在2018年亚洲计算机与通信安全会议上,波士顿大学欧洲经委会学生获得最佳论文奖
恶意软件是当今计算机安全问题的核心。恶意软件有各种各样的行为,从发送垃圾邮件到劫持用户的文件并要求赎金。后一类被称为勒索软件,最近一直是安全澳门威尼斯人注册网站研究人员和从业者关注的焦点。例如,2017年,WannaCry勒索软件通过攻击银行、执法机构和医院,估计造成了40亿美元的损失。
©用户:Colin /维基共享资源
为了保护计算机系统,网络安全澳门威尼斯人注册网站研究人员开发了各种基于软件的恶意软件分析和检测方法。然而,它们是有代价的:用户应用程序的性能下降。为了减少这种开销,许多解决方案建议使用硬件性能计数器(hpc),这是处理器内部的低级硬件单元。这些解决方案声称可以分析在硬件级别收集的HPC数据,并使用机器学习(ML)算法来检测程序中的恶意行为。然而,通过分析硬件级别的活动来正确识别软件应用程序的恶意活动是困难的,因为标准系统进程执行相同(或类似)的可数行为。例如,勒索软件和密钥管理器都通过相同的硬件操作加密文件。正因为如此,当仅分析这些硬件操作时,勒索软件和密钥管理器之间没有明显的区别。
波士顿大学欧洲经委会
波士顿大学欧洲经委会
波士顿大学欧洲经委会
波士顿大学的澳门威尼斯人注册网站研究生Boyou Zhou, Rasoul Jahanshahi和Anmol Gupta在Manuel Egele和Ajay Joshi教授的指导下,意识到恶意软件和HPC痕迹之间的相关性并不能建立因果关系,他们对提出基于HPC的恶意软件检测方法的工作进行了评估。他们发现,这些工作中的结论是基于不切实际的假设和用于处理HPC值的ML算法的过于乐观的设置。
波士顿大学欧洲经委会
波士顿大学欧洲经委会
因此,为了确定HPC和ML是否可以用于检测恶意软件,该小组进行了运行善意软件和恶意程序的实验,然后收集和分析每个程序的HPC值。Egele和Joshi的团队连接了16台AMD机器(由BU IT提供),进行了实验,并在这些裸机上提取了HPC痕迹。实验表明,基于hpc的恶意软件检测的错误发现率(FDR)超过15%。换句话说,在新的Windows安装中的1,323个可执行文件中,有198个文件会被错误地标记为恶意软件。此外,通过在notepad++中植入勒索软件,在使用基于hpc的恶意软件检测方法时无法检测到勒索软件。
他们在一篇名为“硬件性能计数器可以检测恶意软件:神话还是事实?”,并获得了2018年亚洲计算机通信安全会议(ASIACCS)的最佳论文奖。在他们的论文中,他们认为安全澳门威尼斯人注册网站研究人员和工程师需要非常小心地使用hpc和ML进行恶意软件检测,并提供了优化这种方法的指导方针。这些指导方针包括在裸机上运行程序,使用不连接的程序进行培训和评估,以及执行10倍交叉验证。