3. Các nội dung nghiên cứu của luận văn
3.1.1. Giới thiệu giải pháp
Yêu cầu đặt ra cần xây dựng cây quyết định phát hiện mã độc dựa vào dữ liệu meta-data của tệp tin giúp xác định một tệp tin có phải là mã độc hay không.
Ta có thể nghĩ đến giải pháp tương tự như virustotal hay nhiều cơ sở dữ liệu khác có thể phát hiện họ mã độc. Với cơ sở dữ liệu rất lớn và tích hợp nhiều nhà phát triển đây là một giải pháp khôn ngoan, nhưng lại khó giải quyết với những mẫu mã độc mới.
Việc cần thiết của ứng phó sự cố là tính tức thời, ta không thể phụ thuộc vào một giải pháp của hãng thứ 3 quá nhiều. Nếu mã độc có sức lây lan cao vào nhanh hay tấn công APT thì việc cần xác định nhanh thông tin về mã độc là việc hết sức cần thiết.
Việc này thật sự cần thiết cho nhà phân tích có thêm thông tin để có thể rút ngắn thời gian phân tích mã độc, đưa ra biện pháp ứng phó sự cố. Đối với nhà phát triển phần mềm chống mã độc, đây cũng là một hướng tiếp cận cho phép phân chia, quản lý mẫu mã độc trong cơ sở dữ liệu.
Công cụ phát hiện mã độc hướng đến mục tiêu như sau:
Tối ưu hóa thời gian phân tích bằng cách xác định đối tượng phân tích.
Phát hiện mã độc bằng hướng tiếp cận học máy mở ra hướng phát triển cao hơn cho việc nghiên cứu mã độc và ứng phó sự cố an toàn thông tin.
Phát hiện mã độc bằng siêu dữ liệu tối ưu hóa thời gian phát hiện. Giảm thiểu việc tác động của mã độc tới hệ thống.