Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 26 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
26
Dung lượng
859,82 KB
Nội dung
Header Page of 145 BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC ĐÀ NẴNG TRẦN THANH LIÊM ỨNG DỤNG MÔ HÌNH MAPREDUCE PHÂN TÍCH VÀ XỬ LÝ MALWARE Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT Đà Nẵng - Năm 2015 Footer Page of 145 Header Page of 145 Công trình hoàn thành ĐẠI HỌC ĐÀ NẴNG Ngƣời hƣớng dẫn khoa học: TS NGUYỄN TẤN KHÔI Phản biện 1: TS NGUYỄN VĂN HIỆU Phản biện 2: TS HOÀNG THỊ LAN GIAO Luận văn bảo vệ trước Hội đồng chấm Luận văn tốt nghiệp thạc sĩ Kỹ thuật họp Đại học Đà Nẵng vào ngày 10 tháng 01 năm 2015 Có thể tìm hiểu luận văn tại: - Trung tâm Thông tin - Học liệu, Đại học Đà Nẵng Footer Page of 145 Header Page of 145 MỞ ĐẦU Tính cấp thiết đề tài Sự phát triển mạnh mẽ công nghệ thông tin lĩnh vực mạng nói chung Internet nói riêng giúp cho việc trao đổi thông tin nhanh chóng, dễ dàng Dịch vụ trao đổi thông tin cho phép người ta nhận hay gửi liệu máy tính mình; thương mại điện tử cho phép thực giao dịch mạng Do vậy, thông tin bị đánh cắp, làm sai lệch giả mạo ngày nhiều 64,2 triệu lượt máy tính Việt Nam bị nhiễm virus năm 2011, theo thống kê Hệ thống giám sát virus BKAV Trung bình ngày có 175 nghìn máy tính bị nhiễm virus Năm 2012, Việt Nam bị xếp thứ 15 phát tán mã độc, thứ 10 tin rác, thứ 15 zombie Năm 2013, tháng có khoảng 300 website bị công làm thay đổi giao diện, đăng thông tin sai lệch, phá hoại hoạt động website Điều làm ảnh hưởng lớn tới tổ chức, công ty hay quốc gia [17] Hiện nay, với phát triển công nghệ, lượng liệu lưu trữ ngày lớn Điều đặt nhiều thách thức Để xử lý lượng liệu khổng lồ đó, nhiều công nghệ đời Trong phải kể đến công nghệ tính toán phân tán Ý tưởng việc tính toán phân tán chia toán thành toán giải máy riêng biệt kết nối cluster Chúng ta thấy thành công công ty Google, Facebook thời đại bùng nổ công nghệ Đằng sau thành công có đóng góp không nhỏ mô hình lập trình đưa Google – mô hình lập trình phân tán MapReduce [18] MapReduce mô hình lập trình phân tán, bao gồm hai Footer Page of 145 Header Page of 145 giai đoạn Map Reduce Mô hình lập trình MapReduce dùng để xử lý liệu lớn dựa lý thuyết mô hình tính toán song song mô hình xử lý liệu phân tán cụm máy tính Ưu điểm MapReduce là: - Xử lý tốt toán với lượng liệu lớn có tác vụ phân tích tính toán phức tạp không lường trước - Có thể tiến hành chạy song song máy phân tán cách xác hiệu Không cần quan tâm đến trao đổi liệu cluster với chúng hoạt động cách độc lập, không cần theo dõi xử lý tác vụ, xử lý lỗi - Có thể thực mô hình MapReduce nhiều ngôn ngữ (Java, C/ C++, Python, Perl, Ruby) với thư viện tương ứng Với nhu cầu xử lý liệu lớn, mã độc mạng ngày nhiều, trình phát xử lý mã độc phức tạp, mã độc cần thời gian xử lý ngắn hơn, hướng ứng dụng MapReduce để phát mã độc quan tâm Vì lý trên, chọn đề tài luận văn cao học: “Ứng dụng mô hình MapReduce phân tích xử lý malware” Mục tiêu đề tài Mục tiêu đề tài nghiên cứu ứng dụng mô hình MapReduce