來源:硅星人
準(zhǔn)確率高達(dá)99%!
文|杜晨 編輯|VickyXiao
中醫(yī)講究“望聞問切”。望,指觀氣色;聞,指聽聲息;問;指詢問癥狀;切;指摸脈象。
如果我們把中醫(yī)的思路,套用計算機(jī)科學(xué)上,會發(fā)生什么?
近日,法國研究機(jī)構(gòu) IRISA 的團(tuán)隊,發(fā)表了這樣一篇論文:
針對物聯(lián)網(wǎng)設(shè)備,
完全不通過物理和軟件方式接入目標(biāo)系統(tǒng),
僅通過“體外”檢測其發(fā)出的電磁波,
就能發(fā)現(xiàn)目標(biāo)系統(tǒng)是否遭到入侵,甚至還能判別入侵的惡意軟件種類,準(zhǔn)確度高達(dá)99.82%。
電腦查毒,也能“望聞問切”?
首先,讓我們回憶下物聯(lián)網(wǎng)的定義:在物聯(lián)網(wǎng)的時代,萬物都能聯(lián)網(wǎng)。而在這一概念之下,每個物體/設(shè)備,其實都是一個自主運行的計算機(jī)系統(tǒng)。
這些系統(tǒng),從硬件、固件/軟件上,都是五花八門、形態(tài)各異的。與此同時,大多數(shù)物聯(lián)網(wǎng)設(shè)備都缺乏對于系統(tǒng)安全的考慮,而且它們也已投放到了越來越多關(guān)鍵的場景中使用,比如能源、交通、軍事等——因此,物聯(lián)網(wǎng)設(shè)備日益成為惡意軟件攻擊的目標(biāo)。
可想而知,針對物聯(lián)網(wǎng)設(shè)備的查毒、殺毒,成了大問題。
近日,來自法國 IRISA 的團(tuán)隊在計算機(jī)安全方面的學(xué)術(shù)大會 ACSAC 上發(fā)表了論文,題為《混淆揭曉:通過電磁信號甄別混淆后惡意軟件種類》(Obfuscation Revealed: Leveraging Electromagnetic Signals for Obfuscated Malware Classification)。
他們的研究對象,正是物聯(lián)網(wǎng)設(shè)備。
這支團(tuán)隊來自于法國計算機(jī)科學(xué)和隨機(jī)系統(tǒng)研究院 (IRISA)、國立計算機(jī)及自動化研究院 (INRIA)、“法國版中科院” CNRS,和雷恩第一大學(xué)。
他們提出了一種全新的方式,只用一臺樹莓派電腦作為“探測機(jī)”,對目標(biāo)系統(tǒng)在運行時散射出的電磁波形進(jìn)行檢測,從而準(zhǔn)確地判斷目標(biāo)系統(tǒng)是在正常運轉(zhuǎn),還是已經(jīng)被病毒入侵。
更厲害的是,該團(tuán)隊用此方法進(jìn)行了大量的檢測,積累了海量的數(shù)據(jù)用于訓(xùn)練探測機(jī)——對于三種不同類型的惡意軟件,探測機(jī)都能夠精準(zhǔn)識別出其種類,準(zhǔn)確率高達(dá)99.82%。
“我們的檢測方法不需要對目標(biāo)設(shè)備進(jìn)行任何的調(diào)試(接入),可以輕松實現(xiàn)獨立部署。這種方法更厲害之處,在于它無法被惡意軟件本身‘反偵察’到,”論文寫道,“甚至對于那些用混淆手法修改過的惡意軟件,我們的方法都能夠準(zhǔn)確地識別出其代碼本質(zhì)、使用的遮蓋方法等。”
換成我們一開始用的中醫(yī)的比喻:
這就是用中醫(yī)四診里的“聞”和“切”,來給計算機(jī)“看病”,而且準(zhǔn)確率高到不可思議,成為了一種完全可靠的計算機(jī)查毒方法。
