探測(cè)電磁波就能揪出惡意軟件，網(wǎng)友：給電腦“把脈”嗎

不安裝任何殺毒軟件，“懸絲診脈”也能揪出計(jì)算機(jī)病毒？而且準(zhǔn)確率達(dá) 99.82%，殺毒軟件看了都汗顏。先請(qǐng)出我們的“患者”，一個(gè)經(jīng)過特殊處理后化身微型計(jì)算機(jī)的樹莓派：

病毒入侵、服務(wù)中斷、后臺(tái)進(jìn)程活動(dòng)等無數(shù)個(gè)正常和非正常的行為正在這臺(tái)微型計(jì)算機(jī)中發(fā)生。然后讓 AI 與這個(gè)藍(lán)白相間的示波器相連，伸出一根探針“懸絲”搭在 CPU 上：

很快啊，AI 就發(fā)現(xiàn)了這臺(tái)計(jì)算機(jī)上的惡意軟件！明明是在樹莓派體內(nèi)的病毒，怎么探針隔空一放（沒直接接觸）就被發(fā)現(xiàn)了？答案是：靠電磁波。

一群來自法國(guó) IRISA 的學(xué)者認(rèn)為，病毒、間諜軟件、蠕蟲等惡意軟件在活動(dòng)時(shí)，會(huì)不自覺泄露出與設(shè)備正?；顒?dòng)不同的“異?！彪姶挪āＭㄟ^外部設(shè)備探查、再靠 AI 識(shí)別不同的電磁波，就能隔空發(fā)現(xiàn)“中毒設(shè)備”上的病毒蹤跡。

他們表示，探測(cè)設(shè)備不和“中毒設(shè)備”相連，因此不會(huì)被病毒這類惡意軟件發(fā)現(xiàn)。由于不和惡意軟件在一個(gè)屋子（中毒設(shè)備）里打游擊，探測(cè)設(shè)備也就不會(huì)引發(fā)病毒的回?fù)?、反撲或更進(jìn)一步的偽裝。

反過來說，偽裝再流氓、功能再牛逼的病毒軟件，也無法隱藏“中毒設(shè)備”的電磁輻射和散熱。

該研究目前已經(jīng)被 ACM 旗下的 ACSAC 2021 收錄。據(jù)作者表示，對(duì)于最常見的幾類惡意軟件，這種“懸絲診脈”法的識(shí)別率非常高：

技術(shù)圈大牛 @phunter_lau 更是調(diào)侃“玄學(xué)給予致命一擊”：

所以這究竟是一項(xiàng)怎樣的研究？

貼合現(xiàn)實(shí)的“病毒數(shù)據(jù)庫(kù)”

要讓 AI 學(xué)會(huì)“懸絲”診斷，既要讓它學(xué)會(huì)識(shí)別疾病，也得避免它發(fā)生誤診。所以這里面就需要兩類電磁波數(shù)據(jù)集。

一方面，首先得讓它認(rèn)識(shí)夠多的“疾病”，也就是惡意軟件出現(xiàn)時(shí)的電磁波信號(hào)。像我們常說的電腦病毒，其實(shí)只是廣大惡意軟件（Malware）中的一類。

惡意軟件包括電腦蠕蟲、特洛伊木馬、勒索軟件、間諜軟件、甚至是一些廣告軟件等，能夠利用 IoT 設(shè)備的漏洞對(duì)其造成損傷。

研究人員從知名惡意軟件合集社區(qū) Virusign 中獲取樣本，共收集了 4790 個(gè) 32 位 ELF ARM 惡意軟件樣本。

他們發(fā)現(xiàn)，以下三類惡意軟件是最為常見的三個(gè)類型：

第一種，DDoS 攻擊，通過惡意流量淹沒網(wǎng)站或網(wǎng)絡(luò)資源，從而導(dǎo)致資源耗盡，網(wǎng)絡(luò)服務(wù)暫時(shí)中斷或停止，導(dǎo)致其正常用戶無法訪問。典型的 DDoS 惡意軟件包括 Mirai，Bashlite 等。

