ارائه یک‌روش‌جدید برای شناسایی‌بدافزارها در سطح‌مجازی‌ساز در ماشین‌های‌مجازی

شیرازی, حسین; فرشچی, سیدمحمدرضا

ارائه یک‌روش‌جدید برای شناسایی‌بدافزارها در سطح‌مجازی‌ساز در ماشین‌های‌مجازی

نویسندگان

دانشگاه صنعتی مالک اشتر

چکیده

امروزه از ماشین‌‌های‌مجازی برای مدیریت‌بهینه و اثربخش منابع‌سیستمی درسطح‌وسیعی‌استفاده‌می‌شود. مجازی‌سازی، تکنیک ایجاد چندین‌ماشین‌مجازی بر روی‌یک‌سخت‌افزار است که امکان استفاده بهینه از منابع‌سیستمی و سهولتدرنگهداری را فراهممی‌نماید. اخیرا، با گسترشبدافزارها در ماشین‌هایمجازی، صدماتجبران‌ناپذیری به سیستم‌های میزبان وارد شده است. یکبدافزار در ماشینمجازی، اشیاءسیستمی را تغییر داده، و در زمان اتمام‌کار ماشین‌مجازی به‌ ‌سیستم‌عامل‌میزبان نفوذ، و مقاصد خود را انجام می‌دهد. این‌مقاله برای‌اولین‌بار به‌ارائه یک‌روش‌امن، برای‌شناسایی، دسته‌بندی و امحاء بدافزارها در ماشین‌مجازی پرداخته‌‌است. روش‌پیشنهادی به‌نام، SSM، در مرحله‌اول با استفاده از پروفایل‌رفتاری و بررسی تغییرات، اقدام به شناسایی‌رفتارهای‌پرخطر می‌نماید. SSM، در مرحله‌بعد با اعمال یک‌الگوریتم‌جدید، به‌طبقه‌بندی‌گروه‌های‌رفتاری مرحله‌قبل اقدام می‌نماید. در مرحله آخر نیز، دسته‌های‌سالم شناسایی‌شده و به‌ماشین‌میزبان منتقل می‌شود. استفاده از جریان‌های‌اطلاعاتی‌فرآیندها در ماشین‌مجازی، دقت‌بسیار‌مطلوبی را برای مکانیزم‌پیشنهادی فراهم کرده‌است. با‌استفاده‌از روش‌پیشنهادی، اولا برخلاف‌روش‌های کنونی، تنها قسمتی از اطلاعات‌سیستمی مورد پردازش قرار‌می‌گیرد. ثانیا، برخلاف‌کلیه ضدبدافزارهای موجود، روش‌پیشنهادی، بجای بررسی تک‌به‌تک‌ اشیاء‌سیستمی، گروه‌های تشکیل‌شده توسط طبقه‌بند را بررسی می‌کند. بنابراین، سربار بسیار کمی به لایه مجازی‌ساز اعمال می‌شود. نهایتا اینکه، با استفاده از مدل‌رفتاری‌مضاعف، نرخ‌نمونه‌غلط‌منفی، به‌شدت کاهش پیدا‌کرده‌است. دراین‌تحقیق‌نمونه‌واقعی مکانیزم‌پیشنهادی بر روی مجازی‌ساز Xen، در لینوکس پیاده‌سازی‌شده‌است. با انجام بررسی‌های‌دقیق، و مقایسه SSM با ضدبدافزارهای‌تجاری‌کنونی، عملکرد بسیار مناسب در تشخیص و حذف بدافزارها و همچنین کاهش نرخ‌نمونه‌های‌غلط‌منفی به‌‌خوبی محرز شده است.

