Nghiên Cứu Phân Loại Mã Độc Android Dựa Trên Hướng Tiếp Cận Đa Lớp

Trường đại học

Đại học Quốc gia TP HCM

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

luận văn thạc sĩ

2024

143

Phí lưu trữ

30.000 VNĐ

Mục lục chi tiết

LỜI CÁM ƠN

LỜI CAM ĐOAN

1. CHƯƠNG 1: TỔNG QUAN

1.1. Mô tả bài toán

1.2. Mục tiêu nghiên cứu

1.3. Đối tượng và phạm vi nghiên cứu

1.4. Ý nghĩa của luận văn

1.5. Những đóng góp chính của luận văn

1.6. Cấu trúc luận văn

2. CHƯƠNG 2: CÁC CÔNG TRÌNH LIÊN QUAN

2.1. Phân loại mã độc Android dựa trên học máy - học sâu

2.2. Phân loại mã độc Android bị làm rối mã nguồn

3. CHƯƠNG 3: CƠ SỞ LÝ THUYẾT

3.1. Mã code Dalvik và tệp DEX trong Android

3.2. Làm rối mã nguồn ứng dụng Android

3.2.1. Làm rối tầm thường - Trivial

3.2.2. Đổi tên - Rename

3.3. Trực quan hóa mã nguồn

3.4. Mạng nơ-ron tích chập

3.5. Tài nguyên - Resource

4. CHƯƠNG 4: HỆ THỐNG ĐỀ XUẤT

4.1. Tổng quan hệ thống

4.2. Trực quan hóa ứng dụng Android

4.2.1. Hình ảnh Markov

4.2.2. Hình ảnh đồ thị Entropy

4.2.3. Hình ảnh ma trận mức xám

4.2.4. Hợp nhất các hình ảnh đặc trưng

5. CHƯƠNG 5: THỰC NGHIỆM VÀ ĐÁNH GIÁ

5.1. Bộ dữ liệu

5.1.1. Bộ dữ liệu CICMalDroid2020

5.1.2. Bộ dữ liệu AndroZoo

5.1.3. Bộ dữ liệu ứng dụng Android bị làm rối mã nguồn

5.2. Cấu hình thực nghiệm

5.3. Kịch bản thử nghiệm

5.3.1. Kịch bản thử nghiệm 1

5.3.2. Kịch bản thử nghiệm 2

5.3.3. Kịch bản thử nghiệm 3

5.3.4. Kịch bản thử nghiệm 4

5.3.5. So sánh kết quả

5.4. Kết quả và phân tích

5.5. Tỷ lệ âm tính giả

5.6. Tỷ lệ dương tính giả

5.7. Phân tích về thời gian

5.8. Trung bình Vi mô

6. CHƯƠNG 6: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN

6.1. Kết luận

6.2. Hướng phát triển

TÀI LIỆU THAM KHẢO

PHỤ LỤC 1: DANH MỤC CÁC CÔNG BỐ KHOA HỌC, HỆ THỐNG ỨNG DỤNG

PHỤ LỤC 3: DANH MỤC CÁC HỒ SƠ LIÊN QUAN

Tóm tắt

I. Tổng Quan Về Nghiên Cứu Phân Loại Mã Độc Android

Nghiên cứu phân loại mã độc Android dựa trên hướng tiếp cận đa lớp là một lĩnh vực quan trọng trong bảo mật thông tin. Với sự gia tăng nhanh chóng của các ứng dụng Android, việc phát hiện và phân loại mã độc trở nên cấp thiết. Mã độc không chỉ gây hại cho thiết bị mà còn đe dọa đến quyền riêng tư của người dùng. Do đó, nghiên cứu này nhằm mục đích phát triển các phương pháp hiệu quả để phân loại mã độc, từ đó bảo vệ người dùng khỏi các mối đe dọa tiềm ẩn.

1.1. Tầm Quan Trọng Của Phân Loại Mã Độc

Phân loại mã độc giúp xác định các ứng dụng độc hại và ngăn chặn sự lây lan của chúng. Việc này không chỉ bảo vệ người dùng mà còn giúp các nhà phát triển ứng dụng cải thiện bảo mật cho sản phẩm của họ.

1.2. Các Thách Thức Trong Phân Loại Mã Độc

Mã độc ngày càng tinh vi với nhiều kỹ thuật làm rối mã. Điều này khiến cho việc phát hiện và phân loại trở nên khó khăn hơn. Các hệ thống hiện tại thường không đủ khả năng đối phó với các kỹ thuật này.

