未知恶意软件的片上特异性免疫机制研究

The malware attack is characterized by low-cost and wide-range threat. And it is the most dangerous and destructive attack in practical embedded system applications. The current software defence strategy and hardware-assisted security can't meet the security requirement of the embedded system environment in defence of unknown malware attack. Thus, it is imperative to construct a novel defensive scheme. This project tries to resolve the run-time security problem caused by malware in terms of the architecture of embedded processors. The special immune algorithm and its on-chip integration will be studied to defend malware attack. During the run-time, the characteristic data and behavior patterns of embedded processors is monitored, and these important information can be regarded as the antigen in special immune mechanism. After the on-chip integration of the suitable immune algorithm, the overhead of performance, power consumption, and cost is analysed. The research result can also be applied in security-sensitive devices and offer a secure support for the encryption communication, online banking, electronic commerce, electronic government and so on.

恶意软件攻击具有成本低廉、危害广泛的特点，是嵌入式系统在实际应用中所面临的最具威胁性与破坏性的攻击方式，目前采用的软件防护策略和硬件辅助安全机制都无法抵御未知恶意软件的攻击，不能满足嵌入式系统应用环境中的安全需求，因而迫切需要寻求一种新的防御方法。本项目拟从嵌入式处理器的体系结构入手，采用特异性免疫算法思想，研究适用于片上集成的特异性免疫方法以抵抗恶意软件的攻击，通过对恶意软件在嵌入式处理器内运行时的各种特征信息和行为模式进行研究，将这些特征信息分析提取后作为片上特异性免疫机制的抗原，采用适于片上集成的免疫算法抵御未知恶意软件的攻击，并分析片上特异性免疫所带来的性能、功耗、成本的开销，解决嵌入式系统中存在的运行安全性差的问题。其研究结果还可以应用于其他安全敏感的电子设备中，为保密通信、网上银行、电子商务、电子政务等系统的安全运行提供基础支持。

对于嵌入式系统的未知恶意软件检测一直都是一个挑战。基于人工免疫系统理论的入侵检测技术模仿了生物免疫系统的机制，通过随机生成以及否定选择的过程产生检测器集，以少量的检测器检测大量的非我元素，正好可以弥补嵌入式系统在病毒防护上可用资源有限的这一特点。项目通过对生物免疫原理和人工免疫系统否定选择算法的研究，总结出了传统的否定选择算法中存在的最关键性三个不足：检测器生成效率低、检测器覆盖空间重叠以及检测器覆盖空间的黑洞问题。针对这些不足之处，项目提出了阈值可变的否定选择算法。该算法引入自体元素匹配阈值、可变阈值的检测器匹配规则和计算覆盖率的检测器生成过程结束方式，大幅提高了检测器集的生成效率，同时减小了相同检测器数量下检测器覆盖空间的黑洞大小。该算法描述的检测器可变阈值计算规则完全解决了检测器覆盖空间重叠的问题。项目提出并实现了嵌入式处理器指令流水线的指令行为提取方法，通过对嵌入式处理器指令信息的提取以及编码，找到了嵌入式系统区分正常程序和恶意程序的更有效的对象。项目设计的指令信息提取模块在不影响处理器性能的情况下，与处理器同步工作，实时采集嵌入式处理执行的程序的关键信息。项目对传统的CAM存储器的输入数据与存储字的匹配方式作出部分匹配的改进，使之能够更有效的应用于硬件免疫系统自我集和检测器集元素的存储和查找。充分利用了CAM存储器可以在一个周期内完成对存储器中所有存储字进行查找的优势，大大的提高了本文提出的硬件免疫系统的工作效率。项目还提出了一种基于傅里叶分析的SRAM PUF密钥提取系统。该系统引入SRAM PUF布尔函数，运用傅里叶分析研究SRAM PUF布尔函数的频谱特性，设计抗噪声频点搜索和符号位编码算法，实现芯片认证和密钥提取。与模糊提取器相比，无需使用纠错编码，从而大大降低了密钥提取过程所需的软硬件资源，特别适合在嵌入式系统。