Mon logiciel antivirus scanne directement les ondes électromagnétiques pour vérifier la précision du cheval de Troie 99,82%

Le cœur de la machine 2022-01-14 21:19:14
Internet des objets (IoT) .Se compose d'équipements dont le nombre et la complexité augmentent exponentiellement,Tout en utilisant un grand nombre de microprogrammes et de matériel personnalisés,Il est difficile pour les fabricants de tenir pleinement compte des questions de sécurité,Ça rend IoT Il est facile d'être la cible d'un Cybercrime,Surtout ces attaques de logiciels malveillants.

En cours,De nombreuses grandes entreprises du monde entier sont aux prises avec des attaques de logiciels malveillants de plus en plus vastes et complexes.Mais une nouvelle technologie intéressante de détection de logiciels malveillants,Peut aider les entreprises à éliminer ces menaces sans avoir besoin de logiciels.

L'équipe de recherche de l'Institut français d'informatique et de systèmes stochastiques a créé un système anti - malware centré sur la tarte aux framboises,Le système peut scanner les ondes électromagnétiques dans l'appareil pour détecter les logiciels malveillants.
Liens vers les articles:https://hal.archives-ouvertes.fr/hal-03374399/document

Cet équipement de sécurité utilise un oscilloscope (Picoscope 6407) Et connecté à Raspberry Pi 2B De H-Field Sonde pour détecter les anomalies dans certaines ondes électromagnétiques émises par l'ordinateur attaqué . Les chercheurs disent que cette technique a été utilisée 「 .Obtenir des renseignements précis sur le type et l'identité des logiciels malveillants .」Et puis, Le système de détection repose sur un réseau neuronal convolutif (CNN) Pour déterminer si les données recueillies indiquent une menace .

Avec cette technologie , Les chercheurs affirment qu'ils peuvent enregistrer les appareils IOT infectés par de vrais échantillons de logiciels malveillants 100000 Piste de mesure , Et jusqu'à 99.82% La précision prédit trois catégories générales et une catégorie bénigne de logiciels malveillants .

Et surtout, Cette technique de détection n'exige aucun logiciel , L'appareil scanné n'a pas besoin d'être utilisé de quelque manière que ce soit .Donc,, Il n'est pas possible pour l'attaquant d'essayer de cacher le Code malveillant en utilisant des techniques de confusion .

「 Notre approche n'exige aucune modification de l'équipement cible .Donc,, Il peut être déployé indépendamment des ressources disponibles ,Sans frais généraux.En outre,L'avantage de cette approche est que, Les auteurs de logiciels malveillants sont à peine capables de détecter et de contourner .」 Les chercheurs ont écrit dans leur article que .

Le système a été conçu uniquement à des fins de recherche , Au lieu d'être publié comme un produit commercial , Cela pourrait inciter davantage d'équipes de sécurité à étudier de nouvelles façons d'utiliser les ondes électromagnétiques pour détecter les logiciels malveillants. . La recherche en est à ses débuts , Les réseaux neuronaux ont besoin d'une formation plus poussée pour être utiles .

En un sens., Ce système est également un moyen unique de protéger l'équipement , Il rend difficile pour les auteurs de logiciels malveillants de cacher le Code , Mais la technologie est loin d'être accessible au public .

Compte tenu du prix de la tarte aux framboises , Il peut s'agir d'un moyen peu coûteux de détecter les logiciels malveillants , Et d'autres appareils de balayage électromagnétique coûtent des milliers de dollars . Malgré les limites ,Mais d'un autre point de vue,, Ce réglage simple pourrait un jour aider l'appareil à se protéger contre les grandes attaques .

Détails de la recherche

L'équipe a proposé un cadre de classification des logiciels malveillants , Le cadre prend l'exécutable comme entrée , Sortie de son étiquette prédictive uniquement à partir de l'information sur le canal côté onde électromagnétique .

Fig. 1 Montre le flux de travail :Tout d'abord,, Les chercheurs ont défini un modèle de menace , Quand le malware fonctionne sur le périphérique cible , Collecte d'informations sur les émissions d'ondes électromagnétiques . Ils ont construit une infrastructure , Capable d'exécuter des logiciels malveillants avec un environnement utilisateur réaliste , En même temps, prévenir l'infection du système de commande de l'hôte .Et puis, Parce que les données recueillies sont très bruyantes , Des étapes de prétraitement sont nécessaires pour isoler les signaux d'information pertinents. .Enfin, Avec cette sortie , Les chercheurs ont formé des modèles de réseaux neuronaux et des algorithmes d'apprentissage automatique , Pour classer les types de logiciels malveillants 、Binaires、Méthodes de confusion, Et vérifier si un exécutable est emballé .
Expériences et résultats

La première étape de l'expérience de recherche est la collecte de données .