截至2020年底,全球投入使用的物聯(lián)網(wǎng)設(shè)備數(shù)量已經(jīng)高達(dá)2000億臺,幾乎折合每人26臺……
這些物聯(lián)網(wǎng)設(shè)備當(dāng)中,有些只是純粹通了電路,加了傳感器,有些則有著多核的處理器,具有更強大的算力。這些物聯(lián)網(wǎng)設(shè)備也成為了天然的黑客攻擊對象——特別是那些具有完整操作系統(tǒng)的設(shè)備,基本上已經(jīng)和我們?nèi)粘J褂玫碾娔X/手機(jī)無異了,受計算機(jī)病毒和惡意軟件的攻擊面更大。
而如果我們想要在成千上萬種功能形態(tài)配置各異的物聯(lián)網(wǎng)設(shè)備上,運行“查毒軟件”,簡直太難了。
也正因此,針對物聯(lián)網(wǎng)設(shè)備查毒的這項工作,“體外檢查”成為了一個聽起來特別酷炫,卻還真有實際意義的重要方向。畢竟,現(xiàn)在一些高科技的病毒已經(jīng)具備很強的“反偵察”能力,能夠在被找到的時候自行摧毀或是改變形態(tài)。
論文寫道:
“惡意軟件無法偵測到外部對目標(biāo)系統(tǒng)電磁波散射的測量,對于硬件級別的事件(如電磁波散射、硬件發(fā)熱等)也沒有控制。因此,基于硬件的保護(hù)系統(tǒng)無法被惡意軟件反制,從而讓電磁波散射探測高隱蔽性惡意軟件(如內(nèi)核 rootkit)成為可能。”
值得提及的是,在此之前,計算機(jī)安全領(lǐng)域已經(jīng)有一些采用電磁波方式來探測病毒的研究了。但本文的團(tuán)隊指出,之前的實驗環(huán)境都更簡單,只是做了基本的可行性研究,沒有涉及到復(fù)雜的計算機(jī)惡意軟件(如變種病毒、加入混淆技術(shù)的病毒等),也無法對不同種類的惡意軟件進(jìn)行準(zhǔn)確的甄別。
“我們提出的方法,能夠在僅采用電磁散射作為探測方法的前提下,準(zhǔn)確甄別真實世界里存在的,不斷升級、變形的惡意軟件樣本。”
| 當(dāng)電磁散射的“玄學(xué)”,碰上深度學(xué)習(xí)的“顯學(xué)”
光靠“聞”和“切”,就能判斷計算機(jī)系統(tǒng)是否中毒,而且還能準(zhǔn)確識別出中了哪種毒?
對于大部分非專業(yè)人士來說,這簡直是反常識的……
事實上,IRISA 團(tuán)隊所采用的病毒識別和檢測方法,也不是真的只有電磁波檢測。整個“探測機(jī)”系統(tǒng)雖然運行在一臺樹莓派單片機(jī)上,它的實際訓(xùn)練流程還是比較復(fù)雜的,而且也用到了當(dāng)今的“顯學(xué)”之一——深度學(xué)習(xí)。
整個訓(xùn)練過程如下:
首先是數(shù)據(jù)搜集過程。研究團(tuán)隊采用三種主流的惡意軟件類型(DDoS 命令、勒索軟件、內(nèi)核 rootkit),搭配當(dāng)今在計算機(jī)病毒領(lǐng)域一些主流的混淆方法,構(gòu)建了一套包含三十種惡意軟件的數(shù)據(jù)集。團(tuán)隊再用這些病毒入侵一臺運行 Linux 操作系統(tǒng)的單片機(jī),并且對系統(tǒng)散射出的電磁波場進(jìn)行嗅探和數(shù)據(jù)記錄。
值得注意的是數(shù)據(jù)集分成了三組,其中只有一組會用于訓(xùn)練,剩下兩組均用于檢測。
探測機(jī)由一臺樹莓派和一臺示波器組成。樹莓派很便宜,但出于實驗準(zhǔn)確性目的,團(tuán)隊采用的是高端示波器,價格貴的離譜……
