تحليل البيانات الضخمة مع Astraea

تقنية Astraea تشكل "الدماغ الإلكتروني السحابي" الرئيسي في شبكة Kaspersky Security Network (KSN)، وهي عنصر آخر من عناصر حماية الجيل التالي المتعددة الطبقات من Kaspersky. يجمع النظام كل الإحصائيات والمعلومات الوصفية التي تم جمعها بشأن الأنشطة المشبوهة والتهديدات في جميع أنحاء العالم في الوقت الحقيقي، ومن ثم ينتج قرارات اكتشاف بخصوص الكائنات الضارة. بعدها تصبح هذه المعلومات متاحة على الفور لجميع المستخدمين عبر شبكة Kaspersky Security Network.

يستفيد أكثر من 80 مليون مستخدم من استخدام خدمة KSN السحابية يوميًا، ومنتجات Kaspersky تطلب معلومات عن سمعة الكائنات المطلوبة وتتلقاها، وتساهم في مشاركة الإحصاءات مع المعلومات الوصفية بشأن الكائنات المشبوهة؛ وينتج عن ذلك تدفق مئات الملايين من الإشعارات ومئات الجيجابايت يوميًا.

يتم توجيه كل هذه البيانات إلى نظام فلترة واكتشاف خبير يسمى Astraea. يتحقق النظام من البيانات الواردة من أجل التأكد من التوافق لمنع أي محاولات للتلاعب بالبيانات، حتى لو كانت افتراضية. بعدها يتم تجميع البيانات في قاعدة بيانات كبيرة للكائنات، مثل الملفات وروابط URL وما إلى ذلك، مع المعلومات الوصفية المقابلة والروابط المتبادلة بينها.

على سبيل المثال: قد يرسل المنتج معلومات حول كائن مشبوه، مثل

• الكائن 0xc9e13b88​a6f74509​6f7cf4b2​32aad4d4​1054b32d​464c5bed​95aa7de2​16bc22a0
• اسم الكائن هو "الفاتورة المنقحة وقائمة التغليف.docx.exe"
• يوجد الكائن في الملف المضغوط "الفاتورة المنقحة وقائمة التغليف.docx.zip"
• بدأ الكائن من المسار c:\windows\temp
• الكائن غير موقّع
• وما إلى ذلك

بعد تجميع المعلومات الواردة، يمكن إنشاء معرفة كما يلي:

• متى أصبح ملف معين معروفًا في العالم
• قائمة كاملة بعناوين URL التي تم تنزيل الملف منها أو إلى ما طلبه الملف
• قائمة كاملة بالمسارات التي تم تخزينه بها على القرص
• قائمة كاملة بحالات اكتشاف الملف في حال حدوثها
• قائمة كاملة بالعمليات التي بدأت تشغيل الملف
• انتشار الملف وتغيره بمرور الوقت

يتم التحقق من كل كائن بمقارنته بقائمة كبيرة من المؤشرات التي أنشأها الخبراء والأنظمة الخبيرة. قد يكون من المهم التحقق مما يلي على سبيل المثال:

• إذا كان للملف امتداد مزدوج في وقت التشغيل ("MyPhotos.jpg .exe")
• إذا كان الملف موجودًا في المجلد C:\Windows\System32، رغم أنه في حزمة ويحمل سمة الملف "مخفي"
• إذا كان الملف يحتوي على امتداد قديم (مثل " .com" أو " .pif"، إلخ)
• إذا كان اسم الملف مشابهًا لملف نظام موثوق به، مع فارق واحد فقط (مثل "svcnost.exe")
• إذا تم تنزيل الملف بواسطة كائن معروف عنه أنه ضار بالفعل
• وما إلى ذلك

ومع تمرير قائمة القواعد، يكتسب كل كائن درجة محسوبة للخطر، والتي تستخدمها تقنية Astraea لاتخاذ قرار خبير حول ما إذا كان الكائن ضارًا أم لا. و كلما زادت المعلومات التي تم جمعها عن كائنٍ ما، صار التوصل إلى استنتاج تلقائي أكثر دقة أمرًا ممكنًا. ومن الواضح أنه في بعض الحالات لا يمكن أن تكون المعلومات عن الكائن كافية لإصدار حكم، وفي هذه الحالة تتم إعادة حساب التصنيف لاحقًا بعد جمع معلومات إضافية.

وبمجرد أن يصدر نظام Astraea حكمه على كائنٍ ما، فإنه ينقل هذا الحكم إلى خدمة سحابة Kaspersky Security Network، مما يتيح له الوصول الفوري إلى المستخدمين في جميع أنحاء العالم.

من المهم ملاحظة أن منطق النظام ليس ثابتًا، فالنظام ذاتي التدريب بشكل دائم، ويتحقق مطورو البرامج الضارة في عالمنا دائمًا من التعليمات البرمجية الخاصة بهم لمنع حلول الأمن من اكتشافها، ويزيدون من قوتها بتقنيات جديدة! هذا من شأنه أن يضعف فاعلية نظام المؤشرات ويدفع إلى خفض الكفاءة في معدل الاكتشاف وزيادة النتائج الإيجابية الزائفة. هذا يعني أنه يجب اختبار المؤشرات بشكل منفصل، كما يجب اختبار قائمة المؤشرات بأكملها للتأكد من كفاءتها وتحديثها بشكل ديناميكي بناءً على المعلومات التي يتم جمعها من قاعدة بيانات Kaspersky ومعارف الخبراء.

منذ بداية نظام Astraea عام 2012، ارتفعت نسبة عمليات الاكتشاف التي أجراها النظام ضد العدد الإجمالي من عمليات الاكتشاف الجديدة من 7.53% إلى 40.5% بحلول نهاية عام 2016 (323000 عملية اكتشاف جديدة يوميًا)، بالإضافة إلى ما مجموعه مليار ملف ضار فريد.