來(lái)源:硅星人
準(zhǔn)確率高達(dá)99%!
文|杜晨 編輯|VickyXiao
中醫(yī)講究“望聞問(wèn)切”。望,指觀氣色;聞,指聽(tīng)聲息;問(wèn);指詢問(wèn)癥狀;切;指摸脈象。
如果我們把中醫(yī)的思路,套用計(jì)算機(jī)科學(xué)上,會(huì)發(fā)生什么?
近日,法國(guó)研究機(jī)構(gòu) IRISA 的團(tuán)隊(duì),發(fā)表了這樣一篇論文:
針對(duì)物聯(lián)網(wǎng)設(shè)備,
完全不通過(guò)物理和軟件方式接入目標(biāo)系統(tǒng),
僅通過(guò)“體外”檢測(cè)其發(fā)出的電磁波,
就能發(fā)現(xiàn)目標(biāo)系統(tǒng)是否遭到入侵,甚至還能判別入侵的惡意軟件種類,準(zhǔn)確度高達(dá)99.82%。
電腦查毒,也能“望聞問(wèn)切”?
首先,讓我們回憶下物聯(lián)網(wǎng)的定義:在物聯(lián)網(wǎng)的時(shí)代,萬(wàn)物都能聯(lián)網(wǎng)。而在這一概念之下,每個(gè)物體/設(shè)備,其實(shí)都是一個(gè)自主運(yùn)行的計(jì)算機(jī)系統(tǒng)。
這些系統(tǒng),從硬件、固件/軟件上,都是五花八門(mén)、形態(tài)各異的。與此同時(shí),大多數(shù)物聯(lián)網(wǎng)設(shè)備都缺乏對(duì)于系統(tǒng)安全的考慮,而且它們也已投放到了越來(lái)越多關(guān)鍵的場(chǎng)景中使用,比如能源、交通、軍事等——因此,物聯(lián)網(wǎng)設(shè)備日益成為惡意軟件攻擊的目標(biāo)。
可想而知,針對(duì)物聯(lián)網(wǎng)設(shè)備的查毒、殺毒,成了大問(wèn)題。
近日,來(lái)自法國(guó) IRISA 的團(tuán)隊(duì)在計(jì)算機(jī)安全方面的學(xué)術(shù)大會(huì) ACSAC 上發(fā)表了論文,題為《混淆揭曉:通過(guò)電磁信號(hào)甄別混淆后惡意軟件種類》(Obfuscation Revealed: Leveraging Electromagnetic Signals for Obfuscated Malware Classification)。
他們的研究對(duì)象,正是物聯(lián)網(wǎng)設(shè)備。
這支團(tuán)隊(duì)來(lái)自于法國(guó)計(jì)算機(jī)科學(xué)和隨機(jī)系統(tǒng)研究院 (IRISA)、國(guó)立計(jì)算機(jī)及自動(dòng)化研究院 (INRIA)、“法國(guó)版中科院” CNRS,和雷恩第一大學(xué)。
他們提出了一種全新的方式,只用一臺(tái)樹(shù)莓派電腦作為“探測(cè)機(jī)”,對(duì)目標(biāo)系統(tǒng)在運(yùn)行時(shí)散射出的電磁波形進(jìn)行檢測(cè),從而準(zhǔn)確地判斷目標(biāo)系統(tǒng)是在正常運(yùn)轉(zhuǎn),還是已經(jīng)被病毒入侵。
更厲害的是,該團(tuán)隊(duì)用此方法進(jìn)行了大量的檢測(cè),積累了海量的數(shù)據(jù)用于訓(xùn)練探測(cè)機(jī)——對(duì)于三種不同類型的惡意軟件,探測(cè)機(jī)都能夠精準(zhǔn)識(shí)別出其種類,準(zhǔn)確率高達(dá)99.82%。
“我們的檢測(cè)方法不需要對(duì)目標(biāo)設(shè)備進(jìn)行任何的調(diào)試(接入),可以輕松實(shí)現(xiàn)獨(dú)立部署。這種方法更厲害之處,在于它無(wú)法被惡意軟件本身‘反偵察’到,”論文寫(xiě)道,“甚至對(duì)于那些用混淆手法修改過(guò)的惡意軟件,我們的方法都能夠準(zhǔn)確地識(shí)別出其代碼本質(zhì)、使用的遮蓋方法等。”
換成我們一開(kāi)始用的中醫(yī)的比喻:
這就是用中醫(yī)四診里的“聞”和“切”,來(lái)給計(jì)算機(jī)“看病”,而且準(zhǔn)確率高到不可思議,成為了一種完全可靠的計(jì)算機(jī)查毒方法。
