ارائه یک‌روش‌جدید برای شناسایی‌بدافزارها در سطح‌مجازی‌ساز در ماشین‌های‌مجازی

شیرازی, حسین; فرشچی, سیدمحمدرضا

فراخوان حمایت از طرحهای فناورانه: جوش اتوماتیک به کمک ربات پرتابل

تعداد نشریات	38
تعداد شماره‌ها	1,240
تعداد مقالات	8,994
تعداد مشاهده مقاله	7,846,558
تعداد دریافت فایل اصل مقاله	4,707,206

	ارائه یک‌روش‌جدید برای شناسایی‌بدافزارها در سطح‌مجازی‌ساز در ماشین‌های‌مجازی
پدافند الکترونیکی و سایبری
مقاله 3، دوره 2، شماره 3، آذر 1393، صفحه 23-33 اصل مقاله (1.03 M)
نویسندگان
حسین شیرازی؛ سیدمحمدرضا فرشچی^*
دانشگاه صنعتی مالک اشتر
تاریخ دریافت: 31 فروردین 1393، تاریخ بازنگری: 13 تیر 1402، تاریخ پذیرش: 28 شهریور 1397
چکیده
امروزه از ماشین‌‌های‌مجازی برای مدیریت‌بهینه و اثربخش منابع‌سیستمی درسطح‌وسیعی‌استفاده‌می‌شود. مجازی‌سازی، تکنیک ایجاد چندین‌ماشین‌مجازی بر روی‌یک‌سخت‌افزار است که امکان استفاده بهینه از منابع‌سیستمی و سهولتدرنگهداری را فراهممی‌نماید. اخیرا، با گسترشبدافزارها در ماشین‌هایمجازی، صدماتجبران‌ناپذیری به سیستم‌های میزبان وارد شده است. یکبدافزار در ماشینمجازی، اشیاءسیستمی را تغییر داده، و در زمان اتمام‌کار ماشین‌مجازی به‌ ‌سیستم‌عامل‌میزبان نفوذ، و مقاصد خود را انجام می‌دهد. این‌مقاله برای‌اولین‌بار به‌ارائه یک‌روش‌امن، برای‌شناسایی، دسته‌بندی و امحاء بدافزارها در ماشین‌مجازی پرداخته‌‌است. روش‌پیشنهادی به‌نام، SSM، در مرحله‌اول با استفاده از پروفایل‌رفتاری و بررسی تغییرات، اقدام به شناسایی‌رفتارهای‌پرخطر می‌نماید. SSM، در مرحله‌بعد با اعمال یک‌الگوریتم‌جدید، به‌طبقه‌بندی‌گروه‌های‌رفتاری مرحله‌قبل اقدام می‌نماید. در مرحله آخر نیز، دسته‌های‌سالم شناسایی‌شده و به‌ماشین‌میزبان منتقل می‌شود. استفاده از جریان‌های‌اطلاعاتی‌فرآیندها در ماشین‌مجازی، دقت‌بسیار‌مطلوبی را برای مکانیزم‌پیشنهادی فراهم کرده‌است. با‌استفاده‌از روش‌پیشنهادی، اولا برخلاف‌روش‌های کنونی، تنها قسمتی از اطلاعات‌سیستمی مورد پردازش قرار‌می‌گیرد. ثانیا، برخلاف‌کلیه ضدبدافزارهای موجود، روش‌پیشنهادی، بجای بررسی تک‌به‌تک‌ اشیاء‌سیستمی، گروه‌های تشکیل‌شده توسط طبقه‌بند را بررسی می‌کند. بنابراین، سربار بسیار کمی به لایه مجازی‌ساز اعمال می‌شود. نهایتا اینکه، با استفاده از مدل‌رفتاری‌مضاعف، نرخ‌نمونه‌غلط‌منفی، به‌شدت کاهش پیدا‌کرده‌است. دراین‌تحقیق‌نمونه‌واقعی مکانیزم‌پیشنهادی بر روی مجازی‌ساز Xen، در لینوکس پیاده‌سازی‌شده‌است. با انجام بررسی‌های‌دقیق، و مقایسه SSM با ضدبدافزارهای‌تجاری‌کنونی، عملکرد بسیار مناسب در تشخیص و حذف بدافزارها و همچنین کاهش نرخ‌نمونه‌های‌غلط‌منفی به‌‌خوبی محرز شده است.
کلیدواژه‌ها
امنیت‌مجازی‌ساز؛ طبقه‌بندی بدافزار؛ امنیت در لینوکس؛ مدل‌رفتاری
عنوان مقاله [English]
Implementing a Novel Malware Detection System in Virtual Machines
نویسندگان [English]
Hossein Shirazi؛ Seyed Mohammad Reza Farshchi
Malik Ashtar University of Technology
چکیده [English]
Today, virtual machines play an important role in efficient and effective management of resources. Virtualization is the concept of creating multiple virtual machine guests on a single hardware that allows the system to provide optimal use of resources. Common behavior of malwares in a virtual machines is wide. Sometimes these malwares change the system objects in the first step, and next, influence the host operating system of the virtual machine at the time of completion of the work, and maybe in a final step they do some malicious task. In this paper we provide a secure method for identification, classification and elimination of malwares in a virtual machine. The proposed method which is called, SSM, will firstly attempt to identify high-risk behaviors using behavioral profiles and evaluating changes . The proposed method is then extracted from pre-treatment to categorize malicious groups. Experimental results show that the sample rate of false negatives has sharply declined. The proposed mechanism is based on the actual samples virtualization Xen, with the Linux implementation. Through detailed analysis, and comparison SSM with current commercial anti-malware, SSM has a good performance in the detection and removal of malware, as well as reducing the rate of false- negative samples were found in a virtual machine.
کلیدواژه‌ها [English]
Securing the Virtual Machine, Classification of Malware, Security in Linux, Behavioral Model

