Nghiên cứu đề xuất đặc trưng đồ thị PSI trong phát hiện mã độc botnet trên các thiết bị IoT

Ộ ỤC VÀ ĐÀO TẠ Ệ Ọ
Ệ Ệ
Ọ Ệ Ọ Ệ
Ễ
ỨU ĐỀ ẤT ĐẶC TRƯNG ĐỒ Ị
ỆN MÃ ĐỘ Ế Ị
Ậ Ế Ĩ
Ộ –
Ộ ỤC VÀ ĐÀO TẠ Ệ Ọ
Ệ Ệ
Ọ Ệ Ọ Ệ
Ễ
ỨU ĐỀ ẤT ĐẶC TRƯNG ĐỒ Ị
ỆN MÃ ĐỘ Ế Ị
ệ ố
ỗ
Ậ Ế Ĩ
NGƯỜI HƯỚ Ẫ Ọ
ốc Dũng
ễ ỳ
Ộ –
i 
LỜI CAM ĐOAN 
Tôi xin cam đoan Luận án Tiến sĩ với tiêu đề “Nghiên cứu đề xuất đặc trưng đồ 
thị PSI trong phát hiện mã độc botnet trên các thiết bị IoT” là một công trình nghiên cứu 
của riêng tôi, dưới sự hướng dẫn khoa học của TS. Ngô Quốc Dũng và TS. Nguyễn Anh 
Quỳnh, trừ những kiến thức tham khảo từ các tài liệu liên quan ở trong nước và quốc tế 
đã được trích dẫn trong luận án. 
Các kết quả, số liệu được trình bày trong luận án là hoàn toàn trung thực, một 
phần kết quả đã được công bố trên các Tạp chí và Kỷ yếu Hội thảo khoa học chuyên 
ngành công nghệ thông tin (tại Danh mục công trình của tác giả), phần còn lại chưa từng 
được công bố trong bất kỳ công trình nào khác. 
 Hà Nội, ngày tháng năm 2020 
Tác giả 
Nguyễn Huy Trung 
ii 
LỜI CẢM ƠN 
Luận án này được nghiên cứu sinh (NCS) thực hiện trong quá trình học tập Tiến 
sĩ tại Viện Công nghệ thông tin – Viện Hàn lâm Khoa học và Công nghệ Việt Nam, Học 
viện Khoa học và Công nghệ – Viện Hàn lâm Khoa học và Công nghệ Việt Nam. Tại 
đây, NCS đã được các thầy, cô trong Viện Công nghệ thông tin, Học viện Khoa học và 
Công nghệ giúp đỡ, chỉ dạy và trang bị những kiến thức nền tảng cần thiết trong suốt 
quá trình thực hiện luận án, đồng thời NCS có cơ hội tiếp xúc chuyên sâu về lĩnh vực 
mới và cấp thiết trong bảo mật thông tin liên quan đến phát hiện mã độc nói chung và 
mã độc botnet nói riêng trên các thiết bị IoT. 
Trước hết, NCS xin bày tỏ lòng biết ơn chân thành tới hai thầy hướng dẫn khoa 
học, TS. Ngô Quốc Dũng và TS. Nguyễn Anh Quỳnh. Hai thầy đã luôn giúp đỡ, động 
viên, khích lệ và cho NCS nhiều kinh nghiệm quý báu, định hướng cách tư duy và cách 
làm việc trong nghiên cứu khoa học và cuộc sống, giúp NCS vững tin vượt qua những 
khó khăn trong suốt quá trình thực hiện luận án. 
Tiếp đó, NCS muốn gửi lời cảm ơn tới TS. Trần Nghi Phú, một người anh đã cho 
NCS nhiều lời khuyên quý báu trước khi NCS bắt đầu quá trình học tập nghiên cứu Tiến 
sĩ. NCS cũng muốn gửi lời cảm ơn chân thành đến các cộng sự Lê Văn Hoàng, Nguyễn 
Doãn Hiếu đã có nhiều hỗ trợ và giúp đỡ NCS trong quá trình thực hiện luận án. Bên 
cạnh đó, NCS xin gửi lời cảm ơn tới Ban Giám đốc, các Phòng ban liên quan và TS. Sử 
Ngọc Anh - lãnh đạo Khoa An ninh thông tin của Học viện An ninh nhân dân đã tạo 
điều kiện về thời gian và tài chính để NCS có thể tập trung học tập và thực hiện luận án 
này. 
