习仅适用于基于ARM分析操作码样品频率[22日]操作码通过使用机器学习只做实验韦克斯中间体基于MIPS的样本表示[第十五条]字符串生成签名以聚类耗时仅用于分类IoT恶意软件4个恶意软件家族[16个]ELF头提取特征机器学习二进制的结构二进制文件的节，文件很容易修改。检测恶意软件[18个国家]灰度图像表示二进制样本神经网络失去准确性时，作为灰度图像，混淆或加密检测恶意代码技术应用[20个]函数调用计算23个属性机器学习，时间消耗图）CFG分离恶意神经网络定义的属性不是和良性样本正确.[21日]操作码图构造操作码图图论仅适用于基于ARM作为一种CFG，样品检测恶意软件[七]《中国日报》PSI图使用PSI-Graph神经网络将图形转换为从函数中矢量数据是时间调用图检测消耗恶意软件如下我们的数据集包括7199个恶意软件样本和4001个良性样本。在此，恶意软件数据集由IoTPOT团队[24]（在2016年10月至2017年10月的1年收集期内）和VirusShare提供。此外，良性样本是使用binwalk工具从IoT SOHO（小型办公室/家庭办公室）设备的固件中提取的，并从互联网存储库中收集。这些提取的文件进行验证，以确保良性的病毒。我们在Ubuntu OS 16.04上使用Python进行了实验，英特尔酷睿i5-8500处理器运行在3.00 GHz，12 GB NVIDIA GeForce GTX1080Ti显卡和32GB内存。4.2. 评估指标为了评估所提出的方法的有效性，我们使用TP，TN，FP和FN标准值，这些指标描述如下：– 真阳性（TP）：表示恶意软件样本被正确检测并标记为恶意软件– 真阴性（TN）：表示良性样本被正确检测并标记为良性– 假阳性（FP）：表示良性样本是错误的，并标记为恶意样本– 假阴性（FN）：表示恶意软件样本是错误的，并标记为良性基于上述标准，我们衡量以下绩效指标：– 精度=（TP+ TN）/（TP+ FP+ TN+ FN）– TPR= TP/（TP+ FN）– FPR= FP/（FP+ TN）4.3. 结果如表2所示，在检测IoT僵尸网络方面，使用非基于图的特征的方法在准确性和时间成本复杂度方面都取得了比使用基于图的特征方法更好的结果。ELF头方法显示了不同的算法有前途的结果。 该方法采用RIPPER、PART和决策树C4.5算法，每种算法的准确率均达到99%以上。虽然在7000个样本的数据集中有大约2000个恶意软件样本无法读取和计算文件头，但该方法在解决物联网恶意软件检测问题时证明了其有效性。在此方法中起重要作用的标题特征 包括STB 弱 ，SectionHeaderOffset ，STTNOTYPE，. STT OBSTLE STB GLOBAL.该方法的主要优点是特征提取阶段的简单性以及这些特征本身的简单性。的问：D. Ngo，H.T. Nguyen，V.-H. Le等/ICT Express 6（2020）280285该数据类型的适当使用允许获得由可执行二进制文件存储的应用程序的初始状态，该可执行二进制文件在某种意义上定义了其进一步的功能。不幸的是，先进的保护技术来隐藏的过程的真实初始状态的可用性不允许应用的方法，全面采用这个功能组。从结果中可以看出，与其他非基于图的方法相比，Su等人[18]提出的基于图像的方法实现了略低的检测率。通过使用图像处理的概念以及利用轻量级卷积神经网络，这项工作能够在计算资源较少的物联网设备上实现。该方法的检测率、假阳性率和假阴性率分别为89%、12.7%和1.4%。这是可以理解的，因为有几种混淆技术可以改变二进制文件的结构，正如作者所声称的那样。尽管这种固有的弱点，静态分析一般，这项工作表现出良好的可扩展性，由于其简单的设计，以及它的能力，对节点故障的保护相 比 之 下 ， 通 过 使 用 字 符 串 特 征 ， MohannadAlhanahnah等人提出的方法也取得了良好的结果，每个分类器的准确率约为99%。基于观察来自同一家族的恶意软件样本之间的跨架构相似性，该方法显示了使用代码统计特征将物联网恶意软件样本分组为多个家族的优势。因此，他们可以设计一个签名生成方案，使用可打印的字符串和统计特征来创建签名。虽然在数据集上的检测率很好，但这种方法在检测新的恶意软件家族时可能会像其他基于签名的方法那样失去准确性。从结果中可以看出，Nghi Phu等人提出的基于操作码的方法。[22]取得了良好的结果，但这些工作仍然存在一些潜在的弱点。首先，由于不同体系结构上的指令集之间的差异，这项研究需要扩展和改进，以涵盖多种体系结构和耗时的处理。其次，这些研究最固有的弱点是操作码很容易被混淆攻击者从基于CFG的方法，通过使用函数调用图的属性，Hisham Alasmary等人提出的方法。