Phát hiện mã độc dựa trên điện toán đám mây

Bài viết này giới thiệu về một mô hình phát hiện mã độc, uCLAVS (University of Caldas Antivius Service dịch vụ chống virus của trường đại học Calda), một dịch vụ đa dụng cụ đi kèm theo các bộ định dạng giao thức và các tiêu chuẩn cho công nghệ dịch vụ web, ngoài ra còn có Ontology dành cho phát hiện mã độc và xâm nhập được miêu tả kèm. uCLAVS dựa trên ý tượng cải tiến các ứng dụng phân tích tập tin trên máy trạm bằng cách chuyển chúng đến các mạng thay vì chạy các phần mềm phức tạp trên tất cả các máy chủ, mỗi quy trình sẽ nhận được một tiếp nhận của tập tin hệ thống, gửi chúng đi đê xác định xem chúng có được thực thi hay không dựa theo các báo cáo kết quả về mối đe dọa đã cung cấp.
Nội dung trích xuất từ tài liệu:
Phát hiện mã độc dựa trên điện toán đám mây Kỹ thuật điện tử & Khoa học máy tính PH¸T HIÖN M· §éC DùA TR£N §IÖN TO¸N §¸M M¢Y NGUYÔN TIÕN XU¢N*, hoµng sü t­¬ng**, NGUYÔN THANH TïNG** Tãm t¾t: Bµi viÕt nµy giíi thiÖu vÒ mét m« h×nh ph¸t hiÖn m· ®éc, uCLAVS (University of Caldas’ Antivius Service dÞch vô chèng virus cña tr­êng ®¹i häc Calda), mét dÞch vô ®a dông cô ®i kÌm theo c¸c bé ®Þnh d¹ng giao thøc vµ c¸c tiªu chuÈn cho c«ng nghÖ dÞch vô web, ngoµi ra cßn cã Ontology dµnh cho ph¸t hiÖn m· ®éc vµ x©m nhËp ®­îc miªu t¶ kÌm. uCLAVS dùa trªn ý t­îng c¶i tiÕn c¸c øng dông ph©n tÝch tËp tin trªn m¸y tr¹m b»ng c¸ch chuyÓn chóng ®Õn c¸c m¹ng thay v× ch¹y c¸c phÇn mÒm phøc t¹p trªn tÊt c¶ c¸c m¸y chñ, mçi quy tr×nh sÏ nhËn ®­îc mét tiÕp nhËn cña tËp tin hÖ thèng, göi chóng ®i ®ª x¸c ®Þnh xem chóng cã ®­îc thùc thi hay kh«ng dùa theo c¸c b¸o c¸o kÕt qu¶ vÒ mèi ®e däa ®· cung cÊp. C¸c mÉu kÕt qu¶ thö nghiÖm ®­îc ®­a uCLAVS xö lý, ®iÒu nµy cã thÓ t¨ng tû lÖ ph¸t hiÖn nh÷ng tËp tin nguy hiÓm, cho phÐp x©y dùng m¸y tr¹m m¸y tr¹m máng, t¹o ®iÒu kiÖn cËp nhËt zero-day, vµ cung cÊp kh¶ n¨ng ®iÒu ra ë møc ®é cao. Tõ khãa: §iÖn to¸n ®¸m m©y, M· ®éc, Antivirus 1. giíi thiÖu ViÖc ph¸t hiÖn phÇn mÒm ®éc h¹i (Malware) lµ mét trong nh÷ng th¸ch thøc an ninh hµng ®Çu, ph­¬ng thøc ho¹t ®éng cña lo¹i phÇn mÒm nµy chñ yÕu dùa vµo viÖc sö dông c¸c dÊu hiÖu (signature) vµ ph­¬ng ph¸p dß t×m (heuristics). §Ó hç trî cho ph­¬ng thøc nµy ng­êi ta th­êng t¨ng ®é phøc t¹p cña c¸c phÇn mÒm ®­îc thiÕt kÕ ®Ó chèng l¹i Malware, ®iÒu nµy lµm t¨ng tÝnh phøc t¹p viÖc chèng virus vµ vµ gi¸n tiÕp chó träng vµo c¸c lç hæng vµ c¸c cuéc tÊn c«ng. C¸c chuÈn vÒ Malware vµ sù x©m nhËp ®­îc dùa trªn nguyªn t¾c ph©n lo¹i; do ®ã chóng kh«ng ®ñ kh¶ n¨ng ®Ó hç trî cho qu¸ tr×nh x¸c ®Þnh c¸c kiÓu tÊn c«ng tèi ­u hay x¸c ®Þnh c¸c hµnh vi bÊt th­êng cã thÓ dù ®o¸n tr­íc. C¸c Ontology ( b¶n thÓ häc ) cho phÐp miªu t¶ c¸c ®èi t­îng, kh¸i niÖm vµ c¸c mèi quan hÖ trong mét lÜnh vùc kiÕn thøc, trong tr­êng hîp nµy, c¸c nguån dÊu hiÖu malware, quy t¾c ph¸t hiÖn, ph¶n øng vµ qu¸ tr×nh phßng ngõa cÇn ph¶i ®­îc miªu t¶ ng÷ nghÝa nh»m thèng nhÊt c¬ së kiÕn thøc cña c¸c hÖ thèng c¬ b¶n vµ cã thÓ cung cÊp mét khung luËn ®iÓm, sù hiÓu biÕt vµ suy luËn tõ nh÷ng m« h×nh trªn ng÷ nghÜa nµy. Bµi viÕt nµy ®­a ra mét cÊu tróc vÒ viÖc ph¸t hiÖn malware dùa trªn kh¸i niÖm cña b¶n thÓ häc vÒ dÞch vô Web vµ x©m nhËp ®éc h¹i (Web Services and Malware Intrusion Ontology), uCLAVS (University of Caldas’ AntiVirus Service) mét dÞch vô ®­îc triÓn khai trªn ®iÖn to¸n ®¸m m©y theo c¸c bé giao thøc vµ c¸c tiªn chuÈn quy ®Þnh vÒ c«ng nghÖ dÞch vô Web ®Ó ph¸t hiÖn ra c¸c néi dung ®éc h¹i hoÆc nh÷ng hµnh vi cña mét tËp tin ch­a biÕt th«ng qua viÖc sö dông nhiÒu c«ng cô thùc hiÖn chiÕn l­îc ph©n tÝch kh«ng ®ång nhÊt. PhÇn 2 cung cÊp nh÷ng ®¸nh gi¸ ban ®Çu vÒ ®Ò tµi vµ nh÷ng ®ãng gãp quan träng liªn quan; PhÇn 3 miªu t¶ c¸c kiÕn tróc, m« h×nh, triÓn khai dÞch vô, cuèi cïng tr×nh bµy mét sè nh÷ng ph¸t hiÖn ban ®Çu vÒ m« h×nh mÉu thö nghiÖm cïng víi thiÕt kÕ c¬ b¶n cña nã; PhÇn 4 nãi vÒ c¸c Ontology ®Þnh nghi· vÒ viÖc ph¸t hiÖn malware/x©m nhËp vµ c¸c c¸ch phßng ngõa. KÕt qu¶ ®­îc chøng minh trong phÇn . Cuèi cïng lµ phÇn kÕt luËn chung vµ nh÷ng h­íng ph¸t triÓn trong t­¬ng l¹i ®­îc nhÊn m¹nh ë trong phÇn 6. 