 Cuối cùng, từ tận đáy lòng NCS xin gửi lời cảm ơn vô hạn đến với gia đình, đặc 
biệt là con gái bởi đó luôn là động lực phấn đấu của NCS, luôn khuyến khích, động viên 
NSC trong quá trình nghiên cứu khoa học. Luận án này sẽ không thể hoàn thành nếu 
không có sự ủng hộ, động viên và giúp đỡ của họ. 
iii 
MỤC LỤC 
Trang 
LỜI CAM ĐOAN ................................................................................................... i 
LỜI CẢM ƠN ....................................................................................................... ii 
MỤC LỤC ............................................................................................................ iii 
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT ....................................... vi 
DANH MỤC CÁC BẢNG .................................................................................. vii 
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ............................................................ viii 
MỞ ĐẦU ............................................................................................................... 1 
1. Đặt vấn đề ...................................................................................................... 1 
1.1. Thông tin cơ bản..................................................................................... 1 
1.2. Cơ sở đề xuất nghiên cứu ....................................................................... 3 
2. Mục tiêu nghiên cứu ...................................................................................... 5 
3. Đối tượng và phạm vi nghiên cứu ................................................................. 5 
4. Nội dung và phương pháp nghiên cứu .......................................................... 6 
5. Các đóng góp của luận án ............................................................................. 8 
6. Bố cục của luận án ........................................................................................ 9 
CHƯƠNG 1. CƠ SỞ LÝ THUYẾT ................................................................... 11 
1.1. Mã độc IoT botnet .................................................................................... 11 
1.1.1. Khái niệm và đặc điểm thiết bị IoT ................................................... 11 
1.1.2. Khái niệm mã độc IoT botnet ........................................................... 15 
1.1.3. Sự tiến hóa của mã độc IoT botnet ................................................... 17 
1.1.4. Cấu trúc và nguyên lý hoạt động của mã độc IoT botnet ................. 23 
1.1.5. Sự khác biệt giữa mã độc botnet truyền thống và IoT botnet ........... 25 
1.2. Học máy và học sâu trong phát hiện mã độc IoT botnet ......................... 28 
1.2.1. Học máy ............................................................................................ 28 
1.2.2. Học sâu .............................................................................................. 34 
iv 
1.3. Kết luận Chương 1 ................................................................................... 39 
CHƯƠNG 2. PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC IOT BOTNET ........... 40 
2.1. Tổng quan các phương pháp phát hiện mã độc IoT botnet ...................... 40 
2.1.1. Phân tích động ................................................................................... 41 
2.1.2. Phân tích tĩnh ..................................................................................... 43 
2.1.3. Phân tích lai ....................................................................................... 46 
2.1.4. So sánh giữa phân tích tĩnh và phân tích động ................................. 47 
2.2. So sánh, đánh giá các phương pháp dựa trên phân tích tích trong phát 
hiện mã độc IoT botnet.................................................................................... 48 
2.2.1. Phân tích tĩnh dựa trên đặc trưng phi cấu trúc đồ thị ........................ 49 
2.2.2. Phân tích tĩnh dựa trên đặc trưng có cấu trúc đồ thị ......................... 56 
2.2.3. Xây dựng bộ cơ sở dữ liệu thử nghiệm ............................................. 63 
