A Lightweight IoT Cryptojacking DetectionMechanism in Heterogeneous Smart HomeNetworks
Network and Distributed Systems Security (NDSS) Symposium 2022, 24-28 April 2022
文章目錄
- Abstract
- 1. INTRODUCTION
- 背景
- 貢獻
- 研究結果摘要
- 2. BACKGROUND
- A. 加密貨幣挖掘
- B. 加密劫持類型
- C. 機器學習工具
- 3. ADVERSARY MODEL AND ATTACK SCENARIOS
- A. 與服務提供商進行加密劫持
- B. 使用命令和控制(C&C)服務器進行加密劫持
- 4. IOT CRYPTOJACKING DETECTION VIA NETWORK TRAFFIC
- 5. DATASET COLLECTION
- A. Topolpgy
- B. Devices
- C. Implementation Methodology
- Implementing In-browser Cryptojacking
- Implementing Host-based Cryptojacking
- D. Labeling
- E. Initial Data Analysis
- 良性 vs. 惡性
- 基于主機的加密劫持 vs. 基于瀏覽器的加密劫持
- 樹莓派 vs. 筆記本電腦 vs. 服務器
- 6. EVALUATION
- A. Designing an IoT Cryptojacking Detection Mechanism
- 1. 特征提取
- 2. 特征選擇
- 3. 分類器選擇
- 4. 訓練大小和時間
- B. Evaluation With Different Adversarial Behaviours
- C. Adversarial Models of Compromised Device Numbers inSmart Home Network
- D. Classifier Sensitivity Evaluation
- 7. DISCUSSION
- 8. RELATED WORK
- 9. CONCLUSION
Abstract
最近,加密劫持惡意軟件 已成為從 大量受害者中獲利的簡單方式。先前研究的密碼劫持檢測系統,重點是(in-browser)瀏覽器內和(host-based)基于主機的密碼劫持惡意軟件。
然而,這些早期的工作都沒有在這種背景下研究不同的攻擊配置和網絡設置。例如,具有積極獲利策略的攻擊者可能會將計算資源增加到最大利用率,以便在短時間內獲得更多好處,而隱蔽型的攻擊者可能希望在受害者的設備上停留更長時間而不被發現。
檢測機制的準確性可能因攻擊型和隱蔽型的攻擊者而異。在檢測機制的性能評估中,盈利策略、密碼劫持惡意軟件類型、受害者的設備以及網絡設置都可能發揮關鍵作用。
此外,具有多個物聯網設備的智能家居網絡很容易被攻擊者利用,幫攻擊者去挖礦。然而,之前沒有任何工作調查研究過:加密惡意軟件對物聯網設備和受損智能家居網絡的影響。
- 本文首先提出了一種基于網絡流量特征的準確高效的物聯網密碼劫持檢測機制,該機制可以檢測(in-browser)瀏覽器內和(host-based)基于主機的密碼劫持。
- 然后,我們重點關注新設備類別(如物聯網)上的密碼劫持實現,并設計了幾個新的實驗場景來評估我們的檢測機制,以覆蓋攻擊者的當前攻擊面。特別是,我們在各種攻擊配置和網絡設置中測試了我們的機制。為此,我們使用了由6.4M網絡包組成的網絡跟蹤數據集。
結果表明,我們的檢測算法僅需一個小時的訓練數據就可以獲得高達99%的準確率。據我們所知,這項工作是第一項專注于物聯網密碼劫持的研究,也是第一項分析密碼劫持檢測領域中各種攻擊行為和網絡設置的研究。
