Cơ chế máy học chấn đoán virus máy tính

Chia sẻ: Nguyễn Minh Vũ | Ngày: | Loại File: PDF | Số trang:10

Thêm vào BST

Báo xấu

68
lượt xem 5
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

When computer virus wide spreads in the world nowadays, anti-virus needs to improve their identifying methods to enhance the performance. In this paper, we introduce a new method to diagnose computer virus. First, we analyse the characteristics of viral data type to define virus classes through object-oriented methods. Second, we study the machine learnning mechanism for each virus class. Finally, we apply these learning forms to a data processing stage of a machine learning anti-virus expert system. The experimentation results show that the machine learning approach is suitable for anti-virus to identify the computer virus. This approach also gives a new aspect of anti-virus technology.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Cơ chế máy học chấn đoán virus máy tính

’ Tap ch´ Tin hoc v` Diˆu khiˆn hoc, T.24, S.1 (2008), 32–41 ı a ` e e . . . . ’ ´ ˆ ´ ˆ ´ ´ INH CO CHE MAY HOC CHAN DOAN VIRUS MAY T´ . . . ´ ` ˆ ˆ HOANG KIEM1 , TRU O NG MINH NHAT QUANG2 . 1 Tru.o.ng Dai hoc Cˆng nghˆ Thˆng tin, DHQG TP.HCM ` o e o . . . 2 Trung tˆm D`o tao Dai hoc Tai ch´.c Cˆn Tho. a a . u ` a . . . Abstract. When computer virus wide spreads in the world nowadays, anti-virus needs to improve their identifying methods to enhance the performance. In this paper, we introduce a new method to diagnose computer virus. First, we analyse the characteristics of viral data type to deﬁne virus classes through object-oriented methods. Second, we study the machine learnning mechanism for each virus class. Finally, we apply these learning forms to a data processing stage of a machine learning anti-virus expert system. The experimentation results show that the machine learning approach is suitable for anti-virus to identify the computer virus. This approach also gives a new aspect of anti-virus technology. ´ ´ ´ ´ T´m t˘t. Trong bˆi canh c´c hˆ thˆng m´y t´ thu.o.ng xuyˆn bi virus tˆn cˆng, c´c hˆ ph`ng o a o ’ a e o a ınh ` e a o a e o . . . .o.ng ph´p nhˆn dang v` t˘ng cu.o.ng hiˆu qua chˆ n do´n. Trong ’ ´ ´ ’ a chˆng virus m´y t´ cˆn cai tiˆn phu o a ınh ` a ’ e a a a . a a ` e . . ’ ’ ´ ` b`i viˆt n`y ch´ ng tˆi gi´.i thiˆu phu.o.ng ph´p m´.i dˆ chˆ n