Tiếp cận hệ chuyên gia anti-virus (Anti-virus Expert System) được tác giả luận án và nhóm nghiên cứu đề xuất trong tham luận Expert System Approach to Diagnosing and Destroying Unknown Computer Virusesở Hội nghị Quốc tế về Trí tuệ nhân tạo và Tính toán mềm của tổ chức IASTED (The International Association of Science and Technology for Development), tổ chức ở Mexico năm 1998 [62].
Theo Google (G) và Yahoo (Y), hiện nay (*) trên thế giới có 4 nhóm nghiên cứu tiếp cận hệ chuyên gia nhận dạng virus máy tính công bố công trình (Bảng 2.3).
Bảng 2.3:Khảo sát tiếp cận hệ chuyên gia nhận dạng virus máy tính
Kết quả Từ khóa tìm kiếm G Y Nhóm nghiên cứu Năm Nguồn InVircible 2002 www.invircible.com/news MicroPoint 2005 www.micropoint.cn Weidian 2005 www.english.people.com.cn Anti-virus expert system 41 32 MAV 2005 www.rivf.e-ifi.org/2005 Anti-virus système
d'experte 0 0 #N/A #N/A #N/A
- 28 -
Các kỹ thuật của InVircible’s Generic Technology [84] là:
1. Phát hiện các hành vi dối trá, lợi dụng sơ hở hệ thống, lừa người sử dụng như đổi tên tập tin (jpg.exe, jpg.pif…), giả mạo shortcut kích hoạt mã độc… 2. Phân tích định dạng Win32 Executable nghi mã độc dựa vào cơ sở tri thức 3. Giám sát sự thâm nhập của các loại hình quấy nhiễu như worm, trojan,
backdoor vào hệ thống mạng.
4. Bảo vệ hệ thống theo thời gian thực bằng chính sách theo dõi tiến trình, thường xuyên kiểm tra toàn vẹn hệ thống.
5. Trong suốt với người dùng.
Tương tự InVircible, MicroPoint [81] sử dụng năm nhóm giải pháp: 1. Phân tích hành vi hướng thông minh nhân tạo
2. Quét mẫu truyền thống kết hợp với kỹ thuật bảo vệ tường lửa 3. Phục hồi trạng thái hệ thống bằng kỹ thuật rollback
4. Giám sát hoạt động hệ thống theo thời gian thực
5. Tái hiện hoạt động hệ thống qua bộ dữ liệu tiền sửđăng nhập
Khác với các nhóm InVircible và MicroPoint, phần mềm Weidian Proactive Defence Software dựa vào kỹ thuật nhận dạng hướng hành vi phát hiện trojan horse thâm nhập vào hệ thống đăng ký (System Regsitry) để cài đặt mã độc vào máy đích. Khi phát hiện virus thâm nhập, hệ sẽ vận dụng các phương pháp suy diễn trên CSTT đã có để tham vấn người dùng, hỗ trợ quyết định đối xử thích hợp [87].
Ngoài ra, có dự án “A Prescriptive Anti-virus Expert System Automated with Defensive Actions” do Curtis HK. Tsang và cộng sựở khoa Khoa học Máy tính, đại học HongKong (City University of Hong Kong)nghiên cứu [88].
Nhìn chung, nhóm giải pháp nhận dạng virus máy tính hướng hệ chuyên gia như InVircible, MicroPoint và Weidian đều tập trung giải quyết sâu trình và trojan. Bên cạnh các kỹ thuật tiên tiến (tiếp cận hệ chuyên gia, tiếp cận hành vi và tiếp cận ý định), các nghiên cứu này đều có sử dụng nhận dạng chuỗi mã để gia tăng sức mạnh cho hệ. Kết hợp nhiều kỹ thuật chẩn đoán là xu hướng chung của các hệ anti- virus trong giai đoạn hiện nay.