Big Data Analysis with Astraea Technology – Phân tích dữ liệu lớn với công nghệ Astraea

Phân tích dữ liệu lớn với công nghệ Astraea

Công nghệ Astraea tạo nên “mật mã mạng đám mây” quan trọng của Mạng bảo mật Kaspersky (KSN) —một yếu tố khác trong bảo vệ nhiều lớp, thế hệ tiếp theo của Kaspersky Lab.

Hệ thống tổng hợp tất cả các số liệu thống kê đã thu thập và thông tin tổng hợp về các hoạt động và mối đe dọa đáng ngờ trên toàn thế giới trong thời gian thực, đồng thời đưa ra các quyết định phát hiện đối với các đối tượng độc hại. Sau đó, thông tin này sẽ được cung cấp ngay lập tức cho tất cả người dùng thông qua Kaspersky Security Network.

Mỗi ngày, hơn 80 triệu người dùng được hưởng lợi từ việc sử dụng dịch vụ đám mây Kaspersky Security Network. Các sản phẩm của Kaspersky Labs yêu cầu và nhận thông tin về danh tiếng của các đối tượng được yêu cầu, đồng thời tham gia chia sẻ thống kê với siêu thông tin về các đối tượng đáng ngờ. Điều này dẫn đến một luồng hàng trăm triệu thông báo và hàng trăm gigabyte hàng ngày.

Tất cả dữ liệu này được chuyển tiếp đến một hệ thống lọc và phát hiện chuyên gia có tên là Astraea. Hệ thống xác minh dữ liệu đến để đảm bảo tính nhất quán nhằm ngăn chặn bất kỳ nỗ lực giả định nào về thao tác dữ liệu. Sau đó, dữ liệu được tích lũy thành cơ sở dữ liệu dữ liệu lớn của các đối tượng như tệp, URL, v.v. với siêu thông tin tương ứng và các liên kết giữa chúng.

Ví dụ: một sản phẩm có thể gửi thông tin về một đối tượng đáng ngờ, như:

• Đối tượng 0xc9e13b88 a6f74509 6f7cf4b2 32aad4d4 1054b32d 464c5bed 95aa7de2 16bc22a0
• tên của đối tượng là “hóa đơn sửa đổi và danh sách đóng gói.docx.exe”
• đối tượng nằm trong kho lưu trữ “hóa đơn sửa đổi và danh sách đóng gói.docx.zip”
• đối tượng được bắt đầu từ filepath c: \ windows \ temp
• đối tượng không được ký
• vân vân.

Sau khi tổng hợp thông tin đến, có thể tạo ra kiến ​​thức như:

• Khi một tệp cụ thể được biết đến trên thế giới
• Danh sách đầy đủ các URL mà tệp được tải xuống từ đâu hoặc đến những gì tệp yêu cầu
• Danh sách đầy đủ các đường dẫn nơi nó đã từng được lưu trữ trên đĩa
• Danh sách đầy đủ các phát hiện đối với tệp, nếu chúng xảy ra
• Danh sách đầy đủ các quy trình đã khởi động tệp
• Mức độ phổ biến của tệp và sự thay đổi của nó theo thời gian

Mỗi đối tượng được xác minh dựa trên danh sách lớn các chỉ số được tạo bởi các chuyên gia và hệ thống chuyên gia. Ví dụ, điều quan trọng là phải kiểm tra:

• Nếu tệp có phần mở rộng gấp đôi vào thời điểm chạy (“MyPhotos.jpg .exe”)
• Nếu tệp nằm trong thư mục C: \ Windows \ System32, mặc dù được đóng gói và có thuộc tính tệp “ẩn”
• Nếu tệp có một trong những phần mở rộng đã lỗi thời (giả sử, “.com”, “.pif”, v.v.)
• Nếu tên tệp rất giống với tệp hệ thống đáng tin cậy, chỉ với một sự khác biệt duy nhất (giả sử, “svcnost.exe”)
• Nếu tệp được tải xuống bởi đối tượng đã được gọi là độc hại
• vân vân.

Thông qua danh sách các quy tắc, mỗi đối tượng đạt được điểm rủi ro đối tượng được tính toán, Astraea sử dụng để đưa ra quyết định của chuyên gia về việc đối tượng có độc hại hay không. . Rõ ràng là trong một số trường hợp, vẫn có thể không đủ thông tin về đối tượng để đưa ra phán quyết. Nếu đúng như vậy, xếp hạng sẽ được tính toán lại sau khi thu thập thêm thông tin. Khi Astraea đưa ra phán quyết về đối tượng, Astraea sẽ chuyển nó đến dịch vụ đám mây Kaspersky Security Network, cho phép nó ngay lập tức tiếp cận người dùng trên toàn thế giới.

Điều quan trọng cần lưu ý là logic hệ thống không tĩnh – hệ thống được tự đào tạo vĩnh viễn. Trong thế giới mà người viết phần mềm độc hại luôn xác minh mã của họ để chống lại sự phát hiện bằng các giải pháp bảo mật và vũ khí hóa nó bằng các kỹ thuật mới, hệ thống chỉ số có thể trở nên không thực tế và dễ dẫn đến giảm hiệu quả trong tỷ lệ phát hiện và tăng số lần dương tính giả. Điều này có nghĩa là các chỉ số riêng biệt và toàn bộ danh sách chúng phải được kiểm tra về tính hiệu quả và được cập nhật động dựa trên thông tin thu thập từ cơ sở dữ liệu của Kaspersky Lab và kiến ​​thức chuyên môn.

Kể từ khi bắt đầu vào năm 2012, tỷ lệ phần trăm phát hiện do Astraea tạo ra so với tổng số phát hiện mới đã tăng từ 7,53% lên 40,5% vào cuối năm 2016 (323.000 phát hiện mới mỗi ngày), với tổng số một tỷ tệp độc hại duy nhất.

Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin