來源：硅星人

準(zhǔn)確率高達(dá)99%！

文｜杜晨 編輯｜VickyXiao

中醫(yī)講究“望聞問切”。望，指觀氣色；聞，指聽聲息；問；指詢問癥狀；切；指摸脈象。

如果我們把中醫(yī)的思路，套用計(jì)算機(jī)科學(xué)上，會發(fā)生什么？

近日，法國研究機(jī)構(gòu) IRISA 的團(tuán)隊(duì)，發(fā)表了這樣一篇論文：

針對物聯(lián)網(wǎng)設(shè)備，

完全不通過物理和軟件方式接入目標(biāo)系統(tǒng)，

僅通過“體外”檢測其發(fā)出的電磁波，

就能發(fā)現(xiàn)目標(biāo)系統(tǒng)是否遭到入侵，甚至還能判別入侵的惡意軟件種類，準(zhǔn)確度高達(dá)99.82%。

電腦查毒，也能“望聞問切”？

首先，讓我們回憶下物聯(lián)網(wǎng)的定義：在物聯(lián)網(wǎng)的時(shí)代，萬物都能聯(lián)網(wǎng)。而在這一概念之下，每個物體/設(shè)備，其實(shí)都是一個自主運(yùn)行的計(jì)算機(jī)系統(tǒng)。

這些系統(tǒng)，從硬件、固件/軟件上，都是五花八門、形態(tài)各異的。與此同時(shí)，大多數(shù)物聯(lián)網(wǎng)設(shè)備都缺乏對于系統(tǒng)安全的考慮，而且它們也已投放到了越來越多關(guān)鍵的場景中使用，比如能源、交通、軍事等——因此，物聯(lián)網(wǎng)設(shè)備日益成為惡意軟件攻擊的目標(biāo)。

可想而知，針對物聯(lián)網(wǎng)設(shè)備的查毒、殺毒，成了大問題。

近日，來自法國 IRISA 的團(tuán)隊(duì)在計(jì)算機(jī)安全方面的學(xué)術(shù)大會 ACSAC 上發(fā)表了論文，題為《混淆揭曉：通過電磁信號甄別混淆后惡意軟件種類》(Obfuscation Revealed: Leveraging Electromagnetic Signals for Obfuscated Malware Classification)。

他們的研究對象，正是物聯(lián)網(wǎng)設(shè)備。

這支團(tuán)隊(duì)來自于法國計(jì)算機(jī)科學(xué)和隨機(jī)系統(tǒng)研究院 (IRISA)、國立計(jì)算機(jī)及自動化研究院 (INRIA)、“法國版中科院” CNRS，和雷恩第一大學(xué)。

他們提出了一種全新的方式，只用一臺樹莓派電腦作為“探測機(jī)”，對目標(biāo)系統(tǒng)在運(yùn)行時(shí)散射出的電磁波形進(jìn)行檢測，從而準(zhǔn)確地判斷目標(biāo)系統(tǒng)是在正常運(yùn)轉(zhuǎn)，還是已經(jīng)被病毒入侵。

更厲害的是，該團(tuán)隊(duì)用此方法進(jìn)行了大量的檢測，積累了海量的數(shù)據(jù)用于訓(xùn)練探測機(jī)——對于三種不同類型的惡意軟件，探測機(jī)都能夠精準(zhǔn)識別出其種類，準(zhǔn)確率高達(dá)99.82%。

“我們的檢測方法不需要對目標(biāo)設(shè)備進(jìn)行任何的調(diào)試（接入），可以輕松實(shí)現(xiàn)獨(dú)立部署。這種方法更厲害之處，在于它無法被惡意軟件本身‘反偵察’到，”論文寫道，“甚至對于那些用混淆手法修改過的惡意軟件，我們的方法都能夠準(zhǔn)確地識別出其代碼本質(zhì)、使用的遮蓋方法等。”

換成我們一開始用的中醫(yī)的比喻：

這就是用中醫(yī)四診里的“聞”和“切”，來給計(jì)算機(jī)“看病”，而且準(zhǔn)確率高到不可思議，成為了一種完全可靠的計(jì)算機(jī)查毒方法。

截至2020年底，全球投入使用的物聯(lián)網(wǎng)設(shè)備數(shù)量已經(jīng)高達(dá)2000億臺，幾乎折合每人26臺……

這些物聯(lián)網(wǎng)設(shè)備當(dāng)中，有些只是純粹通了電路，加了傳感器，有些則有著多核的處理器，具有更強(qiáng)大的算力。這些物聯(lián)網(wǎng)設(shè)備也成為了天然的黑客攻擊對象——特別是那些具有完整操作系統(tǒng)的設(shè)備，基本上已經(jīng)和我們?nèi)粘Ｊ褂玫碾娔X/手機(jī)無異了，受計(jì)算機(jī)病毒和惡意軟件的攻擊面更大。

而如果我們想要在成千上萬種功能形態(tài)配置各異的物聯(lián)網(wǎng)設(shè)備上，運(yùn)行“查毒軟件”，簡直太難了。

也正因此，針對物聯(lián)網(wǎng)設(shè)備查毒的這項(xiàng)工作，“體外檢查”成為了一個聽起來特別酷炫，卻還真有實(shí)際意義的重要方向。畢竟，現(xiàn)在一些高科技的病毒已經(jīng)具備很強(qiáng)的“反偵察”能力，能夠在被找到的時(shí)候自行摧毀或是改變形態(tài)。

論文寫道：

“惡意軟件無法偵測到外部對目標(biāo)系統(tǒng)電磁波散射的測量，對于硬件級別的事件（如電磁波散射、硬件發(fā)熱等）也沒有控制。因此，基于硬件的保護(hù)系統(tǒng)無法被惡意軟件反制，從而讓電磁波散射探測高隱蔽性惡意軟件（如內(nèi)核 rootkit）成為可能。”

值得提及的是，在此之前，計(jì)算機(jī)安全領(lǐng)域已經(jīng)有一些采用電磁波方式來探測病毒的研究了。但本文的團(tuán)隊(duì)指出，之前的實(shí)驗(yàn)環(huán)境都更簡單，只是做了基本的可行性研究，沒有涉及到復(fù)雜的計(jì)算機(jī)惡意軟件（如變種病毒、加入混淆技術(shù)的病毒等），也無法對不同種類的惡意軟件進(jìn)行準(zhǔn)確的甄別。

“我們提出的方法，能夠在僅采用電磁散射作為探測方法的前提下，準(zhǔn)確甄別真實(shí)世界里存在的，不斷升級、變形的惡意軟件樣本。”

| 當(dāng)電磁散射的“玄學(xué)”，碰上深度學(xué)習(xí)的“顯學(xué)”

光靠“聞”和“切”，就能判斷計(jì)算機(jī)系統(tǒng)是否中毒，而且還能準(zhǔn)確識別出中了哪種毒？

對于大部分非專業(yè)人士來說，這簡直是反常識的……

事實(shí)上，IRISA 團(tuán)隊(duì)所采用的病毒識別和檢測方法，也不是真的只有電磁波檢測。整個“探測機(jī)”系統(tǒng)雖然運(yùn)行在一臺樹莓派單片機(jī)上，它的實(shí)際訓(xùn)練流程還是比較復(fù)雜的，而且也用到了當(dāng)今的“顯學(xué)”之一——深度學(xué)習(xí)。

整個訓(xùn)練過程如下：

首先是數(shù)據(jù)搜集過程。研究團(tuán)隊(duì)采用三種主流的惡意軟件類型（DDoS 命令、勒索軟件、內(nèi)核 rootkit），搭配當(dāng)今在計(jì)算機(jī)病毒領(lǐng)域一些主流的混淆方法，構(gòu)建了一套包含三十種惡意軟件的數(shù)據(jù)集。團(tuán)隊(duì)再用這些病毒入侵一臺運(yùn)行 Linux 操作系統(tǒng)的單片機(jī)，并且對系統(tǒng)散射出的電磁波場進(jìn)行嗅探和數(shù)據(jù)記錄。

值得注意的是數(shù)據(jù)集分成了三組，其中只有一組會用于訓(xùn)練，剩下兩組均用于檢測。

探測機(jī)由一臺樹莓派和一臺示波器組成。樹莓派很便宜，但出于實(shí)驗(yàn)準(zhǔn)確性目的，團(tuán)隊(duì)采用的是高端示波器，價(jià)格貴的離譜……

然后是信號處理過程。由于目標(biāo)單片機(jī)采用的是 ARM 架構(gòu)多核處理器，記錄下的原始電磁信號存在大量噪音，團(tuán)隊(duì)采用短時(shí)傅里葉變換 (STFT) 對其進(jìn)行信號處理，生成頻譜圖，再提取信號特征，用于下一步驟的神經(jīng)網(wǎng)絡(luò)訓(xùn)練。

最后是訓(xùn)練過程。團(tuán)隊(duì)采用了支持向量機(jī) (SVM)、多層感知器 (MLP)、卷積神經(jīng)網(wǎng)絡(luò) (CNN) 等多種結(jié)構(gòu)從簡單到復(fù)雜的神經(jīng)網(wǎng)絡(luò)，對上一步提取的特征進(jìn)行學(xué)習(xí)訓(xùn)練。

團(tuán)隊(duì)用這樣的實(shí)驗(yàn)環(huán)境，總共收集了10萬組信號特征設(shè)置進(jìn)行訓(xùn)練，將神經(jīng)網(wǎng)絡(luò)放到探測機(jī)上進(jìn)行驗(yàn)證。

結(jié)果令人震驚：采用多種架構(gòu)訓(xùn)練的神經(jīng)網(wǎng)絡(luò)，在惡意軟件的類型識別上均達(dá)到了超過98%的準(zhǔn)確度。

特別是采用 CNN 訓(xùn)練的探測機(jī)：

識別 DDoS、勒索軟件、內(nèi)核 Rootkit 三種主要類型的準(zhǔn)確度高達(dá)99.82%；

識別 gonnacry、keysniffer、maK_It、mirai 和 bashlite 等五種惡意軟件家族的準(zhǔn)確度高達(dá)99.61%；

識別虛假控制流、指令集替換、虛擬化等七種代碼混淆方式，準(zhǔn)確度高達(dá)82.70%，顯著優(yōu)于隨機(jī)猜測的14.29%；

對于從未在訓(xùn)練數(shù)據(jù)集中出現(xiàn)的新惡意軟件家族，準(zhǔn)確度高達(dá)98.85%。

通過這項(xiàng)前所未有的實(shí)驗(yàn)，IRISA 團(tuán)隊(duì)在計(jì)算機(jī)系統(tǒng)的旁路惡意軟件檢測上取得了前所未有的成績。

他們證明了這種查毒方式真的非常好用，對于此前不存在的惡意軟件變種，具有極高的甄別能力，并且對于各種復(fù)雜混淆技術(shù)的耐受性非常強(qiáng)。

更重要的是，這種旁路檢測手段，對于目標(biāo)系統(tǒng)完全沒有任何侵入和修改。惡意軟件的反偵察能力再強(qiáng)，也拿它沒招……

早在2016年，惡意軟件 mirai 就已經(jīng)引發(fā)過一場病毒“海嘯”，感染了數(shù)十萬個路由器、攝像頭、打印機(jī)等物聯(lián)網(wǎng)設(shè)備，形成大規(guī)模“僵尸”網(wǎng)絡(luò)，進(jìn)而導(dǎo)致多次全球級別的互聯(lián)網(wǎng)服務(wù)崩潰事故。

在2020年，物聯(lián)網(wǎng)設(shè)備的數(shù)量首次超過非物聯(lián)網(wǎng)。一些權(quán)威機(jī)構(gòu)更是預(yù)計(jì)，全球物聯(lián)網(wǎng)設(shè)備將在2025年達(dá)到300億臺。展望未來，物聯(lián)網(wǎng)惡意軟件對于人類社會運(yùn)轉(zhuǎn)的威脅程度將不斷提高。

而對抗物聯(lián)網(wǎng)病毒，我們需要兩手抓：設(shè)備投放使用前的安全設(shè)計(jì)達(dá)標(biāo)，和設(shè)備投放使用后的有效查/殺技術(shù)。

對于前者，算力成本一直是個邁不過去的坎。而對于后者，至少現(xiàn)在我們手里已經(jīng)有一種武器了。