Đang tải... (xem toàn văn)
Bài viết này giới thiệu về một mô hình phát hiện mã độc, uCLAVS (University of Caldas Antivius Service dịch vụ chống virus của trường đại học Calda), một dịch vụ đa dụng cụ đi kèm theo các bộ định dạng giao thức và các tiêu chuẩn cho công nghệ dịch vụ web, ngoài ra còn có Ontology dành cho phát hiện mã độc và xâm nhập được miêu tả kèm. uCLAVS dựa trên ý tượng cải tiến các ứng dụng phân tích tập tin trên máy trạm bằng cách chuyển chúng đến các mạng thay vì chạy các phần mềm phức tạp trên tất cả các máy chủ, mỗi quy trình sẽ nhận được một tiếp nhận của tập tin hệ thống, gửi chúng đi đê xác định xem chúng có được thực thi hay không dựa theo các báo cáo kết quả về mối đe dọa đã cung cấp.
Kỹ thuật điện tử & Khoa học máy tính PH¸T HIệN Mà ĐộC DựA TRÊN ĐIệN TOáN ĐáM MÂY NGUYễN TIếN XUÂN*, hoàng sỹ tương**, NGUYễN THANH TùNG** Tóm tắt: Bài viết giới thiệu mô hình phát mà độc, uCLAVS (University of Caldas Antivius Service dịch vụ chống virus trường đại học Calda), dịch vụ đa dụng cụ kèm theo định dạng giao thức tiêu chuẩn cho công nghệ dịch vụ web, có Ontology dành cho phát mà độc xâm nhập miêu tả kèm uCLAVS dựa ý tượng cải tiến ứng dụng phân tích tập tin máy trạm cách chuyển chúng đến mạng thay chạy phần mềm phức tạp tất máy chủ, quy trình nhận tiếp nhận tập tin hệ thống, gửi chúng đê xác định xem chúng có thực thi hay không dựa theo báo cáo kết mối đe dọa đà cung cấp Các mẫu kết thử nghiệm đưa uCLAVS xử lý, điều tăng tỷ lệ phát tập tin nguy hiểm, cho phép xây dựng máy trạm máy trạm mỏng, tạo điều kiện cập nhật zero-day, cung cấp khả điều mức độ cao Từ khóa: Điện toán đám mây, Mà độc, Antivirus giới thiệu Việc phát phần mềm độc hại (Malware) thách thức an ninh hàng đầu, phương thức hoạt động loại phần mềm chủ yếu dựa vào việc sử dụng dấu hiệu (signature) phương pháp dò tìm (heuristics) Để hỗ trợ cho phương thức người ta thường tăng độ phức tạp phần mềm thiết kế để chống lại Malware, điều làm tăng tính phức tạp việc chống virus và gián tiếp trọng vào lỗ hổng công Các chuẩn Malware xâm nhập dựa nguyên tắc phân loại; chúng không đủ khả để hỗ trợ cho trình xác định kiểu công tối ưu hay xác định hành vi bất thường dự đoán trước Các Ontology ( thể học ) cho phép miêu tả đối tượng, khái niệm mối quan hệ lĩnh vực kiến thức, trường hợp này, nguồn dấu hiệu malware, quy tắc phát hiện, phản ứng trình phòng ngừa cần phải miêu tả ngữ nghía nhằm thống sở kiến thức hệ thống cung cấp khung luận điểm, hiểu biết suy luận từ mô hình ngữ nghĩa Bài viết ®a mét cÊu tróc vỊ viƯc ph¸t hiƯn malware dựa khái niệm thể học dịch vụ Web xâm nhập độc hại (Web Services and Malware Intrusion Ontology), uCLAVS (University of Caldas’ AntiVirus Service) mét dịch vụ triển khai điện toán đám mây theo giao thức tiên chuẩn quy định công nghệ dịch vụ Web để phát nội dung độc hại hành vi cđa mét tËp tin cha biÕt th«ng qua viƯc sư dụng nhiều công cụ thực chiến lược phân tích không đồng Phần cung cấp đánh giá ban đầu đề tài đóng góp quan trọng liên quan; Phần miêu tả kiến trúc, mô hình, triển khai dịch