监视来自电子设备的侧通道输出可以提供用于检测用于互联网的恶意软件感染的手段。(图片信用:Rob Felt,Georgia Tech)
从美国国防部高级研究计划局(DARPA)在$ 9.4万美元的赠款可能导致新技术的开发用于无线监控物联网(IOT)设备的恶意软件的互联网 - 在不影响无处不在,但低功率设备的运行情况。
该技术将依赖于接收和分析侧通道信号,通过电子设备在执行程序时无意地产生的电磁排放。这些信号由半导体,电容器,电源和其他组件产生,目前可以从操作IOT设备的半米远离半尺。
通过比较这些意外侧通道排放什么样的设备应当它们正常工作是做一个数据库,研究人员可以告诉我们,如果恶意软件已经安装。
“我们将着眼于程序是如何改变其行为,”解释Alenka Zajic,项目的主要调查员和助理教授电气计算机工程学院在格鲁吉亚理工学院。“如果某事物的Internet设备受到攻击,请插入恶意软件会影响运行的程序,我们可以远程检测到该程序。”
为期四年的项目还将包括来自乔治亚州科技的两位教师计算机科学学院:教授米洛斯Prvulovic和亚历山德罗奥尔索。此外,该项目的一部分将是来自北罗姆曼的研究团队,由马修糖领先。侧通道技术的早期原型的细节,称为“零开销分析”,因为监测不影响被观察到的系统,在7月20日在软件测试和分析(ISSTA)的国际研讨会上呈现。
佐治亚州科技研究人员是探索监控物联网的新方法的团队的一部分。显示的是(常设)助理教授Alenka Zajic教授和米洛维斯维奇教授和(座位)研究生Robert Callan,Nader Sehatbakhsh和Derrick Chu。(图片信用:Rob Felt,Georgia Tech)
在接下来的四年中,估计有30台十亿物联网设备将在操作中,从控制家庭供暖和空调检测和管理的重要基础设施所做的一切。该装置通常具有有限的处理器能力和存储器小。他们有限的计算能力,意味着它们不能运行各种恶意软件防护软件的笔记本电脑上发现的,他们不能使用虚拟化等技术来保障即使应用程序被攻击者接管系统软件。这意味着,一旦攻击者危及互联网连接的应用程序,它们通常“拥有”整个物联网设备,并且可以甚至使其错误地响应有关其自身的安全状态的传统查询。
“安全视角的主要挑战是使这些设备安全,所以有人不能接受它们,”Zajic解释道。“There will be a lot of processing power out there that needs to be monitored, but you can’t just put traditional security software on that processor because is doesn’t have enough power for both the security software and the tasks the device is supposed to be doing.”
ZAJIC和PRVULOVIC在设备发出的测量侧通道信号的开创性研究。这些排放与器件旨在产生用于在互联网上传送到其他设备的信号的信号不同。研究人员已经表明,他们可以使用专门设计的天线拾取靠近设备的信号,并且一个项目目标是将范围扩展到3米。
“当处理器执行指令时,值表示为ZAJIC表示,将值表示为α和零,这在当前创造了波动,”Zajic表示。“这在我们测量的电磁场中创造了变化,为频谱分析仪上的节目的每个部分看起来都是一种模式。”
关键的信号检测的变化是得到一个“前”记录的这些信号应该是什么样子画一个比较有“后”用于设备和软件的每个组合的一组信号。研究人员计划评估每个物联网设备,采样并记录其典型操作创建一个数据库。为了避免记录压倒性的数据,该系统将采取定期样本程序循环的不同阶段。
“如果有人插入一些进入程序循环,在光谱的峰值将转向,我们可以检测到,” Zajic说。“这是我们可以实时使用先进的模式匹配技术,使用机器学习来提高它的性能监控。”
检测恶意软件,但是,是一个更大的挑战。
“该技术目前在分析中最准确的95% - 针对当前正在执行的IOT程序代码中的确切点,”Provulovic解释说。“但是,恶意软件的检测是一个更困难的问题。分析是识别程序的哪一部分是信号的最佳匹配,而恶意软件检测是关于检测到具有足够的信心,即使恶意软件旨在类似于原始程序的任何部分,信号也不匹配原始程序的任何部分。应用程序的原始代码。“
Zajic和Prvulovic一直在研究各种各样的装置,以确定所产生的排放量。
“我们已经在电路板上一个以上的来源,所以我们一直在努力,以本地化的来源,所以我们可以建立一个天线给我们最好的信号,” Zajic说。“有上板,上面连接到相同的信息,尽管它可能在不同的频率进行调制的多个地方。”
最终,研究人员预计项目 - 通过外部利用非自愿模拟信号(Camelia)来进行项目 - 配音的计算活动监测 - 能够同时监控多个物联网设备。这将需要开发能够区分来自每个设备的信号的先进处理技术,以及能够从较大距离拾取信号的新天线。
Camelia是DARPA程序的一部分,称为用于安全性(LADS)的模拟领域,该计划正在投资六种不同的举措来解决IOT安全性。Georgia Tech-Northrop Grumman项目是学术机构领导的唯一一个项目。
这项研究是由DARPA LADS计划合同FA8650-16-C-7620下支持。任何意见,研究成果和结论或本材料中表达的建议是作者(S),并不一定反映主办机构的意见。
提交:电容器那M2M(机器到机器)
