Hopp til hovedinnholdet
TECHNOLOGY

Stordataanalyse med Astraea

Ekspertsystemet samler all statistikk og alle metadata om mistenkelige objekter over hele verden i sanntid for å produsere oppdagelsesbeslutninger som gjøres tilgjengelige umiddelbart for alle brukere via Kaspersky Security Network-nettskyen.

Astraea-teknologi er selve «nettskyhjernen» i Kaspersky Security Network (KSN), som er enda et element i Kasperskys neste generasjons flerlagsbeskyttelse. Systemet samler all statistikk og metainformasjon som er samlet inn om mistenkelige objekter og trusler over hele verden, i sanntid og produserer oppdagelsesbeslutninger om skadelige objekter. Deretter gjøres den tilgjengelig for alle brukere umiddelbart via Kaspersky Security Network.

Hver dag drar over 80 millioner brukere nytte av KSN-skytjenesten. Kasperskys produkter ber om og mottar informasjon om omdømmet til forespurte objekter og deler statistikk med metainformasjon om mistenkelige objekter. Dette fører til en strøm med hundrevis av millioner av varsler og hundrevis av gigabyte hver dag.

Alle disse dataene blir videresendt til et ekspertsystem for filtrering og oppdagelse som heter Astraea. Systemet kontrollerer om de innkommende dataene er konsekvente, for å forhindre selv hypotetiske forsøk på manipulering av data. Deretter akkumuleres dataene i en stordatadatabase med objekter som filer, URL-adresser og så videre med tilhørende metainformasjon og mellomkoblinger mellom dem.

Et produkt kan for eksempel sende følgende informasjon om et mistenkelig objekt:

  • Objekt 0xc9e13b88​a6f74509​6f7cf4b2​32aad4d4​1054b32d​464c5bed​95aa7de2​16bc22a0.
  • Navnet på objektet er «revised invoice and packing list.docx.exe».
  • Objektet er plassert i arkivet «revised invoice and packing list.docx.zip».
  • Objektet ble startet fra filbanen c:\windows\temp.
  • Objektet er ikke signert.
  • osv.

Når den innkommende informasjonen er aggregert, kan det for eksempel generere følgende kunnskap:

  • når en bestemt fil blir kjent i verden
  • en fullstendig liste over URL-adresser filen ble lastet ned fra, eller som den ba om å bli lastet ned fra
  • en fullstendig liste over baner der den noen gang ble lagret på disk
  • en fullstendig liste over eventuelle oppdagelser knyttet til filen
  • en fullstendig liste over prosesser som startet filen
  • filens utbredelse og endring over tid

Hvert objekt kontrolleres mot en lang liste over indikatorer som er opprettet av eksperter og ekspertsystemer. Det kan for eksempel være viktig å kontrollere følgende:

  • om filen har to filnavnsuffiks når den kjøres («MyPhotos.jpg.exe»)
  • om filen er plassert i mappen C:\Windows\System32, selv om den er pakket inn og har filattributtet «skjult»
  • om filen har en utdatert filtype (f.eks. «.com», «.pif» osv.)
  • om filnavnet er svært likt en klarert systemfil med bare én forskjell (f.eks. «svcnost.exe»)
  • om filen ble lastet ned av et objekt som allerede er kjent som skadelig
  • osv.

Etter å ha passert listen med regler blir det beregnet en risikopoengsum for hvert objekt, som Astraea bruker til å treffe en ekspertbeslutning på om objektet er skadelig eller ikke. Derfor blir den automatiske konklusjonen mer presis jo mer informasjon som er samlet inn om et objekt. I enkelte tilfeller er informasjonen om objektet likevel ikke tilstrekkelig til å gi en vurdering. I så fall blir rangeringen beregnet på nytt senere når det er samlet inn ytterligere informasjon.

Når Astraea genererer en vurdering om et objekt, overføres den til Kaspersky Security Network-skytjenesten, slik at den blir tilgjengelig for brukere over hele verden umiddelbart.

Det er viktig å være oppmerksom på at systemlogikken ikke er statisk – systemet er permanent selvlært. I en verden der de som utvikler skadelig programvare, alltid kontrollerer om koden kan oppdages av sikkerhetsløsninger, og bruker nye teknikker som våpen, kan indikatorsystemet bli uaktuelt og føre til en mindre effektiv oppdagelsesrate og flere falske positive treff. Det betyr at hver enkelt indikator og listen med indikatorer i sin helhet må testes med hensyn til effektivitet og oppdateres dynamisk basert på informasjon fra Kasperskys database og ekspertkunnskap.

Siden oppstarten i 2012 økte prosentandelen oppdagelser generert av Astraea sammenlignet med det samlede antallet nye oppdagelser fra 7,53 % til 40,5 % innen slutten av 2016 (323 000 nye oppdagelser om dagen), med en milliard unike skadelige filer totalt.

wiki-section/products

WHITEPAPER

Whitepaper Kaspersky Security Network Big Data-powered Security


READ MORE

Finding the Needle in the Haystack Introducing Astraea.

READ MORE

Year 2016 One Billion Items of Malware Held in Kaspersky Labs Cloud Database

READ MORE

Anerkjennelse

Relaterte teknologier

Trusselinformasjon via nettskyen: Kaspersky Security Network (KSN)

Den komplekse nettskyinfrastrukturen samler inn og analyserer data knyttet til nettsikkerhet fra millioner av deltakere over hele verden for å sørge for raskest mulig respons på nye trusler ved hjelp av stordataanalyse, maskinlæring og menneskelig ekspertise.
Mer informasjon

Maskinlæring innen nettsikkerhet

Beslutningstreensembler, «locality-sensitive hashing», atferdsmodeller eller gruppering av innkommende strømmer – alle maskinlæringsmetodene (ML-metodene) våre er utviklet for å oppfylle virkelighetsorienterte sikkerhetskrav: lavt antall falske positive treff, tolkbarhet og motstandsdyktighet overfor potensielle angripere.
Mer informasjon

Flerlagsmetode for sikkerhet

Ekte nettsikkerhet må være basert på synergien mellom ulike beskyttelsesteknikker, fra klassiske AV-registreringer til atferdsbasert oppdagelse med modeller for dyp læring.
Mer informasjon