do´n virus m´y t´ a e a u o o e a o e a a a ınh. Dˆu tiˆn, virus a e . .o.c dinh ngh˜ hu.o.ng dˆi tu.o.ng theo d˘c tru.ng d˜. liˆu. Kˆ tiˆp, xˆy du.ng c´c mˆ h` ´ ´ ´ m´y t´ du . . a ınh ıa ´ o a u e e e a a o ınh . . . . ´ ’ y ’ hoc th´ ho.p cho t`.ng l´.p virus. Cuˆi c` ng, ap dung c´c b`i to´n hoc v`o giai doan xu. l´ cua mˆt ıch . u o o u ´ a a a a o . . . . . ´ng virus m´y t´ hu.o.ng tiˆp cˆn m´y hoc v` hˆ chuyˆn gia. Kˆt qua thu.c nghiˆm cho ´ a ´ ’ hˆ ph`ng chˆ e o o a ınh ´ e . a . a e e e e . . . . ´ ’ a a ıch . a a a a ınh, mo. ra hu.o.ng nghiˆn c´.u ´ e u thˆy phu.o.ng ph´p n`y th´ ho.p cho b`i to´n nhˆn dang virus m´y t´ a . . m´.i trong cˆng nghˆ anti-virus ng`y nay. o o e a . ´. ˆ 1. GIO I THIEU . Internet l` mˆi tru.`.ng thuˆn lo.i cho virus m´y t´ lˆy lan trˆn diˆn rˆng. M˘c d` c´c a o o a . a ınh a e e o a u a . . . . .ng cˆp nhˆt v` ph´t triˆ n, c´c hˆ ´ hˆ ph`ng chˆng virus (AV, Anti-virus software) khˆng ng` e o o o u a a a a e’ a e . . . . ˜n thu.`.ng xuyˆn bi virus xˆm nhˆp, d´nh c˘p v` ph´ huy d˜. liˆu. Do d´ ´ a a ’ u e ´ thˆng m´y t´ vˆ o a ınh a o e . a a a a o . . ` ´ ´ . ’ e e a a ınh, bao vˆ an to`n d˜. liˆu cho c´c hˆ a u e a e cˆn nghiˆn c´.u cai tiˆn co. chˆ nhˆn dang virus m´y t´ a e u ’ e . . . . .i c´c phu.o.ng ph´p d˜ biˆt, ch´ng tˆi giai quyˆt ´ ´ ´ thˆng cˆng nghˆ thˆng tin (CNTT). Kh´c v´ a o o e o a o a a e u o ’ e . ` ´ . b`i to´n nhˆn dang virus m´y t´ theo hu.´.ng tiˆp cˆn m´y hoc. Dˆu tiˆn ch´ng tˆi dinh a a a a ınh o e a a a e u o . . . . .´.ng dˆi tu.o.ng 5 l´.p virus co. ban A, B, C, D v` E du.a v`o d˘c tru.ng d˜. liˆu cua ´ ’ ’ ngh˜ hu o ıa o o a a a u e . . . . .ng c´c b`i to´n hoc cho c´c l´.p virus du.a v`o c´c k˜ thuˆt hoc quy ch´ng. Sau d´ xˆy du u o a a a a a o a a y a . . . . . ˜ ´ ´ . ’ a a . ınh o nap, hoc chı dˆn, hoc vet, hoc tu.o.ng tu. v` hoc t` huˆng. Dˆ d´nh gi´ tiˆp cˆn, ch´ng tˆi e’ a a e a u o . . . . . . .p 5 b`i to´n hoc v`o hˆ ph`ng chˆng virus m´y t´ hu.´.ng tiˆp cˆn m´y hoc v` hˆ ´ ´ . t´ ho ıch . a a o a ınh o e a a . a e o . . a e . ´ ’ chuyˆn gia MAV (Machine Learning Approach to Anti-virus Expert System). Kˆt qua thu.c e e . ´ . ´ nghiˆm cho thˆ y hˆ nhˆn dang ch´ x´c c´c virus d˜ cˆp nhˆt v` du. do´n trˆn 91% biˆn thˆ e a e a . ınh a a a a a a . a e e e’ . . . . .i. virus m´ o . ’ ´ ´ ˆ ˆ ´ ´ CO CHE MAY HOC CHAN DOAN VIRUS MAY T´ INH . 