Tổng quan nghiên cứu

Trong bối cảnh phát triển mạnh mẽ của công nghệ thông tin và Internet toàn cầu, các mối đe dọa về an toàn thông tin ngày càng trở nên nghiêm trọng và phức tạp, trong đó mã độc (malware) là một trong những nguy cơ hàng đầu. Theo thống kê của ngành an ninh mạng, năm 2017 tại Việt Nam có khoảng 15 triệu máy tính bị nhiễm mã độc, gây thiệt hại ước tính lên đến hàng chục tỷ đồng. Đặc biệt, với sự phổ biến của hệ điều hành Android chiếm khoảng 75% thị phần toàn cầu vào cuối năm 2020, việc phát hiện và phân loại malware trên nền tảng này trở thành nhiệm vụ cấp thiết. Android với hơn 1 triệu ứng dụng trên Google Play và gần một triệu ứng dụng bên thứ ba, cùng với hơn 20.000 ứng dụng mới được phát hành mỗi tháng, tạo ra thách thức lớn trong việc kiểm soát mã độc.

Mục tiêu nghiên cứu của luận văn là phát triển một phương pháp phân loại malware Android dựa trên giá trị thanh ghi RAX trong quá trình phân tích động, kết hợp với thuật toán học máy và chỉ số tương đồng Jaccard để nâng cao độ chính xác và khả năng phát hiện malware mới. Phạm vi nghiên cứu tập trung vào hệ điều hành Android, sử dụng bộ dữ liệu CIC-AndMal2017 với hơn 10.500 ứng dụng (bao gồm cả malware và ứng dụng lành tính) thu thập trong giai đoạn 2015-2017. Nghiên cứu có ý nghĩa quan trọng trong việc cung cấp giải pháp tự động, chính xác và hiệu quả cho việc phát hiện malware, góp phần bảo vệ người dùng và doanh nghiệp trước các nguy cơ an ninh mạng ngày càng gia tăng.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên hai lý thuyết chính: phân tích động mã độc và học máy trong an ninh mạng. Phân tích động tập trung vào việc giám sát hành vi của ứng dụng trong quá trình thực thi, đặc biệt là các giá trị thanh ghi CPU như RAX, nhằm phát hiện các dấu hiệu bất thường của malware. Học máy được ứng dụng để tự động hóa quá trình phân loại dựa trên các đặc trưng trích xuất, giúp mở rộng khả năng phát hiện các mẫu malware mới.

Mô hình nghiên cứu sử dụng các khái niệm chính sau:

  • Thanh ghi RAX: Thanh ghi tích lũy 64-bit trong kiến trúc CPU, phản ánh các hoạt động toán học và truyền tải dữ liệu, được sử dụng làm đặc trưng chính để phân loại malware.
  • Chỉ số tương đồng Jaccard: Phép đo thống kê so sánh sự tương đồng giữa hai tập hợp giá trị thanh ghi, giúp xác định mức độ giống nhau giữa mẫu thử và mẫu trong cơ sở dữ liệu.
  • Phân tích động (Dynamic Analysis): Phương pháp phân tích mã độc khi ứng dụng đang chạy, thu thập dữ liệu hành vi thực tế.
  • Học máy (Machine Learning): Sử dụng thuật toán để học từ dữ liệu mẫu, tự động phân loại và dự đoán malware.

Phương pháp nghiên cứu

Nguồn dữ liệu chính là bộ dữ liệu CIC-AndMal2017, bao gồm khoảng 4.500 ứng dụng malware và hơn 6.000 ứng dụng lành tính, được thu thập và kiểm nghiệm trên các thiết bị thực trong môi trường ảo hóa Kali Linux. Phương pháp phân tích động được thực hiện bằng công cụ Radare2 kết hợp thư viện r2pipe trong Python để tự động hóa quá trình hợp dịch ngược và trích xuất giá trị thanh ghi RAX.

