خلاصة:
امروزه ماشینهایمجازی در مدیریت بهینه و اثربخش منابع سیستمی نقش مهمی ایفا میکنند. مجازیسازی، به مفهوم ایجاد چند ماشینمجازی بر روی یک سختافزار مهمان است که امکان استفاده بهینه از منابعسیستمی را فراهم مینماید. امروزه، با گسترش بدافزارها در ماشینهایمجازی، ضرورت توجه به آسیبپذیریها در این حوزه از سیستمهای میزبان گسترش یافته است. رفتار یک بدافزار در ماشینمجازی، تغییر اشیاء سیستمی در گام اول، و در گام دوم، نفوذ به سیستمعاملمیزبان ماشینمجازی در زمان اتمامکار، انجام فرآیندهای دلخواه بهعنوان گام نهایی است. این مقاله برای اولینبار به ارائه یک روش امن، برای شناسایی، دستهبندی و امحاء بدافزارها در ماشینمجازی پرداخته است. روش پیشنهادی بهنام، SSM، در مرحله اول با استفاده از پروفایل رفتاری و بررسی تغییرات، اقدام به شناسایی رفتارهای پرخطر مینماید. روش پیشنهادی در مرحله بعد، به طبقهبندی گروههای رفتاری مستخرج از مرحله قبل اقدام مینماید. در مرحله آخر، پروفایل دستههای سالم شناساییشده و بهماشین میزبان منتقل میشود. استفاده از جریانهای اطلاعاتی فرآیندها در ماشینمجازی، دقتبسیارمطلوبی را برای مکانیزمپیشنهادی فراهم کردهاست. در روشپیشنهادی، اولا برخلافروشهای کنونی، تنها قسمتی از اطلاعات سیستمی مورد پردازش قرار میگیرد. ثانیا، برخلاف کلیه ضد بدافزارهای موجود، بجای بررسی تکبهتک اشیاء سیستمی، گروههای تشکیلشده توسط طبقهبند را بررسی میکنیم. بنابراین، سربار بسیار کمی به لایه مجازیساز اعمال میشود. نتایج تجربی نشان میدهد، با استفاده از مدل رفتاری مضاعف، نرخ نمونه غلط منفی، بهشدت کاهش پیدا کرده است. در این تحقیق نمونه واقعی مکانیزم پیشنهادی بر روی مجازیساز Xen، در لینوکس پیادهسازی شده است. با انجام بررسیهای دقیق، و مقایسه SSM با ضد بدافزارهای تجاریکنونی، عملکرد بسیار مناسب در تشخیص و حذف بدافزارها و همچنین کاهش نرخ نمونههایغلط منفی بهخوبی محرز شده است.
ملخص الجهاز:
ارائه یک روش امنترکیبی باید دارای ویژگیهای متفاوتی باشد که در ادامه بهعنوان نمونه به برخی از آنها اشاره شده است: 1- روش امن ترکیبی باید دادههای مختلف از نرمافزارهای کاربردی را پس از ادغام مناسب و با توجه به فیلترکردن پروسسهایسالم به سطح سیستمعامل برای ذخیرهسازی منعکسکند (بهعنوان مثال، وبسرورها، پایگاهدادهها، یا فایلهای تنظیمات نرمافزارهای کاربردی.
این تحقیق به ارائه یک روش جدید با سربار اندک به نام SSM (ادغام حالت امن، Secure State Merge) پرداخته شده است.
و ویژگی آخر اینکه علیرغم توجه روشهای تشخیص بدافزار مبتنی بر رفتار به مشخصات رفتاری هر بدافزار، در این روش از مدل متفاوتی استفاده شده است.
این دستهبندی براساس جریاناطلاعاتی سطح سیستمعامل و ایجاد دستههای مختلف برای گروهبندی اشیاء بر اساس تغییرات محیطی خواهد بود.
ثالثا، روش مورد استفاده در این تحقیق برای دنبال کردن جریاناطلاعاتی، تنها مبتنی بر دنبالکردن رفتار فرآیندهای مشکوک، فایلهای اجرایی (که امکان الحاق بدافزار به آنها وجود دارد) و اشیاء IPC (عناصر ارتباط بین پردازشها) استوار است.
هرچند، بدافزار ممکن است به فایلهای سالم ملحق شده و فرامین خود را اجرا کند، که در قاعده دوم یا سوم، مورد بررسی SSM قرار خواهد گرفت.
ویژگی IPC، این است که بدافزارها امکان انتشار از طریق شبکه را بر روی ماشینمجازی یافته، ولی مجددا باید از طریق یک فایل اجرایی، منتشر شوند که در قاعده اول مورد بررسی SSM قرار خواهد گرفت.
=سالم|پرخطر، استفاده میشود که: 1- اگر ریشه گروه c، پرخطر باشد، تمامی اشیاء آنگروه پرخطر خواهد بود.