Ny teknik bruger strømanomalier til at identificere malware i integrerede systemer

Forskere fra North Carolina State University og University of Texas i Austin har udviklet en teknik til at opdage typer af malware, der bruger et systems arkitektur til at modarbejde traditionelle sikkerhedsforanstaltninger. Den nye detektionsmetode fungerer ved at spore strømudsving i integrerede systemer.

"Indlejrede systemer er stort set enhver computer, der ikke har et fysisk tastatur - fra smartphones til Internet of Things -enheder, "siger Aydin Aysu, medforfatter af et papir om arbejdet og en assisterende professor i elektrisk og computerteknik ved NC State. "Indlejrede systemer bruges i alt fra de stemmeaktiverede virtuelle assistenter i vores hjem til industrielle kontrolsystemer som dem, der bruges i kraftværker. Og malware, der er målrettet mod disse systemer, kan bruges til at tage kontrol over disse systemer eller til at stjæle information."

Der er tale om såkaldte mikroarkitektoniske angreb. Denne form for malware gør brug af et systems arkitektoniske design, effektivt kaprer hardware på en måde, der giver eksterne brugere kontrol over systemet og adgang til dets data. Spectre og Meltdown er højt profilerede eksempler på mikro-arkitektonisk malware.

"Arten af ​​mikroarkitektoniske angreb gør dem meget vanskelige at opdage-men vi har fundet en måde at opdage dem, "Siger Aysu." Vi har en god idé om, hvordan strømforbruget ser ud, når integrerede systemer fungerer normalt. Ved at lede efter anomalier i strømforbruget, vi kan fortælle, at der er malware i et system - selvom vi ikke kan identificere malware direkte. "

Strømovervågningsløsningen kan integreres i smarte batterier til brug med nye integrerede systemteknologier. Ny "plug and play" hardware ville være nødvendig for at anvende detektionsværktøjet med eksisterende integrerede systemer.

Der er en anden begrænsning:den nye detektionsteknik er afhængig af et integreret systems magtrapportering. I laboratorietest, forskere fandt ud af, at - i nogle tilfælde - detekteringsværktøjet til strømovervågning kunne narre, hvis malware ændrer sin aktivitet for at efterligne "normale" strømforbrugsmønstre.

"Imidlertid, selv i disse tilfælde giver vores teknik en fordel, "Aysu siger." Vi fandt ud af, at den krævede indsats for at efterligne normalt strømforbrug og undgå detektion tvang malware til at bremse sin dataoverførselshastighed med mellem 86 og 97 procent. Kort sagt, vores tilgang kan stadig reducere virkningerne af malware, selv i de få tilfælde, hvor malware ikke opdages.

"Dette papir viser et bevis på konceptet. Vi synes, det giver en spændende ny tilgang til at løse en udbredt sikkerhedsudfordring."

Papiret, "Brug af kraftanomalier til at opdage undvigende mikroarkitektoniske angreb i integrerede systemer, "vil blive præsenteret på IEEE International Symposium on Hardware Oriented Security and Trust (HOST), afholdes 6-10 maj i Tysons Corner, Va. Første forfatter til papiret er Shijia Wei, en ph.d. studerende ved UT-Austin.