Kỹ thuật điện tử & Khoa học máy tính<br />
<br />
<br />
PH¸T HIÖN M· §éC<br />
DùA TR£N §IÖN TO¸N §¸M M¢Y<br />
NGUYÔN TIÕN XU¢N*, hoµng sü t¬ng**, NGUYÔN THANH TïNG**<br />
Tãm t¾t: Bµi viÕt nµy giíi thiÖu vÒ mét m« h×nh ph¸t hiÖn m· ®éc, uCLAVS<br />
(University of Caldas’ Antivius Service dÞch vô chèng virus cña trêng ®¹i häc<br />
Calda), mét dÞch vô ®a dông cô ®i kÌm theo c¸c bé ®Þnh d¹ng giao thøc vµ c¸c tiªu<br />
chuÈn cho c«ng nghÖ dÞch vô web, ngoµi ra cßn cã Ontology dµnh cho ph¸t hiÖn m·<br />
®éc vµ x©m nhËp ®îc miªu t¶ kÌm. uCLAVS dùa trªn ý tîng c¶i tiÕn c¸c øng dông<br />
ph©n tÝch tËp tin trªn m¸y tr¹m b»ng c¸ch chuyÓn chóng ®Õn c¸c m¹ng thay v× ch¹y<br />
c¸c phÇn mÒm phøc t¹p trªn tÊt c¶ c¸c m¸y chñ, mçi quy tr×nh sÏ nhËn ®îc mét<br />
tiÕp nhËn cña tËp tin hÖ thèng, göi chóng ®i ®ª x¸c ®Þnh xem chóng cã ®îc thùc thi<br />
hay kh«ng dùa theo c¸c b¸o c¸o kÕt qu¶ vÒ mèi ®e däa ®· cung cÊp. C¸c mÉu kÕt<br />
qu¶ thö nghiÖm ®îc ®a uCLAVS xö lý, ®iÒu nµy cã thÓ t¨ng tû lÖ ph¸t hiÖn nh÷ng<br />
tËp tin nguy hiÓm, cho phÐp x©y dùng m¸y tr¹m m¸y tr¹m máng, t¹o ®iÒu kiÖn cËp<br />
nhËt zero-day, vµ cung cÊp kh¶ n¨ng ®iÒu ra ë møc ®é cao.<br />
Tõ khãa: §iÖn to¸n ®¸m m©y, M· ®éc, Antivirus<br />
<br />
1. giíi thiÖu<br />
ViÖc ph¸t hiÖn phÇn mÒm ®éc h¹i (Malware) lµ mét trong nh÷ng th¸ch thøc an ninh<br />
hµng ®Çu, ph¬ng thøc ho¹t ®éng cña lo¹i phÇn mÒm nµy chñ yÕu dùa vµo viÖc sö dông c¸c<br />
dÊu hiÖu (signature) vµ ph¬ng ph¸p dß t×m (heuristics). §Ó hç trî cho ph¬ng thøc nµy<br />
ngêi ta thêng t¨ng ®é phøc t¹p cña c¸c phÇn mÒm ®îc thiÕt kÕ ®Ó chèng l¹i Malware,<br />
®iÒu nµy lµm t¨ng tÝnh phøc t¹p viÖc chèng virus vµ vµ gi¸n tiÕp chó träng vµo c¸c lç hæng<br />
vµ c¸c cuéc tÊn c«ng. C¸c chuÈn vÒ Malware vµ sù x©m nhËp ®îc dùa trªn nguyªn t¾c<br />
ph©n lo¹i; do ®ã chóng kh«ng ®ñ kh¶ n¨ng ®Ó hç trî cho qu¸ tr×nh x¸c ®Þnh c¸c kiÓu tÊn<br />
c«ng tèi u hay x¸c ®Þnh c¸c hµnh vi bÊt thêng cã thÓ dù ®o¸n tríc. C¸c Ontology ( b¶n<br />
thÓ häc ) cho phÐp miªu t¶ c¸c ®èi tîng, kh¸i niÖm vµ c¸c mèi quan hÖ trong mét lÜnh vùc<br />
kiÕn thøc, trong trêng hîp nµy, c¸c nguån dÊu hiÖu malware, quy t¾c ph¸t hiÖn, ph¶n øng<br />
vµ qu¸ tr×nh phßng ngõa cÇn ph¶i ®îc miªu t¶ ng÷ nghÝa nh»m thèng nhÊt c¬ së kiÕn thøc<br />
cña c¸c hÖ thèng c¬ b¶n vµ cã thÓ cung cÊp mét khung luËn ®iÓm, sù hiÓu biÕt vµ suy luËn<br />
tõ nh÷ng m« h×nh trªn ng÷ nghÜa nµy. Bµi viÕt nµy ®a ra mét cÊu tróc vÒ viÖc ph¸t hiÖn<br />
malware dùa trªn kh¸i niÖm cña b¶n thÓ häc vÒ dÞch vô Web vµ x©m nhËp ®éc h¹i (Web<br />
Services and Malware Intrusion Ontology), uCLAVS (University of Caldas’ AntiVirus<br />
Service) mét dÞch vô ®îc triÓn khai trªn ®iÖn to¸n ®¸m m©y theo c¸c bé giao thøc vµ c¸c<br />
tiªn chuÈn quy ®Þnh vÒ c«ng nghÖ dÞch vô Web ®Ó ph¸t hiÖn ra c¸c néi dung ®éc h¹i hoÆc<br />
