Ransomware é um tipo de malware. Quando um sistema é infiltrado por ransomware, o ransomware criptografa os dados desse sistema, tornando-os inacessíveis aos usuários. Os responsáveis pelo ransomware então extorquem os operadores do sistema afetado, exigindo dinheiro dos usuários em troca de conceder-lhes acesso aos seus próprios dados.
A extorsão por ransomware é extremamente cara e os casos de extorsão por ransomware estão aumentando. O FBI relata ter recebido 3.729 reclamações de ransomware em 2021, com custos de mais de US$ 49 milhões. Além disso, 649 dessas reclamações eram de organizações classificadas como infraestrutura crítica.
"Os sistemas de computação já utilizam uma variedade de ferramentas de segurança que monitoram o tráfego de entrada para detectar malware em potencial e impedir que ele comprometa o sistema", diz Paul Franzon, coautor de um artigo sobre a nova abordagem de detecção de ransomware. "No entanto, o grande desafio aqui é detectar o ransomware com rapidez suficiente para impedir que ele se instale no sistema. Porque, assim que o ransomware entra no sistema, ele começa a criptografar os arquivos." Franzon é Cirrus Logic Distinguished Professor de Engenharia Elétrica e de Computação na North Carolina State University.
"Existe um algoritmo de aprendizado de máquina chamado XGBoost que é muito bom na detecção de ransomware", diz Archit Gajjar, primeiro autor do artigo e Ph.D. estudante na NC State. "No entanto, quando os sistemas executam o XGBoost como software por meio de uma CPU ou GPU, é muito lento. E as tentativas de incorporar o XGBoost em sistemas de hardware foram prejudicadas pela falta de flexibilidade - eles se concentram em desafios muito específicos, e essa especificidade dificulta ou impossível para eles monitorar toda a gama de ataques de ransomware.
"Desenvolvemos uma abordagem baseada em hardware que permite ao XGBoost monitorar uma ampla gama de ataques de ransomware, mas é muito mais rápida do que qualquer uma das abordagens de software", diz Gajjar.
A nova abordagem é chamada de FAXID e, em testes de prova de conceito, os pesquisadores descobriram que ela era tão precisa quanto as abordagens baseadas em software na detecção de ransomware. A grande diferença era a velocidade. O FAXID foi até 65,8 vezes mais rápido do que o software executando o XGBoost em uma CPU e até 5,3 vezes mais rápido do que o software executando o XGBoost em uma GPU.
"Outra vantagem do FAXID é que ele nos permite executar problemas em paralelo", diz Gajjar. "Você pode dedicar todos os recursos dedicados do hardware de segurança à detecção de ransomware e detectá-lo mais rapidamente. Mas também pode alocar o poder de computação do hardware de segurança para problemas separados. Por exemplo, você pode dedicar uma certa porcentagem do hardware à detecção de ransomware e outra porcentagem do hardware para outro desafio - como a detecção de fraudes."
"Nosso trabalho no FAXID foi financiado pelo Center for Advanced Electronics through Machine Learning (CAEML), que é uma parceria público-privada", diz Franzon. "A tecnologia já está sendo disponibilizada aos membros do centro e sabemos de pelo menos uma empresa que está planejando implementá-la em seus sistemas."
O paper, "FAXID: FPGA-Accelerated XGBoost Inference for Data Centers using HLS", está sendo apresentado no 30º IEEE International Symposium on Field-Programmable Custom Computing Machines (FCCM), que será realizado na cidade de Nova York a partir de 15 de maio -18. O papel foi co-autoria de Priyank Kashyap, um Ph.D. estudante na NC State; Aydin Aysu, professor assistente de engenharia elétrica e de computação na NC State; e Sumon Dey e Chris Cheng da Hewlett Packard Enterprise.
O trabalho foi financiado pelo CAEML, através da concessão da National Science Foundation número CNS #16-244770, e empresas membros do CAEML.
