Nghiên cứu xây dựng các hệ phòng chống virus máy tính là việc làm cần thiết trong giai đoạn hiện nay. Với những kết quả bước đầu, tiếp cận máy học và hệ chuyên gia đã mở ra hướng đi mới trong công nghệ anti-virus. Các nghiên cứu tiếp theo cần tập trung cải tiến chất lượng các bài toán bằng cách bổ sung các mô hình học tiên tiến, áp dụng lý thuyết mờ để cải thiện độ dự báo bằng cách học các giá trị tích lũy của hằng số λ, nghiên cứu phương án kế thừa tri thức chuyên gia từ các hệ AV khác, xây dựng hệ tích hợp tri thức chẩn đoán virus máy tính…
Kết quả nghiên cứu của đề tài giúp có thêm một phương pháp phòng chống virus mạnh mẽ, góp phần làm cho môi trường CNTT trong sạch hơn. Tuy nhiên AV không phải là biện pháp bảo vệ duy nhất. Khi có dịch, đặc biệt là bệnh lạ, một bác sĩ không thể chữa trị cho tất cả mọi người mà cần huy động cả bệnh viện, thậm chí cả guồng máy y tế. Một AV không thểđơn lẻ bảo vệ an ninh dữ liệu cho cộng đồng mà cần sự phối hợp chặt chẽ với các AV khác nói riêng, các hệ thống an toàn dữ liệu nói chung. Vì vậy, tiếp cận máy học và hệ chuyên gia trong lĩnh vực anti-virus là một hướng đi đúng đắn, tạo tiền đề nghiên cứu các hệ tích hợp tri thức chuyên gia, tiến tới xây dựng các trung tâm chẩn đoán virus máy tính trên mạng.
Cùng với việc nghiên cứu các hình thức tấn công không xác định địa chỉ (virus máy tính, sâu trình, trojan horse…), cần nghiên cứu xây dựng cơ chế bảo vệ hệ thống CNTT khỏi các cuộc tấn công có địa chỉ xác định (SPAM, DoS/DDoS, phishing, dirty tricks…) trên các website và cổng thông tin công cộng; từng bước mở rộng nghiên cứu sang các hệ thống liên lạc di động (wireless, điện thoại cầm tay, máy iPod, máy nghe nhạc…) tạo thành một thế trận bảo vệ các hệ thống CNTT chặt chẽ, liên hoàn và vững chắc.
- 100 -
CÔNG TRÌNH ĐÃ CÔNG BỐ
1. Nguyễn Thanh Thủy, Trương Minh Nhật Quang. Các giải pháp cho phần mềm chống virus thông minh. Tạp chí Tin học và Ðiều khiển, T.13, S.3 (1997), 123-132.
2. Nguyễn Thanh Thủy, Trương Minh Nhật Quang. Các cơ chế chẩn đoán virus tin học thông minh dựa trên tri thức. Tạp chí Tin học và Ðiều khiển,T.14, S.2 (1998), 45-52.
3. Nguyen Thanh Thuy, Truong Minh Nhat Quang. Expert System Approach to Diagnosing and Destroying Unknown Computer Viruses. Proceedings of the IASTED International Conference Artificial Intelligence and Soft Computing. 27-30 May 1998, Cancun – Mexico, 371-374. IASTED/ACTA Press.
4. Nguyễn Thanh Thủy, Trương Minh Nhật Quang. Cây chỉ thị nhị phân biểu diễn không gian trạng thái chẩn đoán virus tin học. VN, Tạp chí Tin học & Ðiều khiển, T.15, S.3 (1999), 40-45.
5. Nguyen Thanh Thuy, Truong Minh Nhat Quang. A Global Solution to Anti- virus Systems. The Proc. of the 1st International Conference on Advanced Communication Technology. 10-12 Feb. 1999, Muju-Korea, 374-377.
6. Nguyễn Thanh Thủy, Trương Minh Nhật Quang. Máy ảo, công cụ hỗ trợ
chẩn đoán và diệt virus tin học thông minh. Tạp chí Tin học & Ðiều khiển, T.16, S.2 (2000), 37-40.
