利用电磁辐射来检测IoT物联网设备上的规避恶意软件的能力

最新的网络安全研究发现，通过一种新颖的方法利用来自物联网 (IoT) 设备发射的电磁场作为旁道，来收集有关针对嵌入式系统的不同类型恶意软件的精确知识，即使在应用了混淆技术的场景中也是如此阻碍分析。

随着物联网设备的迅速普及，为黑客提供了一个有吸引力的攻击面，部分原因是它们配备了更高的处理能力并能够运行功能齐全的操作系统，最新安全研究旨在改进恶意软件分析以降低潜在的安全风险。

研究结果在上个月举行的年度计算机安全应用会议 ( ACSAC ) 上公布。

该研究结果论文中表示，从设备测量的电磁辐射实际上无法被恶意软件检测到。因此，与动态软件监控不同，恶意软件规避技术不能直接应用。此外，由于恶意软件无法控制外部硬件级别，因此无法关闭依赖硬件功能的保护系统，即使恶意软件拥有机器上的最大权限。

目标是利用侧信道信息检测与之前观察到的模式不同的发射异常，并在与系统正常状态相比记录模拟恶意软件的可疑行为时发出警报。

这不仅不需要对目标设备进行修改，而且研究中设计的框架能够检测和分类隐蔽恶意软件，例如内核级 rootkit、勒索软件和分布式拒绝服务 (DDoS) 僵尸网络。

根据中国网络安全行业门户「极牛网」GEEKNB.COM的梳理，侧信道方法分三个阶段进行，包括在执行 30 个不同的恶意软件二进制文件时测量电磁辐射，以及执行与视频、音乐、图片和相机相关的良性活动，以训练卷积神经网络模型以对真实数据恶意软件样本进行分类。具体来说，该框架将可执行文件作为输入，并仅依靠侧信道信息输出其恶意软件标签。

在实验设置中，安全研究人员选择 Raspberry Pi 2B 作为具有 900 MHz 四核 ARM Cortex A7 处理器和 1 GB 内存的目标设备，使用示波器和 PA 303 BNC 的组合采集和放大电磁信号前置放大器，有效预测三种恶意软件类型及其相关家族，准确率分别为 99.82% 和 99.61%。

使用简单的神经网络模型，可以通过仅观察其电磁发射来获得有关受监控设备状态的大量信息。我们的系统可以抵御各种代码转换/混淆，包括随机垃圾插入、打包和虚拟化，即使系统以前不知道这种转换。