2.2.4. Các tiêu chí đánh giá ......................................................................... 68 
2.2.5. Kết quả thực nghiệm và nhận xét ...................................................... 70 
2.3. Kết luận Chương 2 và định hướng nghiên cứu ........................................ 73 
CHƯƠNG 3. ĐẶC TRƯNG ĐỒ THỊ PSI TRONG PHÁT HIỆN MÃ ĐỘC IOT 
BOTNET ............................................................................................................. 75 
3.1. Phát biểu bài toán ..................................................................................... 75 
3.2. Giải thích bài toán .................................................................................... 76 
3.3. Sơ đồ và ý tưởng phương pháp đề xuất ................................................... 79 
3.4. Đồ thị lời gọi hàm trong phát hiện mã độc IoT botnet ............................ 81 
3.4.1. Khái niệm đồ thị lời gọi hàm ............................................................ 81 
3.4.2. Xây dựng đồ thị lời gọi hàm ............................................................. 83 
3.5. Xây dựng đồ thị PSI ................................................................................. 88 
3.5.1. Các khái niệm liên quan .................................................................... 88 
3.5.2. Thuật toán xây dựng đồ thị PSI......................................................... 90 
3.6. Đánh giá thực nghiệm .............................................................................. 96 
v 
3.6.1. Môi trường thực nghiệm ................................................................... 96 
3.6.2. Mô hình đánh giá .............................................................................. 96 
3.6.3. Các kết quả thực nghiệm và thảo luận ............................................ 101 
3.7. Kết luận Chương 3 ................................................................................. 104 
CHƯƠNG 4. ĐẶC TRƯNG ĐỒ THỊ CON PSI CÓ GỐC TRONG PHÁT HIỆN 
MÃ ĐỘC IOT BOTNET .................................................................................. 105 
4.1. Phát biểu bài toán ................................................................................... 105 
4.2. Sơ đồ và ý tưởng phương pháp đề xuất ................................................. 106 
4.3. Xây dựng đặc trưng đồ thị PSI-rooted subgraph ................................... 107 
4.3.1. Khái niệm ........................................................................................ 107 
4.3.2 Thuật toán xây dựng PSI-rooted subraph ........................................ 108 
4.4. Thực nghiệm và đánh giá kết quả .......................................................... 112 
4.4.1. Môi trường thực nghiệm ................................................................. 112 
4.4.2. Mô hình đánh giá ............................................................................ 113 
4.4.3. Các kết quả thực nghiệm và thảo luận ............................................ 116 
4.5. Kết luận Chương 4 ................................................................................. 122 
KẾT LUẬN VÀ KIẾN NGHỊ ........................................................................... 124 
DANH MỤC CÔNG TRÌNH CỦA TÁC GIẢ ................................................. 127 
TÀI LIỆU THAM KHẢO ................................................................................. 129 
vi 
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT 
Từ viết tắt Viết đầy đủ (tiếng Anh) Viết đầy đủ (tiếng Việt) 
IoT Internet of things Vạn vật kết nối Internet 
DL Deep Learning Học sâu 
ML Machine Learning Học máy 
SVM Support Vector Machine Máy hỗ trợ vector 
GPU Graphical Processing Unit Thẻ xử lý đồ họa 
CFG Control Flow Graph Đồ thị luồng điều khiển 
PSI Printable String Information Thông tin có ý nghĩa 
DNN Deep Neural Networ Mạng nơ-ron học sâu 
ELF Executable Linkable Format Định dạng tập tin ELF 
DNS Domain Name System Hệ thống tên miền 
KNN K-nearest neighbour Thuật toán k láng giềng gần nhất 
RF Random Forest Thuật toán rừng ngẫu nhiên 
RNN Recurrent Neural Network Mạng nơ-ron hồi quy 
CNN Convolution Neural Network Mạng nơ-ron tích chập 
