ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
HÀ MẠNH KIÊN
KỸ THUẬT PHÂN LỚP DỮ LIỆU VÀ ỨNG DỤNG
TRONG PHÁT HIỆN MÃ ĐỘC
Chuyên ngành: Khoa học máy tính
Mã số:60.48.01.01
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
NGƯỜI HƯỚNG DẪN KHOA HỌC:
TS.Lƣơng Thế Dũng
THÁI NGUYÊN - 2015
Số hóa bởi Trung tâm Học liệu - ĐHTN
/>
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chƣa từng đƣợc
ai công bố trong bất kỳ công trình nào khác.
Qua đây tôi xin chân thành cảm ơn toàn thể các thầy cô trong khoa đào
tạo sau đại học Trƣờng Đại học Công nghệ Thông tin và Truyền thông – Đại
học Thái Nguyên, những ngƣời đã trực tiếp giảng dạy, truyền đạt cho tôi kiến
thức chuyên môn và phƣơng pháp làm việc khoa học.
Đặc biệt, tôi xin chân thành cảm ơn TS. Lƣơng Thế Dũng ,đã tận tình
hƣớng dẫn để tôi có thể hoàn thành luận văn này.
Tôi cũng xin gửi lời cảm ơn tới gia đình, bạn bè, đồng nghiệp đã giúp
CHƢƠNG 2: MỘT SỐ KỸ THUẬT PHÂN LỚP .......................................... 16
2.1. Tổng quan về khai phá dữ liệu ................................................................ 16
2.1.1. Khái niệm về khai phá dữ liệu. ......................................................... 16
2.1.2. Ứng dụng trong khai phá dữ liệu...................................................... 16
2.1.3. Các bài toán chính trong khai phá dữ liệu. ....................................... 17
2.1.4. Tiến trình khai phá dữ liệu. .............................................................. 20
Số hóa bởi Trung tâm Học liệu - ĐHTN
/>
2.2. Một số kỹ thuật phân lớp dữ liệu. ............................................................ 22
2.2.1. Khái niệm phân lớp. ......................................................................... 22
2.2.2. Mục đích của phân lớp...................................................................... 24
2.2.3. Các tiêu chí để đánh giá thuật toán phân lớp. .................................. 24
2.2.4. Các phƣơng pháp đánh giá độ chính xác của mô hình phân lớp
phƣơng pháp holdout. ................................................................................. 25
2.3. Phân lớp dựa trên phƣơng pháp học Naïve bayes. .................................. 26
2.3.1 Giới thiệu ........................................................................................... 26
2.3.2. Bộ phân lớp Naïve Bayes. ................................................................ 28
2.4. Phân lớp dựa trên câu quyết định (Decision Tree).................................. 29
2.4.1. Khái niệm cây quyết định: ............................................................... 29
2.4.2. Các vấn đề cần xem xét khi phân lớp dựa cây quyết định. .............. 42
2.5. Kỹ thuật phân loại máy vector hỗ trợ. ..................................................... 44
2.5.1. Giới thiệu .......................................................................................... 44
2.5.2. SVM với tuyến tính. ......................................................................... 46
CHƢƠNG 3: ỨNG DỤNG KỸ THUẬT PHÂN LỚP TRONG PHÁT
HIỆN MÃ ĐỘC .............................................................................................. 52
3.1. Mô hình bài toán. ..................................................................................... 52
3.1.1. Thu thập dữ liệu ................................................................................ 52
3.1.2 Tiền xử lý dữ liệu ............................................................................... 53
Hình 1.1.
Mô tả về Phishing ......................................................................... 9
Hình 1.2.
Kiểu phần mềm mã độc cơ bản .................................................. 10
Hình 1.3.
Mã độc đa hình ........................................................................... 11
Hình 1.4.
Phần mềm độc hại siêu đa hình .................................................. 11
Hình 1.5.
Bộ phát hiện mã độc dựa trên hành vi ........................................ 13
Hình 1.6.
Kỹ thuật gây nhiễu ...................................................................... 14
Hình 2.1.