1. INTRODUCTION
背景
區塊鏈技術消除了中央權威,并通過基于算力的共識模型來確保鏈上交易的不變性。這種共識模型稱為PoW工作證明,用于比特幣、以太坊和Monero等區塊鏈網絡中。PoW共識算法取決于硬件的計算能力,解決基于散列的題需要消耗大量能量,而這種能量成本是挖礦操作的主要開支之一。
在這個生態系統中,加密劫持是一種在受害者未知情和同意的情況下使用受害者處理能力的行為。攻擊者濫用受害者的計算能力進行密碼劫持有兩種主要方法。
- 將腳本注入網站。
- 將挖礦程序傳到主機。
隨著加密劫持攻擊的流行,并且能夠針對更大的攻擊域,物聯網設備逐漸成為攻擊者的攻擊對象。 但,物聯網設備通常是資源受限的,也就是說,攻擊者一般不從單獨的設備中獲利,而是利用僵尸網絡攻擊等技術大規模地控制物聯網設備,并使其能夠代表攻擊者挖礦。
- Mirai在2017年實施了大規模分布式拒絕服務攻擊(DDoS),攻擊者使用該網絡偽造比特幣,并將僵尸網絡變成一個加密的挖礦池。
- 最近,另一個收到Mirai啟發放入僵尸網絡LIQUOR IoT也開始在IoT設備上挖掘Monero。
在物聯網行業和物聯網設備能力不斷發展的同時,也為攻擊者提供了更多的空間來擴大其攻擊面。
物聯網網絡相對于非物聯網網絡(普通計算機,服務器)更能提供利益的幾點原因:
在本文中,我們將重點放在物聯網設備上,我們的目標是設計一個能夠檢測瀏覽器和基于主機的物聯網加密劫持惡意軟件的檢測系統。
由于大多數物聯網設備不允許被編程來收集硬件級功能或瀏覽器特定功能,因此檢測物聯網加密劫持具有挑戰性。然而,基于網絡流量的功能可以在路由器上的統一接口中收集,也就是說,根本不需要編程來修改設備。因此,在本文中,我們使用基于網絡的特征來檢測IoT加密劫持惡意軟件,并提出了一種準確、輕量級且易于實現的加密劫持檢測系統,該系統可以檢測兩種類型的加密劫持攻擊。
我們進行了一系列實驗,以設計和評估最佳物聯網加密劫持檢測機制。
- 首先,我們進行實驗,以找到排名最好的特征、最準確的分類器和最佳訓練大小。
- 然后,我們通過12個實驗來評估我們的IoT加密劫持檢測機制的有效性,這些實驗旨在評估各種攻擊者行為和網絡設置。
為此,我們在物聯網設備、筆記本電腦和服務器上安全地實施了加密劫持惡意軟件。
貢獻
- 我們提出了一種針對物聯網網絡的準確有效的加密劫持檢測算法。由于我們使用基于網絡流量的功能,我們的算法能夠檢測瀏覽器和基于主機的加密劫持惡意軟件,而不依賴于云或設備。
- 為了評估我們的算法,我們設計了幾個新穎的實驗場景。我們評估了各種攻擊配置(例如,密碼劫持類型、盈利策略、設備和節流值)和網絡設置(例如,完全或部分受損)。本論文首次分析了加密攻擊檢測領域的各種攻擊策略和網絡設置。
- 為了克服在物聯網設備上實施加密劫持惡意軟件過程中的一些實際問題,我們使用了新的技術,這些技術可以在未來的其他研究中加以改進。
- 為了加速這方面的研究,我們發布了數據集和代碼。
https://github.com/cslfiu/IoTCryptojacking2
研究結果摘要
除了我們的輕量級和高精度物聯網檢測機制外,我們還進行了大量的實驗,以評估各種攻擊者行為和網絡設置,這導致了一些值得關注的有趣結果:
- 我們發現,最高的惡意數據包生成率比表III中給出的良性數據集的最低數據包生成速率低72%。這表明,加密惡意軟件生成的數據包不像日常網絡瀏覽和應用程序數據那樣多。
- 我們發現,雖然瀏覽器中的惡意軟件使用了諸如限制CPU和最小化網絡通信等規避技術,但基于主機的惡意軟件試圖以最大計算能力操控設備。
- 我們觀察到,相比于其他設備類型(即筆記本電腦和物聯網),在針對服務器類型設備的攻擊過程中,檢測到加密攻擊者的可能性更高。
- 我們發現,與穩健性(即50%節流)和攻擊性(即100%節流)攻擊場景相比,采用隱蔽策略(即10%節流)的惡意場景的準確性更低。這意味著攻擊者的混淆方法在檢測階段仍然會產生差異。
