- 24 CHƢƠNG 2 CÁC PHƢƠNG PHÁP PHÁT HIỆN MÃ ĐỘC. - 25 2.1 Tổng quan về mã độc. - 25 2.1.1 Các loại mã độc. - 25 2.1.2 Các dạng tấn công của mã độc. - 28 2.1.3 Phần loại mã độc. - 29 2.2 Phương pháp phát hiện mã độc hại. - 31 2.2.1 Phần mềm phát hiện mã độc. - 32 2.3 Một số phương thức tấn công của mã độc. - 32 ii 2.3.1 Mã độc theo dõi trình duyệt (Tracking Cookie. - 32 2.3.2 Công cụ tấn công của mã độc. - 33 2.3.4 Mã độc sử dụng thư điện tử (Phishing. - 35 2.4 Phân loại phương pháp phát hiện mã độc. - 56 CHƢƠNG 3 ỨNG DỤNG OTOMAT HỮU HẠN TRONG ĐỐI SÁNH PHÁT HIỆN MÃ ĐỘC. - 68 iii 3.2 Định dạng dấu hiệu mã độc. - 69 3.2.1 Tên mã độc. - 70 3.2.2 Các quy tắc đặt tên mã độc. - 81 3.4 Xây dựng cơ sở dữ liệu mã độc. - 84 3.4.3 Xây dựng cơ sở dữ liệu mẫu mã độc. - 89 3.5.1 Đưa mẫu mã độc vào cây Aho-Corasick. - 19 Phân loại mã độc 28 Hình 1. - 2 Bộ phát hiện mã độc dựa trên hành vi 36 Hình 2. - 3 Kiểu phần mềm mã độc cơ bản 38 Hình 2. - 4 Mã độc đa hình 39 Hình 2. - 3 Các tiền tố đặt tên mã độc 70 Bảng 3. - Bài toán này có ứng dụng rộng rãi trong tìm kiếm phát hiện các xâu mẫu trong các vấn đề an toàn bảo mật thông tin trên mạng như bài toán phát hiện mã độc và bài toán phát hiện tấn công dựa trên mẫu hành vi trên mạng. - Vấn đề phân tích, chống phần mềm mã độc đã được các hãng bảo mật trên thế giới tiến hành đầu tư nghiên cứu. - Hướng tới xây dựng một chương trình đánh giá an ninh tiến trình nhằm hỗ trợ quá trình phát hiện mã độc, tìm kiếm dấu vết của mã độc, cách đột nhập hay tấn công của mã độc. - Trong lĩnh vực khoa học máy tính,đối sánh mẫu là một bài toán quan trọng được ứng dụng rộng rãi trong tìm kiếm, tính toán, trích rút thông tin, xử lý tín hiệu và nhận dạng trong việc phát hiện mã độc. - Từ phân tích trên, luận văn tập trung nghiên cứu thêm về các thuật toán đối sánh mẫu trong ứng dụng Otomat để giám sát trong việc phát hiện mã độc. - Được sự đồng ý của thầy hướng dẫn, tác giả đã sử dụng thuật toán đối sánh chuỗi đa mẫu Aho-Corasick với mục tiêu của luận văn là xây dựng một ứng dụng cho phép phát hiện mã độc dựa trên đối sánh mẫu trên thuật toán Aho- Corasick xây dựng dựa trên cấu trúc Otomat. - Mục đích nghiên cứu Nghiên cứu về xây dựng ứng dụng dựa trên cấu trúc Otomat Nghiên cứu thuật toán đối sánh mẫu sử dụng Otomat Xây dựng kỹ thuật phát hiện mã độc dựa trên thuật toán đối sánh mẫu cho hiệu năng cao, cài đặt thử nghiệm và đánh giá kết quả 3. - Đối tƣợng và phạm vi nghiên cứu Đối tượng nghiên cứu: xây dựng cây Otomat, các thuật toán đối sánh mẫu theo hướng tiếp cận Otomat, các kỹ thuật phát hiện mã độc Phạm vi nghiên cứu: Nghiên cứu giới hạn trong môi trường mô phỏng và thực nghiệm ix 4. - Chƣơng 2 – Các phƣơng pháp phát hiện mã độc: Chương này trình bày tổng quan về mã độc và chi tiết về các phương pháp kỹ thuật phát hiện mã độc Chƣơng 3 - Ứng dụng Otomat hữu hạn trong đối sánh phát hiện mã độc Chương này trình bày việc xây dựng mô hình phát hiện mã độc, ứng dụng các kỹ thuật đối sánh mẫu đã nghiên cứu ở chương 2. - Trên cơ sở đánh giá hiệu năng, tích hợp thuật toán đối sánh mẫu có hiệu năng tốt nhất vào hệ thống phát hiện mã độc sẽ được nghiên cứu các chương tiếp theo. - 25 CHƢƠNG 2 CÁC PHƢƠNG PHÁP PHÁT HIỆN MÃ ĐỘC Chương này trình bày sâu hơn về các kỹ thuật phát hiện mã