Phát hiện mã độc dựa trên điện toán đám mây - Nguyễn Tiến Xuân

Kỹ thuật điện tử & Khoa học máy tính N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc điện toán đám mây.” 64 PH¸T HIÖN M· §éC DùA TR£N §IÖN TO¸N §¸M M¢Y NGUYÔN TIÕN XU¢N*, hoµng sü t­¬ng**, NGUYÔN THANH TïNG** Tãm t¾t: Bµi viÕt nµy giíi thiÖu vÒ mét m« h×nh ph¸t hiÖn m· ®éc, uCLAVS (University of Caldas’ Antivius Service dÞch vô chèng virus cña tr­êng ®¹i häc Calda), mét dÞch vô ®a dông cô ®i kÌm theo c¸c bé ®Þnh d¹ng giao thøc vµ c¸c tiªu chuÈn cho c«ng nghÖ dÞch vô web, ngoµi ra cßn cã Ontology dµnh cho ph¸t hiÖn m· ®éc vµ x©m nhËp ®­îc miªu t¶ kÌm. uCLAVS dùa trªn ý t­îng c¶i tiÕn c¸c øng dông ph©n tÝch tËp tin trªn m¸y tr¹m b»ng c¸ch chuyÓn chóng ®Õn c¸c m¹ng thay v× ch¹y c¸c phÇn mÒm phøc t¹p trªn tÊt c¶ c¸c m¸y chñ, mçi quy tr×nh sÏ nhËn ®­îc mét tiÕp nhËn cña tËp tin hÖ thèng, göi chóng ®i ®ª x¸c ®Þnh xem chóng cã ®­îc thùc thi hay kh«ng dùa theo c¸c b¸o c¸o kÕt qu¶ vÒ mèi ®e däa ®· cung cÊp. C¸c mÉu kÕt qu¶ thö nghiÖm ®­îc ®­a uCLAVS xö lý, ®iÒu nµy cã thÓ t¨ng tû lÖ ph¸t hiÖn nh÷ng tËp tin nguy hiÓm, cho phÐp x©y dùng m¸y tr¹m m¸y tr¹m máng, t¹o ®iÒu kiÖn cËp nhËt zero-day, vµ cung cÊp kh¶ n¨ng ®iÒu ra ë møc ®é cao. Tõ khãa: §iÖn to¸n ®¸m m©y, M· ®éc, Antivirus 1. giíi thiÖu ViÖc ph¸t hiÖn phÇn mÒm ®éc h¹i (Malware) lµ mét trong nh÷ng th¸ch thøc an ninh hµng ®Çu, ph­¬ng thøc ho¹t ®éng cña lo¹i phÇn mÒm nµy chñ yÕu dùa vµo viÖc sö dông c¸c dÊu hiÖu (signature) vµ ph­¬ng ph¸p dß t×m (heuristics). §Ó hç trî cho ph­¬ng thøc nµy ng­êi ta th­êng t¨ng ®é phøc t¹p cña c¸c phÇn mÒm ®­îc thiÕt kÕ ®Ó chèng l¹i Malware, ®iÒu nµy lµm t¨ng tÝnh phøc t¹p viÖc chèng virus vµ vµ gi¸n tiÕp chó träng vµo c¸c lç hæng vµ c¸c cuéc tÊn c«ng. C¸c chuÈn vÒ Malware vµ sù x©m nhËp ®­îc dùa trªn nguyªn t¾c ph©n lo¹i; do ®ã chóng kh«ng ®ñ kh¶ n¨ng ®Ó hç trî cho qu¸ tr×nh x¸c ®Þnh c¸c kiÓu tÊn c«ng tèi ­u hay x¸c ®Þnh c¸c hµnh vi bÊt th­êng cã thÓ dù ®o¸n tr­íc. C¸c Ontology ( b¶n thÓ häc ) cho phÐp miªu t¶ c¸c ®èi t­îng, kh¸i niÖm vµ c¸c mèi quan hÖ trong mét lÜnh vùc kiÕn thøc, trong tr­êng hîp nµy, c¸c nguån dÊu hiÖu malware, quy t¾c ph¸t hiÖn, ph¶n øng vµ qu¸ tr×nh phßng ngõa cÇn ph¶i ®­îc miªu t¶ ng÷ nghÝa nh»m thèng nhÊt c¬ së kiÕn thøc cña c¸c hÖ thèng c¬ b¶n vµ cã thÓ cung cÊp mét khung luËn ®iÓm, sù hiÓu biÕt vµ suy luËn tõ nh÷ng m« h×nh trªn ng÷ nghÜa nµy. Bµi viÕt nµy ®­a ra mét cÊu tróc vÒ viÖc ph¸t hiÖn malware dùa trªn kh¸i niÖm cña b¶n thÓ häc vÒ dÞch vô Web vµ x©m nhËp ®éc h¹i (Web Services and Malware Intrusion Ontology), uCLAVS (University