vụ, cuối trình bày số phát ban đầu mô hình mẫu thử nghiệm với thiết kế nó; Phần nói Ontology định nghià việc phát malware/xâm nhập cách phòng ngừa Kết chứng minh phần Cuối phần kết luận chung hướng phát triển tương lại nhấn mạnh phần nghiên cứu trước Việc phát malware dịch vụ điện toán đám mây đà giới thiệu rÊt kÜ [1], nhng hÖ thèng läc cho e-mail giao thức HTTP triển khai đám 64 N T Xuân, H S Tương, N T Tùng, “Phát mã độc… điện toán đám mây.” Nghiên cứu khoa hc cụng ngh mây đà trở nên phổ biến từ vài năm trước [2] cho thấy dạng dịch vị bảo vệ Các công cụ liệt kê giao thức ICAP dịch vụ chống virus (chạy máy) làm việc máy quét đa công dụng giúp cho việc phát virus từ email, web proxy server Hệ thống bảo vệ đa công cụ không đồng sử dụng công nghệ nhận biết phân tích phương thức không đồng cho đánh giá tốt việc đặc tính hóa tập tin có hại Các tiêu chuẩn cho khái niêm đại diện Ontology hệ thống phát xâm nhập biểu thị nỗ lực không dựa sở chắn,ví dơ nh IDMEF (Intrusion Detection Message Exchange Format) vµ CIDF (The Common Intrusion Detection Framework) [3] định nghĩa API cách giao thức cho dự án nghiên cứu phát xâm nhập mà chia sẻ thông tin tài nguyê, thành phần bị từ chối cách xây dựng mô hình đại diện dựa cú pháp XML Nghiên cứu triển khai [ ] đà xác định mục tiêu Ontology cho phần phát xâm nhập, phương thức hoàn toàn mà Ontology sử dụng để miêu tả giúp hiểu rõ thêm công Những nghiên cứu nhằm xác định trọng tâm Ontology DAML-OIL (DARPA Agent Markup Language + Ontology Interface) dùa phương thức phân loại truyền thống chuyển hóa theo mô hình ngữ nghĩa học Các điều tra thực [5] tích hợp tương tác đặc tính Ontology lấy từ nghĩa centric-attack Ontology mà cung cấp dấu hiệu mà khớp với cấu trúc liệu công cụ phát công mạng Snort Trong [6] đà phát triển Ontology phần phát phòng chống mà độc, mở rộng Ontology để tích hợp dấu hiệu mà độc dựa kết từ công cụ gắn liền cấu trúc uCLAVS sử dụng điện toán đám mây để phát mà độc Một phần mềm phân tích độc hại dùng để xác định hệ thống code có khả thực công hệ thống máy tính [7] Để thực điều giải pháp chương trình diệt virus chủ yếu sử dụng việc phân tích tĩnh dựa dấu hiệu đánh giá qua thử nghiệm [8], gần có số kỹ thuật áp dụng việc phân tích động số sách phòng ngự tương tự khác Một điểm chung việc phát mà độc hại tồn ứng dụng máy chủ sử dụng thuật toán đặc biệt để tìm phần mềm độc hại Hoạt động công cụ thường tập trung vào việc phân tích file chạy từ bên diƠn chđ u kho¶ng thêi gian truy cËp theo yêu cầu Các hệ thống an ninh phải mở rộng để chứa số lượng lớn client Một hệ thống đa dụng cụ dựa dịch vụ phân tích tập tin hệ thống điều khiển từ xa xác định nội dung hành vi tập tin không tên thông qua việc phân tích nhiều công cụ ( chống virus) thực sách không đồng uCLAVS hệ thống đa công cụ hoạt động dựa dịch vụ phân tích tệp tin thực điện toán đám mây thông qua giao thức tiêu chuẩn cho dịch vụ web Chức dịch vụ phải đơn giản thiết thực : xác định tập tin chứa mà độc thông qua việc phân tích từ xa thực nhiều công cụ W3C-Hiệp hội web toàn giới định nghĩa dịch vụ web .Một dịch vụ Web hệ thống phần mềm nhận dạng URI (Uniform Resource Identifier), mà giao diện chung gắn kết định nghĩa mô tả XML Định nghĩa nhận hệ thống phần mềm khác Các hệ thống sau tương tác với dịch vụ Web theo phương cách mô tả định nghĩa nó, sử dụng thông điệp theo XML chuyển giao thức Internet.