HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG KHOA CÔNG NGHỆ THÔNG TIN 1 ĐÈ TÀI: NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC DUA TREN HANH VI SỬ DỤNG HOC MAY Giảng viên hướng dan: TS Đỗ Xuân Chợ Nguyễn Thị Hoa Sinh viên thực hiện : BI17DCA T077 Mã sinh viên : D17CQAT01-B 2017-2022 Đại học chính quy Hà Nội, 2021 HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG KHOA CÔNG NGHỆ THÔNG TIN 1 ĐÈ TÀI: NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC DUA TREN HANH VI SỬ DỤNG HOC MAY Giang viên hướng dan: TS Đỗ Xuân Chợ Nguyễn Thị Hoa Sinh viên thực hiện : B17DCA T077 Mã sinh viên : D17CQAT01-B 2017-2022 Đại học chính quy Hà Nội, 2021 ĐỎ AN TOT NGHIỆP LỜI CẢM ƠN Trước tiên, em xin gửi lời biết ơn sâu sắc nhất tới Thầy giáo TS Đỗ Xuân Chợ, người đã tận tình chi bảo và hướng dẫn trong suốt quá trình thực hiện đồ án tốt nghiệp này Thay luôn là động lực thúc đây em phải cô gắng và chịu khó tim tdi nghiên cứu hơn nữa, giúp em tích lũy được nhiều kiến thức và kinh nghiệm quý báu Em xin chân thành cảm ơn các Thay, Cô trong Khoa Công nghệ Thông tin 1 nói riêng và toàn thê các cán bộ của Học viện Công nghệ Bưu chính Viễn thông nói chung đã tạo điều kiện để em có thể học tập và phát triển bản thân trong một môi trường rất tốt Cảm ơn các Thầy Cô đã mang lại cho em không chỉ kiến thức mà còn cả những kỹ năng sống và làm việc Tất cả sẽ là hành trang hữu ích cho em trên chặng đường dài trong tương lai Em xin gửi lời cảm ơn đến Trung tâm Dịch vụ Công nghệ Thông tin (Viettel Software Service) đã cung cấp cho em những kiến thức về lập trình, trí tuệ nhân tạo và tạo điều kiện cho em hoàn thiện đồ án này Em xin gửi lời cảm ơn tới anh Hoàng Tiến Công, người đã giúp đỡ, hỗ trợ và đưa ra lời khuyên quý báu giúp em hoàn thành đồ án Cuối cùng, em xin cảm ơn gia đình, bạn bè, những người anh, người chị đã luôn bên cạnh quan tâm, ủng hộ và giúp đỡ nhiệt tình dé bản thân em có thé hoàn thành đồ án này Qua đây, em cũng mong muốn nhận được những ý kiến đóng góp quý báu từ phía Thay Cô giáo phản biện và Hội đồng bảo vệ đồ án tốt nghiệp Xin chân thành cảm on! Hà Nội, ngày 04 tháng 01 năm 2022 NGUYEN THỊ HOA - D17CQAT01-B Sinh viên thực hiện Nguyễn Thị Hoa 1 ĐỎ AN TOT NGHIỆP NHAN XÉT, ĐÁNH GIA, CHO DIEM (Của Người hướng dẫn) Điểm: (bằng chữ: c 2 .: 2 ) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp? Hà Nội, ngày thang năm 20 CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN (ký và ghi rõ họ tên) NGUYEN THỊ HOA - D17CQAT01-B ĐỎ AN TOT NGHIỆP NHAN XÉT, ĐÁNH GIÁ, CHO DIEM (Của Người phản biện) Điểm: (bằng chữ: c 2 .: 2 ) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp? Hà Nội, ngày thang năm 20 CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN (ký và ghi rõ họ tên) NGUYEN THỊ HOA - D17CQAT01-B ĐỎ AN TOT NGHIỆP LOT CAM ƠN, MỤC LỤC 55-55 212221 22122112712211211221121121111211011211011.1011.11e1.e1 1 NHAN XÉT, DANH GIA, CHO DIEM o.0 ccccccccsscssscsssessessesssessesssessesssessesssessessesseesses 2 NHAN XÉT, DANH GIA, CHO DIEM 0 ccccccccsccsssesssessessecssessesssessesssessesssessesssesseesses 3 MỤC LLỤC S222.2E 222 112 212 2212.711.271.127 1.2 211 2T1 122 112 112 112 111- 1121-1 0211-0 2e5rr2 ee 4 DANH MỤC BẢNG 2-5-2221 2212212211271121122112110211211111211112111.1211y0e1 6 DANH MỤC HÌNH ẢNH 22-.22.22.2 EE.E22.11.221.1 2.21.12.11.21.12.1 E1.E.e.e.rr.e.e 7 DANH MỤC CÁC TỪ VÀ THUẬT NGỮ VIET TẮTT -. .- 2 z.+2.zz.+2.z.z2.z+.zz.+ 8 LOT MO DAU 22-.222 2212.221.2271.2711.711.2712.27.112.211.211.211.211.21 11 11 1 -re-e 9 CHUONG I: TONG QUAN VE MÃ ĐỘC VÀ PHƯƠNG PHÁP PHÁT HIỆN 11 1.1 Tổng quan về mã độc 2-.2.+.++.2+Ex.+2E.E+E.Et2.EE2.7X2.E15.711.221.711.221.71 22-1.- 11 1.LI Khái niệm về mã d66 cccceccccceccecsessessessesssssssssssessessessessessessecsessesssssssessesscess 11 VU T7: ro n.a ĂHĂ))) 11 1.1.3 Các nguy cơ về An toàn thông tin liên quan đến mã độc 16 1.2 Phuong pháp phát hiện Á n n g .H.H.H H H.ư -nh 20 1.3 Kết chương S2.2.E 2E.22.221.12.11.22.12.11.211 11.1.1.21.2.1.21-1-2-1-52cr-e 21 CHUONG II: PHƯƠNG PHÁP PHAT HIỆN MA DOC TREN MAY TRAM SU DỤNG HỌC MÁY 2< 222.221.122.112.211.222.12.211.211.211.211.121.11.2.11.0.1-1-1-12021- 22 2.1 Tổng quan phương pháp tiếp cận .¿.2.c 2c.t.2 2.2.2.10.2.1.2.1.1.2.1.2 22 2.2 Phương pháp tổng hợp và trích xuất hành vi mã độc - 22 2.2.1 Kiến trúc mô hÌHÏ - 5-55 SE E E2 21221 221121121211211.1ke12e1a1 23 2.2.2 Xây dựng NO sơ tiễn trình .S.E 2.2.2.11.2-1-11-1+1©125.¿+Szr+eE 24 2.2.3 Tổng hợp và trích xuất thuộc tính dựa trên mô hình Sạn2Vec 28 2.2.4 Tổng hop và trích xuất thuộc tính dựa trên mô hình Graph2Vee 29 NGUYEN THỊ HOA - D17CQAT01-B 4 ĐỎ AN TOT NGHIỆP 2.3 Phương pháp phát hiện mã độc -. .G à S .H H.i t 33 VI NcL nu, an nen e < ồ 33 2.3.2 Multi-layer Perceptron (ÌM[LP), .1 S S k y ớt 35 2.4 Kết chương 2-2 sex 2 19E1211271211111211111211111111111120111211111.1 37 CHƯƠNG III: THỰC NGHIỆM VÀ DANH GIÁ 22-2©5222++£x2zxczzze 38 3.1 BO dif ligu thre 1/0 1 e 38 3.2 Kịch bản thử nghiệm .H H .H.H.H.H HH T.T.n.g H-H 39 KKSM u62 nan 40 3.4 Một số kết quả thực nghiệm 2.2.©.2+.SE.‡EE.SE.EE.EE.EEE.E2.11.27.12.11.7.12.11.2- - 40 3.4.1 Kết quả thực nghiệm kịch bản l .55.