II. Vấn Đề Trong Phân Loại Mã Độc Android Hiện Nay

Một trong những vấn đề lớn nhất trong phân loại mã độc Android là sự đa dạng và phức tạp của các loại mã độc. Các kỹ thuật như làm rối mã nguồn đã được sử dụng rộng rãi để che giấu hành vi độc hại. Điều này tạo ra thách thức lớn cho các hệ thống phát hiện mã độc truyền thống, khiến chúng không còn hiệu quả.

2.1. Kỹ Thuật Làm Rối Mã Nguồn

Làm rối mã nguồn là một phương pháp phổ biến mà các nhà phát triển sử dụng để bảo vệ mã của họ. Tuy nhiên, kỹ thuật này cũng bị lạm dụng bởi kẻ tấn công để che giấu mã độc.

2.2. Thiếu Bộ Dữ Liệu Chất Lượng

Hiện nay, các bộ dữ liệu về mã độc Android chủ yếu thiếu tính đa dạng và chất lượng. Điều này làm giảm khả năng phát hiện mã độc của các hệ thống phân loại.

III. Phương Pháp Phân Loại Mã Độc Android Đa Lớp

Nghiên cứu này đề xuất một phương pháp phân loại mã độc Android dựa trên hướng tiếp cận đa lớp. Phương pháp này sử dụng các đặc trưng hình ảnh từ mã nguồn của ứng dụng để cải thiện khả năng phát hiện mã độc. Các mô hình học sâu, đặc biệt là mạng nơ-ron tích chập (CNN), sẽ được áp dụng để phân loại mã độc.

3.1. Sử Dụng Đặc Trưng Hình Ảnh

Phương pháp này chuyển đổi mã nguồn thành các hình ảnh đặc trưng như hình ảnh Markov và ma trận mức xám. Điều này giúp cung cấp cái nhìn toàn diện hơn về hành vi của ứng dụng.

3.2. Ứng Dụng Mạng Nơ Ron Tích Chập

Mạng nơ-ron tích chập giúp tự động trích xuất các đặc trưng từ dữ liệu hình ảnh, giảm thiểu sự cần thiết phải xử lý thủ công. Điều này làm tăng hiệu suất phân loại mã độc.

IV. Kết Quả Nghiên Cứu Và Ứng Dụng Thực Tiễn

Kết quả nghiên cứu cho thấy phương pháp đề xuất có hiệu suất vượt trội so với các phương pháp hiện có. Việc sử dụng bộ dữ liệu đa dạng giúp cải thiện khả năng phát hiện mã độc, ngay cả khi mã đã bị làm rối. Điều này mở ra hướng đi mới cho việc phát triển các hệ thống bảo mật hiệu quả hơn.

4.1. Hiệu Suất Phân Loại

Phương pháp đề xuất đã đạt được tỷ lệ chính xác cao trong việc phân loại mã độc. Kết quả cho thấy sự cần thiết của việc áp dụng các kỹ thuật mới trong bảo mật.

4.2. Ứng Dụng Trong Thực Tế

Các kết quả nghiên cứu có thể được áp dụng trong việc phát triển các ứng dụng bảo mật cho Android, giúp người dùng an tâm hơn khi sử dụng thiết bị di động.

V. Kết Luận Và Hướng Phát Triển Tương Lai

Nghiên cứu phân loại mã độc Android dựa trên hướng tiếp cận đa lớp đã chỉ ra rằng việc áp dụng các kỹ thuật mới có thể cải thiện đáng kể khả năng phát hiện mã độc. Tương lai của nghiên cứu này sẽ tập trung vào việc phát triển các phương pháp mạnh mẽ hơn để đối phó với các kỹ thuật làm rối mã nguồn ngày càng tinh vi.

5.1. Tương Lai Của Nghiên Cứu

Nghiên cứu sẽ tiếp tục mở rộng để bao gồm nhiều loại mã độc và các kỹ thuật phát hiện mới. Điều này sẽ giúp nâng cao khả năng bảo mật cho người dùng Android.

5.2. Đề Xuất Các Hướng Nghiên Cứu Mới

Các hướng nghiên cứu mới có thể bao gồm việc phát triển các bộ dữ liệu chất lượng cao và các mô hình học sâu tiên tiến hơn để cải thiện khả năng phát hiện mã độc.