節流:像閥門一樣控制水流,避免單位時間內流量過大
2. BACKGROUND
A. 加密貨幣挖掘
加密貨幣挖掘是新加密貨幣進入流通的過程,是分布式區塊鏈賬本維護和連續性的關鍵組成部分。區塊鏈網絡的不變性由共識機制提供,即加密貨幣挖掘。
加密貨幣挖掘是一個費力、昂貴的過程,礦工的回報取決于運氣因素。基于工作的協商一致機制受益于哈希算法的擴散特性,以防止礦工以非對稱模式預測哈希值,
B. 加密劫持類型
本節解釋了不同類型的加密劫持惡意軟件的詳細信息及其相似性和差異。
- 瀏覽器內加密劫持:攻擊者利用JS庫和Wasm等技術實現瀏覽器內的加密劫持惡意軟件。
- 基于主機的加密劫持:攻擊者將自己隱藏在受害者主機的計算機系統中,并進行加密貨幣的挖掘。
C. 機器學習工具
3. ADVERSARY MODEL AND ATTACK SCENARIOS
我們評估了7個攻擊案例,并進行了12個離散實驗來測試本文提出的加密劫持檢測機制。在本節中,我們將解釋IoT設備如何成為惡意軟件的攻擊目標,以及如何在實驗中跟蹤這些對手。
A. 與服務提供商進行加密劫持
攻擊者通常利用網頁和web應用程序的代碼注入漏洞,來注入服務提供商提供的挖礦腳本。今年來,物聯網框架快速發展。攻擊者將這些框架功能與已知漏洞合并,并利用這些漏洞在這些設備中運行他們的惡意軟件。
我們使用LG的WebOS開發框架[40]實現了WebOS物聯網加密劫持惡意軟件,并開發了一個基本的WebOS應用程序,當用戶開始運行該應用程序時,該應用程序會調用加密劫持腳本。
為了能夠創建一個穩定和可控制的加密劫持環境,我們在可控的服務器下準備了一個網站,并托管了幾個不同的加密劫持腳本。我們選擇了Webmine[41]作為我們的主要服務提供商。我們使用不同級別的計算硬件使用組合運行腳本,以觀察這些腳本的特征結果。
B. 使用命令和控制(C&C)服務器進行加密劫持
C&C指的是:敵方利用計算機去向設備發送指令。出于身份安全的原因,攻擊者通常將這些服務器托管在基于云的平臺上。
圖1展示了連接到挖礦池的C&C服務的基本配置。在加密劫持域中,C&C服務器作為挖礦池的一個子集工作,從挖礦池接收任務并將任務分發給物聯網設備。
在本文中,我們重點討論了被攻擊設備和C&C服務器之間的通信管道。為了演示此設置中的流程和數據通信,我們創建了一個C&C服務器,該服務器在不同時間段之間發送挖礦任務。此時間頻率可以根據區塊鏈網絡的區塊頻率進行更改。我們成功地利用LG WebOS[40]智能TV和測試平臺實現了這個場景。
4. IOT CRYPTOJACKING DETECTION VIA NETWORK TRAFFIC
網絡流量分類和識別技術在過去幾年中得到了廣泛的應用,在服務器端和本地網絡端創建用戶或設備配置文件是一項眾所周知的技術。
在本文中,我們考慮智能家庭網絡設置,其中許多IoT和非IoT設備連接到路由器,以便能夠連接到互聯網。每個設備都可以通過其MAC地址進行識別。因此,我們將網絡中的設備定義為網絡中給定設備的(MAC0、MAC1、…、MACn)(MAC_0、MAC_1、…、MAC_n)(MAC0?、MAC1?、…、MACn?)。
我們假設此網絡中的一個或多個設備被攻擊者破壞,以代表攻擊者執行加密貨幣挖掘,我們的目的是通過在一定時間段內監視其網絡流量來檢測正在執行的設備。
為此,我們使用機器學習算法,這些算法事先經過了惡性和良性數據的訓練。設備產生連續的網絡流量,需要將其轉換為數據格式,機器學習算法可以預測設備是否運行。
在將數據包轉換為正確格式之前,我們使用以下過濾器過濾每個數據包。
(MACsrc==MACi)OR(MACdst==MACi)(MAC_{src}==MAC_i)\;OR\;(M AC_{dst}==MAC_i)(MACsrc?==MACi?)OR(MACdst?==MACi?)
然后,從每個數據包中提取以下元數據:
Pkti=[MACi,timestamp,packetlength]Pkt_i= [MAC_i,\, timestamp,\, packet\,\, length]Pkti?=[MACi?,timestamp,packetlength]
在這個過程的最后,我們獲得了每個設備在給定時間到達的一系列數據包長度。最后,我們使用10個數據包來計算特征,并使用這些特征來訓練/測試機器學習算法。
5. DATASET COLLECTION
本文中我們關注的數據是物聯網設備和加密劫持服務提供商之間的網絡通信數據。在本節中,我們將重點介紹拓撲結構、工具、方法以及我們在物聯網環境中使用的其他實現細節,從而解釋主要的數據集收集和創建過程。
A. Topolpgy
檢測網絡中 受控設備執行未經授權的挖礦行為。
B. Devices
我們在代表不同計算能力的四種不同設備上進行了實驗。樹莓派和LG智能電視代表現實網絡中的物聯網設備,而筆記本電腦代表常規設備,而Tower服務器代表計算能力強的設備。表I顯示了我們在實驗中使用的設備及其規格。
此外,在圖2中的給定拓撲中:
- 使用TP-link Archer C7 V5作為路由器。
- 使用Ettercap操縱ARP協議,并將網絡流量轉發到數據采集計算機的IP地址。
通過這種網絡配置,我們能夠使用Wireshark數據包收集器和分析器收集所有網絡數據。
C. Implementation Methodology
瀏覽器內和基于主機的密碼劫持的實現在幾個方面有所不同。在接下來的小節中,我們將解釋其實現的細節。
Implementing In-browser Cryptojacking
為了能夠在安全的環境下實施瀏覽器加密劫持,我們推出了一個基本的WordPress[49]網頁,其中包含了幾種不同的惡意軟件。我們在測試網站的不同頁面的源代碼中放置了不同的基于HTML的惡意軟件樣本。我們將這些頁面與測試設備連接起來,并為每個用例場景收集至少12小時的網絡流量數據,如第三節所述。我們使用了Webmine.io和WebminePool[50]服務提供商分發的腳本,用于瀏覽器內加密貨幣挖掘。
Implementing Host-based Cryptojacking
在樹莓派、筆記本電腦和Tower Server上實現基于主機的加密劫持非常簡單。我們下載了加密貨幣挖掘二進制文件MinerGate V1.7,并讓他運行。
然而,在LG 智能電視上這樣做比較難,因為該設備必須要求能夠執行該二進制MinerGate文件。因此,我們使用LG WebOS 框架開發了一個基礎應用程序,只要該程序運行,他就會運行加密劫持惡意軟件。我們使用 1 GB RAM, 1 Core CPU, and UbuntuServer 18.4配置的云服務器。在我們創建了在WebOS支持的智能電視和C&C 服務器中運行的惡意程序后,我們為實際的挖掘過程實現了兩種不同的模型,如下所示:
這兩種方法之間的唯一區別是創建挖掘任務的實體(C&C服務器與挖掘池)。對于我們的數據集,我們使用Ant挖掘池[53]并收集了智能應用程序和C&C服務器之間的數據流。
D. Labeling
當Wireshark收集所有網絡數據時,我們會使用我們在第三節中介紹的所有攻擊場景來收集網絡數據。執行挖掘的設備生成的網絡流量被標記為惡性,而未執行加密或當前挖掘的設備收集的數據集被標記為良性。
E. Initial Data Analysis
我們設計了不同的場景,使用我們的受控環境設置收集惡性數據,以評估攻擊者可能使用的各種配置以及在現實智能家庭環境中可能的網絡設置。關于配置和結果的更多詳細信息,請參見第六節。
另一方面,對于第一組實驗,我們從公共存儲庫下載了良性數據集[54],對于第二組實驗,對于我們用于惡意數據收集的同一組設備,我們收集了自己的良性數據集。數據集的完整細節如表二、表三和表XI所示。
良性 vs. 惡性
