ارايه يك‌روش‌جديد براي شناسايي ‌بدافزارها در سطح ‌مجازي‌ساز در ماشين‌هاي‌مجازي

Implementing a Novel Malware Detection System in Virtual Machines

امروزه ماشين‌‌هاي‌مجازي در مديريت ‌بهينه و اثربخش منابع ‌سيستمي نقش مهمي ايفا مي‌كنند. مجازي‌سازي، به مفهوم ايجاد چند ‌ماشين‌مجازي بر روي ‌يك ‌سخت‌افزار مهمان است كه امكان استفاده بهينه از منابع‌سيستمي را فراهم مي‌نمايد. امروزه، با گسترش بدافزارها در ماشين‌هاي‌مجازي، ضرورت توجه به آسيب‌پذيري‌ها در اين حوزه از سيستم‌هاي ميزبان گسترش يافته است. رفتار يك بدافزار در ماشين‌مجازي، تغيير اشيا سيستمي در گام اول، و در گام دوم، نفوذ به‌ ‌سيستم‌عامل‌ميزبان ماشين‌مجازي در زمان اتمام‌كار، انجام فرآيندهاي دلخواه به‌عنوان گام نهايي است. اين ‌مقاله براي ‌اولين‌بار به ‌ارايه يك‌ روش ‌امن، براي‌ شناسايي، دسته‌بندي و امحا بدافزارها در ماشين‌مجازي پرداخته ‌‌است. روش‌ پيشنهادي به‌نام، SSM، در مرحله ‌اول با استفاده از پروفايل‌ رفتاري و بررسي تغييرات، اقدام به شناسايي‌ رفتارهاي‌ پرخطر مي‌نمايد. روش پيشنهادي در مرحله بعد، به ‌طبقه‌بندي ‌گروه‌هاي‌ رفتاري مستخرج از مرحله‌ قبل اقدام مي‌نمايد. در مرحله آخر، پروفايل دسته‌هاي‌ سالم شناسايي‌شده و به‌ماشين ‌ميزبان منتقل مي‌شود. استفاده از جريان‌هاي ‌اطلاعاتي‌ فرآيندها در ماشين‌مجازي، دقت‌بسيار‌مطلوبي را براي مكانيزم‌پيشنهادي فراهم كرده‌است. در روش‌پيشنهادي، اولاً برخلاف‌روش‌هاي كنوني، تنها قسمتي از اطلاعات‌ سيستمي مورد پردازش قرار‌ مي‌گيرد. ثانيا، برخلاف‌ كليه ضد بدافزارهاي موجود، بجاي بررسي تك‌به‌تك‌ اشيا ‌ سيستمي، گروه‌هاي تشكيل‌شده توسط طبقه‌بند را بررسي مي‌كنيم. بنابراين، سربار بسيار كمي به لايه مجازي‌ساز اعمال مي‌شود. نتايج تجربي نشان مي‌دهد، با استفاده از مدل ‌رفتاري‌ مضاعف، نرخ‌ نمونه‌ غلط‌ منفي، به‌شدت كاهش پيدا‌ كرده‌ است. در اين‌ تحقيق‌ نمونه‌ واقعي مكانيزم‌ پيشنهادي بر روي مجازي‌ساز Xen، در لينوكس پياده‌سازي‌ شده ‌است. با انجام بررسي‌هاي‌ دقيق، و مقايسه SSM با ضد بدافزارهاي ‌تجاري‌كنوني، عملكرد بسيار مناسب در تشخيص و حذف بدافزارها و همچنين كاهش نرخ‌ نمونه‌هاي‌غلط‌ منفي به‌‌خوبي محرز شده است.

Today, virtual machines play an important role in efficient and effective management of resources. Virtualization is the concept of creating multiple virtual machine guests on a single hardware that allows the system to provide optimal use of resources. Common behavior of malwares in a virtual machines is wide. Sometimes these malwares change the system objects in the first step, and next, influence the host operating system of the virtual machine at the time of completion of the work, and maybe in a final step they do some malicious task. In this paper we provide a secure method for identification, classification and elimination of malwares in a virtual machine. The proposed method which is called, SSM, will firstly attempt to identify high-risk behaviors using behavioral profiles and evaluating changes . The proposed method is then extracted from pre-treatment to categorize malicious groups. Experimental results show that the sample rate of false negatives has sharply declined. The proposed mechanism is based on the actual samples virtualization Xen, with the Linux implementation. Through detailed analysis, and comparison SSM with current commercial anti-malware, SSM has a good performance in the detection and removal of malware, as well as reducing the rate of false- negative samples were found in a virtual machine.