33 ’ ˆ 2. TONG QUAN ` 2.1. Kh´i niˆm vˆ virus m´y t´ a e e a ınh . ´ Virus m´y t´ (computer virus, trong b`i n`y goi t˘t l` virus) l` loai chu.o.ng tr` m´y a ınh a a . a a a . ınh a .o.c thiˆt kˆ dˆ thu.c hiˆn c´c chı thi cua n´ sau chu.o.ng tr` kh´c [1]. B´ mˆt sao ch´p ban ´ e e’ . ´ ’ . ’ o du . e e a ınh a ı a e ’ . . . m´y n`y sang m´y kh´c, l`m suy giam n˘ng ’ thˆn n´ v`o c´c hˆ thˆng m´y t´ a o a a e o a ınh, virus lˆy t` a a a u a a a a . ´ .c hoat dˆng hˆ thˆng v` xˆm pham d˜. liˆu ngu.`.i d`ng. Theo Bordera [2], virus m´y t´ lu e o a a u e o u a ınh . . o . . ´ . . . chı thi, thˆng tin, d˜. liˆu ho˘c chu.o.ng tr` l`m suy giam t´ ho`n thiˆn cua ´ ’ ’ o u e a ınh a ınh a e l`: “bˆ t c´ ’ . a a u . . . ’m ho˘c ph´ huy, ho˘c gh´p ban thˆn n´ v`o ’ ’ t`i nguyˆn m´y t´ a e a ınh, l`m vˆ hiˆu, gˆy nguy hiˆ a o e a e a a a e a o a . . . t`i nguyˆn cua m´y t´ kh´c v` thi h`nh khi chu.o.ng tr` m´y t´ thi h`nh”. a e ’ a ınh a a a ınh a ınh a Ch´ng tˆi phˆn loai virus du.a v`o d˘c tru.ng d˜. liˆu theo 5 l´.p nhu. sau: u o a a a u e o . . . . .p A (stand Alone program): c´c loai sˆu tr` c´ dinh dang u.ng dung dˆc lˆp. - L´ o a ınh o . o a . a . ´ . . . .p B (Boot record): c´c loai virus lˆy v`o mˆu tin kho.i dˆng hˆ thˆng. ˜ ´ ’ o e o - L´ o a a a a . . . ` . - L´.p C (asCii text): c´c loai virus, sˆu tr` c´ m˜ nguˆ n dang script. o a a ınh o a o . .p D (Document): c´c loai macro virus lˆy v`o tu. liˆu Microsoft Oﬃce. - L´ o a a a e . . .p E (Executable): c´c loai virus lˆy v`o c´c tˆp tin thi h`nh. a a a a a a - L´ o . . ’ ` a 2.2. Tˆ ng quan vˆ b`i to´n nhˆn dang v` du. b´o virus m´y t´ o e a a a . a a ınh . . ´ a e Nhˆn dang virus m´y t´ l` qu´ tr` t` kiˆm c´c mˆ ta d˘c tru.ng virus trong thu. viˆn a . a ınh a a ınh ım e o ’ a . . . ’ ˜u trˆn tˆp chˆ n do´n [3]. N˘m 1995, Lo v` cˆng su. [4] gi´.i thiˆu phu.o.ng ph´p loc m˜ dˆc a a a o mˆ a e a a o e a . a o . . . . . .a v`o phˆn t´ d˘c tru.ng v` thuˆc t´ .o.ng ph´p n`y c´ u.u diˆ m l` do.n gian nhu.ng ’ a ’ du a a ıch a a o ınh. Phu a a o e . . . ´ ` ´ ´ ’ a e a kha n˘ng du. b´o virus m´.i c`n han chˆ. N˘m 1996, IBM dˆ xuˆ t phu.o.ng ph´p thˆng kˆ dˆ a o o e a a o e e’ . . . dˆng [5]. Do dˆu ra chı l` c´c chuˆi m˜ tr´ chon nˆn chu.a ˜ ˜ ` ’ a a tr´ chon chuˆi nhˆn dang tu o ıch . o a a o a ıch . e . . . . . b´o du.o.c dˆi tu.o.ng c´ phai l` m˜ dˆc hay khˆng. N˘m 1998, Spaﬀord gi´.i thiˆu phu.o.ng ´ ’ a