Quy trình phát hiện tri thức ........................................................ 20
Hình 2.2.
cửa sổ thông báo cho đến việc tấn công chiếm máy và lây lan sang máy khác
nhƣ virut. Xuất hiện bất kỳ đâu trên môi trƣờng của các thiết bị điện tử nhƣ
các dĩa mềm, usb, đến môi trƣờng Internet trong các webside, trong các tin
nhắn, trong hòm thƣ điện tử của ngƣời dùng, trong các phần mềm tiện
ích……Khi mã độc hại đã nhiễm vào một máy tính nào đó thì nó sẽ lây lan
sang máy tính khác là khá nhanh và khó lƣờng trƣớc đƣợc.
Công nghệ thông tin liên tục phát triển và thay đổi, nhiều phần mềm
mới ra đời mang đến cho con ngƣời nhiều tiện ích hơn. Do vậy để chống lại
các loại mã độc hại ngƣời ta thƣờng sử dụng các chƣơng trình phát hiện và
loại bỏ mã độc hại. Tuy nhiên việc phát hiện mã độc hại của các chƣơng trình
hiện nay thƣờng dựa trên các thuật toán đối sánh mẫu và quan trọng là một cơ
sở dữ liệu đầy đủ và cập nhật thƣờng xuyên những mẫu mới. Để có một cơ sở
dữ liệu nhƣ đã nêu cần một chƣơng trình quản lý một cách hiệu quả và tốt rất
nhiều công sức để tạo ra các mẫu mã độc hại. Một phƣơng pháp mới hiện nay
là dựa trên các mô hình toán học để phát hiện ra các mã độc hại mới mà
không sử dụng các cơ sở dữ liệu mẫu, trong đó khai phá dữ liệu là một
phƣơng pháp quan trọng và đang đƣợc nhiều ngƣời quan tâm. Chính vì vậy
luận văn này tiến hành nghiên cứu, tìm hiểu các kỹ thuật phân lớp dữ liệu và
ứng dụng trong phát hiện mã độc. Nhằm xấy dựng ra các mô hình, thuật toán
để phát hiện và đánh giá các mô hình đó.
1
CHƢƠNG 1
TỔNG QUAN VỀ MÃ ĐỘC HẠI
1.1. Các loại mã độc
1.1.1. Virus
Virus là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản
và lây nhiễm chính nó vào các file, chƣơng trình hoặc máy tính. Nhƣ vậy
nghĩa là Worm không cần phải có “file chủ” để mang nó khi nhiễm vào hệ
thống. Nhƣ vậy, có thể thấy rằng chỉ dùng các chƣơng trình quét file sẽ không
diệt đƣợc Worm trong hệ thống vì Worm không “bám” vào một file hoặc một
vùng nào đó trên đĩa cứng. Mục tiêu của Worm bao gồm cả làm lãng phí
nguồn lực băng thông của mạng và phá hoại hệ thống nhƣ xoá file, tạo
backdoor, thả keylogger,… Tấn công của Worm có đặc trƣng là lan rộng cực
kỳ nhanh chóng do không cần tác động của con ngƣời (nhƣ khởi động máy,
copy file hay đóng/mở file). Worm có thể chia làm 2 loại:
Network Service Worm lan truyền bằng cách lợi dụng các lỗ hổng
bảo mật của mạng, của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ
cho loại sâu này.
Mass Mailing Worm là một dạng tấn công qua dịch vụ mail, tuy nhiên
nó tự đóng gói để tấn công và lây nhiễm chứ không bám vào vật chủ là email.
Khi sâu này lây nhiễm vào hệ thống, nó thƣờng cố gắng tìm kiếm sổ địa chỉ
và tự gửi bản thân nó đến các địa chỉ thu nhặt đƣợc. Việc gửi đồng thời cho
toàn bộ các địa chỉ thƣờng gây quá tải cho mạng hoặc cho máy chủ mail.
Netsky, Mydoom là ví dụ cho thể loại này.
1.1.3. Trojan Horse
Trojan Horse là loại mã độc hại đƣợc đặt theo sự tích “Ngựa thành
Troy”. Trojan horse không có khả năng tự nhân bản tuy nhiên nó lây vào hệ
thống với biểu hiện rất bình thƣờng nhƣng thực chất bên trong có ẩn chứa các
đoạn mã với mục đích gây hại. Trojan có thể gây hại theo ba cách sau:
3
Tiếp tục thực thi các chức năng của chƣơng trình mà nó bám vào, bên
cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ nhƣ gửi một
trò chơi dụ cho ngƣời dùng sử dụng, bên cạnh đó là một chƣơng trình đánh
cắp password).
dùng không nhận ra.
Trojan DoS: Đƣợc sử dụng trong các cuộc tấn công từ chối dịch vụ. Ví
dụ các con bot sử dụng trong DDoS cũng có thể coi là một loại trojan.
Ví dụ trojan có tên Zeus, Clampi đã mang về cho tội phạm hàng triệu
USD bằng cách ghi lại thông tin tài khoản để làm thẻ giả hoặc chuyển tiền
vào tài khoản của một bên trung gian - gọi là Mule. Mule sau đó đƣợc trả
công để đảm nhận việc gửi tiền ra nƣớc ngoài. Mule đƣợc thuê thông qua
các trang tìm kiếm việc làm và họ không hề biết rằng số tiền họ nhận gửi đi
là bất hợp pháp.
1.1.4. Malicious Mobile Code
Là một dạng mã phần mềm có thể đƣợc gửi từ xa vào để chạy trên một
hệ thống mà không cần đến lời gọi thực hiện của ngƣời dùng hệ thống đó.
Malicious Mobile Code đƣợc coi là khác với virus, worm ở đặc tính là nó
không nhiễm vào file và không tìm cách tự phát tán. Thay vì khai thác một
điểm yếu bảo mật xác định nào đó, kiểu tấn công này thƣờng tác động đến hệ
thống bằng cách tận dụng các quyền ƣu tiên ngầm định để chạy mã từ xa. Các
công cụ lập trình nhƣ Java, ActiveX, JavaScript, VBScript là môi trƣờng tốt
cho Malicious mobile code. Một trong những ví dụ nổi tiếng của kiểu tấn
công này là Nimda, sử dụng JavaScript.
Kiểu tấn công này của Nimda thƣờng đƣợc biết đến nhƣ một tấn công hỗn
hợp (Blended Atatck). Cuộc tấn công có thể đi tới bằng một email khi ngƣời
dùng mở một email độc bằng web-browser. Sau khi nhiễm vào máy này, Nimda
sẽ cố gắng sử dụng sổ địa chỉ email của máy đó để phát tán tới các máy khác.
Mặt khác, từ máy đã bị nhiễm, Nimda cố gắng quét các máy khác trong mạng có
thƣ mục chia sẻ mà không bảo mật, Nimda sẽ dùng dịch vụ NetBIOS nhƣ
5
phƣơng tiện để chuyển file nhiễm virus tới các máy đó. Đồng thời Nimda cố
1.1.7. Attacker Tool
Là những bộ công cụ tấn công có thể sử dụng để đẩy các phần mềm độc
hại vào trong hệ thống. Các bộ công cụ này có khả năng giúp cho kẻ tấn công có
thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã
độc hại. Khi đƣợc tải vào trong hệ thống bằng các đoạn mã độc hai, Attacker
tool có thể chính là một phần của đoạn mã độc đó (ví dụ nhƣ trong một trojan)
hoặc nó sẽ đƣợc tải vào hệ thống sau khi nhiễm. Ví dụ nhƣ một hệ thống đã bị
nhiễm một loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến
một web-site nào đó, tải attacker tool từ site đó và cài đặt Attacker tool vào hệ
thống. Attacker tool thƣờng gặp là backdoor và keylogger
Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thƣờng trú
và đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP. Một cách đơn
giản nhất, phần lớn các backdoor cho phép một kẻ tấn công thực thi một số
hành động trên máy bị nhiễm nhƣ truyền file, dò mật khẩu, thực hiện mã
lệnh… Backdoor cũng có thể đƣợc xem xét dƣới 2 dạng: Zoombie và Remote
Administration Tool
Zoombie (có thể đôi lúc gọi là bot) là một chƣơng trình đƣợc cài đặt
lên hệ thống nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất
của Zoombie là các Agent dùng để tổ chức một cuộc tấn công DDoS. Kẻ tấn
công có thể cài Zoombie vào một số lƣợng lớn các máy tính rồi ra lênh tấn
công cùng một lúc. Trinoo và Tribe Flood Network là hai Zoombie nổi tiếng.
