Phương pháp mới phát hiện nhanh phần mềm độc hại

Các nhà nghiên cứu tại trường Đại học North Carolina, Hoa Kỳ đã đưa ra một phương pháp mới áp dụng các kỹ thuật phát hiện phần mềm độc hại để tìm ra rất nhiều phần độc hại với tốc độ nhanh hơn so với các hệ thống cũ.

Khi một hệ thống bị xâm nhập bởi phần mềm độc hại, phần mềm đó sẽ mã hóa dữ liệu của hệ thống, làm cho người dùng không thể truy cập dữ liệu. Sau đó, tin tặc tống tiền các nhà điều hành hệ thống bị tấn công, đòi tiền từ người dùng để đổi lấy việc cấp cho họ quyền truy cập vào dữ liệu của chính họ.

Tin tặc ra mức giá tống tiền bằng phần mềm độc hại rất cao và tình trạng này đang gia tăng. FBI báo cáo năm 2021 đã tiếp nhận 3.729 đơn khiếu nại liên quan đến phần mềm độc hại với chi phí hơn 49 triệu USD. Hơn nữa, 649 trong số đơn đó bắt nguồn từ các tổ chức được xếp hạng có cơ sở hạ tầng quan trọng.

Paul Franzon, đồng tác giả nghiên cứu, cho biết: “Các hệ thống máy tính đã sử dụng nhiều công cụ bảo mật giám sát lưu lượng truy cập nhằm phát hiện phần mềm độc hại tiềm ẩn và ngăn chặn tình trạng gây hại cho hệ thống. Tuy nhiên, thách thức lớn ở đây là phát hiện phần mềm độc hại đủ nhanh để ngăn nó tác động đến hệ thống. Vì ngay sau khi phần mềm độc hại xâm nhập vào hệ thống, nó sẽ bắt đầu mã hóa các tập tin".

Thuật toán máy học gọi là XGBoost rất tốt trong việc phát hiện phần mềm độc hại", Archit Gajjar, tác giả đầu tiên của nghiên cứu nói. "Tuy nhiên, khi các hệ thống chạy XGBoost dưới dạng phần mềm thông qua CPU hoặc GPU, nó rất chậm. Và nỗ lực tích hợp XGBoost vào các hệ thống phần cứng đã bị cản trở do thiếu tính linh hoạt - chúng tập trung vào những thách thức rất cụ thể và tính cụ thể đó gây khó khăn hoặc khiến chúng không thể giám sát toàn bộ các cuộc tấn công bằng phần mềm độc hại”.

Gajjar cho biết: “Chúng tôi đã phát triển một phương pháp dựa trên phần cứng cho phép XGBoost theo dõi một loạt các cuộc tấn công bằng phần mềm độc hại, nhưng nhanh hơn nhiều so với bất kỳ phương pháp tiếp cận phần mềm nào”.

Phương pháp mới được gọi là FAXID và trong thử nghiệm ban đầu, các nhà nghiên cứu nhận thấy nó cũng chính xác như các phương pháp dựa trên phần mềm trong việc phát hiện phần mềm độc hại. Sự khác biệt lớn là tốc độ. FAXID nhanh hơn 65,8 lần so với phần mềm chạy XGBoost trên CPU và nhanh hơn tới 5,3 lần so với phần mềm chạy XGBoost trên GPU.

Gajjar nói: “Một ưu điểm khác của FAXID là cho phép chúng tôi xử lý các vấn đề song song. Bạn có thể dành tất cả tài nguyên của phần cứng bảo mật chuyên dụng để phát hiện nhanh phần mềm độc hại. Nhưng bạn cũng có thể phân bổ sức mạnh tính toán của phần cứng bảo mật cho các vấn đề riêng biệt. Ví dụ, bạn có thể dành một tỷ lệ phần cứng nhất định để phát hiện phần mềm độc hại và một tỷ lệ phần cứng khác đối với một thách thức khác như phát hiện gian lận".

N.P.D (NASATI), theo https://www.sciencedaily.com/releases/2022/05/220516104645.htm, 16/5/2022