để thiết kế xây dựng hệ thống phân tích xử lý mã độc Để thực yêu cầu trên, luận văn tập trung thực nhiệm vụ cụ thể sau: - Tìm hiểu nguyên tắc an toàn bảo mật thông tin - Tìm hiểu hệ thống hỗ trợ phát xâm nhập - Tìm hiểu phương pháp lập trình phân tán MapReduce, phân tích xử lý mã độc Footer Page of 145 Header Page of 145 - Nghiên cứu ứng dụng mô hình xử lý phân tán MapReduce để xây dựng hệ thống phân tích xử lý mã độc - Triển khai thử nghiệm hệ thống mạng Đại học Đà Nẵng - Nhận xét đánh giá so sánh với hệ thống khác Đối tƣợng phạm vi nghiên cứu 3.1 Đối tượng nghiên cứu - Cơ chế an toàn thông tin mạng - Hệ thống phát xâm nhập - Mô hình lập trình phân tán MapReduce - Cơ chế phân tích xử lý mã độc 3.2 Phạm vi nghiên cứu - Các nguy xâm nhập hệ thống - Nghiên cứu thư viện hỗ trợ phát virus có sẵn - Môi trường lập trình phân tán theo mô hình MapReduce - Áp dụng vào hệ thống mạng Đại học Đà Nẵng Phƣơng pháp nghiên cứu 4.1 Phương pháp lý thuyết - Cơ chế an toàn bảo mật thông tin mạng - Cơ chế phát xâm nhập mã độc - Nguyên lý lập trình theo mô hình xử lý phân tán MapReduce - Phân tích xử lý mã độc dựa vào mô hình MapReduce 4.2 Phương pháp thực nghiệm - Phân tích, thiết kế chức phân tích xử lý mã độc - Xây dựng mô-đun xử lý phân tán với mã độc - Xử lý, hiển thị đánh giá kết - Kiểm thử, nhận xét đánh giá kết hệ thống Footer Page of 145 Header Page of 145 Ý nghĩa khoa học thực tiễn 5.1 Ý nghĩa khoa học - Cơ chế phân tích xử lý phát mã độc - Áp dụng phương pháp lập trình phân tán theo mô hình MapReduce để xử lý toán phân tích xử lý mã độc theo thời gian thực 5.2 Ý nghĩa thực tiễn - Đề xuất giải pháp phát xử lý mã độc cho tổ chức doanh nghiệp - Cung cấp hệ thống hỗ trợ cho nhà quản trị mạng khai thác ứng dụng phục vụ công việc quan, doanh nghiệp Bố cục luận văn Bố cục luận văn gồm phần sau: Mở đầu Chương Tổng quan đề tài Chương Mô hình xử lý phân tán MapReduce Chương Xây dựng hệ thống phân tích xử lý mã độc Kết luận hướng phát triển Footer Page of 145 Header Page of 145 CHƢƠNG TỔNG QUAN ĐỀ TÀI 1.1 1.2 1.3 AN TOÀN THÔNG TIN 1.1.1 Giới thiệu 1.1.2 Các yêu cầu an toàn bảo mật thông tin 1.1.3 Các tiêu chuẩn đảm bảo an toàn thông tin 1.1.4 Tình hình an ninh mạng nƣớc 1.1.5 Tình hình an ninh mạng quốc tế CÁC HÌNH THỨC TẤN CÔNG MẠNG 1.2.1 Tấn công thăm dò 1.2.2 Tấn công sử dụng mã độc 1.2.3 Tấn công xâm nhập mạng 1.2.4 Tấn công từ chối dịch vụ TẤN CÔNG MÃ ĐỘC 1.3.1 Khái niệm mã độc 1.3.2 Phân loại mã độc 1.3.3 Hành vi mã độc 1.3.4 Các phƣơng pháp phân tích mã độc a Phương pháp phân tích mã độc thủ công - Phân tích sơ lược - Phân tích hoạt động - Phân tích cách đọc mã thực thi mã độc b Phương pháp phân tích mã độc tự động 1.4 CÁC CÔNG TRÌNH NGHIÊN CỨU LIÊN QUAN Trong hầu hết hệ thống sandbox miễn phí cung cấp mạng như: Joe Sandbox, Threat expert, CW Sandbox hỗ trợ chế cho phép người dùng nhập lúc mã độc lên cho hệ thống phân tích Ngay với trường hợp người dùng đưa lên tập Footer Page of 145 Header Page of 145 tin nén *.zip chứa tập tin mã độc hệ thống tách riêng để phân tích tập tin Bên cạnh hệ thống sandbox cho phép phân tích hành vi mã độc tự động miễn phí Cuckoo Sandbox, Buster Sandbox hay Zero Wine Sandbox có hạn chế riêng Buster Sandbox phụ thuộc vào việc tải cài đặt Sandboxie, phần mềm mã đóng có khuynh hướng thu phí người dùng Bên cạnh việc tùy chỉnh kịch bên Buster Sandbox lại không hỗ trợ nhiều, người dùng thường chấp nhận mà Buster Sandbox cung cấp [32] Zero Wine Sandbox gặp phải số vấn đề phân tích mã độc khả mã độc phát môi trường phân tích Zero Wine Sandbox cao, thông qua việc đọc giá trị registry thông qua việc so sánh dung lượng tập tin Windows thật tập tin Windows Zero Wine Sandbox, tập tin Zero Wine Sandbox thường có dung lượng nhỏ Và phiên Zero Wine Sandbox cung cấp vào cuối năm 2010 nên không theo kịp với phát triển loại mã độc [33] Cuckoo Sandbox bắt đầu vào năm 2010, dự án Google Summer of Code thiết kế phát triển Claudio nex Guarnieri Cuckoo tận dụng sáng tạo đóng góp toàn thể cộng đồng để tạo nên hệ thống phân tích mã độc ổn định hiệu Tuy nhiên hệ thống Cukoo chạy cách phân tích mã độc [34] Mô hình xử lý phân tán MapReduce ứng dụng toán liệu lớn (big data), phức tạp mà với máy gần xử lý Lập trình phân tán theo mô hình giúp giảm đáng kể thời gian xử lý công việc Dưới số nghiên Footer Page of 145 Header Page of 145 cứu ứng dụng theo mô hình lập trình phân tán MapReduce như: Bài toán đếm từ xuất [13], Khai phá luật kết hợp với liệu phân tán dựa mô hình MapReduce (Luận văn thạc sĩ) [3], Theo dõi trận động đất giới [18], Áp dụng Search Engine phân tán [2], Tính độ tương tự tài liệu theo mô hình MapReduce,… 1.5 KẾT CHƢƠNG Trong chương giới thiệu tổng quan an toàn thông tin Khái quát số khái niệm an toàn thông tin, hình thức công mạng, công mã độc Nêu yêu cầu an toàn bảo mật thông tin, tiêu chuẩn đảm bảo an toàn thông tin, tình hình an ninh mạng nước quốc tế Ngoài ra, chương này, trình bày cụ thể hình thức công mạng công mã độc, tác hại mã độc, phân loại mã độc, phương pháp công cụ hỗ trợ phân tích mã độc Từ hình thành ý tưởng ứng dụng mô hình xử lý phân tán MapReduce vào phân tích xử lý mã độc Footer Page of 145 Header Page 10 of 145 CHƢƠNG MÔ HÌNH XỬ LÝ PHÂN TÁN MAPREDUCE 2.1 ĐIỆN TOÁN ĐÁM MÂY 2.1.1 Đặc điểm dịch vụ điện toán đám mây 2.1.2 Lợi ích điện toán đám mây 2.1.3 Tính chất điện toán đám mây a Tự phục vụ theo nhu cầu (On-demand self-service) b Truy xuất diện rộng (Broad network access) c Dùng chung tài nguyên (Resource pooling) d Khả co giãn (Rapid elasticity) e Điều tiết dịch vụ (Measured service) 2.1.4 Các mô hình điện toán đám mây a Mô hình dịch vụ - Infrastructure as a Service – IaaS - Platform as a Service – PaaS - Software as a Service – SaaS b Mô hình triển khai 2.2 - Public Cloud - Private Cloud - Hybrid Cloud MÔ HÌNH XỬ LÝ PHÂN TÁN MAPREDUCE 2.2.1 Giới thiệu MapReduce mô hình xử lý phân tán giúp ứng dụng xử lý nhanh lượng liệu lớn Các liệu đặt máy tính phân tán Các máy tính hoạt động song song độc lập với Điều giúp rút ngắn thời gian xử lý toàn liệu Ưu điểm MapReduce: - Xử lý tốt toán lượng liệu lớn có tác vụ phân Footer Page 10 of 145 