x Î RN
Xác định vị trí bản đồ đặt vector x ® xác định neuron chiến thắng
Neuron chiến thắng là neuron có vector w gần với x nhất
Neuron ứng với một vị trí bản đồ
Thực hiện qui luật học ® xác định lân cận của
neuron “chiến thắng” cùng tham gia học với nó W Î RN
Vector tham chiếu ứng với một neuron, đƣợc khởi tạo ngẩu nhiên Lân cân của neuron “chiến
thắng”
Hình 5.4 Nội dung thuật toán bản đồ tự tổ chức (SOM – Self Organizing Map)
Bản đồ SOM
Vector tham chiếu i Neuron i liên kết với một
vector tham chiếu i
(3): Nj (t)=Nj (r(t),t) Neuron chiến thắng và những neuron lân cận trong bán kính r(t) Vector đặc trưng k (2): Neuron chiến thắng j: có khoảng cách nhỏ nhất giữa vector đặc trƣng đầu vào x và vector
mô hình
(1): Tính khoảng cách Euclide từ vector đặc trƣng k đến tất cả các vector tham chiếu (vector mô hình) của các neuron trên bản đồ
MÃ HÓA VECTOR ĐẶC TRƢNG RÚT GỌN CHIỀU
. . .
║x - wJ║ = min║x - wk║, k = 1,…,M
Hình 5.5 Mô hình xác định nơron chiến thắng và những nơron lân cận
Nj (t)=Nj (r(t),t) Nơron chiến thắng và những nơron lân cận trong bán kính r(t) Bản đồ SOM r(t3) r(t2) r(t1) r (t1) ≥ r (t2) ≥ r (t3) ≥ …
Hiệu chỉnh trọng số của các nơron trong tập hợp N j (t): wp (t+1) = wp (t) + (t)(xi – wp (t)), p N j (t)
Hàm tỉ lệ học (t) = max (t)(1 – t/T), với max cho trước Hình 5.6 Cơ chế học của nơron chiến thắng và
những nơron lân cận 5.5 Bản đồ tham số đặc trƣng
Hình 5.7 Nơron huấn luyện đặc trưng được chiếu vào bản đồ bằng thuật toán SOM
Thuật toán SOM Nơron huấn luyện
5.6 Thực nghiệm Lab phát tán mã độc, virus, worm. 5.6.1. Mô tả môi trƣờng thực nghiệm. 5.6.1. Mô tả môi trƣờng thực nghiệm.
Virus máy tính là loại dữ liệu đặc biệt nguy hiểm, thử nghiệm virus trên một hệ thống mạng trong công ty, cơ quan, đơn vị, là rất nguy hiểm vì sự lây lan phát tán của virus là không lường trước được. Vì vậy xây dựng môi trường thực nghiệm để thu được kết quả nghiên cứu là vấn đề rất quan trọng. Trong đề tài này đề xuất môi trường thực nghiệm là xây dựng hệ thống mạng LAN ảo để làm thực nghiệm.
5.6.2 Môi trƣờng thực nghiệm:
Chuẩn bị:
5.6.2.1 Phần mềm tạo máy ảo VMware Workstation
VMware Workstation hoạt động bằng cách cho phép ta cài đặt nhiều hệ điều hành và các ứng dụng chạy đồng thời trên một máy vật lý.
Các hệ điều hành và ứng dụng này được cách ly trong các máy ảo bảo mật cùng tồn tại trên một phần cứng duy nhất. Lớp máy ảo VMware ấn định tài nguyên hệ thống phần cứng cho tài nguyên hệ thống của từng máy ảo, nhờ đó các máy ảo sẽ sử dụng CPU, RAM, các ổ đĩa, các thiết bị nhập/xuất riêng biệt. Các máy ảo hoàn toàn tương đương với một hệ thống x86 thông thường.
Ƣu điểm
Khả năng bảo mật, tính tiện dụng cao, các tài nguyên của máy vật lý được bảo vệ hoàn toàn vì các máy ảo có thiết bị ảo (Một ổ đĩa ảo, thậm chí toàn bộ máy ảo thực tế chỉ là một tập tin của máy vật lý), và nếu máy ảo có trục trặc hoặc bị mã độc, virus, worm lây nhiễm thì vẫn không ảnh hưởng đến hệ thống bên ngoài.
