ارایه یک‌روش‌جدید برای شناسایی ‌بدافزارها در سطح ‌مجازی‌ساز در ماشین‌های‌مجازی

امروزه ماشین‌‌های‌مجازی در مدیریت ‌بهینه و اثربخش منابع ‌سیستمی نقش مهمی ایفا می‌کنند. مجازی‌سازی، به مفهوم ایجاد چند ‌ماشین‌مجازی بر روی ‌یک ‌سخت‌افزار مهمان است که امکان استفاده بهینه از منابع‌سیستمی را فراهم می‌نماید. امروزه، با گسترش بدافزارها در ماشین‌های‌مجازی، ضرورت توجه به آسیب‌پذیری‌ها در این حوزه از سیستم‌های میزبان گسترش یافته است. رفتار یک بدافزار در ماشین‌مجازی، تغییر اشیا سیستمی در گام اول، و در گام دوم، نفوذ به‌ ‌سیستم‌عامل‌میزبان ماشین‌مجازی در زمان اتمام‌کار، انجام فرآیندهای دلخواه به‌عنوان گام نهایی است. این ‌مقاله برای ‌اولین‌بار به ‌ارایه یک‌ روش ‌امن، برای‌ شناسایی، دسته‌بندی و امحا بدافزارها در ماشین‌مجازی پرداخته ‌‌است. روش‌ پیشنهادی به‌نام، ssm، در مرحله ‌اول با استفاده از پروفایل‌ رفتاری و بررسی تغییرات، اقدام به شناسایی‌ رفتارهای‌ پرخطر می‌نماید. روش پیشنهادی در مرحله بعد، به ‌طبقه‌بندی ‌گروه‌های‌ رفتاری مستخرج از مرحله‌ قبل اقدام می‌نماید. در مرحله آخر، پروفایل دسته‌های‌ سالم شناسایی‌شده و به‌ماشین ‌میزبان منتقل می‌شود. استفاده از جریان‌های ‌اطلاعاتی‌ فرآیندها در ماشین‌مجازی، دقت‌بسیار‌مطلوبی را برای مکانیزم‌پیشنهادی فراهم کرده‌است. در روش‌پیشنهادی، اولاً برخلاف‌روش‌های کنونی، تنها قسمتی از اطلاعات‌ سیستمی مورد پردازش قرار‌ می‌گیرد. ثانیا، برخلاف‌ کلیه ضد بدافزارهای موجود، بجای بررسی تک‌به‌تک‌ اشیا ‌ سیستمی، گروه‌های تشکیل‌شده توسط طبقه‌بند را بررسی می‌کنیم. بنابراین، سربار بسیار کمی به لایه مجازی‌ساز اعمال می‌شود. نتایج تجربی نشان می‌دهد، با استفاده از مدل ‌رفتاری‌ مضاعف، نرخ‌ نمونه‌ غلط‌ منفی، به‌شدت کاهش پیدا‌ کرده‌ است. در این‌ تحقیق‌ نمونه‌ واقعی مکانیزم‌ پیشنهادی بر روی مجازی‌ساز xen، در لینوکس پیاده‌سازی‌ شده ‌است. با انجام بررسی‌های‌ دقیق، و مقایسه ssm با ضد بدافزارهای ‌تجاری‌کنونی، عملکرد بسیار مناسب در تشخیص و حذف بدافزارها و همچنین کاهش نرخ‌ نمونه‌های‌غلط‌ منفی به‌‌خوبی محرز شده است.