nh÷ng hµnh vi cña mét tËp tin cha biÕt th«ng qua viÖc sö dông nhiÒu c«ng cô thùc hiÖn<br />
chiÕn lîc ph©n tÝch kh«ng ®ång nhÊt. PhÇn 2 cung cÊp nh÷ng ®¸nh gi¸ ban ®Çu vÒ ®Ò tµi<br />
vµ nh÷ng ®ãng gãp quan träng liªn quan; PhÇn 3 miªu t¶ c¸c kiÕn tróc, m« h×nh, triÓn khai<br />
dÞch vô, cuèi cïng tr×nh bµy mét sè nh÷ng ph¸t hiÖn ban ®Çu vÒ m« h×nh mÉu thö nghiÖm<br />
cïng víi thiÕt kÕ c¬ b¶n cña nã; PhÇn 4 nãi vÒ c¸c Ontology ®Þnh nghi· vÒ viÖc ph¸t hiÖn<br />
malware/x©m nhËp vµ c¸c c¸ch phßng ngõa. KÕt qu¶ ®îc chøng minh trong phÇn . Cuèi<br />
cïng lµ phÇn kÕt luËn chung vµ nh÷ng híng ph¸t triÓn trong t¬ng l¹i ®îc nhÊn m¹nh ë<br />
trong phÇn 6.<br />
2. nh÷ng nghiªn cøu tríc<br />
ViÖc ph¸t hiÖn malware trong dÞch vô ®iÖn to¸n ®¸m m©y ®· ®îc giíi thiÖu rÊt kÜ<br />
trong [1], nhng hÖ thèng läc cho e-mail vµ giao thøc HTTP ®îc triÓn khai trong ®¸m<br />
<br />
<br />
<br />
64 N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc… điện toán đám mây.”<br />
Nghiên cứu khoa học công nghệ<br />
<br />
m©y ®· trë nªn phæ biÕn tõ vµi n¨m tríc. [2] cho thÊy mét d¹ng cña dÞch vÞ b¶o vÖ . C¸c<br />
c«ng cô ®îc liÖt kª trong giao thøc ICAP nh dÞch vô chèng virus (ch¹y trªn cïng mét<br />
m¸y) cã thÓ lµm viÖc nh mét m¸y quÐt ®a c«ng dông gióp cho viÖc ph¸t hiÖn virus tõ e-<br />
mail, web vµ proxy server.<br />
HÖ thèng b¶o vÖ ®a c«ng cô kh«ng ®ång nhÊt sö dông c«ng nghÖ nhËn biÕt vµ ph©n tÝch<br />
trong ph¬ng thøc kh«ng ®ång nhÊt sÏ cho ra mét ®¸nh gi¸ tèt h¬n vÒ viÖc ®Æc tÝnh hãa c¸c<br />
tËp tin cã h¹i.<br />
C¸c tiªu chuÈn cho kh¸i niªm ®¹i diÖn vµ Ontology trong hÖ thèng ph¸t hiÖn x©m nhËp<br />
biÓu thÞ mét nç lùc kh«ng dùa trªn mét c¬ së ch¾c ch¾n,vÝ dô nh IDMEF (Intrusion<br />
Detection Message Exchange Format) vµ CIDF (The Common Intrusion Detection<br />
Framework) [3] ®Þnh nghÜa c¸c API vµ c¸ch giao thøc cho c¸c dù ¸n nghiªn cøu vÒ sù ph¸t<br />
hiÖn x©m nhËp mµ cã thÓ chia sÎ th«ng tin vµ tµi nguyª, còng nh c¸c thµnh phÇn cã thÓ bÞ<br />
tõ chèi b»ng c¸ch x©y dùng mét m« h×nh ®¹i diÖn dùa trªn có ph¸p XML. Nghiªn cøu ®îc<br />
triÓn khai trong [ 4 ] ®· x¸c ®Þnh mét môc tiªu Ontology cho phÇn ph¸t hiÖn x©m nhËp, ®©y<br />
lµ mét ph¬ng thøc hoµn toµn míi mµ trong ®ã Ontology ®îc sö dông ®Ó miªu t¶ vµ gióp<br />
hiÓu râ thªm vÒ c¸c cuéc tÊn c«ng. Nh÷ng nghiªn cøu nµy nh»m x¸c ®Þnh mét träng t©m<br />
Ontology DAML-OIL (DARPA Agent Markup Language + Ontology Interface) dùa trªn<br />
ph¬ng thøc ph©n lo¹i truyÒn thèng chuyÓn hãa theo m« h×nh ng÷ nghÜa häc. C¸c cuéc<br />
®iÒu tra ®îc thùc hiÖn trong [5] tÝch hîp t¬ng t¸c vµ c¸c ®Æc tÝnh cña Ontology ®îc lÊy<br />
ra tõ nghÜa cña centric-attack Ontology mµ cung cÊp nh÷ng dÊu hiÖu mµ khíp víi cÊu tróc<br />
d÷ liÖu trong cña c«ng cô ph¸t hiÖn tÊn c«ng m¹ng Snort. Trong [6] ®· ph¸t triÓn mét<br />
Ontology vÒ phÇn ph¸t hiÖn vµ phßng chèng m· ®éc, ngoµi ra cßn më réng Ontology nµy<br />
®Ó tÝch hîp dÊu hiÖu m· ®éc dùa trªn kÕt qu¶ tõ c¸c c«ng cô g¾n liÒn trong cÊu tróc<br />
uCLAVS.<br />
3. sö dông ®iÖn to¸n ®¸m m©y ®Ó ph¸t hiÖn m· ®éc<br />
Mét phÇn mÒm ph©n tÝch ®éc h¹i dïng ®Ó x¸c ®Þnh mét hÖ thèng code cã kh¶ n¨ng thùc<br />
hiÖn mét cuéc tÊn c«ng trªn hÖ thèng m¸y tÝnh [7]. §Ó thùc hiÖn ®îc ®iÒu nµy th× c¸c gi¶i<br />
ph¸p hiÖn nay nh ch¬ng tr×nh diÖt virus chñ yÕu sö dông viÖc ph©n tÝch tÜnh dùa trªn dÊu<br />
hiÖu vµ ®¸nh gi¸ qua thö nghiÖm [8], gÇn ®©y cã mét sè kü thuËt ¸p dông viÖc ph©n tÝch<br />
®éng vµ mét sè chÝnh s¸ch phßng ngù t¬ng tù kh¸c. Mét ®iÓm chung trong viÖc ph¸t hiÖn<br />
c¸c m· ®éc h¹i lµ sù tån t¹i cña mét øng dông m¸y chñ sö dông nh÷ng thuËt to¸n ®Æc biÖt<br />
®Ó t×m ra nh÷ng phÇn mÒm ®éc h¹i. Ho¹t ®éng cña nh÷ng c«ng cô nµy thêng ®îc tËp<br />
trung vµo viÖc ph©n tÝch c¸c file cã thÓ ch¹y ®îc tõ bªn ngoµi diÔn ra chñ yÕu trong<br />
kho¶ng thêi gian truy cËp vµ theo yªu cÇu.<br />
C¸c hÖ thèng an ninh ph¶i ®îc më réng ®Ó chøa mét sè lîng lín c¸c client. Mét hÖ<br />
thèng ®a dông cô dùa trªn dÞch vô ph©n tÝch tËp tin lµ mét hÖ thèng ®iÒu khiÓn tõ xa cã thÓ<br />
x¸c ®Þnh néi dung hoÆc hµnh vi cña mét tËp tin kh«ng tªn th«ng qua viÖc ph©n tÝch cña<br />
nhiÒu c«ng cô ( chèng virus) thùc hiÖn chÝnh s¸ch kh«ng ®ång nhÊt. uCLAVS lµ mét hÖ<br />
thèng ®a c«ng cô ho¹t ®éng dùa trªn dÞch vô ph©n tÝch tÖp tin ®îc thùc hiÖn trªn ®iÖn to¸n<br />
®¸m m©y th«ng qua c¸c bé giao thøc vµ c¸c tiªu chuÈn cho dÞch vô web. Chøc n¨ng cña<br />
dÞch vô ph¶i ®¬n gi¶n vµ thiÕt thùc : x¸c ®Þnh mét tËp tin chøa m· ®éc th«ng qua viÖc ph©n<br />
tÝch tõ xa ®îc thùc hiÖn bëi nhiÒu c«ng cô.<br />
W3C-HiÖp héi web toµn thÕ giíi ®Þnh nghÜa mét dÞch vô web lµ “….Mét dÞch vô Web<br />
lµ mét hÖ thèng phÇn mÒm ®îc nhËn d¹ng b»ng mét URI (Uniform Resource Identifier),<br />
mµ c¸c giao diÖn chung vµ sù g¾n kÕt cña nã ®îc ®Þnh nghÜa vµ m« t¶ b»ng XML. §Þnh<br />
nghÜa cña nã cã thÓ ®îc nhËn ra b»ng c¸c hÖ thèng phÇn mÒm kh¸c. C¸c hÖ thèng nµy sau<br />
®ã cã thÓ t¬ng t¸c víi dÞch vô Web theo ph¬ng c¸ch ®îc m« t¶ trong ®Þnh nghÜa cña nã,<br />
sö dông c¸c th«ng ®iÖp theo XML ®îc chuyÓn b»ng c¸c giao thøc Internet.“(W3C 2007)<br />
Mét dÞch vô Web hoµn thiÖn lµ mét dÞch vô tu©n theo nh÷ng quy t¾c sau:<br />
Cã thÓ ch¹y trªn web<br />
<br />
<br />
<br />
Tạp chí Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 65<br />
Kỹ thuật điện tử & Khoa học máy tính<br />
<br />
Sö dông c¸c chuÈn XML ®Ó trao ®æi th«ng ®iÖp.<br />
Kh«ng g¾n liÒn víi ng«n ng÷ lËp tr×nh hoÆc hÖ ®iÒu hµnh.<br />
Nã cã kh¶ n¨ng tù m« t¶ .<br />
C¸c dÞch vô Web thùc hiÖn kiÕn tróc ®Þnh híng dÞch vô (SOA service-oriented<br />
architecture) ®a ra mét thùc hiÖn ®éng, kÕt nèi “mÒm dÎo” vµ øng dông ph©n t¸n. SOA cã<br />
ba vai trß chÝnh: nhµ cung cÊp dÞch vô, ngêi tiªu dïng vµ nhµ m«i giíi. C¸c chøc n¨ng<br />
chÝnh vµ c¸c thµnh phÇn ®îc sö dông trong m« t¶ vÒ kiÕn tróc còng ®îc ph©n chia t¬ng<br />
tù nh vËy.<br />
<br />
<br />
<br />
<br />
H×nh 1. S¬ ®å bèi c¶nh cho uCLAVS.<br />
C¸c tiÖn Ých chÝnh cña CLAVS:<br />
§¨ng t¶i MÉu (file)<br />
Ph©n tÝch quÐt (hash)<br />
LÊy ph©n tÝch quÐt (hash)<br />
<br />
C¸c chøc n¨ng ®îc thiÕt kÕ ®Ó t¸ch c¸c chøc n¨ng dïng ®Ó ph¸t hiÖn cña nhµ cung cÊp<br />
dÞch vô, vµ ngêi dïng dùa vµo nh÷ng kÕt qu¶ thu ®îc ®Ó ®a ra nh÷ng quyÕt ®Þnh.<br />
uCLAVS cung cÊp nh÷ng chøc n¨ng t¬ng øng víi mét s¶n phÈm chèng phÇn mÒm ®éc<br />
h¹i trªn m¸y tr¹m, viÖc thùc hiÖn nµy sÏ ph¶i tu©n theo mét sè ®iÒu kho¶n bæ tóc ®Æc trng<br />
cho tÝnh chÊt cña dÞch vu trong ®¸m m©y . §èi víi c¸c dÞch vô ch«ng phÇn mÒm ®éc h¹i,<br />
chóng ph¶i ®¸p øng mét sè yªu cÇu nh sau:<br />
Hç trî cho nhiÒu c«ng cô ph©n tÝch. ThiÕt bÞ cho phÐp sö dông nhiÒu c«ng cô<br />
b¶o vÖ song song sö dông c¸c ph¬ng ph¸p vµ kü thuËt kh«ng ®ång nhÊt ®Ó<br />
ph¸t hiÖn phÇn mÒm ®éc h¹i.<br />
Th«ng b¸o. Khi mét tËp tin ®îc cho r»ng lµ cã kh¼ n¨ng nguy hiÓm th× dÞch vô<br />
ph¶i cung cÊp cho ngêi dïng nh÷ng th«ng tin cÇn thiÕt ®Ó nhËn biÕ vµ ®a ra<br />
nh÷ng quyÕt ®Þnh ®óng ®¾n.<br />
Thu thËp th«ng tin. TÊt c¶ c¸c ho¹t ®éng cña dÞch vô ph¶i ®îc thu thËp víi<br />
môc ®Ých ph©n tÝch vµ qu¶n lý.<br />
DÞch vô qu¶n lý. Ph¶i cung cÊp c¬ chÕ ®Ó cÊu h×nh vµ qu¶n lý dÞch vô.<br />
Hai khÝa c¹nh quan träng lµm uCLAVS trë thµnh mét sù lùa chän bæ sung ®Ó c¶i thiÓn<br />
phÇn mÒm ph¸t hiÖn m· ®éc tù ®éng lµ b¶n chÊt cña dÞch vô Web vµ kh¶ n¨ng ph©n tÝch<br />
tËp tin b»ng c¸ch sö dông nhiÒu c«ng cô b¶o vÖ díi mét m« h×nh ®îc gäi lµ n-protection<br />
(b¶o vÖ ®a líp).<br />
Multi-Engine<br />
Mét trong nh÷ng träng t©m chÝnh cña viÖc triÓn khai nµy lµ kh¶ n¨ng sù dông nhiÒu<br />
c«ng cô b¶o mËt ¸p dông ph¬ng ph¸p vµ kü thuËt kh«ng ®ång nhÊt ®Ó ph¸t hiÖn phÇn<br />
mÒm ®éc h¹i, m« h×nh nµy ®îc gäi lµ b¶o vÖ ®a phiªn b¶n (N-version protection) [1] dùa<br />
trªn kh¸i niÖm lËp tr×nh ®a phiªn b¶n trong ®ã ®Ò xuÊt viÖc t¹o ra nhiÒu phiªn b¶n cña mét<br />
øng dông ®Ó so s¸nh c¸c kÕt qu¶ ®Çu ra cña chóng vµ tõ ®ã ®¶m b¶o ho¹t ®éng phï hîp .<br />
<br />
<br />
<br />
66 N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc… điện toán đám mây.”<br />
Nghiên cứu khoa học công nghệ<br />
<br />
Ph¬ng thøc nµy triÓn khai cña mét øng dông Web b»ng c¸ch sö dông c«ng nghÖ hiÓn thÞ<br />
mµn h×nh vµ nh÷ng nÒn t¶ng kh¸c, nh»m môc ®Ých so s¸nh kÕt qu¶ cã ®îc, biÓu thÞ trong<br />
HTML, ®Ó ®¶m b¶o cho hÖ thèng ho¹t ®éng phï hîp.<br />
<br />
<br />
<br />
<br />
H×nh 2. KiÕn tróc thµnh phÇn cña uCLAVS.<br />
C¸c thµnh phÇn bao gåm :<br />
Proxy SOAP : Proxy SOAP chÞu tr¸ch nhiÖm s¾p xÕp thø tù/ hñy bá thø tù c¸c th«ng<br />
®iÖp uCLAVS trao ®æi gi÷a ngêi tiªu dïng vµ kh¸ch hµng cña hä sao cho viÖc triÓn khai<br />
cã thÓ sù dông c¸ch dÔ hiÓu nhÊt.<br />
§iÒu phèi (Dispatcher): Yªu cÇu ®iÒu phèi ®ãng mét vai trß quan träng trong cÊu tróc,<br />
chøc n¨ng gièng nh mét hµng ®éi cho phÐp viÖc qu¶n lý c¸c yªu cÇu dÞch vô ®Çu vµo,<br />
trong khi b¸o c¸o cho Event Log.<br />
Hµng ®îi (queue). Hµng ®îi trong kiÕn tróc lµ mét cÊu tróc d÷ liÖu dïng ®Ó chøa c¸c<br />
®èi tîng lµm viÖc theo c¬ chÕ “vµo tríc ra tríc”,<br />
DÞch vô lu tr÷ (Storage Service). uCLAVS cung cÊp mét giao diÖn ®¬n gi¶n, sö dông<br />
dÞch vô Web ®Ó lu tr÷ vµ lÊy bÊt kú sè lîng d÷ liÖu, bÊt cø lóc nµo, tõ bÊt cø ®©u trªn<br />
Web.<br />
Ph©n tÝch dÞch vô (Service Analysis). X¸c ®Þnh mét giao diÖn dÞch vô Web mµ yªu cÇu<br />
ph©n tÝch mét tËp tin cã thÓ chøa m· ®éc, c¸c c«ng cô sÏ lÊy d¹ng hash cña tËp tin ®Ó ®a<br />
ra ph©n tÝch.<br />
Ph©n tÝch ®iÒu vËn truy vÊn (Analysis Query Dispatcher _AQD): Nã ho¹t ®éng gièng<br />
nh c¸c ®iÒu phèi, chøc n¨ng cña nã lµ cung cÊp vµ qu¶n lý nhu cÇu cña c¸c c«ng cô.<br />
Adjudicator: cã tr¸ch nhiÖm gi¸m s¸t ho¹t ®éng cña c«ng cô.<br />
C«ng cô (Engines): uCLAVS sö dông 5 c«ng cô kh¸c nhau ®ã lµ Clamv, F-Prot, Avast,<br />
BitDefender, Kaspersky.<br />
Proxy Agent : chÞu tr¸ch nhiÖm truyÒn kiÕn tróc vµ dÞch vô ®îc cung cÊp bëi c¸c dÞch<br />
vô ®¹i lý bªn ngoµi.<br />
ChÝnh s¸ch qu¶n lý mèi ®e däa (Policy Manager Threat): cã tr¸ch nhiÖm cung cÊp c¸c<br />
b¸o c¸o cuèi cïng cña c¸c mèi ®e däa.<br />
Retrospective Detection: NhÊn m¹nh nh÷ng virus kh«ng cã trong c¬ së d÷ liÖu, còng<br />
nh viÖc chóng ta ph©n tÝch c¸c tËp tin ®¸ng nghi nhng kh«ng ®Æt møc ®é c¶nh b¶o th×<br />
vÉn coi lµ ®éc h¹i cao hoÆc kh«ng.<br />
Log Events (ghi sù kiÖn ) cã tr¸ch nhiÖm kiÓm so¸t truy cËp cña nguwoif dïng kh¸c<br />
nhau ®Ó triÓn khai viÖc sö dông c¸c dÞch vô cña uCLAVS.<br />
Administration Manager: cung cÊp mét giao diÖn ®Ó qu¶n lý tÊt c¶ c¸c quy tr×nh nªu<br />
trªn.<br />
<br />
<br />
<br />
<br />
Tạp chí Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 67<br />
Kỹ thuật điện tử & Khoa học máy tính<br />
<br />
<br />
<br />
<br />
H×nh 3. uCLAVS vai trß t¬ng t¸c bèi c¶nh.<br />
§Ó thùc hiÖn dÞch vô uCLAVs sö dông ng«n ng÷ PERL gãi SOAP::Lite cã s½n tõ<br />
CPAN. SOAP::Lite lµ mét tËp hîp c¸c m«-®un Perl cung cÊp mét API dung lîng nhá ®Ó<br />
sù dông m¸y tr¹m vµ m¸y chñ SOAP. ViÖc xö lý c¸c yªu cÇu lµ tr¸ch nhiÖm cña<br />
Distpacher vµ ®îc tãm t¾t nh sau:<br />
<br />
<br />
<br />
<br />
Mét ®o¹n m· ®¬n gi¶n díi ®©y cho thÊy sù tÝch hîp mét c«ng cô chèng virus miÔn phÝ<br />
®îc nhóng vµo phiªn b¶n cña uCLAVS.<br />
<br />
<br />
<br />
<br />
Mét vÝ dô vÒ m« t¶ dÞch vô cho qu¸ tr×nh "doScannerAnalysisiResponse" ®îc thÓ hiÖn<br />
trong c¸c m« t¶ dÞch vô Web sau ®©y:<br />
<br />
<br />
<br />
<br />
68 N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc… điện toán đám mây.”<br />
Nghiên cứu khoa học công nghệ<br />
<br />
<br />
<br />
<br />
H×nh 4. M« h×nh mèi quan hÖ cña c¸c tÖp tin meta-info.<br />
4. ontology<br />
HiÖn nay, nhiÒu tiªn ®Ò vµ quy t¾c m« t¶ c¸c lo¹i tÊn c«ng tæng céng 25 lo¹i x©m nhËp<br />
cã ®îc th«ng qua thuËt to¸n ph©n côm ¸p dông (K-Means), ®îc m« t¶ trong [6] vµ gÇn<br />
4800 trêng hîp trong Ontology. Ng«n ng÷ OWL ®îc sö dông ®Ó thiÕt kÕ vµ thùc hiÖn<br />
c¸c Ontology, mét trong nh÷ng ¶nh hëng quan träng nhÊt trong thiÕt kÕ OWL cã nguån<br />
gèc tõ DAML+OIL vµ RDF/XML. §Ó thiÕt lËp c¸c quy t¾c trªn Ontology cÇn ph¶i sö dông<br />
®Õn SWRL (Semantic Web Rule Language). SWRL lµ tËp con cña ng«n ng÷ OWL nªn nã<br />
thêng ®îc biÓu diÔn cïng c¸c Ontology trong mét tËp tin OWL. Mét quy t¾c SWRL bao<br />
gåm phÇn tiªn ®Ò ®Ó miªu t¶ body, phÇn hÖ qu¶ vµ phÇn head. PhÇn d÷ liÖu th« ®îc<br />
chuyÓn ®æi sang XML råi xö lý cho thùc thÓ OWL; H¬n n÷a Ontology ®îc cËp nhËt tõ<br />
c©u SPARQL. Sau ®ã Ontology miªu t¶ c¸c dÊu hiÖu cho tÊn c«ng ®· biÕt ( x©m nhËp<br />
m¹ng va ph¸t hiÖn m· ®éc) vµ nh÷ng tÊn c«ng míi, hµnh v× th«ng minh sö dông m« h×nh<br />
suy luËn vµ c¸c lËp luËn tÝch hîp c¸c tÕ bµo m¹ng trong hÖ thèng multi-agent, gi¶i ph¸p<br />
nµy ®· ®îc m«t tr¶ chi tiÕt trong [6]; ®iÒu nµy cung cÊp mét m« h×nh Ontology cho c¸c<br />
quy t¾c ph¶n øng t¹o ra hÖ thèng phßng chèng. §èi víi Ontology nµy c¸c nguyªn t¾c ®îc<br />
x¸c ®Þnh cho phÐp c¸c phÐp tÝnh suy luËn vµ qu¸ tr×nh lý luËn. C¸c hµnh vi m· ®éc<br />
(malware-behaviour) ®îc coi nh mét thuéc tÝnh cña Ontology, tõ c¸c thùc thÓ tÊn c«ng<br />
®îc ph¸t hiÖn vµ xö lý b»ng c¸ch sö dông c¸c c«ng cô ph¸t hiÖn nhóng trong kiÕn tróc<br />
uCLAVS, ®Ó x¸c ®Þnh lo¹i x©m nhËp. Tiªn ®Ò m« t¶ RootAccess:<br />
<br />
<br />
<br />
<br />
Tạp chí Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 69<br />
Kỹ thuật điện tử & Khoa học máy tính<br />
<br />
<br />
<br />
<br />
Ngoµi ra, c¸c chøc n¨ng t¬ng quan sö dông Ontology vµ hÖ thèng multi-agent ®îc<br />
nãi râ ë [11] gi¶i thÝch vÒ viÖc tÝch hîp c¸c m« h×nh ng÷ nghÜa trong MAS vµ mèi quan hÖ<br />
dùa trªn kü thuËt t¬ng tù c¸c thuéc tÝnh.<br />
5. KÕT qu¶<br />
ViÖc thùc nghiÖm ®· ®îc tiÕn hµnh víi kho¶ng 1.2 triÖu mÉu vµ kho¶ng 25.000 m·<br />
®éc trong tæng sè 31 nhãm. H×nh 5 cho thÊy tû lÖ ph¸t hiÖn phÇn mÒm m· ®éc vµo kho¶ng<br />
85%-95%, uCLAVS sö dông kiÕn tróc dùa trªn nhiÒu c«ng cô vµ ®Æc tÝnh gi¶m g¸nh nÆng<br />
cho kh¸ch hµng , tû lÖ ph¸t hiÖn ®¹t tíi gÇn 97% trong lÇn thö nghiÖm ®Çu tiªn. B¶ng 1 vµ<br />
h×nh 6 cho thÊy tØ lÖ ph¸t hiÖn cña 6 ch¬ng tr×nh chèng virus phæ biÕn nhÊt vµ uCLAVS<br />
dùa trªn thêi gian quÐt c¸c mÉu m· ®éc lµ 1 tuÇn vµ 1 th¸ng.<br />
<br />
<br />
<br />
<br />
H×nh 5. TØ lÖ ph¸t hiÖn cña uCLAVS vµ c¸c c«ng cô chèng m· ®éc kh¸c.<br />
B¶ng 1. Tû lÖ ph¸t hiÖn dùa trªn thêi gian quÐt c¸c m· ®éc trªn c¸c nÒn chèng<br />
virus kh¸c nhau.<br />
AntiVirus 1 th¸ng 1 tuÇn<br />
Avast 54,2% 51,1%<br />
AVG 84,4% 82,2%<br />
