Kỹ thuật phân lớp dữ liệu và ứng dụng trong phát hiện mã độc
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.16 MB, 69 trang )
ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
HÀ MẠNH KIÊN
KỸ THUẬT PHÂN LỚP DỮ LIỆU VÀ ỨNG DỤNG
TRONG PHÁT HIỆN MÃ ĐỘC
Chuyên ngành: Khoa học máy tính
Mã số:60.48.01.01
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
NGƯỜI HƯỚNG DẪN KHOA HỌC:
TS.Lƣơng Thế Dũng
THÁI NGUYÊN - 2015
Số hóa bởi Trung tâm Học liệu - ĐHTN
/>
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chƣa từng đƣợc
ai công bố trong bất kỳ công trình nào khác.
Qua đây tôi xin chân thành cảm ơn toàn thể các thầy cô trong khoa đào
tạo sau đại học Trƣờng Đại học Công nghệ Thông tin và Truyền thông – Đại
học Thái Nguyên, những ngƣời đã trực tiếp giảng dạy, truyền đạt cho tôi kiến
thức chuyên môn và phƣơng pháp làm việc khoa học.
Đặc biệt, tôi xin chân thành cảm ơn TS. Lƣơng Thế Dũng ,đã tận tình
hƣớng dẫn để tôi có thể hoàn thành luận văn này.
Tôi cũng xin gửi lời cảm ơn tới gia đình, bạn bè, đồng nghiệp đã giúp
đỡ, động viên và tạo điều kiện cho tôi trong quá trình làm luận văn.
Tác giả luận văn
Hà Mạnh Kiên
Số hóa bởi Trung tâm Học liệu - ĐHTN
/>
MỤC LỤC
ĐẶT VẤN ĐỀ .................................................................................................. 1
CHƢƠNG 1: TỔNG QUAN VỀ MÃ ĐỘC HẠI .......................................... 2
1.1. Các loại mã độc .......................................................................................... 2
1.1.1. Virus ........................................................................................................ 2
1.1.2. Worm....................................................................................................... 3
1.1.3. Trojan Horse............................................................................................ 3
1.1.4. Malicious Mobile Code ........................................................................... 5
1.1.5. Tracking Cookie ...................................................................................... 6
1.1.6. Phần mềm gián điệp (Spyware) .............................................................. 6
1.1.7. Attacker Tool .......................................................................................... 7
1.1.8. Phishing ................................................................................................... 9
1.2. Phƣơng pháp phát hiện mã độc hại ............................................................ 9
1.2.1. Phần mềm phát hiện mã độc ............................................................... 9
1.2.2. Kỹ thuật phát hiện phần mềm mã độc .............................................. 10
1.2.3. Kỹ thuật phát hiện dựa mẫu nhận dạng ............................................ 10
1.2.4. Phát hiện dựa trên đặc điểm .............................................................. 12
1.2.5. Phát hiện dựa trên hành vi................................................................. 12
1.2.6. Kỹ thuật gây nhiễu ............................................................................ 13
1.2.7. Phân tích sự tƣơng tự ........................................................................ 14
1.2.8. Chuẩn hóa mã độc ............................................................................. 15
CHƢƠNG 2: MỘT SỐ KỸ THUẬT PHÂN LỚP .......................................... 16
2.1. Tổng quan về khai phá dữ liệu ................................................................ 16
2.1.1. Khái niệm về khai phá dữ liệu. ......................................................... 16
2.1.2. Ứng dụng trong khai phá dữ liệu...................................................... 16
2.1.3. Các bài toán chính trong khai phá dữ liệu. ....................................... 17
2.1.4. Tiến trình khai phá dữ liệu. .............................................................. 20
Số hóa bởi Trung tâm Học liệu - ĐHTN
/>
2.2. Một số kỹ thuật phân lớp dữ liệu. ............................................................ 22
2.2.1. Khái niệm phân lớp. ......................................................................... 22
2.2.2. Mục đích của phân lớp...................................................................... 24
2.2.3. Các tiêu chí để đánh giá thuật toán phân lớp. .................................. 24
2.2.4. Các phƣơng pháp đánh giá độ chính xác của mô hình phân lớp
phƣơng pháp holdout. ................................................................................. 25
2.3. Phân lớp dựa trên phƣơng pháp học Naïve bayes. .................................. 26
2.3.1 Giới thiệu ........................................................................................... 26
2.3.2. Bộ phân lớp Naïve Bayes. ................................................................ 28
2.4. Phân lớp dựa trên câu quyết định (Decision Tree).................................. 29
2.4.1. Khái niệm cây quyết định: ............................................................... 29
2.4.2. Các vấn đề cần xem xét khi phân lớp dựa cây quyết định. .............. 42
2.5. Kỹ thuật phân loại máy vector hỗ trợ. ..................................................... 44
2.5.1. Giới thiệu .......................................................................................... 44
2.5.2. SVM với tuyến tính. ......................................................................... 46
CHƢƠNG 3: ỨNG DỤNG KỸ THUẬT PHÂN LỚP TRONG PHÁT
HIỆN MÃ ĐỘC .............................................................................................. 52
3.1. Mô hình bài toán. ..................................................................................... 52
3.1.1. Thu thập dữ liệu ................................................................................ 52
3.1.2 Tiền xử lý dữ liệu ............................................................................... 53
3.1.3 Lựa chọn thuộc tính ........................................................................... 54
3.1.4. Xây dựng bộ phân lớp ...................................................................... 58
3.2. Tiến hành thực nghiệm ............................................................................ 59
3.2.1. Phân lớp cây quyết định ................................................................... 59
3.2.2. Phân lớp SVM................................................................................... 60
3.3 Phân tích và bình luận............................................................................... 61
KẾT LUẬN ..................................................................................................... 63
TÀI LIỆU THAM KHẢO ............................................................................... 64
Số hóa bởi Trung tâm Học liệu - ĐHTN
/>
DANH MỤC BẢNG
Bảng 3.1.
Bảng kết quả độ chính xác cây quyết định bộ phân lớp đa lớp ....... 60
Bảng 3.2
Bảng kết quả độ chính xác cây quyết định bộ phân lớp nhị phân ... 60
Bảng 3.3.
Bảng kết quả xây dựng bộ phân lớp SVM: ............................... 61
Số hóa bởi Trung tâm Học liệu - ĐHTN
/>
DẠNH MỤC HÌNH
Hình 1.1.
Mô tả về Phishing ......................................................................... 9
Hình 1.2.
Kiểu phần mềm mã độc cơ bản .................................................. 10
Hình 1.3.
Mã độc đa hình ........................................................................... 11
Hình 1.4.
Phần mềm độc hại siêu đa hình .................................................. 11
Hình 1.5.
Bộ phát hiện mã độc dựa trên hành vi ........................................ 13
Hình 1.6.
Kỹ thuật gây nhiễu ...................................................................... 14
Hình 2.1.
Quy trình phát hiện tri thức ........................................................ 20
Hình 2.2.
Ƣớc lƣợng độ chính xác của mô hình phân lớp với phƣơng pháp
holdout. ....................................................................................... 25
Hình 3.1.
Các bƣớc xây dựng mô hình phát hiện mã độc ......................... 52
Hình 3.2
Quá trình trích rút các hàm API ................................................. 56
Hình 3.3
Chi tiết quá trình xây dựng mô hình phát hiện mã độc .............. 58
Hình3.4
Biểu đồ so sánh độ chính xác (%) của hai thuật toán................ 62
Số hóa bởi Trung tâm Học liệu - ĐHTN
/>
ĐẶT VẤN ĐỀ
Khi nhu cầu về việc sử dụng internet của con ngƣời ngày càng tăng thì
cũng là lúc mối đe dọa xuất hiện ngày càng nhiều, nổi bật là đe dọa của mã
độc hại. Mã độc là một loại phần mềm hệ thống do các tin tặc hay các kẻ
nghịch ngợm tạo ra nhằm gây hại cho máy tính. Tùy theo cách thức mà tin tặc
dung, sự nguy hại của các loại phần mềm khác nhau từ chỗ chỉ hiển thị các
cửa sổ thông báo cho đến việc tấn công chiếm máy và lây lan sang máy khác
nhƣ virut. Xuất hiện bất kỳ đâu trên môi trƣờng của các thiết bị điện tử nhƣ
các dĩa mềm, usb, đến môi trƣờng Internet trong các webside, trong các tin
nhắn, trong hòm thƣ điện tử của ngƣời dùng, trong các phần mềm tiện
ích……Khi mã độc hại đã nhiễm vào một máy tính nào đó thì nó sẽ lây lan
sang máy tính khác là khá nhanh và khó lƣờng trƣớc đƣợc.
Công nghệ thông tin liên tục phát triển và thay đổi, nhiều phần mềm
mới ra đời mang đến cho con ngƣời nhiều tiện ích hơn. Do vậy để chống lại
các loại mã độc hại ngƣời ta thƣờng sử dụng các chƣơng trình phát hiện và
loại bỏ mã độc hại. Tuy nhiên việc phát hiện mã độc hại của các chƣơng trình
hiện nay thƣờng dựa trên các thuật toán đối sánh mẫu và quan trọng là một cơ
sở dữ liệu đầy đủ và cập nhật thƣờng xuyên những mẫu mới. Để có một cơ sở
dữ liệu nhƣ đã nêu cần một chƣơng trình quản lý một cách hiệu quả và tốt rất
nhiều công sức để tạo ra các mẫu mã độc hại. Một phƣơng pháp mới hiện nay
là dựa trên các mô hình toán học để phát hiện ra các mã độc hại mới mà
không sử dụng các cơ sở dữ liệu mẫu, trong đó khai phá dữ liệu là một
phƣơng pháp quan trọng và đang đƣợc nhiều ngƣời quan tâm. Chính vì vậy
luận văn này tiến hành nghiên cứu, tìm hiểu các kỹ thuật phân lớp dữ liệu và
ứng dụng trong phát hiện mã độc. Nhằm xấy dựng ra các mô hình, thuật toán
để phát hiện và đánh giá các mô hình đó.
1
CHƢƠNG 1
TỔNG QUAN VỀ MÃ ĐỘC HẠI
1.1. Các loại mã độc
1.1.1. Virus
Virus là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản
và lây nhiễm chính nó vào các file, chƣơng trình hoặc máy tính. Nhƣ vậy
virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file
ứng dụng) để lây lan. Các chƣơng trình diệt virus dựa vào đặc tính này để
thực thi việc phòng chống và diệt virus, để quét các file trên thiết bị lƣu, quét
các file trƣớc khi lƣu xuống ổ cứng… Điều này cũng giải thích vì sao đôi khi
các phần mềm diệt virus tại PC đƣa ra thông báo “phát hiện ra virus nhƣng
không diệt đƣợc” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì
“vật mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn
mã độc hại đó.
Compiled Virus là virus mà mã thực thi của nó đã đƣợc dịch hoàn chỉnh
bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều hành. Các loại
boot virus nhƣ (Michelangelo và Stoned), file virus (nhƣ Jerusalem) rất phổ biến
trong những năm 80 là virus thuộc nhóm này, compiled virus cũng có thể là pha
trộn bởi cả boot virus và file virus trong cùng một phiên bản.
Interpreted Virus là một tổ hợp của mã nguồn mã chỉ thực thi đƣợc
dƣới sự hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ
thống. Một cách đơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng
dụng gọi thì nó mới đƣợc thực thi. Macro virus, scripting virus là các virus
nằm trong dạng này. Macro virus rất phổ biến trong các ứng dụng Microsoft
Office khi tận dụng khả năng kiểm soát việc tạo và mở file để thực thi và lây
nhiễm. Sự khác nhau giữa macro virus và scripting virus là: Macro virus là
2
tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lệnh chạy
bằng một service của hệ điều hành. Melisa là một ví dụ xuất sắc về Macro
virus, Love Stages là ví dụ cho scripting virus.
