Đang tải... (xem toàn văn)
Bµi viÕt nµy ®a ra mét cÊu tróc vÒ viÖc ph¸t hiÖn malware dùa trªn kh¸i niÖm cña b¶n thÓ häc vÒ dÞch vô Web vµ x©m nhËp ®éc h¹i (Web Services and Malware Intrusion Ontology), uCL[r]
(1)PHáT HIệN MÃ ĐộC
DựA TRÊN ĐIệN TOáN ĐáM MÂY
NGUYN TIN XUN*, hong sỹ tương**, NGUYễN THANH TùNG**
Tóm tắt: Bài viết giới thiệu mơ hình phát mã độc, uCLAVS (University of Caldas’ Antivius Service dịch vụ chống virus trường đại học Calda), dịch vụ đa dụng cụ kèm theo định dạng giao thức tiêu chuẩn cho công nghệ dịch vụ web, ngồi cịn có Ontology dành cho phát mã độc xâm nhập miêu tả kèm uCLAVS dựa ý tượng cải tiến ứng dụng phân tích tập tin máy trạm cách chuyển chúng đến mạng thay chạy các phần mềm phức tạp tất máy chủ, quy trình nhận tiếp nhận tập tin hệ thống, gửi chúng đê xác định xem chúng có thực thi hay không dựa theo báo cáo kết mối đe dọa cung cấp Các mẫu kết quả thử nghiệm đưa uCLAVS xử lý, điều tăng tỷ lệ phát tập tin nguy hiểm, cho phép xây dựng máy trạm máy trạm mỏng, tạo điều kiện cập nhật zero-day, cung cấp khả điều mức độ cao
Từ khóa: Điện tốn đám mây, Mã độc, Antivirus
1 giíi thiƯu
Việc phát phần mềm độc hại (Malware) thách thức an ninh hàng đầu, phương thức hoạt động loại phần mềm chủ yếu dựa vào việc sử dụng dấu hiệu (signature) phương pháp dị tìm (heuristics) Để hỗ trợ cho phương thức người ta thường tăng độ phức tạp phần mềm thiết kế để chống lại Malware, điều làm tăng tính phức tạp việc chống virus và gián tiếp trọng vào lỗ hổng công Các chuẩn Malware xâm nhập dựa ngun tắc phân loại; chúng khơng đủ khả để hỗ trợ cho trình xác định kiểu công tối ưu hay xác định hành vi bất thường dự đốn trước Các Ontology ( thể học ) cho phép miêu tả đối tượng, khái niệm mối quan hệ lĩnh vực kiến thức, trường hợp này, nguồn dấu hiệu malware, quy tắc phát hiện, phản ứng q trình phịng ngừa cần phải miêu tả ngữ nghía nhằm thống sở kiến thức hệ thống cung cấp khung luận điểm, hiểu biết suy luận từ mơ hình ngữ nghĩa Bài viết đưa cấu trúc việc phát malware dựa khái niệm thể học dịch vụ Web xâm nhập độc hại (Web Services and Malware Intrusion Ontology), uCLAVS (University of Caldas’ AntiVirus Service) dịch vụ triển khai điện toán đám mây theo giao thức tiên chuẩn quy định công nghệ dịch vụ Web để phát nội dung độc hại hành vi tập tin chưa biết thông qua việc sử dụng nhiều công cụ thực chiến lược phân tích khơng đồng Phần cung cấp đánh giá ban đầu đề tài đóng góp quan trọng liên quan; Phần miêu tả kiến trúc, mơ hình, triển khai dịch vụ, cuối trình bày số phát ban đầu mơ hình mẫu thử nghiệm với thiết kế nó; Phần nói Ontology định nghiã việc phát malware/xâm nhập cách phòng ngừa Kết chứng minh phần Cuối phần kết luận chung hướng phát triển tương lại nhấn mạnh phần
2 nghiên cứu trước
(2)mây trở nên phổ biến từ vài năm trước [2] cho thấy dạng dịch vị bảo vệ Các công cụ liệt kê giao thức ICAP dịch vụ chống virus (chạy máy) làm việc máy quét đa công dụng giúp cho việc phát virus từ e-mail, web proxy server
Hệ thống bảo vệ đa công cụ không đồng sử dụng cơng nghệ nhận biết phân tích phương thức không đồng cho đánh giá tốt việc đặc tính hóa tập tin có hại