độc, các kỹ thuật đối sánh chuỗi, thuật toán đối sánh chuỗi và đánh giá hiệu năng của các kỹ thuật đối sánh mẫu. - Có thể nói mã độc có một quá trình phát triển khá dài và luôn song hành cùng những chiếc máy tính. - Khi mà các công nghệ phần mềm, phần cứng và hệ điều hành phát triển thì mã độc cũng phát triển theo để có thể tương thích, ký sinh trên hệ thống máy tính. - Mã độc không tự sinh ra mà được tạo ra bởi con người và có thể mang các mục đích khác nhau như: phá hoại, thử nghiệm hay đơn giản chỉ là một trò đùa ác ý. - Một số loại mã độc phổ biến thuộc dạng này là: Virus, Trojan, Trap Doors, Logic Bombs. - Dạng thứ hai tồn tại độc lập như là các chương trình độc hại có thể chạy trên hệ điều hành, một số loại mã độc thuộc dạng này: Worms, Zombie. - Là đoạn mã độc được nhúng vào một chương trình hợp pháp và có thể thực thi khi có một sự kiện nào đó xảy ra. - 2.1.3.2 Trojan Horse Là loại mã độc hại được đặt theo sự tích “Ngựa thành Troy”. - 2.2 Phƣơng pháp phát hiện mã độc hại 2.2.1 Phần mềm phát hiện mã độc Một phần mềm phát hiện mã độc D được định nghĩa là một hàm mà miền xác định và miền giá trị là tập hợp các chương trình thực thi P và tập hợp {malicious, benign}. - Nói cách khác phần mềm mã độc có thể được định nghĩa như hàm dưới đây: D(p. - 2.3.1 Mã độc theo dõi trình duyệt (Tracking Cookie) Là một dạng lạm dụng cookie để theo dõi một số hành động duyệt web của người sử dụng một cách bất hợp pháp. - 33 2.3.2 Công cụ tấn công của mã độc Là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độc hại vào trong hệ thống hoặc nhiễm vào hệ thống thông qua các phần mềm mã độc. - Các bộ công cụ này có khả năng giúp cho kẻ tấn công có thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại. - Web Browser Plug-in: là phương thức cài mã độc hại thực thi cùng với trình duyệt web. - Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành vi duyệt web của người dùng (ví dụ như tên web site đã truy nhập) sau đó gửi thông tin ra ngoài. - Mã độc hại có thể gieo rắc các Email generator vào trong hệ thống. - 2.4 Phân loại phƣơng pháp phát hiện mã độc 2.4.1 Phƣơng pháp phát hiện động Đây là phương pháp sử dụng phát hiện trên hành vi thực thi của mã độc. - Mỗi mã độc được thiết kế nhằm đến thực thi một số hành vi cụ thể nào đó, do đó khi thực thi các hành vi này sẽ được tạo ra và hoạt động trên hệ thống. - Các chương trình mã độc có thể có mã nguồn khác nhau nhưng các hành vi như nhau, do đó phát hiện dựa trên hành vi có thể xác định nhiều biến thể khác nhau của phần mềm độc hại. - Không định danh được chính xác loại mã độc bị nhiễm. - 2.4.3 Phƣơng pháp phát hiện tĩnh Kỹ thuật phát hiện tĩnh là kỹ thuật phát hiện sự tồn tại của mã độc trên một đoạn mã bất kỳ mà không cần thực thi đoạn mã đó. - Kỹ thuật này được sử dụng dựa trên tính chất là mỗi mã độc đều có thể tồn tại một số đoạn mã lệnh phổ dụng ở bất cứ phiên bản nào sau mỗi lần lây nhiễm trên các tệp khác nhau. - Do đó bài toán phát hiện mã độc chính là bài toán xác định sự tồn tại của đoạn mã độc có xuất hiện trong tệp hay không. - Những phần mềm quét mã độc thương mại tìm kiếm các mẫu nhận dạng là một chuỗi các byte trong mã độc để xác định một chương trình đã quét có phải là mã độc không. - Trong phần mềm độc hại cơ bản điểm khởi đầu