MÁY TÍNH TỰ NHẬN DẠNG VÀ DIỆT VIRUS

Hệ chẩn đoán diệt virus máy tính theo hướng tiếp cận máy học (D32 Anti-virus* 2009) là một ý tưởng khá táo bạo khi tác giả xây dựng cho máy một hệ tri thức để chúng có thể tự học cách nhận dạng và xử lý các loại virus máy tính mới.

Sản phẩm đã được BGK cuộc thi NTĐV 2009 đánh giá cao và là một trong 10 sản phẩm có tiềm năng ứng dụng lớn lọt vào vòng chung kết cuộc thi này. Sản phầm được tác giả Trương Minh Nhật Quang thuộc trung tâm Đại học tại chức Cần Thơ xây dựng trong thời gian 6 tháng (2/2009-8/2009).

Từ trăn trở nhiều năm…
Để đạt được kết quả như hiện nay, tác giả Trương Minh Nhật Quang đã nhiều năm trăn trở với câu hỏi: liệu có cách nào để xây dựng một hệ nhận dạng thông minh virus máy tính cho đa số người dùng hay không?

Theo tác giả, virus máy tính là sản phẩm do con người tạo ra nên cuộc chiến chống virus chính là cuộc đấu trí giữa chuyên gia hệ thống và tin tặc. Trong các hoạt động tư duy của con người, học là hoạt động nhận thức cơ bản nhất. Vì vậy muốn giải quyết bài toán nhận dạng thông minh virus máy tính, cần căn cứ vào sự tiếp cận dựa trên tri thức của các hệ học, để từ đó xây dựng một hệ cơ sở tri thức về virus máy tính, tư vấn chữa bệnh cho máy dựa trên kinh nghiệm của chuyên gia anti-virus đã tích hợp trong hệ thống. Mục tiêu của hệ là “dạy” cho máy tính tự học cách điều trị virus mới của các chuyên gia, giúp máy có thể tự khám và chữa khỏi bệnh.

Tác giả cũng cho biết, các phiên bản D32 cũ dựa chủ yếu vào cách tiếp cận chuỗi mã nên khả năng nhận dạng virus mới còn rất hạn chế. Phiên bản D32 Anti-virus* 2009 mới được phát triển từ phần mềm D32 Anti-virus (2001-2007) và xây dựng theo hướng tiếp cận anti-virus mới, tiếp cận Máy học và Hệ chuyên gia nên có khả năng phát hiện được các loại virus mới với những tính năng nhận dạng thông minh.

...đến sản phẩm thông minh

D32 Anti-virus* có hai tính năng cơ bản: nhận dạng virus đã biết và dự báo virus mới. Theo tác giả, các anti-virus trong nước chưa có tính năng dự báo virus mới (CMS đang nghiên cứu dự báo virus mới bằng kỹ thuật phân tích gien nhưng chưa có công trình công bố chính thức). Còn một số anti-virus nước ngoài cũng có dự báo virus mới nhưng các phần mềm này khá cồng kềnh nên sẽ làm giảm tốc độ của hệ thống.

Các anti-virus hiện nay đều dựa vào các tiếp cận chuỗi mã, hành vi hay ý định. Điểm khác biệt cơ bản giữa D32 Anti-virus* với các sản phẩm cùng loại là phần mềm được xây dựng theo tiếp cận hoàn toàn mới do tác giả nghiên cứu bằng luận án tiến sĩ “Tiếp cận Máy học và Hệ chuyên gia để nhận dạng virus máy tính”. Cơ chế hoạt động của D32 Anti-virus* gồm 3 giai đoạn:

+ Giai đoạn 1: Thu nhận tri thức, trích chọn đặc trưng, phân lớp dữ liệu và tổ chức cơ sở tri thức. Giai đoạn này sẽ được thiết kế trên máy chuyên gia với đầu vào là một tập virus và đầu ra là cơ sở dữ liệu virus chứa tập nhận dạng) và cơ sở tri thức (chứa tập luật nhận dạng), chuyển đến đầu vào cho các giai đoạn sau.

+ Giai đoạn 2: Phân loại dữ liệu, nhận dạng sơ khởi, xử lý dữ liệu bằng các mô hình học.

+ Giai đoạn 3: Báo cáo kết quả, thu nhận tri thức mới và cập nhật tăng trưởng cơ sở tri thức.

