TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ──────── * ─────── ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH CÔNG NGHỆ THÔNG TIN Virus Portal Hệ thống tra cứu thông tin virus Sinh viên thực hiện : Nguyễn Văn Khiêm Lớp CNPM – K51 Giáo viên hướng dẫn: ThS Đỗ Văn Uy HÀ NỘI 05-2011 Virus Portal – Hệ thống tra cứu thông tin virus PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP 1. Thông tin về sinh viên - Họ và tên sinh viên: Nguyễn Văn Khiêm - Điện thoại liên lạc: 0984777559 Email: khiemnv@hotmail.com - Lớp:CNPM-K51 Hệ đào tạo: Chính quy - Đồ án tốt nghiệp được thực hiện tại: Trung tâm an ninh mạng Bkis – Công ty BKAV - Thời gian làm ĐATN: Từ ngày 01/02/2011 đến 01/05/2011 2. Mục đích nội dung của ĐATN Xây dựng hệ thống Virus Portal hỗ trợ tra cứu, thống kê tình hình virus cho các chuyên viên tại công ty an ninh mạng Bkav. 3. Các nhiệm vụ cụ thể của ĐATN - Xây dựng, quản lý cơ sở dữ liệu lưu trữ thông tin về virus - Xây dựng các công cụ để trớch rỳt thông tin virus và cập nhật vào cở sở dữ liệu. - Xây dựng cổng thông tin về virus hỗ trỡ tra cứu thông tin virus và thống kê tình hình virus. 4. Lời cam đoan của sinh viên - Tôi – Nguyễn Văn Khiêm - cam kết ĐATN là công trình nghiên cứu của bản thân tôi dưới sự hướng dẫn của Ths. Đỗ Văn Uy. - Các kết quả nêu trong ĐATN là trung thực, không phải là sao chép toàn văn của bất kỳ công trình nào khác. Hà Nội, ngày 26 tháng 05 năm 2011 Tác giả ĐATN Nguyễn Văn Khiêm 5. Xác nhận của giáo viên hướng dẫn về mức độ hoàn thành của ĐATN và cho phép bảo vệ: Hà Nội, ngày tháng năm Giáo viên hướng dẫn ThS. Đỗ Văn Uy Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 2 Virus Portal – Hệ thống tra cứu thông tin virus Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 3 Virus Portal – Hệ thống tra cứu thông tin virus TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP Ngày nay với sự phát triển mạnh mẽ của công nghệ thông tin, số lượng máy tính tăng lên nhanh chóng, hầu như sinh viên nào gia đình nào cũng sở hữu ít nhất một chiếc máy tính. Cùng với sự phổ biến của internet hầu hết các máy tính đều được nối mang. Đõy là một điều kiện thuận lợi để virus máy tính phát triển và lây lan. Là một công ty hoạt động trong lĩnh vực an ninh thông tin, Bkav không ngừng phát triển các hệ thống thu thập virus nhằm tăng cường cho khả năng bảo vệ máy tính của người sử dụng. Hàng ngày có hàng nghìn mẫu được thu thập rồi đem xử lý. Số lượng mẫu và hàm diệt này ngày càng nhiều đặt ra các yêu cầu cấp bách về tổ chức lưu trữ sao cho hợp lý tiết kiệm tài nguyên hệ thống, yêu cầu về trích rỳt cỏc thông tin về mẫu, hàm diệt lưu trữ vào cơ sở dữ liệu. Các thông tin này sẽ được dùng vào nhiều mục đích khác nhau: để tra cứu, hỗ trợ công việc xử lý virus của chuyên viên trong công ty, đưa ra những thống kê giúp lãnh đạo nắm bắt tình hình của virus cũng như hoạt động của hệ thống từ đó đưa ra các giải pháp, điều chỉnh kịp thời. Nội dung của đồ án trình bày quá trình tìm hiểu cơ sở lý thuyết về Portal và các công nghệ liên quan, từ đó áp dụng vào giải quyết các vấn đề về tổ chức lưu trữ, khai thác thông tin virus tại công ty an ninh mạng Bkav. Phần cuối, đồ án trình bày giải pháp xây dựng hệ thống virusportal hỗ trợ tra cứu thông tin virus. Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 4 Virus Portal – Hệ thống tra cứu thông tin virus ABSTRACT OF THESIS Today, with the strong development of information technology, the number of computers are rapidly increasing, almost every student, every home owns at least one computer. Along with the popularity of the Internet, most of the computers are connected to this network. This is a favorable condition for computer viruses to spread. Being an internetwork security company, Bkav is constantly developing virus collecting systems in order to better protect users’ computers. Every day, there are thousands of samples collected and then processed. The increasing number of samples and disinfect functions creates an urgent need for a reasonable storing way so that we can economize on the system resource; as well as need for the extracting and archiving information from the samples and disinfect functions. The information will be used for many different purposes: for future looking up, supports the virus analysing of Bkav professionals in the company, assists leaders in grasping the virus and the operation of the systems, from which to work out timely solutions. My thesis presents the theory of Portal and the technologies used to build a Virus Portal system, in order to solve issues relating the storing and exploiting of virus information in Bkav. In last chapter, the theory presents a solution for the building of Virus Portal system. Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 5 Virus Portal – Hệ thống tra cứu thông tin virus MỤC LỤC Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 6 Virus Portal – Hệ thống tra cứu thông tin virus DANH MỤC CÁC HèNH Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 7 Virus Portal – Hệ thống tra cứu thông tin virus Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 8 Virus Portal – Hệ thống tra cứu thông tin virus Tên thuật ngữ Diễn giải Hàm diệt Đoạn chương trình để nhận diện và xử lý mã độc File sạch Những file không phải là virus ví dụ như file của các phần mềm, các tools, của hệ điều hành. MD5 – FileMD5 Giá trị băm của toàn bộ file sử dụng hàm băm MD5 VirusInstaller Một file thực thi giúp: cài đặt virus lờn mỏy test và thiết lập môi trường để thử nghiệm Writer Người viết hàm diệt Link Link download virus VendorName Tên nhà cung cấp mẫu Ticker Người đánh dấu trạng thái của một mẫu virus (đã xử lý, là virus, là file sạch,…) BkcFile File nén chứa mẫu BkCRC, BkMD5 Các giá trị hash của một file MSSQL Microsoft SQL Server Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 9 Virus Portal – Hệ thống tra cứu thông tin virus MỞ ĐẦU Chúng ta đang sống trong kỷ nguyên số với sự phát triển mạnh mẽ của internet và máy vi tính. Đây cũng là môi trường thuận lợi cho virus máy tính phát triển, lây lan. Để bảo vệ người sử dụng máy tính trước những mối nguy hại từ virus, Công ty An ninh mạng BKAV không ngừng mở rộng và phát triển các hệ thống thu thập mẫu virus. Bên cạnh các hệ thống thu thập mẫu từ khách hàng, hệ thống thu thập mẫu lây lan qua USB là các hệ thống bẫy mẫu như Honeypot (thu thập mẫu qua các nguồn download, update của virus), Nepenthes (hệ thống bẫy virus dựa vào các lỗ hổng dịch vụ của hệ điều hành), và Botnet tracking (hệ thống thu thập mẫu qua các mạng bootnet). Mỗi ngày có hàng nghìn mẫu được thu thập, tiến hành xử lý và