[論文レビュー] RAPPER: Ransomware Prevention via Performance Counters
RAPPER は、ハードウェア性能カウンタと FFT ベースの自己符号化器を用いてリアルタイムでランサムウェアを検出する教師なしの二段階検出フレームワークであり、ディスク暗号化とランサムウェアを、ディスク暗号化テンプレートとの相関を介して区別します。
Ransomware can produce direct and controllable economic loss, which makes it one of the most prominent threats in cyber security. As per the latest statistics, more than half of malwares reported in Q1 of 2017 are ransomwares and there is a potent threat of a novice cybercriminals accessing ransomware-as-a-service. The concept of public-key based data kidnapping and subsequent extortion was introduced in 1996. Since then, variants of ransomware emerged with different cryptosystems and larger key sizes, the underlying techniques remained same. Though there are works in literature which proposes a generic framework to detect the crypto ransomwares, we present a two step unsupervised detection tool which when suspects a process activity to be malicious, issues an alarm for further analysis to be carried in the second step and detects it with minimal traces. The two step detection framework- RAPPER uses Artificial Neural Network and Fast Fourier Transformation to develop a highly accurate, fast and reliable solution to ransomware detection using minimal trace points. We also introduce a special detection module for successful identification of disk encryption processes from potential ransomware operations, both having similar characteristics but with different objective. We provide a comprehensive solution to tackle almost all scenarios (standard benchmark, disk encryption and regular high computational processes) pertaining to the crypto ransomwares in light of software security.
研究の動機と目的
- HPC統計を用いて正常なシステム挙動を学習し、ラベル付きのランサムウェアデータなしで異常を検知します。
- ランサムウェアを、善良な高計算プロセスおよびディスク暗号化と区別します。
- リアルタイム動作に適した軽量でカーネル非依存の検出ツールを提供します。
提案手法
- perf を介してハードウェア性能カウンタ (HPC) を監視し、多変量時系列データを収集します。
- LSTM ベースの自己符号化器を用いて正常なシステム挙動をモデル化し、再構成誤差によって異常を検知します。
- 時系列の HPC トレースを FFT で周波数領域に変換し、2 番目の自己符号化器を適用して反復的なランサムウェアパターンを識別します。
- 再構成誤差に対して 3-シグマ則を用いた閾値を導入し異常アラームを発生させます。
- オンラインフェーズでは、2つの自己符号化器パイプラインと相関モジュールを用いてランサムウェアとディスク暗号化を区別し、疑わしいプロセスを終了します。
- 累積ピアソン相関を介してディスク暗号化テンプレートを用い、ディスク暗号化とランサムウェアを区別します。
実験結果
リサーチクエスチョン
- RQ1ラベル付きデータなしで、監視なし HPC ベースの時系列学習によりランサムウェアを検出できますか?
- RQ2FFT ベースの分析は、善良な高計算プログラムからの偽陽性を減らせますか?
- RQ3実際に RAPPER はランサムウェアとディスク暗号化ソフトウェアをどれだけ効果的に分離できますか?
主な発見
- RAPPER は WannaCry を開始から約 5.31 秒後(5313.0203 ms)にランサムウェアとして検出します。
- SPEC ベンチマークはしばしば Autoencoder_1 でアラームを発しますが、FFT ベースの Autoencoder_2 は善意のワークロードから反復的なランサムウェアパターンを識別することで偽陽性を減らします。
- Autoencoder_2 の閾値(R_t' = 0.002829)は FFT ドメインで SPEC ベンチマークとランサムウェアを分離します。
- オンラインフェーズでは、特定のウィンドウに対する検出時間が 10 ms のサンプリング間隔を下回り、リアルタイム対応を可能にします。
- ディスク暗号化プログラム(TrueCrypt/VeraCrypt)はディスク暗号化テンプレートとの累積相関を介してランサムウェアと区別されます。高相関は正当なディスク暗号化を示します。
- アーキテクチャは五つのモジュール(Watchdog Program、Autoencoder_1、FFT Converter、Autoencoder_2、Correlation Module)を含み、オフラインおよびオンラインのフェーズで動作します。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。