|电脑杀毒,原来还能“望闻问切”?( 二 )


换成我们一开始用的中医的比喻:
这就是用中医四诊里的“闻”和“切” , 来给计算机“看病” , 而且准确率高到不可思议 , 成为了一种完全可靠的计算机查毒方法 。
|电脑杀毒,原来还能“望闻问切”?
文章图片
图3/8

截至2020年底 , 全球投入使用的物联网设备数量已经高达2000亿台 , 几乎折合每人26台……
这些物联网设备当中 , 有些只是纯粹通了电路 , 加了传感器 , 有些则有着多核的处理器 , 具有更强大的算力 。 这些物联网设备也成为了天然的黑客攻击对象——特别是那些具有完整操作系统的设备 , 基本上已经和我们日常使用的电脑/手机无异了 , 受计算机病毒和恶意软件的攻击面更大 。
而如果我们想要在成千上万种功能形态配置各异的物联网设备上 , 运行“查毒软件” , 简直太难了 。
也正因此 , 针对物联网设备查毒的这项工作 , “体外检查”成为了一个听起来特别酷炫 , 却还真有实际意义的重要方向 。 毕竟 , 现在一些高科技的病毒已经具备很强的“反侦察”能力 , 能够在被找到的时候自行摧毁或是改变形态 。
论文写道:
“恶意软件无法侦测到外部对目标系统电磁波散射的测量 , 对于硬件级别的事件(如电磁波散射、硬件发热等)也没有控制 。 因此 , 基于硬件的保护系统无法被恶意软件反制 , 从而让电磁波散射探测高隐蔽性恶意软件(如内核 rootkit)成为可能 。 ”
值得提及的是 , 在此之前 , 计算机安全领域已经有一些采用电磁波方式来探测病毒的研究了 。 但本文的团队指出 , 之前的实验环境都更简单 , 只是做了基本的可行性研究 , 没有涉及到复杂的计算机恶意软件(如变种病毒、加入混淆技术的病毒等) , 也无法对不同种类的恶意软件进行准确的甄别 。
“我们提出的方法 , 能够在仅采用电磁散射作为探测方法的前提下 , 准确甄别真实世界里存在的 , 不断升级、变形的恶意软件样本 。 ”
当电磁散射的“玄学” , 碰上深度学习的“显学”
光靠“闻”和“切” , 就能判断计算机系统是否中毒 , 而且还能准确识别出中了哪种毒?
对于大部分非专业人士来说 , 这简直是反常识的……
事实上 , IRISA 团队所采用的病毒识别和检测方法 , 也不是真的只有电磁波检测 。 整个“探测机”系统虽然运行在一台树莓派单片机上 , 它的实际训练流程还是比较复杂的 , 而且也用到了当今的“显学”之一——深度学习 。
整个训练过程如下:
首先是数据搜集过程 。 研究团队采用三种主流的恶意软件类型(DDoS 命令、勒索软件、内核 rootkit) , 搭配当今在计算机病毒领域一些主流的混淆方法 , 构建了一套包含三十种恶意软件的数据集 。 团队再用这些病毒入侵一台运行 Linux 操作系统的单片机 , 并且对系统散射出的电磁波场进行嗅探和数据记录 。

推荐阅读