검색 상세

랜섬웨어 데이터 변조 공격 방어를 위한 머신러닝 기반 백업 SSD 연구

A Machine Learning-Based Backup SSD against Ransomware Data Attack,

민동현 (Min, Donghyun, 서강대학교 일반대학원)

원문보기

초록/요약moremore
근래에 기업이나 정부 단체에서 랜섬웨어 (Ransomware) 는 심각한 우려 사항으로 자리매김하고 있다. 랜섬웨어는 기업과 정부의 중요 데이터의 손실을 일으키고 심지어 막대한 재정 피해를 야기하기 때문이다. 랜섬웨어를 탐지하거나 예방하는 기존의 기술들이 있음에도 불구하고 진화하고 있는 랜섬웨어는 이들을 회피할 수 있기 때문에 여전히 큰 문제로 인식된다. 만약 데이터의 백업 사본이 안전한 장소에 보관되면 랜섬웨어로 인한 피해가 완화될 수 있다. 그러나 기존의 백업 솔루션들은 랜섬웨어의 통제하에 있을 수 있고 따라서 백업 복사본이 파...
근래에 기업이나 정부 단체에서 랜섬웨어 (Ransomware) 는 심각한 우려 사항으로 자리매김하고 있다. 랜섬웨어는 기업과 정부의 중요 데이터의 손실을 일으키고 심지어 막대한 재정 피해를 야기하기 때문이다. 랜섬웨어를 탐지하거나 예방하는 기존의 기술들이 있음에도 불구하고 진화하고 있는 랜섬웨어는 이들을 회피할 수 있기 때문에 여전히 큰 문제로 인식된다. 만약 데이터의 백업 사본이 안전한 장소에 보관되면 랜섬웨어로 인한 피해가 완화될 수 있다. 그러나 기존의 백업 솔루션들은 랜섬웨어의 통제하에 있을 수 있고 따라서 백업 복사본이 파괴당할 수 있는 문제점이있다. 또한 저장 공간, 성능 및 네트워크 트래픽 (원격 백업의 경우) 에 대한 오버헤드가 발생하는 문제점도 있다. 본 논문에서는 랜섬웨어 공격을 막기 위해 SSD 정확한 랜섬웨어 감지를 기반으로 동작하는 디바이스 내부 자동 백업 및 복구 매커니즘을 제안한다. 본 연구는 디바이스 수준에서 데이터 내용 기반과 I/O 접근 패턴 기반의 랜섬웨어 탐지 기술을 결합하여 랜섬웨어를 정확하게 감지하는 지표기를 제시한다. 특히, 하드웨어 가속기를 사용해 구현된 데이터 내용 기반 감지 기술은 빠른 시간안에 수행된다. 또한 감지 지표기의 오차를 더욱 보정하기 위해서, 각 탐지 기술을 결합하고 각 기술의 가중치를 기계학습을 활용하여 결정시킨다. 본 연구의 감지 지표기를 기반으로 수행되는 백업 및 복구 매커니즘은 SSD 의 성능 저하를 막을 뿐만 아니라 저비용의 복구를 제공한다. 특히, 백업 매커니즘은 Garbage Collection 의 최적화를 위한 백업 무효화 기법을 제공하여 SSD 공간 사용량이 매우 많음에도 안정적인 SSD 성능을 제공한다. 본 연구를 입증하기 위해, 제안하는 매커니즘을 Microsoft SSD 시뮬레이터를 확장하여 구현하였다. 실제 여러 랜섬웨어를 실행하는 동안 수집되는 블록-수준 트레이스 (block-level trace) 를 사용하여 평가한다. 본 논문의 정확도 실험에 따르면 여러 랜섬웨어를 조합 하는 교차 검증을 통해 제안하는 감지 지표기의 높은 정확도가 증명된다. 또한, 백업 매커니즘으로 인한 GC 효율을 실험적으로 보이고 기존의 널리 알려진 FlashGuard 와 SSD-Insider 시스템들에 비해 성능과 공간 효율성 측면에서 발생하는 오버헤드가 거의 무시할만 하다고 평가한다. 또한, Cosmos plus Open SSD 보드에 소프트웨어적으로 데이터 내용 기반 감지 알고리즘과 백업 및 복구 매커니즘을 구현하여서 구현 타당성을 보인다. 우리는 소프트웨어적으로 구현한 데이터 내용 기반의 감지 방식이 하드웨어적으로 구현한 방식보다 성능이 떨어지는 것을 관찰하였다. 하지만, 데이터 내용 기반 랜섬웨어 감지는 높은 랜섬웨어 감지 정확도를 제공하고 백업 관리 오버헤드는 상당히 작다는 것을 관찰하였다.
초록/요약moremore
Ransomware is one of growing concerns in personal computer, enterprise and government organizations, because it causes financial damages or loss of important data. Although there are techniques to detect and prevent ransomware, an evolved ransomware may evade them because they are based on monitorin...
Ransomware is one of growing concerns in personal computer, enterprise and government organizations, because it causes financial damages or loss of important data. Although there are techniques to detect and prevent ransomware, an evolved ransomware may evade them because they are based on monitoring known behaviors. Ransomware can be mitigated if backup copies of data are retained in a safe place. However, existing backup solutions may be under ransomware's control and an intelligent ransomware may destroy backup copies too. They also incur overhead to storage space, performance and network traffic (in case of remote backup). In this paper, we propose a mechanism that supports automated backup and recovery based on accurate detection against ransomware attacks in the SSD level. In order to detect ransomware accurately, our measurement metric is combined with both content-based and I/O access pattern-based detection techniques in device level. In particular, data content-based detection technology implemented using hardware accelerators is performed at high speed. To further correct the error of our metric, we applied a methodology that determines the weight of each detection techniques through machine learning. Based on the measurement metric, backup and recovery mechanism not only prevents SSD performance degradation but also provides cost-less recovery because of minimizing backup space. In particular, backup mechanism provides backup invalidation policy for Garbage Collection (GC) optimization so that SSD is stable even with extremely high space usage. For evaluation, we extended the Microsoft SSD simulator to implement proposed mechanism. We evaluated it using the realistic block-level traces, which are collected while running a set of actual ransomwares. According to our experiments, the accuracy of proposed ransomware metric is proved by cross validation using various ransomwares. Experiments also demonstrate the GC efficiency affected by backup mechanism and show that mechanism has negligible overhead in performance and space efficiency compared with existing well-known FlashGuard and SSD-Insider, which support data backup within the device. We also prototyped the Amoeba system by implementing content-based detection algorithms and backup and recovery mechanisms in software on the Cosmos OpenSSD platform. We found that performing content-based detection algorithms in software using the SSD internal CPU is significantly slower than hardware approaches. But we found content-based approaches provide high ransomware detection rate and there is little computation overhead for managing backup pages.