來(lái)源：硅星人

準(zhǔn)確率高達(dá)99%！

文｜杜晨 編輯｜VickyXiao

中醫(yī)講究“望聞問(wèn)切”。望，指觀氣色；聞，指聽聲息；問(wèn)；指詢問(wèn)癥狀；切；指摸脈象。

如果我們把中醫(yī)的思路，套用計(jì)算機(jī)科學(xué)上，會(huì)發(fā)生什么？

近日，法國(guó)研究機(jī)構(gòu) IRISA 的團(tuán)隊(duì)，發(fā)表了這樣一篇論文：

針對(duì)物聯(lián)網(wǎng)設(shè)備，

完全不通過(guò)物理和軟件方式接入目標(biāo)系統(tǒng)，

僅通過(guò)“體外”檢測(cè)其發(fā)出的電磁波，

就能發(fā)現(xiàn)目標(biāo)系統(tǒng)是否遭到入侵，甚至還能判別入侵的惡意軟件種類，準(zhǔn)確度高達(dá)99.82%。

電腦查毒，也能“望聞問(wèn)切”？

首先，讓我們回憶下物聯(lián)網(wǎng)的定義：在物聯(lián)網(wǎng)的時(shí)代，萬(wàn)物都能聯(lián)網(wǎng)。而在這一概念之下，每個(gè)物體/設(shè)備，其實(shí)都是一個(gè)自主運(yùn)行的計(jì)算機(jī)系統(tǒng)。

這些系統(tǒng)，從硬件、固件/軟件上，都是五花八門、形態(tài)各異的。與此同時(shí)，大多數(shù)物聯(lián)網(wǎng)設(shè)備都缺乏對(duì)于系統(tǒng)安全的考慮，而且它們也已投放到了越來(lái)越多關(guān)鍵的場(chǎng)景中使用，比如能源、交通、軍事等——因此，物聯(lián)網(wǎng)設(shè)備日益成為惡意軟件攻擊的目標(biāo)。

可想而知，針對(duì)物聯(lián)網(wǎng)設(shè)備的查毒、殺毒，成了大問(wèn)題。

近日，來(lái)自法國(guó) IRISA 的團(tuán)隊(duì)在計(jì)算機(jī)安全方面的學(xué)術(shù)大會(huì) ACSAC 上發(fā)表了論文，題為《混淆揭曉：通過(guò)電磁信號(hào)甄別混淆后惡意軟件種類》(Obfuscation Revealed: Leveraging Electromagnetic Signals for Obfuscated Malware Classification)。

他們的研究對(duì)象，正是物聯(lián)網(wǎng)設(shè)備。

這支團(tuán)隊(duì)來(lái)自于法國(guó)計(jì)算機(jī)科學(xué)和隨機(jī)系統(tǒng)研究院 (IRISA)、國(guó)立計(jì)算機(jī)及自動(dòng)化研究院 (INRIA)、“法國(guó)版中科院” CNRS，和雷恩第一大學(xué)。

他們提出了一種全新的方式，只用一臺(tái)樹莓派電腦作為“探測(cè)機(jī)”，對(duì)目標(biāo)系統(tǒng)在運(yùn)行時(shí)散射出的電磁波形進(jìn)行檢測(cè)，從而準(zhǔn)確地判斷目標(biāo)系統(tǒng)是在正常運(yùn)轉(zhuǎn)，還是已經(jīng)被病毒入侵。

更厲害的是，該團(tuán)隊(duì)用此方法進(jìn)行了大量的檢測(cè)，積累了海量的數(shù)據(jù)用于訓(xùn)練探測(cè)機(jī)——對(duì)于三種不同類型的惡意軟件，探測(cè)機(jī)都能夠精準(zhǔn)識(shí)別出其種類，準(zhǔn)確率高達(dá)99.82%。

“我們的檢測(cè)方法不需要對(duì)目標(biāo)設(shè)備進(jìn)行任何的調(diào)試（接入），可以輕松實(shí)現(xiàn)獨(dú)立部署。這種方法更厲害之處，在于它無(wú)法被惡意軟件本身‘反偵察’到，”論文寫道，“甚至對(duì)于那些用混淆手法修改過(guò)的惡意軟件，我們的方法都能夠準(zhǔn)確地識(shí)別出其代碼本質(zhì)、使用的遮蓋方法等。”

換成我們一開始用的中醫(yī)的比喻：

這就是用中醫(yī)四診里的“聞”和“切”，來(lái)給計(jì)算機(jī)“看病”，而且準(zhǔn)確率高到不可思議，成為了一種完全可靠的計(jì)算機(jī)查毒方法。

截至2020年底，全球投入使用的物聯(lián)網(wǎng)設(shè)備數(shù)量已經(jīng)高達(dá)2000億臺(tái)，幾乎折合每人26臺(tái)……

這些物聯(lián)網(wǎng)設(shè)備當(dāng)中，有些只是純粹通了電路，加了傳感器，有些則有著多核的處理器，具有更強(qiáng)大的算力。這些物聯(lián)網(wǎng)設(shè)備也成為了天然的黑客攻擊對(duì)象——特別是那些具有完整操作系統(tǒng)的設(shè)備，基本上已經(jīng)和我們?nèi)粘Ｊ褂玫碾娔X/手機(jī)無(wú)異了，受計(jì)算機(jī)病毒和惡意軟件的攻擊面更大。

而如果我們想要在成千上萬(wàn)種功能形態(tài)配置各異的物聯(lián)網(wǎng)設(shè)備上，運(yùn)行“查毒軟件”，簡(jiǎn)直太難了。

也正因此，針對(duì)物聯(lián)網(wǎng)設(shè)備查毒的這項(xiàng)工作，“體外檢查”成為了一個(gè)聽起來(lái)特別酷炫，卻還真有實(shí)際意義的重要方向。畢竟，現(xiàn)在一些高科技的病毒已經(jīng)具備很強(qiáng)的“反偵察”能力，能夠在被找到的時(shí)候自行摧毀或是改變形態(tài)。

論文寫道：

“惡意軟件無(wú)法偵測(cè)到外部對(duì)目標(biāo)系統(tǒng)電磁波散射的測(cè)量，對(duì)于硬件級(jí)別的事件（如電磁波散射、硬件發(fā)熱等）也沒(méi)有控制。因此，基于硬件的保護(hù)系統(tǒng)無(wú)法被惡意軟件反制，從而讓電磁波散射探測(cè)高隱蔽性惡意軟件（如內(nèi)核 rootkit）成為可能。”

值得提及的是，在此之前，計(jì)算機(jī)安全領(lǐng)域已經(jīng)有一些采用電磁波方式來(lái)探測(cè)病毒的研究了。但本文的團(tuán)隊(duì)指出，之前的實(shí)驗(yàn)環(huán)境都更簡(jiǎn)單，只是做了基本的可行性研究，沒(méi)有涉及到復(fù)雜的計(jì)算機(jī)惡意軟件（如變種病毒、加入混淆技術(shù)的病毒等），也無(wú)法對(duì)不同種類的惡意軟件進(jìn)行準(zhǔn)確的甄別。

“我們提出的方法，能夠在僅采用電磁散射作為探測(cè)方法的前提下，準(zhǔn)確甄別真實(shí)世界里存在的，不斷升級(jí)、變形的惡意軟件樣本。”

| 當(dāng)電磁散射的“玄學(xué)”，碰上深度學(xué)習(xí)的“顯學(xué)”

光靠“聞”和“切”，就能判斷計(jì)算機(jī)系統(tǒng)是否中毒，而且還能準(zhǔn)確識(shí)別出中了哪種毒？

對(duì)于大部分非專業(yè)人士來(lái)說(shuō)，這簡(jiǎn)直是反常識(shí)的……

事實(shí)上，IRISA 團(tuán)隊(duì)所采用的病毒識(shí)別和檢測(cè)方法，也不是真的只有電磁波檢測(cè)。整個(gè)“探測(cè)機(jī)”系統(tǒng)雖然運(yùn)行在一臺(tái)樹莓派單片機(jī)上，它的實(shí)際訓(xùn)練流程還是比較復(fù)雜的，而且也用到了當(dāng)今的“顯學(xué)”之一——深度學(xué)習(xí)。

整個(gè)訓(xùn)練過(guò)程如下：

首先是數(shù)據(jù)搜集過(guò)程。研究團(tuán)隊(duì)采用三種主流的惡意軟件類型（DDoS 命令、勒索軟件、內(nèi)核 rootkit），搭配當(dāng)今在計(jì)算機(jī)病毒領(lǐng)域一些主流的混淆方法，構(gòu)建了一套包含三十種惡意軟件的數(shù)據(jù)集。團(tuán)隊(duì)再用這些病毒入侵一臺(tái)運(yùn)行 Linux 操作系統(tǒng)的單片機(jī)，并且對(duì)系統(tǒng)散射出的電磁波場(chǎng)進(jìn)行嗅探和數(shù)據(jù)記錄。

值得注意的是數(shù)據(jù)集分成了三組，其中只有一組會(huì)用于訓(xùn)練，剩下兩組均用于檢測(cè)。

探測(cè)機(jī)由一臺(tái)樹莓派和一臺(tái)示波器組成。樹莓派很便宜，但出于實(shí)驗(yàn)準(zhǔn)確性目的，團(tuán)隊(duì)采用的是高端示波器，價(jià)格貴的離譜……

