블룸 필터를 이용한 SSD-Insider 알고리즘에 대한 성능 향상

초록

랜섬웨어[1]란 사용자 데스크탑에 존재하는 파일들을 암호화하여 복호화 비용을 요구하는 악성 프로그램이다. SSD-Insider[2]는 SSD 내부에서 최근 10초간의 블록 I/O를 관찰하여 랜섬웨어를 탐지할 수 있는 알고리즘이며, 본 논문에서는 SSD-Insider 알고리즘에 사용되는 해시테이블을 블룸 필터[3]로 변경하여 성능을 향상시킨 알고리즘을 제안한다. 결과적으로 동일한 전체 데이터셋에 대해 평균적으로 메모리 사용량을 65% 감소시키면서 동일한 정확도를 얻었으며, 또한 데이터셋에 대해 SSD-Insider 알고리즘이 요구하는 최대 메모리 사용량과 동일한 메모리양을 사용하여 10배 긴 시간을 관찰할 수 있었다. 그리고 이를 이용해 탐지하기 어려웠던 랜섬웨어에 대해서도 정상적으로 탐지하는 결과를 보였다.