PHÂN LOẠI MÃ ĐỘC SỬ DỤNG THÔNG TIN HEADER VÀ OPCODE CỦA MÃ ASSEMBLY

Abstract

Để ngăn chặn việc lây lan và phát triển ngày càng mạnh của phần mềm độc hại, các nhà nghiên cứu đã đưa ra nhiều phương pháp nhằm phát hiện và phân loại các loại mã độc. Tuy nhiên, những phương pháp truyền thống này tỏ ra không hiệu quả do tính đa dạng và biến thể của mã độc. Để khắc phục những khó khăn trên, những năm gần đây phương pháp phân loại mã độc sử dụng hướng tiếp cận máy học được áp dụng ngày càng nhiều. Một trong những phương pháp phổ biến là chuyển mã nhị phân của mã độc về dạng hình ảnh và áp dụng các mô hình máy học như CNN để phân loại. Mặc dù cách tiếp cận cho kết quả phân loại khả quan nhưng vẫn còn nhiều hạn chế bởi tính đa dạng và sự nhầm lẫn dữ liệu. Để giải quyết các vấn đề hạn chế trên, luận văn này đề xuất một phương pháp tiếp cận để phân loại mã độc bằng cách trích xuất thông tin của mã assembly được dịch ngược từ cấu trúc thực thi của mã độc. Thông tin trích xuất bao gồm header và opcode của mã độc sẽ được phân loại sử dụng giải thuật máy học rừng ngẫu nhiên. Kết quả thực nghiệm cho thấy phương pháp đề xuất có độ chính xác cao cùng với độ nhầm lẫn dữ liệu khá thấp, có thể áp dụng vào trong thực tế để phát hiện và phân loại mã độc.