BitDefender 81,2% 79,3%<br />
ClamAV 56,7% 54,2%<br />
F-Prot 53,4% 51,2%<br />
Kaspersky 89,1% 86,8%<br />
uCLAVS 97,07% 93,4%<br />
<br />
<br />
<br />
<br />
70 N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc… điện toán đám mây.”<br />
Nghiên cứu khoa học công nghệ<br />
<br />
<br />
<br />
<br />
H×nh 6. Tû lÖ ph¸t hiÖn m· ®éc vµ thêi gian quÐt m· ®éc<br />
trªn c¸c c¬ chÕ chèng virus kh¸c nhau.<br />
<br />
<br />
<br />
<br />
H×nh 7. a) PhÇn tr¨m ph¸t hiÖn vµ sè lîng c¶nh b¸o<br />
b) Network overload.<br />
ViÖc tÝch hîp Ontology cho ra ®êi M« h×nh ph¸t hiÖn th©m nhËp hoµn thiÖn trong h×nh<br />
7(a) cho thÊy tû lÖ phÇn tr¨m so víi IDS kh¸c cã s¸u bé c¶m biÕn ;HiÖu suÊt nµy cã thÓ c¶i<br />
tiÕn bëi sù tÝch hîp kh¶ n¨ng nhËn biÕt, ph©n lo¹i vµ m« h×nh suy luËn. Ngoµi ra, viÖc t¾c<br />
nghÏn m¹ng ®îc gi¶m thiÓu b»ng viÖc sö dông hÖ thèng multi-agent vµ kÕt hîp víi OWL<br />
nhóng trong th«ng ®iÖp ®Ó trao ®æi th«ng tin gi÷a c¸c gi÷a c¸c c«ng cô nh h×nh 7(b).<br />
Snort ®îc sö dông cho c¸c tiªu chuÈn IDS ®Ó so s¸nh kÕt qu¶ ®¹t ®îc nhiÒu bé c¶m biÕn.<br />
6. KÕT luËn<br />
Bµi viÕt nµy tr×nh bµy kiÕn tróc cña mét dÞch cô ®îc triÓn khai trong ®iÖn to¸n ®¸m<br />
m©y ®îc gäi lµ uCLAVS. §Þnh nghÜa vÒ kiÕn tróc ®îc sö dông trong c«ng nghÖ dùa trªn<br />
dÞch vô Web ®Ó x¸c ®Þnh mét liªn kÕt truyÒn th«ng b»ng c¸ch sö dông nh÷ng tiªu chuÈn<br />
kh¸c nhau theo W3C vµ c¸c tÝch hîp Ontology cho viÖc ph¸t hiÖn phÇn mÒm ®éc h¹i vµ<br />
x©m nhËp cho phÐp c¸c m¸y tr¹m kh¸c nhau thùc hiÖn (linuCLAVS vµ WinuCLAVS) truy<br />
cËp dÞch vô th«ng qua c¸c tiªu chuÈn XML, sö dông SOAP. uCLAVS sö dông c«ng cô<br />
quÐt kh¸c nhau cã tØ lÖ ph¸t hiÖn m· ®éc lµ trªn 97%, cao h¬n bÊt k× c«ng cô kh¸c ®îc sö<br />
dông trong c¸c dÉn chøng cña kh¸i niÖm: Clamv, F-Prot, Avast, BitDefender, Kaspersky.<br />
TµI LIÖU THAM KH¶O<br />
[1]. J. Oberheide, E. Cooke, and F. Jahanian: “CloudAV: N-Version Antivirus in the<br />
Network Cloud.” En Proceedings of the 17th USENIX Security Symposium<br />
(Security'08). San Jose, CA. . 2008<br />
[2]. S. Link. Server-based Virus-protection On Unix/Linux. University of Applied<br />
Sciences Furtwangen. http://www.openantivirus.org/diploma-thesis.pdf., 2008<br />
<br />
<br />
<br />
<br />
Tạp chí Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 71<br />
Kỹ thuật điện tử & Khoa học máy tính<br />
<br />
[3]. S. Al-Mamory and H. Zhang, “Intrusion detection alarms reduction using root cause<br />
analysis and clustering”, Butterworth-Heinemann. PP. 419-430, 2009<br />
[4]. J. Undercoffer, T. Finin, A. Joshi, and J. Pinkston, “A target centric ontology for<br />
intrusion detection: using DAML+OIL to classify intrusive behaviors. Knowledge<br />
Engineering Review - Special Issue on Ontologies for Distributed Systems”,<br />
Cambridge University Press., PP. 2-22, 2005<br />