of Caldas’ AntiVirus Service) mét dÞch vô ®­îc triÓn khai trªn ®iÖn to¸n ®¸m m©y theo c¸c bé giao thøc vµ c¸c tiªn chuÈn quy ®Þnh vÒ c«ng nghÖ dÞch vô Web ®Ó ph¸t hiÖn ra c¸c néi dung ®éc h¹i hoÆc nh÷ng hµnh vi cña mét tËp tin ch­a biÕt th«ng qua viÖc sö dông nhiÒu c«ng cô thùc hiÖn chiÕn l­îc ph©n tÝch kh«ng ®ång nhÊt. PhÇn 2 cung cÊp nh÷ng ®¸nh gi¸ ban ®Çu vÒ ®Ò tµi vµ nh÷ng ®ãng gãp quan träng liªn quan; PhÇn 3 miªu t¶ c¸c kiÕn tróc, m« h×nh, triÓn khai dÞch vô, cuèi cïng tr×nh bµy mét sè nh÷ng ph¸t hiÖn ban ®Çu vÒ m« h×nh mÉu thö nghiÖm cïng víi thiÕt kÕ c¬ b¶n cña nã; PhÇn 4 nãi vÒ c¸c Ontology ®Þnh nghi· vÒ viÖc ph¸t hiÖn malware/x©m nhËp vµ c¸c c¸ch phßng ngõa. KÕt qu¶ ®­îc chøng minh trong phÇn . Cuèi cïng lµ phÇn kÕt luËn chung vµ nh÷ng h­íng ph¸t triÓn trong t­¬ng l¹i ®­îc nhÊn m¹nh ë trong phÇn 6. 2. nh÷ng nghiªn cøu tr­íc ViÖc ph¸t hiÖn malware trong dÞch vô ®iÖn to¸n ®¸m m©y ®· ®­îc giíi thiÖu rÊt kÜ trong [1], nh­ng hÖ thèng läc cho e-mail vµ giao thøc HTTP ®­îc triÓn khai trong ®¸m Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 65 m©y ®· trë nªn phæ biÕn tõ vµi n¨m tr­íc. [2] cho thÊy mét d¹ng cña dÞch vÞ b¶o vÖ . C¸c c«ng cô ®­îc liÖt kª trong giao thøc ICAP nh­ dÞch vô chèng virus (ch¹y trªn cïng mét m¸y) cã thÓ lµm viÖc nh­ mét m¸y quÐt ®a c«ng dông gióp cho viÖc ph¸t hiÖn virus tõ e- mail, web vµ proxy server. HÖ thèng b¶o vÖ ®a c«ng cô kh«ng ®ång nhÊt sö dông c«ng nghÖ nhËn biÕt vµ ph©n tÝch trong ph­¬ng thøc kh«ng ®ång nhÊt sÏ cho ra mét ®¸nh gi¸ tèt h¬n vÒ viÖc ®Æc tÝnh hãa c¸c tËp tin cã h¹i. C¸c tiªu chuÈn cho kh¸i niªm ®¹i diÖn vµ Ontology trong hÖ thèng ph¸t hiÖn x©m nhËp biÓu thÞ mét nç lùc kh«ng dùa trªn mét c¬ së ch¾c ch¾n,vÝ dô nh­ IDMEF (Intrusion Detection Message Exchange Format) vµ CIDF (The Common Intrusion Detection Framework) [3] ®Þnh nghÜa c¸c API vµ c¸ch giao thøc cho c¸c dù ¸n nghiªn cøu vÒ sù ph¸t hiÖn x©m nhËp mµ cã thÓ chia sÎ th«ng tin vµ tµi nguyª, còng nh­ c¸c thµnh phÇn cã thÓ bÞ tõ chèi b»ng c¸ch x©y dùng mét m« h×nh ®¹i diÖn dùa trªn có ph¸p XML. Nghiªn cøu ®­îc triÓn khai trong [ 4 ] ®· x¸c ®Þnh mét môc tiªu Ontology cho phÇn ph¸t hiÖn x©m nhËp, ®©y lµ mét ph­¬ng thøc hoµn toµn míi mµ trong ®ã Ontology ®­îc sö dông ®Ó miªu t¶ vµ gióp hiÓu râ thªm vÒ c¸c cuéc tÊn c«ng. Nh÷ng nghiªn cøu nµy nh»m x¸c ®Þnh mét träng t©m Ontology DAML-OIL (DARPA Agent Markup Language + Ontology Interface) dùa trªn ph­¬ng thøc ph©n lo¹i truyÒn thèng chuyÓn hãa theo m« h×nh ng÷ nghÜa häc. C¸c cuéc ®iÒu tra ®­îc thùc hiÖn trong [5] tÝch hîp t­¬ng t¸c vµ c¸c ®Æc tÝnh cña Ontology ®­îc lÊy ra tõ nghÜa cña centric-attack Ontology mµ cung cÊp nh÷ng dÊu hiÖu mµ khíp víi cÊu tróc d÷ liÖu trong cña c«ng cô ph¸t hiÖn tÊn c«ng m¹ng Snort. Trong [6] ®· ph¸t triÓn mét Ontology vÒ phÇn ph¸t hiÖn vµ phßng chèng m· ®éc, ngoµi ra cßn më réng Ontology nµy ®Ó tÝch hîp dÊu hiÖu m· ®éc dùa trªn kÕt qu¶ tõ c¸c c«ng cô g¾n liÒn trong cÊu tróc uCLAVS. 3. sö dông ®iÖn to¸n ®¸m m©y ®Ó ph¸t hiÖn m· ®éc Mét phÇn mÒm ph©n tÝch ®éc h¹i dïng ®Ó x¸c ®Þnh mét hÖ thèng code cã kh¶ n¨ng thùc hiÖn mét cuéc tÊn c«ng trªn hÖ thèng m¸y tÝnh [7]. §Ó thùc hiÖn ®­îc ®iÒu nµy th× c¸c gi¶i ph¸p hiÖn nay nh­ ch­¬ng tr×nh diÖt virus chñ yÕu sö dông viÖc ph©n tÝch tÜnh dùa trªn dÊu hiÖu vµ ®¸nh gi¸ qua thö nghiÖm [8], gÇn ®©y cã mét sè kü thuËt ¸p dông viÖc ph©n tÝch ®éng vµ mét sè chÝnh s¸ch phßng ngù t­¬ng tù kh¸c. Mét ®iÓm chung trong viÖc ph¸t hiÖn c¸c m· ®éc h¹i lµ sù tån t¹i cña mét øng dông m¸y chñ sö dông nh÷ng thuËt to¸n ®Æc biÖt ®Ó t×m ra nh÷ng phÇn mÒm ®éc h¹i. Ho¹t ®éng cña nh÷ng c«ng cô nµy th­êng ®­îc tËp trung vµo viÖc ph©n tÝch c¸c file cã thÓ ch¹y ®­îc tõ bªn ngoµi diÔn ra chñ yÕu trong kho¶ng thêi gian truy cËp vµ theo yªu cÇu. C¸c hÖ thèng an ninh ph¶i ®­îc më réng ®Ó chøa mét sè l­îng lín c¸c client. Mét hÖ thèng ®a dông cô dùa trªn dÞch vô ph©n tÝch tËp tin lµ mét hÖ thèng ®iÒu khiÓn tõ xa cã thÓ x¸c ®Þnh néi dung hoÆc hµnh vi cña mét tËp tin kh«ng tªn th«ng qua viÖc ph©n tÝch cña nhiÒu c«ng cô ( chèng virus) thùc hiÖn chÝnh s¸ch kh«ng ®ång nhÊt. uCLAVS lµ mét hÖ thèng ®a c«ng cô ho¹t ®éng dùa trªn dÞch vô ph©n tÝch tÖp tin ®­îc thùc hiÖn trªn ®iÖn to¸n ®¸m m©y th«ng qua c¸c bé giao thøc vµ c¸c tiªu chuÈn cho dÞch vô web. Chøc n¨ng cña dÞch vô ph¶i ®¬n gi¶n vµ thiÕt thùc : x¸c ®Þnh mét tËp tin chøa m· ®éc th«ng qua viÖc ph©n tÝch tõ xa ®­îc thùc hiÖn bëi nhiÒu c«ng cô. W3C-HiÖp héi web toµn thÕ giíi ®Þnh nghÜa mét dÞch vô web lµ “.Mét dÞch vô Web lµ mét hÖ thèng phÇn mÒm ®­îc nhËn d¹ng b»ng mét URI (Uniform Resource Identifier), mµ c¸c giao diÖn chung vµ sù g¾n kÕt cña nã ®­îc ®Þnh nghÜa vµ m« t¶ b»ng XML. §Þnh nghÜa cña nã cã thÓ ®­îc nhËn ra b»ng c¸c hÖ thèng phÇn mÒm kh¸c. C¸c hÖ thèng nµy sau ®ã cã thÓ t­¬ng t¸c víi dÞch vô Web theo ph­¬ng c¸ch ®­îc m« t¶ trong ®Þnh nghÜa cña nã, sö dông c¸c th«ng ®iÖp theo XML ®­îc chuyÓn b»ng c¸c giao thøc Internet.“(W3C 2007) Mét dÞch vô Web hoµn thiÖn lµ mét dÞch vô tu©n theo nh÷ng quy t¾c sau: Cã thÓ ch¹y trªn web Kỹ thuật điện tử & Khoa học máy tính N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc điện toán đám mây.” 66 Sö dông c¸c chuÈn XML ®Ó trao ®æi th«ng ®iÖp. Kh«ng g¾n liÒn víi ng«n ng÷ lËp tr×nh hoÆc hÖ ®iÒu hµnh. Nã cã kh¶ n¨ng tù m« t¶ . C¸c dÞch vô Web thùc hiÖn kiÕn tróc ®Þnh h­íng dÞch vô (SOA service-oriented architecture) ®­a ra mét thùc hiÖn ®éng, kÕt nèi “mÒm dÎo” vµ øng dông ph©n t¸n. SOA cã ba vai trß chÝnh: nhµ cung cÊp dÞch vô, ng­êi tiªu dïng vµ nhµ m«i giíi. C¸c chøc n¨ng chÝnh vµ c¸c thµnh phÇn ®­îc sö dông trong m« t¶ vÒ kiÕn tróc còng ®­îc ph©n chia t­¬ng tù nh­ vËy. H×nh 1. S¬ ®å bèi c¶nh cho uCLAVS. C¸c tiÖn Ých chÝnh cña CLAVS: §¨ng t¶i MÉu (file) Ph©n tÝch quÐt (hash) LÊy ph©n tÝch quÐt (hash) C¸c chøc n¨ng ®­îc thiÕt kÕ ®Ó t¸ch c¸c chøc n¨ng dïng ®Ó ph¸t hiÖn cña nhµ cung cÊp dÞch vô, vµ ng­êi dïng dùa vµo nh÷ng kÕt qu¶ thu ®­îc ®Ó ®­a ra nh÷ng quyÕt ®Þnh. uCLAVS cung cÊp nh÷ng chøc n¨ng t­¬ng øng víi mét s¶n phÈm chèng phÇn mÒm ®éc h¹i trªn m¸y tr¹m, viÖc thùc hiÖn nµy sÏ ph¶i tu©n theo mét sè ®iÒu kho¶n bæ tóc ®Æc tr­ng cho tÝnh chÊt cña dÞch vu trong ®¸m m©y . §èi víi c¸c dÞch vô ch«ng phÇn mÒm ®éc h¹i, chóng ph¶i ®¸p øng mét sè yªu cÇu nh­ sau:  Hç trî cho nhiÒu c«ng cô ph©n tÝch. ThiÕt bÞ cho phÐp sö dông nhiÒu c«ng cô b¶o vÖ song song sö dông c¸c ph­¬ng ph¸p vµ kü thuËt kh«ng ®ång nhÊt ®Ó ph¸t hiÖn phÇn mÒm ®éc h¹i.  Th«ng b¸o. Khi mét tËp tin ®­îc cho r»ng lµ cã kh¼ n¨ng nguy hiÓm th× dÞch vô ph¶i cung cÊp cho ng­êi dïng nh÷ng th«ng tin cÇn thiÕt ®Ó nhËn biÕ vµ ®­a ra nh÷ng quyÕt ®Þnh ®óng ®¾n.  Thu thËp th«ng tin. TÊt c¶ c¸c ho¹t ®éng cña dÞch vô ph¶i ®­îc thu thËp víi môc ®Ých ph©n tÝch vµ qu¶n lý.  DÞch vô qu¶n lý. Ph¶i cung cÊp c¬ chÕ ®Ó cÊu h×nh vµ qu¶n lý dÞch vô. Hai khÝa c¹nh quan träng lµm uCLAVS trë thµnh mét sù lùa chän bæ sung ®Ó c¶i thiÓn phÇn mÒm ph¸t hiÖn m· ®éc tù ®éng lµ b¶n chÊt cña dÞch vô Web vµ kh¶ n¨ng ph©n tÝch tËp tin b»ng c¸ch sö dông nhiÒu c«ng cô b¶o vÖ d­íi mét m« h×nh ®­îc gäi lµ n-protection (b¶o vÖ ®a líp). Multi-Engine Mét trong nh÷ng träng t©m chÝnh cña viÖc triÓn khai nµy lµ kh¶ n¨ng sù dông nhiÒu c«ng cô b¶o mËt ¸p dông ph­¬ng ph¸p vµ kü thuËt kh«ng ®ång nhÊt ®Ó ph¸t hiÖn phÇn mÒm ®éc h¹i, m« h×nh nµy ®­îc gäi lµ b¶o vÖ ®a phiªn b¶n (N-version protection) [1] dùa trªn kh¸i niÖm lËp tr×nh ®a phiªn b¶n trong ®ã ®Ò xuÊt viÖc t¹o ra nhiÒu phiªn b¶n cña mét øng dông ®Ó so s¸nh c¸c kÕt qu¶ ®Çu ra cña chóng vµ tõ ®ã ®¶m b¶o ho¹t ®éng phï hîp . Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 67 Ph­¬ng thøc nµy triÓn khai cña mét øng dông Web b»ng c¸ch sö dông c«ng nghÖ hiÓn thÞ mµn h×nh vµ nh÷ng nÒn t¶ng kh¸c, nh»m môc ®Ých so s¸nh kÕt qu¶ cã ®­îc, biÓu thÞ trong HTML, ®Ó ®¶m b¶o cho hÖ thèng ho¹t ®éng phï hîp. H×nh 2. KiÕn tróc thµnh phÇn cña uCLAVS. C¸c thµnh phÇn bao gåm : Proxy SOAP : Proxy SOAP chÞu tr¸ch nhiÖm s¾p xÕp thø tù/ hñy bá thø tù c¸c th«ng ®iÖp uCLAVS trao ®æi gi÷a ng­êi tiªu dïng vµ kh¸ch hµng cña hä sao cho viÖc triÓn khai cã thÓ sù dông c¸ch dÔ hiÓu nhÊt. §iÒu phèi (Dispatcher): Yªu cÇu ®iÒu phèi ®ãng mét vai trß quan träng trong cÊu tróc, chøc n¨ng gièng nh­ mét hµng ®éi cho phÐp viÖc qu¶n lý c¸c yªu cÇu dÞch vô ®Çu vµo, trong khi b¸o c¸o cho Event Log. Hµng ®îi (queue). Hµng ®îi trong kiÕn tróc lµ mét cÊu tróc d÷ liÖu dïng ®Ó chøa c¸c ®èi t­îng lµm viÖc theo c¬ chÕ “vµo tr­íc ra tr­íc”, DÞch vô l­u tr÷ (Storage Service). uCLAVS cung cÊp mét giao diÖn ®¬n gi¶n, sö dông dÞch vô Web ®Ó l­u tr÷ vµ lÊy bÊt kú sè l­îng d÷ liÖu, bÊt cø lóc nµo, tõ bÊt cø ®©u trªn Web. Ph©n tÝch dÞch vô (Service Analysis). X¸c ®Þnh mét giao diÖn dÞch vô Web mµ yªu cÇu ph©n tÝch mét tËp tin cã thÓ chøa m· ®éc, c¸c c«ng cô sÏ lÊy d¹ng hash cña tËp tin ®Ó ®­a ra ph©n tÝch. Ph©n tÝch ®iÒu vËn truy vÊn (Analysis Query Dispatcher _AQD): Nã ho¹t ®éng gièng nh­ c¸c ®iÒu phèi, chøc n¨ng cña nã lµ cung cÊp vµ qu¶n lý nhu cÇu cña c¸c c«ng cô. Adjudicator: cã tr¸ch nhiÖm gi¸m s¸t ho¹t ®éng cña c«ng cô. C«ng cô (Engines): uCLAVS sö dông 5 c«ng cô kh¸c nhau ®ã lµ Clamv, F-Prot, Avast, BitDefender, Kaspersky. Proxy Agent : chÞu tr¸ch nhiÖm truyÒn kiÕn tróc vµ dÞch vô ®­îc cung cÊp bëi c¸c dÞch vô ®¹i lý bªn ngoµi. ChÝnh s¸ch qu¶n lý mèi ®e däa (Policy Manager Threat): cã tr¸ch nhiÖm cung cÊp c¸c b¸o c¸o cuèi cïng cña c¸c mèi ®e däa. Retrospective Detection: NhÊn m¹nh nh÷ng virus kh«ng cã trong c¬ së d÷ liÖu, còng nh­ viÖc chóng ta ph©n tÝch c¸c tËp tin ®¸ng nghi nh­ng kh«ng ®Æt møc ®é c¶nh b¶o th× vÉn coi lµ ®éc h¹i cao hoÆc kh«ng. Log Events (ghi sù kiÖn ) cã tr¸ch nhiÖm kiÓm so¸t truy cËp cña nguwoif dïng kh¸c nhau ®Ó triÓn khai viÖc sö dông c¸c dÞch vô cña uCLAVS. Administration Manager: cung cÊp mét giao diÖn ®Ó qu¶n lý tÊt c¶ c¸c quy tr×nh nªu trªn. Kỹ thuật điện tử & Khoa học máy tính N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc điện toán đám mây.” 68 H×nh 3. uCLAVS vai trß t­¬ng t¸c bèi c¶nh. §Ó thùc hiÖn dÞch vô uCLAVs sö dông ng«n ng÷ PERL gãi SOAP::Lite cã s½n tõ CPAN. SOAP::Lite lµ mét tËp hîp c¸c m«-®un Perl cung cÊp mét API dung l­îng nhá ®Ó sù dông m¸y tr¹m vµ m¸y chñ SOAP. ViÖc xö lý c¸c yªu cÇu lµ tr¸ch nhiÖm cña Distpacher vµ ®­îc tãm t¾t nh­ sau: Mét ®o¹n m· ®¬n gi¶n d­íi ®©y cho thÊy sù tÝch hîp mét c«ng cô chèng virus miÔn phÝ ®­îc nhóng vµo phiªn b¶n cña uCLAVS. Mét vÝ dô