ارائه یک‌روش‌جدید برای شناسایی‌بدافزارها در سطح‌مجازی‌ساز در ماشین‌های‌مجازی

نویسندگان

1 فردوسی مشهد

2 مالک اشتر

چکیده

امروزه از ماشین‌‌های‌مجازی برای مدیریت‌بهینه و اثربخش منابع‌سیستمی درسطح‌وسیعی‌استفاده‌می‌شود. مجازی‌سازی، تکنیک ایجاد چندین‌ماشین‌مجازی بر روی‌یک‌سخت‌افزار است که امکان استفاده بهینه از منابع‌سیستمی و سهولتدرنگهداری را فراهممی‌نماید. اخیرا، با گسترشبدافزارها در ماشین‌هایمجازی، صدماتجبران‌ناپذیری به سیستم‌های میزبان وارد شده است. یکبدافزار در ماشینمجازی، اشیاءسیستمی را تغییر داده، و در زمان اتمام‌کار ماشین‌مجازی به‌ ‌سیستم‌عامل‌میزبان نفوذ، و مقاصد خود را انجام می‌دهد. این‌مقاله برای‌اولین‌بار به‌ارائه یک‌روش‌امن، برای‌شناسایی، دسته‌بندی و امحاء بدافزارها در ماشین‌مجازی پرداخته‌‌است. روش‌پیشنهادی به‌نام، SSM، در مرحله‌اول با استفاده از پروفایل‌رفتاری و بررسی تغییرات، اقدام به شناسایی‌رفتارهای‌پرخطر می‌نماید. SSM، در مرحله‌بعد با اعمال یک‌الگوریتم‌جدید، به‌طبقه‌بندی‌گروه‌های‌رفتاری مرحله‌قبل اقدام می‌نماید. در مرحله آخر نیز، دسته‌های‌سالم شناسایی‌شده و به‌ماشین‌میزبان منتقل می‌شود. استفاده از جریان‌های‌اطلاعاتی‌فرآیندها در ماشین‌مجازی، دقت‌بسیار‌مطلوبی را برای مکانیزم‌پیشنهادی فراهم کرده‌است. با‌استفاده‌از روش‌پیشنهادی، اولا برخلاف‌روش‌های کنونی، تنها قسمتی از اطلاعات‌سیستمی مورد پردازش قرار‌می‌گیرد. ثانیا، برخلاف‌کلیه ضدبدافزارهای موجود، روش‌پیشنهادی، بجای بررسی تک‌به‌تک‌ اشیاء‌سیستمی، گروه‌های تشکیل‌شده توسط طبقه‌بند را بررسی می‌کند. بنابراین، سربار بسیار کمی به لایه مجازی‌ساز اعمال می‌شود. نهایتا اینکه، با استفاده از مدل‌رفتاری‌مضاعف، نرخ‌نمونه‌غلط‌منفی، به‌شدت کاهش پیدا‌کرده‌است. دراین‌تحقیق‌نمونه‌واقعی مکانیزم‌پیشنهادی بر روی مجازی‌ساز Xen، در لینوکس پیاده‌سازی‌شده‌است. با انجام بررسی‌های‌دقیق، و مقایسه SSM با ضدبدافزارهای‌تجاری‌کنونی، عملکرد بسیار مناسب در تشخیص و حذف بدافزارها و همچنین کاهش نرخ‌نمونه‌های‌غلط‌منفی به‌‌خوبی محرز شده است.

کلیدواژه‌ها