1.1.2. Worm
Worm cũng là một chƣơng trình có khả năng tự nhân bản và tự lây
nhiễm trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có
nghĩa là Worm không cần phải có “file chủ” để mang nó khi nhiễm vào hệ
thống. Nhƣ vậy, có thể thấy rằng chỉ dùng các chƣơng trình quét file sẽ không
diệt đƣợc Worm trong hệ thống vì Worm không “bám” vào một file hoặc một
vùng nào đó trên đĩa cứng. Mục tiêu của Worm bao gồm cả làm lãng phí
nguồn lực băng thông của mạng và phá hoại hệ thống nhƣ xoá file, tạo
backdoor, thả keylogger,… Tấn công của Worm có đặc trƣng là lan rộng cực
kỳ nhanh chóng do không cần tác động của con ngƣời (nhƣ khởi động máy,
copy file hay đóng/mở file). Worm có thể chia làm 2 loại:
Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng
bảo mật của mạng, của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ
cho loại sâu này.
Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên
nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email.
Khi sâu này lây nhiễm vào hệ thống, nó thƣờng cố gắng tìm kiếm sổ địa chỉ
và tự gửi bản thân nó đến các địa chỉ thu nhặt đƣợc. Việc gửi đồng thời cho
toàn bộ các địa chỉ thƣờng gây quá tải cho mạng hoặc cho máy chủ mail.
Netsky, Mydoom là ví dụ cho thể loại này.
1.1.3. Trojan Horse
Trojan Horse là loại mã độc hại đƣợc đặt theo sự tích “Ngựa thành
Troy”. Trojan horse không có khả năng tự nhân bản tuy nhiên nó lây vào hệ
thống với biểu hiện rất bình thƣờng nhƣng thực chất bên trong có ẩn chứa các
đoạn mã với mục đích gây hại. Trojan có thể gây hại theo ba cách sau:
3
Tiếp tục thực thi các chức năng của chƣơng trình mà nó bám vào, bên
cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ nhƣ gửi một
trò chơi dụ cho ngƣời dùng sử dụng, bên cạnh đó là một chƣơng trình đánh
cắp password).
Tiếp tục thực thi các chức năng của chƣơng trình mà nó bám vào,
nhƣng sửa đổi một số chức năng để gây tổn hại (ví dụ nhƣ một trojan giả
lập một cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại
khác (ví dụ nhƣ trojan che dấu cho các tiến trình độc hại khác bằng cách tắt
các hiển thị của hệ thống).
Thực thi luôn một chƣơng trình gây hại bằng cách núp dƣới danh một
chƣơng trình không có hại (ví dụ nhƣ một trojan đƣợc giới thiệu nhƣ là một
chò chơi hoặc một tool trên mạng, ngƣời dùng chỉ cần kích hoạt file này là lập
tức dữ liệu trên PC sẽ bị xoá hết).
Có 7 loại trojan chính:
Trojan truy cập từ xa: Đƣợc thiết kế để cho kẻ tấn công có khả năng
từ xa chiếm quyền điều khiển của máy bị hại. Các trojan này thƣờng dấu vào
các trò chơi và các chƣơng trình nhỏ làm cho ngƣời dùng mất cảnh giác.
Trojan gửi dữ liệu: Nó thực hiện việc lấy và gửi dữ liệu nhạy cảm nhƣ
mật khẩu, thông tin thẻ tín dụng, các tệp nhật ký, địa chỉ email… cho kẻ tấn
công. Trojan này có thể tìm kiếm cụ thể thông tin hoặc cài phần mềm đọc
trộm bàn phím và gửi toàn bộ các phím bấm về cho kẻ tấn công.
Trojan hủy hoại: Thực hiện việc xóa các tệp tin. Loại trojan này giống
với virus và thƣờng có thể bị phát hiện bởi các chƣơng trình diệt virus.
Trojan kiểu proxy: Sử dụng máy tính bị hại làm proxy, qua đó có thể
sử dụng máy bị hại để thực hiện các hành vi lừa gạt hay đánh phá các máy
tính khác.
Trojan FTP: Đƣợc thiết kế để mở cổng 21 và cho phép tin tặc kết nối
vào máy bị hại sử dụng FTP.
4
Trojan tắt phần mềm an ninh: Thực hiện việc dừng hoặc xóa bỏ
chƣơng trình an ninh nhƣ phần mềm chống virus hay tƣờng lửa mà ngƣời
dùng không nhận ra.
Trojan DoS: Đƣợc sử dụng trong các cuộc tấn công từ chối dịch vụ. Ví
dụ các con bot sử dụng trong DDoS cũng có thể coi là một loại trojan.
Ví dụ trojan có tên Zeus, Clampi đã mang về cho tội phạm hàng triệu
USD bằng cách ghi lại thông tin tài khoản để làm thẻ giả hoặc chuyển tiền
vào tài khoản của một bên trung gian - gọi là Mule. Mule sau đó đƣợc trả
công để đảm nhận việc gửi tiền ra nƣớc ngoài. Mule đƣợc thuê thông qua
các trang tìm kiếm việc làm và họ không hề biết rằng số tiền họ nhận gửi đi
là bất hợp pháp.
1.1.4. Malicious Mobile Code
Là một dạng mã phần mềm có thể đƣợc gửi từ xa vào để chạy trên một
hệ thống mà không cần đến lời gọi thực hiện của ngƣời dùng hệ thống đó.
Malicious Mobile Code đƣợc coi là khác với virus, worm ở đặc tính là nó
không nhiễm vào file và không tìm cách tự phát tán. Thay vì khai thác một
điểm yếu bảo mật xác định nào đó, kiểu tấn công này thƣờng tác động đến hệ
thống bằng cách tận dụng các quyền ƣu tiên ngầm định để chạy mã từ xa. Các
công cụ lập trình nhƣ Java, ActiveX, JavaScript, VBScript là môi trƣờng tốt
cho Malicious mobile code. Một trong những ví dụ nổi tiếng của kiểu tấn
công này là Nimda, sử dụng JavaScript.
