INSTRUCTION MONITORING FOR DYNAMIC CLOUD WORKLOAD REALLOCATION BASED ON RANSOMWARE ATTACKS

The present embodiments relate to identifying a ransomware attack. One embodiment relates to a method comprising configuring an operating system to collect metrics related to a hardware component. A message can be received from a user space library to validate an instruction detected in a cache, the instruction being associated with the hardware component. A metric can be compared to a threshold metric. The metric can be associated with the hardware component. A likelihood of a ransomware attack can be determined based at least in part on the comparison. A message can be transmitted to the user space library comprising the determination of the likelihood of the ransomware. Les présents modes de réalisation concernent l'identification d'une attaque de logiciel rançonneur. Un mode de réalisation concerne un procédé comprenant la configuration d'un système d'exploitation pour collecter des métriques associées à un composant matériel. Un message peut être reçu en provenance d'une bibliothèque d'espaces utilisateur pour valider une instruction détectée dans une mémoire cache, l'instruction étant associée au composant matériel. Une métrique peut être comparée à une métrique de seuil. La métrique peut être associée au composant matériel. Une probabilité d'une attaque par logiciel rançonneur peut être déterminée sur la base, au moins en partie, de la comparaison. Un message peut être transmis à la bibliothèque d'espaces utilisateur comprenant la détermination de la probabilité de l'attaque par logiciel rançonneur.