ارائه یک‌روش‌جدید برای شناسایی‌بدافزارها در سطح‌مجازی‌ساز در ماشین‌های‌مجازی

شیرازی, حسین; فرشچی, سیدمحمدرضا

تعداد نشریات	36
تعداد شماره‌ها	1,175
تعداد مقالات	8,463
تعداد مشاهده مقاله	6,421,122
تعداد دریافت فایل اصل مقاله	3,653,846

	ارائه یک‌روش‌جدید برای شناسایی‌بدافزارها در سطح‌مجازی‌ساز در ماشین‌های‌مجازی
پدافند الکترونیکی و سایبری
مقاله 3، دوره 2، شماره 3، آذر 1393، صفحه 23-33 اصل مقاله (1.03 M)
نویسندگان
حسین شیرازی؛ سیدمحمدرضا فرشچی^*
دانشگاه صنعتی مالک اشتر
تاریخ دریافت: 31 فروردین 1393، تاریخ بازنگری: 13 تیر 1402، تاریخ پذیرش: 28 شهریور 1397
چکیده
امروزه از ماشین‌‌های‌مجازی برای مدیریت‌بهینه و اثربخش منابع‌سیستمی درسطح‌وسیعی‌استفاده‌می‌شود. مجازی‌سازی، تکنیک ایجاد چندین‌ماشین‌مجازی بر روی‌یک‌سخت‌افزار است که امکان استفاده بهینه از منابع‌سیستمی و سهولتدرنگهداری را فراهممی‌نماید. اخیرا، با گسترشبدافزارها در ماشین‌هایمجازی، صدماتجبران‌ناپذیری به سیستم‌های میزبان وارد شده است. یکبدافزار در ماشینمجازی، اشیاءسیستمی را تغییر داده، و در زمان اتمام‌کار ماشین‌مجازی به‌ ‌سیستم‌عامل‌میزبان نفوذ، و مقاصد خود را انجام می‌دهد. این‌مقاله برای‌اولین‌بار به‌ارائه یک‌روش‌امن، برای‌شناسایی، دسته‌بندی و امحاء بدافزارها در ماشین‌مجازی پرداخته‌‌است. روش‌پیشنهادی به‌نام، SSM، در مرحله‌اول با استفاده از پروفایل‌رفتاری و بررسی تغییرات، اقدام به شناسایی‌رفتارهای‌پرخطر می‌نماید. SSM، در مرحله‌بعد با اعمال یک‌الگوریتم‌جدید، به‌طبقه‌بندی‌گروه‌های‌رفتاری مرحله‌قبل اقدام می‌نماید. در مرحله آخر نیز، دسته‌های‌سالم شناسایی‌شده و به‌ماشین‌میزبان منتقل می‌شود. استفاده از جریان‌های‌اطلاعاتی‌فرآیندها در ماشین‌مجازی، دقت‌بسیار‌مطلوبی را برای مکانیزم‌پیشنهادی فراهم کرده‌است. با‌استفاده‌از روش‌پیشنهادی، اولا برخلاف‌روش‌های کنونی، تنها قسمتی از اطلاعات‌سیستمی مورد پردازش قرار‌می‌گیرد. ثانیا، برخلاف‌کلیه ضدبدافزارهای موجود، روش‌پیشنهادی، بجای بررسی تک‌به‌تک‌ اشیاء‌سیستمی، گروه‌های تشکیل‌شده توسط طبقه‌بند را بررسی می‌کند. بنابراین، سربار بسیار کمی به لایه مجازی‌ساز اعمال می‌شود. نهایتا اینکه، با استفاده از مدل‌رفتاری‌مضاعف، نرخ‌نمونه‌غلط‌منفی، به‌شدت کاهش پیدا‌کرده‌است. دراین‌تحقیق‌نمونه‌واقعی مکانیزم‌پیشنهادی بر روی مجازی‌ساز Xen، در لینوکس پیاده‌سازی‌شده‌است. با انجام بررسی‌های‌دقیق، و مقایسه SSM با ضدبدافزارهای‌تجاری‌کنونی، عملکرد بسیار مناسب در تشخیص و حذف بدافزارها و همچنین کاهش نرخ‌نمونه‌های‌غلط‌منفی به‌‌خوبی محرز شده است.
کلیدواژه‌ها
امنیت‌مجازی‌ساز؛ طبقه‌بندی بدافزار؛ امنیت در لینوکس؛ مدل‌رفتاری

