Phát hiện mã độc dựa trên điện toán đám mây
Tóm tắt: Bài viết này giới thiệu về một mô hình phát hiện mã độc, uCLAVS
(University of Caldas’ Antivius Service dịch vụ chống virus của trờng đại học
Calda), một dịch vụ đa dụng cụ đi kèm theo các bộ định dạng giao thức và các tiêu
chuẩn cho công nghệ dịch vụ web, ngoài ra còn có Ontology dành cho phát hiện mã
độc và xâm nhập đợc miêu tả kèm. uCLAVS dựa trên ý tợng cải tiến các ứng dụng
phân tích tập tin trên máy trạm bằng cách chuyển chúng đến các mạng thay vì chạy
các phần mềm phức tạp trên tất cả các máy chủ, mỗi quy trình sẽ nhận đợc một
tiếp nhận của tập tin hệ thống, gửi chúng đi đê xác định xem chúng có đợc thực thi
hay không dựa theo các báo cáo kết quả về mối đe dọa đã cung cấp. Các mẫu kết
quả thử nghiệm đợc đa uCLAVS xử lý, điều này có thể tăng tỷ lệ phát hiện những
tập tin nguy hiểm, cho phép xây dựng máy trạm máy trạm mỏng, tạo điều kiện cập
nhật zero-day, và cung cấp khả năng điều ra ở mức độ cao.
Tóm tắt nội dung tài liệu: Phát hiện mã độc dựa trên điện toán đám mây
PHÁT HIỆN MÃ ĐỘC DƯA TRấN ĐIỆN TOÁN ĐÁM MÂY NGUYỄN TIẾN XUÂN*, HOÀNG SỸ TUƠNG**, NGUYEN thanh tựng** Túm tắt: Bài viết này giới thiệu về một mụ hỡnh phỏt hiện mó độc, uCLAVS (University of Caldas’ Antivius Service dịch vụ chống virus của trường đại học Calda), một dịch vụ đa dụng cụ đi kốm theo cỏc bộ định dạng giao thức và cỏc tiờu chuẩn cho cụng nghệ dịch vụ web, ngoài ra cũn cú Ontology dành cho phỏt hiện mó độc và xõm nhập được miờu tả kốm. uCLAVS dựa trờn ý tượng cải tiến cỏc ứng dụng phõn tớch tập tin trờn mỏy trạm bằng cỏch chuyển chỳng đến cỏc mạng thay vỡ chạy cỏc phẫn mềm phức tạp trờn tất cả cỏc mỏy chủ, mỗi quy trỡnh sẽ nhận được một tiếp nhận của tập tin hệ thống, gửi chỳng đi đờ xỏc định xem chỳng cú được thực thi hay khụng dựa theo cỏc bỏo cỏo kết quả về mối đe dọa đó cung cấp. Cỏc mẫu kết quả thử nghiệm được đưa uCLAVS xử lý, điều này cú thể tăng tỷ lệ phỏt hiện những tập tin nguy hiểm, cho phộp xõy dựng mỏy trạm mỏy trạm mỏng, tạo điều kiện cập nhật zero-day, và cung cấp khả năng điều ra ở mức độ cao. Từ khúa: Điện toỏn đỏm mõy, Mó độc, Antivirus GIỚI THIấU Việc phỏt hiện phần mềm độc hại (Malware) là một trong những thỏch thức an ninh hàng đầu, phương thức hoạt động của loại phần mềm này chủ yếu dựa vào việc sử dụng cỏc dấu hiệu (signature) và phương phỏp dũ tỡm (heuristics). Để hỗ trợ cho phương thức này người ta thường tăng độ phức tạp của cỏc phần mềm được thiết kế' để chống lại Malware, điều này làm tăng tớnh phức tạp việc chống virus và và giỏn tiếp chỳ trọng vào cỏc lỗ hổng và cỏc cuộc tấn cụng. Cỏc chuẩn về Malware và sự xõm nhập được dựa trờn nguyờn tắc phõn loại; do đú chỳng khụng đủ khả năng để hỗ trợ cho quỏ trỡnh xỏc định cỏc kiểu tấn cụng tối