Перейти к основному разделу
ТЕХНОЛОГИЯ

Big Data: технология Astraea

Экспертная система Astraea собирает статистику и метаданные о подозрительных объектах со всего мира в реальном времени, выявляя вредоносные файлы и «веб-адреса» и предупреждая о них всех пользователей Kaspersky Security Network.

Технология Astraea – это «облачный кибермозг» распределённой инфраструктуры Kaspersky Security Network (KSN). Система Astraea собирает всю статистику и метаданные о подозрительных действиях и угрозах со всего мира в реальном времени, и на основе анализа этих данных принимает решения об обнаружении вредоносных объектов. Эти вердикты незамедлительно становится доступны всем пользователям Kaspersky Security Network.

Ежедневно более 80 миллионов человек пользуются облачным сервисом Kaspersky Security Network. Продукты «Лаборатории Касперского» запрашивают и получают информацию о репутации проверяемых объектов и собирают статистику с метаданными подозрительных объектов. В результате KSN ежедневно обрабатывает сотни миллионов уведомлений и сотни гигабайт данных.

Все эти данные направляются в экспертную систему фильтрации и обнаружения Astraea. Система проверяет согласованность поступающих данных, чтобы предотвратить любые попытки манипуляции. Затем данные накапливаются в базе объектов (таких как файлы, URL-адреса и др.) вместе с соответствующими метаданными и взаимосвязями.

Например, продукт может отправить следующую информацию о подозрительном объекте:

  • Объект 0xc9e13b88a6f745096f7cf4b232aad4d41054b32d464c5bed95aa7de216bc22a0
  • имя объекта– “revised invoice and packing list.docx.exe”
  • объект находится в архиве “revised invoice and packing list.docx.zip”
  • путь к объекту начинается с “c:\windows\temp”
  • объект не подписан
  • и т. д.

После сбора поступивших данных можно узнать следующее:

  • когда информация об этом файле стала известна в мире;
  • полный список URL-адресов, с которых этот файл загружался или запрашивался;
  • полный список путей файловой системы, по которым он когда-либо сохранялся на диске;
  • полный список случаев выявления вредоносности файла, если это происходило;
  • полный список процессов, запускавших файл;
  • распространение файла и его изменение с течением времени.

Каждый объект проверяется по большому списку индикаторов, созданных специалистами кибербезопасности и экспертными системами. Например, может быть важно проверить следующее:

  • не имеет ли файл двойного расширения на момент его выполнения (MyPhotos.jpg.exe);
  • не находится ли файл в папке C:\Windows\System32, хотя упакован и имеет атрибут «скрытый»;
  • не имеет ли файл устаревшего расширения (например, .com, .pif и т. д.);
  • не похоже ли имя файла на имя доверенного системного файла с небольшим отличием (например, svcnost.exe);
  • не был ли файл загружен объектом, который уже распознан как вредоносный.

В процессе прохождения списка правил для каждого объекта вычисляется степень риска, которая используется системой Astraea для принятия экспертного решения о том, является ли этот объект вредоносным. Соответственно, чем больше собрано информации об объекте, тем более точное автоматическое заключение можно получить. В некоторых случаях собранной информации может оказаться недостаточно для вынесения вердикта. В такой ситуации оценка рассчитывается повторно после получения дополнительных данных.

Принятое системой решение по объекту передается в облачную репутационную службу Kaspersky Security Network и становится доступно пользователям по всему миру.

Важно отметить, что логика системы не является статичной, – система постоянно самообучается. В современном мире создатели вредоносных программ всегда проверяют свой код на предмет обнаружения защитными решениями и совершенствуют его с помощью новых техник. Поэтому система на основе статичных индикаторов может утратить актуальность, что приводит к снижению уровня обнаружения и увеличению количества ложных срабатываний. Необходимо проверять эффективность отдельных индикаторов и их списка в целом, и динамически обновлять их на основе информации из баз данных «Лаборатории Касперского» и от экспертов.

С момента запуска в 2012 г. процент случаев детектирования благодаря технологии Astraea относительно общего количества новых случаев обнаружения вырос с 7,5 до 40,5% по данным на конец 2016 г. (323 000 новых случаев обнаружения ежедневно), а общее число уникальных вредоносных файлов, обнаруженных системой, достигло одного миллиарда.