メインコンテンツにスキップする
TECHNOLOGY

Astraeaテクノロジーを活用したビッグデータ分析

世界中の疑わしいオブジェクトに関するすべての統計情報とメタデータをリアルタイムで集計し、Kaspersky Security Networkのクラウドを介して、すべてのユーザに対して脅威情報を提供します。

Astraeaテクノロジーは、 Kaspersky Security Network (KSN) の重要な「クラウド上のサイバーブレイン」 として機能し、カスペルスキーの次世代多層防御を構成する要素のひとつです。

このシステムは、世界中の疑わしい活動や脅威に関して収集されたすべての統計情報とメタ情報をリアルタイムで集約し、悪意のあるオブジェクトに関する検知結果を生成します。そして、この情報はKaspersky Security Networkを介してすべてのユーザーがすぐに利用できるようになります。

毎日8,000万人を超えるユーザーがKaspersky Security Networkクラウドサービスを活用しています。カスペルスキー製品は、要求したオブジェクトのレピュテーション情報を要求して受信し、疑わしいオブジェクトに関するメタ情報の統計情報を共有します。これにより、数億の通知と数百ギガバイトの情報が毎日KSNのデータベースに蓄積されます。

これらのデータはすべて、Astraeaと呼ばれるフィルタリングおよび検出システムに転送されます。このシステムは受信データの整合性を検証して、データ操作の仮定上の試行さえも阻止します。その後、データはファイルやURLなどのオブジェクトのビッグデータのデータベースの中に、対応するメタ情報とオブジェクト間の相互リンクと合わせて累積されます。

たとえば、製品から以下のような疑わしいオブジェクトに関する情報を送信します。

  • オブジェクト0xc9e13b88a6f745096f7cf4b232aad4d41054b32d464c5bed95aa7de216bc22a0
  • オブジェクトの名前は「revised invoice and packing list.docx.exe」
  • オブジェクトはアーカイブ「revised invoice and packing list.docx.zip」に存在
  • オブジェクトはファイルパスc:\windows\tempから起動
  • オブジェクトは未署名
  • など

受信情報を集約した後、次のような情報を生成することが可能です。

  • 特定のファイルが全世界でいつ認識されるようになったか
  • ファイルのダウンロード元および要求先のURLの全リスト
  • ディスク上に保存された場所のパスの全リストの履歴
  • ファイルに対する検知の全リスト(検知された場合)
  • ファイルを開始したプロセスの全リスト
  • ファイルの普及および経過時間に伴う変化

各オブジェクトは、エキスパートとエキスパートシステムによって作成された指標と照らして合わせて検証されます。例えば、以下のチェック項目が重要です。

  • ファイルの実行時に2重の拡張子がないか(「MyPhotos.jpg .exe」)
  • ファイルが圧縮されファイル属性が「非表示」であるのに、C:\Windows\System32フォルダに存在するか
  • ファイルが旧式の拡張子ではないか(たとえば、「.com」、「.pif」など)
  • 信頼するシステムファイルのファイル名が1文字違いだけで非常に酷似」していないか(「svcnost.exe」など)
  • ファイルが既知の悪意のあるオブジェクトによってダウンロードされていないか
  • など

ルールのリストを渡し、各オブジェクトに計算されたオブジェクトリスクスコアを取得します。Astraeaは、これを使用してオブジェクトが悪意のあるものかどうか判断します。したがって、オブジェクトに関する詳細情報が多く収集されるほど、より正確な結論を自動的に出すことができます。オブジェクトに関する判定を行うのに必要な情報が不十分であることが明らかな場合もあります。このような場合は、追加情報の収集後に評価を再計算します。

Astraeaはオブジェクトの判定を行うと、これをKaspersky Security Networkクラウドサービスに情報を送信し、全世界のユーザーが直ちに利用できるようにします。

注目すべき重要なポイントは、システムのロジックが静的でないことです。システムは常に自己学習し、精度を向上させます。全世界で活動するマルウェアの作成者は、セキュリティ製品によって検知されたコードを常に検証しており、新たな手法で新たなマルウェアを開発しています。そのため指標システムは実際の状況を反映するのが困難になり、検知率の効率が低下し、誤検知が増加する場合があります。つまり、個別に指標とそれらのリスト全体の有効性をテストし、Kaspersky Labのデータベースから収集した情報と専門知識に基づいて動的にアップデートする必要があります。

サービスを開始した2012, 年以降、新規に検知した合計数に対してAstraeaで実行された検知の割合は、2016年末までに7.53%から40.5%に増加し(毎日新規323,000件を検知)、その総数は10億の個別の悪意のあるファイルとなっています。

関連製品

関連テクノロジー

クラウドインテリジェンス

Kaspersky Security Network(KSN)は脅威情報を分析し、最新の脅威に迅速に対応します。
詳しくはこちら

機械学習

機械学習を活用したテクノロジーが製品とインフラストラクチャの両方で使用されています。
詳しくはこちら

多層防御アプローチ

多層防御アプローチにより、さまざまな種別のマルウェアに対する効果的な保護を実現します。
詳しくはこちら