SVM Support Vector Machine Thuật toán máy hỗ trợ vector 
vii 
DANH MỤC CÁC BẢNG 
Trang 
Bảng 1.1. So sánh mã độc botnet trên máy tính truyền thống và IoT 26 
Bảng 2.1. Ưu điểm và hạn chế của phân tích động 42 
Bảng 2.2. Ưu điểm và hạn chế của phân tích tĩnh 44 
Bảng 2.3. So sánh các phương pháp phân tích, phát hiện mã độc IoT botnet 47 
Bảng 2.4. So sánh các phương pháp phát hiện mã độc IoT botnet dựa trên đặc 
trưng tĩnh trong các nghiên cứu gần đây 
61 
Bảng 2.5. Mô tả tập dữ liệu mẫu để thử nghiệm 67 
Bảng 2.6. Kết quả thực nghiệm các hướng tiếp cận dựa trên đặc trưng tĩnh hiện 
nay trong phát hiện mã độc IoT botnet 
71 
Bảng 3.1. So sánh giữa đồ thị PSI và đồ thị lời gọi hàm FCG 93 
Bảng 3.2. Chi tiết số lượng cạnh và số lượng đỉnh trong đồ thị PSI giữa các lớp 
mẫu 
93 
Bảng 3.3. Kết quả phát hiện mã độc IoT botnet bằng đồ thị PSI và đồ thị lời gọi 
hàm 
101 
Bảng 3.4. Kết quả so sánh giữa các phương pháp phát hiện IoT botnet 103 
Bảng 4.1. Một ví dụ sinh đồ thị con PSI có gốc với độ sâu bằng 2 111 
Bảng 4.2. Kết quả của các bộ phân loại với đặc trưng đề xuất 116 
Bảng 4.3. Kết quả đánh giá phát hiện mã độc với tập dữ liệu kiến trúc ARM 117 
Bảng 4.4. Kết quả đánh giá phát hiện mã độc với tập dữ liệu dựa kiến trúc MIPS 118 
Bảng 4.5. So sánh thời gian xử lý 119 
Bảng 4.6. So sánh độ chính xác của các bộ phân lớp học máy truyền thống trong 
phát hiện mã độc IoT botnet 
120 
viii 
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ 
Trang 
Hình 1.1. Số lượng các thiết bị IoT từ năm 2015 – 2025 12 
Hình 1.2. Minh họa ứng dụng của Internet of Things (IoT) trong cuộc sống 13 
Hình 1.3. Số lượng mã độc botnet trên các thiết bị IoT giai đoạn 2016 – 2018 16 
Hình 1.4. Vị trí của mã độc IoT botnet trong các loại mã độc 17 
Hình 1.5. Mối quan hệ giữa một số mã độc IoT botnet 18 
Hình 1.6. Quy trình lây nhiễm của mã độc IoT botnet 23 
Hình 1.7. Một ví dụ minh họa cây quyết định 30 
Hình 1.8. Minh họa lề tối đa cho siêu phẳng với phân loại 2 lớp 32 
Hình 1.9. Biểu diễn một mạng nơ-ron truyền thẳng 34 
Hình 1.10. Một mô hình mạng nơ-ron tích chập 35 
Hình 1.11. Mô hình Skip-gram (trái) và CBOW (phải) 37 
Hình 1.12. Mô hình túi từ phân tán 38 
Hình 1.13. Mô hình bộ nhớ phân tán 38 
Hình 2.1. Phân loại các phương pháp phát hiện mã độc IoT botnet 41 
Hình 2.2. Các phương pháp phân tích lai 46 
Hình 2.3. Tổng quan tiến trình phát hiện mã độc IoT botnet dựa trên các đặc 
trưng tĩnh 
48 
Hình 2.4. Phân loại các đặc trưng tĩnh trong phát hiện mã độc IoT botnet 49 
Hình 2.5. Minh họa các chuỗi Opcode trong tập tin thực thi mã độc 50 
Hình 2.6. Một số chuỗi PSI trong tập tin nhị phân mã độc 52 
Hình 2.7. Chuỗi BAD được mô tả dưới dạng ASCII 52 
Hình 2.8. Chuỗi BAD được miêu tả dưới dạng Unicode 53 
Hình 2.9. Định dạng tập tin ELF 54 
Hình 2.10. Quá trình biểu diễn mã độc thông qua ảnh đa mức xám 55 
Hình 2.11. Ví dụ ảnh mẫu mã độc dòng Linux.Gafgyt 56 
Hình 2.12. Minh họa một đồ thị đơn giản 57 
ix 
Hình 2.13. Minh họa một đồ thị có hướng và nhãn 57 
Hình 2.14. Đồ thị CFG của một mẫu mã độc botnet Linux.Bashlite 59 
Hình 2.15. Minh họa đồ thị Opcode 60 
Hình 2.16. Kết quả tải về tập dữ liệu mã độc IoT botnet từ IoTPOT 63 
Hình 2.17. Giao thức telnet 64 
Hình 2.18. Giao diện của VirusShare sau khi đăng nhập với tài khoản được cấp 65 
Hình 2.19. Kết quả tải về tập dữ liệu mã độc IoT botnet từ VirusShare 66 
Hình 2.20. Sự phân bố kiến trúc vi xử lý trong các mẫu mã độc IoT botnet 67 
Hình 3.1. Tổng quan bài toán phát hiện mã độc IoT botnet dựa trên đặc trưng 
đồ thị 
76 
Hình 3.2. Quy trình phương pháp đề xuất phát hiện mã độc IoT botnet 80 
Hình 3.3. Minh họa cấu trúc của tập tin bị đóng gói bằng UPX 84 
Hình 3.4. Một hàm từ mã độc Linux.Mirai 85 
Hình 3.5. Một phần đồ thị lời gọi hàm của mã độc Linux.Mirai 87 
Hình 3.6. Các chuỗi bị mã hóa trong Linux.Mirai 89 
Hình 3.7. Minh họa lưu trữ dữ liệu đồ thị PSI 92 
Hình 3.8. Số lượng các cạnh và đỉnh giữa các lớp mẫu 94 
Hình 3.9. Đồ thị lời gọi hàm (trái) v ... 013). Malware detection 
through mining symbol table of Linux executables. Inf Technol J. Số 12.(2), 
Tr.380–384 
43. Baidu Research (2017). DeepBench. URL: [Online]. Available: 
https://github.com/baidu-research/DeepBench.Visited on: 10/7/2018 . 
