论文研究-显示器电磁木马的Soft-TEMPEST技术研究.pdf

所需积分/C币:15 2019-09-13 11:50:46 610KB .PDF
收藏 收藏
举报

显示器电磁木马是通过控制计算机屏幕电磁辐射达到窃取信息目的的一种新型木马。当前的主流防护思想是用软件防护代替较为成熟但造价昂贵的硬件防护机制,然而目前软防护思想大多侧重于理论方法的探索,在实现机制上相对比较复杂。针对显示器电磁木马的工作特点提出了Soft-TEMPEST防护机制,设计了显示器电磁木马的ADFA(API Detection and Frequency Analysis)检测方法。该方法通过API函数序列的周期性挖掘分析,结合对屏幕像素信息的傅里叶变换及频谱分析,达到检测出木马进程的目的。测试结果表明,该方法能够成功检测出多种显示器电磁木马,而且原理简单,方便投入使用。
陈荣茂,任江春,龚正虎:显示器电磁木马的 Soft- TEMPESt技术研究 2012,48(27) 65 代表的信息内容,这就是基于显示器的显示器电磁变换以观察其频谱特征。通过分析频谱数据,判断 木马工作原理。 屏幕辐射的是否为特殊调制的电磁波。经过两种不 同方法检测之后,即可判断当前进程是否为显示器 电磁木马程序。若是,则向用户发出警告,让用户选 择是否关闭进程。 系统在API周期检测后增加屏幕像素分析模块 主要是为了克服周期性检测在置信度阀值选择上的 (a)300Hz (b)1200Hz 缺陷,避免系统在合法进程检测上的误报,本文后面 图1传输300Hz和1200Hz信号的屏幕图像 的实验数据更好地说明了这一点。 通过分析木马的工作流程,发现显示器电磁木 马在工作时都会有系列有规律的“动作,即API函4关键技术与实现 数序列调用和屏幕像素的频率特性具有一定的特4.1基于API的检测技术与实现 征。因此,要检测出此木马的运行,最好的方法也就 显示器电磁木马需向外传输敏感信息,必须通 是在木马进行这一系列操作时对其进行“动作”和“现过有规律地在显示屏上画出规则图像,以达到发送 场”捕获,通过挖掘匹配其特征达到检测的目的。 某特殊频电磁波的目的。由显示器电磁木马的原 根据上述分析本文设计了基于ADFA的木马检理可以知道,木马程序会在屏幕上周期性地显示某 测系统。系统主要包括AD( APIs Detection)和FA种特殊排布的色块,这些特殊的色块所组成的屏幕 ( Frequency Analysis)两种检测技术,功能如下。 图像产生的电磁辐射,就是调制好了的特殊频率的 (1)AD( APIs Detection)检测机制:绘图API函电磁波。因此,为了达到这种日的,木马通过调用设 数序列检测层,通过获取进程工作时调用的绘图API置像素点的API函数将屏幕上的若十点设置成特定 函数序列,进行周期挖掘分析,判断API序列是否有像素值,由于要发送出电磁波要求设置的像素值按 十显著的周期性特征 规律性变化,木马在调用AP函数过程中也呈现出规4 (2)FA( Frequency Analysis)检测机制:当AP序律性变化。 列检测分析层认为进程可疑时,进行屏幕辐射信息 基于上述木马的行为特征,本文提出了基于API 分析,还原得到辐射频率的分布情况,若频率范围分检测技术,具体流程如图3所示。 布较为集中,则可认为当前屏幕正在辐射经过调制 GetModule file 分析模块PE 利用Hook 利用周期 的电磁波,即当前进程极可能是显示器电磁木马。 得到进程调用 文件结构,得 工具记录 挖掘算法 的模块 出其使用的 API调用 检测序列 系统具体工作流程如图2所示。系统运行时 绘图API库 序列 的周期性 API序列检测模块对所有正在运行的进程进行监控, 图3AD模块工作流程图 如果发现某进程调用的APⅠ函数序列具有显著的周 期性特征,则调用屏幕辐射信息分析模块进行截屏 计算机在通过屏幕显示图像时通常是通过调用 分析。屏幕辐射信息分析模块对所截图像屮各个像 DLL库来实现的,一般可视化程序比较常用的绘图 API库有GDI、 GDIPLUS和SDL等。通过分析AP库 素点颜色信息进行分析整理后,再对其进行傅里叶可以得到常用的绘图AP调用序列如表1所示 表1API调用函数表 捕获每个 进程的API 编号 API名称 编号 API名称 调用序列 Create CompatibleBitmap 10 Set Device GammaRamp CreateDIBSection GetDevice Caps API 是否 DeleteD 12 DeleteObject 序列是否呈 具有频率集 BiBLe 3 GeLSysteinPalelteEntries 周期性 中带 Selectobject Selectpalette 是 是 tiled 15 Swap buffer GetDIBits Choose Pixel Format 屏幕像素 shutdown SetDIBColortable t Pixelformat 分析 进程,发出 警报 RealizePalette Describe PixelFormat 图2ADFA系统流程图 在真实的物理环境中,严格周期定义下的准周 66 2012,48(27) Computer Engineering and Applications计算机工程与应用 期模式很少,多数模式并非在每个时间点上都呈现S与它自身平移序列之间的相似度距离,如第条次 周期性。因此,当木马程序的API调用序列呈现部分对角线是从cel(1,1)到cel/n-i-1,n-1)的距离,设 周期特性时,可以认定该序列具有满足一定置信度为DS(S,S 的周期性特征。文献β]在相似性匹配和时问弯曲 对于给定长度为n的时间序列,可能的周期值 ERP( Edit Distance with Real Penalty)度量的基础为p=1,2,…,n2。计算从cel(1,p)开始的最小弯 上提出一种新的周期恰测方法,以解周期挖捆中曲路径M,其路径长度为DsS:=n-n-1 上,对周期挖掘算法做出了改进以适应工程的应用"-)。路径长度越小,说明S与S越相似继而序 要求。 列的周期性特征越显著。定义周期长度的置信度为 0,a=b9=1-DS(S,S")(m-p,周期置信度说叨一个模式必 定义序列中两元素的相们度距离La,b)-=1a≠b°须连续出现一定次数才认为该段序列具有周期性。 定义两长度为n的序列最小相似度距离为DS(R,S) 以上周期挖掘算法在实现时还会遇到一个问 其计算过程如下:先建立一个nxn的相似度矩阵D,题,同主对角线一样,DS值较小的次对角线对其他 在D中的元素ci.r与s的相似度距离L(,s)次对角线也有牵引作用。在上面引入的噪音影响系 值。从元素cel(1,1)到ce(n,n)之间的路径M=m,数能较好地解决这个问题,当系数g较大时,弯曲路 m2…,m,称为弯曲路径,其中m对应cel(,即径包含其他次对角线的代价将会变高,因此最短弯 mk=L()。由相似度矩阵D叮知,弯曲路径有许曲路径会选择地避开这条对角线 多条,计算DS(R,S)的目标是寻找弯曲路径总长度42基于屏幕分析的检测技术与实现 最小的路径,即为最相似的序列。 在检测出进程调用的API序列具有周期性特征 由动态规划理论可知,从点cel(1,1)到el(i)之后,为了降低系统的误报率,引进了基于屏幕分析 的最短路径为 的检测技术。显示器电磁木马的实质是通过设定屏 L(r,S)+a(-1,-1) 幕各个像素点的颜色,控制高压电子枪的电压,从而 d(,0=14(-1,)+g 调制出预先约定频率的电磁波。因此,各个像素点 l(i,-1)+g 逐个显示颜色的过程,也可以看做发射一系列电磁 其中参数g为噪音影响系数。根据动态规划算法,当信号的过程。 两序列在顺序匹配过程中遇到失配元素时,会尝试 当FA( Frequency Analysis)层收到AD( APIS De 将序列前进一位或后退一位以避开噪音,为区别规 tection)层警告消息,通过捕获屏幕,生成染色矩阵 避噪音带来的对周期性特征的影响,此时需将两序导出时域信号序列,进行傅里叶变换,还原出屏幕电 列最短弯曲路径距离加上噪音影响系数ε。事实上,磁辐射的频率特性。模块流程图如图4所示。 噪音影响系数相当于序列周期性特征显著性的一个 AD层 获取屏幕像像素信息处傅里叶变换, 衡量标准。 信号 素信息,生成理,生成时域分析频率 挖掘API调用序列的周期性特征的方法是将 染色矩阵 信号序列 API序列与自身构造一个相似度矩阵。设API调用 图4A模块工作流程 序列为S=(s1,s2,…,S),构建序列S与自身的相似度 具体思路如下 矩阵如下 (1)在屏幕辐射信息分析层中,首先获取屏幕分 0L(S1,S2)…:L(s1Sn 辨率γ*h;通过截屏子模块获取屏幕像素信息,生成 …L(S2,Sn) 染色矩阵 Color[vch,将颜色信息保存在染色矩阵 sm,, S, L(,,S,) 甲, Color[代表坐标为(i,的像素点的颜色 D是对称方阵,所有主对角线上的元素都为无穷大, Color[768]1024] 时间序列与它自身的相似度距离本应该为0,但是为 RGB.O RGB RGB 0.2 RGB.1023 RGB RGB RGB RGB 避免在计算最短弯曲路径时主对角线对其他部分的 牵引作用,因而设其为无穷大,使得所有的最短弯曲 RGB RGB RGB RGB 路径避开主对角线。矩阵D表示序列中所有元素,之 导出时域信号序列,为进一步分析显示的电磁 间的比较关系,以及每个次对角线包含的序列与自特性,将染色矩阵中保存的信息转换为时城信号序 身平移序列之间的比较关系。检测周期即计算序列列C=Co/Or(t)。 陈荣茂,任江春,龚正虎:显示器电磁木马的 Soft- TEMPESt技术研究 2012,48(27) 67 0.07 0.06 0.06 0.05 国004 0.04 :0.03 0.03 0.02 0.02 0.01AA Oi HLILLLnn-HiLLniLlE 需害等转需E 会品含需需等需 频率/Hz 频率/Hz a)正常情况下 (b)木马运行时 图5正常情况和木马L作时屏暮辐射频率分布图 (2)对时域信号序列 Color(t)做离散时域傅里叶 另外,分别在计算机正常工作时和木马程序运 变换,分析时域信号的频率特征。对各个频段内的行时截屏,将像素点颜色值构造成时域信号序列并 采集进行采集对比,如果某频段內分布的能量明显进行傅里叶变换,根据傅里叶变换的性质,得到的频 高于其他频段,则说明屏幕电磁辐射集中在这个频谱是关于频城中轴对称的。对称轴右侧的部分对应 段内。由于正常情况下,屏幕电磁辐射的频率是较的是现实世界中的频域,对称轴左侧没有实际的物 均匀地分布在整个频域内,而显示器电磁木马为了理意义。图5是根据截屏数据作出的频率能量分布 向外界泄漏信息,向外辐射的电磁波的频率集中在图。通过对比,可以清楚地发现,计算机正常工作时 约定的通信频率附近。 图5(a),像素点时域信号序列的颊率较为均匀地分 傅里叶变换分析模块接收像素信息处理模块传布在整个域上;而在显示器电磁木马运行酎图5(b) 递的时域信号序列C(),对其作傅里叶变换,转换为由丁像素点颜色被人为控制,像素点时域信号序列 频域函数F(ⅳ)。将整个频域按2000Iz划分成若干集中在特定的频段上。 4频段,计算分布在每个频段的能量4=/年f() 基于上述的测试,本文将两种检测技术结合起 来并系统检测ADA方法在检测 TEMPEST上的性 占整个频域内能量B=5F()dp的比例P=AB。能,本文选取了儿种显示器电磁木马进行测试得出 如果比例P超出预定的阀值,则说明电磁信号集中在的结果如表3所示。而为了验证系统在检测合法进 这个频带内。由于显示屏正常工作时并不会导致辐程存在的误报率情况,本文选取了几种常见的软件 射的电磁波集中分布,所以一旦出现这种情况,便判程序进行测试,测试结果如表4所示。 定系统中存在显示器电磁木马,立即通知用户中断 表3木马进程检测测试结果 木马进程,关闭相关设备。 项目 木马A木马B木马C 运行次数 100 100 5测试结果及分析 检测为木马次数 98 为了测性系统方法的性能,首先分别对两种检 检测为正常程序次数 2 测技术进行了独立测试。表2是通过选取木马程序 检测成功率(%) 和飞信等程序对周期检测算法的测试结果。 表4正常程序检测情况测试结果 表2周期检测算法测试表 项目 OFFICE POWERPOINT ES8暴风影音 运行次数 100 100 受检程序 最短周期置信概率/(%) 木马 检测为木马次数 K信(v1.30.12 检测为正常程序次数 99 98 54.0 Ray Source( v2.2.0.1) 误报率/(%) 48.7 中国电子地图(2012) 42.3 通过以上测试数据可以发现,系统对木马的检 由表2可知,木马的API调用序列呈现了较高置测成功率约为97%,达到比较理想的检测水平。对于 信概率的周期性特征,比其他序列的置信概率高出正常的软件程序,系统的误报率也比较低,暴风影音 了30%左右。由此可见,利用对程序的绘图API调用由于其执行操作时调用的AP序列有时会呈现与木 序列进行周期挖掘的方法,可以有效地识别出木马马相同的周期性特征而误报率相对较高,针对这种 程序,为下一步的识别提供了合理的数据支撑。 情况,系统里设计了交可提示,用户可自主将其加入 682012,48(27) Computer Engineering and Applications计算机工程与应用 白名单来克服系统误报带来的缺陷。 mission using electromagnetic emanations[C]//LNCs 1525 1998:124-142. 6总结展望 [4]朱海涛液晶显示器电磁泄漏信息侦收难度分析[信息安 本系统研究的显示器电磁木马的防护技术,涉 全与通信保密,2011(1) 及到的是一个非传统的、全新的安全领域。由于国5张小武种新的电磁泄漏隐想:木马程序利用电磁发射 内外针对显示器电磁木马的 Soft-TEMPEST技术研 传递隐藏数据的危险与防范[J计算机安仝,2005(1) 究起步较晚,相关的理论和实验论证都存在诸多不 J Electromagnetic Pulse( EMP)and Tempest protection for facilitics[eb/ol].(1990-12-31).Http://www.jya.com/emp.htm 足,因此本方法只是对该领域的一次初步的探索,本 [刀]陈兵计算机显示器 TEMPEST检测技术[D]太原:太原科 文所提出的方法存在着诸多需要进一步改进的地 技大学,2005 方。在下一步的研究工作中将注意以下两个方面:(8]李雪CRT显示器电磁信息辐射的时域和频域分析D]太 是对ADFA检测方法进一步探索和优化,并收集更 原:太原科技大学,2007 多的木马进行测试验证并不断完善检测机制。二是[91李炜,袁晓光.o- Tempest汉字字符的研究与实现!计算 将检测方法的完善与声卡、打印机、CPU等设备电磁 机工程与设计,2001(6) 辐射检测实际应用相结合,拓展运用到各种设备的10史燕中,叶青,袁晓光 SOFT-TEMPEST技术新方法研 实际电磁泄露检测。 究[C]中国计算机学会信息保密专业委员会学术年会论 文集,2001 参考文献: [I]邱扬,骆红延,孙伟国,等计算机视频信息泄漏中的红信 [1] van Eck W Electromagnetic radiation from video display 号鉴别研究门电磁兼容性研究专辑,2004(24) units: an eavesdropping risk[J]. Computers& Security,1985.[12]王阅时间序列周期模式挖掘的周期检测方法[J计算机 4:269-286 工程,2009(22):32-34 [2 Kuhn M G Compromising emanations: eavesdropping risks [13]杨继深外设的 TEMPEST设计[C]第4届全国抗恶劣环 ofcomputerdisplays[eb/ol].(2003).htTp://www.cl.cam 境计算机学术年会论文集,193 ac uk/TechReports/ 141维基百科离散傅立叶变换[EBOL]hmp:wipa中 3 Kuhn M G, Anderson r J Soft Tempest: hidden data trans- org/zh-cn离散傅立叶变换. 上接26页) [6] Kargupta H. Sclable, distributed data mining using an agent based architecture[c] /Proceedings of 3rd Interna 参考文献: tional Conference on Knowledge discovery and Data [1 Han Jiawei, Kamber M. Data mining: concepts and tech Mining. Oakland: AAAl Press. 1997: 211-214 niques[M]. San Francisco: Morgan Kaufmann Publishers [7]李应安基于 Mapreduce的聚类算法的并行化研究[D]广 2000 州:中山大学,2010 12]李榴,唐九阳,葛斌,等 K-DmeanS WM:种基于P2P网络8]刘远超,王晓龙,刘秉权一种改进的 K-means文档聚类初 的分布式聚类算法[计算机科学,2010,37(1):39-41 值选择算法[J高技术通讯,2006(1):1115 [3 Januzaj E, Kriegel H P, Pfeifle M. DBDC: Density-Based 9]岑咏华,王晓蓉,吉雍慧.一种基于改进K- - means的文档聚 Distributed Clustering[C]/Proceedings of 9th International 类算法的实现研究[J情报分析与研究,2008(12):73-79 Conference on Extending Database Technology(EDbt) [10 Hearst M ATexttiling: segmenting text into multi-para- Oakland: IEEE Computer Press, 2004: 88-105 graph subtopic passages[J]. Computational Linguistics [4 Samatova N F. Ostrouchov G RACHET: an efficient cov 1997,23(1):33-64 er-based merging of clustering hierarchies from distribut- [Il] Dean J, Ghemawat SMapReduce: simplified data process ed datasets[J]. Distributed and Parallel Databases, 2002, Il ing on large clusters[C]/Proceedings of the 6th Inter- (2):157-180 national Conference on Operation Systems Design Im 5]Johoson E, KarguPta H Collective, hierarchical clustering plementation( OSDI), Berkeley, CA, USA, 2004: 137-150 from distributed, heterogeneous data[C]/ Lecture Notes in[12] White thado权威指南M曾大聃,周傲英,译北京: Computer Science. Berlin: Springer, 2000: 221-244 清华大学出版社,2010

...展开详情
试读 6P 论文研究-显示器电磁木马的Soft-TEMPEST技术研究.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
    抢沙发
    一个资源只可评论一次,评论内容不能少于5个字
    weixin_38743602 你的留言是对我莫大的支持
    2019-09-13
    • 至尊王者

      成功上传501个资源即可获取
    关注 私信 TA的资源
    上传资源赚积分,得勋章
    最新推荐
    论文研究-显示器电磁木马的Soft-TEMPEST技术研究.pdf 15积分/C币 立即下载
    1/6
    论文研究-显示器电磁木马的Soft-TEMPEST技术研究.pdf第1页
    论文研究-显示器电磁木马的Soft-TEMPEST技术研究.pdf第2页

    试读已结束,剩余4页未读...

    15积分/C币 立即下载 >