Vấn đề An tồn thơng tin PHÁT HIỆN VÀ DIỆT VIRUS MÁY TÍNH KHÁI NIỆM VIRUS MÁY TÍNH VIRUS MÁY TÍNH ? Phần mềm, Mã Độc hại ? Computer Virus ? Malware hay Maliciuos Code ? Virus máy tính, “Mã độc hại” ? +Trước đây, Virus máy tính (gọi tắt Virus) chương trình, đoạn mã tự nhân bản, tự chép vào đối tượng lây nhiễm khác (Dữ liệu, Chương trình, Bộ nhớ trong, Bộ nhớ ngồi, Máy tính, ) + Hiện nay, Virus khơng thực trị đùa hay phá hoại máy tính, mà đa phần hướng đến việc lấy cắp thông tin quan trọng hay nhạy cảm (VD: Mật khẩu, Mã số thẻ tín dụng), mở cửa sau cho Tin tặc đột nhập chiếm quyền điều khiển hay hành động nhằm có lợi cho người phát tán Virus Những chương trình thường “gắn” vào nơi máy tính Tệp Dữ liệu, Chương trình, hay Sector đặc biệt, Những chương trình gọi “Mã độc hại”, “Phần mềm độc hại” (Malware hay Maliciuos Code) Virus cơng máy tính Việt nam Tháng 6/2012, theo thống kê Bkav: + VN có 5,7 triệu máy tính bị nhiễm Virus + Số dịng virus xuất 2983 + Có 11 website bị hacker nước cơng Có 175 website bị hacker nước ngồi cơng Một số đặc điểm “Mã độc hại” Một số đặc điểm thường gặp “Mã độc hại”: Tính tồn Tính lây lan Tính phá hoại Tính lưu trú Tính tương thích Tính ngụy trang Tính gây nhiễu Tính thừa kế Một số loại “Mã độc hại” “Malware” hay “Maliciuos code” (“Mã độc hại”): Khái niệm rộng ! Phần mềm hay Mã “Độc hại” (“Ác tính”) hay “Virus nói chung” Phần mềm hay Mã có tính gây hại như: Virus, Worm, Trojan Horse, Macro virus, Spyware , Adware, Zombie, … 1/ Virus (nói riêng): chương trình định nghĩa “Virus máy tính”, nhiên hoạt động chủ yếu lây nhiễm trực tiếp vào Tệp (file) đối tượng 2/ Worm (“Sâu” máy tính): chương trình có khả “Tự nhân bản”, “Tự di chuyển” từ máy tính sang máy tính khác, mà khơng nhờ vào tác động người dùng +Máy tính bị nhiễm “Sâu” Worm gửi hàng trăm, chí hàng nghìn “Copy” ngồi gây “Tàn phá” kinh khủng +Thông thường “Sâu” Worm lây truyền qua Email, IM (nói chung qua Internet), qua ổ đĩa lưu động Đây loại Mã “Độc hại” phổ biến Một số loại “Mã độc hại” 3/ Trojan (Trojan Horse): chương trình nguy hiểm, thường diện mạo chương trình hữu ích (ví dụ chương trình thay đổi hình desktop, thêm biểu tượng lạ hình), gây hậu nghiêm trọng xóa file hay phá hủy tồn thơng tin máy bị nhiễm Trojan tạo Backdoor máy tính, giúp cho kẻ cơng xâm nhập vào hệ thống, làm hư hại thông tin cá nhân Trojan không phát tán cách làm cho file khác bị nhiễm Trojan Trojan không tự nhân 4/ Macro Virus: Loại Virus khơng nằm thân chương trình thực thi, lại phần Macro tài liệu Microsoft Word hay bảng tính Excel Một số loại “Mã độc hại” 5/ Spyware (PM Do thám): phần mềm theo dõi hoạt động người dùng MT Chúng thu thập thơng tin cá nhân, thói quen cá nhân, thói quen lướt web người dùng gửi cho Chủ nhân chúng Spyware mối đe dọa lớn an toàn máy tính 6/ Adware: Đơn giản dạng phần mềm quảng cáo lút cài đặt vào máy tính người dùng cài đặt thơng qua phần mềm miễn phí, người dùng cho phép (nhưng khơng ý thức mục đích chúng) Tuy nhiên, chúng khơng dừng lại tính đơn giản quảng cáo kết hợp với loại Virus khác nhằm tăng "hiệu quả” phá hoại 7/ Zombie: Chương trình máy tính bí mật khống chế máy tính khác (cùng kết nối Internet) Sau dùng máy tính để bắt đầu công vào Mạng MT, mà người ta lần dấu vết người tạo Zombie Virus máy tính  Virus máy tính (computer virus) mối đe dọa thường xuyên cấp bách hệ thống CNTT ngày  Con người tốn nhiều cơng sức để phát triển khoa học máy tính, khơng cơng sức để loại trừ virus  Virus liên tục phát triển với quy mô tác hại ngày lớn 10 Phần mềm diệt Virus (AV)  Phần mềm diệt virus phần mềm có tính phát hiện, loại bỏ Virus máy tính, khắc phục (một phần, toàn phần) hậu Virus gây ra, có khả nâng cấp để nhận biết loại Virus tương lai  Để đạt mục tiêu tối thiểu mở rộng tính năng, phần mềm diệt virus thường hoạt động nguyên lý sau:  Kiểm tra (quét) file để phát Virus biết Cơ sở liệu (của chúng) nhận dạng Virus  Phát hành động phần mềm giống hành động Virus phần mềm độc hại 12 Kỹ thuật tìm diệt virus  So sánh với mẫu virus biết trước + Các file cần kiểm tra virus phân tích so sánh với mẫu virus biết trước Nếu phát đoạn mã virus, file bị lây nhiễm virus, phần mềm thực biện pháp loại bỏ virus khỏi file bị lây nhiễm + Các phần mềm liên tục phải cập nhật Cơ sở liệu để có khả nhận biết loại virus biến thể + Cập nhật Cơ sở liệu Mẫu virus có hai dạng: Cập nhật hình thức tải file từ Internet Cập nhật tính tự động cập nhật AV 13 Kỹ thuật tìm diệt virus  Nhận dạng hành vi đáng ngờ + Là chức "thông minh" AV + AV theo dõi hoạt động bất thường hệ thống để phát Virus chưa biết đến (trong liệu nó), phần mềm độc hại, để từ đưa cảnh báo người sử dụng, cô lập virus, sẵn sàng gửi mẫu đến hãng ATTT phân tích cập nhật vào nâng cấp Cơ sở liệu + Chức phần mềm diệt Virus thường cho phép lựa chọn kích hoạt khơng, chiếm nhiều tài ngun máy tính 14 Kỹ thuật tìm diệt virus  Kiểm soát liên tục + Phần mềm diệt Virus máy tính thường thực kiểm sốt liên tục theo thời gian thực (Real Time) để bảo vệ hệ thống + Hình thức kiểm sốt liên tục quét Virus file mà hệ thống truy cập đến Mọi file từ copy vào hệ thống phải thông qua so sánh mẫu theo dõi hành động đáng ngờ 15 Kỹ thuật tìm diệt virus  Kết hợp phương thức + Virus đặt dòng lệnh Registry để lây nhiễm virus từ file nén vơ hiệu hóa phần mềm diệt virus + Có thể virus tải sử dụng trình duyệt để kết nối vào mạng Internet + Vì Phần mềm cần phải kết hợp phương thức để kiểm soát ngăn chặn hành vi Virus 16 Kỹ thuật tìm (nhận dạng) diệt virus theo hướng tiếp cận Máy học  Cơ sở liệu virus phần mềm thiết kế lại theo hướng áp dụng kỹ thuật khai phá liệu (data mining)  Đây bước khởi đầu lộ trình triển khai Hệ thống thông minh chống virus theo hướng tiếp cận Máy học (Machine Learning) 17 Kỹ thuật tìm (nhận dạng) diệt virus theo hướng tiếp cận máy học +Thay nhận dạng truyền thống mẫu virus xác định, Phần mềm nhận dạng virus theo đơn vị lớp (Class) sử dụng Kỹ thuật NNSRM (Nearest Neighbor Structural Risk Minimization) + Kỹ thuật NNSRM sử dụng giải thuật phân lớp tiên tiến Khai phá liệu Máy học (Tạp chí Elsevier (www.elsevier.com) 9/2003) 18 Kỹ thuật tìm (nhận dạng) diệt virus theo hướng tiếp cận máy học NNSRM dựa đặc trưng giống điểm liệu lớp để xây dựng định phân lớp +Tính chất tính tỷ lệ nghịch khoảng cách điểm liệu tập chẩn đoán +Điểm liệu chưa phân lớp gán vào lớp chứa điểm có khoảng cách gần nhất, với độ rủi ro thấp +Khi quét liệu, phần mềm diệt virus tính tốn ‘khỏang cách’ file so với đặc trưng lớp virus cần chẩn đoán để phân bổ tập liệu vào lớp lân cận  19 Kỹ thuật tìm (nhận dạng) diệt virus theo hướng tiếp cận máy học  Một đặc điểm kỹ thuật sở liệu rút gọn, đặc biệt quan trọng kích thước tập mẫu gia tăng đáng kể  Ngoài ưu điểm bật gia tăng tốc độ tiết kiệm không gian lưu trữ, NNSRM đánh giá giải thuật triển vọng cho toán phân lớp liệu tuyến tính với độ xác cao  So với việc tìm diệt virus theo cơng nghệ truyền thống, cải tiến cho kết nhận dạng virus tương đương, AV chạy nhanh nhầm 20 Kỹ thuật nhận dạng diệt virus mã hóa   Để ngăn chặn chuyên gia Anti-virus phát mã nhận dạng (ID-virus), hacker gần tăng cường biện pháp mã hóa nhằm tạo nhiều thể (instance) khác virus  Các mẫu Virus mã hóa nhanh chóng thay mẫu virus AV nhận dạng với nhiều thể khác kích thước, thuật tốn giải mã  Bằng cách này, Hacker dễ dàng "qua mặt" phần mềm AV 21 Kỹ thuật nhận dạng diệt virus mã hóa   Vấn đề phức tạp nhiều ứng dụng sử dụng Self-Extractor, khiến phần mềm diệt virus phân biệt Virus nén ứng dụng có gắn thủ tục tự giải nén  Để giải toán nhận dạng Virus mã hóa, số phần mềm diệt Virus thỏa hiệp với nhà cung cấp chương trình nén tự giải, để có chìa khóa giải mã  Đầu tiên giải pháp tỏ hiệu quả, sau gặp khó khăn, Hacker tìm vị trí độ dài xâu giải mã Kết phần mềm diệt virus giải mã thân virus ID-Decode bị thay đổi 22 Kỹ thuật nhận dạng diệt virus mã hóa  +Khi tiếp cận q trình cải tiến độ xác tốn tính "khoảng cách" điểm mơ tả liệu chẩn đốn để áp dụng cho phần mềm diệt virus với kỹ thuật nhận dạng virus hướng tiếp cận Máy học +Từ rút số quy luật cho phép nhận dạng phân biệt xác đối tượng chẩn đoán để phân bổ vào hai lớp: Chắc chắn virus hay nhiễm virus 23 Kỹ thuật nhận dạng diệt virus mã hóa   Các phần tử lớp thứ hai tiếp tục phân tích để loại dần mức độ nghi ngờ Phần tử đáng ngờ khám xét tỉ mỉ để có kết luận sau  Để nhận dạng loại Virus mã hóa, khơng phụ thuộc vào thuật toán giải mã Phần mềm diệt Virus bổ sung thuộc tính mở rộng khơng phụ thuộc vào thuật tốn giải mã đối tượng 24 Kỹ thuật nhận dạng diệt virus mã hóa   Điểm mấu chốt vấn đề nằm chỗ dù mã hóa thuật toán nào, Virus phải tự giải mã trước thực thao tác phá hoại  Mục tiêu toán phân hoạch phần mềm Diệt Virus rút cho thuộc tính điều khiển q trình tự giải mã  Kỹ thuật nhận dạng Virus mã hóa sử dụng phần mềm diệt Virus tảng để triển khai đề tài Anti-Virus thông minh 25 Xin chân thành cảm ơn! 26