Nhu cầu và mức độ sử dụng báo cáo tài chính cung cấp bởi doanh nghiệp - nghiên cứu ở địa bàn Đà Nẵng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (514.22 KB, 7 trang )

PHáT HIệN MÃ ĐộC

DựA TRÊN ĐIệN TOáN ĐáM MÂY

NGUYN TIN XUN*, hong s tng**, NGUYN THANH TùNG**

<i>Tóm tắt: Bài viết này giới thiệu về một mơ hình phát hiện mã độc, uCLAVS </i>
<i>(University of Caldas’ Antivius Service dịch vụ chống virus của trường đại học </i>
<i>Calda), một dịch vụ đa dụng cụ đi kèm theo các bộ định dạng giao thức và các tiêu </i>
<i>chuẩn cho công nghệ dịch vụ web, ngồi ra cịn có Ontology dành cho phát hiện mã </i>
<i>độc và xâm nhập được miêu tả kèm. uCLAVS dựa trên ý tượng cải tiến các ứng dụng </i>
<i>phân tích tập tin trên máy trạm bằng cách chuyển chúng đến các mạng thay vì chạy </i>
<i>các phần mềm phức tạp trên tất cả các máy chủ, mỗi quy trình sẽ nhận được một </i>
<i>tiếp nhận của tập tin hệ thống, gửi chúng đi đê xác định xem chúng có được thực thi </i>
<i>hay khơng dựa theo các báo cáo kết quả về mối đe dọa đã cung cấp. Các mẫu kết </i>
<i>quả thử nghiệm được đưa uCLAVS xử lý, điều này có thể tăng tỷ lệ phát hiện những </i>
<i>tập tin nguy hiểm, cho phép xây dựng máy trạm máy trạm mỏng, tạo điều kiện cập </i>
<i>nhật zero-day, và cung cấp khả năng điều ra ở mức độ cao. </i>

<i>Từ khóa: </i>Điện tốn đám mây, Mã độc, Antivirus

1. giíi thiƯu

Việc phát hiện phần mềm độc hại (Malware) là một trong những thách thức an ninh
hàng đầu, phương thức hoạt động của loại phần mềm này chủ yếu dựa vào việc sử dụng các
dấu hiệu (signature) và phương pháp dị tìm (heuristics). Để hỗ trợ cho phương thức này
người ta thường tăng độ phức tạp của các phần mềm được thiết kế để chống lại Malware,
điều này làm tăng tính phức tạp việc chống virus và và gián tiếp chú trọng vào các lỗ hổng
và các cuộc tấn công. Các chuẩn về Malware và sự xâm nhập được dựa trên ngun tắc
phân loại; do đó chúng khơng đủ khả năng để hỗ trợ cho quá trình xác định các kiểu tấn
công tối ưu hay xác định các hành vi bất thường có thể dự đốn trước. Các Ontology ( bản

thể học ) cho phép miêu tả các đối tượng, khái niệm và các mối quan hệ trong một lĩnh vực
kiến thức, trong trường hợp này, các nguồn dấu hiệu malware, quy tắc phát hiện, phản ứng
và q trình phịng ngừa cần phải được miêu tả ngữ nghía nhằm thống nhất cơ sở kiến thức
của các hệ thống cơ bản và có thể cung cấp một khung luận điểm, sự hiểu biết và suy luận
từ những mơ hình trên ngữ nghĩa này. Bài viết này đưa ra một cấu trúc về việc phát hiện
malware dựa trên khái niệm của bản thể học về dịch vụ Web và xâm nhập độc hại (Web
Services and Malware Intrusion Ontology), uCLAVS (University of Caldas’ AntiVirus
Service) một dịch vụ được triển khai trên điện toán đám mây theo các bộ giao thức và các
tiên chuẩn quy định về công nghệ dịch vụ Web để phát hiện ra các nội dung độc hại hoặc
những hành vi của một tập tin chưa biết thông qua việc sử dụng nhiều công cụ thực hiện
chiến lược phân tích khơng đồng nhất. Phần 2 cung cấp những đánh giá ban đầu về đề tài
và những đóng góp quan trọng liên quan; Phần 3 miêu tả các kiến trúc, mơ hình, triển khai
dịch vụ, cuối cùng trình bày một số những phát hiện ban đầu về mơ hình mẫu thử nghiệm
cùng với thiết kế cơ bản của nó; Phần 4 nói về các Ontology định nghiã về việc phát hiện
malware/xâm nhập và các cách phòng ngừa. Kết quả được chứng minh trong phần . Cuối
cùng là phần kết luận chung và những hướng phát triển trong tương lại được nhấn mạnh ở
trong phần 6.