Header Page 12 of 145 10 xếp terabyte liệu vòng 209 giây, phá kỷ lục cũ 297 giây Sau lâu, Google công bố ứng dụng chạy MapReduce họ xếp terabyte liệu 68 giây Vào tháng năm 2009, đội nhà phát triển Yahoo! dùng Hadoop để xếp terabyte liệu vòng 62 giây a Các thành phần Hadoop b Tổng quan cụm Hadoop c Ứng dụng Hadoop 2.3.2 Hệ thống tập tin phân tán Hadoop a Tổng quan thiết kế HDFS b Các tính NameNode c Khả chịu lỗi chẩn đoán lỗi HDFS d Các giao diện tương tác e Quản trị HDFS 2.3.3 Phát triển ứng dụng MapReduce tảng Hadoop 2.4 KẾT CHƢƠNG Trong chương trình bày điện toán đám mây, mô hình lập trình MapReduce, ưu nhược điểm, nguyên tắc hoạt động, thực thi MapReduce Ngoài ra, nội dung chương giới thiệu tảng Hadoop, trình bày tổng quan thiết kế HDFS, tính NameNode, khả chịu lỗi chẩn đoán lỗi HDFS, giao diện tương tác quản trị HDFS Từ làm tảng để xây dựng mô hình quy trình thực phân tích xử lý mã độc dựa tảng Hadoop Footer Page 12 of 145 Header Page 13 of 145 11 CHƢƠNG THIẾT KẾ HỆ THỐNG PHÂN TÍCH VÀ XỬ LÝ MÃ ĐỘC 3.1 PHÁT BIỂU BÀI TOÁN Với nhu cầu xử lý liệu lớn, mã độc mạng ngày nhiều, trình phát xử lý mã độc phức tạp, mã độc cần thời gian xử lý ngắn hơn, hướng ứng dụng mô hình xử lý phân tán MapReduce để phân tích xử lý mã độc quan tâm Yêu cầu hệ thống phân tích xử lý mã độc: Tính phân tán, Tính an toàn, Tính tự động, Tính hiệu 3.2 PHÂN TÍCH MÃ ĐỘC DỰA TRÊN MÔ HÌNH MAPREDUCE 3.2.1 Mô hình phân tích mã độc Hình 3.1 Mô hình tổng quan hệ thống Footer Page 13 of 145 Header Page 14 of 145 12 Hình 3.2 Mô hình hệ thống phân tích mã độc Hệ thống phân tích mã độc bao gồm máy master (máy chủ) nhiều máy slave (máy trạm) Hệ thống tập tin phân tán HDFS lưu trữ mã độc cần phân tích Với hệ thống cho phép ta chọn nhiều kiểu tập tin khác đặt phân tán để phân tích Máy client gởi danh sách tập tin mã độc đến yêu cầu thực phân tích Máy master xem xét máy slave sẵn sàng phân phối, gởi địa mã độc đến để làm nhiệm vụ Map Các máy slave làm nhiệm vụ Map tải mã độc từ HDFS tiến hành phân tích Kết trình Map gởi đến máy slave để làm nhiệm vụ Reduce Kết phân tích kết trình Reduce Như vậy, máy slave vừa làm nhiệm vụ Map, vừa làm nhiệm vụ Reduce Ở máy slave cài thêm nhiều máy ảo Tùy vào cấu hình máy chủ, việc cài đặt nhiều máy ảo giúp giảm thời gian phân tích, tăng hiệu xử lý Mục đích việc cài đặt Footer Page 14 of 145 Header Page 15 of 145 13 máy ảo tạo môi trường an toàn để thực thi mã độc sau mã độc tải từ HDFS Các máy ảo lập trình để chạy tự động (tự khởi động, tự động khôi phục lại môi trường sạch, tự chép tập tin phân tích, trả kết cho máy slave, tự động tắt máy ảo) mà không cần can thiệp người Với chức Snapshot, giúp cho việc khôi phục lại môi trường, cấu hình phân tích máy ảo trở nên nhanh chóng chọn lựa môi trường phân tích khác để phù hợp với tập tin phân tích mã độc 3.2.2 Quy trình thực a Đầu vào - Danh sách tập tin nghi ngờ có mã độc - Địa mã độc b Đầu - Kết luận tập tin có nhiễm mã độc hay không - Kết báo cáo chi tiết hành vi mã độc - Thống kê mã độc phân tích - Kết xử lý, ngăn chặn, gỡ bỏ mã độc c Sơ đồ thuật toán d Các bước thực 3.2.3 Cơ chế Map mã độc Các máy slave làm nhiệm vụ Map nhận đầu vào cặp với key tên mã độc, value địa mã độc Dựa vào địa này, máy cục tải mã độc phân tích Như vậy, trình hoạt động máy slave làm nhiệm vụ Map có ba giai đoạn chính: - Tải mã độc máy slave để làm nhiệm vụ Map từ HDFS Footer Page 15 of 145 Header Page 16 of 145 14 - Thực chạy hoạt động phân tích tĩnh - Chép mã độc vào máy ảo, thực chạy hoạt động phân tích động Công việc xử lý kết phân tích mô tả sau: Hình 3.5 Xử lý kết phân tích Kết trình phân tích xuất tập tin Kết phân tích phân chia, phần đầu cho trình Map, phần lưu xuống HDFS để phục vụ cho việc thống kê Việc phân tích tĩnh gồm có thông tin như: tên mã độc, giá trị MD5, trạng thái mã độc, khả phát mã độc Antivirus Trạng thái mã độc NOT OK mã độc phát hiện, OK mã độc không phát hiện, N/A có lỗi xảy trình phân tích Trạng thái mã độc đầu trình Map đầu vào trình Reduce Đoạn mã lệnh chương trình minh họa chế Map mã độc: 3.2.4 Cơ chế Reduce mã độc Sau thực xong nhiệm vụ Map, máy slave thực nhiệm vụ Reduce Đầu vào máy Reduce cặp , với key trạng thái mã độc (NOT OK, OK, N/A) value tên mã độc Các máy Reduce nhóm mã độc có trạng thái thành nhóm Footer Page 16 of 145 Header Page 17 of 145 3.3 15 THIẾT KẾ XÂY DỰNG HỆ THỐNG 3.3.1 Phân rã chức 3.3.2 Chức phân tích tĩnh Hình 3.7 Tổng quan hoạt động chức phân tích tĩnh Hình 3.8 Sơ đồ hoạt động phân tích tĩnh Footer Page 17 of 145 Header Page 18 of 145 16 #!/bin/bash MALWARE=$1 MD5=`md5sum ${MALWARE} | awk '{print $1}'` whois -h hash.cymru.com ${MD5} > ${MALWARE}.static 3.3.3 Chức phân tích động Hình 3.9 Sơ đồ hoạt động phân tích động Footer Page 18 of 145 Header Page 19 of 145 3.3.4 17 Chức ngăn chặn, gỡ bỏ Hình 3.10 Chức ngăn chặn, gỡ bỏ 3.4 TRIỂN KHAI THỬ NGHIỆM 3.4.1 Môi trƣờng triển khai 3.4.2 Công cụ sử dụng 3.4.3 Kết thử nghiệm Kết phân tích tĩnh hiển thị: STT, tên mã độc, giá trị MD5, tình trạng mã độc (NOT OK, OK, N/A), số lượng Antivirus phát thống kê số lượng mã độc phân tích, số lượng mã độc bị phát hiện, số lượng mã độc không bị phát hiện, số lượng lỗi trình phân tích Bảng 3.2 Thời gian phân tích tĩnh mã độc máy Số lượng mã Thời gian phân độc tích 50 STT Phát Tỉ lệ % 60 giây 44 88.00% 100 113 giây 89 89.00% 150 150 giây 134 89.33% 200 185 giây 173 86.50% 250 222 giây 219 87.60% 300 251 giây 258 86.00% Footer Page 19 of 145 Header Page 20 of 145 18 Kết phân tích tĩnh 50, 100, 150, 200, 250 300 mã độc 44/50, 89/100, 134/150, 173/200, 219/250 258/300 với thời gian tương ứng 60, 113, 150, 185, 222 251 giây, tỉ lệ phát mã độc đạt giá trị từ 86.00% đến 89.33% Hình 3.19 Kết phân tích động Tập tin [thuthuat.chiplove.biz] -Keygen-IDM-6xx.exe bị nhiễm mã độc làm thay đổi hệ thống Hành vi mã độc hệ thống ghi lại: số khóa bị xóa registry 6, số lượng thêm vào 2, số lượng chỉnh sửa 11 Tổng số thay đổi registry 19 Footer Page 20 of 145 Header Page 21 of 145 3.5 19 NHẬN XÉT ĐÁNH GIÁ Chương trình ứng dụng xây dựng sở lý thuyết mô hình đề xuất tới thử nghiệm Đại học Đà Nẵng Bước đầu, hệ thống phân tích