最新公告
  • 欢迎您光临欧资源网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 电脑查毒,也能“望闻问切”,会发生什么?(组图)

    中医讲求“见、闻、问、知”。看,观察肤色;闻,听声音;问;询问症状;剪断;感受脉搏。

    如果我们将中医的思想应用到计算机科学中会发生什么?

    最近,来自法国IRISA研究所的一个团队发表了这样一篇论文:

    对于物联网设备,

    根本没有对目标系统的物理和软件访问,

    只检测它“在体外”发出的电磁波,

    可以查出目标系统是否被入侵,甚至可以识别被入侵的恶意软件类型,准确率99.82%。

    当您检查计算机上的病毒时,您能“看、听、问和知道”吗?

    首先,让我们回顾一下物联网的定义:在物联网时代,万物皆可接入互联网。在这个概念下,每个对象/设备实际上都是一个自治的计算机系统。

    这些系统在硬件、固件/软件方面具有各种形式和形式。同时,大部分物联网设备缺乏对系统安全的考虑,也被用于越来越多的关键场景,如能源、交通、军事等——因此,物联网设备越来越成为恶意软件攻击的目标.

    可以想象,物联网设备的病毒检测和杀毒已经成为一个大问题。

    近日,来自法国 IRISA 的团队在计算机安全学术会议 ACSAC 上发表了一篇论文,题为《Obfuscation Revealed: Leveraging Electromagnetic Signals for Obfuscated Malware Classification》(Obfuscation Revealed: Leveraging Electromagnetic Signals for Obfuscated Malware Classification)) .

    他们的研究对象是物联网设备。

    团队来自法国计算机科学与随机系统研究所 (IRISA)、美国国家计算机与自动化研究所 (INRIA)、CNRS、中国科学院法文版和雷恩第一大学。

    他们提出了一种新方法,只用一台树莓派电脑作为“探测器”,检测目标系统在运行过程中散射的电磁波,从而准确判断目标系统是正常运行,还是被入侵被病毒感染了。

    更何况,团队使用这种方法进行了大量的检测,积累了大量的数据来训练检测机——对于三种不同类型的恶意软件,检测机可以准确识别其类型计算机病毒y有哪些种类,准确率高达99.82%。

    “我们的检测方法不需要对目标设备进行任何调试(访问),并且可以很容易地独立部署。这种方法更强大的是它不能被恶意软件本身‘反侦察’,”“即使对于经过混淆修改的恶意软件,我们的方法也可以准确识别代码的性质、使用的掩码方法等,”该论文写道。

    换成我们一开始使用的中文比喻:

    这是利用中医四诊中的“闻”和“切”为电脑“看病”,准确率高得离谱,成为完全可靠的电脑病毒检测方法。

    图片无关

    到 2020 年底,全球使用的物联网设备数量已达到 2000 亿台,几乎相当于每人 26 台……

    其中一些物联网设备只是简单地连接到电路和传感器计算机病毒y有哪些种类,而另一些则具有具有更强大计算能力的多核处理器。这些物联网设备也成为了黑客的天然目标——尤其是那些拥有完整操作系统的设备,这些设备与我们日常的电脑/手机基本相同,更容易受到计算机病毒和恶意软件的攻击。 .

    而如果我们想在数千台具有各种功能形式和配置的物联网设备上运行“病毒扫描软件”,那简直是太难了。

    也正因如此,“体外检查”成为了一个听起来很酷,但又具有现实意义的重要方向。毕竟现在有些高科技病毒具有很强的“反侦察”能力,被发现后可以自行破坏或改变形态。

    论文写道:

    “恶意软件无法检测目标系统电磁波散射的外部测量值,并且无法控制硬件级事件(例如电磁波散射、硬件加热等)。因此,基于硬件的保护系统无法被恶意软件攻击。 ,从而可以散射电磁波以检测高度隐蔽的恶意软件,例如内核 rootkit。”

    值得一提的是,在此之前,在计算机安全领域已经有一些利用电磁波检测病毒的研究。但该论文团队指出,之前的实验环境比较简单,只做基础可行性研究,并未涉及复杂的计算机恶意软件(如变种病毒、带有混淆技术的病毒等)对恶意软件进行精准筛选.