a o du a o e o a o . . o . . . ’ a sˆu tr` Internet trˆn co. so. d˜. liˆu (CSDL) m˜ thu.c ’ u e a . ph´p phˆn t´ qu´ tr` lˆy lan cu a a a ıch a ınh a ınh e . ´ ´ thi, c´ch lˆy v` vi tr´ c´c n´t mang bi tˆ n cˆng dˆ du. b´o c´c t` huˆng tu.o.ng tu. trˆn c´c a a a . ı a u a o e’ . a a ınh o . . . e a .o.ng ph´p n`y chay chˆm, chi ph´ cao, dˆ qu´ tai khi mo. rˆng danh s´ch ˜ a ’ ’ o n´t kh´c [6]. Phu u a a a a ı e a . . . . dung mˆ h` mang tr´ tuˆ nhˆn tao ANN ’ o ınh . ı e a . c´c n´t mang v` sˆu tr` a u a a ınh. N˘m 2000, IBM su . a . . .p c´c mˆu tin kho.i dˆng (MTKD). Kˆt qua nhˆn dang ˜ ´ ’ o ’ (Artiﬁcial Neural Networks) phˆn l´ a a o a e a . . . .o.c 80–85% c´c virus la v´.i sai sˆ du.´.i 1% trˆn c´c mˆu du.o.ng [7]. Tuy nhiˆn khi ´p dung ˜ ´ a o o o e a a e a du . . . ´ ANN cho c´c dˆi tu.o.ng thi h`nh Win32, c´c chuyˆn gia IBM c˜ng chu.a du.a ra du.o.c minh a o a a e u . . ´ ch´.ng thuyˆt phuc n`o cho hu.´.ng nghiˆn c´.u n`y [8]. N˘m 2001, G. Matthew v` cˆng su. u e a o e u a a a o . . . ` ´ kˆt qua nhˆn dang m˜ dˆc Win32 b˘ ng k˜ thuˆt hoc quy nap Find-S (dat 87.35%) ´ ’ cˆng bˆ e o o a a o a y a . . . . . . . ’ v` phˆn l´.p Nave Bayes (dat 96.7%) [9]. Tuy nhiˆn do c´c thuˆt to´n chuˆ n h´a d˜. liˆu ph´.c a a o e a a a a o u e u . . . . cho 4266 mˆu thu. (3265 m˜ dˆc v` 1001 u.ng dung) nhu.ng hoat ˜ ` ´ ’ tap, cˆn dˆn 1 GB bˆ nh´ a e o o a a o a ´ . . . . . .o.ng chu.a du.o.c phˆn l´.p nˆn phu.o.ng ph´p n`y c´ han chˆ ´ ´ ’ e a o dˆng k´m hiˆu qua trˆn c´c dˆi tu . o e e a o e a a o . e . . . ˜ ` m˘t thu.c tiˆn. vˆ a e . e . . ’ ´ ˆ ´ ˆ ´ ´ 3. CO CHE MAY HOC CHAN DOAN VIRUS MAY T´ INH . ’ u ’ 3.1. Tˆ ch´.c co. so. tri th´.c o u ´ M´y hoc (machine learning) l` l´ thuyˆt xˆy du.ng c´c hˆ chu.o.ng tr` tu. kh´m ph´ tri a a y e a a e ınh . a a . . . 34 . . ´ ` ˆ ˆ HOANG KIEM, TRU O NG MINH NHA T QUANG . ´ ’ a e u a ıch, ’ y ıch . th´.c b˘ ng c´c cˆ u tr´c d˜. liˆu v` thuˆt giai d˘c biˆt, gi´p phˆn t´ xu. l´, tr´ chon, chi u ` a a a u u e a a . . . . . liˆu v` hˆ tro. quyˆt dinh liˆn quan dˆn kinh nghiˆm cua con ngu.`.i. Mˆt sˆ k˜ ˜ ´ ´ ´ ’ e e e tiˆt h´a d˜ e a o . e o u . e . o o o y . . ´ .p cho c´c tru.