3.3.3.1. Phát biểu bài tốn
Lớp B-class chứa các boot virus lây vào các MTKĐ trên sector đầu tiên của đĩa mềm khởi động (xem Phụ lục 1). Cĩ hai vấn đề cần giải quyết là (i) nhận dạng các boot virus cũ và (ii) phát hiện các boot virus mới trên MTKĐ.
Dù được định dạng (format) dưới bất kỳ HĐH nào, các MTKĐ trên đĩa đều cĩ nhiệm vụ tìm và tải các mơ-đun khởi động sơ cấp của HĐH vào bộ nhớ rồi trao quyền để máy tính tiếp tục quá trình khởi động. Nếu một MTKĐ nào thực hiện các tác vụ lạ, nĩ khơng phải là MTKĐ hợp lệ và cĩ thể là boot virus mới. Bài tốn chẩn đốn B-class được giải quyết theo hướng phân tích hành vi [12] như sau:
• Tổ chức hai CSDL dữ liệu: CSDL thứ nhất chứa thơng tin về các boot virus đã cập nhật. CSDL thứ hai chứa các MTKĐ sạch phổ biến của các hệđiều hành.
• Cung cấp các tập miền (domain theory) mơ tả hành vi đối tượng trong hai CSDL nĩi trên. Tập miền thứ nhất định nghĩa các hành vi cơ bản của boot virus. Tập miền thứ hai mơ tả các tác vụ thực hiện chức năng cơ bản của MTKĐ của các HĐH. Các tập miền được biểu diễn dưới dạng luật.
- 40 -
• Tải đối tượng chẩn đốn bObject vào khơng gian quan sát đồ thị hĩa.
• Phân tích hành vi, phân loại đối tượng chẩn đốn bObject:
- Áp dụng các thuật giải tìm kiếm và suy luận trên khơng gian quan sát. - Nếu dữ liệu phản ánh các mơ tả của tập miền thứ nhất, thơng báo tình trạng
nhiễm virus của bObject, xử lý bệnh, báo cáo kết quả, kết thúc.
- Nếu dữ liệu phản ánh các mơ tả của tập miền thứ hai, kết luận về tình trạng an tồn của MTKĐ, kết thúc quá trình.
- Ngồi ra, thơng báo về tình trạng khác thường của bObject (virus mới, device driver, sector hỏng, định dạng lạ…)
• Kết thúc quá trình, bổ sung thơng tin đối tượng vào các CSDL tương ứng (boot virus lạ vào CSDL thứ nhất, MTKĐ sạch vào CSDL thứ hai).