    “我们提出的方法可以在仅使用电磁散射作为检测方法的前提下,准确识别现实世界中存在的不断升级和变形的恶意软件样本。”

    当电磁散射的“形而上学”遇上深度学习的“显性科学”

    只有“闻”和“切”,才能判断电脑系统是否中毒,能准确识别出是哪种毒?

    对于大多数非专业人士来说,这简直是违反直觉的……

    其实IRISA团队使用的病毒识别和检测方法,其实不仅仅是电磁波检测。虽然整个“检测器”系统运行在树莓派微控制器上,但其实际训练过程相对复杂,而且还用到了当今“显式学习”之一——深度学习。

    整个训练过程如下:

    首先是数据收集过程。研究团队使用三种主流恶意软件类型(DDoS 命令、勒索软件、内核 rootkit)和当今计算机病毒领域的一些主流混淆方法,构建了三十种恶意软件类型的数据集。然后,该团队利用病毒入侵了运行 Linux 操作系统的微控制器,并嗅探并记录了系统散射的电磁波场。

    值得注意的是,数据集分为三组,仅其中一组用于训练,其余两组用于检测。

    探头由 Raspberry Pi 和示波器组成。树莓派很便宜,但为了实验的准确性,团队使用了高端示波器,昂贵的频谱……

    然后是信号处理过程。由于目标单片机采用ARM架构的多核处理器,记录下来的原始电磁信号含有大量噪声。团队使用短时傅里叶变换 (STFT) 对信号进行处理以生成频谱图,然后提取信号特征用于下一步的神经网络训练。

    最后是训练过程。该团队使用了从简单到复杂神经网络的各种结构,例如支持向量机 (SVM)、多层感知器 (MLP) 和卷积神经网络 (CNN),来学习和训练上一步提取的特征。

    团队利用该实验环境共采集了10万组信号特征设置进行训练,并将神经网络放在检测机上进行验证。

    结果令人震惊:使用多种架构训练的神经网络在识别恶意软件类型方面的准确率超过 98%。

    尤其是使用 CNN 训练的检测器:

    识别DDoS、勒索软件、内核rootkit三种主要类型的准确率高达99.82%;

    以 99.61% 的准确率识别 5 个恶意软件家族,包括 gongcry、keysniffer、maK_It、mirai 和 bashlite;

    识别虚假控制流、指令集替换、虚拟化等七种代码混淆方法,准确率82.70%,明显优于随机猜测14.29% ;

    p>

    对于从未出现在训练数据集中的新恶意软件系列,准确率高达 98.85%。

    通过这项史无前例的实验,IRISA 团队在绕过计算机系统上的恶意软件检测方面取得了前所未有的成果。

    他们已经证明,这种病毒检测方法确实有用,对以前不存在的恶意软件变种具有非常高的筛选能力,并且对各种复杂的混淆技术具有很强的抵抗力。

    更重要的是,这种绕过检测方法对目标系统完全没有任何入侵和修改。恶意软件的反侦察能力再强,也没办法用……

    早在2016年,恶意软件mirai就已经引发了病毒“海啸”,感染了数十万台路由器、摄像头、打印机等物联网设备,形成了一个大规模的“僵尸”网络,导致多个互联网服务在全球范围内崩溃。

    2020 年,物联网设备数量首次超过非物联网设备。一些权威机构甚至预测,到 2025 年,全球物联网设备将达到 300 亿台。展望未来,物联网恶意软件对人类社会运行的威胁程度将继续增加。

    要对抗物联网病毒,我们需要把握两个方面:设备投入使用前的安全设计,以及设备投入使用后的有效检测/查杀技术。

    对于前者来说,算力成本一直是一个难以逾越的障碍。而对于后者,至少现在我们手中有一把武器。

    站内大部分资源收集于网络,若侵犯了您的合法权益,请联系我们删除!
    欧资源网 » 电脑查毒,也能“望闻问切”,会发生什么?(组图)

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    欧资源网
    一个高级程序员模板开发平台

    发表评论