Astraea ile Büyük Veri Analizi

Kaspersky'nin çok katmanlı, yeni nesil korumasının bir diğer unsuru olan Astraea teknolojisi, Kaspersky Security Network'ün (KSN) ana "bulut siber beynidir". Sistem, dünya çapında şüpheli etkinlikler ve tehditlerle ilgili gerçek zamanlı olarak toplanan tüm istatistik ve meta verileri bir araya getirir ve kötü amaçlı nesnelere ilişkin algılama kararları üretir. Ardından bu bilgi, Kaspersky Security Network üzerinden tüm kullanıcılara sunulur.

Her gün, 80 milyondan fazla kullanıcı KSN bulut hizmetinden faydalanır. Kaspersky ürünleri, istenen nesnelerin tanınırlığıyla ilgili bilgileri talep edip alır ve şüpheli nesnelerle ilgili meta verilerle birlikte istatistiklerin paylaşımına katkıda bulunur. Bu, her gün milyonlarca bildirimden oluşan bir akış ve yüzlerce gigabaytlık veri anlamına gelir.

Bu verilerin tamamı, Astraea adlı uzman bir filtreleme ve algılama sistemine yönlendirilir. Sistem, varsayımsal olsa bile tüm veri manipülasyonu girişimlerini önlemek için gelen verilerin tutarlılığını doğrular. Ardından veriler, ilgili meta veriler ve aralarındaki bağlantılar ile dosyalar ve URL'ler gibi nesneleri içeren büyük veri veritabanlarında biriktirilir.

Örneğin bir ürün, şüpheli bir nesne hakkında şu şekilde bilgi gönderebilir:

• Nesne 0xc9e13b88a6f745096f7cf4b232aad4d41054b32d464c5bed95aa7de216bc22a0
• nesnenin adı: "gözden geçirilmiş fatura ve ambalajlama listesi.docx.exe"
• nesne, "gözden geçirilmiş fatura ve ambalajlama listesi.docx.zip" arşivinde bulunuyor
• nesne, c:\windows\temp dosya yolundan başlatıldı
• nesne imzalı değil
• vb.

Gelen bilgiler toplandıktan sonra aşağıdaki gibi bir bilgi oluşturulabilir:

• Belirli bir dosyanın dünyada ne zaman tanındığı
• Dosyanın indirildiği ya da istendiği URL'lerin tam listesi
• Daha önce diskte depolanmış olduğu yolların tam listesi
• Varsa dosyaya ilişkin algılamaların tam listesi
• Dosyayı başlatan işlemlerin tam listesi
• Dosya yaygınlığı ve zaman içerisindeki değişimi

Her bir nesne, uzmanlar ve uzman sistemler tarafından oluşturulan büyük bir gösterge listesi temel alınarak doğrulanır. Örneğin, aşağıdakilerin kontrol edilmesi önem arz edebilir:

• Dosyanın çalıştırma sırasında çift uzantıya sahip olup olmadığı ("Fotoğraflarım.jpg.exe")
• Paketlenmiş olup "gizli" dosya özelliğine sahip olmasına rağmen dosyanın C:\Windows\System32 klasöründe bulunup bulunmadığı
• Dosyanın artık kullanılmayan bir uzantıya sahip olup olmadığı (ör. ".com", ".pif" vb.)
• Dosya adının, yalnızca tek bir farkla güvenilen bir sistem dosyasına çok benzer olup olmadığı (ör. "svcnost.exe")
• Dosyanın, zaten kötü amaçlı olarak bilinen bir nesne tarafından indirilip indirilmediği
• vb.

Kural listesinden geçen her bir nesnenin nesne risk puanı hesaplanır ve Astraea, bu bilgiyi nesnenin kötü amaçlı olup olmadığına ilişkin bir uzman kararı vermek için kullanır. Bu nedenle, bir nesne hakkında ne kadar fazla bilgi toplanırsa otomatik olarak oluşturulan sonuç o kadar kesin olur. Elbette, bazı durumlarda nesne hakkındaki bilgiler, bir karar vermek için yeterli değildir. Bu durumlarda ekstra bilgi toplandıktan sonra değerlendirme tekrar gerçekleştirilir.

Astraea, nesne hakkındaki kararını oluşturduktan sonra bu kararı Kaspersky Security Network bulut hizmetine aktarır ve kararın dünyanın dört bir yanındaki kullanıcılara anında ulaşmasını sağlar.

Sistemin sabit bir mantığa sahip olmadığını ve sürekli olarak kendisini eğittiğini belirtmek isteriz. Günümüzde, kötü amaçlı yazılım yazarları yazdıkları kodları her zaman güvenlik çözümlerinin algılama yöntemlerine karşı doğrulayıp kodu yeni tekniklerle güçlendirdiği için göstergeler sistemi, kolaylıkla işlevini kaybedebilir ve algılama oranı verimliliğinin düşmesine ve hatalı pozitif sonuçların artmasına sebep olabilir. Bu nedenle, Kaspersky'nin veritabanından toplanan veriler ve uzman bilgi birikimi temel alınarak göstergeler ayrı ayrı ve bütünüyle bir liste halinde verimlilik için dinamik olarak test edilip güncellenmelidir.

2012'de başlatılmasından bu yana, 2016 yılının sonuna kadar Astraea tarafından oluşturulan algılamaların yeni algılamaların toplam sayısına göre yüzdesi %7,53'ten %40,5'e yükselmiştir (günlük olarak 323.000 yeni algılama). Toplamda bir milyar benzersiz kötü amaçlı dosya algılanmıştır.