Remote Administration Tool là các công cụ có sẵn của hệ thống cho
phép thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng
tính năng này để xâm hại hệ thống. Tấn công kiểu này có thể bao gồm hành
động theo dõi mọi thứ xuất hiện trên màn hình cho đến tác động vào cấu hình
của hệ thống. Ví dụ về công cụ RAT là: Back Orifice, SubSeven…
Keylogger là phần mềm đƣợc dùng để bí mật ghi lại các phím đã đƣợc
7
1.1.8. Phishing
Là một hình thức tấn công thƣờng có thể xem là kết hợp với mã độc
hại. Phishing là phƣơng thức dụ ngƣời dùng kết nối và sử dụng một hệ thống
máy tính giả mạo nhằm làm cho ngƣời dùng tiết lộ các thông tin bí mật về
danh tính (ví dụ nhƣ mật khẩu, số tài khoản, thông tin cá nhân…). Kẻ tấn
công phishing thƣờng tạo ra trang web hoặc email có hình thức giống hệt nhƣ
các trang web hoặc email mà nạn nhân thƣờng hay sử dụng nhƣ trang của
Ngân hàng, của công ty phát hành thẻ tín dụng… Email hoặc trang web giả
mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thông tin bí mật về
tài khoản, về mật khẩu… Các thông tin này sẽ đƣợc sử dụng để trộm tiền trực
tiếp trong tài khoản hoặc đƣợc sử dụng vào các mục đích bất hợp pháp khác.
Hình 1.1. Mô tả về Phishing
1.2. Phƣơng pháp phát hiện mã độc hại
1.2.1. Phần mềm phát hiện mã độc
Một phần mềm phát hiện mã độc D đƣợc định nghĩa là một hàm mà
miền xác định và miền giá trị là tập hợp các chƣơng trình thực thi P và tập
hợp {malicious, benign}. Nói cách khác phần mềm mã độc có thể đƣợc định
nghĩa nhƣ hàm dƣới đây:
9
D(p) =
Phần mềm thực hiện hiện quét các chƣơng trình p
P để kiểm tra xem
một chƣơng trình là bình thƣờng hay độc hại.
đối khó khăn vì mỗi biến thể sẽ sinh ra mẫu mã độc mới. Việc phân tích trình
tự các hàm API đƣợc sử dụng để phát hiện mã độc loại này. Hình 1.4 cho ta
thấy cấu trúc của mã độc đa hình:
Hình 1.3. Mã độc đa hình
Phần mềm độc hại siêu đa hình có thể lập trình lại chính nó sử dụng
kỹ thuật xáo trộn để tạo ra nhƣ những biến thể không giống mã độc gốc.
Nhƣ vậy loại phần mềm này sẽ tránh đƣợc sự phát hiện của phần mềm phát
hiện mã độc vì mỗi biến thể mới đƣợc tạo ra sẽ có mẫu khác nhau, do đó
không thể lƣu trữ tất cả các mẫu của cùng một mã độc. Để phát hiện cơ chế
siêu đa hình, thực hiện phân tích một vài đoạn mã đã đƣợc dịch ngƣợc. Sau
khi dịch ngƣợc, sẽ thực hiện biến đổi mã chƣơng trình và tạo ra đoạn mã
mới, đoạn mã này vẫn duy trì chức năng cũ và sẽ trông khác với đoạn mã
ban đầu. Hình 1.5 cho ta thấy phần mềm độc hại siêu đa hình và các mẫu
nhận dạng tƣơng ứng với các biến thể.
Hình 1.4. Phần mềm độc hại siêu đa hình
11
Giả sử S là tập hợp các mẫu nhận dạng của phần mềm độc hại. Đối với
hình 1.5, Si S là các mẫu nhận dạng các biến thể siêu đa hình từ một bản
mẫu siêu hình.
