Network and Distributed Systems Security (NDSS) Symposium 2022, 24-28 April 2022

文章目錄

• Abstract
• 1. INTRODUCTION
• • 背景
  • 貢獻(xiàn)
  • 研究結(jié)果摘要
• 2. BACKGROUND
• • A. 加密貨幣挖掘
  • B. 加密劫持類(lèi)型
  • C. 機(jī)器學(xué)習(xí)工具
• 3. ADVERSARY MODEL AND ATTACK SCENARIOS
• • A. 與服務(wù)提供商進(jìn)行加密劫持
  • B. 使用命令和控制（C&C）服務(wù)器進(jìn)行加密劫持
• 4. IOT CRYPTOJACKING DETECTION VIA NETWORK TRAFFIC
• 5. DATASET COLLECTION
• • A. Topolpgy
  • B. Devices
  • C. Implementation Methodology
  • • Implementing In-browser Cryptojacking
    • Implementing Host-based Cryptojacking
  • D. Labeling
  • E. Initial Data Analysis
  • • 良性 vs. 惡性
    • 基于主機(jī)的加密劫持 vs. 基于瀏覽器的加密劫持
    • 樹(shù)莓派 vs. 筆記本電腦 vs. 服務(wù)器
• 6. EVALUATION
• • A. Designing an IoT Cryptojacking Detection Mechanism
  • • 1. 特征提取
    • 2. 特征選擇
    • 3. 分類(lèi)器選擇
    • 4. 訓(xùn)練大小和時(shí)間
  • B. Evaluation With Different Adversarial Behaviours
  • C. Adversarial Models of Compromised Device Numbers inSmart Home Network
  • D. Classifier Sensitivity Evaluation
• 7. DISCUSSION
• 8. RELATED WORK
• 9. CONCLUSION

Abstract

最近，加密劫持惡意軟件 已成為從 大量受害者中獲利的簡(jiǎn)單方式。先前研究的密碼劫持檢測(cè)系統(tǒng)，重點(diǎn)是（in-browser）瀏覽器內(nèi)和（host-based）基于主機(jī)的密碼劫持惡意軟件。

然而，這些早期的工作都沒(méi)有在這種背景下研究不同的攻擊配置和網(wǎng)絡(luò)設(shè)置。例如，具有積極獲利策略的攻擊者可能會(huì)將計(jì)算資源增加到最大利用率，以便在短時(shí)間內(nèi)獲得更多好處，而隱蔽型的攻擊者可能希望在受害者的設(shè)備上停留更長(zhǎng)時(shí)間而不被發(fā)現(xiàn)。

檢測(cè)機(jī)制的準(zhǔn)確性可能因攻擊型和隱蔽型的攻擊者而異。在檢測(cè)機(jī)制的性能評(píng)估中，盈利策略、密碼劫持惡意軟件類(lèi)型、受害者的設(shè)備以及網(wǎng)絡(luò)設(shè)置都可能發(fā)揮關(guān)鍵作用。

此外，具有多個(gè)物聯(lián)網(wǎng)設(shè)備的智能家居網(wǎng)絡(luò)很容易被攻擊者利用，幫攻擊者去挖礦。然而，之前沒(méi)有任何工作調(diào)查研究過(guò)：加密惡意軟件對(duì)物聯(lián)網(wǎng)設(shè)備和受損智能家居網(wǎng)絡(luò)的影響。

• 本文首先提出了一種基于網(wǎng)絡(luò)流量特征的準(zhǔn)確高效的物聯(lián)網(wǎng)密碼劫持檢測(cè)機(jī)制，該機(jī)制可以檢測(cè)（in-browser）瀏覽器內(nèi)和（host-based）基于主機(jī)的密碼劫持。
• 然后，我們重點(diǎn)關(guān)注新設(shè)備類(lèi)別（如物聯(lián)網(wǎng)）上的密碼劫持實(shí)現(xiàn)，并設(shè)計(jì)了幾個(gè)新的實(shí)驗(yàn)場(chǎng)景來(lái)評(píng)估我們的檢測(cè)機(jī)制，以覆蓋攻擊者的當(dāng)前攻擊面。特別是，我們?cè)诟鞣N攻擊配置和網(wǎng)絡(luò)設(shè)置中測(cè)試了我們的機(jī)制。為此，我們使用了由6.4M網(wǎng)絡(luò)包組成的網(wǎng)絡(luò)跟蹤數(shù)據(jù)集。

結(jié)果表明，我們的檢測(cè)算法僅需一個(gè)小時(shí)的訓(xùn)練數(shù)據(jù)就可以獲得高達(dá)99%的準(zhǔn)確率。據(jù)我們所知，這項(xiàng)工作是第一項(xiàng)專(zhuān)注于物聯(lián)網(wǎng)密碼劫持的研究，也是第一項(xiàng)分析密碼劫持檢測(cè)領(lǐng)域中各種攻擊行為和網(wǎng)絡(luò)設(shè)置的研究。

1. INTRODUCTION

背景

區(qū)塊鏈技術(shù)消除了中央權(quán)威，并通過(guò)基于算力的共識(shí)模型來(lái)確保鏈上交易的不變性。這種共識(shí)模型稱(chēng)為PoW工作證明，用于比特幣、以太坊和Monero等區(qū)塊鏈網(wǎng)絡(luò)中。PoW共識(shí)算法取決于硬件的計(jì)算能力，解決基于散列的題需要消耗大量能量，而這種能量成本是挖礦操作的主要開(kāi)支之一。

在這個(gè)生態(tài)系統(tǒng)中，加密劫持是一種在受害者未知情和同意的情況下使用受害者處理能力的行為。攻擊者濫用受害者的計(jì)算能力進(jìn)行密碼劫持有兩種主要方法。

• 將腳本注入網(wǎng)站。
• 將挖礦程序傳到主機(jī)。

隨著加密劫持攻擊的流行，并且能夠針對(duì)更大的攻擊域，物聯(lián)網(wǎng)設(shè)備逐漸成為攻擊者的攻擊對(duì)象。 但，物聯(lián)網(wǎng)設(shè)備通常是資源受限的，也就是說(shuō)，攻擊者一般不從單獨(dú)的設(shè)備中獲利，而是利用僵尸網(wǎng)絡(luò)攻擊等技術(shù)大規(guī)模地控制物聯(lián)網(wǎng)設(shè)備，并使其能夠代表攻擊者挖礦。

• Mirai在2017年實(shí)施了大規(guī)模分布式拒絕服務(wù)攻擊（DDoS），攻擊者使用該網(wǎng)絡(luò)偽造比特幣，并將僵尸網(wǎng)絡(luò)變成一個(gè)加密的挖礦池。
• 最近，另一個(gè)收到Mirai啟發(fā)放入僵尸網(wǎng)絡(luò)LIQUOR IoT也開(kāi)始在IoT設(shè)備上挖掘Monero。

