Giám sát, diệt mã độc hiệu quả trên mạng máy tính quân sự

Trong thời gian gần đây, hệ thống giám sát trên máy chủ DNS, hệ thống giám sát mã độc trực tuyến (CMC) quân sự phát hiện thấy có nhiều truy vấn tới tên miền độc hại đã được nhiều tổ chức và chuyên gia về an toàn thông tin cảnh báo.

Đáng lưu ý là, các loại phần mềm gián điệp (PMGĐ) đang có tốc độ lây lan rất lớn, do người sử dụng mạng và USB chứa PMGĐ đã thiết lập sẵn và kích hoạt khi cài vào máy tính. Ở từng hệ điều hành, máy tính và thời điểm khác nhau, việc gây nhiễm và dấu hiệu nhiễm cũng khác nhau. Mạng máy tính quân sự là dạng mạng đóng nên mẫu PMGĐ được xây dựng phù hợp với mạng đóng, khiến các phần mềm chống vi rút độc hại (AV) rất khó phát hiện.

Trước tình hình trên, Trung tâm An toàn thông tin (ATTT) thuộc Bộ tư lệnh 86 đã nghiên cứu xây dựng một hệ thống giám sát và diệt mã độc có truy vấn đến tên miền độc hại trong mạng truyền số liệu quân sự (MiAV), bao gồm phần cứng và phần mềm. Hệ thống MiAV gồm 3 chức năng: Giám sát, cảnh báo máy tính trạm có truy vấn đến tên miền độc hại, ngăn chặn các hành vi đánh cắp thông tin trong máy tính rồi gửi đến máy chủ điều khiển C&C, phát hiện và tiêu diệt PMGĐ khi chúng hoạt động. Ngoài ra, hệ thống còn có các phần mềm, công cụ thu thập mẫu, phân tích hành vi PMGĐ và theo dõi các máy tính bị nhiễm PMGĐ trên mạng máy tính quân sự. Phần mềm MiAV hoạt động dựa trên việc chặn bắt các gói tin UDP, TCP gửi qua card mạng của máy tính.

Cán bộ, nhân viên Trung tâm An toàn thông tin thuộc Bộ tư lệnh 86 trao đổi giải pháp thiết kế phần mềm chống virus độc hại.

Trên cơ sở nghiên cứu, phân tích, đánh giá các phần mềm và giải pháp chống PMGĐ, AV hiện có, nhóm cán bộ của Trung tâm ATTT do Đại úy Vũ Ngọc Cương chủ trì, cùng với Thượng úy Nguyễn Hữu Trung, Trung úy QNCN Nguyễn Phú Thịnh, đã nghiên cứu xây dựng các phần mềm hệ thống MiAV. Các máy tính khi cài phần mềm MiAV, thông tin của máy tính sẽ đưa về máy chủ giám sát. Qua đó, trực ban ứng cứu có thể biết được có bao nhiêu máy tính, thuộc đơn vị nào đã cài đặt phần mềm MiAV. Khi máy tính bị nhiễm PMGĐ, MiAV tiến hành tiêu diệt và thông báo về máy chủ để trực ban nắm tình hình trong ngày. Khi phát hiện các mẫu mã độc mức 5 (MV5), hệ thống sẽ lưu lại nhằm phục vụ cho việc điều tra và phát triển khả năng diệt MV5 của MiAV. Ngoài ra, máy chủ giám sát thu thập là một kho mã độc cung cấp chức năng hỏi đáp để khi MiAV phát hiện mẫu nghi ngờ sẽ trả lời cho MiAV tiêu diệt mã độc ngay tại máy tính trạm.

Hệ thống MiAV có khả năng triển khai liên thông và khép kín, gồm: Giám sát từ xa, chỉ thị mục tiêu và tiêu diệt các PMGĐ nhằm nâng cao chất lượng và hiệu quả công tác bảo đảm ATTT. Hệ thống có thể tiêu diệt các PMGĐ một cách tự động hoàn toàn dựa trên hành vi mạng mà không cần phân tích mẫu, phù hợp với mạng máy tính quân sự. Đây là một trong những tính năng mới mà các phần mềm AV thường thiết kế cho mạng mở (internet) không có. Hệ thống còn có thể giám sát và cảnh báo tới người sử dụng khi các máy tính bị nhiễm PMGĐ trên mạng máy tính quân sự. Sản phẩm đề tài đã được ứng dụng trong các đơn vị quân đội.

Bài và ảnh: XUÂN GIANG