我的殺毒軟件直接掃描電磁波，查木馬準(zhǔn)確率99.82%

我們總是說，物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全難以保證，現(xiàn)在有人用「降維打擊」的辦法作了安排。

物聯(lián)網(wǎng) (IoT) 是由數(shù)量和復(fù)雜性呈指數(shù)增長的設(shè)備組成的，在使用大量定制的固件和硬件的同時(shí)，制造者卻很難全面地考慮到安全問題，這使 IoT 很容易成為網(wǎng)絡(luò)犯罪的目標(biāo)，尤其是那些惡意軟件攻擊。

當(dāng)前，世界上的許多大型企業(yè)都在努力應(yīng)對日益廣泛和復(fù)雜的惡意軟件攻擊。但一種有趣的新惡意軟件檢測技術(shù)，可以幫助企業(yè)在不需要任何軟件的情況下鏟除這些威脅。

來自法國計(jì)算機(jī)科學(xué)與隨機(jī)系統(tǒng)研究所的研究團(tuán)隊(duì)創(chuàng)建了一個(gè)以樹莓派為中心的反惡意軟件系統(tǒng)，該系統(tǒng)可以掃描設(shè)備中的電磁波來檢測惡意軟件。

論文鏈接：https://hal.archives-ouvertes.fr/hal-03374399/document

該安全設(shè)備使用示波器 (Picoscope 6407) 和連接到 Raspberry Pi 2B 的 H-Field 探頭來檢測受到攻擊的計(jì)算機(jī)發(fā)出的特定電磁波中的異常情況。研究人員稱使用了這種技術(shù)「獲得有關(guān)惡意軟件類型和身份的準(zhǔn)確信息?！谷缓螅瑱z測系統(tǒng)依靠卷積神經(jīng)網(wǎng)絡(luò) (CNN) 來確定收集的數(shù)據(jù)是否表明存在威脅。

憑借這種技術(shù)，研究人員聲稱他們可以記錄被真正惡意軟件樣本感染的物聯(lián)網(wǎng)設(shè)備的 100000 條測量軌跡，并以高達(dá) 99.82% 的準(zhǔn)確率預(yù)測了三種通用和一種良性惡意軟件的類別。

最重要的是，這種檢測技術(shù)并不需要任何軟件，正在被掃描的設(shè)備也不需要以任何方式進(jìn)行操作。因此，攻擊方嘗試使用混淆技術(shù)隱藏惡意代碼是不可行的。

「我們的方法不需要對目標(biāo)設(shè)備進(jìn)行任何修改。因此，它可以獨(dú)立于可用資源進(jìn)行部署，而無需任何開銷。此外，這種方法的優(yōu)點(diǎn)在于，惡意軟件作者幾乎無法檢測和規(guī)避它?！寡芯咳藛T在論文中寫道。

該系統(tǒng)僅為研究目的而設(shè)計(jì)的，而不是作為商業(yè)產(chǎn)品發(fā)布，它可能會(huì)激發(fā)更多安全團(tuán)隊(duì)研究使用電磁波檢測惡意軟件的新方式。研究目前處于早期階段，神經(jīng)網(wǎng)絡(luò)需要進(jìn)一步訓(xùn)練才能有實(shí)際用途。

一定意義上說，這種系統(tǒng)也是一種保護(hù)設(shè)備的獨(dú)特方法，它使惡意軟件的作者難以隱藏代碼，但該技術(shù)遠(yuǎn)未向公眾提供。

從樹莓派的價(jià)格上考慮，這可能是一種檢測惡意軟件的低成本方法，而其他電磁波掃描設(shè)備的成本高達(dá)數(shù)千美元。盡管存在局限性，但從另一個(gè)角度看，這種簡潔的設(shè)置有朝一日也許能幫助設(shè)備免受大型攻擊。

研究細(xì)節(jié)

團(tuán)隊(duì)提出了一個(gè)惡意軟件的分類框架，該框架以可執(zhí)行文件作為輸入，僅依靠電磁波側(cè)信道信息輸出其預(yù)測標(biāo)簽。

圖 1 展示了該工作流：首先，研究者定義了威脅模型，當(dāng)惡意軟件在目標(biāo)設(shè)備上運(yùn)行時(shí)，收集電磁波****信息。他們搭建了一個(gè)基礎(chǔ)設(shè)施，能夠運(yùn)行惡意軟件與一個(gè)現(xiàn)實(shí)的用戶環(huán)境，同時(shí)防止感染主機(jī)控制器系統(tǒng)。然后，由于采集的數(shù)據(jù)非常嘈雜，需要進(jìn)行預(yù)處理步驟來隔離相關(guān)的信息信號(hào)。最后，使用這個(gè)輸出，研究者訓(xùn)練了神經(jīng)網(wǎng)絡(luò)模型和機(jī)器學(xué)習(xí)算法，以便分類惡意軟件類型、二進(jìn)制文件、混淆方法，并檢測一個(gè)可執(zhí)行文件是否打包。

