On the Generalizability of Machine Learning-based Ransomware Detection in Block Storage

要約

ランサムウェアは蔓延する脅威であり、従来はオペレーティング システム、ファイル システム、またはネットワーク レベルで対抗されてきました。
ただし、これらのアプローチでは多くの場合、重大なオーバーヘッドが発生し、攻撃者による回避の影響を受けやすいままです。
最近の研究活動では、ブロック IO 操作を観察することによるランサムウェアの検出の調査が開始されました。
ただし、このアプローチには検出に関する重大な課題があります。
これらの限界を認識し、私たちの研究は、利用可能な計算リソースが限られていることを念頭に置きながら、ストレージ システムでの堅牢なランサムウェア検出を可能にすることに重点を置いています。
研究を実行するために、ランサムウェアのアクティビティを特定するために IO 操作を効率的に抽出および分析できるカーネル ベースのフレームワークを提案します。
このフレームワークを計算ストレージ デバイスを使用するストレージ システムに採用することで、セキュリティを向上させ、検出のオーバーヘッドを完全に隠すことができます。
私たちの手法では、ML モデル用に最適化された洗練された計算量の軽い機能セットを採用し、悪意のあるアクティビティと無害なアクティビティを正確に識別します。
この軽量なアプローチを使用して、幅広い一般化可能性の側面を研究し、現実的な現実世界の幅広いシナリオをカバーするセットアップと構成の広い空間にわたってこれらのモデルのパフォーマンスを分析します。
私たちはさまざまなトレードオフを明らかにし、ストレージベースのランサムウェア検出の一般化可能性について強力な議論を提供し、私たちのアプローチが現在利用可能なストレージ内での ML ベースのランサムウェア検出よりも優れていることを示します。
経験的検証の結果、当社のデシジョン ツリー ベースのモデルが顕著な有効性を達成していることが明らかになりました。これは、既存のストレージと比較して、F1 スコアの中央値が最大 12.8% 高く、偽陰性率が最大 10.9% 低く、特に偽陽性率が最大 17.1% 低下していることが証明されています。
ベースの検出アプローチ。

要約(オリジナル)

Ransomware represents a pervasive threat, traditionally countered at the operating system, file-system, or network levels. However, these approaches often introduce significant overhead and remain susceptible to circumvention by attackers. Recent research activity started looking into the detection of ransomware by observing block IO operations. However, this approach exhibits significant detection challenges. Recognizing these limitations, our research pivots towards enabling robust ransomware detection in storage systems keeping in mind their limited computational resources available. To perform our studies, we propose a kernel-based framework capable of efficiently extracting and analyzing IO operations to identify ransomware activity. The framework can be adopted to storage systems using computational storage devices to improve security and fully hide detection overheads. Our method employs a refined set of computationally light features optimized for ML models to accurately discern malicious from benign activities. Using this lightweight approach, we study a wide range of generalizability aspects and analyze the performance of these models across a large space of setups and configurations covering a wide range of realistic real-world scenarios. We reveal various trade-offs and provide strong arguments for the generalizability of storage-based detection of ransomware and show that our approach outperforms currently available ML-based ransomware detection in storage. Empirical validation reveals that our decision tree-based models achieve remarkable effectiveness, evidenced by higher median F1 scores of up to 12.8%, lower false negative rates of up to 10.9% and particularly decreased false positive rates of up to 17.1% compared to existing storage-based detection approaches.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google