Overslaan naar hoofdinhoud
TECHNOLOGY

Big data analyseren met Astraea

Het deskundige systeem voegt alle statistieken en metadata over verdachte objecten wereldwijd in realtime samen en produceert detectiebeslissingen die via de cloud van Kaspersky Security Network onmiddellijk beschikbaar worden voor alle gebruikers.

Astraea-technologie vormt het belangrijkste “cloud-cyberbrein” van Kaspersky Security Network (KSN), een ander element van de meerlaagse, next-generation beveiliging van Kaspersky. Het systeem voegt alle verzamelde statistieken en metagegevens over verdachte activiteiten en wereldwijde dreigingen in realtime samen en neemt detectiebeslissingen op het gebied van schadelijke objecten. Deze informatie wordt daarna onmiddellijk beschikbaar voor alle gebruikers via het Kaspersky Security Network.

Elke dag maken meer dan 80 miljoen gebruikers gebruik van de KSN-cloudservice. De producten van Kaspersky vragen en ontvangen informatie over de reputatie van de opgevraagde objecten en delen statistieken inclusief metagegevens over verdachte objecten. Dit leidt tot een dagelijkse stroom van honderden miljoenen meldingen en honderden gigabytes.

Al deze gegevens worden doorgestuurd naar een geavanceerd filter- en detectiesysteem met de naam Astraea. Het systeem controleert de consistentie van de binnenkomende gegevens om eventuele hypothetische pogingen van gegevensmanipulatie te voorkomen. De gegevens worden vervolgens verzameld in een big-data-database van objecten, zoals bestanden, URL's enzovoort met bijbehorende metagegevens en onderlinge koppelingen.

Een product kan bijvoorbeeld informatie verzenden over een verdacht object, zoals:

  • Object 0xc9e13b88​a6f74509​6f7cf4b2​32aad4d4​1054b32d​464c5bed​95aa7de2​16bc22a0
  • de naam van het object is “revised invoice and packing list.docx.exe”
  • het object bevindt zich in het archief “revised invoice and packing list.docx.zip”
  • het object is gestart vanaf bestandspad c:\windows\temp
  • het object is niet ondertekend
  • enz.

Na het samenvoegen van de inkomende informatie, kan er kennis worden gegenereerd zoals:

  • Wanneer een bepaald bestand gekend wordt in de wereld
  • Volledige lijst met URL’s met de downloadlocatie van het bestand of wat het heeft aangevraagd
  • Volledige lijst met paden waar het ooit op een schijf was opgeslagen
  • Volledige lijst van detecties van het bestand, indien deze hebben plaatsgevonden
  • Volledige lijst van processen waarmee het bestand is gestart.
  • De aanwezigheid van het bestand en de wijziging in de loop van de tijd

Elke lijst wordt gecontroleerd op een lange lijst van indicatoren die is gemaakt door experts en geavanceerde systemen. Het kan bijvoorbeeld belangrijk zijn om het volgende te controleren:

  • Of het bestand een dubbele extensie heeft op het moment van uitvoeren (“MyPhotos.jpg .exe”)
  • Of het bestand zich in de map C:\Windows\System32, bevindt, ondanks het feit dat het verpakt is en het bestandskenmerk “hidden” (verborgen) heeft
  • Of een bestand een verouderde extensie heeft (bijvoorbeeld “.com”, “.pif” enz.)
  • Of een bestandsnaam veel lijkt op een vertrouwd systeembestand, maar met slechts één verschil (bijvoorbeeld “svcnost.exe”)
  • Of een bestand is gedownload door een object dat al bekend is als schadelijk
  • enz.

Bij het doorgeven van de lijst met regels krijgt elk object een berekende risicoscore die Astraea hanteert om een deskundige beslissing te nemen over de vraag of het object wel of niet schadelijk is. Hoe meer informatie over een object wordt verzameld, hoe preciezer de automatische conclusie kan zijn. In sommige gevallen is er toch onvoldoende informatie om een oordeel over het object te vellen. Als dit het geval is, wordt de score later opnieuw berekend nadat er extra informatie is verzameld.

Nadat Astraea het oordeel over het object heeft opgesteld, wordt dit overgedragen aan de Kaspersky Security Network-cloudservice en kunnen gebruikers over de hele wereld dit onmiddellijk ontvangen.

Het is belangrijk om op te merken dat de systeemlogica niet statisch is: het systeem traint zichzelf permanent. Schrijvers van malware controleren hun code altijd op detectie door beveiligingsoplossingen en wapenen de code met nieuwe technieken. Hierdoor kunnen de indicatiesystemen verouderd raken en leiden tot verminderde efficiëntie van het detectieratio en toename van false positives. Dit betekent dat de afzonderlijke indicatoren en de lijst als geheel moeten worden getest op efficiëntie en dynamisch moeten worden geüpdatet op basis van informatie die wordt verzameld uit de Kaspersky-database en kennis van experts.

Sinds de start in 2012 is het percentage detecties door Astraea in vergelijking met het totale aantal nieuwe detecties gestegen van 7,53% naar 40,5% eind 2016 (dagelijks 323.000 nieuwe detecties), met een totaal van één miljard unieke schadelijke bestanden.

Gerelateerde producten

WHITEPAPER

Whitepaper Kaspersky Security Network Big Data-powered Security


Finding the Needle in the Haystack Introducing Astraea.

Year 2016 One Billion Items of Malware Held in Kaspersky Labs Cloud Database

Erkenning

Gerelateerde technologieën

Intelligente beveiliging tegen dreigingen in de cloud: Kaspersky Security Network (KSN)

De complexe cloudinfrastructuur verzamelt en analyseert gegevens over cyberveiligheid van miljoenen vrijwillige deelnemers over de hele wereld om de snelste reactie op nieuwe dreigingen te bieden via analyse van big data, machine learning en menselijke expertise.

Machine learning in cyberbeveiliging

Beslissingsbomen, locatiegevoelige hashing, gedragsmodellen of clusteren van inkomende stromen: al onze methoden van machine learning (ML) zijn ontwikkeld om te voldoen aan de beveiligingsvereisten van de echte wereld: een laag aantal false positives, interpreteerbaarheid en kracht bij een mogelijke aanval.

Meerlaagse beveiligingsmethode

Goede cyberveiligheid moet gebaseerd zijn op de synergie van verschillende beschermingstechnieken, van klassieke anti-virusinformatie tot gedragsgebaseerde detectie met deep-learning-modellen.