SHIELD: A Host-Independent Framework for Ransomware Detection using Deep Filesystem Features

Die Arbeit stellt SHIELD vor, ein host-unabhängiges Framework, das tiefgehende Dateisystemmerkmale direkt auf der Speicherebene nutzt, um Ransomware-Angriffe mit hoher Genauigkeit zu erkennen und in Echtzeit zu stoppen, ohne dass ein kompromittiertes Betriebssystem die Erkennung umgehen kann.

Das Wesentliche

🛡️ SHIELD: Der unsichtbare Wächter im Tresor

Stellen Sie sich vor, Ihr Computer ist ein riesiges, modernes Haus. Die Ransomware (eine Art digitaler Erpresser) ist ein Einbrecher, der in dieses Haus eindringt, die Wände mit roter Farbe beschmiert (verschlüsselt) und Sie zwingt, Geld zu zahlen, damit er die Farbe wieder wegwäscht.

Normalerweise versuchen Sicherheitsprogramme, den Einbrecher zu erkennen, indem sie ihn beobachten, wie er sich im Haus bewegt. Aber hier liegt das Problem: Wenn der Einbrecker den Hausmeister (das Betriebssystem) unter Druck setzt oder ihn sogar ausschaltet, kann er dem Hausmeister sagen: „Ich bin nur ein freundlicher Besucher!" Der Hausmeister lügt dann und meldet nichts.

SHIELD ist eine völlig neue Idee. Es ist kein Hausmeister, der im Haus wohnt. Stattdessen ist SHIELD wie ein unzerstörbarer Überwachungskamera-System im Keller, direkt neben dem Tresor, in dem alle Ihre wertvollen Dokumente lagern.

1. Das Problem: Der Hausmeister lügt

Bisherige Sicherheitsprogramme laufen im Betriebssystem (dem Hausmeister). Wenn der Hacker das Betriebssystem übernimmt, kann er die Sicherheitssoftware manipulieren oder ausschalten. Es ist, als würde der Einbrecher dem Wachmann die Handschellen anlegen und ihn zwingen, zu sagen: „Alles ist in Ordnung."

2. Die Lösung: Schauen Sie unter die Haube (SHIELD)

SHIELD funktioniert anders. Es sitzt nicht im Haus, sondern direkt im Tresor (dem Speichercontroller der Festplatte).

• Die Analogie: Stellen Sie sich vor, der Einbrecher versucht, Dokumente zu vernichten. Er muss physisch die Schubladen öffnen, die Papiere herausnehmen und neue hineinstecken.
• SHIELD kümmert sich nicht darum, was der Einbrecher sagt (z. B. „Ich sortiere nur"). SHIELD zählt nur die physischen Bewegungen:
  • Wie oft wird eine Schublade geöffnet?
  • Wie schnell werden Papiere herausgerissen?
  • Werden die Papiere sofort wieder zerknüllt und neu geschrieben?

Selbst wenn der Einbrecker den Hausmeister (das Betriebssystem) komplett ausschaltet oder manipuliert, kann er die physischen Bewegungen im Tresor nicht verbergen. SHIELD sieht alles, was auf der Festplatte passiert, direkt an der Quelle.

3. Wie SHIELD den Einbrecher erkennt (Die Intelligenz)

SHIELD ist nicht nur eine Kamera; es ist eine intelligente Kamera mit einem Gehirn.

• Der Lernprozess: SHIELD hat gelernt, wie sich normale Menschen (gute Programme wie Word, Videobearbeitung oder Backups) im Tresor verhalten. Sie öffnen Schubladen langsam, lesen viel, schreiben wenig.
• Das Erkennen: Ein Einbrecher (Ransomware) verhält sich anders. Er öffnet hunderte Schubladen in Sekunden, reißt alles raus und schreibt sofort neue, unleserliche Daten hinein (Verschlüsselung).
• SHIELD nutzt eine künstliche Intelligenz (Machine Learning), um diese Muster zu erkennen. Es schaut nicht auf den Inhalt der Papiere (das wäre ein Datenschutz-Albtraum), sondern nur auf das Muster der Bewegung.

4. Der Notknopf: Sofortiger Stopp

Das Geniale an SHIELD ist seine Reaktionsgeschwindigkeit.

• Sobald SHIELD merkt: „Hey, dieser Typ öffnet Schubladen viel zu schnell und schreibt alles neu!", drückt es sofort den Notknopf.
• Die Analogie: Es ist, als würde ein unsichtbarer Wächter im Tresor die Tür sofort verschließen, bevor der Einbrecher auch nur ein einziges Dokument vollständig zerstören kann.
• In Tests konnte SHIELD den Angriff stoppen, nachdem nur 0,4 % der Dateien beschädigt waren. Das ist, als würde der Einbrecker gerade erst die erste Tür aufschließen, und schon wird er festgenommen.

5. Warum ist das so sicher? (Der Hardware-Vorteil)

SHIELD ist so gebaut, dass es auf einer kleinen, spezialisierten Platine (FPGA oder ASIC) direkt in der Festplatte läuft.

• Kein Betriebssystem nötig: Es braucht kein Windows oder Linux, das gehackt werden könnte. Es ist wie ein mechanischer Schalter, der nur auf die Bewegung der Schubladen reagiert.
• Unveränderbar: Ein Hacker kann SHIELD nicht ausschalten, weil er keinen Zugriff auf die Festplatte von innen hat. Er kann nur versuchen, den Tresor zu sprengen (was den Angriff ohnehin stoppen würde), aber er kann SHIELD nicht manipulieren.

Zusammenfassung in einem Satz

SHIELD ist wie ein unsichtbarer, unbestechlicher Wächter im Keller Ihres Hauses, der nicht auf das Gerede des Hausmeisters hört, sondern direkt beobachtet, wie schnell Schubladen geöffnet werden, und sofort die Tür verschließt, sobald ein Einbrecker versucht, Ihre Wertsachen zu zerstören – selbst wenn der Einbrecker den Hausmeister bereits unter Kontrolle hat.

Dieser Ansatz ist besonders wichtig, weil er zeigt, dass wir Sicherheit nicht nur im Computer (Software) suchen müssen, sondern direkt in der Hardware, wo die Daten wirklich liegen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „SHIELD: A Host-Independent Framework for Ransomware Detection using Deep Filesystem Features" auf Deutsch:

1. Problemstellung

Ransomware-Angriffe haben sich zunehmend weiterentwickelt und nutzen fortschrittliche Techniken wie hardwarebeschleunigte Verschlüsselung, Multi-Threading und „Ransomware-as-a-Service" (RaaS), um massive Schäden in kritischen Infrastrukturen anzurichten. Bestehende Abwehrmechanismen leiden unter folgenden Mängeln:

• Vertrauenswürdigkeit: Herkömmliche Erkennungssysteme laufen auf dem Host-System (OS/Kernel). Sobald das Betriebssystem kompromittiert ist, können diese Tools manipuliert, umgangen oder deaktiviert werden.
• Oberflächliche Metriken: Viele Lösungen basieren auf groben Block-I/O-Statistiken oder Kernel-Signaturen, die keine tiefen Semantiken des Dateisystems erfassen und leicht zu umgehen sind.
• Fehlende Granularität: Cloud-basierte oder Sandboxing-Lösungen sind oft nicht in Echtzeit oder verletzen Datenschutzrichtlinien, da Daten extern verarbeitet werden müssen.

Es besteht ein dringender Bedarf an einer host-unabhängigen, manipulationssicheren Lösung, die tief im Speichercontroller (Storage Controller) angesiedelt ist und das Dateisystem auf einer Ebene überwacht, die für den kompromittierten Host nicht einsehbar oder veränderbar ist.

2. Methodik: Das SHIELD-Framework

SHIELD (Secure Host-Independent Extensible Logging Detection) ist ein Framework, das Dateisystem-Metriken direkt von der Festplatte (oder dem Speichercontroller) extrahiert, ohne auf das Host-Betriebssystem angewiesen zu sein.

• Architektur und Vertrauensgrenze:

  • SHIELD operiert unterhalb des Host-OS im „vertrauenswürdigen" Bereich des Speichercontrollers (z. B. FPGA oder ASIC).
  • Der Host interagiert nur über eine standardisierte Block-Geräteschnittstelle (Lese-/Schreibanfragen). Er hat keinen Zugriff auf die Logik von SHIELD.
  • Selbst bei einer vollständigen Kompromittierung des Host-OS kann der Angreifer die vom Controller beobachteten Dateisystem-Übergänge nicht fälschen.

• Metrik-Erfassung (Metric Acquisition):

  • SHIELD analysiert die On-Disk-Strukturen des Dateisystems (im Paper primär ext4, aber modular für NTFS/APFS konzipiert).
  • Es werden tiefgehende Dateisystem-Features extrahiert, wie z. B.:
    • Änderungen an Inodes (Zugriff, Zuweisung, Freigabe).
    • Operationen auf Datenblöcken und Metadaten-Tabellen (z. B. Inode-Table, Group Descriptor Table).
    • Verschiebungen von Datenblöcken und Änderungen der Entropie (Shannon-Entropie) der geschriebenen Daten.
  • Die Erfassung erfolgt in zwei Phasen: Active Parsing (Initialisierung und Katalogisierung) und Passive Parsing (Echtzeit-Monitoring von Lese-/Schreibzugriffen).

• Maschinelles Lernen und Entscheidungsfindung:

  • Die erfassten Aktionen werden in Action-Window (Fenster aus aufeinanderfolgenden I/O-Aktionen) gruppiert.
  • Trainierte ML-Modelle (hauptsächlich LightGBM) klassifizieren diese Fenster als „bösartig" (Ransomware) oder „harmlos" (Benignware).
  • Closed-Loop-Mitigation: Sobald ein Schwellenwert an bösartigen Entscheidungen überschritten wird, löst SHIELD einen „Halt"-Mechanismus aus, der weitere Schreibzugriffe auf das geschützte Volumen blockiert. Dies geschieht in Echtzeit, oft innerhalb weniger Dutzend Disk-Aktionen.

3. Schlüsselbeiträge

1. Neuartige Host-unabhängige Metrik-Erfassung: Einführung einer Pipeline, die Dateisystem-spezifische Features (Inodes, Datenblöcke) unabhängig vom OS protokolliert und somit manipulationssicher ist.
2. Validierung der Metrik-Nützlichkeit: Umfassende ML-Experimente zeigen, dass diese Metriken eine hohe Trennschärfe zwischen harmlosen und bösartigen Aktivitäten bieten (bis zu 97,29 % Genauigkeit).
3. Zero-Shot-Erkennung und -Mitigation: Das System kann neue, unbekannte Ransomware-Stämme und -Familien in Echtzeit erkennen und stoppen, wobei der Datenverlust auf minimal (oft nur wenige hundert Bytes pro Datei) begrenzt bleibt.
4. Hardware-Fähigkeit (FPGA/ASIC): Ein „Hardware-only"-Ansatz, der alle Transport-Layer-Metriken ausschließt, behält eine Genauigkeit von 95,97 % bei. Dies bestätigt die Machbarkeit einer Implementierung direkt im Speichercontroller-Datenpfad ohne OS-Abhängigkeit.

4. Ergebnisse und Evaluation

Die Autoren bewerteten SHIELD mit 10 bekannten Ransomware-Familien und 10 harmlosen Anwendungen (z. B. Videobearbeitung, Datenbanken) sowie 10 unbekannten Ransomware-Stämmen für Zero-Shot-Tests.

• Erkennungsgenauigkeit:
  • Der beste binäre Klassifikator erreichte 97,29 % Genauigkeit und einen F1-Score von 0,9734 bei der Unterscheidung von bösartigem und harmlosem Verhalten.
  • Auch bei der Mehrklassen-Erkennung (Identifikation der Ransomware-Familie) wurden hohe Werte (96,05 %) erreicht.
• Hardware-only Abstraktion:
  • Selbst ohne Transport-Layer-Daten (nur Dateisystem-Semantik) blieb die Genauigkeit bei 95,97 %. Dies beweist, dass die Erkennung auf tiefen Dateisystem-Änderungen basiert und nicht auf Protokoll-Overhead.
• Zero-Shot-Leistung:
  • Bei unbekannten Ransomware-Stämmen (die nicht im Training waren) erreichte das Modell bis zu 98,91 % Genauigkeit (bei großen Fenstern).
  • Schadensbegrenzung: In Closed-Loop-Experimenten konnte SHIELD die Verschlüsselung stoppen, bevor mehr als 0,4 % der Dateien betroffen waren (bei kleinen Fenstern).
  • False Positives: Die Rate bei unbekannten harmlosen Anwendungen lag bei ≤ 3,6 %.
• Reaktionszeit:
  • Die Erkennung erfolgt basierend auf der Anzahl der Aktionen (Disk-Aktionen), nicht auf der Zeit. Dies macht das System unempfindlich gegenüber Geschwindigkeitsunterschieden oder Verzögerungen durch den Angreifer.

5. Bedeutung und Fazit

SHIELD stellt einen Paradigmenwechsel in der Ransomware-Abwehr dar:

• Vertrauenswürdigkeit: Durch die Verlagerung der Erkennung und Durchsetzung in den Speichercontroller wird die Angriffsfläche des kompromittierten Host-OS umgangen.
• Tiefe Semantik: Statt nur auf I/O-Häufigkeit zu achten, nutzt SHIELD die semantischen Änderungen im Dateisystem (z. B. Inode-Änderungen, Entropie-Sprünge), die für Ransomware unvermeidbar sind, um Dateien zu verschlüsseln.
• Praktische Anwendbarkeit: Die Ergebnisse zeigen, dass eine Implementierung in FPGA- oder ASIC-basierten Storage-Controllern technisch machbar ist und eine robuste, manipulationssichere Verteidigungslinie bietet, die auch gegen fortschrittliche, intermittierende Verschlüsselungsangriffe wirkt.

Zusammenfassend demonstriert SHIELD, dass eine dateisystembewusste, host-unabhängige Telemetrie eine präzise, widerstandsfähige und praktisch integrierbare Lösung für die Erkennung und Eindämmung von Ransomware bietet.