Nội dung của bài viết này trình bày hướng nghiên cứu và xây dựng hệ thống sandbox trên môi trường phân tán MapReduce nhằm tự động phân tích các hành vi của mã độc. Giải pháp đề xuất cho phép giảm thời gian phân tích và phát hiện chính xác mã độc.
ISSN 1859-1531 - TẠP CHÍ KHOA HỌC VÀ CƠNG NGHỆ ĐẠI HỌC ĐÀ NẴNG, SỐ 12(97).2015, QUYỂN 35 ỨNG DỤNG SANDBOX PHÂN TÍCH MÃ ĐỘC TRÊN MƠI TRƯỜNG PHÂN TÁN APPLYING SANDBOX TO MALWARE ANALYSIS IN A DISTRIBUTED ENVIRONMENT Nguyễn Tấn Khôi1, Trần Thanh Liêm2 Trường Đại học Bách khoa, Đại học Đà Nẵng; ntkhoi@dut.udn.vn Đại học Đà Nẵng; ttliem@ac.udn.vn Tóm tắt - Hiện nay, mã độc phát sinh ngày nhiều tinh vi, khó phát Việc phân tích theo cách truyền thống khơng khả thi, cần có kỹ thuật hiệu để phát phân tích mã độc Để phân tích lượng mã độc lớn, ta phát triển hệ thống phân tích mã độc động sử dụng kỹ thuật sandbox tạo môi trường an toàn Hệ thống tự động thực thi chương trình dựa mơi trường phân tán cho kết báo cáo mô tả hành vi chương trình Bài báo trình bày hướng nghiên cứu xây dựng hệ thống sandbox môi trường phân tán MapReduce nhằm tự động phân tích hành vi mã độc Giải pháp đề xuất cho phép giảm thời gian phân tích phát xác m ã độc Abstract - Nowadays, the number of malware programs has increased more and more, appearing to be more sophisticated and difficult to detect The traditional way for analyzing these programs is no longer feasible; therefore, it is necessary to have effective techniques for detecting and analyzing malware To analyze large quantities of malware, we can develop a dynamic malware analysis system using Sandbox technology, thereby creating a safe environment This system automatically executes a program based on a distributed environment and produces a report describing the program's behaviours This paper presents an approach to research and construct a sandbox system in the distributed environment of apReduce for the automatic analysis of malware behaviours The proposed solution makes it possible to reduce the time for the analysis and to accurately detect malware Từ khóa - sandbox; tính tốn; song song; m ã độc; phân tán; m ạng; an toàn; bảo mật Key words - sandbox; calculation; parallel; m alware; distributed; network; safety; security Đặt vấn đề trình bày hướng nghiên cứu, thiết kế xây dựng hệ thống phân tích xử lý mã độc mơi trường điện tốn đám mây sử dụng mơ hình xử lý phân tán MapReduce để phát sớm ngăn chặn mã độc nhằm bảo vệ an tồn thơng tin cho hệ thống mạng máy tính Theo kết thống kê từ Viện nghiên cứu độc lập an tồn thơng tin AV-TEST, kể từ mã độc xuất vào năm 1984, có khoảng 150.000.000 mã độc phát tán Đặc biệt gần đây, số lượng mã độc phát triển nhanh chóng tồn giới đặt nhiều vấn đề an ninh thông tin cho toàn người sử dụng Internet toàn cầu Năm 2015, Việt Nam nằm danh sách nước có tỉ lệ phát tán mã độc nhiều giới Các mã độc lây lan ngày nhiều, trình phát xử lý mã độc phức tạp, hướng ứng dụng hệ thống sandbox tính tốn phân tán để phân tích mã độc quan tâm Sandbox kỹ thuật quan trọng lĩnh vực bảo mật có tác dụng tạo môi trường để mã độc thể hết tính mà đảm bảo tính an tồn cho hệ thống bên ngồi Hầu hết hệ thống sandbox miễn phí cung cấp mạng Joe Sandbox, Threat expert, CW Sandbox hỗ trợ chế cho phép người dùng nhập lúc mã độc lên cho hệ thống phân tích Bên cạnh đó, hệ thống sandbox cho phép phân tích hành vi mã độc tự động miễn phí Cuckoo Sandbox, Buster Sandbox hay Zero Wine Sandbox có hạn chế riêng Buster Sandbox phần mềm mã đóng việc tùy chỉnh kịch bên Buster Sandbox không hỗ trợ nhiều [7] Khả mã độc phát mơi trường phân tích Zero Wine Sandbox cao, tập tin Zero Wine Sandbox thường có dung lượng nhỏ, nên bị hạn chế phân tích loại tập tin khác [8] Hệ thống Cukoo cung cấp công cụ để phân tích mã độc mơi trường sandbox, nhiên q trình phân tích thực nên hiệu khơng cao [9] Để phân tích xử lý lượng liệu lớn có mã độc, ta triển khai môi trường xử lý phân tán Bài báo Bài báo giới thiệu mã độc phương pháp phân tích mã độc, trình bày hệ thống sandbox, nghiên cứu xây dựng hệ thống tính tốn xử lý sử dụng mơ hình MapReduce để phân tích mã độc dựa chế sandbox đánh giá kết đạt Cơ chế phân tích mã độc 2.1 Mã độc phân loại mã độc Mã độc chương trình chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính tồn vẹn tính sẵn sàng hệ thống [5] Mã độc chia theo dạng gây hại cho máy tính theo loại sau: Hình Phân loại mã độc 2.2 Các hành vi mã độc Khi lây lan máy tính, mã độc có hành vi sau: - Thay đổi tập tin máy tính: Kiểm tra hành vi liên quan đến việc tạo tập tin mới, xóa tập tin thay đổi nội dung tập tin hệ thống - Thay đổi giá trị Registry: Kiểm tra hành vi thay đổi hệ thống Registry việc tạo khóa Registry sửa đổi giá trị khóa Registry 36 Nguyễn Tấn Khơi, Trần Thanh Liêm - Cài đặt phần mềm gián điệp: Thực cài đặt phần mềm khác liên quan đến hệ thống, tin tặc dựa vào để ăn cắp thông tin thực ý đồ khác mà chúng mong muốn - Thực hoạt động phá hoại: Thực kết nối đến địa IP khác, tên miền để cập nhật phiên mã độc khác nhận lệnh điều khiển công theo chủ ý tin tặc - Tạo thay đổi dịch vụ hệ điều hành: Các mã độc lây nhiễm vào hệ thống tương tác với registry để ưu tiên khởi động trước lúc hệ thống khởi động - Tiêm nhiễm vào tiến trình khác hệ thống: Để tránh bị chương trình diệt virus phát hiện, mã độc hoạt động tiến trình khác giả mạo tiến trình hợp pháp hệ điều hành [5] 2.3 Các phương pháp phân tích mã độc 2.3.1 Phân tích mã độc thủ cơng Phân tích thủ cơng bao gồm: phân tích sơ lược, phân tích hoạt động phân tích cách đọc mã thực thi Cả ba bước phân tích cần thiết bỗ trợ cho để có kết xác hành vi mã độc [3] a Phân tích sơ lược Phân tích sơ lược giai đoạn đầu q trình phân tích mã độc ln ln phải thực Một phân tích bề mặt thực việc lấy thông tin ban đầu tập tin mã độc xác nhận có phải mã độc hay không mà không cần thực thi Những thơng tin lấy từ tập tin mã độc gồm có: loại tập tin, tên tập tin, kích thước tập tin, timestamp hàm băm (MD5, SHA-1, ) b Phân tích hoạt động Đây kỹ thuật liên quan đến việc chạy mã độc giám sát hệ thống phân tích nhằm bóc tách mã độc tạo dấu hiệu nhận dạng mạng hai Tuy nhiên, trước thực thi mã độc, người phân tích cần thiết kế mơi trường để thực thi mã độc mà không làm ảnh hưởng đến hệ thống mạng thật tổ chức Phương pháp khơng phát hết hành vi mã độc Phân tích hoạt động cần dùng công cụ hỗ trợ như: Regshot, Sysanalyzer, Process Explorer, HijackThis, Fundelete,… c Phân tích cách đọc mã thực thi mã độc Phân tích cách đọc mã thực thi kỹ thuật sử dụng tách rời (disassembler) để dịch ngược đoạn mã bên mã độc thành dạng hợp ngữ để từ tìm hiểu dẫn lệnh nhằm biết xác chương trình mã độc làm việc Những dẫn lệnh thực thi CPU, cho ta biết xác chương trình mã độc thực Tuy nhiên để thực phân tích tĩnh, địi hỏi người phân tích phải am hiểu sâu hợp ngữ, mã dẫn lệnh khái niệm, hàm API hệ điều hành 3.3.2 Phân tích mã độc tự động Số lượng mã độc sinh phát tán ngày nhiều đặn ngày, việc phân tích thủ cơng coi khơng thể thực kịp với số lượng lớn mã độc Do cần phải có hệ thống tự động phân tích để giúp người quản trị phân tích số lượng lớn mã độc nhằm cung cấp thông tin dấu hiệu nhận dạng cụ thể mã độc trước thực phân tích sâu hơn; có nghĩa cơng đoạn phân tích hệ thống tự động thực hiện, từ công đoạn nhận mã độc thực thi mã độc cuối đưa báo cáo chi tiết hành vi mã độc mà không cần người tác động vào 2.4 Hệ thống sandbox Hiện hệ thống sanbox sử dụng nhằm phân tích tự động lượng lớn mẫu mã độc bước q trình phân tích mã độc hồn chỉnh Cần phải có cách đơn giản để gửi tập tin mã độc vào sandbox, xác định tùy chọn tính cho người chạy phân tích trích xuất kết phân tích Sandbox dễ sử dụng cung cấp tóm tắt mức cao hoạt động nguy hiểm mà mã độc thực thời gian phân tích Trong trường hợp kết phân tích cho thấy dấu hiệu nghi ngờ cần kiểm tra kỹ, phân tích chun sâu Phân tích mã độc mơi trường phân tán Mơ hình phân tán hệ thống có chức liệu phân tán máy trạm kết nối với mạng máy tính Nếu máy tính sử dụng chung phần cứng gọi cụm (cluster), ngược lại hoạt động riêng rẽ phần cứng khác chúng gọi lưới (grid) 3.1 Mơ hình xử lý phân tán MapReduce 3.1.1 Giới thiệu MapReduce mơ hình xử lý phân tán cho phép ứng dụng xử lý lượng liệu lớn Các liệu đặt máy tính phân tán nhằm khai thác kinh nghiệm tính tốn giúp rút ngắn thời gian xử lý toàn liệu [2] Dữ liệu đầu vào liệu có cấu trúc (dữ liệu lưu trữ dạng bảng quan hệ hai chiều) liệu không cấu trúc (dữ liệu dạng tập tin hệ thống) 3.1.2 Nguyên tắc hoạt động MapReduce Quá trình MapReduce thực hai hàm Map() Reduce() Hệ thống triển khai bao gồm máy master (máy chủ) máy slave (máy trạm) Trong máy master làm nhiệm vụ điều phối hoạt động trình thực MapReduce máy slave Các máy slave làm nhiệm vụ thực trình Map Reduce với liệu mà nhận [4] - Thực hàm Map(): Máy master phân phối tác vụ Map Reduce vào máy slave sẵn sàng Các tác vụ master phân phối cho máy dựa vị trí liệu liên quan hệ thống Máy slave nhận tác vụ Map đọc liệu nhận từ phân vùng liệu gán cho thực hàm Map Kết đầu cặp trung gian Các cặp lưu tạm nhớ đệm máy Sau thực xong công việc Map Các máy slave làm nhiệm vụ chia giá trị trung gian thành R vùng (tương ứng với R tác vụ Reduce) lưu xuống đĩa thông báo kết quả, vị trị lưu cho máy master ISSN 1859-1531 - TẠP CHÍ KHOA HỌC VÀ CƠNG NGHỆ ĐẠI HỌC ĐÀ NẴNG, SỐ 12(97).2015, QUYỂN 37 - Thực thi tác vụ Reduce(): Máy master gán giá trị trung gian vị trí liệu cho máy thực công việc slave Các máy slave làm nhiệm vụ xử lý xếp key, thực hàm Reduce đưa kết