杀毒软件(杀毒软件可以查杀病毒)

机器心脏报告

编辑:蛋酱，船

我们总说物联网设备的网络安全难以保证。现在有人通过“降维攻坚”来做安排。

物联网(IoT)由数量和复杂性呈指数级增长的设备组成。在使用大量定制的固件和硬件的同时，制造商很难充分考虑安全问题，这使得物联网很容易成为网络犯罪，尤其是那些恶意软件攻击的目标。

目前，世界上许多大型企业都在努力应对日益广泛和复杂的恶意软件攻击。但是一种有趣的新恶意软件检测技术可以帮助企业在不使用任何软件的情况下根除这些威胁。

来自法国计算机科学和随机系统研究所的一个研究团队创建了一个以Raspberry Pi为中心的反恶意软件系统，该系统可以扫描设备中的电磁波，以检测恶意软件。

论文链接:

这种安全设备使用示波器(Picoscope 6407)和连接到Raspberry Pi 2B的H场探头来检测被攻击计算机发出的特定电磁波中的异常情况。研究人员表示，这项技术用于“获取关于恶意软件类型和身份的准确信息。然后，检测系统依靠卷积神经网络(CNN)来确定收集的数据是否表明存在威胁。

利用这项技术，研究人员声称他们可以记录10万个被真实恶意软件样本感染的物联网设备的测量轨迹，并预测三个通用和一个良性恶意软件类别，准确率高达99.82%。

最重要的是，这种检测技术不需要任何软件，被扫描的设备不需要任何方式的操作。因此，攻击者试图利用混淆技术隐藏恶意代码是不可行的。

“我们的方法不需要对目标设备进行任何修改。因此，它可以独立于可用资源进行部署，没有任何开销。此外，这种方法的优点是恶意软件作者几乎无法检测和规避它。研究人员在论文中写道。

该系统仅用于研究目的，而不是作为商业产品发布，它可能会激励更多的安全团队研究使用电磁波检测恶意软件的新方法。目前研究处于早期阶段，神经网络还需要进一步训练才能用于实际。

从某种意义上来说，这种系统也是保护设备的一种独特方式，这使得恶意软件作者很难隐藏他们的代码，但这种技术还远远不能提供给公众。

考虑到Raspberry Pi的价格，这可能是一种低成本的检测恶意软件的方法，而其他电磁波扫描设备需要数千美元。尽管有其局限性，但从另一个角度来看，这种简单的设置有朝一日可能有助于保护设备免受大规模攻击。

研究细节

团队提出了一个恶意软件的分类框架，以可执行文件为输入，仅依靠电磁波侧的信道信息输出其预测标签。

图1显示了工作流程:首先，研究人员定义了一个威胁模型，当恶意软件在目标设备上运行时，该模型会收集电磁波发射信息。他们建立了一个可以运行恶意软件和真实用户环境的基础设施，同时防止主机控制器系统被感染。然后，因为收集的数据噪声很大，所以需要预处理步骤来分离相关的信息信号。最后，利用这一输出，研究人员训练神经网络模型和机器学习算法，对恶意软件类型、二进制文件和混淆方法进行分类，并检查可执行文件是否打包。

实验和结果

本研究实验的第一步是数据收集。

首先，目标设备的选择对于电磁侧信道分析非常重要。研究人员建立了三个主要要求:

必须是多用途的嵌入式设备，尽可能支持收集到的恶意软件，而不是特定的一组恶意软件或设备；

它的CPU必须有突出的架构，以避免缺乏对新的物联网恶意软件的支持；

它肯定容易受到EM侧信道攻击。

在这项研究中，树莓派2B被选为900 MHz四核ARM Cortex-A7和1 GB内存的目标设备。

为了支持恶意软件数据集(包括Mirai未来组合和Bashlite)，本研究实现了中央恶意C&C服务器模型的合成环境。如下图2所示，在各种攻击场景下，C&C服务器随机向僵尸网络客户端发送不同的命令。

在电磁信号采集方面，本研究采用中低档测量设置，在良性和恶意数据集执行下对草莓派进行监测。如下图3所示，它由一个1GHz带宽示波器(Picoscope 6407)连接到一个H场探头(Langer RF-R 0.3-3)组成，其中Langer PA-303 +30dB用于放大EM信号。为了捕捉恶意软件的长时间执行，以2MHz的采样率对信号进行采样。

NICV在光谱上的特征选择过程如下图4所示。

实验结果如表3所示。第一列是方案的名称，第二列表示网络的输出量(类)。其他列显示了最佳带宽量的准确性，两个神经网络模型的准确性和召回率，以及测试数据集上的两个机器学习算法。

分类。研究人员使用了在30个恶意软件样本活动中测量的痕迹，加上良性活动(随机、视频、音乐、图片、相机活动)的痕迹。为了避免偏见，两个活动都是在随机的用户环境中进行的。

恶意软件二进制代码是五个家族的变种:gonnacry、keysniffer、maK it、mirai和bashlite，包括七种不同的混淆技术。

在这种情况下，研究人员的目标是在进入时检索受感染设备的恶意软件类型。这里涉及到4级分类问题:勒索软件、rootkit、DDoS和良性。所有模型对这个问题都非常有效(>:98%的准确率)，显然混淆并不妨碍类型分类。

可以观察到，CNN (99.82%)比MLP、NB和SVM略准确。图5(a)示出了每个执行的二元混淆矩阵的预测类别(预测标签)。颜色越深，正确预测的标签比例越高。良性rootkit类和任何其他类之间没有混淆，但双向DDos和勒索软件之间有一点混淆。混淆矩阵如图5(b)所示，表明大多数类型都可以正确分类，混淆不会妨碍分类。图5(c)示出了CNN可以为每种混淆技术预测正确的分类标签。

研究表明，通过使用简单的神经网络模型，只需观察其电磁辐射就可以知道被监控设备的状态，并可以确定攻击Raspberry Pi(运行Linux OS)的恶意软件类型，在测试数据集上准确率达到99.89%。此外，本研究还证明了软件混淆技术不会妨碍其分类方法。这项工作开辟了通过电磁辐射进行行为分析的新方向。

参考链接:

. com/raspberry-pi-can-detect-malware-by-scanning-for-electro-