ưu hay xỏc định cỏc hành vi bất thường cú thể dự đoỏn trước. Cỏc Ontology ( bản thể học ) cho phộp miờu tả cỏc đối tượng, khỏi niệm và cỏc mối quan hệ trong một lĩnh vực kiến thức, trong trường hợp này, cỏc nguồn dấu hiệu malware, quy tắc phỏt hiện, phản ứng và quỏ trỡnh phũng ngừa cần phải được miờu tả ngữ nghớa nhằm thống nhất cơ sở kiến thức của cỏc hệ thống cơ bản và cú thể cung cấp một khung luận điểm, sự hiểu biết và suy luận từ những mụ hỡnh trờn ngữ nghĩa này. Bài viết này đưa ra một cấu trỳc về việc phỏt hiện malware dựa trờn khỏi niệm của bản thể học về dịch vụ Web và xõm nhập độc hại (Web Services and Malware Intrusion Ontology), uCLAVS (University of Caldas’ AntiVirus Service) một dịch vụ được triển khai trờn điện toỏn đỏm mõy theo cỏc bộ giao thức và cỏc tiờn chuẩn quy định về cụng nghệ dịch vụ Web để phỏt hiện ra cỏc nội dung độc hại hoặc những hành vi của một tập tin chưa biết thụng qua việc sử dụng nhiều cụng cụ thực hiện chiến lược phõn tớch khụng đồng nhất. Phần 2 cung cấp những đỏnh giỏ ban đầu về đề tài và những đúng gúp quan trọng liờn quan; Phần 3 miờu tả cỏc kiến trỳc, mụ hỡnh, triển khai dịch vụ, cuối cựng trỡnh bày một số những phỏt hiện ban đầu về mụ hỡnh mẫu thử nghiệm cựng với thiết kế cơ bản của nú; Phần 4 núi về cỏc Ontology định nghió về việc phỏt hiện malware/xõm nhập và cỏc cỏch phũng ngừa. Kết quả được chứng minh trong phần . Cuối cựng là phần kết luận chung và những hướng phỏt triển trong tương lại được nhấn mạnh ở trong phần 6. NHỮNG NGHIấN cứu TRUỚC Việc phỏt hiện malware trong dịch vụ điện toỏn đỏm mõy đó được giới thiệu rất kĩ trong [1], nhưng hệ thống lọc cho e-mail và giao thức HTTP được triển khai trong đỏm mõy đó trở nờn phổ biến từ vài năm trước. [2] cho thấy một dạng của dịch vị bảo vờ . Cỏc cụng cụ được liệt kờ trong giao thức ICAP như dịch vụ chống virus (chạy trờn cựng một mỏy) cú thể làm việc như một mỏy quột đa cụng dụng giỳp cho việc phỏt hiờn virus từ email, web và proxy server. Hệ thống bảo vệ đa cụng cụ khụng đổng nhất sử dụng cụng nghệ nhõn biết và phõn tớch trong phưong thức khụng đổng nhất sẽ cho ra một đỏnh giỏ tốt hon về việc đặc tớnh húa cỏc tõp tin cú hại. Cỏc tiờu chuẩn cho khỏi niờm đại diện và Ontology trong hệ thống phỏt hiện xõm nhõp biểu thị một nỗ lực khụng dựa trờn một co sở chắc chắn,vớ dụ như IDMEF (Intrusion Detection Message Exchange Format) và CIDF (The Common Intrusion Detection Framework) [3] định nghĩa cỏc API và cỏch giao thức cho cỏc dự ỏn nghiờn cứu về sự phỏt hiện xõm nhõp mà cú thể chia sẻ thụng tin và tài nguyờ, cũng như cỏc thành phần cú thể bị từ chối bằng cỏch xõy dựng một mụ hỡnh đại diện dựa trờn cỳ phỏp XML. Nghiờn cứu được triển khai trong [ 4 ] đó xỏc định một mục tiờu Ontology cho phần phỏt hiện xõm