Simple implementation and autonomous operation features make the Internet-of-Things (IoT) vulnerable to malware attacks. Static analysis of IoT malware executable files is a feasible approach to understanding the behavior of IoT malware for mitigation and prevention. However, current analytic approaches based on opcodes or call graphs typically do not work well with diversity in central processing unit (CPU) architectures and are often resource intensive. In this paper, we propose an efficient method for leveraging machine learning methods to detect and classify IoT malware programs. We show that reliable and efficient detection and classification can be achieved by exploring the essential discriminating information stored in the byte sequences at the entry points of executable programs. We demonstrate the performance of the proposed method using a large-scale dataset consisting of 111K benignware and 111K malware programs from seven CPU architectures. The proposed method achieves near optimal generalization performance for malware detection (99.96% accuracy) and for malware family classification (98.47% accuracy). Moreover, when CPU architecture information is considered in learning, the proposed method combined with support vector machine classifiers can yield even higher generalization performance using fewer bytes from the executable files. The findings in this paper are promising for implementing light-weight malware protection on IoT devices with limited resources.

中文翻译：

---

基于可执行文件中字节序列的物联网恶意软件的有效检测和分类

简单的实现和自主的操作功能使物联网（IoT）容易受到恶意软件攻击。对IoT恶意软件可执行文件进行静态分析是一种可行的方法，用于了解IoT恶意软件的行为以进行缓解和预防。但是，当前基于操作码或调用图的分析方法通常不能很好地与中央处理单元（CPU）架构中的多样性配合使用，并且通常会占用大量资源。在本文中，我们提出了一种利用机器学习方法来检测和分类IoT恶意软件程序的有效方法。我们表明，通过探索在可执行程序的入口点存储在字节序列中的基本区分信息，可以实现可靠而有效的检测和分类。我们使用由来自七个CPU架构的111K良性软件和111K恶意软件程序组成的大规模数据集演示了该方法的性能。所提出的方法为恶意软件检测（准确度为99.96％）和恶意软件家族分类（准确度为98.47％）实现了接近最佳的泛化性能。此外，当在学习中考虑CPU架构信息时，所提出的方法与支持向量机分类器结合使用更少的可执行文件字节就可以产生更高的泛化性能。本文的研究结果有望在资源有限的IoT设备上实施轻量级恶意软件保护。所提出的方法为恶意软件检测（准确度为99.96％）和恶意软件家族分类（准确度为98.47％）实现了接近最佳的泛化性能。此外，当在学习中考虑CPU架构信息时，所提出的方法与支持向量机分类器结合使用更少的可执行文件字节就可以产生更高的泛化性能。本文的研究结果有望在资源有限的IoT设备上实施轻量级恶意软件保护。所提出的方法为恶意软件检测（准确度为99.96％）和恶意软件家族分类（准确度为98.47％）实现了接近最佳的泛化性能。此外，当在学习中考虑CPU架构信息时，所提出的方法与支持向量机分类器结合使用更少的可执行文件字节就可以产生更高的泛化性能。本文的研究结果有望在资源有限的IoT设备上实施轻量级恶意软件保护。所提出的方法与支持向量机分类器相结合，可以使用更少的可执行文件字节来获得更高的泛化性能。本文的研究结果有望在资源有限的IoT设备上实施轻量级恶意软件保护。所提出的方法与支持向量机分类器相结合，可以使用更少的可执行文件字节来获得更高的泛化性能。本文的研究结果有望在资源有限的IoT设备上实施轻量级恶意软件保护。