代码编织梦想

中医讲究“望闻问切”。望,指观气色;闻,指听声息;问;指询问症状;切;指摸脉象。

如果我们把中医的思路,套用计算机科学上,会发生什么?

近日,法国研究机构 IRISA 的团队,发表了这样一篇论文:针对物联网设备,完全不通过物理和软件方式接入目标系统,仅通过“体外”检测其发出的电磁波,就能发现目标系统是否遭到入侵,甚至还能判别入侵的恶意软件种类,准确度高达99.82%。

| 电脑查毒,也能“望闻问切”?

首先,让我们回忆下物联网的定义:在物联网的时代,万物都能联网。而在这一概念之下,每个物体/设备,其实都是一个自主运行的计算机系统。

这些系统,从硬件、固件/软件上,都是五花八门、形态各异的。与此同时,大多数物联网设备都缺乏对于系统安全的考虑,而且它们也已投放到了越来越多关键的场景中使用,比如能源、交通、军事等——因此,物联网设备日益成为恶意软件攻击的目标。

可想而知,针对物联网设备的查毒、杀毒,成了大问题。

近日,来自法国 IRISA 的团队在计算机安全方面的学术大会 ACSAC 上发表了论文,题为《混淆揭晓:通过电磁信号甄别混淆后恶意软件种类》(Obfuscation Revealed: Leveraging Electromagnetic Signals for Obfuscated Malware Classification)。

他们的研究对象,正是物联网设备。

这支团队来自于法国计算机科学和随机系统研究院 (IRISA)、国立计算机及自动化研究院 (INRIA)、“法国版中科院” CNRS,和雷恩第一大学。

他们提出了一种全新的方式,只用一台树莓派电脑作为“探测机”,对目标系统在运行时散射出的电磁波形进行检测,从而准确地判断目标系统是在正常运转,还是已经被病毒入侵。

更厉害的是,该团队用此方法进行了大量的检测,积累了海量的数据用于训练探测机——对于三种不同类型的恶意软件,探测机都能够精准识别出其种类,准确率高达99.82%。

“我们的检测方法不需要对目标设备进行任何的调试(接入),可以轻松实现独立部署。这种方法更厉害之处,在于它无法被恶意软件本身‘反侦察’到,”论文写道,“甚至对于那些用混淆手法修改过的恶意软件,我们的方法都能够准确地识别出其代码本质、使用的遮盖方法等。”

换成我们一开始用的中医的比喻:

这就是用中医四诊里的“闻”和“切”,来给计算机“看病”,而且准确率高到不可思议,成为了一种完全可靠的计算机查毒方法。

截至2020年底,全球投入使用的物联网设备数量已经高达2000亿台,几乎折合每人26台……

这些物联网设备当中,有些只是纯粹通了电路,加了传感器,有些则有着多核的处理器,具有更强大的算力。这些物联网设备也成为了天然的黑客攻击对象——特别是那些具有完整操作系统的设备,基本上已经和我们日常使用的电脑/手机无异了,受计算机病毒和恶意软件的攻击面更大。

而如果我们想要在成千上万种功能形态配置各异的物联网设备上,运行“查毒软件”,简直太难了。

也正因此,针对物联网设备查毒的这项工作,“体外检查”成为了一个听起来特别酷炫,却还真有实际意义的重要方向。毕竟,现在一些高科技的病毒已经具备很强的“反侦察”能力,能够在被找到的时候自行摧毁或是改变形态。

论文写道:

“恶意软件无法侦测到外部对目标系统电磁波散射的测量,对于硬件级别的事件(如电磁波散射、硬件发热等)也没有控制。因此,基于硬件的保护系统无法被恶意软件反制,从而让电磁波散射探测高隐蔽性恶意软件(如内核 rootkit)成为可能。”

值得提及的是,在此之前,计算机安全领域已经有一些采用电磁波方式来探测病毒的研究了。但本文的团队指出,之前的实验环境都更简单,只是做了基本的可行性研究,没有涉及到复杂的计算机恶意软件(如变种病毒、加入混淆技术的病毒等),也无法对不同种类的恶意软件进行准确的甄别。

“我们提出的方法,能够在仅采用电磁散射作为探测方法的前提下,准确甄别真实世界里存在的,不断升级、变形的恶意软件样本。”

| 当电磁散射的“玄学”,碰上深度学习的“显学”

光靠“闻”和“切”,就能判断计算机系统是否中毒,而且还能准确识别出中了哪种毒?

对于大部分非专业人士来说,这简直是反常识的……

事实上,IRISA 团队所采用的病毒识别和检测方法,也不是真的只有电磁波检测。整个“探测机”系统虽然运行在一台树莓派单片机上,它的实际训练流程还是比较复杂的,而且也用到了当今的“显学”之一——深度学习。

整个训练过程如下:

首先是数据搜集过程。研究团队采用三种主流的恶意软件类型(DDoS 命令、勒索软件、内核 rootkit),搭配当今在计算机病毒领域一些主流的混淆方法,构建了一套包含三十种恶意软件的数据集。团队再用这些病毒入侵一台运行 Linux 操作系统的单片机,并且对系统散射出的电磁波场进行嗅探和数据记录。

值得注意的是数据集分成了三组,其中只有一组会用于训练,剩下两组均用于检测。

探测机由一台树莓派和一台示波器组成。树莓派很便宜,但出于实验准确性目的,团队采用的是高端示波器,价格贵的离谱……

然后是信号处理过程。由于目标单片机采用的是 ARM 架构多核处理器,记录下的原始电磁信号存在大量噪音,团队采用短时傅里叶变换 (STFT) 对其进行信号处理,生成频谱图,再提取信号特征,用于下一步骤的神经网络训练。