nhõp, đõy là một phưong thức hoàn toàn mới mà trong đú Ontology được sử dụng để miờu tả và giỳp hiểu rừ thờm về cỏc cuộc tấn cụng. Những nghiờn cứu này nhằm xỏc định một trọng tõm Ontology DAML-OIL (DARPA Agent Markup Language + Ontology Interface) dựa trờn phưong thức phõn loại truyền thống chuyển húa theo mụ hỡnh ngữ nghĩa học. Cỏc cuộc điều tra được thực hiện trong [5] tớch hợp tưong tỏc và cỏc đặc tớnh của Ontology được lấy ra từ nghĩa của centric-attack Ontology mà cung cấp những dấu hiệu mà khớp với cấu trỳc dữ liệu trong của cụng cụ phỏt hiện tấn cụng mạng Snort. Trong [6] đó phỏt triển một Ontology về phần phỏt hiện và phũng chống mó độc, ngoài ra cũn mở rộng Ontology này để tớch hợp dấu hiệu mó độc dựa trờn kết quả từ cỏc cụng cụ gắn liền trong cấu trỳc uCLAVS." sử DỤNG ĐIỆN TOÁN ĐÁM MÂY ĐỂ phỏt hiện mó ĐỘC Một phần mềm phõn tớch độc hại dựng để xỏc định một hệ thống code cú khả năng thực hiện một cuộc tấn cụng trờn hệ thống mỏy tớnh [7]. Để thực hiện được điều này thỡ cỏc giải phỏp hiện nay như chưong trỡnh diệt virus chủ yếu sử dụng việc phõn tớch tĩnh dựa trờn dấu hiệu và đỏnh giỏ qua thử nghiệm [8], gần đõy cú một số kỹ thuõt ỏp dụng việc phõn tớch động và một số chớnh sỏch phũng ngự tưong tự khỏc. Một điểm chung trong việc phỏt hiện cỏc mó độc hại là sự tổn tại của một ứng dụng mỏy chủ sử dụng những thuõt toỏn đặc biệt để tỡm ra những phần mềm độc hại. Hoạt động của những cụng cụ này thường được tõp trung vào việc phõn tớch cỏc file cú thể chạy được từ bờn ngoài diễn ra chủ yếu trong khoảng thời gian truy cõp và theo yờu cầu. Cỏc hệ thống an ninh phải được mở rộng để chứa một số lượng lớn cỏc client. Một hệ thống đa dụng cụ dựa trờn dịch vụ phõn tớch tõp tin là một hệ thống điều khiển từ xa cú thể xỏc định nội dung hoặc hành vi của một tõp tin khụng tờn thụng qua việc phõn tớch của nhiều cụng cụ ( chống virus) thực hiện chớnh sỏch khụng đổng nhất. uCLAVS là một hệ thống đa cụng cụ hoạt động dựa trờn dịch vụ phõn tớch tệp tin được thực hiện trờn điện toỏn đỏm mõy thụng qua cỏc bộ giao thức và cỏc tiờu chuẩn cho dịch vụ web. Chức năng của dịch vụ phải đon giản và thiết thực : xỏc định một tõp tin chứa mó độc thụng qua việc phõn tớch từ xa được thực hiện bởi nhiều cụng cụ. W3C-Hiệp hội web toàn thế giới định nghĩa một dịch vụ web là “... .Một dịch vụ Web là một hệ thống phần mềm được nhõn dạng bằng một URI (Uniform Resource Identifier), mà cỏc giao diện chung và sự gắn kết của nú được định nghĩa và mụ tả bằng XML. Định nghĩa của nú cú thể được nhõn ra bằng cỏc hệ thống phần mềm khỏc. Cỏc hệ thống này sau đú cú thể tưong tỏc với dịch vụ Web theo phưong cỏch được mụ tả trong định nghĩa của nú, sử dụng cỏc thụng điệp theo XML được chuyển bằng cỏc giao thức Internet.