Giai đoạn 2 và 3 được thiết kế trên máy khách, sử dụng cơ sở dữ liệu virus và cơ sở tri thức để nhận dạng virus đã biết và dự báo virus mới dựa trên luật. Giai đoạn 3 báo cáo kết quả xử lý: đối tượng có nhiễm virus hay không, có khả năng nhiễm virus lạ không… thông qua các hộp thoại giao tiếp để tiếp tục thu nhận quyết định người dùng, cập nhật các tri thức này vào hệ thống, gửi mẫu nghi ngờ về cho chuyên gia phân tích (dữ liệu được hồi quy về giai đoạn 1) để tăng trưởng cơ sở tri thức cho hệ.

Ngoài tính năng dự báo virus mới, D32 Anti-virus* còn có các tính năng cơ bản của một anti-virus thông thường như quét theo yêu cầu (on demand), quét theo lịch (on scheduled), tự động bảo vệ (auto protect), cập nhật trực tuyến (online update)…

Hướng tới người dùng phổ thông

Theo tác giả, khách hàng mà D32 Anti-virus* nhắm tới là những người dùng phổ thông. Phần mềm được thiết kế để chạy trên các máy tính có cấu hình tối thiểu và hoạt động trên họ Windows 32 bit (có thị phần áp đảo so với các hệ điều hành khác) nên khả năng ứng dụng và thị trường tiêu thụ của sản phẩm là rất lớn, không những trong nước mà còn thể mở rộng ra nước ngoài.

Hơn nữa, khi máy tính ngày càng trở nên phổ biến với người dùng thì anti-virus là phần mềm không thể thiếu để thiết bị của họ chống lại các cuộc tấn công của hacker đang nóng lên từng ngày. Do đó, nhu cầu về anti-virus là rất cao nên D32 Anti-virus* sẽ có một thị trường ứng dụng rất lớn không chỉ hiện tại mà còn cả trong tương lai.

Vẫn còn hạn chế

Tuy nhiên, sản phẩm vẫn còn có những hạn chế mà nếu khắc phục được sẽ cho kết quả rất cao. Đó là phân hệ Quét virus của D32 chỉ kiểm tra các file sử dụng. Ở các phiên bản tiếp theo, tác giả sẽ bổ sung chức năng quét virus trong các file nén.

Phân hệ Canh phòng của D32 (kích thước 315KB) cũng cần được viết lại cho nhỏ gọn hơn, giảm yêu cầu bộ nhớ, bổ sung các API hooking, chặn các thao tác truy nhập ở mức thấp hơn và kiểm tra tương thích với Windows 7.

Hạn chế lớn nhất của sản phẩm là tập mẫu virus còn khiêm tốn so với các anti-virus nước ngoài nên việc lựa chọn mô hình học gặp nhiều khó khăn, cơ sở tri thức có ít luật nhận dạng nên khó xây dựng các luật phổ quát.

Virus máy tính là loại dữ liệu đặc biệt nguy hiểm, không dễ kiếm được số lượng lớn trong một thời gian ngắn. Mặt khác, do cạnh tranh thương mại nên các anti-virus thường không chia xẻ tập mẫu virus cho các hãng “đối thủ”. Do đó việc gia tăng số lượng virus cần có thời gian (thu thập mẫu virus từ nhiều nguồn), kinh phí (mua tập mẫu) và nhân lực (đào tạo chuyên gia, chuyển giao công nghệ).

Tôi thấy rằng qua bài viết này còn có một yếu tố mà D32 bỏ qua: đó là thu thập mẫu virus qua thông tin phản hồi của người dùng, mà hầu như tất cả các trìng chống virus khác đều có tính năng phản hồi này ! Hay D32 tự phân tích nhận dạng virus mới trên máy tính của người dùng rồi tự động gởi mẫu về Trung Tâm ? Điều này nếu không có sự đồng ý của người dùng thì vô tình D32 sẽ bị coi là xâm phạm đến quyền riêng tư của người dùng rồi, vì "virus mới" theo nhận định của D32 có thể chưa chắc đã phải là virus nếu Trung Tâm phân tích của D32 chưa công bố chính thức !!!

Bạn nói cũng có lý lắm, tuy nhiên, có rất nhiều chương trình chống virus (bạn để ý lại xem) tự động nhận feedback mà có khi không có ý kiến của bạn... tôi thấy có rất nhiều đó, kể cả MS nữa... cho nên vấn đề này cũng khó nói lắm.