在物聯(lián)網(wǎng)行業(yè)和物聯(lián)網(wǎng)設(shè)備能力不斷發(fā)展的同時(shí)，也為攻擊者提供了更多的空間來(lái)擴(kuò)大其攻擊面。

物聯(lián)網(wǎng)網(wǎng)絡(luò)相對(duì)于非物聯(lián)網(wǎng)網(wǎng)絡(luò)（普通計(jì)算機(jī)，服務(wù)器）更能提供利益的幾點(diǎn)原因：

供應(yīng)商、通信協(xié)議和硬件的多樣性使得開(kāi)發(fā)標(biāo)準(zhǔn)/統(tǒng)一防御解決方案非常困難。

由于能力和資源有限，物聯(lián)網(wǎng)設(shè)備不容易配置。物聯(lián)網(wǎng)設(shè)備始終與云進(jìn)行通信，以實(shí)現(xiàn)實(shí)時(shí)和遠(yuǎn)程訪(fǎng)問(wèn)能力，這為攻擊者提供了另一個(gè)攻擊面，以傳播和保持僵尸網(wǎng)絡(luò)。

物聯(lián)網(wǎng)設(shè)備由于其快速增長(zhǎng)的市場(chǎng)和缺乏安全意識(shí)而存在安全缺陷（例如，默認(rèn)密碼、無(wú)身份驗(yàn)證），這使其成為加密劫持惡意軟件攻擊者的理想目標(biāo)。

在本文中，我們將重點(diǎn)放在物聯(lián)網(wǎng)設(shè)備上，我們的目標(biāo)是設(shè)計(jì)一個(gè)能夠檢測(cè)瀏覽器和基于主機(jī)的物聯(lián)網(wǎng)加密劫持惡意軟件的檢測(cè)系統(tǒng)。

由于大多數(shù)物聯(lián)網(wǎng)設(shè)備不允許被編程來(lái)收集硬件級(jí)功能或?yàn)g覽器特定功能，因此檢測(cè)物聯(lián)網(wǎng)加密劫持具有挑戰(zhàn)性。然而，基于網(wǎng)絡(luò)流量的功能可以在路由器上的統(tǒng)一接口中收集，也就是說(shuō)，根本不需要編程來(lái)修改設(shè)備。因此，在本文中，我們使用基于網(wǎng)絡(luò)的特征來(lái)檢測(cè)IoT加密劫持惡意軟件，并提出了一種準(zhǔn)確、輕量級(jí)且易于實(shí)現(xiàn)的加密劫持檢測(cè)系統(tǒng)，該系統(tǒng)可以檢測(cè)兩種類(lèi)型的加密劫持攻擊。

我們進(jìn)行了一系列實(shí)驗(yàn)，以設(shè)計(jì)和評(píng)估最佳物聯(lián)網(wǎng)加密劫持檢測(cè)機(jī)制。

• 首先，我們進(jìn)行實(shí)驗(yàn)，以找到排名最好的特征、最準(zhǔn)確的分類(lèi)器和最佳訓(xùn)練大小。
• 然后，我們通過(guò)12個(gè)實(shí)驗(yàn)來(lái)評(píng)估我們的IoT加密劫持檢測(cè)機(jī)制的有效性，這些實(shí)驗(yàn)旨在評(píng)估各種攻擊者行為和網(wǎng)絡(luò)設(shè)置。

為此，我們?cè)谖锫?lián)網(wǎng)設(shè)備、筆記本電腦和服務(wù)器上安全地實(shí)施了加密劫持惡意軟件。

貢獻(xiàn)

• 我們提出了一種針對(duì)物聯(lián)網(wǎng)網(wǎng)絡(luò)的準(zhǔn)確有效的加密劫持檢測(cè)算法。由于我們使用基于網(wǎng)絡(luò)流量的功能，我們的算法能夠檢測(cè)瀏覽器和基于主機(jī)的加密劫持惡意軟件，而不依賴(lài)于云或設(shè)備。
• 為了評(píng)估我們的算法，我們?cè)O(shè)計(jì)了幾個(gè)新穎的實(shí)驗(yàn)場(chǎng)景。我們?cè)u(píng)估了各種攻擊配置（例如，密碼劫持類(lèi)型、盈利策略、設(shè)備和節(jié)流值）和網(wǎng)絡(luò)設(shè)置（例如，完全或部分受損）。本論文首次分析了加密攻擊檢測(cè)領(lǐng)域的各種攻擊策略和網(wǎng)絡(luò)設(shè)置。
• 為了克服在物聯(lián)網(wǎng)設(shè)備上實(shí)施加密劫持惡意軟件過(guò)程中的一些實(shí)際問(wèn)題，我們使用了新的技術(shù)，這些技術(shù)可以在未來(lái)的其他研究中加以改進(jìn)。
• 為了加速這方面的研究，我們發(fā)布了數(shù)據(jù)集和代碼。

https://github.com/cslfiu/IoTCryptojacking2

研究結(jié)果摘要

除了我們的輕量級(jí)和高精度物聯(lián)網(wǎng)檢測(cè)機(jī)制外，我們還進(jìn)行了大量的實(shí)驗(yàn)，以評(píng)估各種攻擊者行為和網(wǎng)絡(luò)設(shè)置，這導(dǎo)致了一些值得關(guān)注的有趣結(jié)果：

• 我們發(fā)現(xiàn)，最高的惡意數(shù)據(jù)包生成率比表III中給出的良性數(shù)據(jù)集的最低數(shù)據(jù)包生成速率低72%。這表明，加密惡意軟件生成的數(shù)據(jù)包不像日常網(wǎng)絡(luò)瀏覽和應(yīng)用程序數(shù)據(jù)那樣多。
• 我們發(fā)現(xiàn)，雖然瀏覽器中的惡意軟件使用了諸如限制CPU和最小化網(wǎng)絡(luò)通信等規(guī)避技術(shù)，但基于主機(jī)的惡意軟件試圖以最大計(jì)算能力操控設(shè)備。
• 我們觀(guān)察到，相比于其他設(shè)備類(lèi)型（即筆記本電腦和物聯(lián)網(wǎng)），在針對(duì)服務(wù)器類(lèi)型設(shè)備的攻擊過(guò)程中，檢測(cè)到加密攻擊者的可能性更高。
• 我們發(fā)現(xiàn)，與穩(wěn)健性（即50%節(jié)流）和攻擊性（即100%節(jié)流）攻擊場(chǎng)景相比，采用隱蔽策略（即10%節(jié)流）的惡意場(chǎng)景的準(zhǔn)確性更低。這意味著攻擊者的混淆方法在檢測(cè)階段仍然會(huì)產(chǎn)生差異。