vÒ m« t¶ dÞch vô cho qu¸ tr×nh "doScannerAnalysisiResponse" ®­îc thÓ hiÖn trong c¸c m« t¶ dÞch vô Web sau ®©y: Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 69 H×nh 4. M« h×nh mèi quan hÖ cña c¸c tÖp tin meta-info. 4. ontology HiÖn nay, nhiÒu tiªn ®Ò vµ quy t¾c m« t¶ c¸c lo¹i tÊn c«ng tæng céng 25 lo¹i x©m nhËp cã ®­îc th«ng qua thuËt to¸n ph©n côm ¸p dông (K-Means), ®­îc m« t¶ trong [6] vµ gÇn 4800 tr­êng hîp trong Ontology. Ng«n ng÷ OWL ®­îc sö dông ®Ó thiÕt kÕ vµ thùc hiÖn c¸c Ontology, mét trong nh÷ng ¶nh h­ëng quan träng nhÊt trong thiÕt kÕ OWL cã nguån gèc tõ DAML+OIL vµ RDF/XML. §Ó thiÕt lËp c¸c quy t¾c trªn Ontology cÇn ph¶i sö dông ®Õn SWRL (Semantic Web Rule Language). SWRL lµ tËp con cña ng«n ng÷ OWL nªn nã th­êng ®­îc biÓu diÔn cïng c¸c Ontology trong mét tËp tin OWL. Mét quy t¾c SWRL bao gåm phÇn tiªn ®Ò ®Ó miªu t¶ body, phÇn hÖ qu¶ vµ phÇn head. PhÇn d÷ liÖu th« ®­îc chuyÓn ®æi sang XML råi xö lý cho thùc thÓ OWL; H¬n n÷a Ontology ®­îc cËp nhËt tõ c©u SPARQL. Sau ®ã Ontology miªu t¶ c¸c dÊu hiÖu cho tÊn c«ng ®· biÕt ( x©m nhËp m¹ng va ph¸t hiÖn m· ®éc) vµ nh÷ng tÊn c«ng míi, hµnh v× th«ng minh sö dông m« h×nh suy luËn vµ c¸c lËp luËn tÝch hîp c¸c tÕ bµo m¹ng trong hÖ thèng multi-agent, gi¶i ph¸p nµy ®· ®­îc m«t tr¶ chi tiÕt trong [6]; ®iÒu nµy cung cÊp mét m« h×nh Ontology cho c¸c quy t¾c ph¶n øng t¹o ra hÖ thèng phßng chèng. §èi víi Ontology nµy c¸c nguyªn t¾c ®­îc x¸c ®Þnh cho phÐp c¸c phÐp tÝnh suy luËn vµ qu¸ tr×nh lý luËn. C¸c hµnh vi m· ®éc (malware-behaviour) ®­îc coi nh­ mét thuéc tÝnh cña Ontology, tõ c¸c thùc thÓ tÊn c«ng ®­îc ph¸t hiÖn vµ xö lý b»ng c¸ch sö dông c¸c c«ng cô ph¸t hiÖn nhóng trong kiÕn tróc uCLAVS, ®Ó x¸c ®Þnh lo¹i x©m nhËp. Tiªn ®Ò m« t¶ RootAccess: Kỹ thuật điện tử & Khoa học máy tính N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc điện toán đám mây.” 70 Ngoµi ra, c¸c chøc n¨ng t­¬ng quan sö dông Ontology vµ hÖ thèng multi-agent ®­îc nãi râ ë [11] gi¶i thÝch vÒ viÖc tÝch hîp c¸c m« h×nh ng÷ nghÜa trong MAS vµ mèi quan hÖ dùa trªn kü thuËt t­¬ng tù c¸c thuéc tÝnh. 5. KÕT qu¶ ViÖc thùc nghiÖm ®· ®­îc tiÕn hµnh víi kho¶ng 1.2 triÖu mÉu vµ kho¶ng 25.000 m· ®éc trong tæng sè 31 nhãm. H×nh 5 cho thÊy tû lÖ ph¸t hiÖn phÇn mÒm m· ®éc vµo kho¶ng 85%-95%, uCLAVS sö dông kiÕn tróc dùa trªn nhiÒu c«ng cô vµ ®Æc tÝnh gi¶m g¸nh nÆng cho kh¸ch hµng , tû lÖ ph¸t hiÖn ®¹t tíi gÇn 97% trong lÇn thö nghiÖm ®Çu tiªn. B¶ng 1 vµ h×nh 6 cho thÊy tØ lÖ ph¸t hiÖn cña 6 ch­¬ng tr×nh chèng virus phæ biÕn nhÊt vµ uCLAVS dùa trªn thêi gian quÐt c¸c mÉu m· ®éc lµ 1 tuÇn vµ 1 