“(W3C 2007) Một dịch vụ Web hoàn thiện là một dịch vụ tuõn theo những quy tắc sau: Cú thể chạy trờn web Sử dụng cỏc chuẩn XML để trao đổi thụng điệp. Khụng gắn liền với ngụn ngữ lõp trỡnh hoặc hệ điều hành. Nú cú khả năng tự mụ tả . Cỏc dịch vụ Web thực hiện kiến trỳc định hướng dịch vụ (SOA service-oriented architecture) đưa ra một thực hiện động, kế't nối “mềm dẻo” và ứng dụng phõn tỏn. SOA cú ba vai trũ chớnh: nhà cung cấp dịch vụ, người tiờu dựng và nhà mụi giới. Cỏc chức năng chớnh và cỏc thành phần được sử dụng trong mụ tả về kiến trỳc cũng được phõn chia tương tự như võy. úộvice Ểefyks Hỡnh 1. Sơ đồ bối cảnh cho uCLAVS. Cỏc tiện ớch chớnh của CLAVS: Đăng tải Mẫu (file) Phõn tớch quột (hash) Lấy phõn tớch quột (hash) Cỏc chức năng được thiết kế' để tỏch cỏc chức năng dựng để phỏt hiện của nhà cung cấp dịch vụ, và người dựng dựa vào những kết quả thu được để đưa ra những quyết định. uCLAVS cung cấp những chức năng tương ứng với một sản phẩm chống phần mềm độc hại trờn mỏy trạm, việc thực hiện này sẽ phải tuõn theo một số' điều khoản bổ tỳc đặc trưng cho tớnh chất của dịch vu trong đỏm mõy . Đối với cỏc dịch vụ chụng phần mềm độc hại, chỳng phải đỏp ứng một số yờu cầu như sau: Hỗ trợ cho nhiều cụng cụ phõn tớch. Thiết bị cho phộp sử dụng nhiều cụng cụ bảo vệ song song sử dụng cỏc phương phỏp và kỹ thuõt khụng đổng nhất để phỏt hiện phần mềm độc hại. Thụng bỏo. Khi một tõp tin được cho rằng là cú khẳ năng nguy hiểm thỡ dịch vụ phải cung cấp cho người dựng những thụng tin cần thiết để nhõn biế và đưa ra những quyết định đỳng đắn. Thu thõp thụng tin. Tất cả cỏc hoạt động của dịch vụ phải được thu thõp với mục đớch phõn tớch và quản lý. Dịch vụ quản lý. Phải cung cấp cơ chế để cấu hỡnh và quản lý dịch vụ. Hai khớa cạnh quan trọng làm uCLAVS trở thành một sự lựa chọn bổ sung để cải thiển phần mềm phỏt hiện mó độc tự động là bản chất của dịch vụ Web và khả năng phõn tớch tõp tin bằng cỏch sử dụng nhiều cụng cụ bảo vệ dưới một mụ hỡnh được gọi là n-protection (bảo vệ đa lớp). Multi-Engine Một trong những trọng tõm chớnh của việc triển khai này là khả năng sự dụng nhiều cụng cụ bảo mõt ỏp dụng phương phỏp và kỹ thuõt khụng đổng nhất để phỏt hiện phần mềm độc hại, mụ hỡnh này được gọi là bảo vệ đa phiờn bản (N-version protection) [1] dựa trờn khỏi niệm lõp trỡnh đa phiờn bản trong đú đề xuất việc tạo ra nhiều phiờn bản của một ứng dụng để so sỏnh cỏc kết quả đầu ra của chỳng và từ đú đảm bảo hoạt động phự hợp . Phương thức này triển khai của một ứng dụng Web bằng cỏch sử dụng cụng nghờ hiển thi màn hỡnh và những nền tảng khỏc, nhằm mục đớch so sỏnh kết quả cú được, biểu thi trong HTML, để đảm bảo cho hờ thống hoạt động phự hợp. Hỡnh 2. Kiến trỳc thành phẫn của uCLAVS. Cỏc thành phần bao gồm : Proxy SOAP : Proxy SOAP chiu