Đang tải... (xem toàn văn)
Có nhiều kỹ thuật phát hiện mã độc đã được sử dụng như: Sử dụng bộ giả lập dựa trên kỹ thuật heuristics, phân rã mã ... tuy nhiên chưa có kỹ thuật nào phát hiện một cách toàn diện. Mặt khác các kỹ thuật này còn phức tạp, và để hiệu cặn kẽ về chúng là việc không đơn giản. Do vậy, việc tìm các phương pháp mới để phát hiện Virus đa hình là cần thiết. Ngoài ra, với sự phát triển của việc ứng dụng trí tuệ nhân tạo trong công nghệ tính toán mềm đang dần trở thành một xu thế tất yếu, sử dụng mạng nơ ron nhân tạo trong các bài toán phân tích và nhận dạng cũng không nằm ngoài xu thế đó. Vậy nên chúng em đã chọn đề tài Nghiên cứu, ứng dụng kỹ thuật dịch ngược và mạng nơron trong phát hiện mã độc để thực hiện nghiên cứu và đã đạt được những kết quả nhất định.
BÁO CÁO THỰC TẬP CƠ SỞ Áp dụng Dịch Ngược, Mạng Nơ-ron phát Mã Độc Giáo Viên HD: Phạm Văn Hưởng Nhóm SV thực hiện: Ngơ Văn Thỉnh Phạm Cơng Lý Nguyễn Văn Hồng Lớp AT9A Học Viện Kỹ Thuật Mật Mã Phân Tích Mã Độc • Phân tích xem xét kỹ mã virus thơng qua dịch ngược • Với loại virus phức tạp, để đọc hiểu hết mã thực thi việc khó Tĩnh Động • Cung cấp cho người phân tích nhìn xác mà làm • Phân tích cách hoạt động virus thực thi • Q trình phân tích diễn nhanh hơn, dễ dàng • Khơng phải hành vi phân tích Học Viện Kỹ Thuật Mật Mã Mạng Nơ-ron Mạng nơ-ron gi? Cấu trúc nơ-ron nhân tạo Nội Dung Mạng nơ-ron truyền thẳng nhiều lớp Thuật toán huấn luyện mạng Học Viện Kỹ Thuật Mật Mã Mạng Nơ-ron • Mạng nơ-ron nhân tạo hoạt động dựa theo cách thức não người cấp độ đơn giản • Hai đặc tính mạng nơ-ron là: – Q trình tính tốn tiến hành song song phân tán nhiều nơ-ron gần đồng thời – Tính tốn thực chất q trình học, khơng phải theo sơ đồ định sẵn từ trước Học Viện Kỹ Thuật Mật Mã Cấu Trúc Nơ-ron • Noron nhân tạo đơn vị tính tốn có nhiều đầu vào đầu với ba thuộc tính quan trọng là: trọng số kết nối (Weight), ngưỡng (Threshold) hàm kích hoạt (Activation function hay Transfer function) Học Viện Kỹ Thuật Mật Mã Cấu Trúc Nơ-ron Học Viện Kỹ Thuật Mật Mã Cấu Trúc Nơ-ron Hàm kích hoạt • Q trình xử lý thơng tin gồm: xử lí tín hiệu đầu vào xử lí tín hiệu đầu – Hàm tổng (u): dùng để kết hợp xử lí tín hiệu thơng tin đầu vào – Hàm kích hoạt: hàm xử lý tìm hiệu đầu Kí hiệu: f(.) Học Viện Kỹ Thuật Mật Mã Cấu Trúc Nơ-ron – Hàm tổng (u) Hàm tuyến tính (linear fuction) u = (∑ j =1 w j x j ) − θ = W T X − θ n – Hàm kích hoạt Hàm sigmoid (Sigmoid function (logsig)) f (x) = + e− x Học Viện Kỹ Thuật Mật Mã Mạng Nơ-ron truyền thẳng nhiều lớp Tầng đầu vào: Mỗi tín hiệu xi tín hiệu vào đưa đến tất nơ-ron lớp nơ-ron Thông thường, nơ-ron đầu vào không làm biến đổi tín hiệu vào, chúng đóng vai trị phân phối tín hiệu khơng đóng vai trị sửa đổi chúng Học Viện Kỹ Thuật Mật Mã Phân Loại Mạng Nơ-ron Tầng ẩn: lớp nơ-ron lớp vào, chúng khơng trực tiếp liên hệ với giới bên ngồi nơ-ron vào Tầng đầu ra: lớp nơ-ron tạo tín hiệu cuối Học Viện Kỹ Thuật Mật Mã Giải Thuật Lan Truyền Ngược Thuật toán sử dụng tập mẫu gồm cặp đầu vào - đầu để luyện mạng