Các tiêu chuẩn cho khái niêm đại diện Ontology hệ thống phát xâm nhập biểu thị nỗ lực không dựa sở chắn,ví dụ IDMEF (Intrusion Detection Message Exchange Format) CIDF (The Common Intrusion Detection Framework) [3] định nghĩa API cách giao thức cho dự án nghiên cứu phát xâm nhập mà chia sẻ thông tin tài nguyê, thành phần bị từ chối cách xây dựng mơ hình đại diện dựa cú pháp XML Nghiên cứu triển khai [ ] xác định mục tiêu Ontology cho phần phát xâm nhập, phương thức hoàn tồn mà Ontology sử dụng để miêu tả giúp hiểu rõ thêm công Những nghiên cứu nhằm xác định trọng tâm Ontology DAML-OIL (DARPA Agent Markup Language + Ontology Interface) dựa phương thức phân loại truyền thống chuyển hóa theo mơ hình ngữ nghĩa học Các điều tra thực [5] tích hợp tương tác đặc tính Ontology lấy từ nghĩa centric-attack Ontology mà cung cấp dấu hiệu mà khớp với cấu trúc liệu công cụ phát công mạng Snort Trong [6] phát triển Ontology phần phát phòng chống mã độc, ngồi cịn mở rộng Ontology để tích hợp dấu hiệu mã độc dựa kết từ công cụ gắn liền cấu trúc uCLAVS
3 sử dụng điện toán đám mây để phát mã độc
Một phần mềm phân tích độc hại dùng để xác định hệ thống code có khả thực cơng hệ thống máy tính [7] Để thực điều giải pháp chương trình diệt virus chủ yếu sử dụng việc phân tích tĩnh dựa dấu hiệu đánh giá qua thử nghiệm [8], gần có số kỹ thuật áp dụng việc phân tích động số sách phòng ngự tương tự khác Một điểm chung việc phát mã độc hại tồn ứng dụng máy chủ sử dụng thuật tốn đặc biệt để tìm phần mềm độc hại Hoạt động công cụ thường tập trung vào việc phân tích file chạy từ bên diễn chủ yếu khoảng thời gian truy cập theo yêu cầu
Các hệ thống an ninh phải mở rộng để chứa số lượng lớn client Một hệ thống đa dụng cụ dựa dịch vụ phân tích tập tin hệ thống điều khiển từ xa xác định nội dung hành vi tập tin khơng tên thơng qua việc phân tích nhiều cơng cụ ( chống virus) thực sách không đồng uCLAVS hệ thống đa công cụ hoạt động dựa dịch vụ phân tích tệp tin thực điện tốn đám mây thơng qua giao thức tiêu chuẩn cho dịch vụ web Chức dịch vụ phải đơn giản thiết thực : xác định tập tin chứa mã độc thơng qua việc phân tích từ xa thực nhiều công cụ
W3C-Hiệp hội web toàn giới định nghĩa dịch vụ web “….Một dịch vụ Web hệ thống phần mềm nhận dạng URI (Uniform Resource Identifier), mà giao diện chung gắn kết định nghĩa mơ tả XML Định nghĩa nhận hệ thống phần mềm khác Các hệ thống sau tương tác với dịch vụ Web theo phương cách mơ tả định nghĩa nó, sử dụng thông điệp theo XML chuyển giao thức Internet.“(W3C 2007)
(3)Sử dụng chuẩn XML để trao đổi thông điệp
Không gắn liền với ngôn ngữ lập trình hệ điều hành Nó có khả tự mô tả
Các dịch vụ Web thực kiến trúc định hướng dịch vụ (SOA service-oriented architecture) đưa thực động, kết nối “mềm dẻo” ứng dụng phân tán SOA có ba vai trị chính: nhà cung cấp dịch vụ, người tiêu dùng nhà môi giới Các chức thành phần sử dụng mô tả kiến trúc phân chia tương tự
Hình Sơ đồ bối cảnh cho uCLAVS Các tiện ích CLAVS:
Đăng tải Mẫu (file) Phân tích quét (hash) Lấy ph©n tÝch quÐt (hash)
Các chức thiết kế để tách chức dùng để phát nhà cung cấp dịch vụ, người dùng dựa vào kết thu để đưa định
uCLAVS cung cấp chức tương ứng với sản phẩm chống phần mềm độc hại máy trạm, việc thực phải tuân theo số điều khoản bổ túc đặc trưng cho tính chất dịch vu đám mây Đối với dịch vụ chông phần mềm độc hại, chúng phải đáp ứng số yêu cầu sau:
Hỗ trợ cho nhiều cơng cụ phân tích Thiết bị cho phép sử dụng nhiều công cụ bảo vệ song song sử dụng phương pháp kỹ thuật không đồng để phát phần mềm độc hại
Thông báo Khi tập tin cho có khẳ nguy hiểm dịch vụ phải cung cấp cho người dùng thông tin cần thiết để nhận biế đưa định đắn