trỏch nhiờm sắp xế'p thứ tự/ hủy bỏ thứ tự cỏc thụng điệp uCLAVS trao đổi giữa người tiờu dựng và khỏch hàng của họ sao cho việc triển khai cú thể sự dụng cỏch dễ hiểu nhất. Điều phối (Dispatcher): Yờu cầu điều phối đúng một vai trũ quan trọng trong cấu trỳc, chức năng giống như một hàng đội cho phộp việc quản lý cỏc yờu cầu dịch vụ đầu vào, trong khi bỏo cỏo cho Event Log. Hàng đợi (queue). Hàng đợi trong kiến trỳc là một cấu trỳc dữ liệu dựng để chứa cỏc đối tượng làm việc theo cơ chế' “vào trước ra trước”, Dịch vụ lưu trữ (Storage Service). uCLAVS cung cấp một giao diện đơn giản, sử dụng dịch vụ Web để lưu trữ và lấy bất kỳ số lượng dữ liệu, bất cứ lỳc nào, từ bất cứ đõu trờn Web. Phõn tớch dịch vụ (Service Analysis). Xỏc định một giao diện dịch vụ Web mà yờu cầu phõn tớch một tõp tin cú thể chứa mó độc, cỏc cụng cụ sẽ lấy dạng hash của tõp tin để đưa ra phõn tớch. Phõn tớch điều võn truy vấn (Analysis Query Dispatcher _AQD): Nú hoạt động giống như cỏc điều phối, chức năng của nú là cung cấp và quản lý nhu cầu của cỏc cụng cụ. Adjudicator: cú trỏch nhiệm giỏm sỏt hoạt động của cụng cụ. Cụng cụ (Engines): uCLAVS sử dụng 5 cụng cụ khỏc nhau đú là Clamv, F-Prot, Avast, BitDefender, Kaspersky. Proxy Agent : chịu trỏch nhiệm truyền kiến trỳc và dịch vụ được cung cấp bởi cỏc dịch vụ đại lý bờn ngoài. Chớnh sỏch quản lý mối đe dọa (Policy Manager Threat): cú trỏch nhiệm cung cấp cỏc bỏo cỏo cuối cựng của cỏc mối đe dọa. Retrospective Detection: Nhấn mạnh những virus khụng cú trong cơ sở dữ liệu, cũng như việc chỳng ta phõn tớch cỏc tõp tin đỏng nghi nhưng khụng đặt mức độ cảnh bảo thỡ vẫn coi là độc hại cao hoặc khụng. Log Events (ghi sự kiện ) cú trỏch nhiệm kiểm soỏt truy cõp của nguwoif dựng khỏc nhau để triển khai việc sử dụng cỏc dịch vụ của uCLAVS. Administration Manager: cung cấp một giao diện để quản lý tất cả cỏc quy trỡnh nờu trờn. UDDI Hỡnh 3. uCLAVS vai trỏ tương tỏc bối cảnh. Để thực hiện dịch vụ uCLAVs sử dụng ngụn ngữ PERL gúi SOAP::Lite cú sẵn từ CPAN. SOAP::Lite là một tập hợp cỏc mụ-đun Perl cung cấp một API dung lượng nhỏ để sự dụng mỏy trạm và mỏy chủ SOAP. Việc xử lý cỏc yờu cầu là trỏch nhiệm của Distpacher và được túm tắt như sau: use SOAP::Transport::HTTP; my $uri = 'urn:uclavservice'; SOAP::Transport::HTTP::CGI ->serializer ($serializer) ^deserializer ($deSerializer) ->dispatch_with( {"$uri:analysis" => 'uCLAVS::Dispatcher::Analysisservice', "$uri:storage" => Một đoạn mó đơn giản dưới đõy cho thấy sự tớch hợp một cụng cụ chống virus miễn phớ được nhỳng vào phiờn bản của uCLAVS. sub scan { my ($self, $path) = đ_ỡ my ($exitcode, $scan_response) = eval { $self->_run_commandlỉne_scanner (joỉn(' $self->{command}, @{ $self->{args} }, $path, }; if($@) { return uCLAVS: : Analysis: .