然后是信號處理過程。由于目標(biāo)單片機(jī)采用的是 ARM 架構(gòu)多核處理器,記錄下的原始電磁信號存在大量噪音,團(tuán)隊采用短時傅里葉變換 (STFT) 對其進(jìn)行信號處理,生成頻譜圖,再提取信號特征,用于下一步驟的神經(jīng)網(wǎng)絡(luò)訓(xùn)練。
最后是訓(xùn)練過程。團(tuán)隊采用了支持向量機(jī) (SVM)、多層感知器 (MLP)、卷積神經(jīng)網(wǎng)絡(luò) (CNN) 等多種結(jié)構(gòu)從簡單到復(fù)雜的神經(jīng)網(wǎng)絡(luò),對上一步提取的特征進(jìn)行學(xué)習(xí)訓(xùn)練。
團(tuán)隊用這樣的實驗環(huán)境,總共收集了10萬組信號特征設(shè)置進(jìn)行訓(xùn)練,將神經(jīng)網(wǎng)絡(luò)放到探測機(jī)上進(jìn)行驗證。
結(jié)果令人震驚:采用多種架構(gòu)訓(xùn)練的神經(jīng)網(wǎng)絡(luò),在惡意軟件的類型識別上均達(dá)到了超過98%的準(zhǔn)確度。
特別是采用 CNN 訓(xùn)練的探測機(jī):
識別 DDoS、勒索軟件、內(nèi)核 Rootkit 三種主要類型的準(zhǔn)確度高達(dá)99.82%;
識別 gonnacry、keysniffer、maK_It、mirai 和 bashlite 等五種惡意軟件家族的準(zhǔn)確度高達(dá)99.61%;
識別虛假控制流、指令集替換、虛擬化等七種代碼混淆方式,準(zhǔn)確度高達(dá)82.70%,顯著優(yōu)于隨機(jī)猜測的14.29%;
對于從未在訓(xùn)練數(shù)據(jù)集中出現(xiàn)的新惡意軟件家族,準(zhǔn)確度高達(dá)98.85%。
通過這項前所未有的實驗,IRISA 團(tuán)隊在計算機(jī)系統(tǒng)的旁路惡意軟件檢測上取得了前所未有的成績。
他們證明了這種查毒方式真的非常好用,對于此前不存在的惡意軟件變種,具有極高的甄別能力,并且對于各種復(fù)雜混淆技術(shù)的耐受性非常強。
更重要的是,這種旁路檢測手段,對于目標(biāo)系統(tǒng)完全沒有任何侵入和修改。惡意軟件的反偵察能力再強,也拿它沒招……
早在2016年,惡意軟件 mirai 就已經(jīng)引發(fā)過一場病毒“海嘯”,感染了數(shù)十萬個路由器、攝像頭、打印機(jī)等物聯(lián)網(wǎng)設(shè)備,形成大規(guī)模“僵尸”網(wǎng)絡(luò),進(jìn)而導(dǎo)致多次全球級別的互聯(lián)網(wǎng)服務(wù)崩潰事故。
在2020年,物聯(lián)網(wǎng)設(shè)備的數(shù)量首次超過非物聯(lián)網(wǎng)。一些權(quán)威機(jī)構(gòu)更是預(yù)計,全球物聯(lián)網(wǎng)設(shè)備將在2025年達(dá)到300億臺。展望未來,物聯(lián)網(wǎng)惡意軟件對于人類社會運轉(zhuǎn)的威脅程度將不斷提高。
而對抗物聯(lián)網(wǎng)病毒,我們需要兩手抓:設(shè)備投放使用前的安全設(shè)計達(dá)標(biāo),和設(shè)備投放使用后的有效查/殺技術(shù)。
對于前者,算力成本一直是個邁不過去的坎。而對于后者,至少現(xiàn)在我們手里已經(jīng)有一種武器了。