節(jié)流：像閥門(mén)一樣控制水流，避免單位時(shí)間內(nèi)流量過(guò)大

2. BACKGROUND

A. 加密貨幣挖掘

加密貨幣挖掘是新加密貨幣進(jìn)入流通的過(guò)程，是分布式區(qū)塊鏈賬本維護(hù)和連續(xù)性的關(guān)鍵組成部分。區(qū)塊鏈網(wǎng)絡(luò)的不變性由共識(shí)機(jī)制提供，即加密貨幣挖掘。

加密貨幣挖掘是一個(gè)費(fèi)力、昂貴的過(guò)程，礦工的回報(bào)取決于運(yùn)氣因素。基于工作的協(xié)商一致機(jī)制受益于哈希算法的擴(kuò)散特性，以防止礦工以非對(duì)稱(chēng)模式預(yù)測(cè)哈希值，

B. 加密劫持類(lèi)型

本節(jié)解釋了不同類(lèi)型的加密劫持惡意軟件的詳細(xì)信息及其相似性和差異。

• 瀏覽器內(nèi)加密劫持：攻擊者利用JS庫(kù)和Wasm等技術(shù)實(shí)現(xiàn)瀏覽器內(nèi)的加密劫持惡意軟件。
• 基于主機(jī)的加密劫持：攻擊者將自己隱藏在受害者主機(jī)的計(jì)算機(jī)系統(tǒng)中，并進(jìn)行加密貨幣的挖掘。

C. 機(jī)器學(xué)習(xí)工具

特征提取和選擇工具：特征提取是一種數(shù)據(jù)集大小縮減操作，數(shù)據(jù)集被縮減為更易于管理和使用的形式進(jìn)行處理。采用dtsfresh進(jìn)行特征提取計(jì)算之后，對(duì)顯著性水平（P值）進(jìn)行排序，并構(gòu)建相關(guān)性表，以消除不太重要的特征并改進(jìn)分類(lèi)過(guò)程。

機(jī)器學(xué)習(xí)分類(lèi)器：分類(lèi)是一種基于一個(gè)或多個(gè)自變量確定因變量所屬類(lèi)別的技術(shù)。我們使用了幾種不同的分類(lèi)模型（例如Logreg、KNN、SVM、RF）來(lái)訓(xùn)練我們的模型，并在本文中獲得了準(zhǔn)確的結(jié)果。

3. ADVERSARY MODEL AND ATTACK SCENARIOS

我們?cè)u(píng)估了7個(gè)攻擊案例，并進(jìn)行了12個(gè)離散實(shí)驗(yàn)來(lái)測(cè)試本文提出的加密劫持檢測(cè)機(jī)制。在本節(jié)中，我們將解釋IoT設(shè)備如何成為惡意軟件的攻擊目標(biāo)，以及如何在實(shí)驗(yàn)中跟蹤這些對(duì)手。

A. 與服務(wù)提供商進(jìn)行加密劫持

攻擊者通常利用網(wǎng)頁(yè)和web應(yīng)用程序的代碼注入漏洞，來(lái)注入服務(wù)提供商提供的挖礦腳本。今年來(lái)，物聯(lián)網(wǎng)框架快速發(fā)展。攻擊者將這些框架功能與已知漏洞合并，并利用這些漏洞在這些設(shè)備中運(yùn)行他們的惡意軟件。

我們使用LG的WebOS開(kāi)發(fā)框架[40]實(shí)現(xiàn)了WebOS物聯(lián)網(wǎng)加密劫持惡意軟件，并開(kāi)發(fā)了一個(gè)基本的WebOS應(yīng)用程序，當(dāng)用戶(hù)開(kāi)始運(yùn)行該應(yīng)用程序時(shí)，該應(yīng)用程序會(huì)調(diào)用加密劫持腳本。

為了能夠創(chuàng)建一個(gè)穩(wěn)定和可控制的加密劫持環(huán)境，我們?cè)诳煽氐姆?wù)器下準(zhǔn)備了一個(gè)網(wǎng)站，并托管了幾個(gè)不同的加密劫持腳本。我們選擇了Webmine[41]作為我們的主要服務(wù)提供商。我們使用不同級(jí)別的計(jì)算硬件使用組合運(yùn)行腳本，以觀(guān)察這些腳本的特征結(jié)果。

B. 使用命令和控制（C&C）服務(wù)器進(jìn)行加密劫持

C&C指的是：敵方利用計(jì)算機(jī)去向設(shè)備發(fā)送指令。出于身份安全的原因，攻擊者通常將這些服務(wù)器托管在基于云的平臺(tái)上。

圖1展示了連接到挖礦池的C&C服務(wù)的基本配置。在加密劫持域中，C&C服務(wù)器作為挖礦池的一個(gè)子集工作，從挖礦池接收任務(wù)并將任務(wù)分發(fā)給物聯(lián)網(wǎng)設(shè)備。

在本文中，我們重點(diǎn)討論了被攻擊設(shè)備和C&C服務(wù)器之間的通信管道。為了演示此設(shè)置中的流程和數(shù)據(jù)通信，我們創(chuàng)建了一個(gè)C&C服務(wù)器，該服務(wù)器在不同時(shí)間段之間發(fā)送挖礦任務(wù)。此時(shí)間頻率可以根據(jù)區(qū)塊鏈網(wǎng)絡(luò)的區(qū)塊頻率進(jìn)行更改。我們成功地利用LG WebOS[40]智能TV和測(cè)試平臺(tái)實(shí)現(xiàn)了這個(gè)場(chǎng)景。

4. IOT CRYPTOJACKING DETECTION VIA NETWORK TRAFFIC

網(wǎng)絡(luò)流量分類(lèi)和識(shí)別技術(shù)在過(guò)去幾年中得到了廣泛的應(yīng)用，在服務(wù)器端和本地網(wǎng)絡(luò)端創(chuàng)建用戶(hù)或設(shè)備配置文件是一項(xiàng)眾所周知的技術(shù)。

在本文中，我們考慮智能家庭網(wǎng)絡(luò)設(shè)置，其中許多IoT和非IoT設(shè)備連接到路由器，以便能夠連接到互聯(lián)網(wǎng)。每個(gè)設(shè)備都可以通過(guò)其MAC地址進(jìn)行識(shí)別。因此，我們將網(wǎng)絡(luò)中的設(shè)備定義為網(wǎng)絡(luò)中給定設(shè)備的$(MA{C}_0、MA{C}_1、\dots 、MA{C}_n)$。

我們假設(shè)此網(wǎng)絡(luò)中的一個(gè)或多個(gè)設(shè)備被攻擊者破壞，以代表攻擊者執(zhí)行加密貨幣挖掘，我們的目的是通過(guò)在一定時(shí)間段內(nèi)監(jiān)視其網(wǎng)絡(luò)流量來(lái)檢測(cè)正在執(zhí)行的設(shè)備。