然后是信號(hào)處理過(guò)程。由于目標(biāo)單片機(jī)采用的是 ARM 架構(gòu)多核處理器，記錄下的原始電磁信號(hào)存在大量噪音，團(tuán)隊(duì)采用短時(shí)傅里葉變換 (STFT) 對(duì)其進(jìn)行信號(hào)處理，生成頻譜圖，再提取信號(hào)特征，用于下一步驟的神經(jīng)網(wǎng)絡(luò)訓(xùn)練。

最后是訓(xùn)練過(guò)程。團(tuán)隊(duì)采用了支持向量機(jī) (SVM)、多層感知器 (MLP)、卷積神經(jīng)網(wǎng)絡(luò) (CNN) 等多種結(jié)構(gòu)從簡(jiǎn)單到復(fù)雜的神經(jīng)網(wǎng)絡(luò)，對(duì)上一步提取的特征進(jìn)行學(xué)習(xí)訓(xùn)練。

團(tuán)隊(duì)用這樣的實(shí)驗(yàn)環(huán)境，總共收集了10萬(wàn)組信號(hào)特征設(shè)置進(jìn)行訓(xùn)練，將神經(jīng)網(wǎng)絡(luò)放到探測(cè)機(jī)上進(jìn)行驗(yàn)證。

結(jié)果令人震驚：采用多種架構(gòu)訓(xùn)練的神經(jīng)網(wǎng)絡(luò)，在惡意軟件的類型識(shí)別上均達(dá)到了超過(guò)98%的準(zhǔn)確度。

特別是采用 CNN 訓(xùn)練的探測(cè)機(jī)：

識(shí)別 DDoS、勒索軟件、內(nèi)核 Rootkit 三種主要類型的準(zhǔn)確度高達(dá)99.82%；

識(shí)別 gonnacry、keysniffer、maK_It、mirai 和 bashlite 等五種惡意軟件家族的準(zhǔn)確度高達(dá)99.61%；

識(shí)別虛假控制流、指令集替換、虛擬化等七種代碼混淆方式，準(zhǔn)確度高達(dá)82.70%，顯著優(yōu)于隨機(jī)猜測(cè)的14.29%；

對(duì)于從未在訓(xùn)練數(shù)據(jù)集中出現(xiàn)的新惡意軟件家族，準(zhǔn)確度高達(dá)98.85%。

通過(guò)這項(xiàng)前所未有的實(shí)驗(yàn)，IRISA 團(tuán)隊(duì)在計(jì)算機(jī)系統(tǒng)的旁路惡意軟件檢測(cè)上取得了前所未有的成績(jī)。

他們證明了這種查毒方式真的非常好用，對(duì)于此前不存在的惡意軟件變種，具有極高的甄別能力，并且對(duì)于各種復(fù)雜混淆技術(shù)的耐受性非常強(qiáng)。

更重要的是，這種旁路檢測(cè)手段，對(duì)于目標(biāo)系統(tǒng)完全沒(méi)有任何侵入和修改。惡意軟件的反偵察能力再?gòu)?qiáng)，也拿它沒(méi)招……

早在2016年，惡意軟件 mirai 就已經(jīng)引發(fā)過(guò)一場(chǎng)病毒“海嘯”，感染了數(shù)十萬(wàn)個(gè)路由器、攝像頭、打印機(jī)等物聯(lián)網(wǎng)設(shè)備，形成大規(guī)模“僵尸”網(wǎng)絡(luò)，進(jìn)而導(dǎo)致多次全球級(jí)別的互聯(lián)網(wǎng)服務(wù)崩潰事故。

在2020年，物聯(lián)網(wǎng)設(shè)備的數(shù)量首次超過(guò)非物聯(lián)網(wǎng)。一些權(quán)威機(jī)構(gòu)更是預(yù)計(jì)，全球物聯(lián)網(wǎng)設(shè)備將在2025年達(dá)到300億臺(tái)。展望未來(lái)，物聯(lián)網(wǎng)惡意軟件對(duì)于人類社會(huì)運(yùn)轉(zhuǎn)的威脅程度將不斷提高。

而對(duì)抗物聯(lián)網(wǎng)病毒，我們需要兩手抓：設(shè)備投放使用前的安全設(shè)計(jì)達(dá)標(biāo)，和設(shè)備投放使用后的有效查/殺技術(shù)。

對(duì)于前者，算力成本一直是個(gè)邁不過(guò)去的坎。而對(duì)于后者，至少現(xiàn)在我們手里已經(jīng)有一種武器了。