(W3C 2007) Một dịch vụ Web hoàn thiện dịch vụ tuân theo quy tắc sau: Có thể chạy web Tp chí Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 65 Kỹ thuật điện tử & Khoa học máy tớnh Sử dụng chuẩn XML để trao đổi thông điệp Không gắn liền với ngôn ngữ lập trình hệ điều hành Nó có khả tự mô tả Các dịch vụ Web thực kiến trúc định hướng dịch vụ (SOA service-oriented architecture) đưa thực động, kết nối mềm dẻo ứng dụng phân tán SOA có ba vai trò chính: nhà cung cấp dịch vụ, người tiêu dùng nhà môi giới Các chức thành phần sử dụng mô tả kiến trúc phân chia tương tự Hình Sơ đồ bối cảnh cho uCLAVS Các tiện ích CLAVS: Đăng tải MÉu (file) Ph©n tÝch quÐt (hash) LÊy ph©n tÝch quÐt (hash) Các chức thiết kế để tách chức dùng để phát nhà cung cấp dịch vụ, người dùng dựa vào kết thu để đưa định uCLAVS cung cấp chức tương ứng với sản phẩm chống phần mềm độc hại máy trạm, việc thực phải tuân theo số điều khoản bổ túc đặc trưng cho tính chất dịch vu đám mây Đối với dịch vụ chông phần mềm độc hại, chúng phải đáp ứng số yêu cầu sau: Hỗ trợ cho nhiều công cụ phân tích Thiết bị cho phép sử dụng nhiều công cụ bảo vệ song song sử dụng phương pháp kỹ thuật không đồng để phát phần mềm độc hại Thông báo Khi tập tin cho có khẳ nguy hiểm dịch vụ phải cung cấp cho người dùng thông tin cần thiết để nhận biế đưa định đắn Thu thập thông tin Tất hoạt động dịch vụ phải thu thập với mục đích phân tích quản lý Dịch vụ quản lý Phải cung cấp chế để cấu hình quản lý dịch vụ Hai khía cạnh quan trọng làm uCLAVS trở thành lựa chọn bổ sung để cải thiển phần mềm phát mà độc tự động chất dịch vụ Web khả phân tích tập tin cách sử dụng nhiều công cụ bảo vệ mô hình gọi n-protection (bảo vệ đa lớp) Multi-Engine Một trọng tâm việc triển khai khả dụng nhiều công cụ bảo mật áp dụng phương pháp kỹ thuật không đồng để phát phần mềm độc hại, mô hình gọi bảo vệ đa phiên (N-version protection) [1] dựa khái niệm lập trình đa phiên đề xuất việc tạo nhiều phiên ứng dụng để so sánh kết đầu chúng từ đảm bảo hoạt động phù hợp 66 N T Xuõn, H S Tương, N T Tùng, “Phát mã độc… điện tốn đám mây.” Nghiên cứu khoa học cơng nghệ Ph¬ng thøc nµy triĨn khai cđa mét øng dơng Web b»ng cách sử dụng công nghệ hiển thị hình tảng khác, nhằm mục đích so sánh kết có được, biểu thị HTML, để đảm bảo cho hệ thống hoạt động phù hợp Hình Kiến trúc thành phần uCLAVS Các thành phần bao gồm : Proxy SOAP : Proxy SOAP chịu trách nhiệm xếp thứ tự/ hủy bỏ thứ tự thông điệp uCLAVS trao đổi người tiêu dùng khách hàng cđa hä cho viƯc triĨn khai cã thĨ sù dụng cách dễ hiểu Điều phối (Dispatcher): Yêu cầu ®iỊu phèi ®ãng mét vai trß quan träng cÊu trúc, chức giống hàng đội cho phép việc quản lý yêu cầu dịch vụ đầu vào, báo cáo cho Event Log Hàng đợi (queue) Hàng đợi kiến trúc