مراجع
[1] Amani P., Khalozadeh H., Aref M., Proposing a Novel Sandbox using AES Encryption Chaotic Shema, The Forth Iranian Conference on Encryption, 2008, In Persian. [2] Ajami M., Payandeh A., Aref M., A Power Attack on A5/1 Encryption Algorithm, The Eight Iranian Conference on Encryption, 2012, In Persian. [3] http://www.freebsd.org/. [4] http://linux-vserver.org/. [5] http://www.oracle.com/VMSystems/Zones/. [6] http://openvz.org/. [7] http://www.parallels.com/products/virtuozzo/. [8] Zhu, Z. Jiang, Z. Xiao, and X. Li, ―Optimizing the Performance of Virtual Machine Synchronization for Fault Tolerance,‖ IEEE Transactions on Computers, vol. 60, no. 12, pp. 1718-1729, Dec. 2011. [9] Jenni Susan Reuben, ―A Survey on Virtual Machine Security,‖ Draft Books on Network Security, TKK T-110.5290, Version 3, 2013. [10] N. Li, Z. Mao, and H. Chen, ―Usable Mandatory Integrity Protection for Operating Systems,‖ Proc. IEEE Symp. Security and Privacy, pp. 164-178, May 2007. [11] E. Kirda, C. Kruegel, G. Banks, G. Vigna, and R.A. Kemmerer,―Behavior-Based Spyware Detection,‖ Proc. 15th Conf. USENIX Security Symp., article 19, 2006. [12] L. Martignoni, E. Stinson, M. Fredrikson, S. Jha, and J.C. Mitchell, ―A Layered Architecture for Detecting Malicious Behaviors,‖ Proc. 11th Int’l Symp. Recent Advances in Intrusion Detection (RAID), Sept. 2008. [13] Symantec, Inc., http://www.symantec.com/business/ securityresponse/ threatexplorer/threats.jsp, 2013. [14] Microsoft Security Bull., http://www.microsoft.com/ technet/ security/current.aspx, 2013. [15] A. Lanzi1, M. Sharif, and W. Lee, ―K-Tracer: A System for Extracting Kernel Malware Behavior,‖ Proc. 17th Ann. Network and Distributed System Security Symp. (NDSS), 2009. [16] C. Kolbitsch, P.M. Comparetti, C. Kruegel, E. Kirda, X. Zhou, and X. Wang, ―Effective and Efficient Malware Detection at the End Host,‖ Proc. 18th Conf. USENIX Security Symp., pp. 351- 366, 2009. [17] O. Sukwong, H. Kim, and J. Hoe, ―Commercial Antivirus Software Effectiveness: An Empirical Study,‖ Computer, vol. 44, no. 3, pp. 63-70, Mar. 2011. [18] S.A. Hofmeyr, S. Forrest, and A. Somayaji, ―Intrusion Detection Using Sequences of System Calls,‖J. Computer Security, vol. 6, no. 3, pp. 151-180, 1998. [19] http://www.csmining.org/. [20] http://mmonit.com/. [21] PC Magazine, ―PC Magazine Benchmarks,‖ http://www. pcmag. com/encyclopedia_term/WebBench.asp/., 2013. [22] Yin, Song, Egele, Kruegel C., and Kirda E., ―Panorama: Capturing System-Wide Information Flow for Malware Detection and Analysis,‖ Proc. 14th ACM Conf. Computer and Comm. Security (CCS), 2007. [23] Zhiyong Shan, Xin Wang; Tzi-Cker Chiueh, ―Malware Clearance for Secure Commitment of OS-Level Virtual Machines,‖ IEEE Transactions on Dependable and Secure Computing, vol.10, no.2, pp.70,83, March-April 2013. [24] Hahn A., Ashok, A.; Sridhar, S.; Govindarasu, M., ―Cyber- Physical Security Testbeds: Architecture, Application, and Evaluation for Smart Grid,‖ IEEE Transactions on Smart Grid, vol.4, no.2, pp.847, 855. [25] Bari, M.F., Boutaba, R. Esteves, R, Granville, L.Z. Podlesny, M., ―Data Center Network Virtualization: A Survey‖, IEEE Communications Surveys & Tutorials, vol.15, no.2, pp.909,928.
آمار تعداد مشاهده مقاله: 490 تعداد دریافت فایل اصل مقاله: 211

اخبار و اعلانات

آمار

ارائه یک‌روش‌جدید برای شناسایی‌بدافزارها در سطح‌مجازی‌ساز در ماشین‌های‌مجازی