Luận văn Thạc sĩ: Nghiên cứu phương pháp phát hiện tiến trình bất thường trên máy người dùng

Trong bối cảnh mối đe dọa an ninh mạng ngày càng tinh vi, việc đảm bảo an ninh hệ thống trên máy người dùng trở thành ưu tiên hàng đầu. Các tiến trình bất thường chạy trên máy tính cá nhân không chỉ gây suy giảm hiệu suất mà còn tiềm ẩn nguy cơ rò rỉ dữ liệu, chiếm quyền điều khiển và lây nhiễm mã độc. Mặc dù các giải pháp bảo mật truyền thống đã được triển khai, khả năng phát hiện sớm và chính xác các hành vi đáng ngờ của tiến trình vẫn còn nhiều thách thức. Luận văn này tập trung vào nghiên cứu và phát triển các phương pháp hiệu quả để phát hiện tiến trình bất thường, từ đó nâng cao khả năng phòng thủ và bảo vệ tài nguyên máy tính của người dùng trước các mối nguy hại tiềm tàng.

Nghiên cứu sinh, kỹ sư an ninh mạng, quản trị hệ thống, chuyên gia bảo mật và các nhà phát triển phần mềm quan tâm đến lĩnh vực phát hiện mối đe dọa trên endpoint và bảo mật hệ điều hành.

Luận văn này trình bày một nghiên cứu toàn diện về các phương pháp phát hiện tiến trình bất thường trên máy người dùng, với mục tiêu tăng cường an ninh hệ thống. Bắt đầu bằng tổng quan về hệ điều hành Windows và Linux cùng các khái niệm cơ bản về tiến trình, công trình đi sâu vào việc mô tả cấu trúc và hoạt động của chúng. Phần trọng tâm của nghiên cứu là phân tích chi tiết các công cụ và kỹ thuật thu thập dữ liệu tiến trình trên cả hai nền tảng, bao gồm Process Monitor, Sysmon cho Windows và các công cụ như PS, Top, XOS View, TreePS cho Linux, nhấn mạnh khả năng giám sát tiến trình và lọc thông tin hiệu quả. Nghiên cứu cũng định nghĩa rõ ràng thế nào là tiến trình bất thường và tiến trình độc, nhận diện các đặc điểm nhận biết như thiếu icon, thông tin mô tả, ký tên đáng tin cậy, sự hiện diện của các DLL hoặc dịch vụ khả nghi, và các URL lạ trong chuỗi. Dựa trên cơ sở này, luận văn đề xuất một quy trình cài đặt và thử nghiệm hệ thống phát hiện mã độc sử dụng các công cụ thu thập và giám sát, tích hợp với cơ sở dữ liệu MongoDB và truy vấn bằng Python. Các thực nghiệm và đánh giá được thực hiện nhằm chứng minh tính hiệu quả của phương pháp trong việc xác định các hành vi đáng ngờ. Công trình mang lại giá trị ứng dụng cao trong việc xây dựng các giải pháp an ninh mạng chủ động, giúp phát hiện sớm và ngăn chặn các mối đe dọa từ mã độc và các hoạt động độc hại, góp phần bảo vệ môi trường làm việc kỹ thuật số an toàn hơn cho máy người dùng.