Một số vấn đề chính đối với phƣơng pháp nhận dạng theo mẫu là:
Việc tạo và phân phối mẫu rất phức tạp.
Việc tạo mẫu cần làm thủ công và yêu cầu phải phân tích kỹ.
Các mẫu dễ bị bỏ qua khi mẫu mới đƣợc tạo ra.
Kích thƣớc của kho lƣu trữ mẫu tăng lên nhanh chóng.
1.2.4. Phát hiện dựa trên đặc điểm
1.2.6. Kỹ thuật gây nhiễu
Mục đích của gây nhiễu là che giấu thông tin khiến cho ngƣời khác
không thể thấy ý nghĩa thực sự của nó. Các nhà sản xuất phần mềm sử dụng
biện pháp gây nhiễu để gây khó khăn cho việc dịch ngƣợc. Phần mềm độc hại
đƣợc viết mang những đặc điểm này và việc gây nhiễu phần mềm mã độc có
đƣợc sử dụng bằng nhiều kỹ thuật, vì vậy mã độc rất khó bị dịch ngƣợc và do
đó không thể hiểu đƣợc mục đích của chúng. Lý thuyết gây nhiễu có thể đƣợc
định nghĩa nhƣ sau: cho một chƣơng trình P và một hàm biến đổi T, hàm biến
đổi thực hiện biến đổi P thành P’ và đảm bảo một số tính chất sau:
P’ khó bị dịch ngƣợc
P’ có các chức năng nhƣ P
Có thể so sánh giữa P và P’
13
Hình 1.6. Kỹ thuật gây nhiễu
Nhiều phần mềm mã độc đa hình và siêu hình đƣợc viết sử dụng công
nghệ gây nhiễu, vì vậy nó có thể chống lại phƣơng pháp phát hiện dựa trên mẫu.
Kỹ thuật gây nhiễu có thể dễ dàng biến đổi các mẫu của phần mềm độc hại.
Phần mềm độc hại bị gây nhiễu có thể phát hiện đƣợc bằng cách thu
thập nhiều phiên bản khác nhau của một phần mềm độc hại và phân tích các
phiên bản hoặc tạo ra bản mã đƣợc chuẩn hóa.
1.2.7. Phân tích sự tương tự
Các mẫu mã độc giống nhƣ Win32.Evol tạo ra nhiều tệp (biến thể)
bằng kỹ thuật xáo trộn. Để phát hiện mẫu này, một cách là phân tích sự tƣơng
tự giữa hai tệp bằng việc tính khoảng cách Euclidian. Khoảng cách giữa hai
vector x và y đƣợc tính bằng công thức sau:
Mỗi chƣơng trình đƣợc biểu diễn nhƣ một số hàm, mỗi hàm bao gồm
một số lệnh và tạo ra các vector giống nhƣ x và y. Dƣới đây là một số bƣớc để
sẽ đƣợc lƣu trữ trong kho để sử dụng cho việc phát hiện mã độc.
15
CHƢƠNG 2
MỘT SỐ KỸ THUẬT PHÂN LỚP
2.1. Tổng quan về khai phá dữ liệu
2.1.1. Khái niệm về khai phá dữ liệu.
Khai phá dữ liệu đƣợc dùng để mô tả quá trình phát hiện ra tri thức
trong CSDL. Quá trình này kết xuất ra các tri thức tiềm ẩn từ dữ liệu giúp
cho việc dự báo trong kinh doanh, các hoạt động sản xuất, ... Khai phá dữ
liệu làm giảm chi phí về thời gian so với phƣơng pháp truyền thống trƣớc
kia (ví dụ nhƣ phƣơng pháp thống kê).