本文的主要目標是能夠區分惡性和良性網絡數據。為此,我們對加密劫持網絡數據進行了一些初步數據分析,并將結果列出如下:
- 每秒數據包(PPS)速率:是區分惡意數據和良性數據的重要統計數據。正如我們從表II中看到的,當我們使用的最強大算力的設備運行二進制密碼劫持惡意軟件時,它產生的PPS速率最高。然而,最高惡意PPS率仍然比表III中給出的良性數據集的最低PPS率低72%。這表明,加密劫持惡意軟件生成的數據包不會像日常網絡瀏覽和應用程序數據那樣多。這對于數據收集和分析階段都是一個重要的挑戰。我們在第七節中詳細討論了這一挑戰。
- 平均數據包大小(APS)速率:是所有入站和出站網絡數據包的平均大小。最高的惡意PPS率是由樹莓派在使用webmine.io進行瀏覽器內挖掘時創建的,但惡意數據的最高APS率仍然比良性數據的最低APS率低35%。
基于主機的加密劫持 vs. 基于瀏覽器的加密劫持
為了能夠看到不同設備在不同攻擊場景下產生的不同模式,我們對本文中使用的所有設備進行了瀏覽器和二進制加密劫持,并在表2中總結了結果。我們可以將我們的觀察總結如下:
- 瀏覽器內挖掘:通常會生成非常少量的PPS速率和APS速率。
- 對于瀏覽器內挖掘的不同服務提供商:Wembine.io和WebminePool之間沒有顯著差異。
- 二進制挖掘模式:似乎不用瀏覽器內挖掘應用程序使用的功能。
- 對于瀏覽器內挖掘模式和二進制挖掘模式:我們可以觀察到,瀏覽器內挖掘總是會產生少量的網絡流量。硬件功率、PPS速率和APS速率之間沒有顯著相關性。然而,二進制挖掘顯示了完全不同的模式,其中APS和PPS速率與設備功率直接相關(樹莓派和服務器的對比)。
樹莓派 vs. 筆記本電腦 vs. 服務器
最后,我們進行了特定于設備的分析:
- 所有設備為瀏覽器內(In-browser)應用程序提供幾乎相同的PPS和APS結果。
- 對于所有執行二進制挖掘(Host-based)的設備,我們觀察到二進制密碼劫持惡意軟件與受害者主機系統的功率相關,PPS和APS速率也直接受受害者主機系統功率的影響。
總而言之,我們發現,從網絡流量上看,瀏覽器內的惡意軟件試圖保持隱蔽并減少高數據密度通信,但基于主機的軟件則產生了巨大的網絡流量。這是因為基于主機的密碼劫持惡意軟件通常與其他計算量大的應用程序共同運行。
6. EVALUATION
在本節中,我們設計了四組實驗,以設計和評估準確、高效且適用于不同配置和網絡設置的物聯網密碼劫持檢測機制:
- 首先,我們進行了一組實驗,以設計具有高準確預測率和最小訓練規模和時間的最佳物聯網檢測機制。
- 第二,我們進行了實驗,以評估我們在第一部分中針對不同配置(如不同設備)設計的檢測機制。
- 第三,我們進行了一組實驗,以評估各種智能家庭網絡設置中的擬議機制。
- 第四,我們進行了一組實驗來評估所提出分類器的敏感性。
A. Designing an IoT Cryptojacking Detection Mechanism
在數據集收集和標記過程之后,我們創建了一個完整的數據集,該數據集包含一個惡性數據集和一個良性數據集,數據包數量相等。表IV給出了數據集的大小以及整個數據集的總特征提取和分類時間。
在本小節中,我們的目標是設計一種基于網絡流量特征的物聯網檢測機制,并使用機器學習(ML)分類器進行分類。
為此,我們執行了以下步驟:
- 我們使用特征提取從原始數據集創建特征向量。
- 我們通過特征選擇算法選擇最佳特征并刪除不相關的特征。
- 我們訓練并測試了幾個ML分類器,并決定哪個分類器表現最好。
- 我們用不同的訓練大小測試最佳算法,以優化訓練數據和時間,并計算預測時間,以評估算法在實際應用中的可行性。
1. 特征提取
我們使用tsfresh[37]從數據集中提取特征。tsfresh庫是一個python包,它可以從時間序列數據中自動計算統計特征。在我們的例子中,我們為每個特征向量使用了10個數據包,它計算了788個不同的統計特征,比如有時間戳和數據包長度。
2. 特征選擇