Quy trình nghiên cứu gồm các bước: chọn mẫu thử (file.apk hoặc thư mục chứa nhiều file), phân tích động để lấy giá trị thanh ghi, chuẩn hóa và rút gọn mảng giá trị, tính toán chỉ số tương đồng Jaccard so sánh với cơ sở dữ liệu mẫu, xác định loại malware hoặc lành tính, và cuối cùng huấn luyện mở rộng cơ sở dữ liệu với các mẫu mới. Cỡ mẫu nghiên cứu là khoảng 10.500 ứng dụng, được chọn ngẫu nhiên từ bộ dữ liệu chuẩn. Phương pháp phân tích dữ liệu chủ yếu là tính toán chỉ số tương đồng và phân loại dựa trên thuật toán học máy, đảm bảo độ chính xác và khả năng mở rộng.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

  1. Hiệu quả phân loại dựa trên giá trị thanh ghi RAX: Việc sử dụng giá trị thanh ghi RAX làm đặc trưng chính cho phép phân loại malware với độ chính xác tương đối cao. Kết quả thực nghiệm cho thấy chỉ số tương đồng Jaccard giữa mẫu thử và mẫu trong cơ sở dữ liệu đạt mức trung bình trên 85%, giúp phân biệt rõ ràng giữa malware và ứng dụng lành tính.

  2. Tỷ lệ phát hiện nhầm thấp: Qua phân tích ma trận chỉ số tương đồng, tỷ lệ phát hiện nhầm (False Positive) được kiểm soát dưới 5%, cho thấy phương pháp có tính ổn định và tin cậy trong việc nhận dạng malware.

  3. Khả năng mở rộng cơ sở dữ liệu qua học máy: Việc bổ sung các mẫu mới vào cơ sở dữ liệu sau khi phân loại thành công giúp tăng khả năng phát hiện malware mới lên khoảng 10-15% so với việc chỉ sử dụng dữ liệu ban đầu.

  4. So sánh với các phương pháp truyền thống: Phương pháp phân tích động kết hợp chỉ số tương đồng Jaccard và học máy cho kết quả tốt hơn so với phân tích tĩnh truyền thống, đặc biệt trong việc phát hiện các biến thể malware mới và phức tạp.

Thảo luận kết quả

Nguyên nhân chính của hiệu quả này là do giá trị thanh ghi RAX phản ánh trực tiếp các hành vi thực thi của ứng dụng, từ đó cung cấp dấu hiệu đặc trưng cho việc phân loại. So với các nghiên cứu trước đây chủ yếu dựa trên các đặc trưng tĩnh như quyền truy cập hay lời gọi API, phương pháp này giảm thiểu ảnh hưởng của kỹ thuật làm rối và mã hóa của malware.

Dữ liệu có thể được trình bày qua biểu đồ phân bố chỉ số tương đồng Jaccard giữa các nhóm malware và ứng dụng lành tính, cũng như bảng so sánh tỷ lệ phát hiện và phát hiện nhầm giữa các phương pháp. Kết quả này khẳng định tính khả thi và hiệu quả của việc ứng dụng phân tích động và học máy trong phát hiện malware Android.

Đề xuất và khuyến nghị

  1. Triển khai hệ thống phân tích động tự động: Xây dựng hệ thống tích hợp Radare2 và thuật toán học máy để tự động phân tích và phân loại malware trên nền tảng Android, nhằm nâng cao tốc độ và độ chính xác phát hiện. Thời gian thực hiện dự kiến trong 6 tháng, chủ thể thực hiện là các trung tâm an ninh mạng và doanh nghiệp công nghệ.

  2. Mở rộng cơ sở dữ liệu mẫu malware: Liên tục cập nhật và bổ sung các mẫu malware mới vào cơ sở dữ liệu để cải thiện khả năng nhận dạng, đặc biệt là các biến thể mới xuất hiện trên thị trường. Thời gian thực hiện liên tục, chủ thể là các nhóm nghiên cứu và tổ chức bảo mật.

  3. Phát triển giao diện người dùng thân thiện: Thiết kế giao diện trực quan cho phép người dùng không chuyên cũng có thể sử dụng hệ thống phân tích malware, hỗ trợ việc phổ biến và ứng dụng rộng rãi. Thời gian thực hiện 3 tháng, chủ thể là nhóm phát triển phần mềm.

  4. Tăng cường đào tạo và nâng cao nhận thức an ninh mạng: Tổ chức các khóa đào tạo về phân tích malware và an ninh mạng cho cán bộ kỹ thuật và người dùng cuối, nhằm nâng cao khả năng phòng chống và phản ứng kịp thời với các mối đe dọa. Thời gian thực hiện hàng năm, chủ thể là các trường đại học và tổ chức đào tạo.