Kiểu tấn công này của Nimda thƣờng đƣợc biết đến nhƣ một tấn công hỗn
hợp (Blended Atatck). Cuộc tấn công có thể đi tới bằng một email khi ngƣời
dùng mở một email độc bằng web-browser. Sau khi nhiễm vào máy này, Nimda
sẽ cố gắng sử dụng sổ địa chỉ email của máy đó để phát tán tới các máy khác.
Mặt khác, từ máy đã bị nhiễm, Nimda cố gắng quét các máy khác trong mạng có
thƣ mục chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS nhƣ
5
phƣơng tiện để chuyển file nhiễm virus tới các máy đó. Đồng thời Nimda cố
gắng dò quét để phát hiện ra các máy tính có cài dịch vụ IIS có điểm yếu bảo
mật của Microsoft. Khi tìm thấy, nó sẽ copy bản thân nó vào server. Nếu một
web client có điểm yếu bảo mật tƣơng ứng kết nối vào trang web này, client đó
cũng bị nhiễm (lƣu ý rằng bị nhiễm mà không cần “mở email bị nhiễm virus”).
Quá trình nhiễm virus sẽ lan tràn theo cấp số nhân.
1.1.5. Tracking Cookie
Là một dạng lạm dụng cookie để theo dõi một số hành động duyệt web
của ngƣời sử dụng một cách bất hợp pháp. Cookie là một file dữ liệu chứa
thông tin về việc sử dụng một trang web cụ thể nào đó của web-client. Mục
tiêu của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó
để tạo ra giao diện, hành vi của trang web sao cho thích hợp và tƣơng ứng với
từng web-client. Tuy nhiên tính năng này lại bị lạm dụng để tạo thành các
phần mềm gián điệp (spyware) nhằm thu thập thông tin riêng tƣ về hành vi
duyệt web của cá nhân.
1.1.6. Phần mềm gián điệp (Spyware)
Là loại phần mềm chuyên thu thập các thông tin từ các máy chủ (thông
thƣờng vì mục đích thƣơng mại) qua mạng Internet mà không có sự nhận
biết và cho phép của chủ máy. Một cách điển hình, spyware đƣợc cài đặt một
cách bí mật nhƣ là một bộ phận kèm theo của các phần mềm miễn
phí (freeware) và phần mềm chia sẻ (shareware) mà ngƣời ta có thể tải về từ
Internet. Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủ
trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác
(thƣờng là của những hãng chuyên bán quảng cáo hoặc của các tin tặc). Phần
mềm gián điệp cũng thu thập tin tức về địa chỉ thƣ điện tử và ngay cả mật
khẩu cũng nhƣ là số thẻ tín dụng.
Khác với Worm và Virus, Spyware không có khả năng tự nhân bản.
6
1.1.7. Attacker Tool
Là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độc
hại vào trong hệ thống. Các bộ công cụ này có khả năng giúp cho kẻ tấn công có
thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã
độc hại. Khi đƣợc tải vào trong hệ thống bằng các đoạn mã độc hai, Attacker
tool có thể chính là một phần của đoạn mã độc đó (ví dụ nhƣ trong một trojan)
hoặc nó sẽ đƣợc tải vào hệ thống sau khi nhiễm. Ví dụ nhƣ một hệ thống đã bị
nhiễm một loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến
một web-site nào đó, tải attacker tool từ site đó và cài đặt Attacker tool vào hệ
thống. Attacker tool thƣờng gặp là backdoor và keylogger
Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thƣờng trú
và đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP. Một cách đơn
giản nhất, phần lớn các backdoor cho phép một kẻ tấn công thực thi một số
hành động trên máy bị nhiễm nhƣ truyền file, dò mật khẩu, thực hiện mã
lệnh… Backdoor cũng có thể đƣợc xem xét dƣới 2 dạng: Zoombie và Remote
Administration Tool
Zoombie (có thể đôi lúc gọi là bot) là một chƣơng trình đƣợc cài đặt
lên hệ thống nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất
của Zoombie là các Agent dùng để tổ chức một cuộc tấn công DDoS. Kẻ tấn
công có thể cài Zoombie vào một số lƣợng lớn các máy tính rồi ra lênh tấn
công cùng một lúc. Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng.
Remote Administration Tool là các công cụ có sẵn của hệ thống cho
phép thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng
tính năng này để xâm hại hệ thống. Tấn công kiểu này có thể bao gồm hành
động theo dõi mọi thứ xuất hiện trên màn hình cho đến tác động vào cấu hình
của hệ thống. Ví dụ về công cụ RAT là: Back Orifice, SubSeven…
Keylogger là phần mềm đƣợc dùng để bí mật ghi lại các phím đã đƣợc
7
nhấn bằng bàn phím rồi gửi tới hacker. Keylogger có thể ghi lại nội dung của
email, của văn bản, user name, password, thông tin bí mật...Ví dụ một số loại
keylogger nhƣ: KeySnatch, Spyster…
Rootkits là tập hợp của các file đƣợc cài đặt lên hệ thống nhằm biến
đổi các chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn các tấn
công nguy hiểm. Ví dụ nhƣ trong hệ thống Windows, Rootkit có thể sửa đổi,
thay thế file, hoặc thƣờng trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi
hàm của hệ điều hành. Rootkit thƣờng đƣợc dùng để cài đặt các công cụ tấn
công nhƣ cài backdoor, cài keylogger. Ví dụ về Rootkit là: LRK5, Knark,
Adore, Hack Defender.
Web Browser Plug-in là phƣơng thức cài mã độc hại thực thi cùng với
trình duyệt web. Khi đƣợc cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các
hành vi duyệt web của ngƣời dùng (ví dụ nhƣ tên web site đã truy nhập) sau đó
gửi thông tin ra ngoài. Một dạng khác là phần mềm gián điệp có chức năng quay
số điện thoại tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số điện
thoại ngầm định mặc dù không đƣợc phép của chủ nhân.
