Kiến trúc tởng quan mơ hình đề xuất

Một phần của tài liệu Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet. (Trang 61 - 63)

6. Bố cục của luận án

2.1. Kiến trúc tởng quan mơ hình đề xuất

Tởng quan về kiến trúc sandbox đề xuất (đặt tên là V-Sandbox) được mơ tả trong Hình 2.1, bao gồm 8 thành phần chính:

Hình 2.1 Kiến trúc của V-Sandbox

- Trích xuất thơng tin thuộc tính cơ bản tệp tin ELF (ELF Metadata Extraction component - EME): tự động xác định thơng tin sơ bộ của tệp tin ELF thơng qua siêu dữ liệu (metadata) của tệp này.

- Sinh cấu hình hoạt động Sandbox (Sandbox Configuration Generation component - SCG): Tạo các tham số cấu hình phù hợp của mơi trường Sandbox để kích hoạt thực thi tệp ELF đầu vào.

- Mơi trường Sandbox (Sandbox Engine component - SE): Mơi trường Sandbox thích hợp cho phép giám sát hành vi và tạo điều kiện cho tệp thực thi ELF thể hiện đầy đủ hành vi.

- Tiền xử lý dữ liệu thơ thu thập được (Raw Data Preprocessing component - RDP): tiền xử lý, xác định sơ bộ các hành vi điển hình của tệp thực thi ELF, cung cấp dữ liệu thống kê hành vi cho thành phần tính tốn khả năng thực thi lại của Sandbox (SR). - Tính tốn khả năng thực thi lại Sandbox (Sandbox Recomputation component - SR):

quyết định xem cĩ xuất báo cáo về các hành vi của tệp ELF hay cần chạy lại mơi trường Sandbox (SE) với cấu hình mới để thu thập thêm dữ liệu hành vi.

- Giả lập máy chủ C&C (C&C simulator): Thành phần giả lập máy chủ ra lệnh và điều khiển mạng lưới mã độc IoT Botnet (C&C server) cung cấp khả năng tạo kết nối, giao tiếp và nhận lệnh từ C&C server.

- Cơ sở dữ liệu thư viện liên kết động (Share Object DB): cơ sở dữ liệu chứa các tệp thư viện liên kết động mà tệp thực thi ELF cĩ thể yêu cầu.

- Sinh báo cáo tự động (Report): Tạo một bản tĩm tắt các hành vi đã được giám sát mà tệp thực thi ELF thể hiện trong mơi trường Sandbox.

Đầu tiên, khối EME đọc tiêu đề (Header) tệp ELF cần thực thi để xác định kiến trúc CPU, hệ điều hành cần thiết để khởi chạy mơi trường của V-Sandbox. Sau đĩ, khối SCG dựa vào thơng tin đầu ra của khối EME để tạo một trong các cấu hình cơ bản cho mơi trường Sandbox thực thi (dữ liệu đầu ra là tệp cấu hình hoạt động của Sandbox - “Configuration file”). Mơi trường Sandbox (SE) này sẽ thực thi và thu thập dữ liệu hành vi thơ (Collected raw data) của tệp ELF bằng các tác tử với cấu hình mơi trường chạy được lưu trữ trong tệp “Configuration file”. Dữ liệu thơ được thu thập từ các tác tử này sẽ được chuyển đến khối tiền xử lý RDP. Tại đây, dữ liệu hành vi của tệp ELF được đọc và phân tích để cập nhật vào tệp cấu hình “Configuration file”, bao gồm địa chỉ IP của máy chủ C&C được mã độc yêu cầu và các thư viện liên kết động bị thiếu. Ngồi ra, những dữ liệu hành vi này hỗ trợ khối tính tốn SR ra quyết định chạy lại mơi trường Sandbox hoặc dừng lại và tạo báo cáo kết quả phân tích. Trong trường hợp khối SR cho kết quả yêu cầu chạy lại mơi trường Sandbox, với sự hỗ trợ từ “Configuration file” đã được cập nhật, “C&C simulator” và “Share Object DB”, V- Sandbox cĩ thể thu thập thêm

dữ liệu mới về hành vi của ELF. Cuối cùng, khi khối SR xác định khơng thể thu thập thêm thơng tin hành vi của tệp ELF, nĩ sẽ ra lệnh tạo một báo cáo kết quả về dữ liệu hành vi của tệp ELF thơng qua khối Report.

Một phần của tài liệu Nghiên cứu xây dựng hệ thống VSandbox trong phân tích và phát hiện mã độc IoT Botnet. (Trang 61 - 63)

Tải bản đầy đủ (DOCX)

(141 trang)
w