`.ng ho.p cˆn tham khao y kiˆn ´ ’ ´ e thuˆt hoc c´ thˆ sinh luˆt chuyˆn gia, th´ ho a . o e’ a e ıch . a o a . . . ` .c cu thˆ v` chuyˆn sˆu [10]. Nguyˆn liˆu d`nh cho c´c hˆ hoc ’ a chuyˆn gia trong c´c l˜ vu . e e a ınh . e a e e a a e . . . . so. tri th´.c (CSTT, knowledge base), ch´.a c´c su. kiˆn mˆ ta d˜. liˆu v` c´c luˆt nhˆn ’ ’ u e a a l` co a u u a . e o a a . . . . dang. . ´ . ` . ` ’ y a Trong tiˆp cˆn m´y hoc, tri th´.c virus ch´.a thˆng tin vˆ loai virus cˆn xu. l´, c´c mˆ ta e a a u u o e a o ’ . .o.ng, c´c luˆt nhˆn dang v` dang th´.c d˜. liˆu m` virus nh˘m ´ ´ ’ h`nh vi cua virus trˆn dˆi tu . a e o a a a a . u u e a a . . . . . dung mˆ h` l´.p (class) ch´.a c´c virus c´ c`ng d˘c tru.ng d˜. liˆu. Mˆi l´.p ˜ o ’ a v`o. MAV su . a o ınh o u a o u u e o . . .o.ng u.ng v´.i mˆt l´.p d˜. liˆu chˆ n do´n [11] du.o.c dinh ngh˜ hu.´.ng dˆi tu.o.ng nhu. o. ’ ´ ’ a ıa o o virus tu ´ o o o u e a . . . . . H` 1. ınh ’ . Dang tri th´.c th´. hai du.o.c mˆ ta trong CSTT l` tˆp luˆt nhˆn dang. MAV su. dung mˆt u u o ’ a a a a o . . . . . . . . viˆn mˆ ta d˘c tru.ng virus du.´.i dang tˆp c´c vector VK = {v1 , v2, ..., vk} v` ´p dung ph´p o ’ a o . a a aa . e thu e . . . ´ ´ truy vˆ n c´c vecto. vi trong tˆp d˜. liˆu S theo c´c luˆt dˆn xuˆ t dang: R : p1∧p2∧...∧pn → q, a a a u e a a a a . . . . ˜ .ng cho tˆp thuˆc t´ virus, q l` kˆt luˆn cua qu´ tr` suy diˆn. ˜ ´ a ’ trong d´ pi d˘c tru o a a o ınh a e a ınh e . . . . ’ 3.2. Phˆn hoach b`i to´n chˆ n do´n virus m´y t´ a a a a a a ınh . ’ ’ a o a a a u e a a a a a ınh Du.a v`o d˘c tru.ng nhˆn dang cua c´c l´.p d˜. liˆu, b`i to´n chˆ n do´n virus m´y t´ . . . . . .o.c phˆn th`nh c´c b`i to´n con, su. dung c´c k˜ thuˆt hoc t`. do.n gian dˆn ph´.c tap nhu. ´ ’ . ’ a a a a a a y a . u du . e u . . sau: ’ ´ - B`i to´n 1: chˆ n do´n l´.p C (asCii text ﬁles) theo co. chˆ hoc vet. a a a a o e . . .p D (Document ﬁles) theo co. chˆ hoc tu.o.ng tu.. ’ ´ - B`i to´n 2: chˆ n do´n l´ a a a e . a o . .p B (Boot record) theo co. chˆ hoc chı dˆn. ’ ˜ ´ ’ a - B`i to´n 3: chˆ n do´n l´ a a a a o e . ’ ´ ´ - B`i to´n 4: chˆ n do´n l´.p E (Executable ﬁles) theo co. chˆ hoc t` huˆng. a a a a o e . ınh o ’n do´n l´.p A (stand Alone program) theo co. chˆ hoc quy nap. ´ - B`i to´n 5: chˆ a a a a o e . . ˜i b`i to´n su. dung co. so. d˜. liˆu (CSDL) virus mˆu d˘c th` tu.o.ng u.ng cua l´.p: ˜ a ’ . ’ u e ’ o Mˆ a a o a u ´ . . S = {SA , SB , SC , SD , SE } ˜ v´.i SA , SB , SC , SD v` SE l` CSDL virus mˆu cua c´c l´.p; aObject, bObject, cObject, dObject o a a a ’ a o . liˆu trong khˆng gian chˆ n do´n cua mˆi b`i to´n, theo th´. tu. d´. ’ ˜ e’ u . o a a ’ o a a u . o v` eObject l` c´c diˆ m d˜ e a a a ’ 3.3. C´c b`i to´n chˆ n do´n virus m´y t´ a a a a a a ınh ’ 3.3.1. B`i to´n 1: chˆ n do´n l´.p virus C-class a a a a o .p C lˆy nhiˆm b˘ ng c´ch ch`n ho˘c tao m´.i cˆu lˆnh script v`o dˆi tu.o.ng. Goi: ˜ ` ´ Virus l´ o a e a a e a . o a e a o . . . . .o.ng chˆ n do´n. ’ ´ T = {ai , c|i = 32, ..., 127; c ∈ N } l` dˆi tu . a o a a .o.ng lˆy nhiˆm (virus). ˜ ´ V = {bj , m|i = 32, ..., 127; n ∈ N } l` dˆi tu . a o a e . cua T , c l` k´ thu.´.c (sˆ k´ tu.) cua T, b l` tˆp k´ tu. cua virus ´ y . ’ ’ trong d´ ai l` tˆp k´ tu o a a y . a ıch o o y . ’ j a a . . .´.c cua V v` N l` tˆp sˆ nguyˆn du.o.ng. T nhiˆm virus V khi v` chı khi ˜ ´ ’ V, m l` k´ thu o a ıch a a a o e e a ’ . . ’ ´ ´ ˆ ˆ ´ ´ CO CHE MAY HOC CHAN DOAN VIRUS MAY T´ INH . 35 V ⊆ T. ´. ˜ ´ ’ o o o a Goi SC = {V1, V2, ..., Vn} l` CSDL l´.p C . U ng v´.i mˆi dˆi tu.o.ng chˆ n do´n T , x´c dinh: a o a a . . . .`.ng ho.p 1: T ⊃ V ∀i = 1..n, kˆt luˆn T nhiˆm virus V (t´.c l` T = T ∪ V ): ˜ ´ a • Tru o e e a i i u 0 . . a ` a u ’ - X´c dinh T0 = CT (Vi) = T \Vi∀CT (Vi) l` phˆn b` cua Vi trong T a . - Loai bo virus: Vi ← {φ}. . ’ .`.ng ho.p 2: T = V ∀i = 1..n, kˆt luˆn dˆi tu.o.ng T l` sˆu tr` V . Do sˆu tr` khˆng ´ a o ´ • Tru o e a a ınh i a ınh o i . . . ’ (T0 = {φ}) nˆn thu.c hiˆn Vi ← {φ}. c´ vˆt chu o a e e . . . ’ ´ ’ Ban chˆ t cua b`i to´n chˆ n do´n C -class l` hoc vet. Tri th´.c virus du.o.c chuyˆn gia cung a ’ a a a a a . . u e . .´.i dang . Thuˆt giai do.n gian, c´ dˆ ph´.c tap ˜ ’ ´ ’ ’ cˆ p du o . a a u e a a o o u . . . . . .i k´ thu.´.c d˜. liˆu v` sˆ mˆu virus c´ trong S . Tuy nhiˆn thuˆt to´n khˆng ´ ˜ ’ e o O(n) ty lˆ v´ ıch o u e a o a o e a a o C . . . .a ra kh˘ng dinh du.o.ng khi c´ virus m´.i. Do virus text c´ tˆp lˆnh han chˆ v` ´ phˆ biˆn ’ ´ ’ ´ a ıt o e du a o o o a e e . . . . nˆn hoc vet l` lu.a chon ph` ho.p trong giai doan hiˆn nay. Trong tu.o.ng lai khi lu.o.ng virus e a . u . e . . . . . . ` ´ ’ o ’ text du l´.n, c´ thˆ thay b˘ ng c´c mˆ h` hoc du.a x´c suˆ t trˆn d˜. liˆu v˘n ban nhu. Nave o e’ a a o ınh . a a e u e a . . Bayes. ’ 3.3.2. B`i to´n 2: chˆ n do´n l´.p virus D-class a a a a o ’ . D − class l` l´.p c´c virus macro su. dung tˆp m˜ lˆnh VBA (Visual Basic Application) dˆ a o a a a e e’ . . .`.ng MSOﬃce [12]. Kh´c v´.i c´c macro thˆng thu.