Ngoài ra máy tính ảo tạo môi trường cách ly để chạy, thử nghiệm chương trình, hệ thống ứng dụng mà không sợ ảnh hưởng đến tính ổn định của hệ thống hiện tại.
Phát triển hệ thống (System Development) mà không sợ làm ảnh hưởng đến công việc toàn hệ thống máy đang vận hành.
Nhƣợc điểm
Vấn đề lưu trữ vật lý. Thông thường, mỗi máy ảo chỉ dùng một tập tin để lưu tất cả những gì diễn ra trong máy ảo. Do đó nếu bị mất tập tin này xem như mất tất cả.
Nếu máy tính có cấu hình phần cứng thấp nhưng cài quá nhiều chương trình máy ảo, máy sẽ chậm và ảnh hưởng đến các chương trình khác.
Do tập trung vào một máy tính, nếu máy bị hư thì toàn bộ các máy tính ảo đã thiết lập trên nó cũng bị ảnh hưởng theo.
5.6.2.2 Phần mềm đóng băng ổ cứng Deep Freeze:
Để hạn chế cài đặt lại nhiều lần khi máy ảo thực nghiệm bị nhiễm mã độc, đề tài sử dụng phần mềm tiện ích Deepfreeze để chống thay đổi cấu hình hệ thống.
Deep Freeze là phần mềm đóng băng máy tính, chức năng của nó là sao lưu lại toàn bộ trạng thái của hệ thống cũng như ổ đĩa thiết lập chế độ đóng băng, mỗi lần khởi động hay tắt máy nó sẽ phục hồi lại toàn bộ dữ liệu ngay như lúc đầu. Khi thực nghiệm virus, worm có thể tấn công vào hệ thống ngay lúc thực nghiệm như làm ngưng quá trình phục hồi thiết lập của Deep Freeze và xâm nhập vào hệ thống để lần khởi động sau tiếp tục vào hệ thống phá hoại. Vì thế dùng Deep Freeze chỉ hạn chế được một phần nào đó khả năng lây nhiễm virus thôi chứ không hoàn toàn ngăn chặn được.
5.7 Mô hình đề xuất
Virtual Machine Virtual Ethernet Switch [VMnet1]
Virtual Machine Mail server Router Internet eth0 eth1 172.16.1.1 192.168.1.10 192.168.1.0/24
Hình 5.8: Mô hình tổng quát thực nghiệm Lab.
5.7.1 Xây dựng mô hình thực nghiệm
1 máy IDS sử dụng hệ điều hành Linux CentOS 6.2.
1 máy phục vụ Mail server sử dụng hệ điều hành Windows Server 2003
2 máy tính trạm sử dụng hệ điều hành Windows XP 2.
Các máy kết nối với nhau thành một mạng LAN ảo VMnet Switch.
5.7.2 Cấu hình máy phát hiện xâm nhập IDS:
CPU core i3, RAM: 1G, ổ cứng 30G
Hệ điều hành: Linux CentOS 6.2
IP: 192.168.1.10
SM: 255.255.255.0
GW: 192.168.1.1
DNS: 192.168.1.1
5.7.3 Cấu hình máy Mail Sever:
CPU core i3, RAM: 1G, ổ cứng 20G
IP: 192.168.1.11
SM: 255.255.255.0
GW: 192.168.1.1
DNS: 192.168.1.1
5.7.4 Cấu hình máy trạm:
Sử dụng hệ điều hành: Windowns XP Professional Sevice Pack2
IP: từ 192.168.1.12 đến 192.168.1.100
SM: 255.255.255.0
GW: 192.168.1.1
DNS: 192.168.1.1
5.8. Phân tích cách thức hoạt động của một số sâu 5.8.1 Worm Mydoom.s 5.8.1 Worm Mydoom.s
Tại Việt Nam, virus Mydoom.s đã xuất hiện và bắt đầu lây lan mạnh trong các mạng doanh nghiệp. Biến thể Mydoom mới này là một loại virus phát tán qua e-mail, được giấu trong một file đính kèm dạng .EXE có tên “photos_arc.exe”
Nguy cơ từ Mydoom.s
Mydoom.s có chứa cơ chế phát tán qua giao thức SMTP để thực hiện quá trình phát tán tới các địa chỉ khác. Tương tự như các biến thể khác, Mydoom.s lấy địa chỉ e-mail của máy tính nạn nhân, sau đó gặt hái các địa chỉ từ Address Book trên máy tính để tiếp tục "bắn phá" bằng các phiên bản sao y của nó. Mydoom.s tạo ra một email với địa chỉ người gửi giả mạo từ account có trên máy tính đã bị nhiễm, nên những người nhận được email kế tiếp rất dễ lầm tưởng là thư của người quen và mở ra.
