歡迎關注“新浪科技”的微信訂閱號：techsina 

　　文/杜晨

　　來源/硅星人（ID：guixingren123）

　　中醫講究“望聞問切”。望，指觀氣色；聞，指聽聲息；問；指詢問癥狀；切；指摸脈象。

　　如果我們把中醫的思路，套用計算機科學上，會發生什么？

　　近日，法國研究機構 IRISA 的團隊，發表了這樣一篇論文：

　　針對物聯網設備，

　　完全不通過物理和軟件方式接入目標系統，

　　僅通過“體外”檢測其發出的電磁波，

　　就能發現目標系統是否遭到入侵，甚至還能判別入侵的惡意軟件種類，準確度高達99.82%。

　　電腦查毒，也能“望聞問切”？

　　首先，讓我們回憶下物聯網的定義：在物聯網的時代，萬物都能聯網。而在這一概念之下，每個物體/設備，其實都是一個自主運行的計算機系統。

　　這些系統，從硬件、固件/軟件上，都是五花八門、形態各異的。與此同時，大多數物聯網設備都缺乏對于系統安全的考慮，而且它們也已投放到了越來越多關鍵的場景中使用，比如能源、交通、軍事等——因此，物聯網設備日益成為惡意軟件攻擊的目標。

　　可想而知，針對物聯網設備的查毒、殺毒，成了大問題。

　　近日，來自法國 IRISA 的團隊在計算機安全方面的學術大會 ACSAC 上發表了論文，題為《混淆揭曉：通過電磁信號甄別混淆后惡意軟件種類》(Obfuscation Revealed: Leveraging Electromagnetic Signals for Obfuscated Malware Classification)。

　　他們的研究對象，正是物聯網設備。

　　這支團隊來自于法國計算機科學和隨機系統研究院 (IRISA)、國立計算機及自動化研究院 (INRIA)、“法國版中科院” CNRS，和雷恩第一大學。

　　他們提出了一種全新的方式，只用一臺樹莓派電腦作為“探測機”，對目標系統在運行時散射出的電磁波形進行檢測，從而準確地判斷目標系統是在正常運轉，還是已經被病毒入侵。

　　更厲害的是，該團隊用此方法進行了大量的檢測，積累了海量的數據用于訓練探測機——對于三種不同類型的惡意軟件，探測機都能夠精準識別出其種類，準確率高達99.82%。

　　“我們的檢測方法不需要對目標設備進行任何的調試（接入），可以輕松實現獨立部署。這種方法更厲害之處，在于它無法被惡意軟件本身‘反偵察’到，”論文寫道，“甚至對于那些用混淆手法修改過的惡意軟件，我們的方法都能夠準確地識別出其代碼本質、使用的遮蓋方法等。”

　　換成我們一開始用的中醫的比喻：

　　這就是用中醫四診里的“聞”和“切”，來給計算機“看病”，而且準確率高到不可思議，成為了一種完全可靠的計算機查毒方法。

　　截至2020年底，全球投入使用的物聯網設備數量已經高達2000億臺，幾乎折合每人26臺……

　　這些物聯網設備當中，有些只是純粹通了電路，加了傳感器，有些則有著多核的處理器，具有更強大的算力。這些物聯網設備也成為了天然的黑客攻擊對象——特別是那些具有完整操作系統的設備，基本上已經和我們日常使用的電腦/手機無異了，受計算機病毒和惡意軟件的攻擊面更大。

　　而如果我們想要在成千上萬種功能形態配置各異的物聯網設備上，運行“查毒軟件”，簡直太難了。

　　也正因此，針對物聯網設備查毒的這項工作，“體外檢查”成為了一個聽起來特別酷炫，卻還真有實際意義的重要方向。畢竟，現在一些高科技的病毒已經具備很強的“反偵察”能力，能夠在被找到的時候自行摧毀或是改變形態。

　　論文寫道：

　　“惡意軟件無法偵測到外部對目標系統電磁波散射的測量，對于硬件級別的事件（如電磁波散射、硬件發熱等）也沒有控制。因此，基于硬件的保護系統無法被惡意軟件反制，從而讓電磁波散射探測高隱蔽性惡意軟件（如內核 rootkit）成為可能。”

