惡意軟體檢測晶元能夠拯救脆弱的網路嗎？

美國國家科學基金會（NSF）資助了兩個團隊——一支來自賓厄姆頓的紐約州立大學，另一支來自加州大學河濱分校，用於確定創建一個「實用性硬體輔助的不間斷惡意軟體檢測（Practical Hardware-Assisted Always-On Malware Detection）」的惡意軟體晶元的可行性。根據Bleeping Computer統計，這項來自美國國家科學基金會（NSF）高達27.5萬美元的資助已經延續了3年。

一個模子創造的惡意軟體晶元

這項研究很大程度上是基於哥倫比亞大學的安全研究人員於2014年發表的一篇題為《運用硬體特徵的非監督異常惡意軟體檢測，Unsupervised Anomaly-Based Malware Detection Using Hardware Features》的論文。哥倫比亞大學研究團隊基於來自嵌入式性能計數器中的數據，採用「非監督機器學習」來創建配置文件。

研究人員隨後運用配置文件檢測「惡意軟體開發所導致的程序行為偏差」。中央處理單元(CPU)的硬體為所有性能探測器提供處理能力。以前，Intel和克拉克森大學也曾研究過這種方法。

美國國家科學基金會(NSF)的項目是專門基於賓厄姆頓紐約州立大學的研究人員提出的兩份論文而設立的，論文標題分別為《使用低級架構特性的基於硬體的惡意軟體檢測，Hardware-Based Malware Detection Using Low-level ArchitecturalFeatures》以及《底層硬體支持的惡意軟體檢測的整體學習，Ensemble Learning for Low-level Hardware-Supported Malware Detection》。

這並不是該團隊第一次進軍安全界。事實上，該團隊的兩名研究人員曾經參與的研究項目，成功地發現了英特爾Haswell CPU存在漏洞，可繞過ASLR（地址空間配置隨機載入）。在論文中，研究人員展示了分支目標緩衝區(BTB，一種CPU分支目標預測器使用的緩衝區)可被利用泄露ASLR地址，通過在不同用戶進入或操作系統核心進程之間觸發BTB碰撞，目前的CPU技術中，使用分支預測機制來優化性能。

一層附加防護

根據Bleeping Computer介紹，這一新項目旨在「修改CPU晶元加入額外的邏輯來檢測運行過程中存在的異常情況」。然而，CPU硬體並不會直接處理髮現的任何異常，相反地，它會通知本地的安全軟體，並由其最終決定如何處理髮現的異常。

賓厄姆頓紐約州立大學的計算機科學教授Dmitry Ponomarev解釋稱：

硬體探測器檢測速度非常快，但是卻不過靈活和全面，硬體檢測器的作用是發現可疑行為以及更好地指導軟體操作。n

這種方法本身並不能捕獲所有安全威脅。但它可以為運行其中的CPU添加一層防禦保護。

註：本文參考來源於securityintelligence

推薦閱讀：