File đính kèm là một file .EXE có tên photos_arc.exe, khá khác biệt với các phiên bản Mydoom khác vì thông thường chúng dùng rất nhiều đuôi file khác nhau. Người dùng nên cẩn trọng trước mọi email có tiêu đề photos và xoá ngay khi thấy xuất hiện.
Địa chỉ người gửi From: (giả mạo địa chỉ e-mail của người quen, có thể là cùng trong công ty).
Tiêu đề: photos
Nội dung: LOL!;))))
Phân tích cơ chế phá hoại
Sau khi người dùng bị lừa và mở file đính kèm photos_arc.exe, Mydoom.s sẽ tự sao chép nó vào thư mục WINDOWS (%WinDir%) dưới dạng file rasor38a.dll và vào thư mục SYSTEM (%SysDir%) dưới tên winpsd.exe, để thực hiện hoạt động lây nhiễm kế tiếp. Các khoá Registry sau đã được Mydoom.s thêm vào để hệ thống kích hoạt nó mỗi khi khởi động:
KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerComDlg32
KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersi
on ExplorerComDlg32
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVer
sion Run "winpsd" = C:WINDOWSSystem32winpsd.exe
Virus này sau đó thực hiện thành phần truy cập từ xa trong nó, với nhiệm vụ lắng nghe các kết nối từ xa. Ngoài ra, nó còn download một Trojan backdoor vào máy của nạn nhân để hỗ trợ các hoạt động xâm nhập khác sau đó.
5.8.2 Worm W32.NetSky.P
Hệ thống bị ảnh hưởng: Windows XP, Windows Me, Windows NT, Windows 2000, 2003 ….Sử dụng giao thức SMTP, W32.Netsky.P tự gửi chính nó qua hàng loạt thư đến tất cả các địa chỉ email thu thập được từ các tập tin với đuôi mở rộng trên ổ đĩa hệ thống C đến Z nếu có: . Xml, . Wsh, . Jsp, Msg, . Sht, .Php, . Txt, . Eml, . Html, . Htm, . Pl….
W32.Netsky.P cố gắng khai thác các vấn đề và mô tả như là Microsoft IE để thực hiện các tập tin đính kèm ngay khi email được xem. Khi tập tin đính kèm được thực hiện, nó tạo ra một cá thể của W32.Netsky.P sẽ thực hiện:
Sau đó nó tạo ra các bản sao của chính nó:
% Windir% \ userconfig9x.dll Các tập tin .tmp cũng được tạo ra:
% Windir% \ base64.tmp: định dạng mã hóa-phiên bản của file thực thi % Windir% \ zip1.tmp: định dạng mã hóa-phiên bản của sâu trong kho lưu trữ zip
% Windir% \ zip2.tmp: định dạng mã hóa-phiên bản của sâu trong kho lưu trữ zip
% Windir% \ zip3.tmp: định dạng mã hóa-phiên bản của sâu trong kho lưu trữ zip
% Windir% \ zipped.tmp: Worm trong kho lưu trữ zip
Tiếp theo W32.Netsky.P sẽ tạo ra các mục đăng ký để nó thực hiện mỗi khi Windows khởi động:
W32.NetSky.P sẽ quét ổ cứng. Nếu một tìm thấy thư mục chứa các chuỗi kí tự sau: shared files, kazaa, mule, donkey, morpheus, lime,ear, icq, shar, upload, http, htdocs, ftp, download, my shared folder. W32.NetSky.P sẽ copy bản sao các loại sâu vào thư mục đó.
