Le rançongiciel est un type de logiciel malveillant. Lorsqu'un système est infiltré par un ransomware, le ransomware crypte les données de ce système, ce qui rend les données inaccessibles aux utilisateurs. Les responsables du rançongiciel extorquent ensuite les opérateurs du système concerné, exigeant de l'argent des utilisateurs en échange de leur accorder l'accès à leurs propres données.
L'extorsion de ransomware est extrêmement coûteuse, et les cas d'extorsion de ransomware sont en augmentation. Le FBI rapporte avoir reçu 3 729 plaintes de rançongiciels en 2021, avec des coûts de plus de 49 millions de dollars. De plus, 649 de ces plaintes provenaient d'organisations classées comme infrastructures critiques.
"Les systèmes informatiques utilisent déjà une variété d'outils de sécurité qui surveillent le trafic entrant pour détecter les logiciels malveillants potentiels et l'empêcher de compromettre le système", explique Paul Franzon, co-auteur d'un article sur la nouvelle approche de détection des ransomwares. "Cependant, le grand défi ici est de détecter les ransomwares assez rapidement pour les empêcher de s'implanter dans le système. Parce que dès que les ransomwares pénètrent dans le système, ils commencent à chiffrer les fichiers." Franzon est professeur émérite Cirrus Logic de génie électrique et informatique à la North Carolina State University.
"Il existe un algorithme d'apprentissage automatique appelé XGBoost qui est très efficace pour détecter les ransomwares", déclare Archit Gajjar, premier auteur de l'article et titulaire d'un doctorat. étudiant à NC State. "Cependant, lorsque les systèmes exécutent XGBoost en tant que logiciel via un CPU ou un GPU, c'est très lent. Et les tentatives d'intégration de XGBoost dans les systèmes matériels ont été entravées par un manque de flexibilité - ils se concentrent sur des défis très spécifiques, et cette spécificité rend difficile ou impossible pour eux de surveiller l'éventail complet des attaques de rançongiciels.
"Nous avons développé une approche basée sur le matériel qui permet à XGBoost de surveiller un large éventail d'attaques de ransomwares, mais qui est beaucoup plus rapide que n'importe quelle approche logicielle", déclare Gajjar.
La nouvelle approche s'appelle FAXID, et lors des tests de preuve de concept, les chercheurs ont découvert qu'elle était tout aussi précise que les approches logicielles pour détecter les ransomwares. La grande différence était la vitesse. FAXID était jusqu'à 65,8 fois plus rapide qu'un logiciel exécutant XGBoost sur un CPU et jusqu'à 5,3 fois plus rapide qu'un logiciel exécutant XGBoost sur un GPU.
"Un autre avantage de FAXID est qu'il nous permet d'exécuter des problèmes en parallèle", déclare Gajjar. « Vous pouvez consacrer toutes les ressources du matériel de sécurité dédié à la détection des ransomwares et détecter les ransomwares plus rapidement. Mais vous pouvez également allouer la puissance de calcul du matériel de sécurité à des problèmes distincts. Par exemple, vous pouvez consacrer un certain pourcentage du matériel à la détection des ransomwares. et un autre pourcentage du matériel à un autre défi, comme la détection des fraudes."
"Notre travail sur FAXID a été financé par le Center for Advanced Electronics through Machine Learning (CAEML), qui est un partenariat public-privé", déclare Franzon. "La technologie est déjà mise à la disposition des membres du centre, et nous connaissons au moins une entreprise qui envisage de l'implémenter dans ses systèmes."
Le document "FAXID : FPGA-Accelerated XGBoost Inference for Data Centers using HLS" est présenté au 30e IEEE International Symposium on Field-Programmable Custom Computing Machines (FCCM), qui se tiendra à New York à partir du 15 mai. -18. L'article a été co-écrit par Priyank Kashyap, un Ph.D. étudiant à NC State; Aydin Aysu, professeur adjoint de génie électrique et informatique à NC State ; et Sumon Dey et Chris Cheng de Hewlett Packard Enterprise.
Le travail a été soutenu par le CAEML, via le numéro de subvention de la National Science Foundation CNS #16-244770, et les sociétés membres du CAEML.