cập nhật vào cơ sở dữ liệu. Phát triển song song với các hệ thống thu thập mẫu là các hệ thống: phân tích phát hiện virus theo hành vi và phát hiện virus thông minh. Nhược điểm của hệ thống này là xác suất nhầm file sạch với file virus. Đây là điều rất nguy hiểm vì việc diệt nhầm file sạch của một phần mềm hay của hệ điều hành có thể làm phầm mềm không chạy được và hệ điều hành mất một số tính năng. Vì vậy một cơ sở dữ liệu về file sạch dùng để đối chiếu là rất cần thiết để khắc phục nhược điểm này. Cơ sở dữ liệu trên cũng được dùng để phân loại các mẫu thu thập từ khách hàng (một nguồn mẫu có số file sạch bị lẫn khá lớn) trước khi đưa vào xử lý. Trong quá trình xử lý virus hàng ngày, các chuyên viên phân tích các mẫu virus và viết hàm diệt. Công việc này cần tham khảo rất nhiều các thông tin về virus như các hành vi của virus, các hàm diệt cũ, nguồn thu thập, các mô tả khỏc…. Sau khi hoàn tất các hàm diệt này sẽ được kiểm tra kỹ lưỡng rồi tổng hợp lại và cập nhật vào phần mềm bkav. Mặc dù quy trình kiểm tra rất nghiêm ngặt nhưng do điều kiện thực tế trờn mỏy của khách hàng rất đa dạng nên vẫn có trường hợp hàm diệt bị lỗi (không diệt được virus). Khi đó cần phải nhanh chóng tìm lại hàm diệt cùng với mẫu mà nó đó xử lý để xem xét, sửa lỗi và cập nhật lại hàm diệt mới. Do chưa có một công cụ hỗ trợ tìm kiếm nên công việc tra cứu các thông tin về virus vẫn được tiến hành bằng phương pháp thủ công. Với số lượng hàm diệt và mẫu ngày càng lớn, phương pháp này tiêu tốn khá nhiều thời gian. Thực trạng này đặt ra một yêu cầu cấp bách là phải có một hệ thống hỗ trợ tìm kiếm, tra cứu các thông tin virus. Một vấn đề khác, do các hệ thống được xây dựng phát triển để đáp ứng nhu cầu của từng giai đoạn cụ thể nên tới thời điểm hiện tại những dữ liệu của chúng không thống nhất và lưu trữ rải rác. Vì vậy cần phải tổ chức lưu trữ lại các dữ liệu này một cách có hệ thống, từ đó tiến hành trớch rỳt cỏc thông tin để nhập vào cơ sở dữ liệu làm nguồn cho hệ thống tìm kiếm. Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 10 [...]... Lớp Công nghệ phần mềm 11 Virus Portal – Hệ thống tra cứu thông tin virus CHƯƠNG I: CƠ SỞ LÝ THUYẾT Chương này sẽ giới thiệu Virus Portal là gì và các công nghệ sử dụng trong đồ án để xây dựng hệ thống Virus Portal 1 Virus Portal là gì Portal - Cổng thông tin điện tử - là một trang web mà từ đó người truy cập có thể dễ dàng truy xuất các thông tin trên W3 1 Cổng thông tin sẽ trình bày thông tin từ các... chức năng tra cứu và thống kê tình hình mẫu virus Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 29 Virus Portal – Hệ thống tra cứu thông tin virus Chức năng tra cứu thông tin virus ID Tên chức năng Mô tả 1 Search honeypot Tìm kiếm các thông tin virus theo link tải virus, ngày tải, MD5 của virus, ngày tải về 2 Search prescription Tìm kiếm các thông tin về hàm diệt virus. .. 