Big Data: технология Astraea
Технология Astraea – это «облачный кибермозг» распределённой инфраструктуры Kaspersky Security Network (KSN). Система Astraea собирает всю статистику и метаданные о подозрительных действиях и угрозах со всего мира в реальном времени, и на основе анализа этих данных принимает решения об обнаружении вредоносных объектов. Эти вердикты незамедлительно становится доступны всем пользователям Kaspersky Security Network.
![](https://content.kaspersky-labs.com/se/ru/content/ru-ru/enterprise-security/wiki-section/img/big-data-the-astraea-technology-1/big-data-the-astraea-technology-1.png)
Ежедневно более 80 миллионов человек пользуются облачным сервисом Kaspersky Security Network. Продукты «Лаборатории Касперского» запрашивают и получают информацию о репутации проверяемых объектов и собирают статистику с метаданными подозрительных объектов. В результате KSN ежедневно обрабатывает сотни миллионов уведомлений и сотни гигабайт данных.
Все эти данные направляются в экспертную систему фильтрации и обнаружения Astraea. Система проверяет согласованность поступающих данных, чтобы предотвратить любые попытки манипуляции. Затем данные накапливаются в базе объектов (таких как файлы, URL-адреса и др.) вместе с соответствующими метаданными и взаимосвязями.
Например, продукт может отправить следующую информацию о подозрительном объекте:
- Объект 0xc9e13b88a6f745096f7cf4b232aad4d41054b32d464c5bed95aa7de216bc22a0
- имя объекта– “revised invoice and packing list.docx.exe”
- объект находится в архиве “revised invoice and packing list.docx.zip”
- путь к объекту начинается с “c:\windows\temp”
- объект не подписан
- и т. д.
После сбора поступивших данных можно узнать следующее:
- когда информация об этом файле стала известна в мире;
- полный список URL-адресов, с которых этот файл загружался или запрашивался;
- полный список путей файловой системы, по которым он когда-либо сохранялся на диске;
- полный список случаев выявления вредоносности файла, если это происходило;
- полный список процессов, запускавших файл;
- распространение файла и его изменение с течением времени.
Каждый объект проверяется по большому списку индикаторов, созданных специалистами кибербезопасности и экспертными системами. Например, может быть важно проверить следующее:
- не имеет ли файл двойного расширения на момент его выполнения (MyPhotos.jpg.exe);
- не находится ли файл в папке C:\Windows\System32, хотя упакован и имеет атрибут «скрытый»;
- не имеет ли файл устаревшего расширения (например, .com, .pif и т. д.);
- не похоже ли имя файла на имя доверенного системного файла с небольшим отличием (например, svcnost.exe);
- не был ли файл загружен объектом, который уже распознан как вредоносный.
В процессе прохождения списка правил для каждого объекта вычисляется степень риска, которая используется системой Astraea для принятия экспертного решения о том, является ли этот объект вредоносным. Соответственно, чем больше собрано информации об объекте, тем более точное автоматическое заключение можно получить. В некоторых случаях собранной информации может оказаться недостаточно для вынесения вердикта. В такой ситуации оценка рассчитывается повторно после получения дополнительных данных.
Принятое системой решение по объекту передается в облачную репутационную службу Kaspersky Security Network и становится доступно пользователям по всему миру.
Важно отметить, что логика системы не является статичной, – система постоянно самообучается. В современном мире создатели вредоносных программ всегда проверяют свой код на предмет обнаружения защитными решениями и совершенствуют его с помощью новых техник. Поэтому система на основе статичных индикаторов может утратить актуальность, что приводит к снижению уровня обнаружения и увеличению количества ложных срабатываний. Необходимо проверять эффективность отдельных индикаторов и их списка в целом, и динамически обновлять их на основе информации из баз данных «Лаборатории Касперского» и от экспертов.
С момента запуска в 2012 г. процент случаев детектирования благодаря технологии Astraea относительно общего количества новых случаев обнаружения вырос с 7,5 до 40,5% по данным на конец 2016 г. (323 000 новых случаев обнаружения ежедневно), а общее число уникальных вредоносных файлов, обнаруженных системой, достигло одного миллиарда.