截至2020年底,全球投入使用的物聯(lián)網(wǎng)設(shè)備數(shù)量已經(jīng)高達(dá)2000億臺(tái),幾乎折合每人26臺(tái)……
這些物聯(lián)網(wǎng)設(shè)備當(dāng)中,有些只是純粹通了電路,加了傳感器,有些則有著多核的處理器,具有更強(qiáng)大的算力。這些物聯(lián)網(wǎng)設(shè)備也成為了天然的黑客攻擊對(duì)象——特別是那些具有完整操作系統(tǒng)的設(shè)備,基本上已經(jīng)和我們?nèi)粘J褂玫碾娔X/手機(jī)無(wú)異了,受計(jì)算機(jī)病毒和惡意軟件的攻擊面更大。
而如果我們想要在成千上萬(wàn)種功能形態(tài)配置各異的物聯(lián)網(wǎng)設(shè)備上,運(yùn)行“查毒軟件”,簡(jiǎn)直太難了。
也正因此,針對(duì)物聯(lián)網(wǎng)設(shè)備查毒的這項(xiàng)工作,“體外檢查”成為了一個(gè)聽(tīng)起來(lái)特別酷炫,卻還真有實(shí)際意義的重要方向。畢竟,現(xiàn)在一些高科技的病毒已經(jīng)具備很強(qiáng)的“反偵察”能力,能夠在被找到的時(shí)候自行摧毀或是改變形態(tài)。
論文寫(xiě)道:
“惡意軟件無(wú)法偵測(cè)到外部對(duì)目標(biāo)系統(tǒng)電磁波散射的測(cè)量,對(duì)于硬件級(jí)別的事件(如電磁波散射、硬件發(fā)熱等)也沒(méi)有控制。因此,基于硬件的保護(hù)系統(tǒng)無(wú)法被惡意軟件反制,從而讓電磁波散射探測(cè)高隱蔽性惡意軟件(如內(nèi)核 rootkit)成為可能。”
值得提及的是,在此之前,計(jì)算機(jī)安全領(lǐng)域已經(jīng)有一些采用電磁波方式來(lái)探測(cè)病毒的研究了。但本文的團(tuán)隊(duì)指出,之前的實(shí)驗(yàn)環(huán)境都更簡(jiǎn)單,只是做了基本的可行性研究,沒(méi)有涉及到復(fù)雜的計(jì)算機(jī)惡意軟件(如變種病毒、加入混淆技術(shù)的病毒等),也無(wú)法對(duì)不同種類的惡意軟件進(jìn)行準(zhǔn)確的甄別。
“我們提出的方法,能夠在僅采用電磁散射作為探測(cè)方法的前提下,準(zhǔn)確甄別真實(shí)世界里存在的,不斷升級(jí)、變形的惡意軟件樣本。”
| 當(dāng)電磁散射的“玄學(xué)”,碰上深度學(xué)習(xí)的“顯學(xué)”
光靠“聞”和“切”,就能判斷計(jì)算機(jī)系統(tǒng)是否中毒,而且還能準(zhǔn)確識(shí)別出中了哪種毒?
對(duì)于大部分非專業(yè)人士來(lái)說(shuō),這簡(jiǎn)直是反常識(shí)的……
事實(shí)上,IRISA 團(tuán)隊(duì)所采用的病毒識(shí)別和檢測(cè)方法,也不是真的只有電磁波檢測(cè)。整個(gè)“探測(cè)機(jī)”系統(tǒng)雖然運(yùn)行在一臺(tái)樹(shù)莓派單片機(jī)上,它的實(shí)際訓(xùn)練流程還是比較復(fù)雜的,而且也用到了當(dāng)今的“顯學(xué)”之一——深度學(xué)習(xí)。
整個(gè)訓(xùn)練過(guò)程如下:
首先是數(shù)據(jù)搜集過(guò)程。研究團(tuán)隊(duì)采用三種主流的惡意軟件類型(DDoS 命令、勒索軟件、內(nèi)核 rootkit),搭配當(dāng)今在計(jì)算機(jī)病毒領(lǐng)域一些主流的混淆方法,構(gòu)建了一套包含三十種惡意軟件的數(shù)據(jù)集。團(tuán)隊(duì)再用這些病毒入侵一臺(tái)運(yùn)行 Linux 操作系統(tǒng)的單片機(jī),并且對(duì)系統(tǒng)散射出的電磁波場(chǎng)進(jìn)行嗅探和數(shù)據(jù)記錄。
值得注意的是數(shù)據(jù)集分成了三組,其中只有一組會(huì)用于訓(xùn)練,剩下兩組均用于檢測(cè)。
探測(cè)機(jī)由一臺(tái)樹(shù)莓派和一臺(tái)示波器組成。樹(shù)莓派很便宜,但出于實(shí)驗(yàn)準(zhǔn)確性目的,團(tuán)隊(duì)采用的是高端示波器,價(jià)格貴的離譜……