Email Generator là những chƣơng trình cho phép tạo ra và gửi đi một
số lƣợng lớn các email. Mã độc hại có thể gieo rắc các Email generator vào
trong hệ thống. Các chƣơng trình gián điệp, spam, mã độc hại có thể đƣợc
đính kèm vào các email đƣợc sinh là từ Email generator và gửi tới các địa chỉ
có trong sổ địa chỉ của máy bị nhiễm.
Attacker Toolkit là các bộ công cụ có thể đƣợc tải xuống và cài vào hệ
thống khi hệ thống đã bị khống chế bởi phần mềm độc hại. Các công cụ kiểu
nhƣ các bộ dò quét cổng (port scanner), bộ phá mật khẩu (password cracker),
bộ dò quét gói tin (Packet Sniffer) chính là các Attacker Toolkit thƣờng hay
đƣợc sử dụng.
8
1.1.8. Phishing
Là một hình thức tấn công thƣờng có thể xem là kết hợp với mã độc
hại. Phishing là phƣơng thức dụ ngƣời dùng kết nối và sử dụng một hệ thống
máy tính giả mạo nhằm làm cho ngƣời dùng tiết lộ các thông tin bí mật về
danh tính (ví dụ nhƣ mật khẩu, số tài khoản, thông tin cá nhân…). Kẻ tấn
công phishing thƣờng tạo ra trang web hoặc email có hình thức giống hệt nhƣ
các trang web hoặc email mà nạn nhân thƣờng hay sử dụng nhƣ trang của
Ngân hàng, của công ty phát hành thẻ tín dụng… Email hoặc trang web giả
mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thông tin bí mật về
tài khoản, về mật khẩu… Các thông tin này sẽ đƣợc sử dụng để trộm tiền trực
tiếp trong tài khoản hoặc đƣợc sử dụng vào các mục đích bất hợp pháp khác.
Hình 1.1. Mô tả về Phishing
1.2. Phƣơng pháp phát hiện mã độc hại
1.2.1. Phần mềm phát hiện mã độc
Một phần mềm phát hiện mã độc D đƣợc định nghĩa là một hàm mà
miền xác định và miền giá trị là tập hợp các chƣơng trình thực thi P và tập
hợp {malicious, benign}. Nói cách khác phần mềm mã độc có thể đƣợc định
nghĩa nhƣ hàm dƣới đây:
9
D(p) =
Phần mềm thực hiện hiện quét các chƣơng trình p
P để kiểm tra xem
một chƣơng trình là bình thƣờng hay độc hại.
1.2.2. Kỹ thuật phát hiện phần mềm mã độc
Kỹ thuật đƣợc sử dụng để phát hiện phần mềm mã độc có thể đƣợc
chia làm hai loại: phát hiện dựa trên bất thƣờng và phát hiện dựa trên mẫu
nhận dạng. Phát hiện dựa trên bất thƣờng sử dụng các tri thức về những hành
động đƣợc xem là bình thƣờng trên hệ thống để tìm ra những hành độc của
mã độc, những hành động bất thƣờng. Một kiểu đặc biệt của kỹ thuật phát
hiện dựa trên bất thƣờng là phát hiện dựa trên đặc điểm, phát hiện dựa trên
đặc điểm làm việc sử dụng tập luật đƣợc coi là bình thƣờng để quyết định
một chƣơng trình có cố ý vi phạm tập những luật đó không. Những chƣơng
trình vi phạm tập hợp luật đƣợc coi là phần mềm độc hại. Phát hiện dựa trên
mẫu nhận dạng sử dụng một cơ sở dữ liệu về các mẫu mã độc để kiểm tra
một chƣơng trình có độc hại không.
1.2.3. Kỹ thuật phát hiện dựa mẫu nhận dạng
Những phần mềm quét mã độc thƣơng mại tìm kiếm các mẫu nhận
dạng là một chuỗi các byte trong mã độc để xác định một chƣơng trình đã
quét có phải là mã độc không. Về cơ bản có ba loại phần mềm độc hại: cơ
bản, đa hình, siêu đa hình. Trong phần mềm độc hại cơ bản điểm khởi đầu
chƣơng trình đƣợc thay đổi quyền kiểm soát sang đoạn mã độc. Phần mềm
sẽ phát hiện ra một chƣơng trình là mã độc nếu một mẫu mã độc có thể đƣợc
tìm thấy trong đoạn mã của chƣơng trình. Hình 1.3 cho ta thấy kiểu kiến trúc
của một phần mềm độc hại cơ bản.
Hình 1.2. Kiểu phần mềm mã độc cơ bản
10
Phần mềm mã độc đa hình chứa mã độc đã đƣợc mã hóa cùng với bộ
giải mã. Để kích hoạt mã độc đa hình thì mã độc cần có cơ chế đa hình hóa
trong thân của nó. Cơ chế đa hình hóa tạo ra một biến thể mới mỗi khi nó
chạy. Việc phát hiện dựa trên mẫu nhận dạng cho loại mã độc này là tƣơng
đối khó khăn vì mỗi biến thể sẽ sinh ra mẫu mã độc mới. Việc phân tích trình
tự các hàm API đƣợc sử dụng để phát hiện mã độc loại này. Hình 1.4 cho ta
thấy cấu trúc của mã độc đa hình:
Hình 1.3. Mã độc đa hình
Phần mềm độc hại siêu đa hình có thể lập trình lại chính nó sử dụng
kỹ thuật xáo trộn để tạo ra nhƣ những biến thể không giống mã độc gốc.
Nhƣ vậy loại phần mềm này sẽ tránh đƣợc sự phát hiện của phần mềm phát
hiện mã độc vì mỗi biến thể mới đƣợc tạo ra sẽ có mẫu khác nhau, do đó
không thể lƣu trữ tất cả các mẫu của cùng một mã độc. Để phát hiện cơ chế
siêu đa hình, thực hiện phân tích một vài đoạn mã đã đƣợc dịch ngƣợc. Sau
khi dịch ngƣợc, sẽ thực hiện biến đổi mã chƣơng trình và tạo ra đoạn mã
mới, đoạn mã này vẫn duy trì chức năng cũ và sẽ trông khác với đoạn mã
ban đầu. Hình 1.5 cho ta thấy phần mềm độc hại siêu đa hình và các mẫu
nhận dạng tƣơng ứng với các biến thể.