Thu thập thông tin Tất hoạt động dịch vụ phải thu thập với mục đích phân tích quản lý
Dịch vụ quản lý Phải cung cấp chế để cấu hình quản lý dịch vụ
Hai khía cạnh quan trọng làm uCLAVS trở thành lựa chọn bổ sung để cải thiển phần mềm phát mã độc tự động chất dịch vụ Web khả phân tích tập tin cách sử dụng nhiều công cụ bảo vệ mơ hình gọi n-protection (bảo vệ đa lớp)
Multi-Engine
(4)Phương thức triển khai ứng dụng Web cách sử dụng cơng nghệ hiển thị hình tảng khác, nhằm mục đích so sánh kết có được, biểu thị HTML, để đảm bảo cho hệ thống hoạt động phù hợp
H×nh KiÕn tróc thành phần uCLAVS Các thành phần bao gồm :
Proxy SOAP : Proxy SOAP chịu trách nhiệm xếp thứ tự/ hủy bỏ thứ tự thông điệp uCLAVS trao đổi người tiêu dùng khách hàng họ cho việc triển khai dụng cách dễ hiểu
Điều phối (Dispatcher): u cầu điều phối đóng vai trị quan trọng cấu trúc, chức giống hàng đội cho phép việc quản lý yêu cầu dịch vụ đầu vào, báo cáo cho Event Log
Hàng đợi (queue) Hàng đợi kiến trúc cấu trúc liệu dùng để chứa đối tượng làm việc theo chế “vào trước trước”,
Dịch vụ lưu trữ (Storage Service) uCLAVS cung cấp giao diện đơn giản, sử dụng dịch vụ Web để lưu trữ lấy số lượng liệu, lúc nào, từ đâu Web
Phân tích dịch vụ (Service Analysis) Xác định giao diện dịch vụ Web mà yêu cầu phân tích tập tin chứa mã độc, cơng cụ lấy dạng hash tập tin để đưa phân tích
Phân tích điều vận truy vấn (Analysis Query Dispatcher _AQD): Nó hoạt động giống điều phối, chức cung cấp quản lý nhu cầu công cụ
Adjudicator: có trách nhiệm giám sát hoạt động cơng cụ
Công cụ (Engines): uCLAVS sử dụng công cụ khác Clamv, F-Prot, Avast, BitDefender, Kaspersky
Proxy Agent : chịu trách nhiệm truyền kiến trúc dịch vụ cung cấp dịch vụ đại lý bờn ngoi
Chính sách quản lý mối đe däa (Policy Manager Threat): cã tr¸ch nhiƯm cung cÊp c¸c báo cáo cuối mối đe dọa
Retrospective Detection: Nhấn mạnh virus khơng có sở liệu, việc phân tích tập tin đáng nghi không đặt mức độ cảnh bảo coi độc hại cao khơng
Log Events (ghi kiện ) có trách nhiệm kiểm soát truy cập nguwoif dùng khác để triển khai việc sử dụng dịch vụ uCLAVS
(5)Hình uCLAVS vai trị tương tác bối cảnh
Để thực dịch vụ uCLAVs sử dụng ngơn ngữ PERL gói SOAP::Lite có sẵn từ CPAN SOAP::Lite tập hợp mô-đun Perl cung cấp API dung lượng nhỏ để dụng máy trạm máy chủ SOAP Việc xử lý yêu cầu trách nhiệm Distpacher tóm tắt sau:
Một đoạn mã đơn giản cho thấy tích hợp cơng cụ chống virus miễn phí nhúng vào phiên uCLAVS
(6)
Hình Mô hình mối quan hệ tệp tin meta-info
4 ontology
(7)Ngoài ra, chức tương quan sử dụng Ontology hệ thống multi-agent nói rõ [11] giải thích việc tích hợp mơ hình ngữ nghĩa MAS mối quan hệ dựa kỹ thuật tương tự thuộc tính
5 KÕT qu¶
Việc thực nghiệm tiến hành với khoảng 1.2 triệu mẫu khoảng 25.000 mã độc tổng số 31 nhóm Hình cho thấy tỷ lệ phát phần mềm mã độc vào khoảng 85%-95%, uCLAVS sử dụng kiến trúc dựa nhiều cơng cụ đặc tính giảm gánh nặng cho khách hàng , tỷ lệ phát đạt tới gần 97% lần thử nghiệm Bảng hình cho thấy tỉ lệ phát chương trình chống virus phổ biến uCLAVS dựa thời gian quét mẫu mã độc tuần tháng
Hình Tỉ lệ phát uCLAVS công cụ chống mã độc khác Bảng Tỷ lệ phát dựa thời gian quét mã độc chống
virus kh¸c
AntiVirus tháng tuần
Avast 54,2% 51,1%
AVG 84,4% 82,2%
BitDefender 81,2% 79,3%
ClamAV 56,7% 54,2%
F-Prot 53,4% 51,2%
Kaspersky 89,1% 86,8%