کلیدواژه‌ها

20.1001.1.23224347.1393.2.3.12.4

مراجع

[1] Amani P., Khalozadeh H., Aref M., Proposing a Novel Sandbox
using
AES Encryption Chaotic Shema, The Forth Iranian Conference
on
Encryption, 2008, In Persian.
[2] Ajami M., Payandeh A., Aref M., A Power Attack on A5/1
Encryption
Algorithm, The Eight Iranian Conference on Encryption, 2012, In
Persian.
[3] http://www.freebsd.org/.
[4] http://linux-vserver.org/.
[5] http://www.oracle.com/VMSystems/Zones/.
[6] http://openvz.org/.
[7] http://www.parallels.com/products/virtuozzo/.
[8] Zhu, Z. Jiang, Z. Xiao, and X. Li, ―Optimizing the Performance of
Virtual Machine Synchronization for Fault Tolerance,‖ IEEE
Transactions on Computers, vol. 60, no. 12, pp. 1718-1729, Dec.
2011.
[9] Jenni Susan Reuben, ―A Survey on Virtual Machine Security,‖
Draft Books on Network Security, TKK T-110.5290, Version 3,
2013.
[10] N. Li, Z. Mao, and H. Chen, ―Usable Mandatory Integrity
Protection for Operating Systems,‖ Proc. IEEE Symp. Security
and Privacy, pp. 164-178, May 2007.
[11] E. Kirda, C. Kruegel, G. Banks, G. Vigna, and R.A.
Kemmerer,―Behavior-Based Spyware Detection,‖ Proc. 15th
Conf. USENIX Security Symp., article 19, 2006.
[12] L. Martignoni, E. Stinson, M. Fredrikson, S. Jha, and J.C.
Mitchell, ―A Layered Architecture for Detecting Malicious
Behaviors,‖ Proc. 11th Int’l Symp. Recent Advances in Intrusion
Detection (RAID), Sept. 2008.
[13] Symantec, Inc., http://www.symantec.com/business/ securityresponse/
threatexplorer/threats.jsp, 2013.
[14] Microsoft Security Bull., http://www.microsoft.com/ technet/
security/current.aspx, 2013.
[15] A. Lanzi1, M. Sharif, and W. Lee, ―K-Tracer: A System for
Extracting Kernel Malware Behavior,‖ Proc. 17th Ann. Network
and Distributed System Security Symp. (NDSS), 2009.
[16] C. Kolbitsch, P.M. Comparetti, C. Kruegel, E. Kirda, X. Zhou,
and X. Wang, ―Effective and Efficient Malware Detection at the
End Host,‖ Proc. 18th Conf. USENIX Security Symp., pp. 351-
366, 2009.
[17] O. Sukwong, H. Kim, and J. Hoe, ―Commercial Antivirus
Software Effectiveness: An Empirical Study,‖ Computer, vol. 44,
no. 3, pp. 63-70, Mar. 2011.
[18] S.A. Hofmeyr, S. Forrest, and A. Somayaji, ―Intrusion Detection
Using Sequences of System Calls,‖J. Computer Security, vol. 6,
no. 3, pp. 151-180, 1998.
[19] http://www.csmining.org/.
[20] http://mmonit.com/.
[21] PC Magazine, ―PC Magazine Benchmarks,‖ http://www. pcmag.
com/encyclopedia_term/WebBench.asp/., 2013.
[22] Yin, Song, Egele, Kruegel C., and Kirda E., ―Panorama:
Capturing System-Wide Information Flow for Malware Detection
and Analysis,‖ Proc. 14th ACM Conf. Computer and Comm.
Security (CCS), 2007.
[23] Zhiyong Shan, Xin Wang; Tzi-Cker Chiueh, ―Malware Clearance
for Secure Commitment of OS-Level Virtual Machines,‖ IEEE
Transactions on Dependable and Secure Computing, vol.10, no.2,
pp.70,83, March-April 2013.
[24] Hahn A., Ashok, A.; Sridhar, S.; Govindarasu, M., ―Cyber-
Physical Security Testbeds: Architecture, Application, and
Evaluation for Smart Grid,‖ IEEE Transactions on Smart Grid,
vol.4, no.2, pp.847, 855.
[25] Bari, M.F., Boutaba, R. Esteves, R, Granville, L.Z. Podlesny, M.,
―Data Center Network Virtualization: A Survey‖, IEEE
Communications Surveys & Tutorials, vol.15, no.2, pp.909,928.