导语:美国国家科学基金会(NSF)资助了两个团队——一支来自宾厄姆顿的纽约州立大学,另一支来自加州大学河滨分校,用于确定创建一个“实用性硬件辅助的不间断恶意软件检测”的恶意软件芯片的可行性。
美国国家科学基金会(NSF)资助了两个团队——一支来自宾厄姆顿的纽约州立大学,另一支来自加州大学河滨分校,用于确定创建一个“实用性硬件辅助的不间断恶意软件检测(Practical Hardware-Assisted Always-On Malware Detection)”的恶意软件芯片的可行性。根据Bleeping Computer统计,这项来自美国国家科学基金会(NSF)高达27.5万美元的资助已经延续了3年。
一个模子创造的恶意软件芯片
这项研究很大程度上是基于哥伦比亚大学的安全研究人员于2014年发表的一篇题为《运用硬件特征的非监督异常恶意软件检测,Unsupervised Anomaly-Based Malware Detection Using Hardware Features》的论文。哥伦比亚大学研究团队基于来自嵌入式性能计数器中的数据,采用“非监督机器学习”来创建配置文件。
研究人员随后运用配置文件检测“恶意软件开发所导致的程序行为偏差”。中央处理单元(CPU)的硬件为所有性能探测器提供处理能力。以前,Intel和克拉克森大学也曾研究过这种方法。
美国国家科学基金会(NSF)的项目是专门基于宾厄姆顿纽约州立大学的研究人员提出的两份论文而设立的,论文标题分别为《使用低级架构特性的基于硬件的恶意软件检测,Hardware-Based Malware Detection Using Low-level ArchitecturalFeatures》以及《底层硬件支持的恶意软件检测的整体学习,Ensemble Learning for Low-level Hardware-Supported Malware Detection》。
这并不是该团队第一次进军安全界。事实上,该团队的两名研究人员曾经参与的研究项目,成功地发现了英特尔Haswell CPU存在漏洞,可绕过ASLR(地址空间配置随机加载)。在论文中,研究人员展示了分支目标缓冲区(BTB,一种CPU分支目标预测器使用的缓冲区)可被利用泄露ASLR地址,通过在不同用户进入或操作系统核心进程之间触发BTB碰撞,目前的CPU技术中,使用分支预测机制来优化性能。
一层附加防护
根据Bleeping Computer介绍,这一新项目旨在“修改CPU芯片加入额外的逻辑来检测运行过程中存在的异常情况”。然而,CPU硬件并不会直接处理发现的任何异常,相反地,它会通知本地的安全软件,并由其最终决定如何处理发现的异常。
宾厄姆顿纽约州立大学的计算机科学教授Dmitry Ponomarev解释称:
硬件探测器检测速度非常快,但是却不过灵活和全面,硬件检测器的作用是发现可疑行为以及更好地指导软件操作。
这种方法本身并不能捕获所有安全威胁。但它可以为运行其中的CPU添加一层防御保护。