實(shí)驗(yàn)及結(jié)果

該研究實(shí)驗(yàn)的第一步是數(shù)據(jù)采集。

首先目標(biāo)設(shè)備的選擇對于 EM 側(cè)信道分析至關(guān)重要。研究者確立了三個(gè)主要要求：

它必須是多用途嵌入式設(shè)備，以盡可能多地支持收集到的惡意軟件，而不是一組特定的惡意軟件或設(shè)備；

它的 CPU 必須具備突出的架構(gòu)，以避免缺乏對新型 IoT 惡意軟件的支持； 

它必須容易受到 EM 側(cè)信道攻擊。

該研究最終選擇 Raspberry Pi 2B 作為具有 900 MHz 四核 ARM Cortex-A7、1 GB 內(nèi)存的目標(biāo)設(shè)備。

為了支持惡意軟件數(shù)據(jù)集（包括 Mirai 和 Bashlite），該研究實(shí)現(xiàn)了中心惡意 C&C 服務(wù)器模型的合成環(huán)境。如下圖 2 所示，在多種攻擊場景下，采用 C&C 服務(wù)器隨機(jī)向僵尸網(wǎng)絡(luò)客戶端下發(fā)不同的命令。

在電磁信號(hào)采集方面，該研究使用中低檔測量設(shè)置在良性和惡意數(shù)據(jù)集的執(zhí)行下監(jiān)控樹莓派。如下圖 3 所示，它由連接到 H - 場探頭（Langer RF-R 0.3-3）的 1GHz 帶寬示波器（Picoscope 6407）組成，其中使用 Langer PA-303 +30dB 放大 EM 信號(hào)。為了捕捉惡意軟件的長時(shí)間執(zhí)行，以 2MHz 的采樣率對信號(hào)進(jìn)行采樣。

頻譜圖上 NICV 的特征選擇過程如下圖 4 所示。

實(shí)驗(yàn)結(jié)果如表 3 所示。第一列為方案的名稱，第二列陳述了網(wǎng)絡(luò)的輸出數(shù)量(類)，其他列顯示了最佳帶寬數(shù)量的準(zhǔn)確性和兩個(gè)神經(jīng)網(wǎng)絡(luò)模型的準(zhǔn)確率和召回率，以及測試數(shù)據(jù)集上的兩個(gè)機(jī)器學(xué)習(xí)算法。

分類。研究者共使用了在 30 個(gè)惡意軟件樣本活動(dòng)期間測量的痕跡，加上良性活動(dòng) (隨機(jī)、視頻、音樂、圖片、相機(jī)活動(dòng)) 的痕跡，為了規(guī)避偏見，這兩種活動(dòng)都是在隨機(jī)用戶環(huán)境中進(jìn)行的。

惡意軟件二進(jìn)制代碼是五個(gè)族的變體: gonnacry、 keysniffer、 maK it、 mirai 和 bashlite，包括七種不同的混淆技術(shù)。

在這種情況下，研究者目標(biāo)是在錄入時(shí)檢索感染設(shè)備的惡意軟件類型。這里涉及一個(gè) 4 級(jí)分類問題: 勒索軟件、 rootkit、 DDoS 和良性。所有的模型對于這個(gè)問題都是非常有效的(> 98% 的準(zhǔn)確率) ，顯然混淆不妨礙類型分類。

可以觀察到，CNN (99.82%)比 MLP、 NB 和 SVM 略準(zhǔn)確一些。圖 5(a)中顯示了每個(gè)執(zhí)行的二進(jìn)制混淆矩陣的預(yù)測類 (預(yù)測標(biāo)簽)。顏色越深，正確預(yù)測的標(biāo)簽比例越高。良性的 rootkit 類與任何其他類之間沒有混淆，雙向的 DDos 和勒索軟件之間有一點(diǎn)混淆?；煜仃嚾鐖D 5(b) 所示，它表明大部分類型都可被正確分類，并且混淆不會(huì)妨礙分類。圖 5(c)顯示出對于每種混淆技術(shù)，CNN 都能預(yù)測正確的分類標(biāo)簽。

該研究表明，通過使用簡單的神經(jīng)網(wǎng)絡(luò)模型，可以通過僅觀察其 EM 輻射來了解受監(jiān)控設(shè)備的狀態(tài)，并且可以確定攻擊樹莓派（運(yùn)行 Linux OS）的惡意軟件類型，在測試數(shù)據(jù)集上準(zhǔn)確率達(dá) 99.89%。此外，該研究還證明軟件混淆技術(shù)不會(huì)妨礙其分類方法。這項(xiàng)工作開啟了通過電磁輻射進(jìn)行行為分析的新方向。

參考鏈接：

https://gizmodo.com/raspberry-pi-can-detect-malware-by-scanning-for-electro-1848339130