44. Celeda, P., Krejci, R., & Krmicek, V. (2012). Revealing and analysing modem 
malware. IEEE, In 2012 IEEE International Conference on Communications 
(ICC) Tr. 971–5. 
45. Celeda, P., Krejcí, R., Vykopal, J., & Drasar, M. (2010). Embedded malware-an 
analysis of the Chuck Norris botnet. IEEE, In 2010 European Conference on 
Computer Network Defense Tr. 3–10. 
46. Cesare, Silvio, Yang Xiang, and Wanlei Zhou (2013). Control flow-based 
malware variantdetection. IEEE Trans Dependable Secure Comput. Số 11.(4), 
Tr.307–17 
47. Chris Eagle (2011). The IDA Pro Book: The Unofficial Guide to the World’s Most 
Popular Disassembler. 2nd ed. William Pollock, Canada. 
48. Cisco Talos (2018). New VPNFilter malware targets at least 500k net- working 
devices worldwide. URL: [Online]. Available: 
https://blog.talosintelligence.com/2018/05/VPNFilter.html/. Visited on: 
18/6/2018 . 
133 
49. Costin, Andrei, and Jonas Zaddach (2018). IoT malware: Comprehensive survey, 
analysis framework and case studies. BlackHat USA 
50. Cozzi Emanuele, et al. (2018). Understanding Linux Malware. IEEE, IEEE 
Symposium on Security and Privacy (SP) Tr. 161–75. 
51. D. Kiran el al. (2017). An Improved CBIR System Using Low-Level Image 
Features Extraction and Representation. International Journal of Applied 
Engineering Research. Số 12.(19), Tr.9032–7 
52. Darabian Hamid, et al. (2019). An opcode-based technique for polymorphic 
Internet of Things malware detection. Concurrency and Computation: Practice 
and Experience. Số 32.(6), Tr.1–14 
53. Darki, A., Faloutsos, M., Abu-Ghazaleh, N., & Sridharan, M (2019). IDAPro for 
IoT malware analysis? In 12th {USENIX} Workshop on Cyber Security 
Experimentation and Test ({CSET} 19). Tr. 1–9. 
54. Darki, Ahmad, et al (2018). RARE: A systematic augmented router emulation for 
malware analysis. Springer, Cham, In International Conference on Passive and 
Active Network Measurement. Lecture Notes in Computer Science Tr. 60–72. 
55. De Donno Michele, et al (2018). DDoS-capable IoT malwares: Comparative 
analysis and Mirai investigation. Secur Commun Netw Hindawi. , Tr.1–30 
56. De Paola Alessandra, et al. (2018). Malware Detection through Low-level 
Features and Stacked Denoising Autoencoders. Italian Conference on Cyber 
Security (ITASEC) URL:  . 
57. Dovom Ensieh Modiri, et al. (2019). Fuzzy pattern tree for edge malware 
detection and categorization in IoT. J Syst Archit. Số 97. 
58. E. Bertino and N. Islam (2017). Botnets and internet of things security. IEEE 
Comput. Số 50.(2), Tr.76–79 
59. Ed Skoudis, Lenny Zeltser (2004). Malware: fighting malicious code. Prentice 
Hall 
60. Fan, Ming, et al (2018). Android malware familial classification and 
representative sample selection via frequent subgraph analysis. IEEE Trans Inf 
Forensics Secur. Số 13.(8), Tr.1890–905 
61. Felt Adrienne Porter, et al. (2011). A survey of mobile malware in the wild. ACM, 
In Proceedings of the 1st ACM workshop on Security and privacy in smartphones 
and mobile devices Tr. 3–14. 
62. G Rothermel (2005). Representation and analysis of software. Angew Chem 
Wiley. Số 46.(31), Tr.5896–900 
134 
63. Hallman, R., Bryan, J., Palavicini, G., Divita, J., & Romero-Mariona, J (2017). 
IoDDoS-the internet of distributed denial of sevice attacks. In Proceedings of the 
2nd International Conference on Internet of Things, Big Data and Security 
(IoTBDS) Tr. 47–58. 
64. Hassen, Mehadi, and Philip K. Chan (2017). Scalable function call graph-based 
malware classification. In Proceedings of the Seventh ACM on Conference on 
Data and Application Security and Privacy Tr. 239–48. 