cuối Sơ đồ hoạt động trình MapReduce biểu diễn Hình Hình Mơ hình hệ thống phân tích mã độc 3.3.2 Quy trình thực Hình Sơ đồ hoạt động trình MapReduce 3.2 Nền tảng Hadoop Apache Hadoop framework dùng để chạy ứng dụng cụm máy tính lớn xây dựng phần cứng thông thường Hadoop thực mơ hình MapReduce, mơ hình mà ứng dụng chia nhỏ thành nhiều phân đoạn khác nhau, phần chạy song song nhiều nút khác Nhờ chế streaming, Hadoop cho phép phát triển ứng dụng phân tán java lẫn số ngôn ngữ lập trình khác C++, Python, Pearl Các thành phần Hadoop bao gồm: Core, HDFS, MapReduce, Hbase, Hive, Chunka, Pig 3.3 Hệ thống phân tích mã độc 3.3.1 Mơ hình phân tích mã độc Với số lượng mã độc cần phân tích ngày nhiều việc phân tích thủ công điều nhân lực có hạn cơng đoạn thực tay nên tốn nhiều thời gian Để khắc phục vấn đề này, cần thiết phải xây dựng hệ thống có khả tự động phân tích hành vi mã độc để hỗ trợ thêm cho phương pháp phân tích thủ cơng, đồng thời dựa vào hệ thống nhanh chóng đưa số biện pháp xử lý kịp thời nhằm hạn chế tác hại mã độc gây Hệ thống phân tích mã độc bao gồm máy master (máy chủ) nhiều máy slave (máy trạm) Hệ thống tập tin phân tán HDFS lưu trữ mã độc cần phân tích Với hệ thống này, cho phép ta chọn nhiều kiểu tập tin khác đặt phân tán để phân tích Máy client gởi danh sách tập tin mã độc đến yêu cầu thực phân tích Máy master xem xét máy slave sẵn sàng phân phối, gởi địa mã độc đến để làm nhiệm vụ Map Các máy slave làm nhiệm vụ Map tải mã độc từ HDFS tiến hành phân tích Kết q trình Map gởi đến máy slave để làm nhiệm vụ Reduce Kết phân tích kết trình Reduce Như vậy, máy slave vừa làm nhiệm vụ Map, vừa làm nhiệm vụ Reduce Các máy slave cài thêm nhiều máy ảo Tùy vào cấu hình máy chủ, việc cài đặt nhiều máy ảo giúp giảm thời gian phân tích, tăng hiệu xử lý Mục đích việc cài đặt máy ảo tạo mơi trường an tồn để thực thi mã độc sau mã độc tải từ HDFS Các máy ảo lập trình để chạy tự động (tự khởi động, tự động khôi phục lại môi trường sạch, tự chép tập tin phân tích, trả kết cho máy slave, tự động tắt máy ảo) mà không cần can thiệp người Chức Snapshot giúp cho việc khơi phục lại mơi trường, cấu hình phân tích máy ảo trở nên nhanh chóng chọn lựa mơi trường phân tích khác để phù hợp với tập tin phân tích mã độc Hình Mơ hình tổng quan hệ thống Hệ thống thiết kế theo Hình Trong mơ hình phân tích mã độc thể Hình Hình Quy trình thực phân tích mã độc Quy trình thực phân tích mã độc mơ tả theo 38 Nguyễn Tấn Khôi, Trần Thanh Liêm bước tổng quan thuật tốn sau (Hình 5): - Đầu vào: + Danh sách tập tin nghi ngờ có mã độc; + Địa URL nghi ngờ mã độc - Đầu ra: + Kết luận tập tin có nhiễm mã độc hay không; + Thông tin mô tả hành vi mã độc; + Thống kê mã độc phân tích - Thuật tốn 3.3.3 Cơ chế Map mã độc Các máy slave làm nhiệm vụ Map nhận đầu vào cặp với key tên mã độc, value địa mã độc Dựa vào địa này, máy cục tải mã độc phân tích Sau đó, thực chạy hoạt động phân tích tĩnh Tiếp theo, mã độc chép vào máy ảo để thực cơng việc phân tích động Tại máy ảo, mã độc thực thi hành vi mã độc ghi lại Sơ đồ hoạt động máy slave làm nhiệm vụ Map mơ tả Hình 6: Hình Sơ đồ hoạt động máy làm nhiệm vụ Map Như vậy, trình