Do dòng virus này không ngừng có phiên bản mới nên cấu trúc và cách xâm nhập vào máy tính có thể khác đi. Nhưng nhìn chung là dựa vào cách phổ biến này. Các file được sinh ra có tên khác nhau, chúng không đơn thuần là một loại nữa mà mang bên trong các file đó còn kèm theo các loại khác. Hoặc bị nhiễm loại virus khác.
5.8.3 Worm Sasser
Không giống như các loại virus khác, sâu Sasser không cần phải đi kèm với email mà tự động xâm nhập máy qua đường nối mạng (các cổng 445, 5554, 9996, 9995). Tại sao Sasser lại có thể dễ dàng lây nhiễm như vậy, đó là bới vì Sasser khi lây nhiễm bởi một máy tính nào đó, nó sẽ copy vào thư mục cài đặt Window một file avserve2.exe hoặc skynetave.exe (với Sasser loại D) sau đó sẽ nhập đường dẫn của file này vào trong đăng ký của Window (Registry key) theo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run (ta có thể chạy file regedit.exe trong thư mục Window để mở xem thông số này), khi đó sâu Sasser sẽ hoạt động ngay khi Window được khởi động.
Quá trình hoạt động của sâu sẽ tự lây lan qua các cổng nói trên bằng cách thường xuyên tìm kiếm các máy tính khác thông qua các địa chỉ IP, nếu địa chỉ IP nào đang tồn tại thì máy tính đó sẽ “dính” ngay nếu như không được bảo vệ bởi những phần mềm quét virus hoặc các phần mềm “vá” của Microsoft.
Sasser xâm nhập máy nào sử dụng hệ điều hành Windows 2000 và XP mà chưa tải xuống phần mềm bảo vệ của Microsoft. Hiện tại người ta đã phát hiện thấy có 4 biến dạng của Sasser. Loại Sasser D rất xâm nhập máy bằng cách gởi đi vô số dữ liệu làm cho các mạng bị chậm lại.
Windows XP chưa được bảo vệ dễ nhiễm sasser
Các báo cáo ban đầu cho biết người sử dụng đường truyền lớn có nhiều nguy cơ nhiễm Sasser vì đa số không có tường lừa để ngăn chặn sâu có trên Internet. Các chuyên gia khuyên người sử dụng đường truyền lớn ở nhà nên cài đặt tường lừa vì máy nối mạng gần như thường trực.
5.8.4 Loveletter
Loại worm này có khoảng 82 biến thể. Dạng cuối cùng đó là VBS.Loveletter.CN
Loại worm này bắt nguồn từ Manila, Philippines. Nó có sức lan truyền rất rộng, và lây nhiễm hàng triệu máy.
Loại sâu này đó là tự động gửi đến địa chỉ email trong hộp địa chỉ của Microsoft Outlook và cũng lây lan sang phòng chat dùng MIRC. Loại worm này viết đè lên file từ các trình điều khiển từ xa, bao gồm các loại file có phần mở rộng : .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html, .xls, .ini, .bat, .com, .avi, .qt, .mpg, .mpeg, .cpp, .c, .h, .swd, .psd, .wri, .mp3, and .mp2.
Hầu hết các file được thay đổi bằng mã nguồn của worm, nó thêm đuôi mở rộng .vbs vào mỗi file. Ví dụ, image.jpg trở thành image.jpg.vbs. Với những file có phần mở rộng là .mp2 .mp3 thì không bị phá hủy.
Mặt khác VBS.Loveletter cũng download một chú ngựa Trojan từ một website.
Cách thức hoạt động của loại sâu này : (threat assessment)
Phạm vi thư điện tử : Tự nó gửi đến tất cả các địa chỉ có trong hộp địa chỉ Outlook.