xử lý mã độc đem lại thuận tiện việc đảm bảo an toàn thông tin mạng Việc tận dụng lực máy chủ thời gian rỗi cách đặt lịch thực góp phần nâng cao suất sáng kiến, cải tiến kỹ thuật, rút ngắn đáng kể thời gian phân tích mã độc Hệ thống phân tích xử lý mã độc ứng dụng từ mô hình MapReduce hoạt động cách tự động Tự động có nghĩa công đoạn phân tích hệ thống tự động thực hiện, từ công đoạn nhận mã độc chép mã độc vào máy ảo, thực thi mã độc cuối đưa báo cáo chi tiết hành vi mã độc mà không cần người tác động vào Qua kết thực nghiệm cho thấy: Tỉ lệ mã độc phát thử 44/50, 89/100, 134/150, 173/200, 219/250 258/300, tỉ lệ phát đạt từ 86% trở lên Kết hệ thống phân tích tĩnh phụ thuộc vào dịch vụ bên sử dụng, dịch vụ Malware Hash Registry Team Cymru Ngoài ra, ta sử dụng dịch vụ khác như: Virus Total [20] Footer Page 21 of 145 Header Page 22 of 145 20 350 300 300 251 250 250 222 200 185 200 150 150 150 88.00 50 60 100 113 100 89.00 89.33 86.50 87.60 86.00 50 Số lượng mã độc phân tích Phát (%) Thời gian phân tích Hình 3.21 Biểu đồ thời gian phân tích tĩnh mã độc máy Bảng 3.2 thể thời gian phân tích tĩnh mã độc máy Ta thấy số lượng mã độc phân tích tăng lên thời gian phân tích mã độc giảm lại Nếu số lượng mã độc 50 thời gian phân tích 60 giây trung bình thời gian phân tích mã độc 1,2 giây Nếu số lượng 300 thời gian phân tích 251 giây thời gian phân tích trung bình lại 0,84 giây (giảm 30% mã độc) Hình 3.21 minh họa rõ vấn đề Nếu triển khai máy chủ IBM x3650 M4 (02 x Xeon 8C E5-2640v2 95W 2.0GHz, 32GB RAM, 02 x 300GB) Đại học Đà Nẵng thì: - Thời gian phân tích máy ảo: 150 giây + < giây (các giai đoạn khác kiểm chứng thực nghiệm) nên kết < 155 giây Footer Page 22 of 145 Header Page 23 of 145 - 21 Mỗi mã độc trung bình khoảng 1,2 giây phân tích nên thời gian phân tích 1000 mã độc là: 1,2 * 1000 / 240 + < giây (các giai đoạn khác) nên kết < 10 giây Bảng 3.3 Dự tính thời gian phân tích 300 mã độc hệ thống Tổng số máy STT Số lượng máy chủ 1 251 giây 2 < 155 giây 12 240 < 10 giây ảo Thời gian (dự kiến) Kết phân tích tĩnh phân tích động hiển thị rõ ràng, hợp lý Hệ thống hoạt động ổn định, chức hoàn thành cho kết xác, hệ thống tương đồng với tài liệu số [8] So với hệ thống sandbox miễn phí Joe Sandbox, Threat expert, CW Sandbox, việc ứng dụng mô hình xử lý phân tán MapReduce xử lý hàng loạt, tự động, mô hình cho phép nhập mã độc để phân tích chưa tự động So với hệ thống xử lý tự động Buster Sandbox, Cukoo Sandbox hay Zero Wine Sandbox hệ thống giúp cho việc phân tích thực song song, tăng hiệu năng, giảm thời gian việc phân tích số lượng lớn mã độc Như vậy, việc ứng dụng mô hình xử lý phân tán giúp việc phân tích xử lý mã độc thực cách nhanh chóng, sở liệu cập nhật kịp thời, phân tích hàng loạt tập tin tùy vào số lượng máy ảo, tính tự động tính tương thích với hệ thống cao dễ dàng, linh hoạt việc xử lý, khắc phục cố Footer Page 23 of 145 Header Page 24 of 145 3.6 22 KẾT CHƢƠNG Trong chương phát biểu toán, đưa mô hình phân tích xử lý mã độc, sơ đồ phân rã chức Bên cạnh thiết kế hệ thống phân tích