NGHIÊN CỨU MÔ HÌNH PHÁT HIỆN RANSOMEWARE DỰA TRÊN BỘ DỮ LIỆU RANSAP - MODULE 1

Abstract

Cùng với sự xuất hiện của tiền điện tử, các cuộc tấn công ransomware ngày càng trở nên phổ biến, đặc biệt trong những năm gần đây, khi những kẻ tấn công không khoan nhượng nhắm vào các công ty, cá nhân và tổ chức như dịch vụ y tế. Luận văn tập trung vào bộ dữ liệu mở RANSAP phân biệt 7 mẫu ransomware quan trọng bao gồm các chủng ransomware mới nhất như Darkside và Revil chiếm 37% cuộc tấn công năm 2021 với 5 ứng dụng lành tính chính (encryption, secure deletion, Zip, Excel, Firefox) và triển khai bằng Python, sử dụng bộ dữ liệu RANSAP làm dữ liệu thô. Một tập hợp đặc trưng nâng cao sử dụng để huấn luyện các mô hình phân loại được phần mềm ransomeware và phần mềm lành tính. Nghiên cứu phát hiện ransomware bằng các phương pháp phân tích dựa trên 3 đặc trưng Logical Block Addressing và Entropy#1 và Entropy#2 trong bộ dữ liệu mở RANSAP là điểm mới cho luận văn này. Khác với công trình nghiên cứu 2021 của Hirano and Kobayashi sử dụng tới 5 đặc trưng (Tỷ lệ giữa các thao tác đọc và ghi, tần suất các thao tác IO, chuỗi và loại yêu cầu truy cập, mức độ thường xuyên các khối lưu trữ riêng lẻ bị truy cập, đo lường mức độ ngẫu nhiên của dữ liệu). Cuối cùng kết quả của nghiên cứu cũng chỉ ra rằng hiệu suất của bốn mô hình khác nhau (Random Forest, Decision Tree, Support Vector Machine, K-Nearest Neighbor) cũng như khả năng tổng quát hóa của chúng đã được đánh giá. Random Forest đã chứng minh khả năng tổng quát hóa cao đối với các khối lượng công việc hỗn hợp với điểm F1 là 97.64% (Cao hơn công trình nghiên cứu 2021 của Hirano and Kobayashi là 93%) và Accuracy là 97.64%, mô hình đã nhận diện đúng 97.10%. Hơn nữa, tất cả các mô hình đã thể hiện khả năng tổng quát hóa cao. Kết quả cho thấy rằng các mô hình sử dụng ba đặc trưng Logical Block Address, entropy#1 và entropy#2 đều đạt được hiệu suất cao hơn so với các mô hình trong nghiên cứu của Hirano và Kobayashi, với độ chính xác và các chỉ số khác đều vượt trội hơn. Điều này chứng tỏ rằng việc tập trung vào các đặc trưng có tính chất quyết định như Logical Block Addressing và các chỉ số entropy là một hướng đi hiệu quả trong việc phát hiện ransomware.