20061659 Khóa K51 Lớp Công nghệ phần mềm 25 Virus Portal – Hệ thống tra cứu thông tin virus CHƯƠNG III: XÂY DỰNG HỆ THỐNG VIRUSPORTAL Chương này sẽ trình bày các bước xây dựng hệ thống Virus Portal từ phân tích, thiết kế, cài đặt và cuối cùng là thử nghiệm và đành giá hệ thống 1 Phân tích Từ các yêu cầu trong vấn đề lưu trữ, quản lý, khai thác các thông tin về virus, hệ thống được xây dựng cần cung... nhau một cách thống nhất.Lợi ích lớn nhất mà cổng thông tin điện tử đem lại là tính tiện lợi, dễ sử dụng.2 Virus Portal là một cổng thông tin về virus, tập trung các thông tin virus từ nhiều nguồn khác nhau, chuẩn hoỏ chỳng để phục vụ các yêu cầu tra cứu, thống kê liên quan đến virus 2 Cỏc công nghệ sử dụng để xây dựng hệ thống Virus Portal Có nhiều công nghệ có thể sử dụng để xây dựng Portal, đồ án... quản lý thông tin về các file này Xuất phát từ yêu cầu trên cần xây dựng công cụ để trích xuất thông tin từ các file sạch nhập vào cơ sở dữ liệu, xõy dựng hệ thống cung cấp chức năng tìm kiếm, tải file và các thông tin khác (software, version, file size…) 1.4 Tìm kiếm thông tin về các thông tin khác về virus Thông tin về virus cũn cú trong các cơ sở dữ liệu: - Frame4: thông tin về các mẫu virus mua... Diamon: thông tin về số người đánh giá một file là virus hay không phải virus SandBox: các hành vi của virus do hệ thống sandbox phân tích VirusSample: thông tin mẫu từ khách hàng, trạng thái của mẫu (đã xử lý hay chưa) và người xử lý Trong công việc xử lý virus hàng ngày các chuyên viên rất cần tham khảo những thông tin này Tuy nhiên do chưa có một hệ thống hỗ trợ nào việc tìm kiếm thông tin về một mẫu virus. .. Number_Suspect, Number _Virus, Number_Clean Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 23 Virus Portal – Hệ thống tra cứu thông tin virus 2.3 Thống kê tình hình mẫu Thống kê tình hình virus do hệ thống Honeypot tải về: như số mẫu thu thập theo tháng, theo tuần, số lượng mẫu tải về theo các link trong các giai đoạn cụ thể Thống kê số hàm diệt, số virus xử lý trong ngày,... Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 17 Virus Portal – Hệ thống tra cứu thông tin virus CHƯƠNG II: CÁC VẤN ĐỀ VỀ TỔ CHỨC LƯU TRỮ VÀ KHAI THÁC THÔNG TIN VIRUS Chương này sẽ phân tích hiện trạng thu thập, xử lý mẫu tại công ty Bkav và các yêu cầu về tổ chức lưu trữ, khai thác thông tin virus một cách hiệu quả 1 Hiện trạng Hiện tại các hệ thống thu thập mẫu của BKAV không ngừng phát... thư mục chứa file mẫu 3 Scan Trích xuất thông tin mẫu cập nhật vào cơ sở dữ liệu 4 Manage config Quản lý cấu hình 5 Manual config Thay đổi cấu hình trực tiếp trên file config.xml Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 28 Virus Portal – Hệ thống tra cứu thông tin virus 1.1.2 Chức năng tra cứu thông tin và thống kê tình hình virus uc search get md5 «include» search... một số thông tin về người dùng Ví dụ, khi người dùng truy cập trang web của bạn, bạn có thể sử dụng các cookie để lưu các sở thích người dùng hoặc các thông Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 14 Virus Portal – Hệ thống tra cứu thông tin virus tin khác Khi người dùng truy cập trang web của bạn vào một thời gian khác, các ứng dụng có thể lấy các thông tin được . Công nghệ phần mềm 2 Virus Portal – Hệ thống tra cứu thông tin virus Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 3 Virus Portal – Hệ thống tra cứu thông tin virus TÓM. dựng hệ thống virusportal hỗ trợ tra cứu thông tin virus. Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 4 Virus Portal – Hệ thống tra cứu thông tin virus ABSTRACT. nghệ phần mềm 5 Virus Portal – Hệ thống tra cứu thông tin virus MỤC LỤC Sinh viên thực hiện: Nguyễn Văn Khiêm 20061659 Khóa K51 Lớp Công nghệ phần mềm 6 Virus Portal – Hệ thống tra cứu thông tin