+ SS.cS.E.cE.EE.eS.EE.E.ke.Er.er.kr-e-re-rr2re-e 40 3.4.2 Kết quả thực nghiệm kịch bản 2 (S.5 St T.T.E 1 2 2 43 3.5 Kết c€hương - 2 sex 2E 212112112112112112111111111111111111221111111111H101 46 009.9507575 .ố 41 DANH MỤC TAI LIEU THAM KHAO 22.52.+2.E2+.2E£.+£E.E+.£EE.t£E.Etz.EE.rrr.xrr-rrc-ee 49 NGUYEN THỊ HOA - D17CQAT01-B 5 ĐỎ AN TOT NGHIỆP DANH MUC BANG Bang 1.1: Danh sách thuộc tính trong một tiến trình .-. :c+sx+xvx£EcEeEtrEerxreererrsree 26 Bang 3.1: Thống kê số lượng mẫu mã độc .2.-2 2 2+.+E.+£E.££E£.£E£2.E++.EE2E.E+EE.+Ex-erxs-red 38 Bang 3.2 Thống kê thành phan và số lượng file bình thường 2.-.2 s2.-s-2-2 38 Bang 3.3: Kết quả thực nghiệm sử dụng thuật toán Sequence-RF . -2 s5-2 41 Bang 3.4: Kết quả thực nghiệm sử dung mô hình Sequence-MLP 5-25-2 42 Bang 3.5 Kết quả thực nghiệm sử dụng mô hình Graph2Vec-RE . -¿-5- 44 Bang 3.6: Kết quả thực nghiệm sử dụng mô hình Graph2Vec-MLP . .-«.-.+ 44 NGUYEN THỊ HOA - D17CQAT01-B 6 ĐỎ AN TOT NGHIỆP DANH MỤC HINH ANH Hình 1.1: Báo cáo dự đoán về thiệt hại do tội phạm mạng gây ra (Cybersecurity Ma20 a.aA5ă ă ă ố 16 Hình 1.2: Thống kê tổng số mã độc trong 10 năm qua (AV-TEST Security Report °\IbJ0)20) Sr‹c ÔỎ 18 Hình 1.3: Tỷ lệ tấn công đào tiền ảo theo khu vực trên thế giới (Theo báo cáo an ninh mang Quy I/2021 của Vina SpIT€) . + 2 11991 21991 TH nh ng ngàng nà 19 Hình 2.1: Mô hình phát hiện mã độc trên máy người dung dựa trên phân tích hồ sơ tiến trình sử dụng học MAY .- - «+ kg HT nh nhà 23 Hình 2.2: Ví dụ về kiến trúc của hồ sơ tiến trình dạng cây tiến trình 27 Hình 2.3: Mô hình Sqn2Vec-SIM và Sqn2Vec-SEPP .- - cà.k i ệ t 29 Hình 2.4: Mô hình phân tích và phân loại hồ sơ tiến trình . :-¿zz+c5z: 30 Hình 2.5: Mô hình dao tao skip ØTa1m + 1.1.1.v H.H.H.H H.H ng.-n-g - 32 Hình 2.6: Ví dụ về việc học bang cách kết hợp nhiều mô hình của thuật toán RE 34 Hình 2.7: Một ví dụ đơn giản về thuật toán Random FOrest - + +.ec.x+.xv.zx.+x-ez-ee-s 35 Hình 2.8: Cách MLP hoạt động - - t9 99191112 911g HH HH ng ng 36 Hình 3.1 Kết quả confusion matrix của thuật toán RF và MLP trên mô hình Sqn2Vec 42 Hình 3.2 Kết qua confusion matrix của thuật toán RF và MLP trên mô hình Graph2Vec NGUYEN THỊ HOA - D17CQAT01-B 7 ĐỎ AN TOT NGHIỆP DANH MỤC CÁC TỪ VÀ THUẬT NGỮ VIET TAT Ký hiệu Tên Tiếng Anh Ý nghĩa Tiếng Việt Dos Denial of Service Từ chối dịch vụ loT Internet of things Internet van vat MD5 Message- Digest algorithm 5 Thuật toán Tiêu hóa-tin nhắn 5 NPM Node Package Manager Trình quản lý gói nút PV Paragraph Vector Vecto tham số SP Sequential pattern satisfying Mẫu tuân tự đáp ứng USB Universal Serial Bus Bus nối tiếp đa năng WH Weights hidden layer Trọng số lớp ân NGUYEN THỊ HOA - D17CQAT01-B