Siirry pääsisältöön
TECHNOLOGY

Massadatan analysointi Astraea-tekniikalla

Asiantuntijajärjestelmä koostaa reaaliaikaisesti kaikki epäilyttäviä kohteita koskevat tilasto- ja metatiedot maailmanlaajuisesti ja tuottaa havaintoihin perustuvia päätöksiä, jotka ovat välittömästi kaikkien käyttäjien saatavilla Kaspersky Security Network -pilvipalvelun kautta.

Astraea-tekniikka muodostaa keskeiset ”pilvipohjaiset kyberaivot” Kaspersky Security Network (KSN) -palvelulle, joka on yksi Kasperskyn monitasoisen uuden sukupolven suojauksen elementeistä. Järjestelmä koostaa reaaliaikaisesti kaikki epäilyttävää toimintaa ja uhkia koskevat kootut tilasto- ja metatiedot kaikkialta maailmasta ja tuottaa havaintoihin perustuvia päätöksiä haitallisista kohteista. Nämä tiedot tulevat välittömästi kaikkien käyttäjien saataville Kaspersky Security Network -palvelun kautta.

Joka päivä yli 80 miljoonaa käyttäjää voi hyödyntää KSN:n pilvipalveluja. Kasperskyn tuotteet pyytävät ja saavat tietoja pyydettyjen kohteiden maineesta, ja osallistuvat epäilyttäviä kohteita koskevien tilasto- ja metatietojen jakamiseen. Tästä syntyy joka päivä satojen miljoonien ilmoitusten ja satojen gigatavujen tietovirta.

Kaikki nämä tiedot ohjataan suodatus- ja tunnistusjärjestelmään nimeltä Astraea. Järjestelmä tarkistaa saapuvien tietojen yhtenäisyyden estääkseen hypoteettisetkin yritykset manipuloida tietoja. Sen jälkeen tiedot kerätään kohteiden massadatatietokantaan, joka sisältää esimerkiksi tiedostoja ja URL-osoitteita sekä vastaavia metatietoja ja niiden välisiä linkkejä.

Tuote voi lähettää esimerkiksi seuraavanlaisia tietoja epäilyttävistä kohteista:

  • kohde 0xc9e13b88​a6f74509​6f7cf4b2​32aad4d4​1054b32d​464c5bed​95aa7de2​16bc22a0
  • kohteen nimi on ”tarkistettu lasku- ja pakkausluettelo.docx.exe”
  • kohde sijaitsee arkistossa ”tarkistettu lasku- ja pakkausluettelo.docx.zip”
  • kohde käynnistettiin tiedostopolusta c:\windows\temp
  • kohdetta ei ole allekirjoitettu
  • jne.

Kun saapuvat tiedot on koostettu, voidaan luoda seuraavanlaisia tietoja:

  • milloin tietyn tiedoston olemassaolo havaitaan
  • luettelo kaikista URL-osoitteista, joista tiedosto ladattiin tai joihin se pyydettiin
  • luettelo kaikista poluista, joihin se tallennettiin levylle
  • luettelo kaikista tiedoston havaitsemiskerroista, jos niitä ilmeni
  • luettelo kaikista niistä prosesseista, jotka käynnistivät tiedoston
  • tiedoston esiintyvyys ja sen muutos ajan mittaan.

Kutakin kohdetta verrataan asiantuntijoiden ja asiantuntijajärjestelmien laatimaan laajaan indikaattoriluetteloon. Voi olla tärkeää tarkistaa esimerkiksi seuraavat:

  • onko tiedostossa kaksi tiedostopäätettä suoritushetkellä (”omatkuvat.jpg.exe”)
  • onko tiedosto kansiossa C:\Windows\System32, vaikka se on pakattu ja sen tiedostomäärite on ”Piilotettu”
  • onko tiedostossa jokin vanhentunut tiedostotunniste (esim. .com, .pif jne.)
  • onko tiedostonimi hyvin lähellä luotetun järjestelmätiedoston nimeä niin, että siinä on vain yksi ero (esim. ”svcnost.exe”)
  • latasiko tiedoston kohde, joka tiedetään jo haitalliseksi
  • jne.

Kun sääntöjen luettelo käydään läpi, kukin kohde saa sille lasketut riskipisteet, joiden avulla Astraea tekee asiantuntevan päätöksen siitä, onko kohde haitallinen vai ei. Mitä enemmän kohteesta kerätään tietoja, sitä tarkempi automaattinen päätös voidaan tehdä. On selvää, että tietyissä tapauksissa tietoja ei kuitenkaan ole tarpeeksi tuloksen saamiseen. Tässä tapauksessa pisteet lasketaan uudelleen myöhemmin, kun on kerätty lisätietoja.

Kun Astraea antaa kohteelle tuloksen, se siirtää tuloksen Kaspersky Security Network -pilvipalveluun, jotta se on välittömästi käyttäjien saatavilla kaikkialla maailmassa.

On tärkeää huomata, että järjestelmän logiikka ei ole staattista: järjestelmä kouluttaa jatkuvasti itseään. Maailmassa, jossa haittaohjelmien kirjoittajat vertaavat aina koodiaan suojausratkaisujen tunnistukseen ja käyttävät aseina uusia tekniikoita, indikaattoreita käyttävä järjestelmä saattaa vanhentua ja johtaa tunnistustarkkuuden heikkenemiseen ja väärien osumien lisääntymiseen. Tästä syystä yksittäisten indikaattorien ja niiden koko luettelon tehokkuus olisi testattava, ja ne olisi päivitettävä dynaamisesti Kasperskyn tietokannasta ja asiantuntijoilta kerättyjen tietojen perusteella.

Alkaen Astraean käyttöönotosta vuonna 2012 sen tuottamien tunnistusten prosenttiosuus kaikista uusista tunnistuksista kasvoi 7,53 prosentista 40,5 prosenttiin vuoden 2016 loppuun mennessä (323 000 uutta tunnistusta joka päivä) yhteensä miljardista yksilöidystä haitallisesta tiedostosta.

Aiheeseen liittyvät tuotteet

WHITEPAPER

Whitepaper Kaspersky Security Network Big Data-powered Security


Finding the Needle in the Haystack Introducing Astraea.

Year 2016 One Billion Items of Malware Held in Kaspersky Labs Cloud Database

Tunnustukset

Aiheeseen liittyvät tekniikat

Pilvipohjaiset uhkatiedot: Kaspersky Security Network (KSN)

Monipuolinen pilvi-infrastruktuuri kerää ja analysoi kyberturvallisuuteen liittyviä tietoja, jotka ovat peräisin miljoonilta vapaaehtoisilta osallistujilta eri puolilta maailmaa, jotta se voi tarjota nopeimman reagoinnin uusiin uhkiin käyttämällä massadatan analysointia, koneoppimista ja ihmislähtöistä asiantuntemusta.

Koneoppiminen kyberturvallisuudessa

Päätöksentekokaavioiden yhdistelmät, paikkakohtainen hajautus, toimintamallit ja saapuvien virtojen ryhmittely – kaikki käyttämämme koneoppimisen menetelmät on suunniteltu vastaamaan tosielämän suojaustarpeisiin pienellä virheosumien määrällä, tulkittavuudella ja vahvalla suojauksella mahdollista hyökkääjää vastaan.

Monitasoinen suojaus

Aito kybersuojaus perustuu eri suojaustekniikoiden synergiaan, aina perinteisistä virustorjuntatietueista toimintaan perustuvaan havaitsemiseen ja syväoppimisen malleihin.