不安裝任何殺毒軟件，懸絲診脈也能揪出計算機(jī)病毒而且準(zhǔn)確率達(dá) 99.82%，殺毒軟件看了都汗顏

病毒入侵，服務(wù)中斷，后臺進(jìn)程活動等無數(shù)個正常和非正常的行為正在這臺微型計算機(jī)中發(fā)生。然后讓 AI 與這個藍(lán)白相間的示波器相連，伸出一根探針懸絲搭在 CPU 上:

很快啊，AI 就發(fā)現(xiàn)了這臺計算機(jī)上的惡意軟件！明明是在樹莓派體內(nèi)的病毒，怎么探針隔空一放就被發(fā)現(xiàn)了答案是:靠電磁波

一群來自法國 IRISA 的學(xué)者認(rèn)為，病毒，間諜軟件，蠕蟲等惡意軟件在活動時，會不自覺泄露出與設(shè)備正?；顒硬煌漠惓ｋ姶挪ㄍㄟ^外部設(shè)備探查，再靠 AI 識別不同的電磁波，就能隔空發(fā)現(xiàn)中毒設(shè)備上的病毒蹤跡

他們表示，探測設(shè)備不和中毒設(shè)備相連，因此不會被病毒這類惡意軟件發(fā)現(xiàn)由于不和惡意軟件在一個屋子里打游擊，探測設(shè)備也就不會引發(fā)病毒的回?fù)?，反撲或更進(jìn)一步的偽裝

反過來說，偽裝再流氓，功能再牛逼的病毒軟件，也無法隱藏中毒設(shè)備的電磁輻射和散熱。

技術(shù)圈大牛 phunter_lau 更是調(diào)侃玄學(xué)給予致命一擊:

所以這究竟是一項怎樣的研究。

貼合現(xiàn)實(shí)的病毒數(shù)據(jù)庫

要讓 AI 學(xué)會懸絲診斷，既要讓它學(xué)會識別疾病，也得避免它發(fā)生誤診所以這里面就需要兩類電磁波數(shù)據(jù)集

一方面，首先得讓它認(rèn)識夠多的疾病，也就是惡意軟件出現(xiàn)時的電磁波信號像我們常說的電腦病毒，其實(shí)只是廣大惡意軟件中的一類

惡意軟件包括電腦蠕蟲，特洛伊木馬，勒索軟件，間諜軟件，甚至是一些廣告軟件等，能夠利用 IoT 設(shè)備的漏洞對其造成損傷。

研究人員從知名惡意軟件合集社區(qū) Virusign 中獲取樣本，共收集了 4790 個 32 位 ELF ARM 惡意軟件樣本。

他們發(fā)現(xiàn)，以下三類惡意軟件是最為常見的三個類型:

第一種，DDoS 攻擊，通過惡意流量淹沒網(wǎng)站或網(wǎng)絡(luò)資源，從而導(dǎo)致資源耗盡，網(wǎng)絡(luò)服務(wù)暫時中斷或停止，導(dǎo)致其正常用戶無法訪問典型的 DDoS 惡意軟件包括 Mirai，Bashlite 等

第二種，勒索軟件，又稱阻斷訪問式攻擊，通過鎖死設(shè)備，或系統(tǒng)性加密特定硬盤文件，要求受害者繳納贖金以取回控制權(quán)典型代表如 GoNNaCry

第三種，內(nèi)核態(tài) Rootkits其中 Rootkits 是一組工具的集合，可以替換或更改可執(zhí)行程序，而內(nèi)核態(tài) Rootkits 不僅可以訪問 OS 文件，還能通過增刪代碼來更改功能例如，Keysniffer 就能夠記錄鍵盤事件并寫入 DebugFS

光是掌握這些基本疾病還不夠，AI 還得學(xué)會識破惡意軟件的進(jìn)一步偽裝。

例如，混淆技術(shù)就是比較常見的惡意軟件偽裝方法。

這種方法有意讓代碼模糊不清，從而使逆向工程變得困難，原本是一種用于保護(hù)含有 IP 價值的程序但后來卻被黑客反向用來削弱殺毒軟件，以逃脫其追捕

據(jù)此，研究人員利用混淆技術(shù)對惡意軟件進(jìn)行了進(jìn)一步升級，再加入數(shù)據(jù)集中其中，就包括采用靜態(tài)代碼重寫和動態(tài)代碼重寫等方式，對數(shù)據(jù)進(jìn)行處理

另一方面，除了惡意軟件數(shù)據(jù)以外，AI 還得知道正常情況下的信號數(shù)據(jù)所以除了惡意的病毒數(shù)據(jù)庫，開發(fā)者還準(zhǔn)備了一個良性數(shù)據(jù)集，以模擬真實(shí)場景中隨機(jī)突發(fā)的病毒入侵事件