為此，我們使用機(jī)器學(xué)習(xí)算法，這些算法事先經(jīng)過(guò)了惡性和良性數(shù)據(jù)的訓(xùn)練。設(shè)備產(chǎn)生連續(xù)的網(wǎng)絡(luò)流量，需要將其轉(zhuǎn)換為數(shù)據(jù)格式，機(jī)器學(xué)習(xí)算法可以預(yù)測(cè)設(shè)備是否運(yùn)行。

在將數(shù)據(jù)包轉(zhuǎn)換為正確格式之前，我們使用以下過(guò)濾器過(guò)濾每個(gè)數(shù)據(jù)包。

$$(MA{C}_{src}==MA{C}_i)OR(MA{C}_{dst}==MA{C}_i)$$

然后，從每個(gè)數(shù)據(jù)包中提取以下元數(shù)據(jù)：

$$Pk{t}_i=[MA{C}_i,timestamp,packetlength]$$

在這個(gè)過(guò)程的最后，我們獲得了每個(gè)設(shè)備在給定時(shí)間到達(dá)的一系列數(shù)據(jù)包長(zhǎng)度。最后，我們使用10個(gè)數(shù)據(jù)包來(lái)計(jì)算特征，并使用這些特征來(lái)訓(xùn)練/測(cè)試機(jī)器學(xué)習(xí)算法。

5. DATASET COLLECTION

本文中我們關(guān)注的數(shù)據(jù)是物聯(lián)網(wǎng)設(shè)備和加密劫持服務(wù)提供商之間的網(wǎng)絡(luò)通信數(shù)據(jù)。在本節(jié)中，我們將重點(diǎn)介紹拓?fù)浣Y(jié)構(gòu)、工具、方法以及我們?cè)谖锫?lián)網(wǎng)環(huán)境中使用的其他實(shí)現(xiàn)細(xì)節(jié)，從而解釋主要的數(shù)據(jù)集收集和創(chuàng)建過(guò)程。

A. Topolpgy

檢測(cè)網(wǎng)絡(luò)中 受控設(shè)備執(zhí)行未經(jīng)授權(quán)的挖礦行為。

常規(guī)的智能家庭網(wǎng)絡(luò)，所有設(shè)備都通過(guò)單個(gè)互聯(lián)網(wǎng)路由器。

該網(wǎng)絡(luò)中，有專(zhuān)門(mén)使用端口鏡像和ARP重路由收集所有互聯(lián)網(wǎng)流量的計(jì)算機(jī)。

網(wǎng)絡(luò)中受損設(shè)備連接到加密劫持服務(wù)提供商或惡意軟件的C&C服務(wù)器，以接受任務(wù)并返回計(jì)算結(jié)果。

B. Devices

我們?cè)诖聿煌?jì)算能力的四種不同設(shè)備上進(jìn)行了實(shí)驗(yàn)。樹(shù)莓派和LG智能電視代表現(xiàn)實(shí)網(wǎng)絡(luò)中的物聯(lián)網(wǎng)設(shè)備，而筆記本電腦代表常規(guī)設(shè)備，而Tower服務(wù)器代表計(jì)算能力強(qiáng)的設(shè)備。表I顯示了我們?cè)趯?shí)驗(yàn)中使用的設(shè)備及其規(guī)格。

此外，在圖2中的給定拓?fù)渲?#xff1a;

• 使用TP-link Archer C7 V5作為路由器。
• 使用Ettercap操縱ARP協(xié)議，并將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)到數(shù)據(jù)采集計(jì)算機(jī)的IP地址。

通過(guò)這種網(wǎng)絡(luò)配置，我們能夠使用Wireshark數(shù)據(jù)包收集器和分析器收集所有網(wǎng)絡(luò)數(shù)據(jù)。

C. Implementation Methodology

瀏覽器內(nèi)和基于主機(jī)的密碼劫持的實(shí)現(xiàn)在幾個(gè)方面有所不同。在接下來(lái)的小節(jié)中，我們將解釋其實(shí)現(xiàn)的細(xì)節(jié)。

Implementing In-browser Cryptojacking

為了能夠在安全的環(huán)境下實(shí)施瀏覽器加密劫持，我們推出了一個(gè)基本的WordPress[49]網(wǎng)頁(yè)，其中包含了幾種不同的惡意軟件。我們?cè)跍y(cè)試網(wǎng)站的不同頁(yè)面的源代碼中放置了不同的基于HTML的惡意軟件樣本。我們將這些頁(yè)面與測(cè)試設(shè)備連接起來(lái)，并為每個(gè)用例場(chǎng)景收集至少12小時(shí)的網(wǎng)絡(luò)流量數(shù)據(jù)，如第三節(jié)所述。我們使用了Webmine.io和WebminePool[50]服務(wù)提供商分發(fā)的腳本，用于瀏覽器內(nèi)加密貨幣挖掘。

Implementing Host-based Cryptojacking

在樹(shù)莓派、筆記本電腦和Tower Server上實(shí)現(xiàn)基于主機(jī)的加密劫持非常簡(jiǎn)單。我們下載了加密貨幣挖掘二進(jìn)制文件MinerGate V1.7，并讓他運(yùn)行。

然而，在LG 智能電視上這樣做比較難，因?yàn)樵撛O(shè)備必須要求能夠執(zhí)行該二進(jìn)制MinerGate文件。因此，我們使用LG WebOS 框架開(kāi)發(fā)了一個(gè)基礎(chǔ)應(yīng)用程序，只要該程序運(yùn)行，他就會(huì)運(yùn)行加密劫持惡意軟件。我們使用 1 GB RAM, 1 Core CPU, and UbuntuServer 18.4配置的云服務(wù)器。在我們創(chuàng)建了在WebOS支持的智能電視和C&C 服務(wù)器中運(yùn)行的惡意程序后，我們?yōu)閷?shí)際的挖掘過(guò)程實(shí)現(xiàn)了兩種不同的模型，如下所示：

不連接采礦池：我們使用RandomX PoW算法[3]、[52]進(jìn)行了第一次實(shí)現(xiàn)。當(dāng)應(yīng)用程序被激活時(shí)，它會(huì)向C&C服務(wù)器發(fā)送連接請(qǐng)求，之后，C&C 服務(wù)器會(huì)向惡意應(yīng)用程序發(fā)送挖掘任務(wù)。挖掘任務(wù)包含三個(gè)變量：哈希值、隨機(jī)數(shù)值范圍和難度目標(biāo)。該實(shí)現(xiàn)會(huì)一直執(zhí)行挖掘任務(wù)，知道C&C服務(wù)器發(fā)出新的命令或找到符合難度目標(biāo)的散列和nonce值。

