Massadatan analysointi Astraea-tekniikalla
Astraea-tekniikka muodostaa keskeiset ”pilvipohjaiset kyberaivot” Kaspersky Security Network (KSN) -palvelulle, joka on yksi Kasperskyn monitasoisen uuden sukupolven suojauksen elementeistä. Järjestelmä koostaa reaaliaikaisesti kaikki epäilyttävää toimintaa ja uhkia koskevat kootut tilasto- ja metatiedot kaikkialta maailmasta ja tuottaa havaintoihin perustuvia päätöksiä haitallisista kohteista. Nämä tiedot tulevat välittömästi kaikkien käyttäjien saataville Kaspersky Security Network -palvelun kautta.
Joka päivä yli 80 miljoonaa käyttäjää voi hyödyntää KSN:n pilvipalveluja. Kasperskyn tuotteet pyytävät ja saavat tietoja pyydettyjen kohteiden maineesta, ja osallistuvat epäilyttäviä kohteita koskevien tilasto- ja metatietojen jakamiseen. Tästä syntyy joka päivä satojen miljoonien ilmoitusten ja satojen gigatavujen tietovirta.
Kaikki nämä tiedot ohjataan suodatus- ja tunnistusjärjestelmään nimeltä Astraea. Järjestelmä tarkistaa saapuvien tietojen yhtenäisyyden estääkseen hypoteettisetkin yritykset manipuloida tietoja. Sen jälkeen tiedot kerätään kohteiden massadatatietokantaan, joka sisältää esimerkiksi tiedostoja ja URL-osoitteita sekä vastaavia metatietoja ja niiden välisiä linkkejä.
Tuote voi lähettää esimerkiksi seuraavanlaisia tietoja epäilyttävistä kohteista:
- kohde 0xc9e13b88a6f745096f7cf4b232aad4d41054b32d464c5bed95aa7de216bc22a0
- kohteen nimi on ”tarkistettu lasku- ja pakkausluettelo.docx.exe”
- kohde sijaitsee arkistossa ”tarkistettu lasku- ja pakkausluettelo.docx.zip”
- kohde käynnistettiin tiedostopolusta c:\windows\temp
- kohdetta ei ole allekirjoitettu
- jne.
Kun saapuvat tiedot on koostettu, voidaan luoda seuraavanlaisia tietoja:
- milloin tietyn tiedoston olemassaolo havaitaan
- luettelo kaikista URL-osoitteista, joista tiedosto ladattiin tai joihin se pyydettiin
- luettelo kaikista poluista, joihin se tallennettiin levylle
- luettelo kaikista tiedoston havaitsemiskerroista, jos niitä ilmeni
- luettelo kaikista niistä prosesseista, jotka käynnistivät tiedoston
- tiedoston esiintyvyys ja sen muutos ajan mittaan.
Kutakin kohdetta verrataan asiantuntijoiden ja asiantuntijajärjestelmien laatimaan laajaan indikaattoriluetteloon. Voi olla tärkeää tarkistaa esimerkiksi seuraavat:
- onko tiedostossa kaksi tiedostopäätettä suoritushetkellä (”omatkuvat.jpg.exe”)
- onko tiedosto kansiossa C:\Windows\System32, vaikka se on pakattu ja sen tiedostomäärite on ”Piilotettu”
- onko tiedostossa jokin vanhentunut tiedostotunniste (esim. .com, .pif jne.)
- onko tiedostonimi hyvin lähellä luotetun järjestelmätiedoston nimeä niin, että siinä on vain yksi ero (esim. ”svcnost.exe”)
- latasiko tiedoston kohde, joka tiedetään jo haitalliseksi
- jne.
Kun sääntöjen luettelo käydään läpi, kukin kohde saa sille lasketut riskipisteet, joiden avulla Astraea tekee asiantuntevan päätöksen siitä, onko kohde haitallinen vai ei. Mitä enemmän kohteesta kerätään tietoja, sitä tarkempi automaattinen päätös voidaan tehdä. On selvää, että tietyissä tapauksissa tietoja ei kuitenkaan ole tarpeeksi tuloksen saamiseen. Tässä tapauksessa pisteet lasketaan uudelleen myöhemmin, kun on kerätty lisätietoja.
Kun Astraea antaa kohteelle tuloksen, se siirtää tuloksen Kaspersky Security Network -pilvipalveluun, jotta se on välittömästi käyttäjien saatavilla kaikkialla maailmassa.
On tärkeää huomata, että järjestelmän logiikka ei ole staattista: järjestelmä kouluttaa jatkuvasti itseään. Maailmassa, jossa haittaohjelmien kirjoittajat vertaavat aina koodiaan suojausratkaisujen tunnistukseen ja käyttävät aseina uusia tekniikoita, indikaattoreita käyttävä järjestelmä saattaa vanhentua ja johtaa tunnistustarkkuuden heikkenemiseen ja väärien osumien lisääntymiseen. Tästä syystä yksittäisten indikaattorien ja niiden koko luettelon tehokkuus olisi testattava, ja ne olisi päivitettävä dynaamisesti Kasperskyn tietokannasta ja asiantuntijoilta kerättyjen tietojen perusteella.
Alkaen Astraean käyttöönotosta vuonna 2012 sen tuottamien tunnistusten prosenttiosuus kaikista uusista tunnistuksista kasvoi 7,53 prosentista 40,5 prosenttiin vuoden 2016 loppuun mennessä (323 000 uutta tunnistusta joka päivä) yhteensä miljardista yksilöidystä haitallisesta tiedostosta.