利用电磁辐射检测物联网设备上的规避恶意软件

网络安全研究人员提出了一种新方法，利用物联网（IoT）设备发出的电磁场作为旁道，收集针对嵌入式系统的不同类型恶意软件的精确信息，即使在应用模糊技术阻碍分析的情况下也是如此。

物联网设备的迅速采用为威胁参与者提供了一个有吸引力的攻击面，部分原因是它们具有更高的处理能力和运行全功能操作系统的能力，最新的研究旨在改进恶意软件分析，以减轻潜在的安全风险。

这些发现是由计算机科学与随机系统研究所（IRISA）的一组学者在上个月举行的年度计算机安全应用会议（ACSAC）上提出的。

“恶意软件几乎无法检测到从该设备测量到的（电磁）辐射，”研究人员Duy Phuc Pham、Damien Marion、Matthieu Mastio和Annelie Heuser在一篇论文中说。“因此，与动态软件监控不同，恶意软件规避技术无法直接应用。此外，由于恶意软件无法控制外部硬件级别，因此无法拆除依赖硬件功能的保护系统，即使恶意软件在机器上拥有最大权限。”

其目的是利用侧通道信息，在放射物偏离之前观察到的模式时检测放射物中的异常，并在与系统正常状态相比，记录模拟恶意软件的可疑行为时发出警报。

这不仅不需要对目标设备进行修改，研究中设计的框架还可以检测和分类隐藏的恶意软件，如内核级的rootkit、勒索软件和分布式拒绝服务（DDoS）僵尸网络（如Mirai），计算看不见的变种。

侧通道方法分三个阶段进行，包括在执行30个不同的恶意软件二进制文件时测量电磁辐射，以及执行与视频、音乐、图片和相机相关的良性活动，以训练卷积神经网络（CNN）模型，对真实世界的恶意软件样本进行分类。具体来说，该框架只依赖侧通道信息，将可执行文件作为输入，并输出其恶意软件标签。

在一个实验装置中，研究人员选择树莓Pi 2B作为目标设备，使用900 MHz四核ARM Cortex A7处理器和1 GB内存，使用示波器和PA 303 BNC前置放大器组合采集和放大电磁信号，有效预测三种恶意软件类型及其相关系列，准确率分别为99.82%和99.61%。

研究人员得出结论：“通过使用简单的神经网络模型，仅通过观察受监控设备的[电磁]辐射，就有可能获得有关其状态的大量信息。”。“我们的系统对各种代码转换/混淆（包括随机垃圾插入、打包和虚拟化）具有强大的抵抗能力，即使系统之前不知道转换。”