通過(guò)API連接采礦池：此實(shí)現(xiàn)與前一個(gè)實(shí)現(xiàn)之間的區(qū)別在于，C&C服務(wù)器不會(huì)自己創(chuàng)建挖掘任務(wù)，而是通過(guò)其API框架從挖掘池接收這些任務(wù)，并將其發(fā)送到惡意應(yīng)用程序。

這兩種方法之間的唯一區(qū)別是創(chuàng)建挖掘任務(wù)的實(shí)體（C&C服務(wù)器與挖掘池）。對(duì)于我們的數(shù)據(jù)集，我們使用Ant挖掘池[53]并收集了智能應(yīng)用程序和C&C服務(wù)器之間的數(shù)據(jù)流。

D. Labeling

當(dāng)Wireshark收集所有網(wǎng)絡(luò)數(shù)據(jù)時(shí)，我們會(huì)使用我們?cè)诘谌?jié)中介紹的所有攻擊場(chǎng)景來(lái)收集網(wǎng)絡(luò)數(shù)據(jù)。執(zhí)行挖掘的設(shè)備生成的網(wǎng)絡(luò)流量被標(biāo)記為惡性，而未執(zhí)行加密或當(dāng)前挖掘的設(shè)備收集的數(shù)據(jù)集被標(biāo)記為良性。

E. Initial Data Analysis

我們?cè)O(shè)計(jì)了不同的場(chǎng)景，使用我們的受控環(huán)境設(shè)置收集惡性數(shù)據(jù)，以評(píng)估攻擊者可能使用的各種配置以及在現(xiàn)實(shí)智能家庭環(huán)境中可能的網(wǎng)絡(luò)設(shè)置。關(guān)于配置和結(jié)果的更多詳細(xì)信息，請(qǐng)參見(jiàn)第六節(jié)。

另一方面，對(duì)于第一組實(shí)驗(yàn)，我們從公共存儲(chǔ)庫(kù)下載了良性數(shù)據(jù)集[54]，對(duì)于第二組實(shí)驗(yàn)，對(duì)于我們用于惡意數(shù)據(jù)收集的同一組設(shè)備，我們收集了自己的良性數(shù)據(jù)集。數(shù)據(jù)集的完整細(xì)節(jié)如表二、表三和表XI所示。

良性 vs. 惡性

本文的主要目標(biāo)是能夠區(qū)分惡性和良性網(wǎng)絡(luò)數(shù)據(jù)。為此，我們對(duì)加密劫持網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行了一些初步數(shù)據(jù)分析，并將結(jié)果列出如下：

• 每秒數(shù)據(jù)包（PPS）速率：是區(qū)分惡意數(shù)據(jù)和良性數(shù)據(jù)的重要統(tǒng)計(jì)數(shù)據(jù)。正如我們從表II中看到的，當(dāng)我們使用的最強(qiáng)大算力的設(shè)備運(yùn)行二進(jìn)制密碼劫持惡意軟件時(shí)，它產(chǎn)生的PPS速率最高。然而，最高惡意PPS率仍然比表III中給出的良性數(shù)據(jù)集的最低PPS率低72%。這表明，加密劫持惡意軟件生成的數(shù)據(jù)包不會(huì)像日常網(wǎng)絡(luò)瀏覽和應(yīng)用程序數(shù)據(jù)那樣多。這對(duì)于數(shù)據(jù)收集和分析階段都是一個(gè)重要的挑戰(zhàn)。我們?cè)诘谄吖?jié)中詳細(xì)討論了這一挑戰(zhàn)。
• 平均數(shù)據(jù)包大小（APS）速率：是所有入站和出站網(wǎng)絡(luò)數(shù)據(jù)包的平均大小。最高的惡意PPS率是由樹(shù)莓派在使用webmine.io進(jìn)行瀏覽器內(nèi)挖掘時(shí)創(chuàng)建的，但惡意數(shù)據(jù)的最高APS率仍然比良性數(shù)據(jù)的最低APS率低35%。

基于主機(jī)的加密劫持 vs. 基于瀏覽器的加密劫持

為了能夠看到不同設(shè)備在不同攻擊場(chǎng)景下產(chǎn)生的不同模式，我們對(duì)本文中使用的所有設(shè)備進(jìn)行了瀏覽器和二進(jìn)制加密劫持，并在表2中總結(jié)了結(jié)果。我們可以將我們的觀(guān)察總結(jié)如下：

• 瀏覽器內(nèi)挖掘：通常會(huì)生成非常少量的PPS速率和APS速率。
• 對(duì)于瀏覽器內(nèi)挖掘的不同服務(wù)提供商：Wembine.io和WebminePool之間沒(méi)有顯著差異。
• 二進(jìn)制挖掘模式：似乎不用瀏覽器內(nèi)挖掘應(yīng)用程序使用的功能。
• 對(duì)于瀏覽器內(nèi)挖掘模式和二進(jìn)制挖掘模式：我們可以觀(guān)察到，瀏覽器內(nèi)挖掘總是會(huì)產(chǎn)生少量的網(wǎng)絡(luò)流量。硬件功率、PPS速率和APS速率之間沒(méi)有顯著相關(guān)性。然而，二進(jìn)制挖掘顯示了完全不同的模式，其中APS和PPS速率與設(shè)備功率直接相關(guān)（樹(shù)莓派和服務(wù)器的對(duì)比）。

樹(shù)莓派 vs. 筆記本電腦 vs. 服務(wù)器

最后，我們進(jìn)行了特定于設(shè)備的分析：

• 所有設(shè)備為瀏覽器內(nèi)（In-browser）應(yīng)用程序提供幾乎相同的PPS和APS結(jié)果。
• 對(duì)于所有執(zhí)行二進(jìn)制挖掘（Host-based）的設(shè)備，我們觀(guān)察到二進(jìn)制密碼劫持惡意軟件與受害者主機(jī)系統(tǒng)的功率相關(guān)，PPS和APS速率也直接受受害者主機(jī)系統(tǒng)功率的影響。

總而言之，我們發(fā)現(xiàn)，從網(wǎng)絡(luò)流量上看，瀏覽器內(nèi)的惡意軟件試圖保持隱蔽并減少高數(shù)據(jù)密度通信，但基于主機(jī)的軟件則產(chǎn)生了巨大的網(wǎng)絡(luò)流量。這是因?yàn)榛谥鳈C(jī)的密碼劫持惡意軟件通常與其他計(jì)算量大的應(yīng)用程序共同運(yùn)行。

6. EVALUATION

在本節(jié)中，我們?cè)O(shè)計(jì)了四組實(shí)驗(yàn)，以設(shè)計(jì)和評(píng)估準(zhǔn)確、高效且適用于不同配置和網(wǎng)絡(luò)設(shè)置的物聯(lián)網(wǎng)密碼劫持檢測(cè)機(jī)制：

