HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - ĐỖ ANH TUẤN PHÁT HIỆN CÁC PHẦN MỀM ĐỘC HẠI DỰA TRÊN PHÂN TÍCH HÀNH VI VÀ ỨNG DỤNG TRONG CHỐNG HACK GAME Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số: 60.48.01 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: Tiến sĩ HOÀNG XUÂN DẬU Phản biện 1: …………………………………………………………………………………………… Phản biện 2: …………………………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông MỞ ĐẦU Với phát triển mạnh mẽ Internet, vấn đề an ninh, an toàn hệ thống thông tin ngày trở nên cấp thiết hệ thống thông tin kết nối với với mạng Internet, chúng phải đối diện với nhiều nguy bị công lấy cắp thông tin phá hoại hệ thống Trong số tác nhân công phá hoại hệ thống thông tin mạng, phần mềm độc hại dạng gây nhiều thiệt hại khả lan truyền nhanh chóng Các phần mềm độc hại phát triển ngày tinh vi, khó phát với kỹ thuật nhận dạng thông thường, kỹ thuật phân tích tĩnh phân tích động Các kỹ thuật phân tích tĩnh phân tích động giúp phân tích, nhận dạng phần mềm độc hại dựa đặc trưng chúng dạng chữ kí Tuy nhiên, kỹ thuật viết chương trình ngày phát triển, phần mềm độc hại có khả tự biến đổi thành dạng khó phân tích, nhận dạng Dựa đặc tính, tính chất phần mềm độc hại, phương pháp tiếp cận phân tích hành vi tỏ có lợi nhận dạng phòng ngừa nguy phần mềm độc hại gây ra, đặc biệt có biến đổi kỹ thuật viết chương trình phần mềm độc hại để tránh phương pháp phân tích nhận dạng truyền thống Luận văn tập trung nghiên cứu phương pháp phân tích, nhận dạng phần mềm độc hại dựa hành vi với mục đích nâng cao khả nhận dạng phần mềm độc hại Luận văn bao gồm ba chương với nội dung sau: + Chương 1: Giới thiệu tổng quan phần mềm độc hại: khái niệm chung phần mềm độc hại, phân loại chúng theo NIST, tác hại phần mềm độc hại hệ thống người dùng, trình hình thành phát triển phần mềm độc hại + Chương 2: Trình bày phương pháp phân tích phần mềm độc hại: phương pháp phân tích tĩnh, phương pháp phân tích động, phương pháp phân tích hành vi So sánh ưu nhược điểm phương pháp phân tích phần mềm độc hại + Chương 3: Nội dung trình bày tổng quan games, trình hình thành phát triển game giới Việt Nam Ứng dụng phân tích hành vi chống hack game Minh họa ứng dụng dụng phân tích hành vi chống hack cho game Pikachu CHƯƠNG - TỔNG QUAN VỀ CÁC PHẦN MỀM ĐỘC HẠI 1.1 Định nghĩa phần mềm độc hại Phần mềm độc hại (tiếng Anh: malware ghép hai chữ malicious software) loại phần mềm hệ thống tin tặc lập trình viên tạo nhằm gây hại cho máy tính người dùng Tùy theo cách thức mà tin tặc sử dụng, nguy hại loại phần mềm độc hại khác Một số phần mềm độc hại đơn giản hiển thị thông điệp không mong muốn, gây khó chịu cho người dùng Tuy nhiên, nhiều phần mềm độc hại hỗ trợ tin tặc công, đột nhập đánh cắp thông tin, chiếm quyền điều khiển máy tính Nhiều phần mềm độc hại có khả lây lan sang máy tính khác tương tự virus thể sinh vật 1.2 Phân loại Theo NIST(National Institute of Standards and Technology : viện tiêu chuẩn công nghệ quốc gia Hoa Kỳ) Phần mềm độc hại chia thành tám nhóm chính, bao gồm: Virus, Trojan horse, Worm, Malicious mobile code, Blended attack, Tracking cookies, Attacker tools Non-Malware Threats 1.3 Tác hại phần mềm độc hại Dựa loại phần mềm độc hại khác mà tác hại chúng hệ thống khác nhau, có