Sau đây là một số định nghĩa mang tính mô tả của nhiều tác giả về
khai phá dữ liệu:
Định nghĩa của Ferruzza: “Khai phá dữ liệu là tập hợp các phƣơng
pháp đƣợc dùng trong tiến trình khám phá tri thức để chỉ ra sự khác biệt, các
mối quan hệ và các mẫu chƣa biết bên trong dữ liệu”
Định nghĩa của Parsaye: “Khai phá dữ liệu là quá trình trợ giúp
quyết định, trong đó chúng ta tìm kiếm các mẫu thông tin chƣa biết và bất
ngờ trong CSDL lớn” Định nghĩa của Fayyad: “Khai phá tri thức là một
quá trình không tầm
thƣờng nhận ra những mẫu dữ liệu có giá trị, mới, hữu ích, tiềm năng
và có thể hiểu đƣợc”.
2.1.2. Ứng dụng trong khai phá dữ liệu.
Phát hiện tri thức MỘT SỐ KỸ THUẬT PHÂN LỚP
và khai phá dữ liệu liên quan đến nhiều ngành, nhiều lĩnh vực: thống
kê, trí tuệ nhân tạo, cơ sở dữ liệu, thuật toán, tính toán song song và tốc độ
2.1.3.1. Phân lớp (phân loại – classification).
Là việc xác định một hàm ánh xạ từ một mẫu dữ liệu vào một trong
số các lớp đã đƣợc biết trƣớc đó. Mục tiêu của thuật toán phân lớp là tìm
ra mối quan hệ nào đó giữa thuộc tính dự báo và thuộc tính phân lớp. Do
17
đó quá trình phân lớp có thể sử dụng mối quan hệ này để dự đoán lớp cho
các mẫu mới. Các tri thức đƣợc phát hiện biểu diễn dƣới dạng các luật
theo cách sau: “Nếu các thuộc tính dự báo của một mẫu thoả mãn điều kiện
của các tiền đề thì mẫu này nằm trong lớp chỉ ra trong kết luận”.
Ví dụ: Một mẫu biểu diễn thông tin về nhân viên có các thuộc tính dự
báo là: họ tên, tuổi, giới tính, trình độ học vấn, … và thuộc tính phân loại là
trình độ lãnh đạo của nhân viên.
2.1.3.2. Hồi qui (regression)
Là việc học một hàm ánh xạ từ một mẫu dữ liệu thành một biến dự
đoán có giá trị thực. Nhiệm vụ của hồi quy tƣơng tự nhƣ phân lớp, điểm
khác nhau chính là ở chỗ thuộc tính để dự báo là liên tục chứ không phải rời
rạc. Việc dự báo các giá trị số thƣờng đƣợc làm bởi các phƣơng pháp thống
kê cổ điển, chẳng hạn nhƣ hồi quy tuyến tính. Tuy nhiên, phƣơng pháp mô
hình hoá cũng đƣợc sử dụng, ví dụ: cây quyết định.
Ứng dụng của hồi quy là rất nhiều, ví dụ: dự đoán số lƣợng sinh vật phát
quang hiện thời trong khu rừng bằng cách dò tìm vi sóng bằng các thiết bị cảm
biến từ xa; ƣớc lƣợng sác xuất ngƣời bệnh có thể chết bằng cách kiểm tra các
triệu chứng; dự báo nhu cầu của ngƣời dùng đối với một sản phẩm, …
2.1.3.3. Phân cụm (clustering).
Là việc mô tả chung để tìm ra các tập hay các nhóm, loại mô tả dữ
liệu. Các nhóm có thể tách nhau hoặc phân cấp hay gối lên nhau. Có nghĩa
là dữ liệu có thể vừa thuộc nhóm này lại vừa thuộc nhóm khác. Các ứng
dụng khai phá dữ liệu có nhiệm vụ phân nhóm nhƣ phát hiện tập các
Bayes. Đó là đồ thị có hƣớng, không chu trình. Các nút biểu diễn thuộc
tính và trọng số của liên kết phụ thuộc giữa các nút đó.
2.1.3.6. Phát hiện sự biến đổi và độ lệch (change and deviation dectection)
Nhiệm vụ này tập trung vào khám phá hầu hết sự thay đổi có
nghĩa dƣới dạng độ đo đã biết trƣớc hoặc giá trị chuẩn, phát hiện độ lệch
19
Copyright: Tài liệu đại học ©