tĩnh, hệ thống phân tích động, hệ thống ngăn chặn, gỡ bỏ Ngoài ra, chương triển khai thử nghiệm môi trường máy thật Ubuntu 14.04 với công cụ triển khai VMware, Eclipse, Plugin cho Hadoop Eclipse, AutoIT, Regshot, thư viện JNI đánh giá kết đạt thư viện mã độc thử nghiệm Việc triển khai hệ thống phân tích xử lý mã độc dựa mô hình xử lý phân tán MapReduce nhu cầu thực cần thiết Đại học Đà Nẵng quan, doanh nghiệp Hệ thống góp phần đáng kể việc phát ngăn chặn mã độc kịp thời, góp phần nâng cao hiệu làm việc Footer Page 24 of 145 Header Page 25 of 145 23 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN KẾT QUẢ ĐẠT ĐƢỢC Trong thời gian tìm hiểu, nghiên cứu sở lý thuyết triển khai ứng dụng công nghệ, luận văn đạt kết sau: Về mặt lý thuyết, luận văn đạt số kết sau: - Hiểu an toàn thông tin, yêu cầu an toàn bảo mật thông tin, tiêu chuẩn đảm bảo an toàn thông tin, nắm bắt tình hình an ninh mạng nước quốc tế - Hiểu hình thức công hệ thống - Hiểu cách công, tác hại phân loại mã độc, phương pháp phân tích công cụ phân tích mã độc - Hiểu mô hình xử lý phân tán MapReduce - Hiểu Hadoop thành phần - Tìm hiểu thư viện JNI công nghệ ảo hóa VMware Về mặt thực tiễn ứng dụng, luận văn đạt số kết sau: - Nghiên cứu ứng dụng mô hình xử lý phân tán MapReduce để thiết kế, xây dựng hệ thống phân tích xử lý mã độc - Đóng góp ý tưởng, mã nguồn chương trình - Kiểm tra tính khả thi hệ thống qua thư viện mẫu mã độc - Triển khai hệ thống chạy thử nghiệm Đại học Đà Nẵng - So sánh làm bật tính hiệu hệ thống so với hệ thống trước Tuy nhiên, luận văn tồn hạn chế sau: Footer Page 25 of 145 Header Page 26 of 145 - 24 Công cụ phân tích chưa đa dạng nên chưa phát hết hành vi mã độc - Quá trình phân tích mã độc bao gồm nhiều công đoạn phức tạp phân tích sơ lược, phân tích hoạt động phân tích cách đọc mã thực thi, hệ thống phân tích tự động hỗ trợ phần công đoạn nói trên, thay hoàn toàn yếu tố người - Công đoạn xử lý phòng chống mã độc đơn giản, chưa có chế ngăn chặn loại bỏ hiệu KIẾN NGHỊ VÀ HƢỚNG PHÁT TRIỂN Kết luận văn đặt nhiều vấn đề khoa học cần tiếp tục nghiên cứu giải Hướng phát triển đề tài là: - Bổ sung xây dựng hệ thống thực thi điện toán đám mây - Xây dựng thành phần bổ trợ nhằm thể rõ kết phân tích xử lý, giúp cho nhiều đối tượng sử dụng báo cáo cách hiệu - Phát triển thành phần xử lý phòng chống mã độc tự động dựa kết phân tích có để tích hợp vào nhiều hệ thống nhằm hạn chế kịp thời tác hại mã độc gây Footer Page 26 of 145 ... độc - Nguyên lý lập trình theo mô hình xử lý phân tán MapReduce - Phân tích xử lý mã độc dựa vào mô hình MapReduce 4.2 Phương pháp thực nghiệm - Phân tích, thiết kế chức phân tích xử lý mã độc -... văn cao học: Ứng dụng mô hình MapReduce phân tích xử lý malware Mục tiêu đề tài Mục tiêu đề tài nghiên cứu ứng dụng mô hình MapReduce để thiết kế xây dựng hệ thống phân tích xử lý mã độc Để... động phân tích tĩnh - Chép mã độc vào máy ảo, thực chạy hoạt động phân tích động Công việc xử lý kết phân tích mô tả sau: Hình 3.5 Xử lý kết phân tích Kết trình phân tích xuất tập tin Kết phân tích