cấu trúc liệu dùng để chứa đối tượng làm việc theo chế vào trước trước, Dịch vụ lưu trữ (Storage Service) uCLAVS cung cấp giao diện đơn giản, sử dụng dịch vụ Web để lưu trữ lấy số lượng liệu, lúc nào, từ đâu Web Phân tích dịch vụ (Service Analysis) Xác định giao diện dịch vụ Web mà yêu cầu phân tích tập tin chứa mà độc, công cụ lấy dạng hash tập tin để đưa phân tích Phân tích ®iỊu vËn truy vÊn (Analysis Query Dispatcher _AQD): Nã ho¹t động giống điều phối, chức cung cấp quản lý nhu cầu công cụ Adjudicator: có trách nhiệm giám sát hoạt động cđa c«ng C«ng (Engines): uCLAVS sư dơng công cụ khác Clamv, F-Prot, Avast, BitDefender, Kaspersky Proxy Agent : chịu trách nhiệm truyền kiến trúc dịch vụ cung cấp dịch vụ đại lý bên Chính sách quản lý mối đe däa (Policy Manager Threat): cã tr¸ch nhiƯm cung cÊp c¸c báo cáo cuối mối đe dọa Retrospective Detection: Nhấn mạnh virus sở liệu, việc phân tích tập tin đáng nghi không đặt mức độ cảnh bảo coi độc hại cao không Log Events (ghi sù kiƯn ) cã tr¸ch nhiƯm kiĨm soát truy cập nguwoif dùng khác để triển khai việc sử dụng dịch vụ uCLAVS Administration Manager: cung cấp giao diện để quản lý tất quy trình nêu Tp Nghiờn cu KH&CN quân sự, Số 32, 08 - 2014 67 Kỹ thuật điện tử & Khoa học máy tính H×nh uCLAVS vai trò tương tác bối cảnh Để thực dịch vụ uCLAVs sử dụng ngôn ngữ PERL gói SOAP::Lite có sẵn từ CPAN SOAP::Lite tập hợp mô-đun Perl cung cấp API dung lượng nhỏ để dụng máy trạm máy chủ SOAP Việc xử lý yêu cầu trách nhiệm Distpacher tóm tắt sau: Một đoạn mà đơn giản cho thấy tích hợp công cụ chống virus miễn phí nhúng vào phiên uCLAVS Một ví dụ mô tả dịch vụ cho trình "doScannerAnalysisiResponse" thể mô tả dịch vụ Web sau đây: 68 N T Xuõn, H S Tương, N T Tùng, “Phát mã độc… điện tốn đám mây.” Nghiên cứu khoa học cơng nghệ H×nh Mô hình mối quan hệ tệp tin meta-info ontology Hiện nay, nhiều tiên đề quy tắc mô tả loại công tổng cộng 25 loại xâm nhập có thông qua thuật toán phân cụm áp dụng (K-Means), mô tả [6] gần 4800 trường hợp Ontology Ngôn ngữ OWL sử dụng để thiết kế thực Ontology, ảnh hưởng quan trọng thiết kế OWL có nguồn gốc từ DAML+OIL RDF/XML Để thiết lập quy tắc Ontology cần phải sử dụng đến SWRL (Semantic Web Rule Language) SWRL tập ngôn ngữ OWL nên thường biểu diƠn cïng c¸c Ontology mét tËp tin OWL Mét quy tắc SWRL bao gồm phần tiên đề để miêu tả body, phần hệ phần head Phần liệu thô chuyển đổi sang XML xử lý cho thực thể OWL; Hơn Ontology cập nhật từ câu SPARQL Sau Ontology miêu tả dấu hiệu cho công đà biết ( xâm nhập mạng va phát mà độc) công mới, hành thông minh sử dụng mô hình suy luận lập luận tích hợp tế bào mạng hệ thống multi-agent, giải pháp đà môt trả chi tiết [6]; điều cung cấp mô hình Ontology cho quy tắc phản ứng tạo hệ thống phòng chống Đối với Ontology nguyên tắc xác định cho phép phép tính suy luận trình lý luận Các hành vi mà độc (malware-behaviour) coi thuộc tính Ontology, từ thực thể công phát xử lý cách sử dụng công cụ phát nhúng kiến trúc uCLAVS, để xác định loại xâm nhập Tiên đề mô tả RootAccess: Tp Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 69 Kỹ thuật điện tử & Khoa học máy tính Ngoài ra, chức tương quan sử dụng Ontology hệ thống multi-agent nói rõ [11] giải thích việc tích hợp mô hình ngữ nghĩa MAS mối quan hệ dựa kỹ thuật tương tự thuộc tính KếT Việc thực nghiệm đà tiến hành với khoảng 1.2 triệu mẫu khoảng 25.000 mà độc tổng số 31 nhóm Hình cho thấy tỷ lệ phát phần mềm mà độc vào khoảng 85%-95%, uCLAVS sử dụng kiến trúc dựa nhiều công cụ đặc tính giảm gánh nặng cho khách hàng , tỷ lệ phát đạt tới gần 97% lần thử nghiệm Bảng hình cho thấy tỉ lệ phát chương trình chống virus phổ biến uCLAVS dựa thời gian quét mẫu mà độc tuần tháng Hình Tỉ lệ phát uCLAVS công cụ chống mà độc khác Bảng Tỷ lệ phát dựa thời gian quét mà độc chống virus kh¸c AntiVirus Avast AVG BitDefender ClamAV F-Prot Kaspersky uCLAVS 70 th¸ng 54,2% 84,4% 81,2% 56,7% 53,4% 89,1% 97,07% tuÇn 51,1% 82,2% 79,3% 54,2% 51,2% 86,8% 93,4% N T Xuân, H S Tương, N T Tùng, “Phát mã độc… điện toán đám mây.” Nghiên cứu khoa hc cụng ngh Hình Tỷ lệ phát mà độc thời gian quét mà độc chế chống virus khác Hình a) Phần trăm phát số lượng cảnh báo b) Network overload Việc tích hợp Ontology cho đời Mô hình phát thâm nhập hoàn thiện hình 7(a) cho thấy tỷ lệ phần trăm so với IDS khác có sáu cảm biến ;Hiệu suất cải tiến tích hợp khả nhận biết, phân loại mô hình suy luận Ngoài ra, việc tắc nghẽn mạng giảm thiểu việc sử dụng hệ thống multi-agent kết hợp với OWL nhúng thông điệp để trao đổi thông tin giữa công cụ hình 7(b) Snort sử dụng cho tiêu chuẩn IDS để so sánh kết đạt nhiều cảm biến KếT luận Bài viết trình bày kiến trúc dịch cụ triển khai điện toán đám mây gọi uCLAVS Định nghĩa kiến trúc sử dụng công nghệ dựa dịch vụ Web để xác định liên kết truyền thông cách sử dụng tiêu chuẩn khác theo W3C tích hợp Ontology cho việc phát phần mềm độc hại xâm nhập cho phép máy trạm khác thực (linuCLAVS WinuCLAVS) truy cập dịch vụ thông qua tiêu chuẩn XML, sử dụng SOAP uCLAVS sử dụng công qt kh¸c cã tØ lƯ ph¸t hiƯn m· độc 97%, cao công cụ khác sử dụng dẫn chứng khái niệm: Clamv, F-Prot, Avast, BitDefender, Kaspersky TàI LIệU THAM KHảO [1] J Oberheide, E Cooke, and F Jahanian: “CloudAV: N-Version Antivirus in the Network Cloud.” En Proceedings of the 17th USENIX Security Symposium (Security'08) San Jose, CA 2008 [2] S Link Server-based Virus-protection On Unix/Linux University of Applied Sciences Furtwangen http://www.openantivirus.org/diploma-thesis.pdf., 2008 Tạp chí Nghiên cứu KH&CN quân sự, Số 32, 08 - 2014 71 Kỹ thuật điện tử & Khoa học máy tính [3] S Al-Mamory and H Zhang, “Intrusion detection alarms reduction using root cause analysis and clustering”, Butterworth-Heinemann PP 419-430, 2009 [4] J Undercoffer, T Finin, A Joshi, and J Pinkston, “A target centric ontology for intrusion detection: using DAML+OIL to classify intrusive behaviors Knowledge Engineering Review - Special Issue on Ontologies for Distributed Systems”, Cambridge University Press., PP 2-22, 2005 [5] S Mandujano, A Galvan, and J Nolazco, “An ontology-based multiagent approach to outbound