7. Hoang Kiem, Nguyen Thanh Thuy, Truong Minh Nhat Quang. A Machine Learning Approach to Anti-virus System. Joint Workshop of Vietnamese Society of AI, SIGKBS-JSAI, ICS-IPSJ and IEICE-SIGAI on Active Mining. 4-7 Dec. 2004, Hanoi-Vietnam, 61-65.
8. Hoang Kiem, Nguyen Thanh Thuy, Truong Minh Nhat Quang. Machine Leaning Approach to Anti-virus Expert System with Nearest Neighbor Rule- based Structural. RIVF’05, February 2005, Cantho-Vietnam. 295-298.
9. Truong Minh Nhat Quang, Hoang Van Kiem, Nguyen Thanh Thuy. Using Null data Processing to Recognize Variant Computer Virus for Rule-based Anti-virus Systems. The Proceedings of the IEEE International Conference on Granular Computing. May 2006, Atlanta-USA, 600-603.
10. Truong Minh Nhat Quang, Hoang Van Kiem, Nguyen Thanh Thuy.
Association Model of Knowledge Base and Database in Machine Learning Anti-virus System. The Proceedings of the WMSCI 2006 Conference. July 2006, Florida-USA, 277-282.
11. Truong Minh Nhat Quang, Hoang Trong Nghia. A Multi-agent Mechanism in Machine Learning Approach to Anti-virus System. In the Proceedings of the 2nd Symposium on Agents and Multi-Agent Systems, KES-AMSTA 2008, Korea. Springer Lecture Notes in Artificial Intelligence, Vol. 4953, 743-752. 12. Trương Minh Nhật Quang, Hoàng Kiếm, Nguyễn Thanh Thủy. Ứng dụng
Máy học và Hệ chuyên gia trong phân loại và nhận dạng virus máy tính. Tạp chí Công nghệ Thông tin và Truyền thông (ISSN 0866-7039). Số 19, 2-2008 (93-101), Việt Nam, 2008.
13. Hoàng Kiếm, Trương Minh Nhật Quang. Cơ chế máy học chẩn đoán virus máy tính. Tạp chí Tin học và Điều khiển học. Số 1 (2008), Tập 24 (32- 41), Việt Nam, 2008.
- 102 -
TÀI LIỆU THAM KHẢO TÀI LIỆU TIẾNG VIỆT
[1]. Hoàng Kiếm, Đinh Nguyễn Anh Dũng. Giáo trình Trí tuệ nhân tạo. NXB Đại học Quốc gia TP. Hồ Chí Minh. 2005.
[2]. Hoàng Kiếm, Đỗ Văn Nhơn, Đỗ Phúc. Giáo trình các hệ cơ sở tri thức.
NXB Đại học Quốc gia TP. Hồ Chí Minh, 2002.
[3]. Hoàng Kiếm, Trương Minh Nhật Quang. Cơ chế máy học chẩn đoán virus máy tính. Tạp chí Tin học và Điều khiển học. Số 1 (2008), Tập 24 (32-41), Việt Nam, 2008.
[4]. Hoàng Kiếm, Nguyễn Quang Sơn, Trần Duy Lai. Bảo vệ thông tin và phòng chống virus máy tính. NXB Khoa học và Kỹ thuật. Việt Nam, 1990. [5]. Đỗ Đại Lợi, Nguyễn Hoàng Việt. Hệ điều hành Windows, các lổ hổng bảo
mật bị virus tin học khai thác.ĐHBK Hà Nội - ĐHTS Nha Trang, 2003. [6]. Đỗ Phúc.Giáo trình Khai thác dữ liệu. NXB ĐHQG TP. HCM, 2005.
[7]. Trương Minh Nhật Quang, Hoàng Kiếm, Nguyễn Thanh Thủy. Ứng dụng Máy học và Hệ chuyên gia trong phân loại và nhận dạng virus máy tính. Tạp chí Công nghệ Thông tin và Truyền thông (ISSN 0866-7039). Số 19, 2-2008 (93-101), Việt Nam, 2008.
[8]. Trần Đức Quang.Nguyên lý các hệ Cơ sở dữ liệu và Cơ sở tri thức. Tập 3 (biên dịch từ bản gốc của Jeffrey D. Ullman). NXB Thống kê, 2000.
[9]. Nguyễn Đình Thúc.Trí tuệ nhân tạo - Máy học. NXB LĐXH, 2002.
[10]. Hồ Ngọc Thơ. Tiếp cận sinh học để nhận dạng biến thể virus tin học. Khoa CNTT Đại học Cần Thơ, 2005.
[11]. Nguyễn Thanh Thủy, Trương Minh Nhật Quang. Các giải pháp cho phần mềm chống virus thông minh. Tạp chí Tin học và Ðiều khiển, T.13, S.3 (1997), 123-132.
[12]. Nguyễn Thanh Thủy, Trương Minh Nhật Quang. Các cơ chế chẩn đoán virus tin học thông minh dựa trên tri thức. Tạp chí Tin học và Ðiều khiển, T.14, S.2 (1998), 45-52.
[13]. Nguyễn Thanh Thủy, Trương Minh Nhật Quang.Máy ảo, công cụ hỗ trợ
chẩn đoán và diệt virus tin học thông minh. Tạp chí Tin học và Ðiều khiển, T.16, S.2 (2000), 37-40.
[14]. Nguyễn Thanh Thủy, Trương Minh Nhật Quang. Cây chỉ thị nhị phân biểu diễn không gian trạng thái chẩn đoán virus tin học. Tạp chí Tin học và Ðiều khiển, T.15, S.3 (1999), 40-45.
[15]. Trần Quốc Việt. Thiết kế máy ảo, công cụ hỗ trợ hệ chẩn đoán thông minh virus lạ trên máy tính.Khoa CNTT Đại học Cần Thơ, 1998.
TÀI LIỆU TIẾNG ANH
[16]. Alan C. More, John C. Penman. The Tomes of Delphi Basic 32-Bit Communications Programming. Wordware Publishing, Inc., USA-2003. [17]. Andreas Marx. Anti-virus vs Anti-virus: False Positives in AV Software.
Proceedings of the International Virus Bulletin Conference, 2003.
[18]. Bordera M. The Computer Virus War. Is The Legal System Fighting or Surrendering? Computer & The Law Project. Computer and Law, University of Buffalo School of Law, 1997.
[19]. Charlie Calvert. Unleash the power ofDelphi 4. Borland Press. USA-1999. [20]. Cios K. J. & Kurgan L. Hybrid Inductive Machine Learning: An Overview
of CLIP Algorithms. In L. C. Jain, and J. Kacprzyk (Eds.) New Learning Paradigms in Soft Computing, Physica-Verlag (Springer), 2001.
[21]. David Chess, Steve R. White. An Undetectable Computer Virus. Virus Bulletin Conference, September 2000.
[22]. David Ferbrache.A Pathology of Computer Viruses. Springer-Verlag, 1992. [23]. David M. Blei, Andrew Y. Ng & Michael I. Jordan. Latent Dirichlet
Allocation.Journal of Machine Learning Research 3 (2003) pp. 993-1022. [24]. Dmitry Gryaznop.Scanner of the Year 2000: Heuristic. Proceedings of the
5th International Virus Bulletin, 1999.
[25]. Eugene H. Spafford. Computer Viruses as Artificial Life. Journal of Artificial Life, MIT Press, 1994.
[26]. Eugene H. Spafford. The Internet worm program: an analysis. Technical Report CSD-TR-823, 1998. Dept. of Computer Science, Purdue University. [27]. Fred Cohen. Computer Viruses: Theory and Experiments. Computer and
Security 6. (1987) 22-35.
[28]. Fred Cohen. Computer Viruses. PhD thesis, University of Southern California, 1985.
[29]. G. Csurka, C. Dance, L. Fan, J. Willamowski & C. Bray. Visual Categorization with Bags of Keypoints. Proceedings of the European Conference on Computer Vision. Prague, Czech Republic, May 2004.
[30]. Gerard Salton & Christopher Buckley. Term-Weighting Approaches In Automatic Text Retrieval. Information Processing & Management Vol. 24, No. 5, Printed in Great Britain. Pergamon Press plc, 1998, pp. 513-523. [31]. Gerald Tesauro, Jeffred O. Kephart, Gregory B. Sorkin. Neural
- 104 -
[32]. Gilbert Saporta. Data fusion and data grafting. CNAM, F75141 Paris Cedex 03, France. Elsevier Science B.V, 2002.
[33]. Ian Waller. Controled Worm Replication - ‘Internet-In-A-Box’. Virus Bulletin Conference. Oxfordshire, England, 2000.
[34]. J. A. Black & N. Ranjan. Automated event extraction from email. Final Report of CS224N/ Ling237 Course in Stanford.
[35]. Jedidiah Richard Crandall. Capturing and Analyzing Internet Worms.
Computer Science Doctoral Thesis. University of California. USA, 2007. [36]. Jeffrey O. Kephart, William C. Arnold.Automatic Extraction of Computer
Virus Signatures. 4th Virus Bulletin International Conference, 178-184, 1994. [37]. Joel Scambray, Stuart McClure.Hacking Exposed Windows2000: Network
Security Secrets & Solutions. Orbone/McGraw-Hill Press. USA, 2001.
[38]. John Bloodworth. The AV industry – Smug or Smart? Virus Bulletin Conference, September 2000.
[39]. Joseph Rabaiotti. Counter Intrusion Software. PhD. Thesis, Computer Science, Cardiff University, pp. 38- 43, 2007.
[40]. Karacah B., Rajmanath R., Wesley E. Snyder. A Comparative of Structural Risk Minimization by Support Vector Machines and Nearest Neighbor Rule. Elsevier Science, 5 September 2003.
[41]. Hoang Kiem, Nguyen Thanh Thuy, Truong Minh Nhat Quang. A Machine Learning Approach to Anti-virus System. Joint Workshop of Vietnamese Society of AI, SIGKBS-JSAI, ICS-IPSJ and IEICE-SIGAI on Active Mining. 4-7 Dec. 2004, Hanoi-VN, 61-65.
[42]. Hoang Kiem, Nguyen Thanh Thuy, Truong Minh Nhat Quang. Machine Leaning Approach to Anti-virus Expert System with Nearest Neighbor Rule- based Structural. RIVF’05, February 2005, Cantho-Vietnam. 295-298.
[43]. Konstantin Rozinov. An Abstract Efficient Static Analysis of Executables for Detecting Malicious Behaviors. Master of Science Thesis. Brooklyn Polytechnic University. USA, June 2005.
[44]. Lei Zhu, Aibing Rao & Aidong Zhang. Theory of Keyblock-based Image Retrieval. ACM Journal Name, Vol V., No. N, March 2002, pp. 1-32.
[45]. Leonard Adleman. An abstract theory of computer viruses. In Lecture Notes in Computer Science, vol 403. Springer-Verlag, 1990.
[46]. M. Pietrek.Windows 95 System Programming Secrets. IDG Books, 1995. [47]. Matthew G. Schultz, Eleazar Eskin, Erez Zadok, Salvatore J. Stolfo.
Data Mining Methods for Detection of New Malicious Executables. In Proc. of IEEE Symposium on Security and Privacy. Oakland, CA. May 2001.
[48]. Maurício R. Mediano, Marco A. Casanova, Marcelo Dreux. V-Trees, A Storage Method for Long Vector Data. Proceedings of the 20th VLDB Conf. 1994, Santiago - Chile.
[49]. Mitchell T. M. Instance-Based Learning. Machine Learning. WCB/McGraw-Hill Press 1997. pp. 230-248.
[50]. Network Associate. Advanced Virus Detection Scan Engine and DATs.
Execute White Paper, McAfee Security, 2002.
[51]. P. Berkhin. Survey of clustering data mining techniques. Technical report, Accrue Software, San Jose, CA, 2002.
[52]. Péter Ször. The Art of Computer Virus Research and Defense. Addison Wesley Professional Press (ISBN 0-321-30454-3). February 03, 2005.
[53]. Péter Ször. Attacks On Win32 – Part II. Virus Bulletin Conference. Oxfordshire, England, 2000.
[54]. Pieter Adriaans, Dolf Zantinge. Data Mining. Addison Wesley Longman Ltd., USA-1996.
[55]. Truong Minh Nhat Quang, Hoang Van Kiem, Nguyen Thanh Thuy.
Association Model of Knowledge Base and Database in Machine Learning Anti-virus System. The Proceedings of the WMSCI 2006 Conference. July 2006, Florida-USA, 277-282.
[56]. Truong Minh Nhat Quang, Hoang Trong Nghia. A Multi-agent Mechanism in Machine Learning Approach to Anti-virus System. In Proceedings of the 2nd Symposium on Agents and Multi-Agent Systems, KES-AMSTA 2008, Korea. Springer Lecture Notes in Artificial Intelligence, Vol. 4953, 743-752.
[57]. R. W. Lo, K.N. Levitt, R.A. Olsson. MCF: a Malicious Code Filter. Computer & Security, 14(6): 541-566, 1995.
[58]. Simone McCloskey. Cryptography and Viruses. UCSD, Department of Mathematics, University of California, San Diego. USA, 2005.
[59]. Steve R. White, Morton Swimmer, Edward Pring, William Arnold, David Chess, John F Morar. Anatomy of a Commercial-Grade Immune System, Proceedings of the Ninth Intrenational Virus Bulletin Conference, September/October 1999.
[60]. Steve R. White. Open Problems in Computer Virus Research. Proceedings of the Virus Bulletin Conference, Munich, Germany, Octorber 1998.
[61]. Tatsuya Iyota, Keiji Yanai. The Photo News Flusher: A Photo-News Clustering Browser. Department of Computer Science, The University of Electro – Communications. Tokyo – Japan, 2007.
- 106 -
[62]. Nguyen Thanh Thuy, Truong Minh Nhat Quang. Expert System Approach to Diagnosing and Destroying Unknown Computer Viruses.
Proceedings of the IASTED International Conference Artificial Intelligence and Soft Computing. 27-30 May 1998, Cancun - Mexico.
[63]. Nguyen Thanh Thuy, Truong Minh Nhat Quang. A Global Solution to Anti-virus Systems. In Proc. of The 1st International Conference on Advanced Communication Technology. 10-12 February 1999, Muju-Korea, 374-377. [64]. Truong Minh Nhat Quang, Hoang Van Kiem, Nguyen Thanh Thuy.
Using Null data Processing to Recognize Variant Computer Virus for Rule- based Anti-virus Systems. The Proceedings of the IEEE International Conference on Granular Computing. May 2006, Atlanta-USA, 600-603. [65]. Ulrich Bayer. TTAnalyze: A Tool for Analyzing Malware. Master’s Thesis.
Vienna University of Technology. Vienna, December 2005.
[66]. Vesselin Bontchev. Solving the VBA Upconversion Problem. Virus Bulletin Conference. Oxfordshire, England, 2000.
[67]. Vesselin Bontchev. Methodology of Computer Anti-Virus Research. Doctoral Thesis, University of Hamburg, 1998.
[68]. William Arnold, Gerald Tesauro. Automatically Generated Win32 Heuristic Virus Detection. Proceedings of the 2000 International Virus Bulletin Conference, 2000.
[69]. Yevgeniy Bondarenko & Pavel Shterlayev. Polymorphic virus detection technology. Secured Communications Seminar. Department of Information Technology, Lappeenranta University of Technology. Finland, April 2006.
TÀI LIỆU TIẾNG PHÁP
[70]. Nicolas Moënne Loccoz. Dynamiques des composantes visuelles pour la gestion des documents vidéo par le contenu. Docteur ès sciences. l’Université de Genève, 2005.
[71]. Truong Minh Nhat Quang. Système Intelligent Diagnostiquer et Detruire les Virus Informatiques. MSc. Thesis, IFI – Hanoi, Vietnam, 1997.
CÁC ĐỊA CHỈ INTERNET
[72]. AVG Technologies. (UK-2008). http://www.grisoft.com
[73]. BitDefender Antivirus, (Romania-2008). http://www.bitdefender.com/world
[74]. Faronics Corp. (USA-2008). http://www.faronics.com/html/company.asp
[75]. F-Secure Corporation. (Finland-2008). http://www.f-secure.com
[76]. Intel Corporation. Distributed Detection and Inference. (US-2005).
http://www.intel.com/research/distributed_detection.htm
[77]. Intel Corporation. Technology and Research. (US-2005).
http://www.intel.com/research/print/overview_ddi.pdf
[78]. Kaspersky Lab Anti-virus Software, 2008. http://www.kaspersky.com
[79]. Massachusetts Institute of Technology. Technology Review (US-2006).
http://www.technologyreview.com/read_article.aspx?id=17608&ch=infotech
[80]. McAfee Inc. (USA-2008). http://www.mcafee.com/us
[81]. Micropoint Info-Tech.(China-2005).http://www.micropoint.cn/#
[82]. NOD32 Anti-virus System. (Australia-2008).http://www.nod32.com.au
[83]. National Institute of Standards & Tech. (USA-2008). http://www.nist.gov
[84]. NetZ Computing Ltd. (Israel-2007). http://www.invircible.com/invircible.php
[85]. Panda Security. (Spain-2008). http://www.pandasecurity.com
[86]. Proofpoint Inc. (US-2008).http://www.proofpoint.com/products/zerohourav.php
[87]. People's Daily Online. (China-2005).http://english.people.com.cn
[88]. Research Grants Office, City University of Hong Kong. A Prescriptive Anti-virus Expert System Automated with Defensive Actions (China).
http://iris.cityu.edu.hk/generalpublic/ProjectInfo_GP.cfm?Pno=7000143
[89]. Symantec Corporation (USA, 2008). http://www.symantec.com/index.jsp
[90]. Tech2.com,(India-2007). Intention-based Anti-virus Software Launched.
http://www.tech2.com/india/news/antivirus-security-internet/intentionbased- antivirus-software-launched/2016/0
[91]. The Free Dictionary, Farlex Inc. (USA, 2008):
http://encyclopedia.thefreedictionary.com/Anti-virus%20software
[92]. The National Academy of Engineering Committee on Engineering's Grand Challenges (USA, 2008): http://www.engineeringchallenges.org
[93]. Trung tâm An ninh mạng BKIS. http://www.bkav.com.vn/default.aspx
Khảo sát virus máy tính
1. Các loại virus máy tính 1.1. Boot virus
Là thuỷ tổ của virus máy tính, boot virus lây vào các mẫu tin khởi động (MTKĐ, boot record) trên hệ thống đĩa. Đối với đĩa mềm, MTKĐ nằm trên sector đầu tiên thuộc track 0, side 0 của đĩa (boot sector). Khi khởi động máy bằng đĩa mềm, sau quá trình tự kiểm tra (POST - Power On Self Test), thường trình khởi động máy trong ROM-BIOS sẽđọc và nạp 512 byte trên boot sector vào bộ nhớ rồi trao quyền, không cần biết đoạn mã này sẽ thực hiện những công việc gì.
Nguyên tắc của boot virus là thay thế MTKĐ bằng đoạn mã của nó để giành quyền khởi động máy. Khi được trao quyền, boot virus sẽ thường trú, khống chế các tác vụđọc/ghi đĩa rồi nạp tiếp phần khởi động gốc (Hình P1.1). Quá trình lây nhiễm của boot virus trên đĩa mềm được minh họa như sau:
Đĩa mềm sạch: POST→ MTKĐ→ HĐH
Đĩa mềm nhiễm: POST→ Boot virus → MTKĐ→ HĐH
Đối với đĩa cứng, có 2 MTKĐ: master boot nằm ở sector đầu tiên thuộc track 0, side 0 và boot sector nằm ở sector đầu tiên của track 0, side 1. Trên đĩa cứng, boot virus có thể lây vào master boot hoặc boot sector. Quá trình minh họa như sau:
Đĩa cứng sạch: POST→ Master boot→ Boot sector → HĐH