-Scanner: :Result- >error($@); r ~ if(o ■■ $exitcode) { return uCLAVS::Analysis::Scanner::Result- >clean(); ' if(l ss= $exitcode) { my ($virus_name) = $scan response =~ m/\[infected by: (.*) .+/Ỉ; if (!$virus_name) { $virus_name = 'unknown-Avast-virus'; } . .. return uCLAVS::Analysis::Scanner::Result- >virus($virus_name); (...) i Một vớ dụ về mụ tả dịch vụ cho quỏ trỡnh "doScannerAnalysisiResponse" được thể hiện trong cỏc mụ tả dịch vụ Web sau đõy: parts fileHash type xsd:string Used Operation do Sa annex'Ana. lysis by in PortType uCLAVSPort Source <wsdl:message name="doScannerAnalysisRequest"> <wsdl:part name="fileHash" type="xsd:string"/> ucssample sampldd 1NT idhaớh INT - ram eld 1NT sjfflrfd WI . pathtdlNT ■ mi meld IMT ■J stee 1NT ưeabBĩlme DATETIME PRIMARY “ỡ ucs_$dmple_ha$h ▼ idhadi INT • mds TỈNYĐLO6 ^shaj TINV8LOB 5ha2S6 TNYaoe Hỡnh 4. Mụ hỡnh mối quan hệ của cỏc tệp tin meta-info. ONTOLOGY Hiờn nay, nhiều tiờn đề và quy tắc mụ tả cỏc loại tấn cụng tổng cộng 25 loại xõm nhập cú đuợc thụng qua thuật toỏn phõn cụm ỏp dụng (K-Means), đuợc mụ tả trong [6] và gần 4800 truờng hợp trong Ontology. Ngụn ngữ OWL đuợc sử dụng để thiết kế và thực hiờn cỏc Ontology, một trong những ảnh huởng quan trọng nhất trong thiết kế' OWL cú nguồn gốc từ DAML+OIL và RDF/XML. Để thiết lập cỏc quy tắc trờn Ontology cần phải sử dụng đến SWRL (Semantic Web Rule Language). SWRL là tập con của ngụn ngữ OWL nờn nú thuờng đuợc biểu diễn cựng cỏc Ontology trong một tập tin OWL. Một quy tắc SWRL bao gồm phần tiờn đề để miờu tả body, phần hờ quả và phần head. Phần dữ liờu thụ đuợc chuyển đổi sang XML rồi xử lý cho thực thể OWL; Hon nữa Ontology đuợc cập nhật từ cõu SPARQL. Sau đú Ontology miờu tả cỏc dấu hiệu cho tấn cụng đó biết ( xõm nhập mạng va phỏt hiện mó độc) và những tấn cụng mới, hành vỡ thụng minh sử dụng mụ hỡnh suy luận và cỏc lập luận tớch hợp cỏc tế bào mạng trong hệ thống multi-agent, giải phỏp này đó đuợc mụt trả chi tiết trong [6]; điều này cung cấp một mụ hỡnh Ontology cho cỏc quy tắc phản ứng tạo ra hệ thống phũng chống. Đối với Ontology này cỏc nguyờn tắc đuợc xỏc định cho phộp cỏc phộp tớnh suy luận và quỏ trỡnh lý luận. Cỏc hành vi mó độc (malware-behaviour) đuợc coi nhu một thuộc tớnh của Ontology, từ cỏc thực thể tấn cụng đuợc phỏt hiện và xử lý bằng cỏch sử dụng cỏc cụng cụ phỏt hiện nhỳng trong kiến trỳc uCLAVS, để xỏc định loại xõm nhập. Tiờn đề mụ tả RootAccess: RootAcccss = 3 (Intrusion State n InputTraffic n NetworkNode) n 9 Gcncrated_by(AnomalousSSH u AnomalousFTP u WebAttack u TelnetAccess) n UID_Try(UID_O) Ngoài ra, cỏc chức năng tương quan sử dụng Ontology và hờ thống multi-agent được núi rừ ở [11] giải thớch về việc tớch hợp cỏc mụ hỡnh ngữ nghĩa trong MAS và mối quan hờ dựa trờn