第二種，勒索軟件 （Ransomware），又稱阻斷訪問式攻擊（Denial-of-access attack），通過鎖死設(shè)備、或系統(tǒng)性加密特定硬盤文件，要求受害者繳納贖金以取回控制權(quán)。典型代表如 GoNNaCry。

第三種，內(nèi)核態(tài) Rootkits。其中 Rootkits 是一組工具的集合，可以替換或更改可執(zhí)行程序，而內(nèi)核態(tài) Rootkits 不僅可以訪問 OS 文件，還能通過增刪代碼來更改功能。例如，Keysniffer 就能夠記錄鍵盤事件并寫入 DebugFS。

光是掌握這些基本“疾病”還不夠，AI 還得學(xué)會(huì)識(shí)破惡意軟件的進(jìn)一步“偽裝”。

例如，混淆技術(shù) （Obfuscation）就是比較常見的惡意軟件偽裝方法。

這種方法有意讓代碼模糊不清，從而使逆向工程變得困難，原本是一種用于保護(hù)含有 IP 價(jià)值的程序。但后來卻被黑客反向用來削弱殺毒軟件，以逃脫其追捕。

據(jù)此，研究人員利用混淆技術(shù)對(duì)惡意軟件進(jìn)行了進(jìn)一步“升級(jí)”，再加入數(shù)據(jù)集中。其中，就包括采用靜態(tài)代碼重寫（不透明謂詞、假控制流、指令替換、控制流扁平化）和動(dòng)態(tài)代碼重寫（打包器、代碼虛擬化）等方式，對(duì)數(shù)據(jù)進(jìn)行處理。

另一方面，除了惡意軟件數(shù)據(jù)以外，AI 還得知道正常情況下的信號(hào)數(shù)據(jù)。所以除了惡意的“病毒數(shù)據(jù)庫(kù)”，開發(fā)者還準(zhǔn)備了一個(gè)良性數(shù)據(jù)集，以模擬真實(shí)場(chǎng)景中“隨機(jī)突發(fā)”的病毒入侵事件。

哪些算是良性數(shù)據(jù)呢？

比如計(jì)算、設(shè)備睡眠、照片捕捉、網(wǎng)絡(luò)工作連接，以及像是媒體播放這種長(zhǎng)時(shí)間的可執(zhí)行程序運(yùn)行。

由于樹莓派部署了一個(gè) Linux 4.19.57-v7 ARM v7l 的 Raspbian Buster 操作系統(tǒng)，開發(fā)者就從新安裝的 Linux 系統(tǒng)中收集 ARM 可執(zhí)行文件，以此生成良性數(shù)據(jù)集。

在整個(gè)過程中，研究人員一共收集了 100000 份電磁波數(shù)據(jù)，用于訓(xùn)練 AI。但這些數(shù)據(jù)在交給 AI 用于訓(xùn)練之前，還需要經(jīng)過一些處理，從收集數(shù)據(jù)到完成訓(xùn)練一共分成三步。

采用時(shí)頻域分析降低噪聲影響

首先，部署數(shù)據(jù)收集裝置，收集信號(hào)數(shù)據(jù)。

這個(gè)數(shù)據(jù)收集裝置分為被攻擊設(shè)備和示波器兩部分，其中樹莓派是被攻擊設(shè)備，高速數(shù)字轉(zhuǎn)換器 PicoScope 6407（示波器）用于采集和傳輸數(shù)據(jù)。

部署好的數(shù)據(jù)收集裝置如下，其中 PicoScope 6407 的探針（EM probe）會(huì)被放在樹莓派上，用于收集信號(hào)：

然后，對(duì)數(shù)據(jù)進(jìn)行預(yù)處理。

由于收集到的電磁波信號(hào)伴隨大量噪音，因此需要將收集到的信號(hào)數(shù)據(jù)進(jìn)行時(shí)域和頻域分析，進(jìn)行特征采集：