La première sélection du périphérique cible est pour EM L'analyse des canaux latéraux est essentielle . Les chercheurs ont établi trois exigences principales :

Il doit s'agir d'un dispositif intégré polyvalent , Pour prendre en charge autant de logiciels malveillants que possible , Au lieu d'un groupe spécifique de logiciels malveillants ou d'appareils ;
C'est... CPU Doit avoir une architecture exceptionnelle , Pour éviter l'absence de nouveaux IoT Prise en charge des logiciels malveillants ; 
Il doit être facile à EM Attaques de canaux latéraux.

Le choix final de l'étude Raspberry Pi 2B Comme avec 900 MHz Quatre noyaux ARM Cortex-A7、1 GB Périphérique cible pour la mémoire .

Pour soutenir les ensembles de données malware (Y compris: Mirai Et Bashlite), L'étude a mis en oeuvre la malice centrale C&C Environnement de composition du modèle serveur .Comme le montre la figure ci - dessous: 2 Comme indiqué, Dans plusieurs scénarios d'attaque ,Adoption C&C Le serveur envoie aléatoirement différentes commandes aux clients Botnet .
En ce qui concerne l'acquisition de signaux électromagnétiques , L'étude a utilisé des paramètres de mesure de moyenne et basse portée pour surveiller les tartes aux framboises à l'aide d'ensembles de données bénins et malveillants. .Comme le montre la figure ci - dessous: 3 Comme indiqué, Il est relié à H - Sonde de champ (Langer RF-R 0.3-3)De 1GHz Oscilloscope à bande passante (Picoscope 6407)Composition,Dont utilisation Langer PA-303 +30dB Zoom EM Signal. Pour capturer l'exécution prolongée de logiciels malveillants ,Par 2MHz Le taux d'échantillonnage du signal est .
Sur le spectre NICV Le processus de sélection des caractéristiques pour 4 Comme indiqué.
Les résultats expérimentaux sont présentés dans le tableau ci - dessous. 3 Comme indiqué. La première colonne indique le nom du programme , La deuxième colonne indique le nombre de sorties du réseau (Catégorie), D'autres colonnes montrent l'exactitude du nombre optimal de bandes passantes et l'exactitude et le rappel des deux modèles de réseaux neuronaux. , Et deux algorithmes d'apprentissage automatique sur l'ensemble de données d'essai .
Classification. Les chercheurs ont utilisé un total de 30 Traces mesurées pendant l'activité de l'échantillon de logiciels malveillants , Plus une activité bénigne (Aléatoire、Vidéo、La musique、Photos、 Activité de la caméra ) Des traces de, Pour éviter les préjugés , Ces deux activités se déroulent dans un environnement utilisateur aléatoire .

Le code binaire malware est une variante de cinq familles : gonnacry、 keysniffer、 maK it、 mirai Et bashlite, Comprend sept techniques de confusion différentes .

Dans ce cas,, L'objectif du chercheur est de récupérer le type de logiciel malveillant de l'appareil infecté au moment de l'entrée . Il s'agit d'un 4 Problèmes de classification des grades : Ransomware、 rootkit、 DDoS Et bénigne . Tous les modèles sont très efficaces pour ce problème (> 98% Précision) , La confusion apparente n'empêche pas la classification des types .
Peut être observé,CNN (99.82%)Que MLP、 NB Et SVM Un peu plus précis .Fig. 5(a) Classe de prédiction montrant chaque matrice de confusion binaire exécutée (Étiquette de prévision).Plus la couleur est foncée, Plus la proportion d'étiquettes correctement prédites est élevée .Bénigne rootkit Il n'y a pas de confusion entre la classe et toute autre classe ,Bidirectionnel DDos Il y a un peu de confusion avec le ransomware . La matrice de confusion est illustrée à la figure 5(b) Comme indiqué, Il indique que la plupart des types peuvent être correctement classés , Et la confusion n'empêche pas le classement .Fig. 5(c) Pour chaque technique de confusion ,CNN Sont capables de prédire la bonne étiquette de classement .

L'étude a montré que, En utilisant un modèle de réseau neuronal simple , Vous pouvez le voir en le regardant seulement EM Rayonnement pour comprendre l'état de l'équipement surveillé , Et peut être identifié pour attaquer la tarte aux framboises (Exécution Linux OS) Type de malware pour , Précision de l'ensemble de données d'essai jusqu'à 99.89%.En outre, L'étude a également démontré que les techniques de confusion logicielle n'interfèrent pas avec les méthodes de classification. . Ce travail ouvre une nouvelle direction à l'analyse du comportement par rayonnement électromagnétique .

Liens de référence:
https://gizmodo.com/raspberry-pi-can-detect-malware-by-scanning-for-electro-1848339130
本文为[Le cœur de la machine]所创,转载请带上原文链接,感谢
https://fheadline.com/2022/01/202201142103121082.html
相似文章