　　值得提及的是，在此之前，計算機安全領域已經有一些采用電磁波方式來探測病毒的研究了。但本文的團隊指出，之前的實驗環境都更簡單，只是做了基本的可行性研究，沒有涉及到復雜的計算機惡意軟件（如變種病毒、加入混淆技術的病毒等），也無法對不同種類的惡意軟件進行準確的甄別。

　　“我們提出的方法，能夠在僅采用電磁散射作為探測方法的前提下，準確甄別真實世界里存在的，不斷升級、變形的惡意軟件樣本。”

　　當電磁散射的“玄學”，碰上深度學習的“顯學”

　　光靠“聞”和“切”，就能判斷計算機系統是否中毒，而且還能準確識別出中了哪種毒？

　　對于大部分非專業人士來說，這簡直是反常識的……

　　事實上，IRISA 團隊所采用的病毒識別和檢測方法，也不是真的只有電磁波檢測。整個“探測機”系統雖然運行在一臺樹莓派單片機上，它的實際訓練流程還是比較復雜的，而且也用到了當今的“顯學”之一——深度學習。

　　整個訓練過程如下：

　　首先是數據搜集過程。研究團隊采用三種主流的惡意軟件類型（DDoS 命令、勒索軟件、內核 rootkit），搭配當今在計算機病毒領域一些主流的混淆方法，構建了一套包含三十種惡意軟件的數據集。團隊再用這些病毒入侵一臺運行 Linux 操作系統的單片機，并且對系統散射出的電磁波場進行嗅探和數據記錄。

　　值得注意的是數據集分成了三組，其中只有一組會用于訓練，剩下兩組均用于檢測。

　　探測機由一臺樹莓派和一臺示波器組成。樹莓派很便宜，但出于實驗準確性目的，團隊采用的是高端示波器，價格貴的離譜……

　　然后是信號處理過程。由于目標單片機采用的是 ARM 架構多核處理器，記錄下的原始電磁信號存在大量噪音，團隊采用短時傅里葉變換 (STFT) 對其進行信號處理，生成頻譜圖，再提取信號特征，用于下一步驟的神經網絡訓練。

　　最后是訓練過程。團隊采用了支持向量機 (SVM)、多層感知器 (MLP)、卷積神經網絡 (CNN) 等多種結構從簡單到復雜的神經網絡，對上一步提取的特征進行學習訓練。

　　團隊用這樣的實驗環境，總共收集了10萬組信號特征設置進行訓練，將神經網絡放到探測機上進行驗證。

　　結果令人震驚：采用多種架構訓練的神經網絡，在惡意軟件的類型識別上均達到了超過98%的準確度。

　　特別是采用 CNN 訓練的探測機：

　　識別 DDoS、勒索軟件、內核 Rootkit 三種主要類型的準確度高達99.82%；

　　識別 gonnacry、keysniffer、maK_It、mirai 和 bashlite 等五種惡意軟件家族的準確度高達99.61%；

　　識別虛假控制流、指令集替換、虛擬化等七種代碼混淆方式，準確度高達82.70%，顯著優于隨機猜測的14.29%；

　　對于從未在訓練數據集中出現的新惡意軟件家族，準確度高達98.85%。

　　通過這項前所未有的實驗，IRISA 團隊在計算機系統的旁路惡意軟件檢測上取得了前所未有的成績。

　　他們證明了這種查毒方式真的非常好用，對于此前不存在的惡意軟件變種，具有極高的甄別能力，并且對于各種復雜混淆技術的耐受性非常強。

　　更重要的是，這種旁路檢測手段，對于目標系統完全沒有任何侵入和修改。惡意軟件的反偵察能力再強，也拿它沒招……

　　早在2016年，惡意軟件 mirai 就已經引發過一場病毒“海嘯”，感染了數十萬個路由器、攝像頭、打印機等物聯網設備，形成大規模“僵尸”網絡，進而導致多次全球級別的互聯網服務崩潰事故。

　　在2020年，物聯網設備的數量首次超過非物聯網。一些權威機構更是預計，全球物聯網設備將在2025年達到300億臺。展望未來，物聯網惡意軟件對于人類社會運轉的威脅程度將不斷提高。

　　而對抗物聯網病毒，我們需要兩手抓：設備投放使用前的安全設計達標，和設備投放使用后的有效查/殺技術。

　　對于前者，算力成本一直是個邁不過去的坎。而對于后者，至少現在我們手里已經有一種武器了。