Вредоносные программы во встроенных системах можно идентифицировать по аномалиям потребляемой устройством мощности

0
Computer virus.

Исследователи из Университета штата Северная Каролина и Техасского университета в Остине разработали метод обнаружения типов вредоносных программ, которые используют системную архитектуру для предотвращения традиционных мер безопасности. Новый подход к обнаружению работает путем отслеживания колебаний мощности во встроенных системах.

«Встраиваемые системы – это в основном любой компьютер, у которого нет физической клавиатуры – от смартфонов до устройств Internet of Things», – говорит Айдын Айсу, соавтор статьи о работе и доцент кафедры электротехники и вычислительной техники в NC. Государственный. «Встраиваемые системы используются во всем, от голосовых виртуальных помощников в наших домах до промышленных систем управления, подобных тем, которые используются на электростанциях. И вредоносное ПО, предназначенное для этих систем, может использоваться для захвата контроля над этими системами или для кражи информации».

Речь идет о так называемых микроархитектурных атаках. Эта форма вредоносного ПО использует архитектуру системы, эффективно угоняя оборудование таким образом, чтобы внешние пользователи могли контролировать систему и получать доступ к ее данным. Spectre и Meltdown являются яркими примерами микроархитектурного вредоносного ПО.

«Характер микроархитектурных атак делает их очень сложными для обнаружения, но мы нашли способ их обнаружить!», – говорит Айсу. «У нас есть хорошее представление о том, как выглядит энергопотребление, когда встроенные системы работают нормально. Посмотрев на аномалии в энергопотреблении, мы можем сказать, что в системе есть вредоносное ПО, даже если мы не можем идентифицировать вредоносное ПО напрямую».

Решение для мониторинга мощности может быть встроено в интеллектуальные батареи для использования с новыми технологиями встроенных систем. Для применения инструмента обнаружения с существующими встроенными системами потребуется новое оборудование типа «включай и работай».

Есть еще одно ограничение: новый метод обнаружения основан на отчете о мощности встроенной системы. В ходе лабораторных испытаний исследователи обнаружили, что – в некоторых случаях – инструмент обнаружения мониторинга питания может быть обманут, если вредоносная программа изменяет свою активность, чтобы имитировать «нормальные» схемы использования энергии.

«Однако даже в этих случаях наша техника дает преимущество», – говорит Айсу. «Мы обнаружили, что усилия, необходимые для имитации нормального энергопотребления и уклонения от обнаружения, заставили вредоносное ПО снизить скорость передачи данных на 86–97 процентов. Короче говоря, наш подход все еще может снизить воздействие вредоносного ПО даже в тех немногих случаях, когда такая программа не обнаружена.

ОСТАВЬТЕ ОТВЕТ