Thay đổi của file : Ghi đè vào file có phần mở rộng sau : .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .html, .xls, .ini, .bat, .com, .mp3, .and, .mp
Chúng có thể bị phát hiện bởi những phần mềm antivirus.
Degrades performance : Làm giảm thiểu khả năng của email server Sự phát tán (distribution)
Chủ đề của email (subject of mail): ILOVEYOU
Tên của phần đính kèm (name of attachment): Love – letter – for- you.txt.vbs
Kích thước đính kèm : 10,307 bytes
Hướng chia sẻ (shared drives): Viết đè lên file đã được xác định trên mạng
Kiểu lây nhiễm : Viết lên file có phần mở rộng là : .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .htm, .html, .xls, .ini, .bat, .com, mp3, and .mp2.
Chi tiết kỹ thuật :
Khi hoạt động, worm tự nó sao chép tới thư mục \Windows\System cả mskernel32.vbs và LOVE-LETTER-FOR-YOU.TXT.vbs và tới thư mục \Windows file Win32dll.vbs nó kiểm tra sự có mặt của Winfat32.exe trong thư mục \Windows\System
Nếu file này không tồn tại, worm sẽ đặt trình IE khởi động trang web với win-bugsfix.exe.Site này sẽ bị bắt.
Nếu file này tồn tại, worm sẽ tạo khóa sau :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WIN- BUGSFIX
Và thi hành trong suốt quá trình khởi động hệ thống. Khi trình duyệt khởi động thì nó sẽ thay thế bằng một trang rỗng
Với mỗi một ổ đĩa, gồm cả ổ đĩa mạng, virus sẽ tìm cách lây nhiễm vào file có phần mở rộng là .vbs và .vbe. Worm cũng tìm kiếm các file có phần mở rộng .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .wav, .txt, .gif, .doc, .html, .xls, .ini, .bat, .com, .mp3, .and, .mp2. Khi các loại file này đã được tìm thấy Worm sẽ làm việc như sau :
Ghi đè lên tất cả các file có phần mở rộng (.js, .jse …) với phần mã đã có virus. Sau đó nó tạo một văn bản sao của file và thêm phần mở rộng .vbs vào tên file. Ví dụ, nếu tên file là House_pics.jpg, thì file đã được ghi đè có tên là House_pics.jpg.vbs. Sau đó file gốc sẽ bị xóa. Những file này phải bị xóa rồi sau đó lưu lại từ bản sao dự phòng.
Tạo bản sao cho tất cả các file có phần mở rộng .mp3 và .mp2. Sau đó ghi đè lên với đoạn mã đã nhiễm virus và thêm phần mở rộng .vbs vào tên file. Tiếp theo thay đổi thuộc tính của file gốc .mp3 và .mp2 vẫn không bị thay đổi trên ổ cứng. Các file đã thay đổi sẽ bị xóa.
Khuyến cáo : Không nên cố gắng thực thi các file mà đã bị ghi đè hoặc đã bị thay đổi tên bởi worm. Nếu làm như vậy worm sẽ hoạt động lại
Worm cũng phát tán bằng con đường khác bằng cách tạo ra file Script.ini trong thư mục chứa chương trình MIRC. File script này gửi file LOVE- LETTER-FOR-YOU.HTM cho các người dùng khác trong cùng chatroom (phòng chat)
Worm dùng cách gọi các hàm MAPI đến chương trình Microsoft Outlook và tạo các thông điệp thông qua tất cả địa chỉ có trong hộp thư của Outlook. Worm dùng Windows registry để giữ một phần của số địa chỉ nào mà được gửi thông điệp, do vậy mỗi địa chỉ chỉ được gửi có một lần.
Hình 5.9 Thông điệp phát tán của worm ILOVEYOU Chủ đề của thông điệp là :
ILOVEYOU
Thân của thông điệp là : kindly check the attached LOVELETTER coming from me.
File đính kèm vào thông điệp là LOVE-LETTER-FOR-YOU.TXT.vbs