• Thứ Năm, 14/10/2004 11:10 (GMT+7)

    D32 với kỹ thuật nhận dạng virus hướng tiếp cận máy học

    Kể từ bản cập nhật D32 phát hành ngày 8/8/2004, cơ sở dữ liệu (CSDL) virus của phần mềm đã được thiết kế lại theo hướng áp dụng các kỹ thuật Khai Khoáng Dữ Liệu (Data Mining). Đây là bước khởi đầu trong lộ trình triển khai các kết quả từ đề tài nghiên cứu hệ chống virus thông minh hướng tiếp cận máy học (Machine Learning) của tác giả.

    Thay vì nhận dạng truyền thống từng mẫu virus xác định như trước đây, D32 (8/8/2004) nhận dạng virus theo đơn vị lớp (class) sử dụng kỹ thuật NNSRM-Nearest Neighbor Structural Risk Minimization - một giải thuật phân lớp tiên tiến trong Khai Khoáng Dữ Liệu và Máy Học, được các nhà nghiên cứu công bố trên tạp chí Elsevier (www.elsevier.com), tháng 9/2003.

    Giống như tên gọi của nó, NNSRM dựa trên đặc trưng giống nhau giữa các điểm dữ liệu của một lớp để xây dựng quyết định phân lớp. Tính chất này được tính bằng tỷ lệ nghịch khoảng cách giữa các điểm dữ liệu trong tập chẩn đoán. Điểm dữ liệu chưa phân lớp sẽ được gán vào lớp chứa các điểm có khoảng cách gần nó nhất, với độ rủi ro thấp nhất. Khi quét dữ liệu, D32 sẽ tính toán "khoảng cách" của file so với các đặc trưng của lớp virus cần chẩn đoán để phân bổ tập dữ liệu này vào các lớp lân cận nhất của nó. Tuy phải tốn thêm giai đoạn phân lớp khá công phu và phức tạp, nhưng kết quả lại rất khả quan. Nếu như trước đây D32 phải chạy đủ 300 thủ tục nhận dạng 300 sâu trình (worm), đến nay số thủ tục nhiều nhất mà D32 phải triệu gọi khi chẩn đoán 1 file EXE là 10 thủ tục!

     

     

    CẬP NHẬT D32

     

     

     

    Bản nâng cấp phần mềm D32 (08/08/2004) bổ sung virus Mydoom.o.exe, Mydoom.o.gen và Mydoom.o.zip.
    Bản nâng cấp phần mềm D32 (24/08/2004) cập nhật sâu Ratos.a.gen.worm.W32, Ratos.a.exe.worm.W32 và Ratos.x.worm.W32. Ratos lây theo email với các đặc điểm như sau:
    Subject:Photos
    Body: LOL ! ;)))
    Attachment: photos_arc.exe
    Khi kích hoạt, Ratos chép vào thư mục hệ thống thành các file rasor38a.dll và winpsd.exe.
    D32 (24/08/2004) còn cập nhật các loại sâu Lovgate.hx.worm.W32, Lovgate.hz.worm.W32, Lovgate.r5.worm.W32, Lovgate.rx.worm.W32. Đây là loại sâu có nhiều biến thể, kích thước từ 120 KB đến 140 KB, chuyên làm tràn các hộp thư mail.

     

    Một đặc điểm nữa của kỹ thuật này là CSDL được rút gọn, đặc biệt quan trọng khi kích thước tập mẫu gia tăng đáng kể. Điều này lý giải sự "giảm sút" số lượng virus của D32 (800 virus ở các phiên bản 7-2004 đến 700 virus ở phiên bản 8-2004). Ngoài ưu điểm nổi bật về gia tăng tốc độ và tiết kiệm không gian lưu trữ, NNSRM còn được đánh giá là một giải thuật triển vọng cho các bài toán phân lớp dữ liệu tuyến tính với độ chính xác cao. Trước khi công bố D32 (8/8/2004), chúng tôi đã chạy thử nghiệm song song 2 phiên bản (D32 cũ-800 virus và D32 mới-700 virus) trên bộ sưu tập virus thu thập từ trước đến nay. Kết quả nhận dạng là như nhau nhưng phiên bản mới chạy nhanh và ít nhầm hơn.

    NNSRM là kỹ thuật khá mới, có nhiều ưu điểm vượt trội nhưng cần thời gian khẳng định. Vì vậy chúng tôi chỉ áp dụng thử nghiệm cho các quá trình chẩn đoán worm và trojan horse cho D32. Trong thời gian tới, chúng tôi sẽ mở rộng giải thuật này cho quá trình chẩn đoán các loại mã gây hại (harmful code) khác (như backdoor, malware, spyware...)

    Chúng tôi hy vọng trong thời gian không xa sẽ tiếp tục công bố các nghiên cứu mới nhất trong lĩnh vực nhận dạng virus thông minh, từng bước cải tiến D32 trở thành phần mềm chống virus trí tuệ của Việt Nam.
    Cần Thơ, thng 8/2004

    Trương Minh Nhật Quang 

     

    ID: A0409_142