最后是训练过程。团队采用了支持向量机 (SVM)、多层感知器 (MLP)、卷积神经网络 (CNN) 等多种结构从简单到复杂的神经网络,对上一步提取的特征进行学习训练。

团队用这样的实验环境,总共收集了10万组信号特征设置进行训练,将神经网络放到探测机上进行验证。

结果令人震惊:采用多种架构训练的神经网络,在恶意软件的类型识别上均达到了超过98%的准确度。

特别是采用 CNN 训练的探测机:

识别 DDoS、勒索软件、内核 Rootkit 三种主要类型的准确度高达99.82%;

识别 gonnacry、keysniffer、maK_It、mirai 和 bashlite 等五种恶意软件家族的准确度高达99.61%;

识别虚假控制流、指令集替换、虚拟化等七种代码混淆方式,准确度高达82.70%,显著优于随机猜测的14.29%;

对于从未在训练数据集中出现的新恶意软件家族,准确度高达98.85%。

通过这项前所未有的实验,IRISA 团队在计算机系统的旁路恶意软件检测上取得了前所未有的成绩。

他们证明了这种查毒方式真的非常好用,对于此前不存在的恶意软件变种,具有极高的甄别能力,并且对于各种复杂混淆技术的耐受性非常强。

更重要的是,这种旁路检测手段,对于目标系统完全没有任何侵入和修改。恶意软件的反侦察能力再强,也拿它没招……

早在2016年,恶意软件 mirai 就已经引发过一场病毒“海啸”,感染了数十万个路由器、摄像头、打印机等物联网设备,形成大规模“僵尸”网络,进而导致多次全球级别的互联网服务崩溃事故。

在2020年,物联网设备的数量首次超过非物联网。一些权威机构更是预计,全球物联网设备将在2025年达到300亿台。展望未来,物联网恶意软件对于人类社会运转的威胁程度将不断提高。

而对抗物联网病毒,我们需要两手抓:设备投放使用前的安全设计达标,和设备投放使用后的有效查/杀技术。

对于前者,算力成本一直是个迈不过去的坎。而对于后者,至少现在我们手里已经有一种武器了。

本文来自微信公众号“硅星人”

高智商群体的心病,ai能通过望闻问切治愈吗?_智能相对论的博客-爱代码爱编程

         文 |易敏 来源 | 智能相对论(ID:aixdlun)   就在大家都沉浸在购物狂欢中的双十一当天,网易新闻报道,一位ID为“尤文更衣室保洁阿姨”的铁杆尤文女球迷因为抑郁症复发自杀离世。而就在上个月10日,浙江大学2016级化工博士侯京京在朋友圈留下遗书,写到:不想再假装,也不想再撒谎,我只想做自己,真的很难……就在前不久,10

电脑杀毒-爱代码爱编程

[一].安全模式普通杀毒 1.开机F8键 2.选择安全模式,Enter 3.如果有360等安全软件,优先使用安全软件查看杀毒 如果没有安全软件或者安全软件被病毒屏蔽 1.打开电脑控制面板 2.搜索“还原” 3.设置“将计算机还原到一个较早的时间点”Enter [二].使用TaskList进程杀毒 Win(键盘上方块的按键)+R(同时按

我的苹果电脑中毒了?mac也会中病毒?喜闻乐见(附杀毒软件测试)-爱代码爱编程

事情发生于上个月,我安装了一大坨软件,Chrome也安装了很多插件。但有一天,突然发现一个奇怪现象:Mac Chrome搜索引擎突然变成了Yahoo?! 且在Chrome设置中无法更改!无法删除该引擎?!但提示为“SearchToolHelper” 谷歌了一下,很简单的就解决了,在“系统偏好设置”中的“描述文件”里,删除“SearchToolHelpe

葛均波院士:从“望闻问切”到人工智能,医疗AI仍有四大难点-爱代码爱编程

2020-07-13 20:46导语:场景是连接人工智能供应和需求,研发到产业化的关键环节,没有场景的话一切都是白搭。 雷锋网消息,7月10-11日,2020世界人工智能健康云峰会召开。作为世界人工智能大会云端峰会的主题论坛之一,健康云峰会以“智联世界·共享健康”为主题,由“1个开幕式+3场专题论坛+1场特色会议”构成,聚焦“AI+健康”“AI+公共卫生

计算机故障维修四种思路,维修“望闻问切” 电脑故障的排除方法-爱代码爱编程

看到这个题目,很多读者可能会感到奇怪,中医与计算机维修风马牛不相及,它们怎么会扯到一起呢?我们知道,中医在长期的医疗实践中,总结出了四种论断疾病的方法,这就是“望、闻、问、切”四诊。有经验的老中医会通过“望、闻、问、切”四种方法来给病人看病,同样,一个技术高超的电脑维修人员也会通过这四种方法来给电脑看病,判断出计算机的故障并解决问题。下面以笔者的维修经

计算机最彻底的杀毒方法,怎么杀毒-两种方法教你彻底关闭win10自带杀毒软件——Windows Defender...-爱代码爱编程

在windows10系统里,有很多小伙伴的电脑一般喜欢安装第三方杀毒软件,如360等,不过Win10系统还自带了Windows Defender杀毒软件,在打开一些包含EXE文件夹的时候,Windows Defender会明显占优系统资源,容易引起系统卡顿。那么,Win10自带杀毒软件怎么关闭?由于Windows Defender用的小伙伴比较少,甚至