跟蹤嵌入式系統(tǒng)中的功率波動(dòng)可以捕獲惡意軟件的行為，或者至少揭示其存在。

惡意軟件是陰險(xiǎn)的 - 有數(shù)百萬(wàn)種可供攻擊者選擇的 - 盡管?chē)L試了預(yù)防，但惡意軟件偶爾會(huì)通過(guò)防火墻和其他安全措施。但是，北卡羅來(lái)納州立大學(xué)和德克薩斯大學(xué)奧斯汀分校的研究人員已經(jīng)創(chuàng)造了一種方法來(lái)檢測(cè)使用系統(tǒng)架構(gòu)來(lái)阻止傳統(tǒng)安全措施的惡意軟件類(lèi)型。該工具通過(guò)跟蹤嵌入式系統(tǒng)中的功率波動(dòng)來(lái)工作。

研究人員將“嵌入式系統(tǒng)”定義為本質(zhì)上沒(méi)有物理鍵盤(pán)的計(jì)算機(jī) - 從智能手機(jī)到物聯(lián)網(wǎng)。美國(guó)軍方依賴(lài)于各種各樣的嵌入式系統(tǒng)，這些系統(tǒng)經(jīng)常被部署并預(yù)計(jì)運(yùn)行十年或更長(zhǎng)時(shí)間。

“嵌入式系統(tǒng)用于從我們家中的語(yǔ)音激活虛擬助手到發(fā)電廠中使用的工業(yè)控制系統(tǒng)，”北卡羅來(lái)納州立大學(xué)電氣和計(jì)算機(jī)工程助理教授Aydin Aysu解釋說(shuō)。“針對(duì)這些系統(tǒng)的惡意軟件可用于奪取控制權(quán)或竊取信息。

微架構(gòu)攻擊是一種惡意軟件，它針對(duì)系統(tǒng)的架構(gòu)設(shè)計(jì)，以一種讓外部用戶控制系統(tǒng)并訪問(wèn)其數(shù)據(jù)的方式有效地劫持硬件。Spectre和Meltdown是最近（從2018年開(kāi)始）這種惡意軟件的兩個(gè)備受矚目的例子。與大多數(shù)惡意軟件不同，這些破壞性工具利用處理器本身的架構(gòu)，即數(shù)百萬(wàn)個(gè)晶體管協(xié)同工作以執(zhí)行操作。

對(duì)于嵌入式系統(tǒng)來(lái)說(shuō)，每一次新的攻擊本質(zhì)上都是一個(gè)無(wú)法修補(bǔ)的問(wèn)題，這是一個(gè)真正的問(wèn)題。

簡(jiǎn)而言之，Spectre和Meltdown利用了所有操作都需要略有不同的時(shí)間來(lái)執(zhí)行的事實(shí)。例如，假設(shè)有人試圖猜測(cè) PIN，他們首先猜測(cè)“1111”到“9111”。如果前八個(gè)猜測(cè)花費(fèi)相同的時(shí)間，但“9111”需要更長(zhǎng)的時(shí)間，那么這個(gè)猜測(cè)很可能至少具有“9”的權(quán)利，攻擊者可以通過(guò)這些“定時(shí)攻擊”繼續(xù)猜測(cè)“9111”到“9911”，然后從那里開(kāi)始。

特別容易受到這些攻擊的一個(gè)操作是訪問(wèn)內(nèi)存。黑客可以讓處理器推測(cè)性地執(zhí)行一些代碼來(lái)讀取它不應(yīng)該讀取的部分內(nèi)存。即使代碼失敗，它仍然可能泄漏攻擊者隨后可以訪問(wèn)和使用的數(shù)據(jù)。

捕捉微架構(gòu)攻擊相當(dāng)困難，因?yàn)樗鼈兛赡芊浅ｋ[蔽且很難捕捉。“但我們已經(jīng)找到了一種檢測(cè)它們的方法，”Aysu說(shuō)。“我們很清楚嵌入式系統(tǒng)正常運(yùn)行時(shí)的功耗。通過(guò)查找功耗異常，我們可以判斷系統(tǒng)中存在惡意軟件 - 即使我們無(wú)法直接識(shí)別惡意軟件。

研究人員表示，他們的電源監(jiān)控解決方案可以整合到智能電池中，用于未來(lái)的嵌入式系統(tǒng)技術(shù)。對(duì)于現(xiàn)有技術(shù)，將需要新的即插即用硬件來(lái)應(yīng)用檢測(cè)工具。

這種解決方案存在一些局限性：研究人員指出，首先，他們的檢測(cè)工具依賴(lài)于嵌入式系統(tǒng)的功率報(bào)告。當(dāng)他們?cè)趯?shí)驗(yàn)室進(jìn)行測(cè)試時(shí)，他們發(fā)現(xiàn)在某些情況下，如果惡意軟件修改其活動(dòng)以模仿“正常”電源使用模式，電源監(jiān)控檢測(cè)工具可能會(huì)被欺騙。

但即使發(fā)生這種情況，該技術(shù)仍然“提供了優(yōu)勢(shì)”，Aysu說(shuō)。“我們發(fā)現(xiàn)，模仿正常功耗和逃避檢測(cè)所需的努力迫使惡意軟件將其數(shù)據(jù)傳輸速率減慢 86% 到 97%。簡(jiǎn)而言之，我們的方法仍然可以減少惡意軟件的影響 - 即使在未檢測(cè)到惡意軟件的少數(shù)情況下也是如此。

該組織表示，電源異常是一種簡(jiǎn)單的防御措施，“可以幫助面向未來(lái)的嵌入式系統(tǒng)抵御隨著相變存儲(chǔ)器和加速器等新硬件成為主流而可能出現(xiàn)的漏洞”。

審核編輯：郭婷