2. nh÷ng nghiªn cøu tr­íc ViÖc ph¸t hiÖn malware trong dÞch vô ®iÖn to¸n ®¸m m©y ®· ®­îc giíi thiÖu rÊt kÜ trong [1], nh­ng hÖ thèng läc cho e-mail vµ giao thøc HTTP ®­îc triÓn khai trong ®¸m 64 N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc… điện toán đám mây.” Nghiên cứu khoa học công nghệ m©y ®· trë nªn phæ biÕn tõ vµi n¨m tr­íc. [2] cho thÊy mét d¹ng cña dÞch vÞ b¶o vÖ . C¸c c«ng cô ®­îc liÖt kª trong giao thøc ICAP nh­ dÞch vô chèng virus (ch¹y trªn cïng mét m¸y) cã thÓ lµm viÖc nh­ mét m¸y quÐt ®a c«ng dông gióp cho viÖc ph¸t hiÖn virus tõ e- mail, web vµ proxy server. HÖ thèng b¶o vÖ ®a c«ng cô kh«ng ®ång nhÊt sö dông c«ng nghÖ nhËn biÕt vµ ph©n tÝch trong ph­¬ng thøc kh«ng ®ång nhÊt sÏ cho ra mét ®¸nh gi¸ tèt h¬n vÒ viÖc ®Æc tÝnh hãa c¸c tËp tin cã h¹i. C¸c tiªu chuÈn cho kh¸i niªm ®¹i diÖn vµ Ontology trong hÖ thèng ph¸t hiÖn x©m nhËp biÓu thÞ mét nç lùc kh«ng dùa trªn mét c¬ së ch¾c ch¾n,vÝ dô nh­ IDMEF (Intrusion Detection Message Exchange Format) vµ CIDF (The Common Intrusion Detection Framework) [3] ®Þnh nghÜa c¸c API vµ c¸ch giao thøc cho c¸c dù ¸n nghiªn cøu vÒ sù ph¸t hiÖn x©m nhËp mµ cã thÓ chia sÎ th«ng tin vµ tµi nguyª, còng nh­ c¸c thµnh phÇn cã thÓ bÞ tõ chèi b»ng c¸ch x©y dùng mét m« h×nh ®¹i diÖn dùa trªn có ph¸p XML. Nghiªn cøu ®­îc triÓn khai trong [ 4 ] ®· x¸c ®Þnh mét môc tiªu Ontology cho phÇn ph¸t hiÖn x©m nhËp, ®©y lµ mét ph­¬ng thøc hoµn toµn míi mµ trong ®ã Ontology ®­îc sö dông ®Ó miªu t¶ vµ gióp hiÓu râ thªm vÒ c¸c cuéc tÊn c«ng. Nh÷ng nghiªn cøu nµy nh»m x¸c ®Þnh mét träng t©m Ontology DAML-OIL (DARPA Agent Markup Language + Ontology Interface) dùa trªn ph­¬ng thøc ph©n lo¹i truyÒn thèng chuyÓn hãa theo m« h×nh ng÷ nghÜa häc. C¸c cuéc ®iÒu tra ®­îc thùc hiÖn trong [5] tÝch hîp t­¬ng t¸c vµ c¸c ®Æc tÝnh cña Ontology ®­îc lÊy ra tõ nghÜa cña centric-attack Ontology mµ cung cÊp nh÷ng dÊu hiÖu mµ khíp víi cÊu tróc d÷ liÖu trong cña c«ng cô ph¸t hiÖn tÊn c«ng m¹ng Snort. Trong [6] ®· ph¸t triÓn mét Ontology vÒ phÇn ph¸t hiÖn vµ phßng chèng m· ®éc, ngoµi ra cßn më réng Ontology nµy ®Ó tÝch hîp dÊu hiÖu m· ®éc dùa trªn kÕt qu¶ tõ c¸c c«ng cô g¾n liÒn trong cÊu tróc uCLAVS. 3. sö dông ®iÖn to¸n ®¸m m©y ®Ó ph¸t hiÖn m· ®éc Mét phÇn mÒm ph©n tÝch ®éc h¹i dïng ®Ó x¸c ®Þnh mét hÖ thèng code cã kh¶ n¨ng thùc hiÖn mét cuéc tÊn c«ng trªn hÖ thèng m¸y tÝnh [7]. §Ó thùc hiÖn ®­îc ®iÒu nµy th× c¸c gi¶i ph¸p hiÖn nay nh­ ch­¬ng tr×nh diÖt virus chñ yÕu sö dông viÖc ph©n t ...