• 首先，我們進(jìn)行了一組實(shí)驗(yàn)，以設(shè)計(jì)具有高準(zhǔn)確預(yù)測(cè)率和最小訓(xùn)練規(guī)模和時(shí)間的最佳物聯(lián)網(wǎng)檢測(cè)機(jī)制。
• 第二，我們進(jìn)行了實(shí)驗(yàn)，以評(píng)估我們?cè)诘谝徊糠种嗅槍?duì)不同配置（如不同設(shè)備）設(shè)計(jì)的檢測(cè)機(jī)制。
• 第三，我們進(jìn)行了一組實(shí)驗(yàn)，以評(píng)估各種智能家庭網(wǎng)絡(luò)設(shè)置中的擬議機(jī)制。
• 第四，我們進(jìn)行了一組實(shí)驗(yàn)來(lái)評(píng)估所提出分類(lèi)器的敏感性。

A. Designing an IoT Cryptojacking Detection Mechanism

在數(shù)據(jù)集收集和標(biāo)記過(guò)程之后，我們創(chuàng)建了一個(gè)完整的數(shù)據(jù)集，該數(shù)據(jù)集包含一個(gè)惡性數(shù)據(jù)集和一個(gè)良性數(shù)據(jù)集，數(shù)據(jù)包數(shù)量相等。表IV給出了數(shù)據(jù)集的大小以及整個(gè)數(shù)據(jù)集的總特征提取和分類(lèi)時(shí)間。

在本小節(jié)中，我們的目標(biāo)是設(shè)計(jì)一種基于網(wǎng)絡(luò)流量特征的物聯(lián)網(wǎng)檢測(cè)機(jī)制，并使用機(jī)器學(xué)習(xí)（ML）分類(lèi)器進(jìn)行分類(lèi)。

為此，我們執(zhí)行了以下步驟:

• 我們使用特征提取從原始數(shù)據(jù)集創(chuàng)建特征向量。
• 我們通過(guò)特征選擇算法選擇最佳特征并刪除不相關(guān)的特征。
• 我們訓(xùn)練并測(cè)試了幾個(gè)ML分類(lèi)器，并決定哪個(gè)分類(lèi)器表現(xiàn)最好。
• 我們用不同的訓(xùn)練大小測(cè)試最佳算法，以?xún)?yōu)化訓(xùn)練數(shù)據(jù)和時(shí)間，并計(jì)算預(yù)測(cè)時(shí)間，以評(píng)估算法在實(shí)際應(yīng)用中的可行性。

1. 特征提取

我們使用tsfresh[37]從數(shù)據(jù)集中提取特征。tsfresh庫(kù)是一個(gè)python包，它可以從時(shí)間序列數(shù)據(jù)中自動(dòng)計(jì)算統(tǒng)計(jì)特征。在我們的例子中，我們?yōu)槊總€(gè)特征向量使用了10個(gè)數(shù)據(jù)包，它計(jì)算了788個(gè)不同的統(tǒng)計(jì)特征，比如有時(shí)間戳和數(shù)據(jù)包長(zhǎng)度。

2. 特征選擇

特征選擇是為我們的模型選擇相關(guān)特征子集的過(guò)程。數(shù)據(jù)集中所有特征的相關(guān)性得分不相同。為了能夠優(yōu)化提取的特征并僅使用最相關(guān)的特征，我們計(jì)算了P值。P值就是當(dāng)原假設(shè)為真時(shí)，比所得到的樣本觀(guān)察結(jié)果更極端的結(jié)果出現(xiàn)的概率。如果P值很小，說(shuō)明原假設(shè)情況的發(fā)生的概率很小，而如果出現(xiàn)了，根據(jù)小概率原理，我們就有理由拒絕原假設(shè)，P值越小，我們拒絕原假設(shè)的理由越充分。我們發(fā)現(xiàn)290個(gè)數(shù)據(jù)集的統(tǒng)計(jì)顯著特征，并用這些特征訓(xùn)練我們的模型。我們對(duì)其余的實(shí)驗(yàn)重復(fù)同樣的過(guò)程。

3. 分類(lèi)器選擇

我們實(shí)現(xiàn)了四個(gè)機(jī)器學(xué)習(xí)分類(lèi)器來(lái)測(cè)試前一小節(jié)描述的特征的準(zhǔn)確性。在這些分類(lèi)器的實(shí)現(xiàn)過(guò)程中，我們使用了75%的數(shù)據(jù)進(jìn)行訓(xùn)練，25%的數(shù)據(jù)用于測(cè)試分類(lèi)器。在前三組實(shí)驗(yàn)中，我們使用了scikit-learn的默認(rèn)參數(shù)[57]，而在第VI-D3節(jié)中，我們測(cè)試了非默認(rèn)參數(shù)。

我們使用了5倍交叉驗(yàn)證（CV）來(lái)評(píng)估分類(lèi)器的有效性，并使用了準(zhǔn)確性、精確度、召回率、F1得分和ROC作為我們所有實(shí)驗(yàn)的指標(biāo)。

SVM是一種有用且設(shè)計(jì)良好的有監(jiān)督機(jī)器學(xué)習(xí)分類(lèi)器，當(dāng)存在明顯的分離邊界時(shí)非常有效。此外，SVM分類(lèi)器非常穩(wěn)定，數(shù)據(jù)集中的小變化不會(huì)導(dǎo)致結(jié)果的重要變化。因此，我們決定在本文的其余部分中使用SVM分類(lèi)器來(lái)進(jìn)一步分析和實(shí)現(xiàn)其他用例場(chǎng)景。

4. 訓(xùn)練大小和時(shí)間

在本節(jié)中，我們用不同的訓(xùn)練規(guī)模進(jìn)行了實(shí)驗(yàn)。通過(guò)這個(gè)實(shí)驗(yàn)，我們分析了數(shù)據(jù)集收集時(shí)間對(duì)分類(lèi)精度和總體分類(lèi)時(shí)間的影響。

為了獲得參考結(jié)果，我們首先通過(guò)減小原始數(shù)據(jù)集的大小將代表性數(shù)據(jù)集的時(shí)間擬合為12小時(shí)，然后將其擬合為12個(gè)小時(shí)、6個(gè)小時(shí)、3個(gè)小時(shí)，最后是1個(gè)小時(shí)，然后重復(fù)分類(lèi)以測(cè)量每個(gè)訓(xùn)練大小 情況下的準(zhǔn)確度和基于時(shí)間的值。圖3總結(jié)了本節(jié)所涵蓋的4個(gè)不同結(jié)果：

