跟蹤嵌入式系統中的功率波動可以捕獲惡意軟件的行為，或者至少揭示其存在。

惡意軟件是陰險的 - 有數百萬種可供攻擊者選擇的 - 盡管嘗試了預防，但惡意軟件偶爾會通過防火墻和其他安全措施。但是，北卡羅來納州立大學和德克薩斯大學奧斯汀分校的研究人員已經創造了一種方法來檢測使用系統架構來阻止傳統安全措施的惡意軟件類型。該工具通過跟蹤嵌入式系統中的功率波動來工作。

研究人員將“嵌入式系統”定義為本質上沒有物理鍵盤的計算機 - 從智能手機到物聯網。美國軍方依賴于各種各樣的嵌入式系統，這些系統經常被部署并預計運行十年或更長時間。

“嵌入式系統用于從我們家中的語音激活虛擬助手到發電廠中使用的工業控制系統，”北卡羅來納州立大學電氣和計算機工程助理教授Aydin Aysu解釋說。“針對這些系統的惡意軟件可用于奪取控制權或竊取信息。

微架構攻擊是一種惡意軟件，它針對系統的架構設計，以一種讓外部用戶控制系統并訪問其數據的方式有效地劫持硬件。Spectre和Meltdown是最近（從2018年開始）這種惡意軟件的兩個備受矚目的例子。與大多數惡意軟件不同，這些破壞性工具利用處理器本身的架構，即數百萬個晶體管協同工作以執行操作。

對于嵌入式系統來說，每一次新的攻擊本質上都是一個無法修補的問題，這是一個真正的問題。

簡而言之，Spectre和Meltdown利用了所有操作都需要略有不同的時間來執行的事實。例如，假設有人試圖猜測 PIN，他們首先猜測“1111”到“9111”。如果前八個猜測花費相同的時間，但“9111”需要更長的時間，那么這個猜測很可能至少具有“9”的權利，攻擊者可以通過這些“定時攻擊”繼續猜測“9111”到“9911”，然后從那里開始。

特別容易受到這些攻擊的一個操作是訪問內存。黑客可以讓處理器推測性地執行一些代碼來讀取它不應該讀取的部分內存。即使代碼失敗，它仍然可能泄漏攻擊者隨后可以訪問和使用的數據。

捕捉微架構攻擊相當困難，因為它們可能非常隱蔽且很難捕捉。“但我們已經找到了一種檢測它們的方法，”Aysu說。“我們很清楚嵌入式系統正常運行時的功耗。通過查找功耗異常，我們可以判斷系統中存在惡意軟件 - 即使我們無法直接識別惡意軟件。

研究人員表示，他們的電源監控解決方案可以整合到智能電池中，用于未來的嵌入式系統技術。對于現有技術，將需要新的即插即用硬件來應用檢測工具。

這種解決方案存在一些局限性：研究人員指出，首先，他們的檢測工具依賴于嵌入式系統的功率報告。當他們在實驗室進行測試時，他們發現在某些情況下，如果惡意軟件修改其活動以模仿“正常”電源使用模式，電源監控檢測工具可能會被欺騙。

但即使發生這種情況，該技術仍然“提供了優勢”，Aysu說。“我們發現，模仿正常功耗和逃避檢測所需的努力迫使惡意軟件將其數據傳輸速率減慢 86% 到 97%。簡而言之，我們的方法仍然可以減少惡意軟件的影響 - 即使在未檢測到惡意軟件的少數情況下也是如此。

該組織表示，電源異常是一種簡單的防御措施，“可以幫助面向未來的嵌入式系統抵御隨著相變存儲器和加速器等新硬件成為主流而可能出現的漏洞”。

審核編輯：郭婷