d. ObjectX, sau khi rõ NULL 15 28 03 101 39 27 65 37 91
4.4.2.5. Kết quả thực nghiệm
Nhận dạng biến thể virus hướng hợp nhất DF2RV được áp dụng trong trường hợp luật phân bố trị thuộc tính của điểm chẩn đoán không khớp với các luật phân nhóm virus từ giai đoạn học. Để đánh giá DF2RV, CSDL SA (trong mô hình không gian vectơ ở Chương 3) được sử dụng để thử nghiệm trên bộ dữ liệu 1000 virus của
Kaspersky Lab. Các virus này được chọn ngẫu nhiên để thông tin về các virus của CSDL SA không hoàn toàn có mặt đầy đủ trong bộ dữ liệu virus này. Kết quả thực nghiệm thu được trong bảng 4.6.
Bảng 4.6:Kết quả nhận dạng virus của các anti-virus thử nghiệm
Anti-virus SignaturesVirus Version Engine Cảnh báo Phát hiện Bỏ sót Dự báo dTựỷ báo lệ
Norton Anti-virus 72,020 9.05.15 907 889 93 18 16.22%
Virus Scan N/A 4.0.4682 906 877 94 29 23.57%
Bit Defender v.8 253,993 7.05450 959 925 41 34 45.33%
MAV 890 N/A 957 483 43 474 91.68%
Biểu đồ ở hình 4.17 so sánh kết quả của các AV trên cùng tập mẫu. MAV và
Bit Defender [73] cảnh báo 957 và 959 virus, tốt hơn Symantec [89] và McAfee [80] (907 và 906 virus). Các chỉ số thực nghiệm của MAV cho thấy:
-
Độ dự báo Proactive detection = 474/(1000 - 483) = 91.68 %-
Độ tin cậy Reliability = 957/1000 = 95.7 %Khi giảm λ, MAV dự báo virus tốt hơn nhưng cũng gia tăng rủi ro phát hiện nhầm (Bảng 4.7). Khi λ= 90%, tỷ lệ này là 95,74% [7]. Kết quả thực nghiệm cho thấy với CSDL khiêm tốn, MAV vẫn có thể phát hiện số virus tương đương với các AV có số virus cập nhật nhiều hơn với tỷ lệ dự báo trên 91%. Ngoài ra người dùng MAV có thể điều chỉnh hệ số λ thích hợp để đạt hiệu quả dự báo tốt hơn.
0 200 400 600 800 1000 1200
NAV Scan BitDef MAV
V ir u s sam p les
Warnings Detections Proactions Omissions
Bảng 4.7: Kết quả dự báo virus của MAV khi thay đổi λ λ (%) Dự báo Tỷ lệ dự báo (%) Nhầm Tỷ lệ nhầm (%) 100 474 91.68 0 0 98 476 92.07 0 0 96 480 92.84 0 0 95 482 93.23 0 0 93 488 94.39 0 0 90 495 95.74 0 0 89 495 95.74 1 0.003 87 496 95.94 2 0.006 84 496 95.94 6 0.017 81 496 95.94 9 0.025 79 497 96.13 10 0.028 75 497 96.13 13 0.036 4.4.2.6. Bàn luận về kỹ thuật DF2RV
Nhận định bản chất của quá trình chẩn đoán virus hướng tiếp cận chuỗi mã là bài toán truy vấn dữ liệu chắc chắn và đầy đủ; quan niệm biến thể virus máy tính là đối tượng mang thông tin chưa chắc chắn và không đầy đủ, MAV đề xuất phương án DF2RV khôi phục (recall) dữ liệu virus sử dụng kỹ thuật hợp nhất dữ liệu qua ba bước NULL hóa dữ liệu, giải mã NULL và làm rõ dữ liệu NULL, nhằm tái tạo các trị thuộc tính chưa được nhận dạng của biến thể virus vào thư viện virus mẫu.
Quan niệm mã virus là dữ liệu chuỗi byte (từ máy 8 bit), độ tương quan dữ liệu giữa các ô được xử lý bằng độ lệch giữa các từ sử dụng trong mẫu, DF2RV thay thế giá trị NULL trong không gian quan sát bằng các giá trị lân cận gần nhất. Hợp nhất dữ liệu là kỹ thuật đơn giản, tự động và độc lập dữ liệu do nguồn hợp nhất được lấy ngay trên CSDL.
4.5. Kết quả thực nghiệm
MAV được cài đặt trên mạng cục bộ mô hình client-server hoặc workgroup, gồm gói máy chủ chạy Windows Server 2003 và gói máy trạm sử dụng Windows XP Professional (xem Phụ lục 4). Hoạt động cơ bản của hệ được mô tả như sau:
- Phân hệ máy chủ MAVSR (MAV Server) được thiết kế cho giai đoạn Học dữ liệu (xem Phụ lục 5). MAVSR có nhiệm vụ thu nhận tri thức chuyên gia, phân cụm dữ liệu và rút luật phân bố dữ liệu.
- Phân hệ máy khách MAVCL (MAV Client) quét virus bằng các thuật toán học trong giai đoạn Xử lý. Nếu phát hiện virus cũ, MAVCL tiêu diệt ngay. Nếu nghi ngờ virus mới, MAVCL sẽ cách ly và gửi mẫu về máy chủ (Phụ lục 6). - Khi nhận được mẫu virus mới từ máy khách, MAVSR sẽ cập nhật mẫu vào
CSDL, bổ sung luật nhận dạng, đồng bộ CSDL và CSTT cho hệ thống.