特征選擇是為我們的模型選擇相關特征子集的過程。數據集中所有特征的相關性得分不相同。為了能夠優化提取的特征并僅使用最相關的特征,我們計算了P值。P值就是當原假設為真時,比所得到的樣本觀察結果更極端的結果出現的概率。如果P值很小,說明原假設情況的發生的概率很小,而如果出現了,根據小概率原理,我們就有理由拒絕原假設,P值越小,我們拒絕原假設的理由越充分。我們發現290個數據集的統計顯著特征,并用這些特征訓練我們的模型。我們對其余的實驗重復同樣的過程。
3. 分類器選擇
我們實現了四個機器學習分類器來測試前一小節描述的特征的準確性。在這些分類器的實現過程中,我們使用了75%的數據進行訓練,25%的數據用于測試分類器。在前三組實驗中,我們使用了scikit-learn的默認參數[57],而在第VI-D3節中,我們測試了非默認參數。
我們使用了5倍交叉驗證(CV)來評估分類器的有效性,并使用了準確性、精確度、召回率、F1得分和ROC作為我們所有實驗的指標。
SVM是一種有用且設計良好的有監督機器學習分類器,當存在明顯的分離邊界時非常有效。此外,SVM分類器非常穩定,數據集中的小變化不會導致結果的重要變化。因此,我們決定在本文的其余部分中使用SVM分類器來進一步分析和實現其他用例場景。
4. 訓練大小和時間
在本節中,我們用不同的訓練規模進行了實驗。通過這個實驗,我們分析了數據集收集時間對分類精度和總體分類時間的影響。
為了獲得參考結果,我們首先通過減小原始數據集的大小將代表性數據集的時間擬合為12小時,然后將其擬合為12個小時、6個小時、3個小時,最后是1個小時,然后重復分類以測量每個訓練大小 情況下的準確度和基于時間的值。圖3總結了本節所涵蓋的4個不同結果:
- Accuracy:我們的模型通過縮減數據集擬合為1小時之后,精確度也沒有降低到94%以下。表明,我們的模型并不極端依賴于數據集的大小,即使數據收集時間更長,它也可以給出準確的結果。
- Prediction time for per feature vector:每個特征向量預測類別所需的時間。實驗表明,訓練特征向量所需的時間與數據集的大小有關。對于更大的數據集,評估每個數據需要更多的時間。但,在特征提取之后,每個向量降低了100-150ms的時間,得到優化。
- Feature extraction and classification time:特征提取和分類時間表示每個數據集計算特征和分類這些特征所需的時間。如c和d所示,該時間與數據集大小直接相關。但,我們通過很短的時間,得到了接近完美的結果。
我們可以得出結論:
- 我們實現了一個成功的檢測系統,而不會在設備或網絡內部造成大量開銷。
- 我們可以使用稍小的數據集來訓練我們的模型,而不必犧牲數據集的準確性和可信度。
B. Evaluation With Different Adversarial Behaviours
在本小節中,我們的目標是評估我們在第六節A中使用各種攻擊配置設計的物聯網密碼劫持檢測機制。
攻擊者可以針對不同的受害者設備,選擇不同的盈利策略,或者選擇基于瀏覽器或主機的加密劫持類型。我們通過進行一組全面的實驗來測試這三種配置,從而對我們的機制進行了評估。
所有場景和實驗都使用第VI-A節中描述的相同特征提取和選擇過程來實現。這種實現方法允許我們觀察對于不同的用例場景如何有效地使用一個特性集的結果。
我們為三個場景創建了一個平衡的數據集,以最小化不平衡數據集問題的影響。表VII給出了我們用于實現這三種場景的數據集大小和來源。我們將SVM分類器用于模型訓練過程。
- 在場景1中(測試不同類型的設備設置),我們成功地從所有三個實驗中獲得了幾乎完美的分數。然而,服務器顯示出最高的準確性,即,在針對服務器類型設備的攻擊中,密碼劫持攻擊者被檢測到的可能性更高。
- 在場景2中(測試不同的盈利策略),具有隱蔽策略(即10%節流)和穩健策略(如50%節流)的惡意場景都不如攻擊性(即100%節流)場景準確。雖然87%或91%的準確率值仍然被認為是非常高的,但這也意味著攻擊者的模糊方法仍然可以在檢測階段產生差異。