intrusion detection in Computer Systems and Applications”, 2005 The 3rd ACS/IEEE International Conference on Security PP 94, 2005 [6] G Isaza, A Castillo, M Lopez, and L Castillo, “Towards Ontology-based intelligent model for Intrusion Detection and Prevention” in 2nd CISIS'09, pp.109-116, 2009 [7] R Dalla, “Code Obfuscation and Malware Detection by Abstract Interpretation.”, Ph.D Thesis, Universitµ degli Studi di Verona PP 127, 2007 [8] P Szor, “The Art of Computer Virus Research and Defense (illustrated edition.).” Addison-Wesley Professional PP 245-252 , 2005 [9] M Papazoglou: Web Services: Principles and Technology (1o ed.) Prentice Hall , PP 22, 2007 [10].E Friedman-Hill and L Sandia Jess, “The Rule Engine for Java Platform.” Consulted: 2009; http://www.jessrules.com/jess/docs/index.shtml, 2009 [11].G Isaza, A Castillo, M Lopez, L Castillo, et al “Intrusion Correlation using Ontologies and Multiagent Systems” S.K Bandyopadhyay et al (Eds.): ISA 2010, CCIS 76, pp 51–63, 2010 Springer-Verlag Berlin Heidelberg 2010The 4th International Conference on Information Security and Assurance (ISA 2010) In Miyazaki, Japan June 2010 Abstract Malware detection base on cloud computing This paper introduces a model for malware detection, uCLAVS (University of Caldas' Antivius Service) anti-virus service of the University Calda, a multi-service tools accompanying the delivery format topology and technology standards for web services, in addition Ontology for malware detection and intrusion are described together uCLAVS ideas based on innovative the analysis application on the workstation files by moving them to the network instead of running complex software on all servers, each process will receive a receipt of collective information systems, sending them to determine whether they have been implemented or not based on the statement of the threat has to offer The sample test results taken uCLAVS processor, this can increase the detection rate of malicious files, allowing the construction of thin client workstations, enabling zero-day update, and provides that the energy high level Keywords: Cloud computing, Malware, Antivirus Nhận ngày 03 tháng 05 năm 2014 Hoàn thiện ngày 06 tháng 07 năm 2014 Chấp nhận đăng ngày 28 tháng 07 nm 2014 Địa chỉ: * ** 72 Trường Đại Học Kỹ Thuật hậu cần Công an nhân dân Học viƯn kü tht mËt m· - Ban c¬ u chÝnh phñ N T Xuân, H S Tương, N T Tùng, “Phát mã độc… điện toán đám mây.” ... H S Tương, N T Tùng, ? ?Phát mã độc? ?? điện toán đám mây. ” Nghiên cứu khoa học cơng nghệ H×nh Tû lƯ phát mà độc thời gian quét mà độc chế chống virus khác Hình a) Phần trăm phát số lượng cảnh báo... thấy tỉ lệ phát chương trình chống virus phổ biến uCLAVS dựa thời gian quét mẫu mà độc tuần tháng Hình Tỉ lệ phát uCLAVS công cụ chống mà độc khác Bảng Tỷ lệ phát dựa thời gian quét mà độc c¸c nỊn... cụ phát công mạng Snort Trong [6] đà phát triển Ontology phần phát phòng chống mà độc, mở rộng Ontology để tích hợp dấu hiệu mà độc dựa kết từ công cụ gắn liền cấu trúc uCLAVS sử dụng điện toán