2. những nghiên cứu trước

</div>
<span class='text_page_counter'>(2)</span><div class='page_container' data-page=2>

mây đã trở nên phổ biến từ vài năm trước. [2] cho thấy một dạng của dịch vị bảo vệ . Các
công cụ được liệt kê trong giao thức ICAP như dịch vụ chống virus (chạy trên cùng một
máy) có thể làm việc như một máy quét đa công dụng giúp cho việc phát hiện virus từ
e-mail, web và proxy server.

Hệ thống bảo vệ đa công cụ không đồng nhất sử dụng cơng nghệ nhận biết và phân tích
trong phương thức không đồng nhất sẽ cho ra một đánh giá tốt hơn về việc đặc tính hóa các
tập tin có hại.

Các tiêu chuẩn cho khái niêm đại diện và Ontology trong hệ thống phát hiện xâm nhập

biểu thị một nỗ lực không dựa trên một cơ sở chắc chắn,ví dụ như IDMEF (Intrusion
Detection Message Exchange Format) và CIDF (The Common Intrusion Detection
Framework) [3] định nghĩa các API và cách giao thức cho các dự án nghiên cứu về sự phát
hiện xâm nhập mà có thể chia sẻ thơng tin và tài nguyê, cũng như các thành phần có thể bị
từ chối bằng cách xây dựng một mơ hình đại diện dựa trên cú pháp XML. Nghiên cứu được
triển khai trong [ 4 ] đã xác định một mục tiêu Ontology cho phần phát hiện xâm nhập, đây
là một phương thức hồn tồn mới mà trong đó Ontology được sử dụng để miêu tả và giúp
hiểu rõ thêm về các cuộc tấn công. Những nghiên cứu này nhằm xác định một trọng tâm
Ontology DAML-OIL (DARPA Agent Markup Language + Ontology Interface) dựa trên
phương thức phân loại truyền thống chuyển hóa theo mơ hình ngữ nghĩa học. Các cuộc
điều tra được thực hiện trong [5] tích hợp tương tác và các đặc tính của Ontology được lấy
ra từ nghĩa của centric-attack Ontology mà cung cấp những dấu hiệu mà khớp với cấu trúc
dữ liệu trong của công cụ phát hiện tấn công mạng Snort. Trong [6] đã phát triển một
Ontology về phần phát hiện và phịng chống mã độc, ngồi ra cịn mở rộng Ontology này
để tích hợp dấu hiệu mã độc dựa trên kết quả từ các công cụ gắn liền trong cấu trúc
uCLAVS.

3. sử dụng điện toán đám mây để phát hiện mã độc

Một phần mềm phân tích độc hại dùng để xác định một hệ thống code có khả năng thực
hiện một cuộc tấn cơng trên hệ thống máy tính [7]. Để thực hiện được điều này thì các giải
pháp hiện nay như chương trình diệt virus chủ yếu sử dụng việc phân tích tĩnh dựa trên dấu
hiệu và đánh giá qua thử nghiệm [8], gần đây có một số kỹ thuật áp dụng việc phân tích
động và một số chính sách phòng ngự tương tự khác. Một điểm chung trong việc phát hiện
các mã độc hại là sự tồn tại của một ứng dụng máy chủ sử dụng những thuật tốn đặc biệt
để tìm ra những phần mềm độc hại. Hoạt động của những công cụ này thường được tập
trung vào việc phân tích các file có thể chạy được từ bên ngoài diễn ra chủ yếu trong
khoảng thời gian truy cập và theo yêu cầu.

Các hệ thống an ninh phải được mở rộng để chứa một số lượng lớn các client. Một hệ

thống đa dụng cụ dựa trên dịch vụ phân tích tập tin là một hệ thống điều khiển từ xa có thể
xác định nội dung hoặc hành vi của một tập tin không tên thông qua việc phân tích của
nhiều cơng cụ ( chống virus) thực hiện chính sách khơng đồng nhất. uCLAVS là một hệ
thống đa công cụ hoạt động dựa trên dịch vụ phân tích tệp tin được thực hiện trên điện tốn
đám mây thơng qua các bộ giao thức và các tiêu chuẩn cho dịch vụ web. Chức năng của
dịch vụ phải đơn giản và thiết thực : xác định một tập tin chứa mã độc thơng qua việc phân
tích từ xa được thực hiện bởi nhiều cơng cụ.