- 在場景3中(測試惡意軟件類型),瀏覽器內惡意軟件的結果僅比基于主機的加密劫持案例略差一些。雖然加密劫持惡意軟件有能力侵害不同的設備,但我們提出的的惡意軟件檢測系統需要能夠在不依賴任何設備的情況下檢測正在進行的加密劫持過程。
我們從三個場景和八個離散實驗的結果中看到,我們提取的特征可以在不依賴任何設備的情況下獲得接近完美的分數。
C. Adversarial Models of Compromised Device Numbers inSmart Home Network
在本節中,我們將研究在智能家居環境模擬網絡中簡化的不同對抗模型。
我們實施了四種不同的場景,并在本節的其余部分展示了它們的結果:
最后兩個場景的結果很重要,因為這兩個場景反映了大多數Mirai[13]和其他已知的物聯網僵尸網絡[58]攻擊場景。我們的結果表明,設備完全受損的場景是最有可能被我們的檢測機制檢測到的場景,而當只有物聯網設備受損時,也能有一個比較高的準確度(>92%)。這意味著我們實現的檢測模型和特征集可以成功檢測各種家庭環境攻擊場景。總體而言,我們選擇的分類器和特征集的組合成功地以高精度檢測到了加密劫持惡意軟件。
D. Classifier Sensitivity Evaluation
在本節中,我們進行了更多的實驗來測試分類器的敏感性。
為了用我們自己的數據集驗證上一節中的結果,我們重復了相同的場景(場景1-7),并在附錄中的表XVI和XVII中給出了數據集大小和結果。
此外,為了測試分類器的靈敏度,我們設計了另外三個實驗:1)不平衡數據集,2)可轉移性,和3)非默認參數實驗。在本節的其余部分,我們將解釋這些實驗的細節。
表XIII顯示了我們的檢測系統在不平衡數據集的不同場景下的性能。我們的訓練模型能夠檢測并正確分類所有不平衡情況,總體準確率達到98%。
從表XV可以看出,我們提出的檢測系統可以檢測到密碼劫持惡意軟件,而無需依賴任何平臺和服務提供商,這些結果驗證了我們的基于機器學習的檢測系統可以提供有效的保護。
3. 場景10:非默認參數實驗。為了測試SVM分類器,我們調整了三個參數:kernels,Regularisation parameter(C),Gamma。
- Kernel是將低維數據轉換為高維數據的主要函數。
- 正則化參數用于在決策邊界和分類誤差之間進行調整的懲罰參數。
- 伽馬參數高時,附近的點將具有更高的影響。
我們的結果表明,不同的變量可以顯著改變SVM分類器的結果。使用默認參數,分類器以87%的平均分數訓練模型。然而,在我們改變參數并計算所有可能的15個組合后,我們得到了0.52-0.89之間的各種訓練分數。此外,一些參數導致數據集分類過度擬合。然而,我們注意到,我們的密碼劫持檢測機制是高度可配置的,可以根據需要進行定制。
7. DISCUSSION
8. RELATED WORK
9. CONCLUSION
-
本文基于從網絡流量中提取的特征,提出了一種準確有效的加密劫持檢測機制。
-
我們的機制能夠檢測瀏覽器內和基于主機的加密劫持惡意軟件。我們使用一小時的網絡流量數據來訓練機器學習分類器,實現了99%的檢測準確率。
-
我們還設計了新穎的攻擊場景,以測試我們在攻擊配置和家庭網絡設置中的機制。
-
此外,我們還分析了幾種不同平臺上的密碼劫持攻擊,以了解我們的檢測機制的效率。
-
我們展示了攻擊者可能使用的不同配置以及將執行挖掘的不同網絡設置如何影響檢測精度。
-
此外,我們公開分享了我們收集的網絡流量和代碼,以加速這一領域的研究。
總結
以上是生活随笔為你收集整理的A Lightweight IoT Cryptojacking DetectionMechanism in Heterogeneous Smart HomeNetworks的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 如何让surface go变成数位板?
- 下一篇: 爆单助手教你各种型号打印机校验方法