hoạt động máy slave làm nhiệm vụ Map có ba giai đoạn chính: - Tải mã độc máy slave để làm nhiệm vụ Map từ HDFS; - Thực chạy hoạt động phân tích tĩnh; - Chép mã độc vào máy ảo, thực chạy hoạt động phân tích động Cơng việc xử lý kết phân tích mơ tả Hình 7: // TODO Auto-generated method stub Configuration conf = new Configuration(); conf.addResource(new Path(CORE_SITE_PATH)); //copy file from HDFS to Local filename = value.toString(); FileSystem fs = FileSystem.get(conf); fs.copy ToLocalFi le(new Path(COPY_DIR,filename), new Path(LO CAL_DATA_ DIR)); // Run script which implements the static analysis runScript(filena me); // Run dynamic analysis boolean succeed = runDynamicA nalysis(filename); … } 3.3.4 Cơ chế Reduce mã độc Cơ chế Reduce mã độc thể hiệnnhư sau: public void reduce(Text key, Iterator values, OutputCollector output, Reporter reporter) throws IOException { // TODO Auto-generated method stub StringBuilder sb = new StringBuilder(); while(values.hasNext()){ Text text = values.next(); sb.append(t ext); if(values.hasNext()) sb.append(","); } output.collect(key, new Text(sb.toString())); } Sau thực xong nhiệm vụ Map, máy slave thực nhiệm vụ Reduce Đầu vào máy Reduce cặp , với key trạng thái mã độc (NOT OK, OK, N/A) value tên mã độc Các máy Reduce nhóm mã độc có trạng thái thành nhóm 3.4 Các mơ đun chức 3.4.1 Chức phân tích tĩnh Để thực phần này, ta cần phải có kết nối mạng Với đoạn Linux shell script tự động việc tính giá trị MD5 gởi lên dịch vụ Malware Hash Registry Team Cymru để kiểm tra[10] Dịch vụ phản hồi lại mã độc phát trước hay chưa, khả Antivirus phát phần trăm Đoạn lệnh thực chức phân tích tĩnh: #!/bin/ bash MALWARE=$1 MD5=’md5sum ${MALWARE} | awk ‘{print $1}’’ whois -h hash.cymru.com ${MD5} > ${MALWARE}.static Hình Xử lý kết phân tích Kết q trình phân tích xuất tập tin Kết phân tích phân chia, phần đầu cho trình Map, phần lưu xuống HDFS để phục vụ cho việc thống kê Trạng thái mã độc đầu trình Map đầu vào trình Reduce Đoạn mã lệnh thể chế Map mã độc: public void map(LongWritable key, Text value, OutputCollector output, Reporter reporter) throws IOException { Hình Tổng quan hoạt động chức phân tích tĩnh ISSN 1859-1531 - TẠP CHÍ KHOA HỌC VÀ CƠNG NGHỆ ĐẠI HỌC ĐÀ NẴNG, SỐ 12(97).2015, QUYỂN Kết nhận báo cáo thống kê bao gồm: STT, tên mã độc, tình trạng mã độc (NOT OK, OK, N/A), phần trăm Antivirus phát báo cáo thống kê bao gồm: số lượng mã độc phân tích, số lượng mã độc bị phát hiện, số lượng mã độc không bị phát hiện, số lượng tập tin xảy lỗi trình phân tích 3.4.2 Chức phân tích động 39 all.sh Có thể kiểm tra lại chương trình chạy hay chưa lệnh jps Trong chương trình, ta chọn tập tin (*.txt) chứa tên mã độc để phân tích Sau kích vào nút Malware Analysis để chạy chương trình Việc phân tích thực nhiều mẫu thử 50, 100, 150, 200, 250 300 mã độc Q trình phân tích mã độc thực thi môi trường sandbox, môi trường độc lập để tránh ảnh hướng đến hệ thống khác Trong hệ thống, sử dụng hệ điều hành Ubuntu 14.04, môi trường thực thi mã độc Windows XP Chương trình sử dụng thư viện VIX API cho phép viết đoạn script tự động hóa thao tác bật tắt máy ảo, truyền tập tin máy thật