chương trình được thay đổi quyền kiểm soát sang đoạn mã độc. - Phần mềm sẽ phát hiện ra một chương trình là mã độc nếu một mẫu mã độc có thể được tìm thấy trong đoạn mã của chương trình. - Để kích hoạt mã độc đa hình thì mã độc cần có cơ chế đa hình hóa trong thân của nó. - Việc phát hiện dựa trên mẫu nhận dạng cho loại mã độc này là tương đối khó khăn vì mỗi biến thể sẽ sinh ra mẫu mã độc mới. - Việc phân tích trình tự các hàm API được sử dụng để phát hiện mã độc loại này. - 4 cho ta thấy cấu trúc của mã độc đa hình Hình 2. - 4 Mã độc đa hình Phần mềm độc hại siêu đa hình có thể lập trình lại chính nó sử dụng kỹ thuật xáo trộn để tạo ra như những biến thể không giống mã độc gốc. - Khó phát hiện các mã độc siêu đa hình Đòi hỏi phải có cơ sở dữ liệu mẫu sẵn Không phát hiện được các mã độc chưa có trong cơ sở dữ liệu mẫu Việc tạo và phân phối mẫu rất phức tạp. - Có tỉ lệ cao phát hiện được các mã độc đa hình và siêu đa hình Có khả năng phát hiện các mã độc chưa có trong cơ sở dữ liệu, thậm chí những mã độc mới chưa được định nghĩa Cơ sở dữ liệu sử dụng có kích thước nhỏ Nhƣợc điểm. - Nếu có sự thay đổi trong nội dung tệp thì tính toàn vẹn sẽ bị ảnh hưởng và do đó có thể kết luận có khả năng tệp bị nhiễm mã độc. - Xử lý đơn giản, không đòi hỏi cơ sở dữ liệu Tốc độ thực thi nhanh do chỉ cần băm tệp và so sánh kết quả giá trị băm Phát hiện được các mã độc mới chưa xuất hiện trong cơ sở dữ liệu Nhƣợc điểm. - Đòi hỏi phải có tệp gốc hoàn toàn sạch Không sử dụng được với các tệp có chế độ cho phép ghi Nhận xét: Để thực hiện việc quét mẫu tĩnh, ta sử dụng các thuật toán đối sánh mẫu Ở đây, đề tài xin trình bày một số thuật toán đối sánh mẫu phổ biến sử dụng trong việc phát hiện mã độc dựa trên phương pháp quét mẫu tĩnh. - Tuy nhiên với sự phát triển của yêu cầu thực tế mà các bài toán đối sánh mẫu đã được sử dụng trong nhiều vấn đề xã hội như trong phát hiện sự trùng khớp các nhóm nhiễm sắc thể, bài toán tìm kiếm trên mạng, đặc biệt là bài toán phát hiện sự xuất hiện của mã độc. - Kết chƣơng Chương 2 nghiên cứu và định nghĩa được bài toán phát hiện mã độc dựa trên kỹ thuật đối sánh mẫu. - Độ chính xác và hiệu năng của các phương pháp đối sánh mẫu có ảnh hưởng quyết định đến hiệu quả của việc phát hiện tấn công của mã độc . - 58 CHƢƠNG 3 ỨNG DỤNG OTOMAT HỮU HẠN TRONG ĐỐI SÁNH PHÁT HIỆN MÃ ĐỘC 3.1 Giới thiệu thuật toán Aho-Corasick Thuật Aho-Corasick được xây dựng bởi Alfred Vaino Aho và Margret J. - 1 So sánh giữa các thuật toán 3.2 Định dạng dấu hiệu mã độc Các dấu hiệu mã độc được đề tài xây dựng trong ứng dụng được lưu dưới định dạng hexa, mỗi dấu hiệu dạng hexa có thể bổ sung thêm một số ký tự đặc biệt (wildcard). - Các dấu hiệu dạng hexa này có thể là một phần của thân mã độc được chuyển đổi thành dạng chuỗi hexa từ các opcode hoặc dạng hexa của giá trị băm đại diện cho mã độc, trong đó các ký tự đại diện wildcard có ý nghĩa được mô tả cụ thể trong Bảng 3. - Điều này tức là để kết luận một chuỗi là mã độc thì chuỗi đó phải chứa hai dấu hiệu con trong thân của nó. - 3 Các tiền tố đặt tên mã độc 71 Bảng 3. - 3 biểu thị các tiền tố tương ứng sử dụng để đánh dấu các loại mã độc khác nhau được định nghĩa trong ứng dụng Clamav 3.2.2 Các quy tắc đặt tên mã độc Sử dụng hậu tố -zippwd trong tên