6. Bố cục của luận án
2.2. Các thành phần chính
2.2.5. Tính tốn khả năng thực thi lại Sandbox (SR)
Khối SR sử dụng dữ liệu từ đầu ra của khối RDP bao gồm tởng số lời gọi hệ thống (ts), tởng số gĩi tin mạng (tntp), tởng số lượng tương tác tệp (tfr), tỷ lệ phần trăm trung bình của CPU được sử dụng (avgCPU), tỷ lệ phần trăm trung bình của RAM được sử dụng (avgRAM). Kết quả của khối này là lựa chọn cĩ cần thiết phải chạy lại mơi trường Sandbox hay khơng để phục vụ mục đích thu thập thêm thơng tin về hành vi tệp ELF. Thuật tốn của khối SR được mơ tả trong Thuật tốn 2.1 (Thuật tốn RDM). Thuật tốn với đầu vào là thơng số thống kê dữ liệu được trích xuất từ dữ liệu hành vi của mã độc đã được thu thập gồm: Tởng số lời gọi hệ thống được gọi (ts); Tởng số gĩi tin mạng được bắt giữ (tntp); Tởng số tệp tin liên kết được yêu cầu (tfr); Giá trị trung bình cộng tỉ lệ phần trăm CPU được sử dụng (avgCPU); Giá trị trung bình cộng tỉ lệ phần trăm RAM được sử dụng (avgRAM). Đầu ra của thuật tốn là một giá trị logic (d) cho biết sẽ chạy
lại mơi trường Sandbox hay khơng. Khởi tạo ban đầu, giá trị d = true và biến trạng thái thu thập dữ liệu của Sanbox vt sẽ bằng tởng số liệu thống kê các hành vi tương tác của mã độc được Sanbox thu nhận được. Mơi trường Sandbox sẽ tiếp tục chạy (d=true) cho đến khi biến trạng thái vt khơng tăng nữa. Tức là, mơi trường Sandbox khơng thu thập được thêm các dữ liệu hành vi mới nào nữa của mã độc.
Thuật tốn 2.1 Thuật tốn RDM Input: Extract from Behavior data
( Total system calls: ts,
Total network traffic packets: tntp, Total file name request: tfr,
The average percentage of CPU used: avgCPU, The average percentage of RAM used: avgRAM)
Output: Decision of rerun the Sandbox: d
d = true; t = 0; i = 0; n = 100
1: vt ← (ts+tntp+tfr+avgCPU+avgRAM) 2: while d do
3: t ← t +1 4: Run Sandbox
5: Extract from Behavior data (ts; tntp; tfr; avgCPU; avgRAM) 6: vt ← (ts+tntp+tfr+avgCPU+avgRAM) 7: if vt ≤ vt−1 or t = n then 8: d ← false 9: end if 10: end while 11: return d