[论文解读] Lightweight Classification of IoT Malware based on Image Recognition
该论文提出了一种轻量级、基于CNN的恶意软件分类系统,将物联网恶意软件二进制文件转换为灰度图像,利用两层卷积神经网络进行检测。在区分良性软件与DDoS恶意软件的任务中,准确率达到94.0%;在分类良性软件、Mirai和Gafgyt家族的三类任务中,准确率达到81.8%,证明了其在资源受限的物联网设备上部署的可行性。
The Internet of Things (IoT) is an extension of the traditional Internet, which allows a very large number of smart devices, such as home appliances, network cameras, sensors and controllers to connect to one another to share information and improve user experiences. Current IoT devices are typically micro-computers for domain-specific computations rather than traditional functionspecific embedded devices. Therefore, many existing attacks, targeted at traditional computers connected to the Internet, may also be directed at IoT devices. For example, DDoS attacks have become very common in IoT environments, as these environments currently lack basic security monitoring and protection mechanisms, as shown by the recent Mirai and Brickerbot IoT botnets. In this paper, we propose a novel light-weight approach for detecting DDos malware in IoT environments.We firstly extract one-channel gray-scale images converted from binaries, and then utilize a lightweight convolutional neural network for classifying IoT malware families. The experimental results show that the proposed system can achieve 94.0% accuracy for the classification of goodware and DDoS malware, and 81.8% accuracy for the classification of goodware and two main malware families.
研究动机与目标
- 为解决物联网设备缺乏轻量级、设备端恶意软件检测方案的问题,这些设备因计算资源有限而易受基于僵尸网络的DDoS攻击。
- 通过在实际收集的物联网蜜罐中获取的最新Mirai和Gafgyt恶意软件样本,克服真实物联网恶意软件样本稀缺的问题。
- 通过利用二进制文件的图像表示和极简深度学习模型,实现在物联网设备上的本地、实时恶意软件分类。
- 证明浅层、轻量级CNN可在无需复杂预处理或大型模型的情况下实现高检测准确率。
- 为物联网恶意软件提供一种第一级分类器,可在设备端使用,更详细的家族分类则由基于云的系统处理。
提出的方法
- 通过将二进制字节解释为像素强度,将原始物联网恶意软件和良性应用程序二进制文件转换为单通道灰度图像。
- 在这些图像表示上训练一个两层卷积神经网络(CNN),以分类恶意软件家族和良性软件。
- 采用轻量级架构,减少全连接层数量并降低输入维度,以确保计算成本低,适合在物联网设备上部署。
- 应用标准CNN操作,如卷积、ReLU激活和池化,从图像化二进制文件中提取空间特征。
- 通过最小化参数数量并避免复杂操作,优化模型以提升推理效率,使其可在处理能力有限的设备上部署。
- 利用专门的物联网蜜罐收集的真实世界物联网恶意软件(Mirai、Gafgyt)和良性二进制文件构建自定义数据集,用于系统训练与评估。
实验结果
研究问题
- RQ1轻量级基于CNN的系统是否能在资源受限设备上,通过二进制文件的图像表示有效分类物联网恶意软件?
- RQ2与现有方法相比,所提出的基于图像的恶意软件分类系统在准确率和模型大小方面表现如何?
- RQ3Mirai和Gafgyt等物联网恶意软件家族在二进制到图像的表示中是否表现出视觉相似性,从而影响分类准确率?
- RQ4在不依赖外部云处理的情况下,是否可行将小型高效CNN部署于设备端进行恶意软件检测?
- RQ5与传统机器学习分类器(如SVM、KNN)相比,该方法在物联网环境中的计算开销和可扩展性方面表现如何?
主要发现
- 所提出的系统在两分类任务中,区分良性软件与DDoS恶意软件的准确率达到94.0%。
- 在三分类任务中,系统在区分良性软件、Mirai和Gafgyt恶意软件家族时达到81.8%的准确率。
- 三分类设置中所有误分类的恶意软件样本均属于Gafgyt家族,其中6.67%的Gafgyt样本被错误标记为良性。
- 没有Mirai样本被误分类为良性,表明Mirai二进制文件在视觉上比Gafgyt二进制文件更明显区别于良性软件。
- 尽管模型架构极为简单,仅包含两层卷积层和少量参数,但其性能依然稳健,适合边缘设备部署。
- 该系统在准确率上优于或匹配以往工作,同时使用了显著更小、更高效的模型,尤其相较于类似任务中使用的深层网络(如VGG)具有明显优势。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。