máy ảo Chức snapshot VMware giúp khơi phục lại nhanh chóng liệu cấu hình đánh dấu trước đó, có nghĩa chọn mơi trường để tiến hành phân tích cho phù hợp Điều thuận lợi cho việc phân tích mã độc Hình 11 Kết phân tích tĩnh 300 mã độc Kết thử nghiệm đánh giá 4.1 Môi trường triển khai Kết phân tích tĩnh cung cấp thông tin bao gồm tên mã độc, giá trị MD5, tình trạng mã độc (NOT OK, OK, N/A), số lượng Antivirus phát thống kê số lượng mã độc phân tích, số lượng mã độc bị phát hiện, số lượng mã độc không bị phát hiện, số lượng lỗi q trình phân tích Bảng Thời gian phân tích tĩnh mã độc máy STT Hình Mơ hình triển khai thử nghiệm Hệ thống phân tích mã độc triển khai trên: - Hệ điều hành Ubuntu 14.04; - Nền tảng Hadoop: 1.2.1; - Phiên máy ảo: VMware Workstation 10.0.3, phiên Linux; Số lượng mã độc 50 100 150 200 250 300 Thời gian phân tích 60 giây 113 giây 150 giây 185 giây 222 giây 251 giây Phát Tỉ lệ % 44 89 134 173 219 258 88,00% 89,00% 89,33% 86,50% 87,60% 86,00% Kết phân tích tĩnh 44/50, 89/100, 134/150, 173/200, 219/250 258/300 với thời gian tương ứng 60, 113, 150, 185, 222 251 giây, tỉ lệ phát mã độc đạt giá trị từ 86,00% đến 89,33% - Hệ điều hành máy ảo thực thi mã độc: Windows XP; - Thực thử nghiệm khoảng 300 mã độc, nguồn từ VNCERT [11]forum BKAV [12] virussign [13]; - Mơ hình thử nghiệm gồm có máy master máy slave 4.2 Kết triển khai Hình 12 Kết phân tích động Hình 10 Khởi chạy dịch vụ Hadoop Để khởi động dịch vụ Hadoop, ta dùng lệnh start- Kết phân tích động hiển thị danh sách mã độc bên trái kích vào mã độc hiển thị hành vi mã độc tác động vào hệ thống thơng qua cơng cụ Regshot Hình 12 minh họa kết phân tích động Bước đầu, hệ thống phân tích xử lý mã độc đem 40 Nguyễn Tấn Khôi, Trần Thanh Liêm lại thuận tiện việc đảm bảo an tồn thơng tin mạng Việc tận dụng lực máy chủ thời gian rỗi cách đặt lịch thực góp phần nâng cao suất sáng kiến, cải tiến kỹ thuật, rút ngắn đáng kể thời gian phân tích mã độc Hệ thống phân tích xử lý mã độc ứng dụng từ mơ hình MapReduce hoạt động cách tự động Các công đoạn phân tích hệ thống tự động thực hiện, từ công đoạn nhận mã độc chép mã độc vào máy ảo, thực thi mã độc cuối đưa báo cáo chi tiết hành vi mã độc mà không cần người tác động vào Thời gian phân tích; 6; 251 Số lượng mã độc phân tích; 6; 300 Phát (%); 6; 86,00 Phát (%); 5; 87,60 Thời gian phân tích; 5; 222 Số lượng mã độc phân tích; 5; 250 Thời gian phân tích; 4; 185 Thời gian phân tích Phát (%); 4; 86,50 Phát (%) Thời gian phân tích; 3; 150 Số lượng mã độc phân tích; 3; Phát (%); 3; 89,33 150 Thời gian phân tích; 2; 113 Số lượng mã độc phân tích; 2; 100 Phát (%); 2; 89,00 Phát (%); 1; 88,00 Thời gian phân tích; 1; 60 Số lượng mã độc phân tích; 1; 50 Số lượng mã độc phân tích Số lượng mã độc phân tích; 4; 200 Các kết thực nghiệm cho thấy tỉ lệ mã độc phát thử 44/50, 89/100, 134/150, 173/200, 219/250 258/300, đạt từ 86% trở lên Kết hệ thống phân tích tĩnh phụ thuộc vào dịch vụ bên ngồi sử dụng, dịch vụ Malware Hash Registry Team Cymru Ngồi ra, ta sử dụng dịch vụ khác như: Virus Total [6] - Mỗi mã độc trung bình 1,2 giây phân tích, nên thời gian phân tích 1000 mã độc là: 1,2 * 1000 / 240 + ~ giây (các giai đoạn khác) kết < 10 giây So với hệ thống sandbox miễn phí Joe Sandbox, Threat expert, CW Sandbox, việc ứng dụng mơ hình xử lý phân tán MapReduce xử lý hàng loạt, tự động, mơ hình cho phép nhập mã độc để phân tích chưa tự động So với hệ thống xử lý tự động Buster Sandbox, Cukoo Sandbox hay Zero Wine Sandbox hệ thống giúp cho việc phân tích thực song song, tăng hiệu năng, giảm thời gian việc phân tích số lượng lớn mã độc Kết luận Bài báo nghiên cứu xây dựng mơ hình tính tốn phân tán để phân tích mã độc sử dụng Việc ứng dụng mơ hình xử lý phân tán giúp việc phân tích xử lý mã độc thực cách nhanh chóng, sở liệu cập nhật kịp thời, phân tích hàng loạt tập tin tùy vào số lượng máy ảo, tính tự động tính tương thích với hệ thống cao dễ dàng, linh hoạt việc xử lý, khắc phục cố Hệ thống sandbox môi trường phân tán giúp cho việc phân tích mã độc thực cách an tồn, ngồi cịn giúp cho việc giảm thời gian phân tích, tăng hiệu cơng việc Hướng nghiên cứu xây dựng sở liệu mã độc, xây dựng chức báo cáo, thống kê số liệu cảnh báo sớm TÀI LIỆU THAM KHẢO Hình 13 Biểu đồ thời gian phân tích tĩnh mã độc máy Bảng thể thời gian phân tích tĩnh mã độc máy Ta thấy số lượng mã độc phân tích tăng lên thời gian phân tích mã độc giảm lại Nếu số lượng mã độc 50 thời gian phân tích 60 giây trung bình thời gian phân tích mã độc 1,2 giây Nếu số lượng 300 thời gian phân tích 251 giây thời gian phân tích trung bình cịn lại 0,84 giây (giảm 30% mã độc) (Hình 13) Khi triển khai máy chủ IBM x3650 M4 (02 x Xeon 8C E5-2640v2 95W 2.0GHz, 32GB RAM, 02 x 300GB) Đại học Đà Nẵng thì: - Thời gian phân tích máy ảo: khoảng 150 giây Các giai đoạn khác kiểm chứng thực nghiệm nên kết < 155 giây [1] Alexis Galarza (2011), Automated Malware Analysis MapReduce and Virtualization, Universidad del Turabo [2] Amol G Kakade, Prashant K Kharat, Anil Kumar Gupta (2013), Survey of Spam Filtering Techniques and Tools, and Map Reduce with SVM Dennis Distler (2007), Malware Analysis: An Introduction [3] [4] [5] [6] [7] [8] using Kyuseok Shim (2012), Map Reduce Algorithms for Big Data Analysis, Seoul National University, Korea Peter Mell, Karen Kent, Joseph Nusbaum (2005), Guide to Malware Incident Prevention and Handling, America https://www.virustotal.com/ http://bsa.isoftware.nl/ http://zerowine.sourceforge.net/ [9] http://www.cuckoosandbox.org/ [10] https://www.team-cymru.org/Services/MHR/ [11] http://www.bkav.com.vn/ [12] http://vncert.gov.vn/ [13] http://virussign.com/ (BBT nhận bài: 22/08/2015, phản biện xong: 19/10/2015) ... gian phân tích tĩnh mã độc máy Bảng thể thời gian phân tích tĩnh mã độc máy Ta thấy số lượng mã độc phân tích tăng lên thời gian phân tích mã độc giảm lại Nếu số lượng mã độc 50 thời gian phân tích. .. gian phân tích; 2; 113 Số lượng mã độc phân tích; 2; 100 Phát (%); 2; 89,00 Phát (%); 1; 88,00 Thời gian phân tích; 1; 60 Số lượng mã độc phân tích; 1; 50 Số lượng mã độc phân tích Số lượng mã độc. .. hiểm mà mã độc thực thời gian phân tích Trong trường hợp kết phân tích cho thấy dấu hiệu nghi ngờ cần kiểm tra kỹ, phân tích chun sâu Phân tích mã độc mơi trường phân tán Mơ hình phân tán hệ thống