Dựa vào nguyên lý nhận dạng hướng ý định (intention-based approach), bài toán E-class sử dụng thuật toán SID học tình huống trên tập dữ liệu quan sát bằng mô hình AMKBD. Công tác đánh giá bài toán được thực hiện theo quy trình sau:
Đầu tiên, gỡ các mẫu F-virus trong CSDL SE của MAV. Tiếp theo, cho virus nhiễm vào máy ảo VMWare Workstation ver 5.5.3 đã cài sẵn MAV trong trạng thái vô hiệu tác tử. Sau đó kích hoạt MAV, quét hệ thống và ghi nhận số cảnh báo (chưa biết tên chính xác). Cuối cùng, phục hồi CSDL SE cho MAV, đếm số tập tin được phát hiện nhiễm (biết tên virus chính xác), đối chiếu với số tập tin thực nhiễm và tính toán kết quả thực nghiệm (Bảng 3.7).
- 52 -
Bảng 3.7: Kết quả thực nghiệm bài toán chẩn đoán lớp virus E-class
Lần thSựốc nhi tập tin ễm cSậốp nh virus ật phát hiSố virus ện chính xác Số tập tin được cảnh báo Số tập nhiễm bị bỏ sót Độ chính xác (%) báo (%) Độ dự cĐộậy (%) tin 1 1792 112 107 1668 17 95.54 98.99 99.05 2 1578 108 100 1467 11 92.59 99.26 99.30 3 1625 100 95 1512 18 95.00 98.82 98.89 4 1723 110 105 1602 16 95.45 99.01 99.07 5 1682 105 98 1569 15 93.33 99.05 99.11 Trung bình: 94.38 99.03 99.09
Mặc dù có độ tin cậy cao nhưng phương pháp này cũng còn một số hạn chế: - Một số F-virus tự kết xuất sâu trình ra hệ thống đích, khiến thủ tục SID không
tìm thấy đối tượng mới trong CSDL VerifyDB nên bỏ sót mã độc.
- Khi tác tử canh phòng bị vô hiệu (stop/disable), hệ sẽ không phát hiện được các virus sử dụng kỹ thuật buffering và khôi phục trạng thái file sau khi nhiễm. - Khi hệ thống thay đổi, AMKBD sẽ gây bối rối cho người dùng ít kinh nghiệm. - Hệ thống đã nhiễm một loại file virus lạ trước khi cài đặt MAV.
Để khắc phục các hạn chế trên, có thể thực hiện các biện pháp sau: - Kết hợp bài toán E-class với bài toán chẩn đoán sâu trình.
- Thiết kế tác tử canh phòng dạng dịch vụ (service) chạy thường trực
- Hướng dẫn người dùng cập nhật thông tin cho CSDL VerifyDB sau khi nâng cấp phần mềm (chỉ phù hợp cho người dùng am hiểu).