• Accuracy：我們的模型通過(guò)縮減數(shù)據(jù)集擬合為1小時(shí)之后，精確度也沒(méi)有降低到94%以下。表明，我們的模型并不極端依賴(lài)于數(shù)據(jù)集的大小，即使數(shù)據(jù)收集時(shí)間更長(zhǎng)，它也可以給出準(zhǔn)確的結(jié)果。
• Prediction time for per feature vector：每個(gè)特征向量預(yù)測(cè)類(lèi)別所需的時(shí)間。實(shí)驗(yàn)表明，訓(xùn)練特征向量所需的時(shí)間與數(shù)據(jù)集的大小有關(guān)。對(duì)于更大的數(shù)據(jù)集，評(píng)估每個(gè)數(shù)據(jù)需要更多的時(shí)間。但，在特征提取之后，每個(gè)向量降低了100-150ms的時(shí)間，得到優(yōu)化。
• Feature extraction and classification time：特征提取和分類(lèi)時(shí)間表示每個(gè)數(shù)據(jù)集計(jì)算特征和分類(lèi)這些特征所需的時(shí)間。如c和d所示，該時(shí)間與數(shù)據(jù)集大小直接相關(guān)。但，我們通過(guò)很短的時(shí)間，得到了接近完美的結(jié)果。

我們可以得出結(jié)論：

• 我們實(shí)現(xiàn)了一個(gè)成功的檢測(cè)系統(tǒng)，而不會(huì)在設(shè)備或網(wǎng)絡(luò)內(nèi)部造成大量開(kāi)銷(xiāo)。
• 我們可以使用稍小的數(shù)據(jù)集來(lái)訓(xùn)練我們的模型，而不必犧牲數(shù)據(jù)集的準(zhǔn)確性和可信度。

B. Evaluation With Different Adversarial Behaviours

在本小節(jié)中，我們的目標(biāo)是評(píng)估我們?cè)诘诹?jié)A中使用各種攻擊配置設(shè)計(jì)的物聯(lián)網(wǎng)密碼劫持檢測(cè)機(jī)制。

攻擊者可以針對(duì)不同的受害者設(shè)備，選擇不同的盈利策略，或者選擇基于瀏覽器或主機(jī)的加密劫持類(lèi)型。我們通過(guò)進(jìn)行一組全面的實(shí)驗(yàn)來(lái)測(cè)試這三種配置，從而對(duì)我們的機(jī)制進(jìn)行了評(píng)估。

所有場(chǎng)景和實(shí)驗(yàn)都使用第VI-A節(jié)中描述的相同特征提取和選擇過(guò)程來(lái)實(shí)現(xiàn)。這種實(shí)現(xiàn)方法允許我們觀(guān)察對(duì)于不同的用例場(chǎng)景如何有效地使用一個(gè)特性集的結(jié)果。

我們?yōu)槿齻€(gè)場(chǎng)景創(chuàng)建了一個(gè)平衡的數(shù)據(jù)集，以最小化不平衡數(shù)據(jù)集問(wèn)題的影響。表VII給出了我們用于實(shí)現(xiàn)這三種場(chǎng)景的數(shù)據(jù)集大小和來(lái)源。我們將SVM分類(lèi)器用于模型訓(xùn)練過(guò)程。

• 在場(chǎng)景1中（測(cè)試不同類(lèi)型的設(shè)備設(shè)置），我們成功地從所有三個(gè)實(shí)驗(yàn)中獲得了幾乎完美的分?jǐn)?shù)。然而，服務(wù)器顯示出最高的準(zhǔn)確性，即，在針對(duì)服務(wù)器類(lèi)型設(shè)備的攻擊中，密碼劫持攻擊者被檢測(cè)到的可能性更高。
• 在場(chǎng)景2中（測(cè)試不同的盈利策略），具有隱蔽策略（即10%節(jié)流）和穩(wěn)健策略（如50%節(jié)流）的惡意場(chǎng)景都不如攻擊性（即100%節(jié)流）場(chǎng)景準(zhǔn)確。雖然87%或91%的準(zhǔn)確率值仍然被認(rèn)為是非常高的，但這也意味著攻擊者的模糊方法仍然可以在檢測(cè)階段產(chǎn)生差異。
• 在場(chǎng)景3中（測(cè)試惡意軟件類(lèi)型），瀏覽器內(nèi)惡意軟件的結(jié)果僅比基于主機(jī)的加密劫持案例略差一些。雖然加密劫持惡意軟件有能力侵害不同的設(shè)備，但我們提出的的惡意軟件檢測(cè)系統(tǒng)需要能夠在不依賴(lài)任何設(shè)備的情況下檢測(cè)正在進(jìn)行的加密劫持過(guò)程。

我們從三個(gè)場(chǎng)景和八個(gè)離散實(shí)驗(yàn)的結(jié)果中看到，我們提取的特征可以在不依賴(lài)任何設(shè)備的情況下獲得接近完美的分?jǐn)?shù)。

C. Adversarial Models of Compromised Device Numbers inSmart Home Network

在本節(jié)中，我們將研究在智能家居環(huán)境模擬網(wǎng)絡(luò)中簡(jiǎn)化的不同對(duì)抗模型。

我們實(shí)施了四種不同的場(chǎng)景，并在本節(jié)的其余部分展示了它們的結(jié)果：

場(chǎng)景4（設(shè)備完全受損）：在這種情況下，病毒攻擊者利用智能家居環(huán)境中的所有設(shè)備進(jìn)行攻擊。這種情況可能適用于幾種基于網(wǎng)絡(luò)的攻擊。對(duì)于這個(gè)實(shí)驗(yàn)，我們使用了整個(gè)數(shù)據(jù)集。

場(chǎng)景5（部分設(shè)備受損）：展示了攻擊者利用不同類(lèi)別的兩個(gè)不同設(shè)備（這里用的是IoT和Laptop）進(jìn)行不同的加密劫持攻擊。當(dāng)物聯(lián)網(wǎng)設(shè)備被基于主機(jī)的密碼劫持攻擊并執(zhí)行二進(jìn)制挖掘操作時(shí)，筆記本電腦設(shè)備受到瀏覽器內(nèi)密碼劫持攻擊的威脅。在這種情況下，很可能需要考慮由不同的惡意實(shí)體執(zhí)行的兩次離散攻擊。然而，在這種情況下，兩個(gè)設(shè)備都使用相同的網(wǎng)關(guān)（例如路由器、ADSL調(diào)制解調(diào)器、以太網(wǎng)端口）進(jìn)行互聯(lián)網(wǎng)通信。

場(chǎng)景6（單一設(shè)備受損）：當(dāng)攻擊者使用特定漏洞注入惡意軟件時(shí)，只有一個(gè)或極少數(shù)設(shè)備可能被特定漏洞利用。當(dāng)網(wǎng)絡(luò)中只有一臺(tái)設(shè)備受到攻擊者的攻擊時(shí)，很難檢測(cè)到惡意設(shè)備。在這個(gè)場(chǎng)景中，我們的目標(biāo)是測(cè)試出只有一個(gè)物聯(lián)網(wǎng)設(shè)備受到威脅。