th¸ng. H×nh 5. TØ lÖ ph¸t hiÖn cña uCLAVS vµ c¸c c«ng cô chèng m· ®éc kh¸c. B¶ng 1. Tû lÖ ph¸t hiÖn dùa trªn thêi gian quÐt c¸c m· ®éc trªn c¸c nÒn chèng virus kh¸c nhau. AntiVirus 1 th¸ng 1 tuÇn Avast 54,2% 51,1% AVG 84,4% 82,2% BitDefender 81,2% 79,3% ClamAV 56,7% 54,2% F-Prot 53,4% 51,2% Kaspersky 89,1% 86,8% uCLAVS 97,07% 93,4% Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 71 H×nh 6. Tû lÖ ph¸t hiÖn m· ®éc vµ thêi gian quÐt m· ®éc trªn c¸c c¬ chÕ chèng virus kh¸c nhau. H×nh 7. a) PhÇn tr¨m ph¸t hiÖn vµ sè l­îng c¶nh b¸o b) Network overload. ViÖc tÝch hîp Ontology cho ra ®êi M« h×nh ph¸t hiÖn th©m nhËp hoµn thiÖn trong h×nh 7(a) cho thÊy tû lÖ phÇn tr¨m so víi IDS kh¸c cã s¸u bé c¶m biÕn ;HiÖu suÊt nµy cã thÓ c¶i tiÕn bëi sù tÝch hîp kh¶ n¨ng nhËn biÕt, ph©n lo¹i vµ m« h×nh suy luËn. Ngoµi ra, viÖc t¾c nghÏn m¹ng ®­îc gi¶m thiÓu b»ng viÖc sö dông hÖ thèng multi-agent vµ kÕt hîp víi OWL nhóng trong th«ng ®iÖp ®Ó trao ®æi th«ng tin gi÷a c¸c gi÷a c¸c c«ng cô nh­ h×nh 7(b). Snort ®­îc sö dông cho c¸c tiªu chuÈn IDS ®Ó so s¸nh kÕt qu¶ ®¹t ®­îc nhiÒu bé c¶m biÕn. 6. KÕT luËn Bµi viÕt nµy tr×nh bµy kiÕn tróc cña mét dÞch cô ®­îc triÓn khai trong ®iÖn to¸n ®¸m m©y ®­îc gäi lµ uCLAVS. §Þnh nghÜa vÒ kiÕn tróc ®­îc sö dông trong c«ng nghÖ dùa trªn dÞch vô Web ®Ó x¸c ®Þnh mét liªn kÕt truyÒn th«ng b»ng c¸ch sö dông nh÷ng tiªu chuÈn kh¸c nhau theo W3C vµ c¸c tÝch hîp Ontology cho viÖc ph¸t hiÖn phÇn mÒm ®éc h¹i vµ x©m nhËp cho phÐp c¸c m¸y tr¹m kh¸c nhau thùc hiÖn (linuCLAVS vµ WinuCLAVS) truy cËp dÞch vô th«ng qua c¸c tiªu chuÈn XML, sö dông SOAP. uCLAVS sö dông c«ng cô quÐt kh¸c nhau cã tØ lÖ ph¸t hiÖn m· ®éc lµ trªn 97%, cao h¬n bÊt k× c«ng cô kh¸c ®­îc sö dông trong c¸c dÉn chøng cña kh¸i niÖm: Clamv, F-Prot, Avast, BitDefender, Kaspersky. TµI LIÖU THAM KH¶O [1]. J. Oberheide, E. Cooke, and F. Jahanian: “CloudAV: N-Version Antivirus in the Network Cloud.” En Proceedings of the 17th USENIX Security Symposium (Security'08). San Jose, CA. . 2008 [2]. S. Link. Server-based Virus-protection On Unix/Linux. University of Applied Sciences Furtwangen. 2008 Kỹ thuật điện tử & Khoa học máy tính N. T. Xuân, H. S. Tương, N. T. Tùng, “Phát hiện mã độc điện toán đám mây.” 72 [3]. S. Al-Mamory and H. Zhang, “Intrusion detection alarms reduction using root cause analysis and clustering”, Butterworth-Heinemann. PP. 419-430, 2009 [4]. J. Undercoffer, T. Finin, A. Joshi, and J. Pinkston, “A target centric ontology for intrusion detection: using DAML+OIL to classify intrusive behaviors. Knowledge Engineering Review - Special Issue on Ontologies for Distributed Systems”, Cambridge University Press., PP. 2-22, 2005 [5]. S. Mandujano, A. Galvan, and J. Nolazco, “An ontology-based multiagent approach to outbound intrusion detection in Computer Systems and Applications”, 2005. The 3rd ACS/IEEE International Conference on Security. PP 94, 2005 [6]. G. Isaza, A. Castillo, M. Lopez, and L. Castillo, “Towards Ontology-based intelligent model for Intrusion Detection and Prevention”. in 2nd CISIS'09, pp.109-116, 2009 [7]. R. Dalla, “Code Obfuscation and Malware Detection by Abstract Interpretation.”, Ph.D. Thesis, Universitµ degli Studi di Verona. PP. 127, 2007 [8]. P. Szor, “The Art of Computer Virus Research and Defense (illustrated edition.).”. Addison-Wesley Professional. PP 245-252 , 2005 [9]. M. Papazoglou: Web Services: Principles and Technology (1o ed.). Prentice Hall. , PP. 22, 2007 [10]. E. Friedman-Hill and L. Sandia. Jess, “The Rule Engine for Java Platform.” Consulted: 2009; 2009 [11]. G. Isaza, A. Castillo, M. Lopez, L. Castillo, et al. “Intrusion Correlation using Ontologies and Multiagent Systems”. S.K. Bandyopadhyay et al. (Eds.): ISA 2010, CCIS 76, pp. 51–63, 2010. Springer-Verlag Berlin Heidelberg 2010The 4th International Conference on Information Security and Assurance (ISA 2010). In Miyazaki, Japan. June 2010. Abstract Malware detection base on cloud computing This paper introduces a model for malware detection, uCLAVS (University of Caldas' Antivius Service) anti-virus service of the University Calda, a multi-service tools accompanying the delivery format topology and technology standards for web services, in addition Ontology for malware detection and intrusion are described together. uCLAVS ideas based on innovative the analysis application on the workstation files by moving them to the network instead of running complex software on all servers, each process will receive a receipt of collective information systems, sending them to determine whether they have been implemented or not based on the statement of the threat has to offer. The sample test results taken uCLAVS processor, this can increase the detection rate of malicious files, allowing the construction of thin client workstations, enabling zero-day update, and provides that the energy high level. Keywords: Cloud computing, Malware, Antivirus. Nhận bài ngày 03 tháng 05 năm 2014 Hoàn thiện ngày 06 tháng 07 năm 2014 Chấp nhận đăng ngày 28 tháng 07 năm 2014 §Þa chØ: * ** Tr­êng §¹i Häc Kü ThuËt hËu cÇn C«ng an nh©n d©n Häc viÖn kü thuËt mËt m· - Ban c¬ yÕu chÝnh phñ