[5]. S. Mandujano, A. Galvan, and J. Nolazco, “An ontology-based multiagent approach<br />
to outbound intrusion detection in Computer Systems and Applications”, 2005. The<br />
3rd ACS/IEEE International Conference on Security. PP 94, 2005<br />
[6]. G. Isaza, A. Castillo, M. Lopez, and L. Castillo, “Towards Ontology-based intelligent<br />
model for Intrusion Detection and Prevention”. in 2nd CISIS'09, pp.109-116, 2009<br />
[7]. R. Dalla, “Code Obfuscation and Malware Detection by Abstract Interpretation.”,<br />
Ph.D. Thesis, Universitµ degli Studi di Verona. PP. 127, 2007<br />
[8]. P. Szor, “The Art of Computer Virus Research and Defense (illustrated edition.).”.<br />
Addison-Wesley Professional. PP 245-252 , 2005<br />
[9]. M. Papazoglou: Web Services: Principles and Technology (1o ed.). Prentice Hall. ,<br />
PP. 22, 2007<br />
[10].E. Friedman-Hill and L. Sandia. Jess, “The Rule Engine for Java Platform.”<br />
Consulted: 2009; http://www.jessrules.com/jess/docs/index.shtml, 2009<br />
[11].G. Isaza, A. Castillo, M. Lopez, L. Castillo, et al. “Intrusion Correlation using<br />
Ontologies and Multiagent Systems”. S.K. Bandyopadhyay et al. (Eds.): ISA 2010,<br />
CCIS 76, pp. 51–63, 2010. Springer-Verlag Berlin Heidelberg 2010The 4th<br />
International Conference on Information Security and Assurance (ISA 2010). In<br />
Miyazaki, Japan. June 2010.<br />
Abstract<br />
Malware detection base on cloud computing<br />
This paper introduces a model for malware detection, uCLAVS (University of<br />
Caldas' Antivius Service) anti-virus service of the University Calda, a multi-service<br />
tools accompanying the delivery format topology and technology standards for web<br />
services, in addition Ontology for malware detection and intrusion are described<br />
together. uCLAVS ideas based on innovative the analysis application on the<br />
workstation files by moving them to the network instead of running complex<br />
software on all servers, each process will receive a receipt of collective information<br />
systems, sending them to determine whether they have been implemented or not<br />
based on the statement of the threat has to offer. The sample test results taken<br />
uCLAVS processor, this can increase the detection rate of malicious files, allowing<br />
the construction of thin client workstations, enabling zero-day update, and provides<br />
that the energy high level.<br />
Keywords: Cloud computing, Malware, Antivirus.<br />
<br />
Nhận bài ngày 03 tháng 05 năm 2014<br />
Hoàn thiện ngày 06 tháng 07 năm 2014<br />
Chấp nhận đăng ngày 28 tháng 07 năm 2014<br />
<br />
<br />
§Þa chØ: * Trêng §¹i Häc Kü ThuËt hËu cÇn C«ng an nh©n d©n<br />
** Häc viÖn kü thuËt mËt m· - Ban c¬ yÕu chÝnh phñ<br />
<br />
<br />
<br />
<br />
72 N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc… điện toán đám mây.”<br />