Hình 1.4. Phần mềm độc hại siêu đa hình
11
Giả sử S là tập hợp các mẫu nhận dạng của phần mềm độc hại. Đối với
hình 1.5, Si S là các mẫu nhận dạng các biến thể siêu đa hình từ một bản
mẫu siêu hình.
Một số vấn đề chính đối với phƣơng pháp nhận dạng theo mẫu là:
Việc tạo và phân phối mẫu rất phức tạp.
Việc tạo mẫu cần làm thủ công và yêu cầu phải phân tích kỹ.
Các mẫu dễ bị bỏ qua khi mẫu mới đƣợc tạo ra.
Kích thƣớc của kho lƣu trữ mẫu tăng lên nhanh chóng.
1.2.4. Phát hiện dựa trên đặc điểm
Phát hiện dựa trên đặc điểm là trƣờng hợp riêng của phát hiện dựa trên
bất thƣờng. Thay vì mô phỏng hoạt động của hệ thống hay ứng dụng, phát
hiện dựa trên đặc điểm mô phỏng yêu cầu của hệ thống hay ứng dụng. Trong
phát hiện dựa trên đặc điểm tồn tại một giai đoạn học để cố gắng tìm hiểu tất
cả các hành vi có thể của hệ thống hay ứng dụng cần kiểm tra. Hạn chế của hệ
thống phát hiện dựa trên đặc điểm là rất khó để xác định chính xác hành vi
của hệ thống hay ứng dụng. Một công cụ là Panorama cho phép ghi lại dòng
thông tin trong hệ thống của chƣơng trình bằng việc kiểm tra trên hệ thống,
kiểm tra các hành vi không có trong tập luật.
1.2.5. Phát hiện dựa trên hành vi
Phát hiện dựa trên hành vi khác với phƣơng pháp khác ở chỗ nó xác
định hành động của phần mềm độc hại chứ không phải là dựa trên các chuỗi
đã biết trƣớc. Các chƣơng trình mã độc có thể có mã nguồn khác nhau nhau,
nhƣng các hành vi nhƣ nhau, do đó phát hiện dựa trên hành vi có thể xác định
nhiều biến thể khác nhau của phần mềm độc hại. Loại cơ chế xác định này
giúp cho việc phát hiện phần mềm độc hại có khả năng tạo ra biến thể mới vì
chúng luôn sử dụng tài nguyên hệ thống và dịch vụ theo cách giống nhau. Bộ
phát hiện dựa trên hành vi gồm những thành phần sau:
12
Thu thập dữ liệu: bộ phận này thu thập thông tin tĩnh hoặc động đã
ghi lại.
Bộ biên dịch: bộ phận này chuyển đổi dữ liệu thu đƣợc ban đầu
thành dữ liệu tạm thời.
Thuật toán tƣơng ứng: đƣợc sử dụng để so sánh dữ liệu tạm thời với
mẫu hành vi.
Hình 1.5. Bộ phát hiện mã độc dựa trên hành vi
1.2.6. Kỹ thuật gây nhiễu
Mục đích của gây nhiễu là che giấu thông tin khiến cho ngƣời khác
không thể thấy ý nghĩa thực sự của nó. Các nhà sản xuất phần mềm sử dụng
biện pháp gây nhiễu để gây khó khăn cho việc dịch ngƣợc. Phần mềm độc hại
đƣợc viết mang những đặc điểm này và việc gây nhiễu phần mềm mã độc có
đƣợc sử dụng bằng nhiều kỹ thuật, vì vậy mã độc rất khó bị dịch ngƣợc và do
đó không thể hiểu đƣợc mục đích của chúng. Lý thuyết gây nhiễu có thể đƣợc
định nghĩa nhƣ sau: cho một chƣơng trình P và một hàm biến đổi T, hàm biến
đổi thực hiện biến đổi P thành P’ và đảm bảo một số tính chất sau:
P’ khó bị dịch ngƣợc
P’ có các chức năng nhƣ P
Có thể so sánh giữa P và P’
13
Hình 1.6. Kỹ thuật gây nhiễu
Nhiều phần mềm mã độc đa hình và siêu hình đƣợc viết sử dụng công
nghệ gây nhiễu, vì vậy nó có thể chống lại phƣơng pháp phát hiện dựa trên mẫu.
Kỹ thuật gây nhiễu có thể dễ dàng biến đổi các mẫu của phần mềm độc hại.
Phần mềm độc hại bị gây nhiễu có thể phát hiện đƣợc bằng cách thu
thập nhiều phiên bản khác nhau của một phần mềm độc hại và phân tích các
phiên bản hoặc tạo ra bản mã đƣợc chuẩn hóa.
1.2.7. Phân tích sự tương tự
Các mẫu mã độc giống nhƣ Win32.Evol tạo ra nhiều tệp (biến thể)
bằng kỹ thuật xáo trộn. Để phát hiện mẫu này, một cách là phân tích sự tƣơng
tự giữa hai tệp bằng việc tính khoảng cách Euclidian. Khoảng cách giữa hai
vector x và y đƣợc tính bằng công thức sau:
Mỗi chƣơng trình đƣợc biểu diễn nhƣ một số hàm, mỗi hàm bao gồm
một số lệnh và tạo ra các vector giống nhƣ x và y. Dƣới đây là một số bƣớc để
phát hiện ra các phần mềm độc hại sử dụng phƣơng pháp tính độ tƣơng tự:
Bước 1. Phần mềm đƣợc giải nén, nếu nó bị nén.
Bước 2. Phần mềm đƣợc dịch ngƣợc sử dụng các công cụ IDA pro hoặc
OllyDbg.
Bước 3. Mỗi phần mềm đƣợc dịch ngƣợc đƣợc biểu diễn nhƣ một vector
của các hàm.
Bước 4. Tính khoảng cách Euclide giữa hai hàm.
