而如果我们想要在成千上万种功能形态配置各异的物联网设备上 ， 运行“查毒软件” ， 简直太难了 。
也正因此 ， 针对物联网设备查毒的这项工作 ， “体外检查”成为了一个听起来特别酷炫 ， 却还真有实际意义的重要方向 。 毕竟 ， 现在一些高科技的病毒已经具备很强的“反侦察”能力 ， 能够在被找到的时候自行摧毁或是改变形态 。
论文写道：
“恶意软件无法侦测到外部对目标系统电磁波散射的测量 ， 对于硬件级别的事件（如电磁波散射、硬件发热等）也没有控制 。 因此 ， 基于硬件的保护系统无法被恶意软件反制 ， 从而让电磁波散射探测高隐蔽性恶意软件（如内核 rootkit）成为可能 。 ”
值得提及的是 ， 在此之前 ， 计算机安全领域已经有一些采用电磁波方式来探测病毒的研究了 。 但本文的团队指出 ， 之前的实验环境都更简单 ， 只是做了基本的可行性研究 ， 没有涉及到复杂的计算机恶意软件（如变种病毒、加入混淆技术的病毒等） ， 也无法对不同种类的恶意软件进行准确的甄别 。
“我们提出的方法 ， 能够在仅采用电磁散射作为探测方法的前提下 ， 准确甄别真实世界里存在的 ， 不断升级、变形的恶意软件样本 。 ”
【电脑杀毒，原来还能“望闻问切”？】当电磁散射的“玄学” ， 碰上深度学习的“显学”
光靠“闻”和“切” ， 就能判断计算机系统是否中毒 ， 而且还能准确识别出中了哪种毒？
对于大部分非专业人士来说 ， 这简直是反常识的……
事实上 ， IRISA 团队所采用的病毒识别和检测方法 ， 也不是真的只有电磁波检测 。 整个“探测机”系统虽然运行在一台树莓派单片机上 ， 它的实际训练流程还是比较复杂的 ， 而且也用到了当今的“显学”之一——深度学习 。
整个训练过程如下：
首先是数据搜集过程 。 研究团队采用三种主流的恶意软件类型（DDoS 命令、勒索软件、内核 rootkit） ， 搭配当今在计算机病毒领域一些主流的混淆方法 ， 构建了一套包含三十种恶意软件的数据集 。 团队再用这些病毒入侵一台运行 Linux 操作系统的单片机 ， 并且对系统散射出的电磁波场进行嗅探和数据记录 。
值得注意的是数据集分成了三组 ， 其中只有一组会用于训练 ， 剩下两组均用于检测 。

文章图片
图4/8



文章图片
图5/8

探测机由一台树莓派和一台示波器组成 。 树莓派很便宜 ， 但出于实验准确性目的 ， 团队采用的是高端示波器 ， 价格贵的离谱……
然后是信号处理过程 。 由于目标单片机采用的是 ARM 架构多核处理器 ， 记录下的原始电磁信号存在大量噪音 ， 团队采用短时傅里叶变换 (STFT) 对其进行信号处理 ， 生成频谱图 ， 再提取信号特征 ， 用于下一步骤的神经网络训练 。


文章图片
图6/8

最后是训练过程 。 团队采用了支持向量机 (SVM)、多层感知器 (MLP)、卷积神经网络 (CNN) 等多种结构从简单到复杂的神经网络 ， 对上一步提取的特征进行学习训练 。


文章图片