kỹ thuật tương tự cỏc thuộc tớnh. KẾT QUẢ Việc thực nghiệm đó được tiến hành với khoảng 1.2 triệu mẫu và khoảng 25.000 mó độc trong tổng số' 31 nhúm. Hỡnh 5 cho thấy tỷ lệ phỏt hiện phần mềm mó độc vào khoảng 85%-95%, uCLAVS sử dụng kiến trỳc dựa trờn nhiều cụng cụ và đặc tớnh giảm gỏnh năng cho khỏch hàng , tỷ lệ phỏt hiện đạt tới gần 97% trong lần thử nghiệm đầu tiờn. Bảng 1 và hỡnh 6 cho thấy tỉ lệ phỏt hiện của 6 chương trỡnh chống virus phổ biến nhất và uCLAVS dựa trờn thời gian quột cỏc mẫu mó độc là 1 tuần và 1 thỏng. Hỡnh 5. Tỉ lệ phỏt hiện của uCLAVS và cỏc cụng cụ chống mó độc khỏc. Bảng 1. Tỷ lệ phỏt hiện dựa trờn thời gian quột cỏc mó độc trờn cỏc nền chống virus khỏc nhau. AntiVirus 1 thỏng 1 tuần Avast 54,2% 51,1% AVG 84,4% 82,2% BitDefender 81,2% 79,3% ClamAV 56,7% 54,2% F-Prot 53,4% 51,2% Kaspersky 89,1% 86,8% ucLaVS 97,07% 93,4% Hỡnh 6. Tỷ lệ phỏt hiện mó độc và thời gian quột mó độc trờn cỏc cơ chế chống virus khỏc nhau. Hỡnh 7. a) Phần trăm phỏt hiện và số'lượng cảnh bỏo b) Network overload. Việc tớch hợp Ontology cho ra đời Mụ hỡnh phỏt hiờn thõm nhập hoàn thiờn trong hỡnh 7(a) cho thấy tỷ lệ phần trăm so với IDS khỏc cú sỏu bộ cảm biến ;Hiệu suất này cú thể cải tiến bởi sự tớch hợp khả năng nhận biết, phõn loại và mụ hỡnh suy luận. Ngoài ra, việc tắc nghẽn mạng đuợc giảm thiểu bằng việc sử dụng hệ thống multi-agent và kết hợp với OWL nhỳng trong thụng điệp để trao đổi thụng tin giữa cỏc giữa cỏc cụng cụ nhu hỡnh 7(b). Snort đuợc sử dụng cho cỏc tiờu chuẩn IDS để so sỏnh kết quả đạt đuợc nhiều bộ cảm biến. KẾT LUẬN Bài viết này trỡnh bày kiến trỳc của một dịch cụ đuợc triển khai trong điện toỏn đỏm mõy đuợc gọi là uCLAVS. Định nghĩa về kiến trỳc đuợc sử dụng trong cụng nghệ dựa trờn dịch vụ Web để xỏc định một liờn kết truyền thụng bằng cỏch sử dụng những tiờu chuẩn khỏc nhau theo W3C và cỏc tớch hợp Ontology cho việc phỏt hiện phần mềm độc hại và xõm nhập cho phộp cỏc mỏy trạm khỏc nhau thực hiện (linuCLAVS và WinuCLAVS) truy cập dịch vụ thụng qua cỏc tiờu chuẩn XML, sử dụng SOAP. uCLAVS sử dụng cụng cụ quột khỏc nhau cú tỉ lệ phỏt hiện mó độc là trờn 97%, cao hon bất kỡ cụng cụ khỏc đuợc sử dụng trong cỏc dẫn chứng của khỏi niệm: Clamv, F-Prot, Avast, BitDefender, Kaspersky. TÀI LIấU THAM KHẢO . J. Oberheide, E. Cooke, and F. Jahanian: “CloudAV: N-Version Antivirus in the Network Cloud. ” En Proceedings of the 17th USENIX Security Symposium (Security'08). San Jose, CA. . 2008 . S. Link. Server-based Virus-protection On Unix/Linux. University of Applied Sciences Furtwangen. 