PHÂN TÍCH VÀ PHÁT HIỆN MÃ ĐỘC SỬ DỤNG MÁY HỌC

Abstract

Bối cảnh: Trong bối cảnh hiện nay, việc phát hiện mã độc trở thành một thách thức lớn trong bảo mật hệ thống. Các phương pháp truyền thống không đủ khả năng phát hiện các mối nguy hiểm ngày càng tinh vi. Do đó, việc ứng dụng các thuật toán học máy vào phân loại tập tin thực thi thành hai nhóm: bình thường và tấn công trở nên cần thiết. Mục tiêu: Mục tiêu của nghiên cứu này là phát triển một phương pháp phát hiện mã độc bằng cách sử dụng các thuật toán học máy để phân loại tập tin thực thi (.exe) dựa trên các đặc trưng tĩnh của chúng. Các mô hình học máy như Logistic Regression, KNN, SVM, Decision Tree, CNN, Naive Bayes và Random Forest được áp dụng để phân loại các tập tin này thành hai nhóm. Phương pháp: Quy trình nghiên cứu bao gồm các bước: thu thập dữ liệu, tiền xử lý dữ liệu, trích xuất các đặc trưng tĩnh từ các tập tin .exe như kích thước file, PE Header, hàm API, và các thông số khác, huấn luyện các mô hình học máy và đánh giá hiệu suất của các mô hình này. Các chỉ số đánh giá mô hình bao gồm accuracy, precision, recall và confusion matrix. Quá trình này được triển khai trên nền tảng Google Colab bằng ngôn ngữ Python và sử dụng các thư viện học máy hiện đại. Kết quả: Các mô hình học máy đã được huấn luyện và kiểm tra với các dữ liệu .exe, cho ra các kết quả đánh giá dựa trên các chỉ số hiệu suất. Các mô hình này cung cấp cái nhìn rõ ràng về khả năng phân loại mã độc so với các tập tin bình thường, từ đó đóng góp vào việc cải thiện khả năng phát hiện mã độc. Kết luận: Nghiên cứu này không chỉ cung cấp một giải pháp hiệu quả trong việc phát hiện mã độc mà còn mở ra hướng nghiên cứu mới về bảo mật hệ thống, như việc tích hợp phát hiện mã độc trong thời gian thực và ứng dụng học sâu để nâng cao hiệu quả của quá trình phát hiện.