[19]对于具有高FPR和FNR的SVM、逻辑回归（LR）和随机森林分类器，分别实现了89%、85%和95%的相当低的分类率。此外，计算CFG属性以输入检测模型是一个耗时的过程。这种方法的主要局限性是图度量的评估不准确。作者声称，由于物联网恶意软件的操作简单，物联网恶意软件的CFG具有一个组成部分。然而，通过将这项工作应用于我们的数据集，我们注意到一些物联网恶意软件家族（如Mirai或Bashlite）的控制流很复杂，因此它们的CFG具有多个组件，可以将其命名为CFG的子图。可以看出，与其他方法相比，特别是与CFG基于方法。该方法通过研究样本函数调用图中PSI之间的关系，成功地解决了基于分析僵尸网络生命周期的物联网恶意软件检测问题。本研究的准确率为98.7%，假阳性率为0.78%，假阴性率为1.83%。尽管该方法在检测率和时间上都表现出了良好的性能，但该工作仍然受到图分析阶段的复杂性的影响。为了提高效率，作者应该使用其他算法来减少图的预处理时间，并尝试有效地遍历图，以避免较小值的节点或边。总之，对于使用混淆技术的恶意软件，使用非基于图的特征的研究通常相当薄弱。同时，基于图的方法可以概括和表示恶意软件行为的结构化信息和复杂信息。5. 结论检测物联网恶意软件正在成为确保互联网系统和私人数据安全的一个日益紧迫的问题。本文对物联网恶意软件和基于静态的检测方法进行了全面的综述。我们讨论了现有静态物联网恶意软件检测的主要技术以及优缺点。总之，物联网恶意软件检测方法可以分为两组：非基于图的方法和基于图的方法。基于非图的方法在检测“简单”和“直接”的恶意软件时可以实现良好的结果，而无需定制或混淆，但是在检测看不见的恶意软件时可能会失去准确性。相反，基于图的方法在分析物联网恶意软件的控制流时显示出优势，因此尽管这些方法很复杂，但仍有可能准确地检测到不可见或复杂的恶意代码。为了比较这些研究的性能，我们还在由11200个样本组成的同一物联网数据集上实施和评估了它们。从机制、检测分析和处理时间三个方面总结了这些研究的优点和局限性，为今后的研究提供参考以提高今后研究的效率。作为这项工作的进一步扩展，我们计划设计和开发一种基于图的轻量级检测方法，这将有助于处理区分物联网设备中的恶意可执行文件CRediT作者贡献声明郭勇非：概念化，方法，调查，写作-原始草案，写作-审 查 编 辑 -工 程 、 监 理 、 项 目 管 理 。 Huy-TrungNguyen：调查，方法，软件，数据管理，写作-原始草案，写作-审查编辑，可视化，监督。Van-Hoang Le：软件，可视化。Doan-Hieu Nguyen：数据管理。竞合利益作者声明，他们没有已知的可能影响本文所报告工作286问：D. Ngo，H.T. Nguyen，V.-H. Le等/ICT Express 6（2020）280表2比较结果。方法分类器累积（%）FPR（%）FNR（%）特征提取和预处理时间分类时间开膛手99.80.20.20.75秒ELF-标题[16]部分99.80.20.21小时50分钟1.27秒DT（J48）99.60.50.31 sSVM980.92.212.4秒基于字符串[23]kNN 99.8 0.4 0.24分47秒1秒引用[1] J. Granjal，E.蒙泰罗，J.S. Silva，物联网安全：现有协议和开放研究问题的调查，IEEE Commun。监视器家教17（3）（2015）1294[2] Djamel Eddine Kouicem ， Abdelmadjid Bouabdallah ， HichamLakhlef ，物联网安全 ：自上而下的调查，Comput。网络 141（2018）199-221.[3] Imran Makhdoom等人，对物联网威胁的剖析，IEEECommun。监视器家教21（2）（2018）1636[4] W.H. Hassan等人，当前物联网（IoT）安全研究：一项调查，Comput。网络148（2019）283[5] A.P.费尔特，M. Finifter，E.钦，S。Hanna，D. Wagner，A surveyofmobile malware in the wild ， in ： Presented at the Security andPrivacyinSmartphones and Mobile Devices（SPSM），2011，pp. 三比十四[6] Andrei Costin，Jonas Zaddach，Iot恶意软件：全面调查，分析框架和案例研究，在：BlackHat USA，2018年。[7] H.T. Nguyen，Q.D. Ngo，V.H. Le，一种新的基于图的物联网僵尸网络检测方法，Int. J. INF. 