2008 . S. Al-Mamory and H. Zhang, “Intrusion detection alarms reduction using root cause analysis and clustering”, Butterworth-Heinemann. PP. 419-430, 2009 . J. Undercoffer, T. Finin, A. Joshi, and J. Pinkston, “A target centric ontology for intrusion detection: using DAML+OIL to classify intrusive behaviors. Knowledge Engineering Review - Special Issue on Ontologies for Distributed Systems”, Cambridge University Press., PP. 2-22, 2005 . S. Mandujano, A. Galvan, and J. Nolazco, “An ontology-based multiagent approach to outbound intrusion detection in Computer Systems and Applications”, 2005. The 3rd ACS/IEEE International Conference on Security. PP 94, 2005 . G. Isaza, A. Castillo, M. Lopez, and L. Castillo, “Towards Ontology-based intelligent model for Intrusion Detection and Prevention”. in 2nd CISIS'09, pp.109-116, 2009 . R. Dalla, “Code Obfuscation and Malware Detection by Abstract Interpretation.”, Ph.D. Thesis, Università degli Studi di Verona. PP. 127, 2007 . P. Szor, “The Art of Computer Virus Research and Defense (illustrated edition.).”. Addison-Wesley Professional. PP 245-252,2005 . M. Papazoglou: Web Services: Principles and Technology (1o ed.). Prentice Hall. , PP.22, 2007 .E. Friedman-Hill and L. Sandia. Jess, ‘The Rule Engine for Java Platform.” Consulted: 2009; 2009 .G. Isaza, A. Castillo, M. Lopez, L. Castillo, et al. “Intrusion Correlation using Ontologies and Multiagent Systems”. S.K. Bandyopadhyay et al. (Eds.): ISA 2010, CCIS 76, pp. 51—63, 2010. Springer-Verlag Berlin Heidelberg 2010The 4th International Conference on Information Security and Assurance (ISA 2010). In Miyazaki, Japan. June 2010. ABSTRACT MALWARE DETECTION BASE ON CLOUD COMPUTING This paper introduces a model for malware detection, uCLAVS (University of Caldas' Antivius Service) anti-virus service of the University Calda, a multi-service tools accompanying the delivery format topology and technology standards for web services, in addition Ontology for malware detection and intrusion are described together. uCLAVS ideas based on innovative the analysis application on the workstation files by moving them to the network instead of running complex software on all servers, each process will receive a receipt of collective information systems, sending them to determine whether they have been implemented or not based on the statement of the threat has to offer. The sample test results taken uCLAVS processor, this can increase the detection rate of malicious files, allowing the construction of thin client workstations, enabling zero-day update, and provides that the energy high level. Keywords: Cloud computing, Malware, Antivirus. Nhận bài ngày 03 thỏng 05 năm 2014 Hoàn thiện ngày 06 thỏng 07 năm 2014 Chấp nhận đăng ngày 28 thỏng 07 năm 2014 Địa chỉ: * Trường Đại Học Kỹ Thuật hõu cần Cụng an nhõn dõn ** Học viện kỹ thuật mật mó - Ban cơ yờu chớnh phủ
File đính kèm:
- phat_hien_ma_doc_dua_tren_dien_toan_dam_may.doc