然后是信號(hào)處理過(guò)程。由于目標(biāo)單片機(jī)采用的是 ARM 架構(gòu)多核處理器,記錄下的原始電磁信號(hào)存在大量噪音,團(tuán)隊(duì)采用短時(shí)傅里葉變換 (STFT) 對(duì)其進(jìn)行信號(hào)處理,生成頻譜圖,再提取信號(hào)特征,用于下一步驟的神經(jīng)網(wǎng)絡(luò)訓(xùn)練。
最后是訓(xùn)練過(guò)程。團(tuán)隊(duì)采用了支持向量機(jī) (SVM)、多層感知器 (MLP)、卷積神經(jīng)網(wǎng)絡(luò) (CNN) 等多種結(jié)構(gòu)從簡(jiǎn)單到復(fù)雜的神經(jīng)網(wǎng)絡(luò),對(duì)上一步提取的特征進(jìn)行學(xué)習(xí)訓(xùn)練。
團(tuán)隊(duì)用這樣的實(shí)驗(yàn)環(huán)境,總共收集了10萬(wàn)組信號(hào)特征設(shè)置進(jìn)行訓(xùn)練,將神經(jīng)網(wǎng)絡(luò)放到探測(cè)機(jī)上進(jìn)行驗(yàn)證。
結(jié)果令人震驚:采用多種架構(gòu)訓(xùn)練的神經(jīng)網(wǎng)絡(luò),在惡意軟件的類型識(shí)別上均達(dá)到了超過(guò)98%的準(zhǔn)確度。
特別是采用 CNN 訓(xùn)練的探測(cè)機(jī):
識(shí)別 DDoS、勒索軟件、內(nèi)核 Rootkit 三種主要類型的準(zhǔn)確度高達(dá)99.82%;
識(shí)別 gonnacry、keysniffer、maK_It、mirai 和 bashlite 等五種惡意軟件家族的準(zhǔn)確度高達(dá)99.61%;
識(shí)別虛假控制流、指令集替換、虛擬化等七種代碼混淆方式,準(zhǔn)確度高達(dá)82.70%,顯著優(yōu)于隨機(jī)猜測(cè)的14.29%;
對(duì)于從未在訓(xùn)練數(shù)據(jù)集中出現(xiàn)的新惡意軟件家族,準(zhǔn)確度高達(dá)98.85%。
通過(guò)這項(xiàng)前所未有的實(shí)驗(yàn),IRISA 團(tuán)隊(duì)在計(jì)算機(jī)系統(tǒng)的旁路惡意軟件檢測(cè)上取得了前所未有的成績(jī)。
他們證明了這種查毒方式真的非常好用,對(duì)于此前不存在的惡意軟件變種,具有極高的甄別能力,并且對(duì)于各種復(fù)雜混淆技術(shù)的耐受性非常強(qiáng)。
更重要的是,這種旁路檢測(cè)手段,對(duì)于目標(biāo)系統(tǒng)完全沒(méi)有任何侵入和修改。惡意軟件的反偵察能力再?gòu)?qiáng),也拿它沒(méi)招……
早在2016年,惡意軟件 mirai 就已經(jīng)引發(fā)過(guò)一場(chǎng)病毒“海嘯”,感染了數(shù)十萬(wàn)個(gè)路由器、攝像頭、打印機(jī)等物聯(lián)網(wǎng)設(shè)備,形成大規(guī)模“僵尸”網(wǎng)絡(luò),進(jìn)而導(dǎo)致多次全球級(jí)別的互聯(lián)網(wǎng)服務(wù)崩潰事故。
在2020年,物聯(lián)網(wǎng)設(shè)備的數(shù)量首次超過(guò)非物聯(lián)網(wǎng)。一些權(quán)威機(jī)構(gòu)更是預(yù)計(jì),全球物聯(lián)網(wǎng)設(shè)備將在2025年達(dá)到300億臺(tái)。展望未來(lái),物聯(lián)網(wǎng)惡意軟件對(duì)于人類社會(huì)運(yùn)轉(zhuǎn)的威脅程度將不斷提高。
而對(duì)抗物聯(lián)網(wǎng)病毒,我們需要兩手抓:設(shè)備投放使用前的安全設(shè)計(jì)達(dá)標(biāo),和設(shè)備投放使用后的有效查/殺技術(shù)。
對(duì)于前者,算力成本一直是個(gè)邁不過(guò)去的坎。而對(duì)于后者,至少現(xiàn)在我們手里已經(jīng)有一種武器了。