10/07/2025

Bạn đang xem trước tài liệu:

Khóa luận tốt nghiệp công nghệ thông tin phân loại mã độc android dựa trên hướng tiếp cận đa lớp đặc trưng

Tải đầy đủ

Nội dung chính

Tổng quan nghiên cứu

Trong bối cảnh hiện nay, với hơn 3 tỷ người dùng trên toàn thế giới, Android chiếm tới 72,15% thị phần hệ điều hành di động tính đến tháng 6 năm 2024. Sự phổ biến rộng rãi này kéo theo nguy cơ bảo mật ngày càng gia tăng, đặc biệt là các cuộc tấn công mã độc trên nền tảng Android. Báo cáo quý 3 năm 2023 của Kaspersky cho thấy có tới hơn 8,3 triệu cuộc tấn công bị chặn và gần 439 nghìn gói mã độc mới được phát hiện trên thiết bị di động. Mã độc không chỉ gây thiệt hại về dữ liệu và quyền riêng tư mà còn có thể khai thác các lỗ hổng để thực hiện hành vi gian lận, ăn cắp thông tin và thiệt hại tài chính.

Bài toán phân loại mã độc Android nhằm mục đích phân biệt các ứng dụng lành tính và độc hại, từ đó ngăn chặn sự lây lan và bảo vệ người dùng. Tuy nhiên, sự tinh vi ngày càng tăng của mã độc, đặc biệt là các kỹ thuật làm rối mã nguồn (obfuscation), đã làm giảm hiệu quả của các phương pháp phát hiện truyền thống. Kỹ thuật làm rối mã nguồn được sử dụng phổ biến để che giấu hành vi độc hại, khiến việc phát hiện trở nên khó khăn hơn.

Mục tiêu nghiên cứu là xây dựng một hệ thống phân loại mã độc Android có khả năng phát hiện các ứng dụng đã bị làm rối mã nguồn, thông qua việc chuyển đổi mã nguồn thành các hình ảnh đặc trưng và sử dụng mạng nơ-ron tích chập (CNN) để phân loại. Nghiên cứu tập trung vào các bộ dữ liệu thực tế, bao gồm cả ứng dụng bị làm rối mã, nhằm nâng cao khả năng phát hiện và phân loại mã độc trong môi trường thực tế.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Mã nguồn Dalvik và tệp DEX: Ứng dụng Android được biên dịch thành bytecode Dalvik lưu trong tệp DEX, là nguồn dữ liệu chính để trích xuất đặc trưng.
Kỹ thuật làm rối mã nguồn (Obfuscation): Bao gồm các phương pháp như đổi tên lớp, phương thức, mã hóa chuỗi, thay đổi luồng điều khiển, chèn mã rác nhằm làm khó việc phân tích mã độc.
Trực quan hóa mã độc dưới dạng hình ảnh: Chuyển đổi bytecode thành các hình ảnh đặc trưng như hình ảnh Markov, hình ảnh đồ thị Entropy và hình ảnh ma trận mức xám để khai thác đặc trưng không gian.
Mạng nơ-ron tích chập (CNN): Mô hình học sâu hiệu quả trong phân loại dữ liệu hình ảnh, có khả năng tự động trích xuất đặc trưng phân cấp từ dữ liệu thô.

Phương pháp nghiên cứu

Nguồn dữ liệu: Sử dụng bộ dữ liệu CICMalDroid2020 và AndroZoo, bao gồm hàng chục nghìn ứng dụng Android lành tính và độc hại, trong đó có các ứng dụng bị làm rối mã nguồn với nhiều kỹ thuật phức tạp.
Phương pháp phân tích:
- Trích xuất bytecode từ tệp DEX của ứng dụng.
- Chuyển đổi bytecode thành ba loại hình ảnh đặc trưng: hình ảnh Markov (dựa trên ma trận xác suất chuyển đổi byte), hình ảnh đồ thị Entropy (dựa trên độ hỗn loạn của dữ liệu), và hình ảnh ma trận mức xám.
- Hợp nhất ba hình ảnh thành một hình ảnh màu duy nhất kích thước 256x256.
- Sử dụng các mô hình CNN đã được tinh chỉnh để phân loại mã độc dựa trên hình ảnh đặc trưng.
Timeline nghiên cứu: Nghiên cứu được thực hiện trong năm 2023-2024, với các giai đoạn thu thập dữ liệu, xây dựng bộ dữ liệu làm rối mã, phát triển hệ thống phân loại, thực nghiệm và đánh giá.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

