I. Xây dựng bộ dữ liệu pháp chứng từ bộ nhớ Android
Nghiên cứu này tập trung vào việc xây dựng bộ dữ liệu pháp chứng từ bộ nhớ Android để hỗ trợ các mô hình phát hiện mã độc sử dụng Graph Neural Networks (GNN). Bộ dữ liệu được tạo ra từ việc phân tích và khôi phục các đối tượng trong bộ nhớ tiến trình Android, đặc biệt là các ứng dụng lành tính và độc hại. Phương pháp này sử dụng Android Object Allocation Graphs (AOAG) để xác định các đặc trưng phân biệt giữa hai loại ứng dụng này. Bộ nhớ Android được coi là nguồn dữ liệu quan trọng trong việc phát hiện mã độc, đặc biệt khi các phương pháp truyền thống như phân tích tĩnh và động gặp hạn chế.
1.1. Phương pháp khôi phục dữ liệu
Quá trình khôi phục dữ liệu từ bộ nhớ Android bao gồm việc trích xuất và tái tạo các đối tượng trong vùng nhớ Heap. Công cụ DroidScraper được sử dụng để giải mã các đối tượng phức tạp như mảng và cấu trúc dữ liệu. Phương pháp này dựa trên thuật toán thu gom rác Concurrent Copying của Android Runtime (ART), giúp tối ưu hóa việc quản lý bộ nhớ. Bộ dữ liệu được xây dựng từ các đồ thị liên kết giữa các đối tượng, tạo cơ sở cho việc phân tích và phát hiện mã độc.
1.2. Tạo đồ thị phân bổ đối tượng
AOAG được sử dụng để tạo đồ thị phân bổ đối tượng từ bộ nhớ Android. Mỗi đỉnh trong đồ thị đại diện cho một đối tượng, và các cạnh thể hiện mối liên kết giữa chúng. Đồ thị này được sử dụng để phân tích các thuộc tính như đường kính, số lượng cộng đồng, và độ dài đường đi ngắn nhất. Các đặc trưng này giúp phân biệt giữa ứng dụng lành tính và độc hại, tạo cơ sở cho việc huấn luyện các mô hình học máy.
II. Mô hình phát hiện mã độc sử dụng GNN
Nghiên cứu đề xuất sử dụng Graph Neural Networks (GNN) để phát hiện mã độc dựa trên các đặc trưng của đồ thị phân bổ đối tượng. GNN là một phương pháp học sâu hiệu quả trong việc xử lý dữ liệu dạng đồ thị, đặc biệt là các biến thể như Graph Convolutional Network (GCN) và Graph Attention Network (GAT). Mô hình này được huấn luyện trên bộ dữ liệu được xây dựng từ bộ nhớ Android, giúp phân loại các ứng dụng lành tính và độc hại dựa trên các thuộc tính của đồ thị.
2.1. Huấn luyện mô hình GNN
Quá trình huấn luyện GNN bao gồm việc trích xuất các đặc trưng từ đồ thị phân bổ đối tượng, như số lượng cộng đồng, đường kính đồ thị, và độ dài đường đi ngắn nhất. Các đặc trưng này được sử dụng làm đầu vào cho mô hình GNN để dự đoán xem một đồ thị có phải là mã độc hay không. Kết quả thử nghiệm cho thấy GNN đạt hiệu suất cao trong việc phát hiện mã độc so với các mô hình học máy truyền thống.
2.2. Đánh giá hiệu quả của GNN
Nghiên cứu đánh giá hiệu quả của GNN bằng cách so sánh với các mô hình học máy truyền thống như Support Vector Machine (SVM) và Multi-Layer Perceptron (MLP). Kết quả cho thấy GNN vượt trội trong việc phân loại các ứng dụng lành tính và độc hại, đặc biệt khi xử lý các đồ thị có cấu trúc phức tạp. Điều này khẳng định tiềm năng của GNN trong lĩnh vực phát hiện mã độc dựa trên bộ nhớ Android.
III. Ứng dụng thực tiễn và hướng phát triển
Nghiên cứu này không chỉ cung cấp một phương pháp mới để xây dựng bộ dữ liệu pháp chứng từ bộ nhớ Android mà còn mở ra hướng phát triển trong việc ứng dụng GNN để phát hiện mã độc. Phương pháp này có thể được áp dụng trong các cuộc điều tra tội phạm mạng, giúp các nhà điều tra số khôi phục và phân tích dữ liệu từ thiết bị di động một cách hiệu quả. Hướng phát triển tiếp theo bao gồm tối ưu hóa các mô hình GNN và mở rộng bộ dữ liệu để tăng độ chính xác trong việc phát hiện mã độc.
3.1. Ứng dụng trong điều tra tội phạm mạng
Phương pháp xây dựng bộ dữ liệu pháp chứng từ bộ nhớ Android có thể được sử dụng trong các cuộc điều tra tội phạm mạng để khôi phục các thông tin quan trọng từ thiết bị di động. Điều này giúp các nhà điều tra xác định nguồn gốc của các cuộc tấn công và hành vi độc hại, đặc biệt khi các phương pháp truyền thống không hiệu quả.
3.2. Hướng phát triển tương lai
Hướng phát triển tương lai của nghiên cứu bao gồm việc tối ưu hóa các mô hình GNN để tăng hiệu suất phát hiện mã độc. Ngoài ra, việc mở rộng bộ dữ liệu với nhiều mẫu ứng dụng hơn sẽ giúp cải thiện độ chính xác của mô hình. Nghiên cứu cũng hướng đến việc tích hợp các phương pháp phân tích ngữ nghĩa ngầm để nâng cao khả năng nhận diện mã độc.