W3C-Hiệp hội web tồn thế giới định nghĩa một dịch vụ web là “….Một dịch vụ Web
là một hệ thống phần mềm được nhận dạng bằng một URI (Uniform Resource Identifier),
mà các giao diện chung và sự gắn kết của nó được định nghĩa và mơ tả bằng XML. Định
nghĩa của nó có thể được nhận ra bằng các hệ thống phần mềm khác. Các hệ thống này sau
đó có thể tương tác với dịch vụ Web theo phương cách được mơ tả trong định nghĩa của nó,
sử dụng các thông điệp theo XML được chuyển bằng các giao thức Internet.“(W3C 2007)

</div>
<span class='text_page_counter'>(3)</span><div class='page_container' data-page=3>

Sử dụng các chuẩn XML trao i thụng ip.

Không gắn liền với ngôn ngữ lập trình hoặc hệ điều hành.
Nó có khả năng tự mô tả .

Cỏc dch v Web thực hiện kiến trúc định hướng dịch vụ (SOA service-oriented
architecture) đưa ra một thực hiện động, kết nối “mềm dẻo” và ứng dụng phân tán. SOA có
ba vai trị chính: nhà cung cấp dịch vụ, người tiêu dùng và nhà môi giới. Các chức năng
chính và các thành phần được sử dụng trong mô tả về kiến trúc cũng được phân chia tương
tự như vậy.

<i>Hình 1. Sơ đồ bối cnh cho uCLAVS. </i>
Cỏc tin ớch chớnh ca CLAVS:

Đăng tải Mẫu (file)

Phân tích quét (hash)
Lấy phân tích quÐt (hash)

Các chức năng được thiết kế để tách các chức năng dùng để phát hiện của nhà cung cấp
dịch vụ, và người dùng dựa vào những kết quả thu được để đưa ra những quyết định.

uCLAVS cung cấp những chức năng tương ứng với một sản phẩm chống phần mềm độc
hại trên máy trạm, việc thực hiện này sẽ phải tuân theo một số điều khoản bổ túc đặc trưng
cho tính chất của dịch vu trong đám mây . Đối với các dịch vụ chông phần mềm độc hại,
chúng phải đáp ứng một số yêu cầu như sau:

 Hỗ trợ cho nhiều cơng cụ phân tích. Thiết bị cho phép sử dụng nhiều công cụ
bảo vệ song song sử dụng các phương pháp và kỹ thuật không đồng nhất để
phát hiện phần mềm độc hại.

 Thông báo. Khi một tập tin được cho rằng là có khẳ năng nguy hiểm thì dịch vụ
phải cung cấp cho người dùng những thông tin cần thiết để nhận biế và đưa ra
những quyết định đúng đắn.

 Thu thập thông tin. Tất cả các hoạt động của dịch vụ phải được thu thập với
mục đích phân tích và quản lý.

 Dịch vụ quản lý. Phải cung cấp cơ chế để cấu hình và quản lý dịch vụ.

Hai khía cạnh quan trọng làm uCLAVS trở thành một sự lựa chọn bổ sung để cải thiển
phần mềm phát hiện mã độc tự động là bản chất của dịch vụ Web và khả năng phân tích
tập tin bằng cách sử dụng nhiều cơng cụ bảo vệ dưới một mơ hình được gọi là n-protection
(bảo vệ đa lớp).

Multi-Engine

</div>
<span class='text_page_counter'>(4)</span><div class='page_container' data-page=4>

Phương thức này triển khai của một ứng dụng Web bằng cách sử dụng công nghệ hiển thị
màn hình và những nền tảng khác, nhằm mục đích so sánh kết quả có được, biểu thị trong
HTML, để đảm bảo cho hệ thống hoạt động phự hp.

<i>Hình 2. Kiến trúc thành phần của uCLAVS. </i>
Các thành phần bao gồm :

Proxy SOAP : Proxy SOAP chịu trách nhiệm sắp xếp thứ tự/ hủy bỏ thứ tự các thông
điệp uCLAVS trao đổi giữa người tiêu dùng và khách hàng của họ sao cho việc triển khai
có thể sự dụng cách dễ hiểu nhất.