哪些算是良性數(shù)據(jù)呢。

比如計算，設(shè)備睡眠，照片捕捉，網(wǎng)絡(luò)工作連接，以及像是媒體播放這種長時間的可執(zhí)行程序運(yùn)行。

由于樹莓派部署了一個 Linux 4.19.57—v7 ARM v7l 的 Raspbian Buster 操作系統(tǒng)，開發(fā)者就從新安裝的 Linux 系統(tǒng)中收集 ARM 可執(zhí)行文件，以此生成良性數(shù)據(jù)集。

在整個過程中，研究人員一共收集了 100000 份電磁波數(shù)據(jù)，用于訓(xùn)練 AI但這些數(shù)據(jù)在交給 AI 用于訓(xùn)練之前，還需要經(jīng)過一些處理，從收集數(shù)據(jù)到完成訓(xùn)練一共分成三步

采用時頻域分析降低噪聲影響

首先，部署數(shù)據(jù)收集裝置，收集信號數(shù)據(jù)。

這個數(shù)據(jù)收集裝置分為被攻擊設(shè)備和示波器兩部分，其中樹莓派是被攻擊設(shè)備，高速數(shù)字轉(zhuǎn)換器 PicoScope 6407用于采集和傳輸數(shù)據(jù)。

部署好的數(shù)據(jù)收集裝置如下，其中 PicoScope 6407 的探針會被放在樹莓派上，用于收集信號:

然后，對數(shù)據(jù)進(jìn)行預(yù)處理。

由于收集到的電磁波信號伴隨大量噪音，因此需要將收集到的信號數(shù)據(jù)進(jìn)行時域和頻域分析，進(jìn)行特征采集:

最后，用這些數(shù)據(jù)訓(xùn)練 AI。為了選出最適合這項實(shí)驗(yàn)的 AI，研究人員分別訓(xùn)練了 SVM，NB，MLP 和 CNN 四種類型的網(wǎng)絡(luò):

最后他們發(fā)現(xiàn) MLP 和 CNN 是最棒的:

其中 CNN 還要更好一點(diǎn)，具體模型的架構(gòu)如下:

訓(xùn)練結(jié)果如下，其中 1963 份良性數(shù)據(jù)中，只有 1 個被誤測為 DDoS，Rootkit 類型的惡意軟件數(shù)據(jù)全部被正確識別，DDoS 和 Ransomware 的識別效果也不錯:

當(dāng)然，除了單獨(dú)的惡意軟件類型以外，采用混淆技術(shù)后模型分類的效果也依舊不錯。整套流程的邏輯如下:

其中，樹莓派代表的是被攻擊設(shè)備，示波器用探針在外部收集電磁信號后，傳給 AI 進(jìn)行預(yù)測，AI 再將預(yù)測結(jié)果反饋給防火墻，決定是否要攔截惡意軟件。

這項研究來自研究機(jī)構(gòu) IRISA，目前是法國最大的計算機(jī)科學(xué)和新技術(shù)領(lǐng)域研究實(shí)驗(yàn)室之一。

設(shè)備價格接近 9 萬

研究登上的 ACSAC 2021，是一個純應(yīng)用型的安全會議可是包括 Gizmodo 在內(nèi)的外媒表示，想要真正應(yīng)用它來檢測惡意軟件，還有很多待解決的地方

另一方面，這項研究所采用的設(shè)備價格不菲。光是 Picoscope 6407 這臺數(shù)字轉(zhuǎn)換器，在國內(nèi)某寶的價格就接近 90000 元，至少不太親民:

要想湊齊這一整套設(shè)備，從資金上來看還是有點(diǎn)難度的不知道研究人員后續(xù)會不會考慮從實(shí)際落地的角度出發(fā)，將這個設(shè)備成本搞得更便宜一點(diǎn)

有人感覺這是個絕妙的想法:

但也有網(wǎng)友認(rèn)為，這篇論文就是在扯淡，看上去應(yīng)用范圍過于狹窄，只是標(biāo)題上蹭了熱度比較高的領(lǐng)域。

對于用電磁波信號來檢測惡意軟件，你覺得這事靠譜嗎。

論文地址:

項目地址:

參考鏈接:

鄭重聲明：此文內(nèi)容為本網(wǎng)站轉(zhuǎn)載企業(yè)宣傳資訊，目的在于傳播更多信息，與本站立場無關(guān)。僅供讀者參考，并請自行核實(shí)相關(guān)內(nèi)容。