版主
版主

开脑洞:检测恶意软件的另一种方法

原文出处: TechTarget  http://www.searchsecurity.com.cn/showcontent_89974.htm

通过监控电力消耗来检测恶意软件,这可能吗?它适合企业使用吗?在本文中,企业威胁专家Nick Lewis将探讨这个问题。

一家安全初创公司声称其开发的新技术可以通过监控系统或设备的电力消耗来提高恶意软件检测率。这种技术的工作原理是什么,这是否是企业检测和应对威胁的可行方法?

Nick Lewis:PFP Cybersecurity声称其产品可以检测很多不同平台的恶意软件和零日攻击,这些平台包括SCADA、半导体、移动设备和网络设备等。该产品会监控功率使用情况,并通过“带外、物理层的方法”检测功率模式中的异常情况。对于具有敏感电源配置或受到密切监控的系统而言,使用电源或电池使用中的变化情况是检测异常的合理方法,这好比监控网络连接来发现正常活动中的变化。

PFP的产品采用了所谓的“侧信道攻击”检测;一台外部设备监测功耗情况来确定内部操作中的变化。这样的攻击已被用于提取加密密钥以进一步说明侧信道攻击/监测的功率。当执行加密或任何CPU操作时,计算机或设备需要一定量的功率来执行计算。计算越密集,需要的功率越多。在具有可预测功耗曲线的系统中,电力使用变化可能是恶意软件所导致,这表明应对一些情况进行调查。

但同样重要的是,在不同类型的系统中总是会发生小功率变化,例如当更新推送到系统时、故障排查时、高峰使用期间等。

PFP安全工具可能适合于受控制的环境,而不一定适合一般企业用途(虽然PFP不认为是这样)。该工具可能需要很大程度的调试和监测,但在端点不能改变或难以监测的设置中,PFP Cybersecurity的工具会很有价值。

标签 (1)
标记 (3)
0 项奖励
2 条回复2
版主
版主

Re: 开脑洞:检测恶意软件的另一种方法

先建立benchmark,监控变化,比较+判断。想法还是不错呢,不知道在实际应用会如何,系统中的各类情况还是挺复杂的,识别哪些是攻击带来的变化,哪些是正常系统运行中产生的变化,准确率是个关键。

0 项奖励
Roger_Wu
4 Ruthenium

Re: 开脑洞:检测恶意软件的另一种方法

如何解决误报率确实是个问题

0 项奖励