場(chǎng)景7（物聯(lián)網(wǎng)受損）：在這個(gè)場(chǎng)景中，我們討論了來(lái)自不同域的兩個(gè)物聯(lián)網(wǎng)設(shè)備被兩種不同類(lèi)型的密碼劫持惡意軟件利用的情況。為了能夠模擬這種環(huán)境，我們使用了一臺(tái)LG WebOS智能電視，該電視被托管基于主機(jī)的惡意應(yīng)用程序利用，以及一臺(tái)Raspberry Pi，被惡意網(wǎng)頁(yè)利用，在瀏覽器中進(jìn)行挖掘。

最后兩個(gè)場(chǎng)景的結(jié)果很重要，因?yàn)檫@兩個(gè)場(chǎng)景反映了大多數(shù)Mirai[13]和其他已知的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)[58]攻擊場(chǎng)景。我們的結(jié)果表明，設(shè)備完全受損的場(chǎng)景是最有可能被我們的檢測(cè)機(jī)制檢測(cè)到的場(chǎng)景，而當(dāng)只有物聯(lián)網(wǎng)設(shè)備受損時(shí)，也能有一個(gè)比較高的準(zhǔn)確度（>92%）。這意味著我們實(shí)現(xiàn)的檢測(cè)模型和特征集可以成功檢測(cè)各種家庭環(huán)境攻擊場(chǎng)景。總體而言，我們選擇的分類(lèi)器和特征集的組合成功地以高精度檢測(cè)到了加密劫持惡意軟件。

D. Classifier Sensitivity Evaluation

在本節(jié)中，我們進(jìn)行了更多的實(shí)驗(yàn)來(lái)測(cè)試分類(lèi)器的敏感性。

為了用我們自己的數(shù)據(jù)集驗(yàn)證上一節(jié)中的結(jié)果，我們重復(fù)了相同的場(chǎng)景（場(chǎng)景1-7），并在附錄中的表XVI和XVII中給出了數(shù)據(jù)集大小和結(jié)果。

此外，為了測(cè)試分類(lèi)器的靈敏度，我們?cè)O(shè)計(jì)了另外三個(gè)實(shí)驗(yàn)：1）不平衡數(shù)據(jù)集，2）可轉(zhuǎn)移性，和3）非默認(rèn)參數(shù)實(shí)驗(yàn)。在本節(jié)的其余部分，我們將解釋這些實(shí)驗(yàn)的細(xì)節(jié)。

場(chǎng)景8：不平衡數(shù)據(jù)集。我們創(chuàng)建了以下數(shù)據(jù)集來(lái)測(cè)試不平衡的數(shù)據(jù)集場(chǎng)景：

表XIII顯示了我們的檢測(cè)系統(tǒng)在不平衡數(shù)據(jù)集的不同場(chǎng)景下的性能。我們的訓(xùn)練模型能夠檢測(cè)并正確分類(lèi)所有不平衡情況，總體準(zhǔn)確率達(dá)到98%。

場(chǎng)景9：分類(lèi)器的可轉(zhuǎn)移性。該場(chǎng)景主要為了測(cè)試我們模型的可轉(zhuǎn)移性，看看我們的檢測(cè)系統(tǒng)如何抵抗新的攻擊面。因此，我們訓(xùn)練和測(cè)試采用不同的惡意軟件。

從表XV可以看出，我們提出的檢測(cè)系統(tǒng)可以檢測(cè)到密碼劫持惡意軟件，而無(wú)需依賴(lài)任何平臺(tái)和服務(wù)提供商，這些結(jié)果驗(yàn)證了我們的基于機(jī)器學(xué)習(xí)的檢測(cè)系統(tǒng)可以提供有效的保護(hù)。
3. 場(chǎng)景10：非默認(rèn)參數(shù)實(shí)驗(yàn)。為了測(cè)試SVM分類(lèi)器，我們調(diào)整了三個(gè)參數(shù)：kernels，Regularisation parameter（C），Gamma。
- Kernel是將低維數(shù)據(jù)轉(zhuǎn)換為高維數(shù)據(jù)的主要函數(shù)。
- 正則化參數(shù)用于在決策邊界和分類(lèi)誤差之間進(jìn)行調(diào)整的懲罰參數(shù)。
- 伽馬參數(shù)高時(shí)，附近的點(diǎn)將具有更高的影響。

我們的結(jié)果表明，不同的變量可以顯著改變SVM分類(lèi)器的結(jié)果。使用默認(rèn)參數(shù)，分類(lèi)器以87%的平均分?jǐn)?shù)訓(xùn)練模型。然而，在我們改變參數(shù)并計(jì)算所有可能的15個(gè)組合后，我們得到了0.52-0.89之間的各種訓(xùn)練分?jǐn)?shù)。此外，一些參數(shù)導(dǎo)致數(shù)據(jù)集分類(lèi)過(guò)度擬合。然而，我們注意到，我們的密碼劫持檢測(cè)機(jī)制是高度可配置的，可以根據(jù)需要進(jìn)行定制。

7. DISCUSSION

8. RELATED WORK

9. CONCLUSION

• 本文基于從網(wǎng)絡(luò)流量中提取的特征，提出了一種準(zhǔn)確有效的加密劫持檢測(cè)機(jī)制。

• 我們的機(jī)制能夠檢測(cè)瀏覽器內(nèi)和基于主機(jī)的加密劫持惡意軟件。我們使用一小時(shí)的網(wǎng)絡(luò)流量數(shù)據(jù)來(lái)訓(xùn)練機(jī)器學(xué)習(xí)分類(lèi)器，實(shí)現(xiàn)了99%的檢測(cè)準(zhǔn)確率。

• 我們還設(shè)計(jì)了新穎的攻擊場(chǎng)景，以測(cè)試我們?cè)诠襞渲煤图彝ゾW(wǎng)絡(luò)設(shè)置中的機(jī)制。

• 此外，我們還分析了幾種不同平臺(tái)上的密碼劫持攻擊，以了解我們的檢測(cè)機(jī)制的效率。

• 我們展示了攻擊者可能使用的不同配置以及將執(zhí)行挖掘的不同網(wǎng)絡(luò)設(shè)置如何影響檢測(cè)精度。

• 此外，我們公開(kāi)分享了我們收集的網(wǎng)絡(luò)流量和代碼，以加速這一領(lǐng)域的研究。

總結(jié)

以上是生活随笔為你收集整理的A Lightweight IoT Cryptojacking DetectionMechanism in Heterogeneous Smart HomeNetworks的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。