`.ng thi h`nh nh`. ˜ a o a o o a o lˆy nhiˆm trˆn mˆi tru o a e e o . thi h`nh b˘ ng c´c thu tuc trigger (nhu. AutoExec). Chı c´ c´c ` ’ . ’ o a lˆnh Run, c´c virus macro tu e a a a a . . tu. liˆu n`o su. dung macro m´.i c´ nguy co. ch´.a virus macro (H` 2). e a ’ . o o u ınh . ` Trong mˆ h` hoc kh´m ph´ tu.o.ng dˆ ng, c´c h`m R nhˆn dang c´ dang: o ınh . a a o a a a o . . . (Xi = Vi) ∧ ... ∧ (Xk = Vk ) ˜ ´ ´ trong d´ mˆi Xj l` c´c biˆn, Vj l` c´c gi´ tri c´ thˆ c´ cua c´c biˆn n`y, c´c ph´p tuyˆ n cua o o a a e a a a . o e’ o ’ a e a a e e’ ’ .ng gi´ tri c´ thˆ c´, ho˘c tˆp cua nh˜.ng gi´ tri n`y. ’ o ’ nh˜ u a . o e a a u a . a . . ’ ´i v´.i dˆi tu.o.ng chˆ n do´n dObject khi c´c gi´ tri cua c´c ´ a Mˆt h`m R c´ tri TRUE dˆ o o o a o . o a a a . ’ a . . .ng h`m d´. Ngo`i ra, h`m tra vˆ tri FALSE. Trong khˆng ´ ’ ’ ` . a o a a e o biˆn cua dObject l` mˆt trong nh˜ e a o u . .o.ng, khi h`m R nhˆn dang nhiˆu ho.n mˆt dˆi tu.o.ng, tˆp con cua ’ ` ´ ´ ’ gian chˆ n do´n N dˆi tu . a a o a a e o o a . . . . . .o.c nhˆn dang bo.i R. Ngu.o.c lai, cho mˆt tˆp con c´c ’ a o a a c´c gi´ tri m` n´ nhˆn dang goi l` du . a a . a o a . . . a . . . . . . ’ . ` ´i tu.o.ng, ta c´ thˆ tao mˆt h`m nhˆn dang du.o.c ph´t sinh bo.i tˆp con n`y b˘ ng c´ch lˆ y ´ ’ a dˆ o o e o a a a a a a a . . . . . . ´ ’ ph´p tuyˆ n c´c gi´ tri cua c´c biˆn cua ch´ng [13]. e e’ a a . ’ a e u ˜ ´ ´ Trong khˆng gian SD, hˆ s˜ xˆy du.ng c´c h`m R cho mˆi dˆi tu.o.ng dObject. Nˆu R nhˆn o e e a a a o o e a . . . . .o.c Vj (tu.o.ng u.ng v´.i n´t l´ ”Virus macro”), kˆt luˆn dObject nhiˆm virus d˜ biˆt: ˜ ´ a ´ dang du . ´ o u a e e a e . . R : (X1 = true) ∧ (X2 = true) ∧ (X3 = true) ∧ (X4 = true) ∧ (X4+i = true) ∀i = 1..n. ˜ ´ a Ngu.o.c lai, c´ thˆ kˆt luˆn dObject nhiˆm mˆt loai virus macro m´.i. e o o . . o e’ e . . . ´ H` 3a v` 3b mˆ ta c´c luˆt nhˆn dang virus macro c˜ v` m´.i theo co. chˆ hoc tu.o.ng ınh a o ’ a a a u a o e . . . . .. B`i to´n chˆ n do´n D − class c´ thˆ nhˆn dang dˆn 98% c´c macro la (2% thˆ t bai do ’ ´ ´ tu a a a a o e’ a e a a . . . . . .`.i d`ng). Tuy nhiˆn k˜ thuˆt n`y khˆng ph´t hiˆn du.o.c c´c virus chen gi˜.a ’ password cua ngu o u e y a a o a e u . . . a . tao. Hu.´.ng giai quyˆt l` thiˆt lˆp bˆ tinh chınh luˆt du.´.i dang t`y chon diˆu ´ a ´ a o ` ’ ’ c´c macro tu . a o e e . a o . u e . . . . ` ` khiˆ n trang th´i c´c mˆnh dˆ “dObject khˆng c´ macro tu. tao” v` “Dˆ ng y x´a macro.” e’ a a e e o o a o ´ o . . . . 