Hệ thống phân loại dựa trên đa lớp đặc trưng hình ảnh đạt hiệu suất phân loại vượt trội so với các phương pháp truyền thống, với độ chính xác trên 95% trên bộ dữ liệu CICMalDroid2020.
Việc kết hợp ba loại hình ảnh đặc trưng giúp tăng khả năng nhận diện các mẫu mã độc bị làm rối mã nguồn, giảm tỷ lệ dương tính giả xuống dưới 3%.
Bộ dữ liệu ứng dụng bị làm rối mã nguồn được xây dựng có độ đa dạng và phức tạp cao, bao gồm toàn bộ các kỹ thuật làm rối phổ biến từ đơn giản đến phức tạp, giúp hệ thống có khả năng kháng lại các kỹ thuật làm rối mới.
So sánh với các nghiên cứu trước đây, hệ thống đề xuất có khả năng phát hiện mã độc bị làm rối mã nguồn hiệu quả hơn, trong khi các phương pháp cũ thường không phát hiện được hoặc chỉ phát hiện được một số kỹ thuật làm rối đơn giản.

Thảo luận kết quả

Nguyên nhân của hiệu quả cao đến từ việc sử dụng đa lớp đặc trưng hình ảnh, giúp mô hình CNN có cái nhìn toàn diện về hành vi mã nguồn ứng dụng. Hình ảnh Markov thể hiện phân phối byte và mối quan hệ chuyển đổi giữa các byte, hình ảnh Entropy phản ánh mức độ hỗn loạn và phức tạp của mã, còn hình ảnh ma trận mức xám cung cấp thông tin chi tiết về cấu trúc bytecode.

So với các nghiên cứu trước đây chỉ sử dụng một loại đặc trưng hoặc dữ liệu không đa dạng, phương pháp này giảm thiểu ảnh hưởng của các kỹ thuật làm rối mã nguồn phức tạp. Dữ liệu được trình bày qua các ma trận nhầm lẫn và biểu đồ so sánh hiệu suất cho thấy sự cải thiện rõ rệt về độ chính xác và độ tin cậy.

Tuy nhiên, chi phí tính toán tăng lên do việc xử lý đa đặc trưng và kích thước hình ảnh lớn, đòi hỏi tài nguyên phần cứng phù hợp. Đây là điểm cần cải tiến trong các nghiên cứu tiếp theo.

Đề xuất và khuyến nghị

Phát triển thêm các kỹ thuật trích xuất đặc trưng mới nhằm tăng cường khả năng nhận diện các kỹ thuật làm rối mã nguồn phức tạp hơn, nâng cao độ chính xác phân loại lên trên 98%.
Tối ưu hóa mô hình CNN để giảm chi phí tính toán và thời gian xử lý, hướng tới triển khai trên các thiết bị di động hoặc hệ thống bảo mật thời gian thực.
Mở rộng bộ dữ liệu với các ứng dụng Android mới nhất, cập nhật các kỹ thuật làm rối mã nguồn hiện đại, đảm bảo tính đại diện và khả năng khái quát hóa của hệ thống.
Triển khai hệ thống phân loại mã độc trên nền tảng website và phần mềm bảo mật để hỗ trợ các nhà phát triển và người dùng cuối trong việc kiểm tra và bảo vệ ứng dụng.
Tăng cường hợp tác nghiên cứu và chia sẻ dữ liệu giữa các tổ chức, trường đại học và doanh nghiệp để phát triển các giải pháp bảo mật toàn diện hơn.

Đối tượng nên tham khảo luận văn

Nhà nghiên cứu và sinh viên ngành Công nghệ Thông tin, An ninh mạng: Nghiên cứu phương pháp phân loại mã độc Android, học sâu và trực quan hóa dữ liệu.
Các công ty phát triển phần mềm bảo mật: Áp dụng hệ thống phân loại mã độc để nâng cao hiệu quả phát hiện và phòng chống mã độc trên nền tảng Android.
Nhà phát triển ứng dụng Android: Kiểm tra và đảm bảo ứng dụng không bị nhiễm mã độc hoặc chứa các thành phần độc hại, nâng cao độ an toàn cho người dùng.
Cơ quan quản lý và giám sát an ninh mạng: Sử dụng kết quả nghiên cứu để xây dựng các chính sách, công cụ giám sát và phòng chống mã độc hiệu quả hơn.

Câu hỏi thường gặp

Phương pháp trực quan hóa mã độc bằng hình ảnh có ưu điểm gì?
Phương pháp này giúp mô hình học sâu nhận diện các mẫu phân bố byte và đặc trưng phức tạp trong mã nguồn, vượt qua hạn chế của các phương pháp dựa trên chữ ký truyền thống.
Tại sao cần xây dựng bộ dữ liệu ứng dụng bị làm rối mã nguồn?
Bộ dữ liệu này giúp hệ thống học và nhận diện các kỹ thuật làm rối phức tạp, nâng cao khả năng phát hiện mã độc trong thực tế, nơi mã độc thường được làm rối để tránh bị phát hiện.
Mạng nơ-ron tích chập (CNN) được sử dụng như thế nào trong nghiên cứu?
CNN được dùng để phân loại hình ảnh đặc trưng được tạo ra từ mã nguồn ứng dụng, tận dụng khả năng tự động trích xuất đặc trưng và tính bất biến vị trí của CNN.
Hệ thống có thể phát hiện các kỹ thuật làm rối mã nguồn phức tạp không?
Hệ thống đã được thử nghiệm với các kỹ thuật làm rối từ đơn giản đến phức tạp và cho kết quả khả quan, tuy nhiên vẫn cần cải tiến để phát hiện các kỹ thuật làm rối mới hơn.
Làm thế nào để triển khai hệ thống trong thực tế?
Hệ thống có thể được tích hợp vào phần mềm bảo mật hoặc nền tảng kiểm tra ứng dụng trực tuyến, hỗ trợ nhà phát triển và người dùng cuối trong việc phát hiện mã độc.

Kết luận

Đã xây dựng thành công hệ thống phân loại mã độc Android dựa trên đa lớp đặc trưng hình ảnh, nâng cao hiệu quả phát hiện mã độc bị làm rối mã nguồn.
Xây dựng bộ dữ liệu ứng dụng Android bị làm rối mã nguồn đa dạng và phức tạp, hỗ trợ đào tạo và đánh giá hệ thống.
Kết quả thực nghiệm cho thấy độ chính xác phân loại trên 95%, giảm tỷ lệ dương tính giả và tăng khả năng kháng kỹ thuật làm rối.
Hệ thống đã được triển khai trên nền tảng website, mở ra hướng ứng dụng thực tiễn trong bảo mật Android.
Hướng phát triển tiếp theo tập trung vào tối ưu hóa mô hình, mở rộng bộ dữ liệu và nâng cao khả năng phát hiện các kỹ thuật làm rối mã mới.

Khuyến khích các nhà nghiên cứu và doanh nghiệp trong lĩnh vực an ninh mạng tiếp cận và ứng dụng kết quả nghiên cứu để nâng cao hiệu quả bảo vệ người dùng Android trước các mối đe dọa mã độc ngày càng tinh vi.

Tài liệu "Nghiên Cứu Phân Loại Mã Độc Android Dựa Trên Hướng Tiếp Cận Đa Lớp" cung cấp cái nhìn sâu sắc về các phương pháp phân loại mã độc trên nền tảng Android, nhấn mạnh tầm quan trọng của việc áp dụng các kỹ thuật đa lớp để nâng cao khả năng phát hiện và ngăn chặn các mối đe dọa. Tài liệu này không chỉ giúp người đọc hiểu rõ hơn về các loại mã độc mà còn cung cấp các giải pháp hiệu quả để bảo vệ thiết bị di động khỏi các cuộc tấn công.

Để mở rộng kiến thức của bạn về chủ đề này, bạn có thể tham khảo tài liệu Khóa luận tốt nghiệp an toàn thông tin nhận diện mã độc android dựa theo xử lý văn bản, nơi bạn sẽ tìm thấy các phương pháp xử lý văn bản trong việc nhận diện mã độc. Ngoài ra, tài liệu Đề tài phân loại mã độc virus worm trojan ransomeware sử dụng học máy sẽ giúp bạn hiểu rõ hơn về việc áp dụng học máy trong phân loại mã độc. Cuối cùng, tài liệu Khóa luận tốt nghiệp an toàn thông tin xây dựng công cụ phát hiện ứng dụng android đóng gói lại sẽ cung cấp thông tin về các công cụ phát hiện ứng dụng Android bị đóng gói lại, một vấn đề quan trọng trong bảo mật di động. Những tài liệu này sẽ giúp bạn có cái nhìn toàn diện hơn về lĩnh vực an toàn thông tin và mã độc trên Android.

#mạng nơ-ron tích chập

#phân loại mã độc Android

#Phát hiện mã độc Android

#Hướng tiếp cận đa lớp

#Kỹ thuật làm rối mã nguồn

#Bộ dữ liệu CICMalDroid2020

Chủ đề

Nghiên cứu mã độc trên Android

Thách thức trong phát hiện mã độc

Kỹ thuật bảo mật ứng dụng di động

Phương pháp phân loại mã độc