tác hại sau: Giảm hiệu máy tính Thiệt hại tài Mất thông tin cá nhân Ảnh hưởng tới hoạt động sản xuất 1.4 Lịch sử phát triển phần mềm độc hại 1.5 Kết chương Chương luận văn đề cập tới khái niệm phần mềm độc hại, phân loại phần mềm độc hại theo viện tiêu chuẩn công nghệ quốc gia Hoa Kỳ, lịch sử hình thành phát triển từ trước tới nay, tác hại đối phần mềm độc hại Với tác hại phần mềm độc hại hệ thống vấn đề đặt cho luận văn phát triển giải pháp phân tích phần mềm độc hại dựa phân tích hành vi, giúp đánh giá tác động ảnh hưởng phần mềm độc hại hệ thống đưa giải pháp phòng ngừa khắc phục hậu phần mềm độc hại gây CHƯƠNG - CÁC PHƯƠNG PHÁP PHÂN TÍCH, NHẬN DẠNG PHẦN MỀM ĐỘC HẠI 2.1Các phương pháp phân tích, nhận dạng phần mềm độc hại 2.1.1 Phương pháp phân tích tĩnh 2.1.1.1 Giới thiệu Phương pháp phân tích tĩnh phương pháp trích xuất thông tin phần mềm độc hại từ tập tin mã nhị phân chúng mà không thực mã nhị phân Phân tích tĩnh bao gồm việc kiểm tra danh sách chuỗi, sinh chữ ký cho phần mềm phân tích, xác định thuộc tính trình biên dịch sử dụng số đặc điểm khác 2.1.1.2 Quét chữ ký phần mềm độc hại dựa công cụ Anti-virus 2.1.1.3 Phân tích phần mềm độc hại áp dụng đóng gói xáo trộn mã 2.1.1.4 Phân tích phần mềm độc hại hệ điều hành Windows 2.1.2 Phương pháp phân tích động 2.1.2.1 Giới thiệu Phương pháp phân tích động phân tích, kiểm tra phần mềm độc hại chúng thực thi Phân tích động bước thứ hai trình phân tích phần mềm độc hại Phân tích động thường thực sau hoàn tất trình phân tích tĩnh Phân tích động liên quan đến việc giám sát phần mềm độc hại chúng thực thi, kiểm tra hệ thống sau thực phần mềm độc hại Khi phân tích phần mềm độc hại phương pháp phân tích động cần thực bước sau : Thiết lập môi trường phân tích Chạy phần mềm nghi ngờ độc hại Giám sát tiến trình phần mềm nghi ngờ độc hại Giám sát mạng chạy phần mềm nghi ngờ độc hại 2.1.2.2 Thiết lập môi trường phân tích 2.1.2.3 Chạy phần mềm độc hại 2.1.2.4 Giám sát tiến trình phần mềm nghi ngờ độc hại 2.1.2.5 Giám sát mạng chạy phần mềm nghi ngờ độc hại 2.2 Phương pháp phân tích, nhận dạng phần mềm độc hại dựa hành vi Phương pháp phân tích phần mềm độc hại dựa hành vi việc khai thác thông tin liên quan chương trình bị nghi ngờ, cách giám sát hoạt động, hành động hệ thống Trong phần này, luận văn tập trung đưa ví dụ phân tích hành vi mô hình hóa Mục đích việc phân tích hành vi phần mềm độc hại giúp đánh giá ảnh hưởng, tác động đến hệ thống phần mềm độc hại thực thi Do vậy, hệ thống phân tích sử dụng phương pháp phân tích hành vi cần có thành phần : Giám sát hành vi ứng dụng mức thấp tổng hợp để hình thành hành vi cấp cao Phân cụm hành vi thu phần giám sát Khắc phục ảnh hưởng tới hệ thống bị nhiễm độc, dựa vào liệu hành vi thu 2.2.1 Mô tả vấn đề 2.2.2 Khai thác hành vi cấp cao 2.2.3 Phân cụm hành vi 2.2.4 Khái quát hành vi 2.2.5 Tạo thủ tục xử lý vùng nhiễm độc 2.3 So sánh phương pháp phân tích phần mềm độc hại Bảng 2.3 So sánh ưu nhược điểm phương pháp phân tích phần mềm độc hại Ưu điểm Nhược điểm + Không thực chạy mã độc, giảm Phân tích tĩnh nguy lây lan phá hoại hệ thống + Dựa cấu trúc tệp tin thực thi (PE file) để phân tích Phân tích động + Khó phân tích phần mềm nghi ngờ độc hại bị nén, mã hóa + Giám sát hành động + Khi thực chạy phần