安全（2019）1[8] Emanuele Cozzi 等 人 ， Understanding linux malware ， in ：IEEESymposiumon Security and Privacy，2018，pp. 161-175.[9] K. Allix，Q.杰罗姆，T. F. Bissyande，J. Klein，R. State，Y.L.特里昂，Android恶意软件的取证分析-恶意软件是如何编写的，以及如何检测到它？2014年IEEE第38届计算机软件和应用年会上发表的论文。384-393.[10] Kishore Angrishi，将物联网（IoT）转变为漏洞互联网（IoV）：IoT僵尸网络，2017，arXiv预印本arXiv：1702。03681.[11] Michele De Donno ， Nicola Dragon ， Alberto Giaretta ， DDoS-CapableIoT malwares：Comparative analysis and mirai investigation，in：Securityand Communication Networks，Wiley，2018。[12] Hamed HaddadPajouh，Ali Dehghantanha，Raouf Khayami，Kim-Kwang Raymond Choo，基于深度递归神经网络的物联网恶意软件威胁狩猎方法，未来一代。Comput.系统85（2018）88-96。[13] EnsiehModiriDovom 等 人 ， Fuzzypatterntreeforedgemalwaredetectionand categorizing in IoT，J. 系统架构（2019年）。[14] Hamid Darabian等人，一种基于操作码的多态物联网恶意软件检测技术，Concurr。计算：实习专家。（2019年）。[15] Mohannad Alhanahnah，林启成，严启本，跨架构物联网恶意软件分类的高效签名生成，Commun. 网络安全（2018）1-9。[16] F. Shahzad，M. Farooq，Elf-miner：使用结构知识和数据挖掘方法来检测新的（Linux恶意可执行文件，Knowl。 INF. 系统30（3）（2012）589[17] 白 金 荣 、 Y. Yang ， S. 穆 ， Y. Ma ， Malware detection throughminingsymbol table of Linux executables ， Inf.Technol.J.12 （ 2 ）（2013）380-383.[18] Jiawei Su ， Danilo Vasconcellos Vargas ， Sanjiva Prasad ， DanieleSgan-durra，Yaokai Feng，Kouichi Sakurai，基于图像识别的物联网恶意软件的轻量级分类，在：2018 IEEE第42届年度计算机软件和应用会议（COMPSAC），Vol.2，2018，pp. 664-669[19] Hisham Alashmary等人，物联网和Android恶意软件的基于图形的比较，在：计算社交网络国际会议，2018年，pp. 259-272.[20] Hisham Alasmary等人，分析和检测新兴互联网的东西恶意软件：基于图形的方法，IEEE互联网事物J。6（5）（2019）8977[21] Amin Azmoodeh等人，使用深度特征空间学习的物联网（战场）设备的强大恶意软件检测，IEEE Trans. 坚持住。Comput.（2018）88-95。[22] T.N. Phu ， L.H. Hoang ， N.N. Toan ， N.D. Tho ， N.N. Binh ，CFDVex：一种用于检测跨架构物联网恶意软件的新型特征提取方法，见：第十届信息和通信技术国际研讨会论文集，2019年，第100页。248-254[23] Rafiqul Islam等人，基于集成静态和动态特征的恶意软件分类，J。网络Comput. Appl. （2013）646[24] Y.M.P. Pa ， S. 铃 木 K. 吉 冈 T. Matsumoto ， T. 卡 萨 马 角 罗 索 ，CIoTPOT：揭示当前物联网威胁的一种新的honenypot，J。INF. 过程24（2016）522DT（J48）99.40.40.68.75秒RF99.70.30.49.71秒基于操作码[22]SVM97.021.052.514.5天2分10秒基于图像[18]神经网络89.112.71.414米19秒2分19秒SVM8933.84.41.45秒基于CFGLR8515.119.05天0.5 sRF957.55.91.75秒PSI图神经网络98.70.781.831小时28分1分47秒