最后，用這些數(shù)據(jù)訓(xùn)練 AI。為了選出最適合這項(xiàng)實(shí)驗(yàn)的 AI，研究人員分別訓(xùn)練了 SVM、NB、MLP 和 CNN 四種類型的網(wǎng)絡(luò)：

最后他們發(fā)現(xiàn) MLP 和 CNN 是最棒的：

其中 CNN 還要更好一點(diǎn)，具體模型的架構(gòu)如下：

訓(xùn)練結(jié)果如下，其中 1963 份良性數(shù)據(jù)（benign）中，只有 1 個(gè)被誤測(cè)為 DDoS；Rootkit 類型的惡意軟件數(shù)據(jù)全部被正確識(shí)別；DDoS 和 Ransomware 的識(shí)別效果也不錯(cuò)：

當(dāng)然，除了單獨(dú)的惡意軟件類型以外，采用混淆技術(shù)后模型分類的效果也依舊不錯(cuò)。整套流程的邏輯如下：

其中，樹莓派代表的是“被攻擊設(shè)備”，示波器用探針在外部收集電磁信號(hào)后，傳給 AI 進(jìn)行預(yù)測(cè)，AI 再將預(yù)測(cè)結(jié)果反饋給防火墻，決定是否要攔截惡意軟件。

這項(xiàng)研究來自研究機(jī)構(gòu) IRISA，目前是法國(guó)最大的計(jì)算機(jī)科學(xué)和新技術(shù)領(lǐng)域研究實(shí)驗(yàn)室之一。

設(shè)備價(jià)格接近 9 萬

研究登上的 ACSAC 2021，是一個(gè)“純應(yīng)用型”的安全會(huì)議。然而包括 Gizmodo 在內(nèi)的外媒表示，想要真正應(yīng)用它來檢測(cè)惡意軟件，還有很多待解決的地方。

一方面，這篇論文采用的良性數(shù)據(jù)集，沒有將所有使用場(chǎng)景考慮在內(nèi)，涉及的主要是圖片及音視頻、以及一些設(shè)備良性運(yùn)轉(zhuǎn)的“常規(guī)活動(dòng)”。

作者也在論文中提到，論文的最初目的并非檢測(cè)惡意軟件，而只是讓 AI 學(xué)會(huì)給幾種惡意軟件做分類。至于實(shí)際檢測(cè)效果還不錯(cuò)，只是他們的“意外發(fā)現(xiàn)”。

另一方面，這項(xiàng)研究所采用的設(shè)備價(jià)格不菲。光是 Picoscope 6407 這臺(tái)數(shù)字轉(zhuǎn)換器，在國(guó)內(nèi)某寶的價(jià)格就接近 90000 元，至少不太親民：

要想湊齊這一整套設(shè)備，從資金上來看還是有點(diǎn)難度的。不知道研究人員后續(xù)會(huì)不會(huì)考慮從實(shí)際落地的角度出發(fā)，將這個(gè)設(shè)備成本搞得更便宜一點(diǎn)。對(duì)于研究本身，有網(wǎng)友調(diào)侃，這是“真把脈來了”：

有人感覺這是個(gè)絕妙的想法：

但也有網(wǎng)友認(rèn)為，這篇論文就是在扯淡，看上去應(yīng)用范圍（物聯(lián)網(wǎng)）過于狹窄，只是標(biāo)題上蹭了熱度比較高的領(lǐng)域。

對(duì)于用電磁波信號(hào)來檢測(cè)惡意軟件，你覺得這事靠譜嗎？

論文地址：

https://dl.acm.org/doi/pdf/10.1145/3485832.3485894

項(xiàng)目地址：

https://github.com/ahma-hub/analysis/wiki

參考鏈接：

[1]https://www.reddit.com/r/technology/comments/s1uygi/raspberry_pi_can_detect_malware_by_scanning_for/

[2]https://weibo.com/1770891687/La6KsEbeg

[3]https://thehackernews.com/2022/01/detecting-evasive-malware-on-iot.html

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。