Ransomware je druh malwaru. Když je systém infiltrován ransomwarem, ransomware zašifruje data tohoto systému, čímž se uživatelům znepřístupní. Lidé zodpovědní za ransomware pak vydírali provozovatele postiženého systému a požadovali po uživatelích peníze výměnou za to, že jim umožní přístup k jejich vlastním datům.
Vydírání ransomwarem je nesmírně drahé a počet případů vydírání ransomwarem přibývá. FBI uvádí, že v roce 2021 obdržela 3 729 stížností na ransomware s náklady více než 49 milionů dolarů. A co víc, 649 z těchto stížností bylo od organizací klasifikovaných jako kritická infrastruktura.
"Výpočetní systémy již využívají různé bezpečnostní nástroje, které monitorují příchozí provoz, aby detekovaly potenciální malware a zabránily mu kompromitovat systém," říká Paul Franzon, spoluautor článku o novém přístupu k detekci ransomwaru. "Nicméně velkou výzvou je zde detekovat ransomware dostatečně rychle, aby se mu zabránilo uchytit se v systému. Protože jakmile ransomware vstoupí do systému, začne šifrovat soubory." Franzon je významným profesorem elektrotechniky a počítačového inženýrství Cirrus Logic na státní univerzitě v Severní Karolíně.
"Existuje algoritmus strojového učení zvaný XGBoost, který je velmi dobrý v detekci ransomwaru," říká Archit Gajjar, první autor článku a Ph.D. student na NC State. "Nicméně, když systémy používají XGBoost jako software přes CPU nebo GPU, je to velmi pomalé. A pokusy začlenit XGBoost do hardwarových systémů byly brzděny nedostatkem flexibility - zaměřují se na velmi specifické výzvy a tato specifičnost to ztěžuje." nebo pro ně nemožné monitorovat celou řadu ransomwarových útoků.
"Vyvinuli jsme hardwarový přístup, který umožňuje XGBoost monitorovat širokou škálu ransomwarových útoků, ale je mnohem rychlejší než jakýkoli jiný softwarový přístup," říká Gajjar.
Nový přístup se nazývá FAXID a při testování proof-of-concept výzkumníci zjistili, že je stejně přesný jako softwarové přístupy k detekci ransomwaru. Velký rozdíl byla rychlost. FAXID byl až 65,8krát rychlejší než software s XGBoost na CPU a až 5,3krát rychlejší než software s XGBoost na GPU.
"Další výhodou FAXID je, že nám umožňuje spouštět problémy paralelně," říká Gajjar. "Mohli byste věnovat všechny zdroje vyhrazeného bezpečnostního hardwaru detekci ransomwaru a detekovat ransomware rychleji. Ale také byste mohli přidělit výpočetní výkon bezpečnostního hardwaru samostatným problémům. Například byste mohli věnovat určité procento hardwaru na detekci ransomwaru." a další procento hardwaru na další výzvu – jako je odhalování podvodů.“
"Naše práce na FAXID byla financována Centrem pro pokročilou elektroniku prostřednictvím strojového učení (CAEML), což je partnerství veřejného a soukromého sektoru," říká Franzon. "Technologie je již zpřístupněna členům centra a víme minimálně o jedné společnosti, která plánuje její implementaci do svých systémů."
Příspěvek „FAXID: FPGA-Accelerated XGBoost Inference for Data Center using HLS“ je prezentován na 30. mezinárodním sympoziu IEEE o Field-Programmable Custom Computing Machines (FCCM), které se koná v New Yorku od 15. května -18. Článek byl spoluautorem Priyank Kashyap, Ph.D. student na NC State; Aydin Aysu, odborný asistent elektrotechniky a počítačového inženýrství na NC State; a Sumon Dey a Chris Cheng z Hewlett Packard Enterprise.
Práce byla podpořena CAEML prostřednictvím grantu National Science Foundation číslo CNS #16-244770 a členskými společnostmi CAEML.
