SỬ DỤNG PHƯƠNG PHÁP HỌC SÂU TRONG BÀI TOÁN PHÁT HIỆN MÃ ĐỘC

Nguyễn Minh Hải, Quản Thành Thơ



DOI: 10.15625/vap.2017.000100

Abstract


Hiện nay, mã độc là một vấn đề vô cùng quan trọng, thu hút sự quan tâm rất lớn và đang dần trở thành mối đe doạ thực sự đối với nền kinh tế mỗi quốc gia. Năm 2015, theo một thống kê bởi Cybersecyrity Market Report, khoảng 77 tỉ đô la đã được tiêu tốn để khắc phục những hậu quả của mã độc. Con số này ngày càng gia tăng do mức độ độc hại và tinh vi của mã độc ngày càng lớn. Để phân tích và phát hiện mã độc, hầu hết những phần mềm công nghiệp sử dụng kỹ thuật nhận dạng chữ ký. Trong kỹ thuật này, mỗi mã độc sẽ được biểu diễn dưới dạng một chuỗi bit nhị phân duy nhất và đặc trưng. Tuy nhiên, những mã độc đa hình phức tạp có thể sử dụng các phần mềm đóng gói để thay đổi chữ ký bản thân và khiến cho kỹ thuật nhận dạng chữ ký trở nên không hiệu quả. Để giải quyết những bài toán thực tế đó, bài báo này trình bày hướng tiếp cận mới sử dụng phương pháp học sâu kết hợp với công cụ BE-PUM để nhận dạng mã độc. Công cụ BE-PUM được phát triển với mục tiêu xây dựng đồ thị luồng điều khiển chính xác của một chương trình mã độc và xử lý được những kỹ thuật làm rối rắm đặc trưng của các phần mềm đóng gói như lệnh nhảy không trực tiếp, mã tự thay đổi... Đồ thị luồng điều khiển này sẽ được chuyển đổi thành hình ảnh tương ứng và được học trong mô hình học sâu để tiến hành huấn luyện. Việc sử dụng phương pháp học sâu giúp hệ thống có thể học và phân loại hiệu quả trên không gian trạng thái phức tạp được sinh ra bởi đồ thị luồng điều khiển của các mã độc. Chúng tôi đã tiến hành thử nghiệm trên một tập mã độc thực tế được thu thập từ VirusShare và đạt được kết quả nhận diện tốt hơn so với các phương pháp truyền thống.

Keywords


phân tích mã độc, phương pháp hình thức, học sâu, trí tuệ nhân tạo



Copyright (c) 2019 PROCEEDING of Publishing House for Science and Technology



PROCEEDING

PUBLISHING HOUSE FOR SCIENCE AND TECHNOLOGY

Website: http://vap.ac.vn

Contact: nxb@vap.ac.vn