mã độc với các dấu hiệu mã độc thuộc kiểu dấu hiệu mã độc trên các tệp nén zip (zmd. - Sử dụng hậu tố -rarpwd trong tên mã độc với các dấu hiệu mã độc thuộc kiểu dấu hiệu mã độc trên các tệp nén rar (rmd. - Các mã độc thường được sử dụng với các mục đích khác nhau và có cấu trúc và các cơ chế lây nhiễm khác nhau, do vậy để thuận lợi và tăng tốc độc thực thi quá trình quét đối sánh, ta cần xây dựng các kiểu định dạng dấu hiệu phù hợp tương ứng. - Kiểu dấu hiệu dựa trên hàm băm Kiểu dấu hiệu này được xây dựng dựa trên việc lấy giá trị băm của toàn bộ tệp mã độc. - 4(Dưới đây) Thành phần Ý nghĩa MD5 Giá trị MD5 của tệp, cũng là dấu hiệu mã độc dưới dạng hexa Size Kích thước của tệp MalwareName Tên mã độc Bảng 3. - 5 Thành phần Ý nghĩa PESectionSize Kích thước của thành phần PE MD5 Giá trị MD5 của phần mã PE MalwareName Tên mã độc Bảng 3. - 5 Định dạng dấu hiệu thành phần tệp PE 73 Dấu hiệu dạng này thường dùng với các mã độc gắn kèm và không sử dụng cơ chế biến đổi mã (loại thường gặp nhất là các mã độc loại trojan – là thành phần nằm trong một tệp thực thi có chức năng khác). - Với kỹ thuật đa hình, mã độc sẽ biến đổi sau mỗi lần lây nhiễm và sử dụng cách thức lây lan và chèn vào tệp của nó cũng tinh vi hơn rất nhiều. - Với phương thức sử dụng các opcode này, đề tài đưa vào sử dụng hai kiểu mẫu mã độc. - Kiểu dấu hiệu cơ bản Đây là kiểu dấu hiệu cơ bản và đơn giản nhất trong cơ sở dữ liệu mã độc. - 6 Thành phần Ý nghĩa MalwareName Tên mã độc Hexsig Dấu hiệu mã độc đi kèm, được biểu diễn dưới dạng hexa Bảng 3. - 6 Định dạng dấu hiệu cơ bản 74 Clamav tạo ra các dấu hiệu dạng này bằng cách lấy các đoạn nội dung đại diện cho mã độc gọi là các dấu hiệu. - Đây là một đoạn mã hexa thu được sau khi dịch ngược mã độc và phân tích nội dung của nó sau đó đưa vào cơ sở dữ liệu. - Kiểu dấu hiệu này hoạt động hiệu quả với các mã độc đa hình không dựa trên cơ chế lây nhiễm chèn mã vào nhiều phần. - Với các mã độc sử dụng phương thức lây nhiễm bằng cách chia tách thành các module và chèn các module này vào các đoạn trong vật chủ ta sử dụng kiểu dữ liệu mở rộng dưới đây: 4. - Kiểu dấu hiệu mở rộng Kiểu dấu hiệu mở rộng cho phép mô tả thêm một số thông tin đặc biệt bổ sung về mã độc chẳng hạn như định dạng tệp mục tiêu (các loại tệp mà mã độc gắn vào), các phân đoạn lây nhiễm, làm cho việc phát hiện mã độc trở nên chính xác và dễ dàng hơn. - MD5:Size:MalwareName Nó chỉ khác dấu hiệu dựa trên giá trị băm khi chạy và quét mã độc. - PESectionSize:MD5:MalwareName Nó chỉ khác dấu hiệu dựa trên giá trị băm cho thành phần tệp PE khi chạy và quét mã độc. - MalwareName:TargetType:Offset:HexSignature Nó chỉ khác dấu hiệu mở rộng khi chạy và quét mã độc. - Kiểu dấu hiệu dựa trên tệp nén siêu dữ liệu Các mã độc phát tán qua các tệp nén siêu dữ liệu ZIP hoặc RAR có thể nằm ẩn trong các tệp con hoặc trong phần tiêu đề của tệp siêu dữ liệu. - Để phát hiện các mã độc được phát tán thông qua các tệp tin nén ZIP hoặc RAR nằm trong phần tiêu đề của tệp (đặc biệt là những tệp có mã hóa) ta sử dụng định dạng dấu hiệu mã độc dựa trên siêu dữ liệu. - 8 Tên trƣờng Ý nghĩa Virname Tên mã độc Encrypted Trạng thái cờ mã hóa (0 nếu không mã hóa, 1 nếu có) Filename Tên file
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt