Ransomware е вид зловреден софтуер. Когато една система е проникната от рансъмуер, рансъмуерът криптира данните на тази система – което прави данните недостъпни за потребителите. След това хората, отговорни за рансъмуера, изнудват операторите на засегнатата система, като искат пари от потребителите в замяна на предоставяне на достъп до техните собствени данни.
Изнудването на рансъмуер е изключително скъпо и случаите на изнудване на рансъмуер нарастват. ФБР съобщава, че е получило 3729 жалби за рансъмуер през 2021 г. с разходи от над 49 милиона долара. Нещо повече, 649 от тези оплаквания са от организации, класифицирани като критична инфраструктура.
„Компютърните системи вече използват различни инструменти за сигурност, които наблюдават входящия трафик, за да открият потенциален злонамерен софтуер и да го предотвратят от компрометиране на системата“, казва Пол Франзон, съавтор на статия за новия подход за откриване на ransomware. „Въпреки това, голямото предизвикателство тук е откриването на ransomware достатъчно бързо, за да му попречим да стъпи в системата. Защото веднага щом ransomware влезе в системата, той започва да криптира файлове.“ Franzon е изтъкнат професор по електротехника и компютърно инженерство в Cirrus Logic в държавния университет на Северна Каролина.
„Има алгоритъм за машинно обучение, наречен XGBoost, който е много добър в откриването на ransomware“, казва Archit Gajjar, първи автор на статията и докторска степен. студент в NC State. „Въпреки това, когато системите изпълняват XGBoost като софтуер чрез CPU или GPU, това е много бавно. А опитите за включване на XGBoost в хардуерни системи са възпрепятствани от липсата на гъвкавост – те се фокусират върху много специфични предизвикателства и тази специфика го затруднява или невъзможно за тях да наблюдават за пълния набор от атаки на ransomware.
„Разработихме хардуерен подход, който позволява на XGBoost да следи за широк спектър от ransomware атаки, но е много по-бърз от който и да е от софтуерните подходи“, казва Гаджар.
Новият подход се нарича FAXID и при тестване за доказателство на концепцията изследователите откриха, че е също толкова точен, колкото софтуерно базираните подходи за откриване на ransomware. Голямата разлика беше скоростта. FAXID беше до 65,8 пъти по-бърз от софтуера, работещ с XGBoost на CPU, и до 5,3 пъти по-бърз от софтуера, работещ с XGBoost на GPU.
„Друго предимство на FAXID е, че ни позволява да изпълняваме проблеми паралелно“, казва Гаджар. „Можете да посветите всички ресурси на специалния защитен хардуер за откриване на рансъмуер и да откриете по-бързо рансъмуер. Но можете също така да разпределите изчислителната мощност на защитния хардуер за отделни проблеми. Например, можете да отделите определен процент от хардуера за откриване на рансъмуер и още един процент от хардуера към друго предизвикателство -- като откриване на измами."
„Нашата работа по FAXID беше финансирана от Центъра за напреднала електроника чрез машинно обучение (CAEML), който е публично-частно партньорство“, казва Франзон. „Технологията вече е достъпна за членовете на центъра и знаем за поне една компания, която прави планове да я внедри в своите системи.“
Документът „FAXID: FPGA-ускорен XGBoost Inference за центрове за данни, използващи HLS“ се представя на 30-ия международен симпозиум на IEEE за потребителски програмируеми компютърни машини (FCCM), който се провежда в Ню Йорк от 15 май -18. Документът е съавтор на Priyank Kashyap, доктор по философия. студент в NC State; Айдън Айсу, асистент по електротехника и компютърно инженерство в NC State; и Sumon Dey и Chris Cheng от Hewlett Packard Enterprise.
Работата беше подкрепена от CAEML, чрез субсидия на Националната научна фондация CNS #16-244770 и компании-членки на CAEML.
