不安装任何杀毒软件,悬丝诊脉也能揪出计算机病毒而且准确率达 99.82%,杀毒软件看了都汗颜
病毒入侵,服务中断,后台进程活动等无数个正常和非正常的行为正在这台微型计算机中发生。然后让 AI 与这个蓝白相间的示波器相连,伸出一根探针悬丝搭在 CPU 上:
很快啊,AI 就发现了这台计算机上的恶意软件!明明是在树莓派体内的病毒,怎么探针隔空一放就被发现了答案是:靠电磁波
一群来自法国 IRISA 的学者认为,病毒,间谍软件,蠕虫等恶意软件在活动时,会不自觉泄露出与设备正常活动不同的异常电磁波通过外部设备探查,再靠 AI 识别不同的电磁波,就能隔空发现中毒设备上的病毒踪迹
他们表示,探测设备不和中毒设备相连,因此不会被病毒这类恶意软件发现由于不和恶意软件在一个屋子里打游击,探测设备也就不会引发病毒的回击,反扑或更进一步的伪装
反过来说,伪装再流氓,功能再牛逼的病毒软件,也无法隐藏中毒设备的电磁辐射和散热。
技术圈大牛 phunter_lau 更是调侃玄学给予致命一击:
所以这究竟是一项怎样的研究。
贴合现实的病毒数据库
要让 AI 学会悬丝诊断,既要让它学会识别疾病,也得避免它发生误诊所以这里面就需要两类电磁波数据集
一方面,首先得让它认识够多的疾病,也就是恶意软件出现时的电磁波信号像我们常说的电脑病毒,其实只是广大恶意软件中的一类
恶意软件包括电脑蠕虫,特洛伊木马,勒索软件,间谍软件,甚至是一些广告软件等,能够利用 IoT 设备的漏洞对其造成损伤。
研究人员从知名恶意软件合集社区 Virusign 中获取样本,共收集了 4790 个 32 位 ELF ARM 恶意软件样本。
他们发现,以下三类恶意软件是最为常见的三个类型:
第一种,DDoS 攻击,通过恶意流量淹没网站或网络资源,从而导致资源耗尽,网络服务暂时中断或停止,导致其正常用户无法访问典型的 DDoS 恶意软件包括 Mirai,Bashlite 等
第二种,勒索软件,又称阻断访问式攻击,通过锁死设备,或系统性加密特定硬盘文件,要求受害者缴纳赎金以取回控制权典型代表如 GoNNaCry
第三种,内核态 Rootkits其中 Rootkits 是一组工具的集合,可以替换或更改可执行程序,而内核态 Rootkits 不仅可以访问 OS 文件,还能通过增删代码来更改功能例如,Keysniffer 就能够记录键盘事件并写入 DebugFS
光是掌握这些基本疾病还不够,AI 还得学会识破恶意软件的进一步伪装。
例如,混淆技术就是比较常见的恶意软件伪装方法。
这种方法有意让代码模糊不清,从而使逆向工程变得困难,原本是一种用于保护含有 IP 价值的程序但后来却被黑客反向用来削弱杀毒软件,以逃脱其追捕
据此,研究人员利用混淆技术对恶意软件进行了进一步升级,再加入数据集中其中,就包括采用静态代码重写和动态代码重写等方式,对数据进行处理
另一方面,除了恶意软件数据以外,AI 还得知道正常情况下的信号数据所以除了恶意的病毒数据库,开发者还准备了一个良性数据集,以模拟真实场景中随机突发的病毒入侵事件
哪些算是良性数据呢。
比如计算,设备睡眠,照片捕捉,网络工作连接,以及像是媒体播放这种长时间的可执行程序运行。
由于树莓派部署了一个 Linux 4.19.57—v7 ARM v7l 的 Raspbian Buster 操作系统,开发者就从新安装的 Linux 系统中收集 ARM 可执行文件,以此生成良性数据集。
在整个过程中,研究人员一共收集了 100000 份电磁波数据,用于训练 AI但这些数据在交给 AI 用于训练之前,还需要经过一些处理,从收集数据到完成训练一共分成三步
采用时频域分析降低噪声影响
首先,部署数据收集装置,收集信号数据。
这个数据收集装置分为被攻击设备和示波器两部分,其中树莓派是被攻击设备,高速数字转换器 PicoScope 6407用于采集和传输数据。
部署好的数据收集装置如下,其中 PicoScope 6407 的探针会被放在树莓派上,用于收集信号:
然后,对数据进行预处理。
由于收集到的电磁波信号伴随大量噪音,因此需要将收集到的信号数据进行时域和频域分析,进行特征采集:
最后,用这些数据训练 AI。为了选出最适合这项实验的 AI,研究人员分别训练了 SVM,NB,MLP 和 CNN 四种类型的网络:
最后他们发现 MLP 和 CNN 是最棒的:
其中 CNN 还要更好一点,具体模型的架构如下:
训练结果如下,其中 1963 份良性数据中,只有 1 个被误测为 DDoS,Rootkit 类型的恶意软件数据全部被正确识别,DDoS 和 Ransomware 的识别效果也不错:
当然,除了单独的恶意软件类型以外,采用混淆技术后模型分类的效果也依旧不错。整套流程的逻辑如下:
其中,树莓派代表的是被攻击设备,示波器用探针在外部收集电磁信号后,传给 AI 进行预测,AI 再将预测结果反馈给防火墙,决定是否要拦截恶意软件。
这项研究来自研究机构 IRISA,目前是法国最大的计算机科学和新技术领域研究实验室之一。
设备价格接近 9 万
研究登上的 ACSAC 2021,是一个纯应用型的安全会议可是包括 Gizmodo 在内的外媒表示,想要真正应用它来检测恶意软件,还有很多待解决的地方
另一方面,这项研究所采用的设备价格不菲。光是 Picoscope 6407 这台数字转换器,在国内某宝的价格就接近 90000 元,至少不太亲民:
要想凑齐这一整套设备,从资金上来看还是有点难度的不知道研究人员后续会不会考虑从实际落地的角度出发,将这个设备成本搞得更便宜一点
有人感觉这是个绝妙的想法:
但也有网友认为,这篇论文就是在扯淡,看上去应用范围过于狭窄,只是标题上蹭了热度比较高的领域。
对于用电磁波信号来检测恶意软件,你觉得这事靠谱吗。
论文地址:
项目地址:
参考链接:
。声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。