14
Bước 5. Giá trị khoảng cách đƣợc so sánh với một giá trị ngƣỡng, nếu
giá trị này nhỏ hơn một ngƣỡng định nghĩa trƣớc thì phần mềm đang đƣợc
kiểm tra không phải mã độc, ngƣợc lại nó là mã độc.
Chú ý: Độ chính xác của thuật toán phụ thuộc vào giá trị ngƣỡng đƣợc
chọn, khi giá trị này cao thì xác suất báo động nhầm tăng, ngƣợc lại khi giá trị
này thấp thì xác suất bỏ sót phần mềm độc hại lại tăng lên.
1.2.8. Chuẩn hóa mã độc
Bộ chuẩn hóa mã độc chấp nhận các phiên bản của mã độc và loại bỏ các
phiên bản xáo trộn của phần mềm để tạo ra một phần mềm chuẩn hóa, do đó bộ
chuẩn hóa làm tăng khả năng phát hiện mã độc của các chƣơng trình phát hiện.
Các bƣớc dƣới đây mô tả phƣơng pháp phát hiện dựa trên chuẩn hóa:
Bước 1. Phần mềm đƣợc giải nén, nếu nó bị nén.
Bước 2. Phần mềm đƣợc dịch ngƣợc sử dụng các công cụ IDA pro hoặc
OllyDbg.
Bước 3. Mỗi phần mềm đƣợc dịch ngƣợc sau đó đƣợc đƣa qua bộ chuẩn
hóa, bộ chuẩn hóa kiểm tra mã xáo trộn để loại bỏ và tạo ra mã chuẩn hóa.
Bước 4. Mã chuẩn hóa đƣợc đƣa đến bộ phát hiện để tạo ra dấu hiệu
chuẩn hóa, so sánh với dấu hiệu đƣợc lƣu trong kho dữ liệu mẫu.
Bƣớc 5. Việc so sánh dựa trên sự trùng khớp lớn nhất giữa dấu hiệu
trong kho và dấu hiệu của mã chuẩn hóa, cuối cùng dấu hiệu đƣợc chuẩn hóa
sẽ đƣợc lƣu trữ trong kho để sử dụng cho việc phát hiện mã độc.
15
CHƢƠNG 2
MỘT SỐ KỸ THUẬT PHÂN LỚP
2.1. Tổng quan về khai phá dữ liệu
2.1.1. Khái niệm về khai phá dữ liệu.
Khai phá dữ liệu đƣợc dùng để mô tả quá trình phát hiện ra tri thức
trong CSDL. Quá trình này kết xuất ra các tri thức tiềm ẩn từ dữ liệu giúp
cho việc dự báo trong kinh doanh, các hoạt động sản xuất, ... Khai phá dữ
liệu làm giảm chi phí về thời gian so với phƣơng pháp truyền thống trƣớc
kia (ví dụ nhƣ phƣơng pháp thống kê).
Sau đây là một số định nghĩa mang tính mô tả của nhiều tác giả về
khai phá dữ liệu:
Định nghĩa của Ferruzza: “Khai phá dữ liệu là tập hợp các phƣơng
pháp đƣợc dùng trong tiến trình khám phá tri thức để chỉ ra sự khác biệt, các
mối quan hệ và các mẫu chƣa biết bên trong dữ liệu”
Định nghĩa của Parsaye: “Khai phá dữ liệu là quá trình trợ giúp
quyết định, trong đó chúng ta tìm kiếm các mẫu thông tin chƣa biết và bất
ngờ trong CSDL lớn” Định nghĩa của Fayyad: “Khai phá tri thức là một
quá trình không tầm
thƣờng nhận ra những mẫu dữ liệu có giá trị, mới, hữu ích, tiềm năng
và có thể hiểu đƣợc”.
2.1.2. Ứng dụng trong khai phá dữ liệu.
Phát hiện tri thức MỘT SỐ KỸ THUẬT PHÂN LỚP
và khai phá dữ liệu liên quan đến nhiều ngành, nhiều lĩnh vực: thống
kê, trí tuệ nhân tạo, cơ sở dữ liệu, thuật toán, tính toán song song và tốc độ
cao, thu thập tri thức cho các hệ chuyên gia, quan sát dữ liệu... Đặc biệt phát
hiện tri thức và khai phá dữ liệu rất gần gũi với lĩnh vực thống kê, sử dụng
các phƣơng pháp thống kê để mô hình dữ liệu và phát hiện các mẫu, luật ...
Ngân hàng dữ liệu (Data Warehousing) và các công cụ phân tích trực
16
tuyến (OLAP- On Line Analytical Processing) cũng liên quan rất chặt chẽ
với phát hiện tri thức và khai phá dữ liệu.
Khai phá dữ liệu có nhiều ứng dụng trong thực tế, ví dụ nhƣ:
Bảo hiểm, tài chính và thị trƣờng chứng khoán: phân tích tình hình
tài chính và dự báo giá của các loại cổ phiếu trong thị trƣờng chứng khoán.
Danh mục vốn và giá, lãi suất, dữ liệu thẻ tín dụng, phát hiện gian lận, ...
Thống kê, phân tích dữ liệu và hỗ trợ ra quyết định.
Điều trị y học và chăm sóc y tế: một số thông tin về chuẩn đoán
bệnh lƣu trong các hệ thống quản lý bệnh viện. Phân tích mối liên hệ giữa
các triệu chứng bệnh, chuẩn đoán và phƣơng pháp điều trị (chế độ dinh
dƣỡng, thuốc, ...)
Sản xuất và chế biến: Quy trình, phƣơng pháp chế biến và xử lý sự cố.
Text mining và Web mining: Phân lớp văn bản và các trang Web,
tóm tắt văn bản,...
Lĩnh vực khoa học: Quan sát thiên văn, dữ liệu gene, dữ liệu sinh
vật học, tìm kiếm, so sánh các hệ gene và thông tin di truyền, mối liên hệ
gene và một số bệnh di truyền, ...
Mạng viễn thông: Phân tích các cuộc gọi điện thoại và hệ thống
giám sát lỗi, sự cố, chất lƣợng dịch vụ, ...
2.1.3. Các bài toán chính trong khai phá dữ liệu.
Quá trình khai phá dữ liệu là quá trình phát hiện ra mẫu thông tin.
Trong đó, giải thuật khai phá tìm kiếm các mẫu đáng quan tâm theo dạng
xác định nhƣ các luật, phân lớp, hồi quy, cây quyết định, ...
2.1.3.1. Phân lớp (phân loại – classification).
Là việc xác định một hàm ánh xạ từ một mẫu dữ liệu vào một trong
số các lớp đã đƣợc biết trƣớc đó. Mục tiêu của thuật toán phân lớp là tìm
ra mối quan hệ nào đó giữa thuộc tính dự báo và thuộc tính phân lớp. Do
17
đó quá trình phân lớp có thể sử dụng mối quan hệ này để dự đoán lớp cho
các mẫu mới. Các tri thức đƣợc phát hiện biểu diễn dƣới dạng các luật
theo cách sau: “Nếu các thuộc tính dự báo của một mẫu thoả mãn điều kiện
của các tiền đề thì mẫu này nằm trong lớp chỉ ra trong kết luận”.
Ví dụ: Một mẫu biểu diễn thông tin về nhân viên có các thuộc tính dự
báo là: họ tên, tuổi, giới tính, trình độ học vấn, … và thuộc tính phân loại là
trình độ lãnh đạo của nhân viên.
2.1.3.2. Hồi qui (regression)
Là việc học một hàm ánh xạ từ một mẫu dữ liệu thành một biến dự
đoán có giá trị thực. Nhiệm vụ của hồi quy tƣơng tự nhƣ phân lớp, điểm
khác nhau chính là ở chỗ thuộc tính để dự báo là liên tục chứ không phải rời
rạc. Việc dự báo các giá trị số thƣờng đƣợc làm bởi các phƣơng pháp thống
kê cổ điển, chẳng hạn nhƣ hồi quy tuyến tính. Tuy nhiên, phƣơng pháp mô
hình hoá cũng đƣợc sử dụng, ví dụ: cây quyết định.
Ứng dụng của hồi quy là rất nhiều, ví dụ: dự đoán số lƣợng sinh vật phát
quang hiện thời trong khu rừng bằng cách dò tìm vi sóng bằng các thiết bị cảm
biến từ xa; ƣớc lƣợng sác xuất ngƣời bệnh có thể chết bằng cách kiểm tra các
triệu chứng; dự báo nhu cầu của ngƣời dùng đối với một sản phẩm, …
2.1.3.3. Phân cụm (clustering).
Là việc mô tả chung để tìm ra các tập hay các nhóm, loại mô tả dữ
liệu. Các nhóm có thể tách nhau hoặc phân cấp hay gối lên nhau. Có nghĩa
là dữ liệu có thể vừa thuộc nhóm này lại vừa thuộc nhóm khác. Các ứng
dụng khai phá dữ liệu có nhiệm vụ phân nhóm nhƣ phát hiện tập các
khách hàng có phản ứng giống nhau trong CSDL tiếp thị; xác định các
quang phổ từ các phƣơng pháp đo tia hồng ngoại, … Liên quan chặt chẽ
đến việc phân nhóm là nhiệm vụ đánh giá dữ liệu, hàm mật độ xác suất đa
biến/ các trƣờng trong CSDL.
18
2.1.3.4. Tổng hợp (summarization).
Là công việc liên quan đến các phƣơng pháp tìm kiếm một mô tả tập
con dữ liệu [1, 2, 5]. Kỹ thuật tổng hợp thƣờng áp dụng trong việc phân tích
dữ liệu có tính thăm dò và báo cáo tự động. Nhiệm vụ chính là sản sinh ra
các mô tả đặc trƣng cho một lớp. Mô tả loại này là một kiểu tổng hợp, tóm
tắt các đặc tính chung của tất cả hay hầu hết các mục của một lớp. Các mô
tả đặc trƣng thể hiện theo luật có dạng sau: “Nếu một mục thuộc về lớp đã
chỉ trong tiền đề thì mục đó có tất cả các thuộc tính đã nêu trong kết luận”.
Lƣu ý rằng luật dạng này có các khác biệt so với luật phân lớp. Luật phát
hiện đặc trƣng cho lớp chỉ sản sinh khi các mục đã thuộc về lớp đó.
2.1.3.5. Mô hình hoá sự phụ thuộc (dependency modeling).
Là việc tìm kiếm một mô hình mô tả sự phụ thuộc giữa các biến,
thuộc tính theo hai mức: Mức cấu trúc của mô hình mô tả (thƣờng dƣới
dạng đồ thị). Trong đó, các biến phụ thuộc bộ phận vào các biến khác. Mức
định lượng mô hình mô tả mức độ phụ thuộc. Những phụ thuộc này thƣờng
đƣợc biểu thị dƣới dạng theo luật “nếu - thì” (nếu tiền đề là đúng thì kết luận
đúng). Về nguyên tắc, cả tiền đề và kết luận đều có thể là sự kết hợp logic
của các giá trị thuộc tính. Trên thực tế, tiền đề thƣờng là nhóm các giá trị
thuộc tính và kết luận chỉ là một thuộc tính. Hơn nữa hệ thống có thể phát
hiện các luật phân lớp trong đó tất cả các luật cần phải có cùng một thuộc
tính do ngƣời dùng chỉ ra trong kết luận.
Quan hệ phụ thuộc cũng có thể biểu diễn dƣới dạng mạng tin cậy
Bayes. Đó là đồ thị có hƣớng, không chu trình. Các nút biểu diễn thuộc
tính và trọng số của liên kết phụ thuộc giữa các nút đó.
2.1.3.6. Phát hiện sự biến đổi và độ lệch (change and deviation dectection)
Nhiệm vụ này tập trung vào khám phá hầu hết sự thay đổi có
nghĩa dƣới dạng độ đo đã biết trƣớc hoặc giá trị chuẩn, phát hiện độ lệch
19