65. Helenius Marko (2002). A system to support the analysis of antivirus products’ 
virus detection capabilities. Tampere University Press 
66. Ho, Hoang Nam, et al. (2013). Detecting recurring deformable objects: an 
approximate graph matching method for detecting characters in comics books. 
Springer, Berlin, Heidelberg, International Workshop on Graphics Recognition. 
Lecture Notes in Computer Science Tr. 122–34. 
67. Homayoun Sajad, et al. (2018). BoTShark: A deep learning approach for botnet 
traffic detection. Springer, Cham., In Cyber Threat Intelligence. Advances in 
Information Security Tr. 137–53. 
68. Igor Santos, Felix Brezo, Xabier Ugarte-Pedrero, and Pablo G Bringas (2013). 
Opcode sequences as representation of executables for data-mining-based 
unknown malware detection. Inf Sci. Số 231., Tr.64–82 
69. International Telecommunication Union. Overview of the Internet of things, 
Recommendation ITU-T Y.20602013. URL: [Online]. Available: 
https://www.itu.int/rec/T-REC-Y.2060-201206-I . 
70. Islam Rafiqul, Ronghua Tian, Lynn M. Batten, and Steve Versteeg. (2013). 
Classification of malware based on integrated static and dynamic featuresc. J 
Netw Comput Appl. Số 36.(2), Tr.646–56 
71. J Steven Perry. Anatomy of an IoT malware attack. URL: [Online]. Available: 
https://developer.ibm.com/technologies/iot/articles/iot-anatomy-iot-malware-
attack/. Visited on: 31/11/2017 . 
72. James King, Ali Ismail Awad (2016). A distributed security mechanism for 
resource-constrained IoT devices. Informatica. Số 40.(1), Tr.133–143 
73. Kevin Ashton (2009). That “Internet of Things” thing. RFID J. Số 22.(7), Tr.97–
114 
74. Khoshhalpour Ehsan, and Hamid Reza Shahriari (2018). BotRevealer: Behavioral 
detection of botnets based on botnet life-cycle. ISeCure- ISC Int J Inf Secur. Số 
10.(1), Tr.55–61 
75. Kim Yoon (2014). Convolutional neural networks for sentence classification. 
arXiv preprint arXiv:1408.5882 
135 
76. Knud Lasse Lueth (2014). IoT Market – Forecasts at a glance. URL: [Online]. 
Available: https://iot-analytics.com/iot-market-forecasts-overview/. Visited on: 
15/4/2018 . 
77. Kolias Constantinos, et al. (2017). DDoS in the IoT: Mirai and other botnets. IEEE 
Comput. Số 50.(7), Tr.80–4 
78. Kolter J. Zico, and Marcus A. Maloof (2006). Learning to detect and classify 
malicious executables in the wild. J Mach Learn Res ACM. Số 7., Tr.2721–44 
79. Kotsiantis, S. B., Zaharakis, I., & Pintelas, P (2007). Supervised machine 
learning: A review of classification techniques. Emerg Artif Intell Appl Comput 
Eng. Số 160.(1), Tr.249–68 
80. Krizhevsky, A (2014). One weird trick for parallelizing convolutional neural 
networks. arXiv preprint arXiv:1404.5997 
81. Kumar Ajit, K. S. Kuppusamy, and G. Aghila (2018). FAMOUS: Forensic 
Analysis of MObile devices Using Scoring of application permissions. Future 
Gener Comput Syst. Số 83., Tr.158–72 
82. Le Quoc, and Tomas Mikolov. " (2014). Distributed representations of sentences 
and documents. In Proceedings of the 31 st International Conference on Machine 
Learning Tr. 1188–1196. 
83. Lin, Zhaowen, Fei Xiao, Yi Sun, Yan Ma, Cong-Cong Xing, and Jun Huang. 
(2018). A Secure Encryption-Based Malware Detection System. KSII Trans 
Internet Inf Syst. Số 12.(4), Tr.1799–818 
84. Liu Liu, Bao-sheng Wang, Bo Yu, and Qiu-xi Zhong (2017). Automatic malware 
classification and new malware detection using machine learning. Front Inf 
Technol Electron Eng. Số 18.(9), Tr.1336–47 
85. Mikhail Kuzin, Yaroslav Shmelev, Vladimir Kuskov (2018). New trends in the 
world of IoT threats. URL: [Online]. Available: https://securelist.com/new-
trends-in-the-world-of-iot-threats/87991/. Visited on: 15/2/2019 . 
86. Mikolov Tomas, Ilya Sutskever, Kai Chen, Greg S. Corrado, and Jeff Dean 
(2013). Distributed representations of words and phrases and their 
compositionality. ACM, Proceedings of the 26th International Conference on 
Neural Information Processing Systems Tr. 3111–9. URL: 
https://dl.acm.org/doi/10.5555/2999792.2999959 . 
87. Muhammad Junaid Bohio (2015). Analysis of a MIPS Malware. SANS Institute 
URL: [Online]. Available: https://www.sans.org/reading-
room/whitepapers/malicious/analyzing-backdoor-bot-mips-platform-35902. 
Visited on: 16/7/2017 . 
88. Mwangi Karanja, Shedden Masupe, and Jeffrey Mandu. Internet of things 
malware: Survey. Int J Comput Sci Eng Surv IJCSES. Số 8.(3), Tr.2017 
136 
89. Narayanan, A., Chandramohan, M., Chen, L., Liu, Y., & Saminathan, S (2016). 
Subgraph2vec: Learning distributed representations of rooted sub-graphs from 
large graphs. arXiv preprint arXiv:1606.08928 
90. Pascanu Razvan, et al. (2015). Malware classification with recurrent networks. 
IEEE, In 2015 IEEE International Conference on Acoustics, Speech and Signal 
Processing (ICASSP) Tr. 1916–20. 
91. Prokofiev, A. O., Smirnova, Y. S., & Surov, V. A (2018). A method to detect 
Internet of Things botnets. IEEE, In 2018 IEEE Conference of Russian Young 
Researchers in Electrical and Electronic Engineering (EIConRus) Tr. 105–8. 
92. Rawat Waseem, and Zenghui Wang (2017). Deep convolutional neural networks 
for image classification: A comprehensive review. Neural Comput. Số 29.(9), 
Tr.2352–449 
93. Sathya R., and Annamma Abraham (2013). Comparison of supervised and 
unsupervised learning algorithms for pattern classification. Int J Adv Res Artif 
Intell. Số 2.(2), Tr.34–8 
94. Sebastián M., Rivera, R., Kotzias, P., & Caballero, J. (2016). Avclass: A tool for 
massive malware labeling. Springer, Cham, In International Symposium on 
Research in Attacks, Intrusions, and Defenses. Lecture Notes in Computer 
Science Tr. 230–53. 
95. Shafiq M. Zubair, Syed Ali Khayam, and Muddassar Farooq (2008). Embedded 
malware detection using markov n-grams. Springer, Berlin, Heidelberg, 
International conference on detection of intrusions and malware, and vulnerability 
assessment. Lecture Notes in Computer Science Tr. 88–107. 
96. Shahzad Farrukh, and Muddassar Farooq (2012). Elf-miner: Using structural 
knowledge and data mining methods to detect new (linux) malicious executables. 
Knowl Inf Syst. Số 30.(3), Tr.589–612 
97. Shang Shanhu, et al. (2010). Detecting malware variants via function-call graph 
similarity. IEEE, In 5th International Conference on Malicious and Unwanted 
Software Tr. 113–20. 
98. Sherwood Timothy, Erez Perelman, Greg Hamerly, and Brad Calder (2002). 
Automatically characterizing large scale program behavior. ACM SIGPLAN 
Not. Số 37.(10), Tr.45–57 
99. Souri Alireza, and Rahil Hosseini (2018). A state‑of‑the‑art survey of malware 
detection approaches using data mining techniques. Souri Alireza Rahil Hosseini. 
Số 8.(3), Tr.1–22 
100. Srivastava, N., Hinton, G., Krizhevsky, A., Sutskever, I., & Salakhutdinov, R 
(2014). Dropout: a simple way to prevent neural networks from overfitting. J 
Mach Learn Res. Số 15.(1), Tr.1929–58 
137 
101. Symantec Official Blog (2015). Linux.Wifatch. URL: [Online]. Available: 
https://www.symantec.com/security_response/writeup.jsp?docid=2015-011216-
2314-99&tabid=2. Visited on: 19/9/2017 . 
102. Symantec Security Response Security Response Team. Vpnfilter: New router 
malware with destructive capabilities. URL: [Online]. Available: 
https://www.symantec.com/blogs/threat-intelligence/vpnfilteriot-malware, 2018. 