Đối tượng nên tham khảo luận văn

  1. Nhà nghiên cứu và sinh viên ngành Công nghệ Thông tin: Có thể áp dụng phương pháp và kết quả nghiên cứu để phát triển các đề tài liên quan đến an ninh mạng và phân tích malware.

  2. Chuyên gia an ninh mạng và kỹ sư bảo mật: Sử dụng các công cụ và thuật toán được đề xuất để nâng cao hiệu quả phát hiện và xử lý mã độc trên nền tảng Android.

  3. Doanh nghiệp phát triển phần mềm và ứng dụng di động: Áp dụng giải pháp để kiểm tra và đảm bảo an toàn cho sản phẩm của mình trước khi phát hành ra thị trường.

  4. Cơ quan quản lý và tổ chức bảo mật: Tham khảo để xây dựng các chính sách, quy trình và hệ thống giám sát an ninh mạng hiệu quả, đặc biệt trong bối cảnh mã độc ngày càng tinh vi.

Câu hỏi thường gặp

  1. Phân tích động khác gì so với phân tích tĩnh trong phát hiện malware?
    Phân tích động giám sát hành vi của ứng dụng khi đang chạy, giúp phát hiện các hành vi độc hại không thể thấy được qua mã nguồn tĩnh. Ví dụ, malware có thể mã hóa mã nguồn để tránh phát hiện tĩnh nhưng vẫn thể hiện hành vi độc hại khi chạy.

  2. Tại sao chọn thanh ghi RAX làm đặc trưng phân loại malware?
    Thanh ghi RAX là thanh ghi tích lũy 64-bit, phản ánh các hoạt động toán học và truyền tải dữ liệu trong quá trình thực thi, do đó chứa nhiều thông tin đặc trưng về hành vi của ứng dụng, giúp phân biệt malware và ứng dụng lành tính hiệu quả.

  3. Chỉ số tương đồng Jaccard được tính như thế nào?
    Chỉ số Jaccard đo lường sự tương đồng giữa hai tập hợp bằng cách lấy tỷ lệ phần tử chung trên tổng phần tử hợp nhất của hai tập. Trong nghiên cứu, nó được dùng để so sánh mảng giá trị thanh ghi RAX giữa mẫu thử và mẫu trong cơ sở dữ liệu.

  4. Phương pháp học máy nào được sử dụng trong nghiên cứu?
    Nghiên cứu sử dụng các thuật toán học máy phổ biến như SVM, Random Forest, và KNN để phân loại malware dựa trên đặc trưng giá trị thanh ghi và chỉ số tương đồng, giúp nâng cao độ chính xác và khả năng mở rộng.

  5. Làm thế nào để mở rộng cơ sở dữ liệu malware?
    Sau khi phân loại mẫu thử thành công, dữ liệu giá trị thanh ghi RAX của mẫu mới được bổ sung vào cơ sở dữ liệu, qua đó cải thiện khả năng nhận dạng các biến thể malware mới trong các lần phân tích tiếp theo.

Kết luận

  • Phân tích động dựa trên giá trị thanh ghi RAX kết hợp chỉ số tương đồng Jaccard là phương pháp hiệu quả để phân loại malware Android với độ chính xác cao và tỷ lệ phát hiện nhầm thấp.
  • Việc ứng dụng học máy giúp mở rộng khả năng phát hiện malware mới, nâng cao tính tự động và hiệu quả của hệ thống.
  • Công cụ Radare2 và thư viện r2pipe trong Python tạo điều kiện thuận lợi cho việc tự động hóa phân tích động và trích xuất dữ liệu.
  • Nghiên cứu góp phần phát triển giải pháp bảo mật phù hợp với xu hướng phát triển của hệ điều hành Android và các thiết bị di động thông minh.
  • Các bước tiếp theo bao gồm triển khai hệ thống thực tế, mở rộng cơ sở dữ liệu và phát triển giao diện người dùng thân thiện để ứng dụng rộng rãi trong cộng đồng an ninh mạng.

Quý độc giả và các nhà nghiên cứu được khuyến khích áp dụng và phát triển thêm dựa trên kết quả nghiên cứu này nhằm nâng cao hiệu quả phòng chống mã độc trên nền tảng Android.