36 . . ´ ` ˆ ˆ HOANG KIEM, TRU O NG MINH NHA T QUANG . H` 2. Phˆn loai tu. liˆu MSOﬃce v` c´c h`m R nhˆn dang virus macro ınh a e a a a a . . . . ’ 3.3.3. B`i to´n 3: chˆ n do´n l´.p virus B-class a a a a o ’ ` ’ o u ıa. a L´.p B ch´.a c´c boot virus lˆy v`o c´c MTKD trˆn sector dˆu tiˆn cua tˆ ch´.c d˜ B`i o u a a a a e a e .o.c giai quyˆt theo hu.´.ng phˆn t´ h`nh vi [14] nhu. sau: ’ ´ ’ to´n chˆ n do´n B − class du . a a a e o a ıch a ’ ´ ’ a ’ ´ a e a a o e • Tˆ ch´.c 2 CSDL ch´.a c´c boot virus d˜ biˆt v` c´c MTKD sach phˆ biˆn cua c´c HDH. o u u a . ´ ` ’ • Cung cˆ p 2 tˆp miˆn (domain theory) dinh ngh˜ h`nh vi cua boot virus v` MTKD sach. a a e ıa a a . . . V´ du: ı . Bootvirus ← GetM emSize, DecM emSize, SetM emSize, SetM emV i, M ovV iCode GetM emSize ← ReadM em, GetV alue DecM emSize ← SetN ewSize, W riteM em(...) ´ ´ . ’ • Tai bObject v`o khˆng gian t` kiˆm l` mˆt cˆy nhi phˆn c´ n´t gˆc d˘c ta diˆ m v`o lˆnh. a o ım e a o a a e . . a o u o a ’ e’ . .. N´t con l` c´c lˆnh r˜ hu.´.ng v` nhay. N´t l´ l` c´c diˆ m ˜ a e ` ’ Nh´nh biˆ u diˆn c´c lˆnh tuˆn tu u a e’ e a . a a e e o a u a a a e’ . . .ng. C´c lˆnh l˘p xu. l´ nhu. lˆnh tuˆn tu. v`o-ra trˆn cˆy con cuc bˆ (H` 4). ` ’ y d` u a e a e a . a e a . . . . o ınh . ´ ´ ’ ım e ’ • Ap dung thuˆt giai t` kiˆm, thu thˆp c´c h`nh vi cua bObject v`o danh s´ch t´c vu: a a a a a a a . . . . . nhˆ t, thˆng b´o t` trang ´ ` ` ´ ’ a ’ a - Nˆu danh s´ch phan ´nh dˆy du c´c mˆ ta cua tˆp miˆn th´ e a a o ’ ’ a e u a o a ınh . . . l´ bˆnh, b´o c´o kˆt qua, kˆt th´c qu´ tr` ˜ ´ ´ ’ ’ ’ e nhiˆm virus cua bObject, xu y e e a a e u a ınh. . ´ a ´ ` ’ a e a - Nˆu danh s´ch phan ´nh c´c mˆ ta cua tˆp miˆn th´. hai, kˆt luˆn bObject an to`n. e a a o ’ ’ a e u . . ´ ’ - Ngo`i ra, bObject c´ t` trang bˆ t thu.`.ng (virus m´.i, sector hong, dinh dang la...). a o ınh . a o o . . . .o.ng v`o CSDL tu.o.ng u.ng. ´ ´ • Kˆt th´c qu´ tr` e u a ınh, cˆp nhˆt thˆng tin dˆi tu . a a o o a ´ . . ’ ˜ ´ ´ . ’ a o o o So v´.i mˆ h` mang no.ron [7], chˆ n do´n boot virus theo co. chˆ hoc chı dˆn c´ tˆc dˆ o o ınh . a a e . .o.ng du.o.ng th`.i gian kho.i dˆng d˜ mˆm trˆng) v` ch´ x´c ho.n (nhˆn dang 96% ` ´ ’ o o ıa e o a ınh a a nhanh (tu . . . boot virus la) [15]. Tuy nhiˆn phu.o.ng ph´p n`y c´ nhu.o.c diˆ m l` ph´.c tap trong c`i d˘t [16]. e a a o e’ a u . a a . . .