Visited on: 18/8/2018 . 
103. W. Zhou, Y. Jia, A. Peng, Y. Zhang, and P. Liu (2018). The effect of iot new 
features on security and privacy: New threats, existing solutions, and challenges 
yet to be solved. IEEE Internet Things J. Số 6.(2), Tr.1606–16 
104. Wang, Aohui, Ruigang Liang, Xiaokang Liu, Yingjun Zhang, Kai Chen, and Jin 
Li. (2017). An Inside Look at IoT Malware. Springer, Cham, In International 
Conference on Industrial IoT Technologies and Applications. Lecture Notes of the 
Institute for Computer Sciences, Social Informatics and Telecommunications 
Engineering, Tr. 176–86. 
105. Wang Junfeng, Bai Jinrong (2018). Function call graph fingerprint based 
malicious software detection method. CN105046152A, 2018. URL: 
https://patents.google.com/patent/CN105046152B/en . 
106. Wu Chun-Jung, Ying Tie, Satoshi Hara, Kazuki Tamiya, Akira Fujita, Katsunari 
Yoshioka, and Tsutomu Matsumoto (2018). IoTProtect: Highly Deployable 
Whitelist-based Protection for Low-cost Internet-of-Things Devices. J Inf Process. 
Số 26., Tr.662–72 
107. Xin Yang, et al. (2018). Machine learning and deep learning methods for 
cybersecurity. IEEE Access. Số 6., Tr.35365–81 
108. Xu Ming, Lingfei Wu, Shuhui Qi, Jian Xu, Haiping Zhang, Yizhi Ren, and Ning 
Zheng (2013). A similarity metric method of obfuscated malware using function-
call graph. J Comput Virol Hacking Tech. Số 9.(1), Tr.35–47 
109. Yashaswini J (2017). A Review on IoT Security Issues and Countermeasures. 
Orient J Comp Sci Technol. Số 10.(2), Tr.454–9 
110. Ye Yanfang, et al., (2017). A survey on malware detection using data mining 
techniques. ACM Comput Surv CSUR. Số 50.(3), Tr.1–40 
111. Zaddach Jonas, et al (2014). AVATAR: A Framework to Support Dynamic Security 
Analysis of Embedded Systems. Internet Society, Proceedings of the Network and 
Distributed System Security Symposium, Tr. 1–16. 
112. Ziv Chang (2019). IoT Device Security Locking Out Risks and Threats to Smart 
Homes. Trend Micro Research URL: [Online]. Available: 
https://documents.trendmicro.com/assets/white_papers/IoT-Device-Security.pdf 
138 
113. Домът на Виерко (2013). lightaidra 0x2012 (aidra). URL: [Online]. Available: 
https://vierko.org/tech/lightaidra-0x2012/. Visited on: 19/9/2017 . 
114. (2019). Demystifying Neural Network in Skip-Gram Language Modeling. URL: 
[Online]. Available: 
https://aegis4048.github.io/demystifying_neural_network_in_skip_gram_langua
ge_modeling’. Visited on: 20/5/2019 . 
115. Detect-It-Easy. URL: [Online]. Available: https://github.com/horsicq/Detect-It-
Easy. Visited on: 15/9/2017 . 
116. Firmware Analysis Tool. URL: [Online]. Available:: 
https://github.com/ReFirmLabs/binwalk. Visited on: 17/9/2018 . 
117. IDA pro. URL: [Online]. Available:: https://www.hex-rays.com. Visited on: 
14/8/2017 . 
118. IoT devices examples, definitions and e-shop for good price!,. URL: [Online]. 
Available: https://iotbuzzer.com/iot-devices-definition-and-examples/. Visited 
on: 20/2/2020 . 
119. OpenWrt. URL: [Online]. Available: https://openwrt.org. Visited on: 18/9/2018 . 
120. Radware. Brickerbot results in PDOS attack. URL: [Online]. Available: 
https://security.radware.com/ddos-threatsattacks/brickerbot-pdos-permanent-
denial-of-service/. Visited on: 18/5/2018 . 
121. UPX - the Ultimate Packer for eXecutables. URL: [Online]. Available: 
https://github.com/upx. Visited on: 15/9/2017 . 
122. VirusShare, Because Sharing is Caring. URL: [Online]. Available: 
https://virusshare.com. Visited on: 10/1/2019 . 
123. VirusTotal. URL: [Online]. Available: https://www.virustotal.com. Visited on: 
19/9/2018 .