Đánh giá phương pháp chẩn đốn lớp virus E-class

Một phần của tài liệu TIẾP CẬN MÁY HỌC VÀ HỆ CHUYÊN GIA ĐỂ NHẬN DẠNG, PHÁT HIỆN VIRUS MÁY TÍNH (Trang 70 - 71)

Dựa vào nguyên lý nhận dạng hướng ý định (intention-based approach), bài tốn E-class sử dụng thuật tốn SID học tình huống trên tập dữ liệu quan sát bằng mơ hình AMKBD. Cơng tác đánh giá bài tốn được thực hiện theo quy trình sau:

Đầu tiên, gỡ các mẫu F-virus trong CSDL SE của MAV. Tiếp theo, cho virus nhiễm vào máy ảo VMWare Workstation ver 5.5.3 đã cài sẵn MAV trong trạng thái vơ hiệu tác tử. Sau đĩ kích hoạt MAV, quét hệ thống và ghi nhận số cảnh báo (chưa biết tên chính xác). Cuối cùng, phục hồi CSDL SE cho MAV, đếm số tập tin được phát hiện nhiễm (biết tên virus chính xác), đối chiếu với số tập tin thực nhiễm và tính tốn kết quả thực nghiệm (Bảng 3.7).

- 52 -

Bảng 3.7: Kết quả thực nghiệm bài tốn chẩn đốn lớp virus E-class

Lần thSựốc nhi tập tin ễm cSậốp nh virus ật phát hiSố virus ện chính xác Số tập tin được cảnh báo Số tập nhiễm bị bỏ sĩt Độ chính xác (%) báo (%) Độ dự cĐộậy (%) tin 1 1792 112 107 1668 17 95.54 98.99 99.05 2 1578 108 100 1467 11 92.59 99.26 99.30 3 1625 100 95 1512 18 95.00 98.82 98.89 4 1723 110 105 1602 16 95.45 99.01 99.07 5 1682 105 98 1569 15 93.33 99.05 99.11 Trung bình: 94.38 99.03 99.09

Mặc dù cĩ độ tin cậy cao nhưng phương pháp này cũng cịn một số hạn chế: - Một số F-virus tự kết xuất sâu trình ra hệ thống đích, khiến thủ tục SID khơng

tìm thấy đối tượng mới trong CSDL VerifyDB nên bỏ sĩt mã độc.

- Khi tác tử canh phịng bị vơ hiệu (stop/disable), hệ sẽ khơng phát hiện được các virus sử dụng kỹ thuật buffering và khơi phục trạng thái file sau khi nhiễm. - Khi hệ thống thay đổi, AMKBD sẽ gây bối rối cho người dùng ít kinh nghiệm. - Hệ thống đã nhiễm một loại file virus lạ trước khi cài đặt MAV.

Để khắc phục các hạn chế trên, cĩ thể thực hiện các biện pháp sau: - Kết hợp bài tốn E-class với bài tốn chẩn đốn sâu trình.

- Thiết kế tác tử canh phịng dạng dịch vụ (service) chạy thường trực

- Hướng dẫn người dùng cập nhật thơng tin cho CSDL VerifyDB sau khi nâng cấp phần mềm (chỉ phù hợp cho người dùng am hiểu).

Một phần của tài liệu TIẾP CẬN MÁY HỌC VÀ HỆ CHUYÊN GIA ĐỂ NHẬN DẠNG, PHÁT HIỆN VIRUS MÁY TÍNH (Trang 70 - 71)

Tải bản đầy đủ (PDF)

(180 trang)