【恶意软件检测-综述】基于人工智能的物联网恶意代码检测的文献综述

时间:: 2023

• 作者:: 刘奇旭, 刘嘉熹, 靳泽, 刘心宇, 肖聚鑫, 陈艳辉, 谭耀康
• URL:: 知网
• DOI::
• pdf链接:：基于人工智能的物联网恶意代码检测综述_2023_刘奇旭 et al.pdf
• zotero链接:： 基于人工智能的物联网恶意代码检测综述_2023_刘奇旭 et al.pdf
• 标签:: #机器学习 #物联网 #综述 #恶意代码检测

这篇综述通过对2018年以来在网络与信息安全领域顶级会议和期刊上发表的物联网恶意代码检测相关研究的调研，详细分析了这些研究工作的问题、贡献、采用的机器学习和深度学习算法、物联网恶意代码数据集以及检测效果。然后这篇综述研究提出了一种新的分类方法，从物联网检测研究的主要动机的角度出发，区分了两大类研究，一类侧重于解决物联网设备特有的架构和资源限制引发的恶意代码检测挑战，另一类致力于提高检测模型的性能（准确率）。

Abstract

近年来，随着物联网（Internet of things, IoT）设备的大规模部署，针对物联网设备的恶意代码也不断出现，物联网安全面临来自恶意代码的巨大威胁，亟需对物联网恶意代码检测技术进行综合研究.随着人工智能（artificial intelligence, AI）在计算机视觉和自然语言处理等领域取得了举世瞩目的成就，物联网安全领域也出现了许多基于人工智能的恶意代码检测工作.通过跟进相关研究成果，从物联网环境和设备的特性出发，提出了基于该领域研究主要动机的分类方法，从面向物联网设备限制缓解的恶意代码检测和面向性能提升的物联网恶意代码检测2方面分析该领域的研究发展现状.该分类方法涵盖了物联网恶意代码检测的相关研究，充分体现了物联网设备独有的特性以及当前该领域研究存在的不足.最后通过总结现有研究，深入讨论了目前基于人工智能的恶意代码检测研究中存在的问题，为该领域未来的研究提出了结合大模型实现物联网恶意代码检测，提高检测模型安全性以及结合零信任架构3个可能的发展方向.

0 介绍

本文的物联网领域恶意代码检测分类：

• 面向物联网设备限制缓解的恶意代码检测
• 面向性能提升的物联网恶意代码检测

物联网设备安全问题：

使用弱口令、不及时更新安全补丁

传统和现代物联网恶意代码检测技术方法区别

传统物联网恶意代码检测：特征库的积累和恶意软件分析人员的人工分析
现在物联网恶意代码检测：人工智能应用于恶意代码检测

传 统 的 物 联 网 恶 意 代 码 检 测 和 设 备 保护方法主要依靠特征库的积累和恶意软件分析人 员的人工分析，但是由于恶意软件的爆发式增长[4,6–10]， 传 统 方 式 缺 乏 效 率 且 难 以 应 对 未 知 的 安 全 风 险. 安 全研究人员开始尝试将在图像分类、文本分析等领 域取得了巨大成功的人工智能（artificial intelligence, AI） 技 术 应 用 于 恶 意 代 码 检 测 领 域 并 得 到 了 很 好 的 效 果[11– 14]. 目前，基于人工智能技术的物联网恶意代码 检测研究逐渐成为主流. 但是，相较于传统的台式机、 服 务 器 等 设 备 ， 物 联 网 设 备 上 的 恶 意 代 码 检 测 技 术 不仅面临着基于人工智能的恶意代码检测技术普遍 需 求 更 高 检 测 准 确 率 等 问 题 ， 而 且 要 应 对 物 联 网 设 备自身特性引发的 2 大挑战[15]：1）物联网恶意代码能 够感染使用多种不同 CPU 架构的设备，而不同 CPU 架 构 的 指 令 集 不 同 ， 导 致 无 法 将 基 本 使 用 相 同 架 构 的传统设备中成熟的恶意代码特征提取和检测方法 直 接 应 用 到 物 联 网 恶 意 代 码 的 检 测 中. 2）由 于 物 联 网 设 备 一 般 体 积 较 小 ， 需 要 部 署 在 各 种 不 同 的 环 境 中，物联网设备受到内存空间小、电量少等资源限制， 需 要 部 署 相 对 于 传 统 设 备 更 轻 量 级 的 检 测 系 统. 因 此基于人工智能的物联网恶意代码检测研究在提高 模 型 的 检 测 效 果 的 同 时 ， 需 要 解 决 当 前 物 联 网 设 备 自身的特性带来的独特挑战
传统和现代物联网恶意代码检测技术方法区别

物联网设备恶意代码检测面临的问题：

• 需求更高检测准确率
• 物联网设备使用多种cpu架构（常用的有十多种），指令集不同
• 物联网设备资源限制，需要轻量级检测系统