Исследователи разработали новый подход к внедрению методов обнаружения программ-вымогателей, позволяющий обнаруживать широкий спектр программ-вымогателей гораздо быстрее, чем при использовании предыдущих систем.

Программа-вымогатель — это тип вредоносного ПО. Когда в систему проникает программа — вымогатель , программа-вымогатель шифрует данные этой системы, делая данные недоступными для пользователей. Затем люди, ответственные за программу-вымогатель, вымогают у операторов пострадавшей системы деньги, требуя от пользователей деньги в обмен на предоставление им доступа к их собственным данным.

Вымогательство программ-вымогателей обходится очень дорого, и число случаев вымогательства программ-вымогателей растет. ФБР сообщает о получении 3729 жалоб на программы-вымогатели в 2021 году на сумму более 49 миллионов долларов. Более того, 649 из этих жалоб поступили от организаций, относящихся к критической инфраструктуре.

«Вычислительные системы уже используют различные инструменты безопасности, которые отслеживают входящий трафик для обнаружения потенциальных вредоносных программ и предотвращения их компрометации системы», — говорит Пол Франзон, соавтор статьи о новом подходе к обнаружению программ-вымогателей. «Однако большой проблемой здесь является достаточно быстрое обнаружение программ-вымогателей, чтобы они не закрепились в системе. Потому что, как только программы-вымогатели проникают в систему, они начинают шифровать файлы». Франзон — почетный профессор электротехники и вычислительной техники Cirrus Logic в Университете штата Северная Каролина.

«Существует алгоритм машинного обучения под названием XGBoost, который очень хорошо обнаруживает программы-вымогатели», — говорит Арчит Гаджар, первый автор статьи и доктор философии. студент штата Северная Каролина. «Однако, когда системы запускают XGBoost как программное обеспечение через ЦП или ГП, это происходит очень медленно. И попыткам внедрить XGBoost в аппаратные системы мешает отсутствие гибкости — они сосредоточены на очень специфических задачах, и эта специфика делает их трудными или им невозможно отслеживать весь спектр атак программ-вымогателей».

«Мы разработали аппаратный подход, который позволяет XGBoost отслеживать широкий спектр атак программ-вымогателей, но гораздо быстрее, чем любой из программных подходов», — говорит Гаджар.

Новый подход называется FAXID, и при проверке концепции исследователи обнаружили, что он так же точен, как и программные подходы при обнаружении программ-вымогателей. Большая разница была в скорости. FAXID был до 65,8 раз быстрее, чем программное обеспечение, использующее XGBoost на ЦП, и до 5,3 раза быстрее, чем программное обеспечение, использующее XGBoost на графическом процессоре.

«Еще одно преимущество FAXID заключается в том, что он позволяет нам решать проблемы параллельно, — говорит Гаджар. «Вы можете выделить все ресурсы выделенного оборудования безопасности для обнаружения программ-вымогателей и обнаруживать программы-вымогатели быстрее. Но вы также можете выделить вычислительную мощность оборудования безопасности для решения отдельных задач. Например, вы можете выделить определенный процент оборудования для обнаружения программ-вымогателей. и еще один процент аппаратного обеспечения для другой задачи, такой как обнаружение мошенничества».

«Наша работа над FAXID финансировалась Центром передовой электроники с помощью машинного обучения (CAEML), который является государственно-частным партнерством, — говорит Франзон. «Эта технология уже доступна для членов центра, и мы знаем, по крайней мере, об одной компании, которая планирует внедрить ее в свои системы».

Доклад «FAXID: FPGA-Accelerated XGBoost Inference для центров обработки данных с использованием HLS» будет представлен на 30-м Международном симпозиуме IEEE по программируемым пользователем вычислительным машинам (FCCM), который пройдет в Нью-Йорке с 15 по 18 мая.