Với cặp đầu vào - đầu (x(k),d(k)) thuật toán lan truyền ngược sai số thực hai giai đoạn sau: X1 E1 = Y-1d1 Y2 X2 E2 = - d2 Y3 X3 E3 = - d3 Học Viện Kỹ Thuật Mật Mã Giải Thuật Lan Truyền Ngược j n Yj = f( Σ Wij Xi n Σ Wij Xi ) i=1 f(x) i=1 Hidden Y1 q W1q n Yq = Σf(Wjq Yj) n Yj Wjq Wnq Yn Σ Wjq Yj j=1 f(x) j=1 Học Viện Kỹ Thuật Mật Mã Giải Thuật Lan Truyền Ngược n n ΣW Yq = f( jq Yj ) = f( j=1 Σ Wjq j=1 n E= q - dq ) = Σ Wjq [f( j=1 n Σf(Wij Xi )) i=1 n Σf(Wij Xi ))) – d ]2 q i=1 Học Viện Kỹ Thuật Mật Mã ủ tạo các to Áp Dụng phát Mã Độc RE PE File Học Viện Kỹ Thuật Mật Mã Kỹ Thuật Dịch Ngược (RE) • Kỹ thuật dịch ngược q trình tìm hiểu cơng nghệ sử dụng thiết bị, đối tượng hệ thống thơng qua việc phân tích cấu trúc, chức hoạt động • Kỹ thuật dịch ngược khái niệm rộng, bao gồm dịch ngược phần cứng dịch ngược phần mềm Học Viện Kỹ Thuật Mật Mã Ứng Dụng Kỹ Thuật RE Có tay ý tưởng code Kiểm tra chất lượng phần mềm Ý tưởng tác giả Tester Security Bổ sung thêm tính vào RE chương trình Phá vỡ chế bảo vệ phần Functions mềm Học tập nghiên cứu virus hay mã độc Research Một số ứng dụng RE khoa học máy tính Học Viện Kỹ Thuật Mật Mã PE File PE file gì? PE là từ viết tắt của Portable Executable PE là định dạng riêng của Win32 Tất các file thực thi Win32 (ngoại trừ các tập tin VxDs và Dlls 16bit) sử dụng định dạng PE Học Viện Kỹ Thuật Mật Mã PE File PE header Signature File Header Optional Header Học Viện Kỹ Thuật Mật Mã Các trường dùng trích chọn Một số vấn đề lưu ý Chuẩn hóa số liệu đầu vào Giá trị đầu của nơ-ron nằm phạm vi khoảng (0,1) và đạt các giá trị bão hoà ( xấp xỉ hay ) ⎢x ⎢ lớn Học Viện Kỹ Thuật Mật Mã Một số vấn đề lưu ý Học chưa đủ thuộc Khi mạng có cấu trúc (số nút ẩn liên kết) số lần học chưa đủ so với nhu cầu toán => học chưa đủ (underfitting) Nếu mạng phức tạp (quá nhiều nút ẩn nhiều tham số) học “quá khít” mẫu dùng để luyện mạng dẫn tới tình trạng mạng học thành phần nhiễu lẫn mẫu đó, tình trạng “học thuộc” (overfitting) Học Viện Kỹ Thuật Mật Mã Một số vấn đề lưu ý Giải pháp cho vấn đề underfitting, overfitting Sử dụng tập số liệu có tính đại diện tốt để luyện mạng: Khi tập mẫu dùng để luyện mạng thể nhiều trạng thái xảy trình cần nghiên cứu sau học mạng có khả tổng qt hố tương đối tốt từ tập liệu khơng chịu ảnh hưởng nhiều tượng overfitting Lựa chọn cấu trúc mơ hình phù hợp: Việc lựa chọn mơ hình mạng (số lớp ẩn, số nơ-ron lớp ẩn) có ảnh hưởng quan trọng đến tượng học chưa đủ (underfitting) học (overfitting) mạng Học Viện Kỹ Thuật Mật Mã Một số vấn đề lưu ý Lựa chọn kích thước mạng Một số cơng trình nghiên cứu chủ đề cho rằng: số nơ-ron tối ưu lớp ẩn thường nhỏ (2p+1) p- số nơ-ron tầng vào số mẫu sở liệu học cần phải thoả mãn N ≈ 4.(p+1).L, L – số nơ-ron tầng ẩn Học Viện Kỹ Thuật Mật Mã DEMO Tập trích chọn: 13 đặc trưng Mẫu thực nghiệm: Training: 25 virus + 15 file sạch Test: virus + file sạch Kích thước mạng: Tầng vào: 13 nơ-ron Tầng ẩn: 13 nơ-ron Tầng ra: nơ-ron Học Viện Kỹ Thuật Mật Mã Thank You! Cảm ơn hội đồng bạn lắng nghe Học Viện Kỹ Thuật Mật Mã