Điều phối (Dispatcher): Yêu cầu điều phối đóng một vai trị quan trọng trong cấu trúc,
chức năng giống như một hàng đội cho phép việc quản lý các yêu cầu dịch vụ đầu vào,
trong khi báo cáo cho Event Log.

Hàng đợi (queue). Hàng đợi trong kiến trúc là một cấu trúc dữ liệu dùng để chứa các
đối tượng làm việc theo cơ chế “vào trước ra trước”,

Dịch vụ lưu trữ (Storage Service). uCLAVS cung cấp một giao diện đơn giản, sử dụng
dịch vụ Web để lưu trữ và lấy bất kỳ số lượng dữ liệu, bất cứ lúc nào, từ bất cứ đâu trên
Web.

Phân tích dịch vụ (Service Analysis). Xác định một giao diện dịch vụ Web mà yêu cầu
phân tích một tập tin có thể chứa mã độc, các cơng cụ sẽ lấy dạng hash của tập tin để đưa
ra phân tích.

Phân tích điều vận truy vấn (Analysis Query Dispatcher _AQD): Nó hoạt động giống
như các điều phối, chức năng của nó là cung cấp và quản lý nhu cầu của các công cụ.

Adjudicator: có trách nhiệm giám sát hoạt động của cơng cụ.

Công cụ (Engines): uCLAVS sử dụng 5 công cụ khác nhau đó là Clamv, F-Prot, Avast,
BitDefender, Kaspersky.

Proxy Agent : chịu trách nhiệm truyền kiến trúc và dịch vụ được cung cấp bởi các dịch
vụ đại lý bên ngoi.

Chính sách quản lý mối đe dọa (Policy Manager Threat): cã tr¸ch nhiƯm cung cÊp c¸c
b¸o c¸o ci cùng của các mối đe dọa.

Retrospective Detection: Nhấn mạnh những virus khơng có trong cơ sở dữ liệu, cũng
như việc chúng ta phân tích các tập tin đáng nghi nhưng không đặt mức độ cảnh bảo thì
vẫn coi là độc hại cao hoặc khơng.

Log Events (ghi sự kiện ) có trách nhiệm kiểm soát truy cập của nguwoif dùng khác
nhau để triển khai việc sử dụng các dịch vụ của uCLAVS.

</div>
<span class='text_page_counter'>(5)</span><div class='page_container' data-page=5>

<i>Hình 3. uCLAVS vai trò tương tác bối cảnh. </i>

Để thực hiện dịch vụ uCLAVs sử dụng ngơn ngữ PERL gói SOAP::Lite có sẵn từ
CPAN. SOAP::Lite là một tập hợp các mô-đun Perl cung cấp một API dung lượng nhỏ để
sự dụng máy trạm và máy chủ SOAP. Việc xử lý các yêu cầu là trách nhiệm của
Distpacher và được tóm tắt như sau:

Một đoạn mã đơn giản dưới đây cho thấy sự tích hợp một cơng cụ chống virus miễn phí
được nhúng vào phiên bản của uCLAVS.

</div>
<span class='text_page_counter'>(6)</span><div class='page_container' data-page=6>

<i>Hình 4. Mô hình mối quan hệ của các tƯp tin meta-info. </i>

4. ontology

</div>
<span class='text_page_counter'>(7)</span><div class='page_container' data-page=7>

Ngồi ra, các chức năng tương quan sử dụng Ontology và hệ thống multi-agent được
nói rõ ở [11] giải thích về việc tích hợp các mơ hình ngữ nghĩa trong MAS và mối quan hệ
dựa trên kỹ thuật tương tự các thuộc tính.

5. KÕT qu¶

Việc thực nghiệm đã được tiến hành với khoảng 1.2 triệu mẫu và khoảng 25.000 mã
độc trong tổng số 31 nhóm. Hình 5 cho thấy tỷ lệ phát hiện phần mềm mã độc vào khoảng
85%-95%, uCLAVS sử dụng kiến trúc dựa trên nhiều công cụ và đặc tính giảm gánh nặng
cho khách hàng , tỷ lệ phát hiện đạt tới gần 97% trong lần thử nghiệm đầu tiên. Bảng 1 và
hình 6 cho thấy tỉ lệ phát hiện của 6 chương trình chống virus phổ biến nhất và uCLAVS
dựa trên thời gian quét các mẫu mã độc là 1 tuần và 1 tháng.