Ir para o conteúdo principal
TECHNOLOGY

Análise de Big Data com o Astraea

O sistema especializado agrega todas as estatísticas e metadados sobre objetos suspeitos de todo o mundo em tempo real, disponibilizando imediatamente as decisões de detecção para todos os usuários por meio da nuvem da Kaspersky Security Network.

A tecnologia Astraea compõe o "cibercérebro da nuvem" principal da Kaspersky Security Network (KSN), outro elemento da proteção da próxima geração em vários níveis da Kaspersky. O sistema agrega todas as estatísticas e metainformações coletadas sobre atividades suspeitas e ameaças de todo o mundo em tempo real e toma decisões de detecção sobre objetos maliciosos. Depois, essas informações são imediatamente disponibilizadas para todos os usuários por meio da Kaspersky Security Network.

Todos os dias, mais de 80 milhões de usuários desfrutam dos benefícios de usar o serviço de nuvem da KSN. Os produtos da Kaspersky solicitam e recebem informações sobre a reputação dos objetos indicados e participam no compartilhamento de estatísticas com metainformações sobre objetos suspeitos. Isso resulta em um fluxo de centenas de milhões de notificações e centenas de gigabytes diariamente.

Todos esses dados são encaminhados para um sistema especializado de filtragem e detecção chamado Astraea. Esse sistema verifica a consistência dos dados recebidos para evitar quaisquer tentativas, ainda que hipotéticas, de manipulação de dados. Em seguida, os dados são acumulados em uma base de dados de Big Data de objetos como arquivos, URLs, etc., com metainformações e interlinks correspondentes entre eles.

Por exemplo, um produto pode enviar informações sobre um objeto suspeito, como:

  • Object 0xc9e13b88a6f745096f7cf4b232aad4d41054b32d464c5bed95aa7de216bc22a0
  • o nome do objeto é "fatura revisada e lista de embalagem.docx.exe"
  • o objeto está localizado no arquivo “fatura revisada e lista de embalagem.docx.zip”
  • o objeto foi iniciado no caminho de arquivo c:\windows\temp
  • o objeto não está assinado
  • etc.

Após agregar as informações recebidas, é possível gerar conhecimento, por exemplo:

  • Quando um arquivo específico se torna conhecido no mundo
  • Lista completa de URLs de onde o arquivo foi baixado ou para os quais ele foi solicitado
  • Lista completa de caminhos onde o arquivo já esteve armazenado em disco
  • Lista completa de detecções do arquivo, caso tenham ocorrido
  • Lista completa de processos que iniciaram o arquivo
  • Prevalência do arquivo e suas mudanças ao longo do tempo

Cada objeto é verificado em uma grande lista de indicadores criados por especialistas e sistemas especializados. Por exemplo, pode ser importante verificar:

  • Se o arquivo tem dupla extensão no momento da execução ("MinhasFotos.jpg.exe")
  • Se o arquivo está localizado na pasta C:\Windows\System32, embora esteja compactado e tenha o atributo de arquivo "oculto"
  • Se o arquivo tem uma extensão desatualizada (por exemplo, ".com", ".pif", etc.)
  • Se o nome do arquivo é muito semelhante a um arquivo de sistema confiável, apenas com uma pequena diferença (por exemplo, “svcnost.exe”)
  • Se o arquivo foi baixado por um objeto que já é conhecido como malicioso
  • etc.

Ao passar pela lista de regras, cada objeto ganha uma pontuação de risco de objeto calculada, que o Astraea utiliza para tomar uma decisão especializada indicando se o objeto é malicioso ou não. Portanto, quanto mais informação for recolhida sobre um objeto, mais exata será a conclusão automática. É óbvio que em alguns casos não haja informação suficiente sobre o objeto para chegar a um veredito. Nesse caso, a classificação é posteriormente recalculada, após informações adicionais serem coletadas.

Após o Astraea dar seu veredito sobre um objeto, ele o transfere para o serviço de nuvem da Kaspersky Security Network, permitindo que ele chegue imediatamente aos usuários do mundo todo.

É importante realçar que a lógica do sistema não é estática; o sistema é permanentemente autotreinado. Em um mundo em que os criadores de malware sempre verificam seus códigos quanto à detecção por soluções de segurança e os fortalecem com novas técnicas, o sistema de indicadores pode se tornar irreais e facilmente causar a diminuição de eficiência na taxa de detecção e o aumento de falsos positivos. Isso significa que os indicadores, individualmente e como uma lista com todos eles, devem ser testados quanto à eficiência e atualizados dinamicamente de acordo com as informações coletadas da base de dados e dos conhecimentos especializados da Kaspersky.

Desde o seu início em 2012, a porcentagem de detecções criadas pelo Astraea em relação ao número total de detecções novas aumentou de 7,53% para 40,5% até ao final de 2016 (323.000 novas detecções por dia), com um total de um bilhão de arquivos maliciosos exclusivos.

Produtos relacionados

WHITEPAPER

Whitepaper Kaspersky Security Network Big Data-powered Security


READ MORE

Finding the Needle in the Haystack Introducing Astraea.

READ MORE

Year 2016 One Billion Items of Malware Held in Kaspersky Labs Cloud Database

READ MORE

Reconhecimento

Tecnologias relacionadas

Inteligência de ameaças na nuvem: Kaspersky Security Network (KSN)

A infraestrutura de nuvem complexa coleta e analisa dados relacionados à cibersegurança fornecidos por milhões de participantes voluntários de todo o mundo a fim de oferecer a resposta mais rápida possível às novas ameaças por meio da análise de Big Data, Machine Learning e conhecimento humano.
READ MORE

Machine Learning na cibersegurança

Conjuntos ramificados de decisão, hash sensível à localidade, modelos de comportamento e agrupamento de fluxos de entrada; todos os nossos métodos de Machine Learning são desenvolvidos para atender aos requisitos de segurança do mundo real: taxa baixa de falsos positivos, capacidade de interpretação e robustez perante um possível adversário.
READ MORE

Abordagem de segurança em várias camadas

A verdadeira cibersegurança deve basear-se na sinergia de várias técnicas de proteção, abrangendo desde registros de antivírus clássicos até a detecção baseada em comportamentos com modelos de deep learning.
READ MORE