مراجع
[1] Amani P., Khalozadeh H., Aref M., Proposing a Novel Sandbox using AES Encryption Chaotic Shema, The Forth Iranian Conference on Encryption, 2008, In Persian. [2] Ajami M., Payandeh A., Aref M., A Power Attack on A5/1 Encryption Algorithm, The Eight Iranian Conference on Encryption, 2012, In Persian. [3] http://www.freebsd.org/. [4] http://linux-vserver.org/. [5] http://www.oracle.com/VMSystems/Zones/. [6] http://openvz.org/. [7] http://www.parallels.com/products/virtuozzo/. [8] Zhu, Z. Jiang, Z. Xiao, and X. Li, ―Optimizing the Performance of Virtual Machine Synchronization for Fault Tolerance,‖ IEEE Transactions on Computers, vol. 60, no. 12, pp. 1718-1729, Dec. 2011. [9] Jenni Susan Reuben, ―A Survey on Virtual Machine Security,‖ Draft Books on Network Security, TKK T-110.5290, Version 3, 2013. [10] N. Li, Z. Mao, and H. Chen, ―Usable Mandatory Integrity Protection for Operating Systems,‖ Proc. IEEE Symp. Security and Privacy, pp. 164-178, May 2007. [11] E. Kirda, C. Kruegel, G. Banks, G. Vigna, and R.A. Kemmerer,―Behavior-Based Spyware Detection,‖ Proc. 15th Conf. USENIX Security Symp., article 19, 2006. [12] L. Martignoni, E. Stinson, M. Fredrikson, S. Jha, and J.C. Mitchell, ―A Layered Architecture for Detecting Malicious Behaviors,‖ Proc. 11th Int’l Symp. Recent Advances in Intrusion Detection (RAID), Sept. 2008. [13] Symantec, Inc., http://www.symantec.com/business/ securityresponse/ threatexplorer/threats.jsp, 2013. [14] Microsoft Security Bull., http://www.microsoft.com/ technet/ security/current.aspx, 2013. [15] A. Lanzi1, M. Sharif, and W. Lee, ―K-Tracer: A System for Extracting Kernel Malware Behavior,‖ Proc. 17th Ann. Network and Distributed System Security Symp. (NDSS), 2009. [16] C. Kolbitsch, P.M. Comparetti, C. Kruegel, E. Kirda, X. Zhou, and X. Wang, ―Effective and Efficient Malware Detection at the End Host,‖ Proc. 18th Conf. USENIX Security Symp., pp. 351- 366, 2009. [17] O. Sukwong, H. Kim, and J. Hoe, ―Commercial Antivirus Software Effectiveness: An Empirical Study,‖ Computer, vol. 44, no. 3, pp. 63-70, Mar. 2011. [18] S.A. Hofmeyr, S. Forrest, and A. Somayaji, ―Intrusion Detection Using Sequences of System Calls,‖J. Computer Security, vol. 6, no. 3, pp. 151-180, 1998. [19] http://www.csmining.org/. [20] http://mmonit.com/. [21] PC Magazine, ―PC Magazine Benchmarks,‖ http://www. pcmag. com/encyclopedia_term/WebBench.asp/., 2013. [22] Yin, Song, Egele, Kruegel C., and Kirda E., ―Panorama: Capturing System-Wide Information Flow for Malware Detection and Analysis,‖ Proc. 14th ACM Conf. Computer and Comm. Security (CCS), 2007. [23] Zhiyong Shan, Xin Wang; Tzi-Cker Chiueh, ―Malware Clearance for Secure Commitment of OS-Level Virtual Machines,‖ IEEE Transactions on Dependable and Secure Computing, vol.10, no.2, pp.70,83, March-April 2013. [24] Hahn A., Ashok, A.; Sridhar, S.; Govindarasu, M., ―Cyber- Physical Security Testbeds: Architecture, Application, and Evaluation for Smart Grid,‖ IEEE Transactions on Smart Grid, vol.4, no.2, pp.847, 855. [25] Bari, M.F., Boutaba, R. Esteves, R, Granville, L.Z. Podlesny, M., ―Data Center Network Virtualization: A Survey‖, IEEE Communications Surveys & Tutorials, vol.15, no.2, pp.909,928.
آمار تعداد مشاهده مقاله: 462 تعداد دریافت فایل اصل مقاله: 147

آمار

ارائه یک‌روش‌جدید برای شناسایی‌بدافزارها در سطح‌مجازی‌ساز در ماشین‌های‌مجازی