Nhận dạng Payload độc với hướng tiếp cận tập mô hình máy học

Bài viết Nhận dạng Payload độc với hướng tiếp cận tập mô hình máy học đề xuất một số giải pháp mới và hiệu quả để xây dựng tập mô hình máy học cho bài toán nhận dạng Payload độc. Với các bạn chuyên ngành Công nghệ thông tin thì đây là tài liệu hữu ích.
Nội dung trích xuất từ tài liệu:
Nhận dạng Payload độc với hướng tiếp cận tập mô hình máy họcKỷ yếu Hội nghị QKQuốc gia lần thứ VIII về Nghiên cứ cơ bản và ứng dụng Công nghệ thông tin (FAIR) Hà Nội, ngày 9ứuệ);9-10/7/2015DOI: 10.15625/vaDap.2015.000189NHẬ DẠNG PAYLOẬNGOAD ĐỘCCVỚI HHƯỚNG TIẾP CẬ TẬP MÔ HÌNH MÁY HỌẬNMHỌCNguyễn Hữ Hòa, Đỗ Thanh Nghị, Phạm Nguyên KhangữuPnKho Công nghệ Thông tin và Truyền thông Trường Đại học Cần Thơoag,ơnhhhoa@ctu.eduu.vn, dtnghi@cit.ctu.edu.vn, pnkhang@ci,it.ctu.edu.vnTÓM TẮ - Sự sinh sô nẩy nở nhanh chóng của các payload độc (m độc được ng trang trong nội dung gói tin) đang trởẮTôihcmãgụygthhành mối nguy hại trong vấn đề toàn dữ liệu và an ninh mạuạng. Trong số nhiều giải pháp được đề xuất bởi cộng đồng nghiên cứunpnhằm đối phó vớ mối nguy hại gia tăng này, hướng tiếp cận tập mô hình máy học đã bộc lộ tính ưu việt đối với vấn đề cải thiện độnớinmchính xác nhận dạng. Tuy nhiê sức mạnh củ một tập mô hình phụ thuộc lớn vào tính đa dạng của các mô hình thành viên. Trongcên,ủahangữ cảnh này, cnchúng tôi đề xu một phương pháp mới và hiệu quả để xây dựng tập m hình máy họ cho bài toán nhận dạnguấtgàxmôọcnpayload độc. Trprong hướng tiếp cận của chúng tôi, các mô hì thành viên được đa dạng h bằng cách thay đổi tham số từ một kỹpgìnhđhóasthhuật biểu diễn dữ liệu được đề xuất. Kết quả thực nghiệm chứng minh rằng phương pháp chúng tôi đề xềảcgpxuất cho kết quả tốt hơn sovới những phươ pháp thông dụng khác.vơngTừ khóa - Nội dung gó tin (payload) nhận dạng paaói),ayload (payload detection), tập mô hình máy học (classifier ensemble),dậpyrtí đa dạng mô hình (classifie diversity).ínhôerI. GIỚI THIỆUGUViệc nh dạng sự hiện diện của m độc trong nội dung (payhậnmãnyload) của gói tin mạng hay Web, gọi tắt là payloadyđộc, là một ch đề thách th thu hút sự quan tâm củ cộng đồng nghiên cứu. NđhủhứcựủaNhững phươn pháp truyền thống sửngndụng tập chữ k của mã độc (worms, virdkýruses, malware và các kỹ thuật so khớp để phát hiện ra payload độ dựa trêne)tộcmột ngưỡng đmđược định ngh trước. Tuy nhiên, tin tặ có thể dễ dàng đệm dữ liệu rác vào phĩayặcdpayload để biến mã độcthhành mã vô h và do đó đhạiđánh lừa các m hình nhận dạng dựa trên tập chữ ký (smônsignature-base models). ObfuscationedOlà một kỹ thuậ đệm được s dụng phổ bậtsửbiến bởi cộng đồng tin tặc [11, 12]. Hình 1 minh họa payload độc được ngụyhtrrang bởi kỹ th obfuscatio Một ví dụ khác được th trong Hình 2, trong đó tác giả của sâu Code Red đệm rất nhiềuhuậton.ụhể2cmký tự “N” và “X” vào HTT payloads đ làm tràn bộ nhớ đệm của máy tính nạ nhân. Do đ để có thể nhận dạngkTPđểộạnđó,những mã độc và/hoặc nhữn biến thể củ mã độc như thế đòi hòi một sự phân tí sâu vào bê trong payload, thay vìncngủaưmíchênchỉ dựa vào thô tin từ tiêu đề gói tin.cônguVề căn bản, cộng đồn nghiên cứu thường sử dụ kỹ thuật phân tích n-gra để biểu dnguụngpamsdiễn dữ liệu ch việc xâyhodựng mô hình máy học (madachine learnin Tuy nhiên tính hiệu qu của các mô hình này phụ thuộc lớn vào thứ bậcng).n,uảôhụcủa n. Việc sử dụng n-gram bậc thấp (ví dụ: n=1 hoặc n=2) có thể làm mất thông tin và do đó giảm độ chính xác nhậncửmsíclghdạng. Mặc khá việc sử dụn n-grams bậ cao dẫn đến sự bùng nổ không gian cdác,ụngậcchiều của tập d liệu mà vượt quá khảdữnăng tính toán của máy tính Hơn nữa, v đề cao chi (the curse of dimensionnnh.vấniềunality) thường làm giảm tính hiệu quảcủa mô hình ncnhận dạng [8]. Do đó, việc xây dựng mộ mô hình ncột-grams hiệu q là rất khó và đòi hỏi nhquảhững chiếnlư hợp lý ch vấn đề biểu diễn và xử lý dữ liệu cũng như chọn giải thuật học/hu luyện.ượchouýiuấnTừ bối cảnh trên, chú tôi đề xuấ một kỹ thuậ mới lạ, gọi là np-grams, ch việc biểu dúngấtậtlhodiễn dữ liệu n-grams bậccao. Dựa trên k thuật np-grckỹrams, chúng tô đề xuất một phương pháp tạo tập mô hôitphình hiệu quả v số lượng lớn các môvớilhình thành viê khác nhau. Bên cạnh đó vấn đề cao chiều cũng được xử lý. Thên.ó,ođThông qua kiể chứng thự nghiệm,ểmựcchúng tôi chứn minh rằng pcngphương pháp đề xuất cho kết quả tốt hơn các phương pnpháp thông dụ khác.ụngHình 1. Paayload độc được ngụy trang bở kỹ thuật obfuscởiscationNguyễn Hữu Hòa, Đỗ Thanh Nghị, Phạm Nguyên KhangGET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0513GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ...