Big Data-analyse med Astraea

Astraea-teknologien udgør "cloud cyberbrain"-nøglen i Kaspersky Security Network (KSN) – et andet element i Kasperskys næste generation af beskyttelse i flere lag. Systemet sammenlægger alle de indsamlede statistikker og metaoplysninger om mistænkelige aktiviteter og trusler over hele verden i realtid og producerer detektionsbeslutninger i forhold til ondsindede objekter. Derefter bliver disse oplysninger straks tilgængelige for alle brugere via Kaspersky Security Network.

Hver dag har mere end 80 millioner brugere gavn af at bruge KSN-cloudtjenesten. Kasperskys produkter anmoder om og modtager oplysninger om omdømmet for de ønskede objekter og deltager i deling af statistik med metainformation om mistænkelige objekter. Dette resulterer i en strøm af hundredvis af millioner af meddelelser og hundredvis af gigabyte dagligt.

Alle disse data videresendes til et ekspertsystem til filtrering og detektion kaldet Astraea. Systemet verificerer de indgående data for konsistens for at forhindre selv hypotetiske forsøg på datamanipulation. Derefter akkumuleres dataene i en Big Data-database af objekter som filer, webadresser osv. med tilsvarende metainformation og interlinks mellem dem.

Et produkt kan f.eks. sende oplysninger om et mistænkeligt objekt, såsom.:

• Objekt 0xc9e13b88a6f745096f7cf4b232aad4d41054b32d464c5bed95aa7de216bc22a0
• Navnet på objektet er "revideret faktura og pakkeliste.docx.exe"
• Objektet er placeret i arkivet "revideret faktura og pakkeliste.docx.zip"
• Objektet blev startet fra filstien c:\windows\temp
• Objektet er ikke underskrevet
• osv.

Efter sammenlægning af indgående oplysninger er det muligt at generere viden, såsom:

• Når en bestemt fil bliver kendt i verden
• Komplet liste over webadresser, hvor filen blev hentet fra, eller til det, der blev anmodet om
• Komplet liste over stier, hvor den blev gemt på disken
• Komplet liste over detektioner i forhold til filen, hvis de forekom
• Komplet liste over processer, der startede filen
• Filprævalens og dens ændring i løbet af tiden

Hvert objekt verificeres i forhold til omfattende liste over indikatorer, der oprettes af eksperter og ekspertsystemer. For eksempel kan det være vigtigt at kontrollere:

• Om filen for øjeblikket har dobbelt udvidelse ("MineFotos.jpg.exe")
• Om filen er placeret i mappen C:\Windows\System32, selvom den er pakket og har egenskaben "skjult"
• Om filen har en forældet udvidelse (f.eks. ".com", ".pif" osv.))
• Om filnavnet er meget lig en pålidelig systemfil, med en enkelt forskel (f.eks. "svcnost.exe")
• Om filen blev downloadet af et objekt, der allerede er kendt som ondsindet
• osv.

Ud fra listen over regler får hvert objekt en beregnet objektrisikovurdering, som Astraea bruger til at træffe en ekspertbeslutning om, hvorvidt objektet er ondsindet eller ej. Derfor gælder det, at jo mere information, der kan indsamles om et objekt, jo mere præcise automatiske konklusioner kan der udledes. Det er klart, at der i nogle tilfælde stadig ikke er tilstrækkelig information om objektet til at afsige en dom. Hvis dette er tilfældet, vil vurderingen blive genberegnet senere, når der er indsamlet yderligere oplysninger.

Når Astraea genererer sin dom på et objekt, overfører den dommen til Kaspersky Security Network-cloudtjenesten, så den straks bliver tilgængelig for brugere over hele verden.

Det er vigtigt at bemærke, at systemlogikken ikke er statisk. Systemet udvikler sig permanent gennem maskinlæring. I en verden, hvor malwareforfattere altid verificerer deres kode mod afsløring af sikkerhedsløsninger og armerer den ved hjælp af nye teknikker, er der en risiko for, at indikatorsystemer bliver ikke-faktuelle, hvilket let kan føre til et fald i effektiviteten i detektionshastigheden og en forøgelse af falske positiver. Det betyder, at de separate indikatorer og listen over dem skal testes for deres effektivitet og opdateres dynamisk på baggrund af de oplysninger, der indsamles fra Kasperskys database og ekspertviden.

Siden begyndelsen i 2012 er procentdelen af detektioner fra Astraea i forhold til det samlede antal nye detektioner steget fra 7,53 % til 40,5 % ved udgangen af 2016 (323.000 nye detektioner dagligt), med i alt en milliard unikke ondsindede filer.