Софтодром   
Windows Программы для Windows
Linux Программы для Linux
Android Приложения для Android
iOS Приложения для iPhone

Новости  Форумы

Касперский рассказал, в чем секрет его технологий



Новости    Безопасность



Секрет успеха технологий «Лаборатории Касперского» заключается в использовании принципа HuMachine Intelligence. Об этом сообщил в своем твиттере гендиректор «Лаборатории Касперского» Евгений Касперский.



Подробности о том, что такое HuMachine Intelligence, рассказываются простыми словами в посте антивирусного эксперта «Лаборатории Касперского» Алексея Маланова «Простыми словами: что такое HuMachine Intelligence», опубликованном в блоге компании.



«Мы периодически рассказываем о том, что эффективность наших продуктов — это во многом заслуга принципа HuMachine Intelligence, который является основой истинной безопасности. И суть этого принципа заключается в сплаве трех основ — больших данных, машинного обучения и экспертных навыков наших аналитиков. Но что стоит за этими словами? Давайте мы попробуем объяснить это, не вдаваясь в технические подробности.


Big Data & Threat Intelligence

Термин «большие данные» нельзя воспринимать буквально, как некий массив информации, лежащий мертвым грузом. Это не просто некая база — это совокупность технологий, позволяющих мгновенно обрабатывать огромные массивы данных о вредоносных, чистых и потенциально-вредоносных объектах для извлечения знаний об угрозах (Threat Intelligence) из массы накопленных данных. В нашем случае под большими данными понимается, во-первых, обширная коллекция вредоносных объектов, во-вторых, распределенная сеть Kaspersky Security Network, поставляющая вредоносные объекты и многочисленные многоаспектные данные об угрозах со всего мира, а в-третьих, разнообразные инструменты категоризации, обрабатывающие эти данные.

Коллекция вредоносных объектов

Мы уже более 20 лет занимаемся компьютерной безопасностью и за все это время проанализировали огромное количество объектов. Информация о них надежно хранится в наших базах данных. Причем когда мы говорим об «объектах», мы подразумеваем не только файлы или куски кода, но и URL-адреса, сертификаты, логи исполнения чистых и вредоносных программ. И хранится оно все не просто с пометками «опасно» или «безопасно» — в базах лежат данные о связях между объектами. С какого сайта был скачан файл, какие еще файлы качались с этого сайта и так далее.

Kaspersky Security Network (KSN)

Строго говоря, KSN — это наш облачный сервис для обеспечения безопасности. И одна из его функций — оперативно блокировать новые угрозы у пользователей. Одновременно с этим он позволяет всем и каждому участвовать в повышении глобального уровня безопасности, отправляя деперсонифицированные метаданные об угрозах в облако. Мы изучаем угрозу под разными углами и отправляем в базы данных те ее аспекты, которые позволят нашим экспертным системам качественно обнаруживать эту угрозу и подобные ей. Таким образом, наша коллекция постоянно пополняется свежими данными в реальном времени.

Инструменты категоризации

По сути, это внутренние технологии, которые позволяют эффективно обрабатывать коллекцию: регистрировать те самые связи между вредоносными объектами и учитывать наследственность различных семейств вредоносов.

Технологии машинного обучения

В двух словах рассказать о том, что такое машинное обучение и как оно применяется в «Лаборатории Касперского», достаточно сложно. Начать хотя бы с того, что у нас практикуется использование принципа многослойности, так что алгоритмы машинного обучения применяются в различных подсистемах и на разных уровнях.

Статическое детектирование

Наши системы ежедневно получают сотни тысяч объектов, которые надо оперативно проанализировать и определить, опасны они или нет. Так что еще более 10 лет назад мы поняли, что без автоматизации тут не обойтись. Первая задача, которую в итоге решили при помощи технологии машинного обучения, звучала так: при получении подозрительного файла нам необходимо было понять, не похож ли он на уже имеющийся у нас вредоносный файл. И эта задача была решена. Мы создали программу, которая анализировала всю коллекцию, а потом, когда ей на вход подавался новый исследуемый файл, она сообщала, на что он похож больше всего. В основе этого подхода лежала наша уникальная технология анализа.

Вскоре стало понятно, что нам мало просто знать, похож объект на другие вредоносные или нет. Нам была нужна технология, которая позволит системе самостоятельно выносить окончательный вердикт. И такая технология была построена на основе решающих деревьев. Обучаясь на нашей обширной коллекции вредоносных объектов, она выявляет множество критериев, определенные сочетания которых могут служить признаками, однозначно характеризующими новый файл как опасный. Принцип работы этой технологии таков: при анализе файла математическая модель задает антивирусному движку вопросы:

1. А файл больше 100 килобайт?
2. А раз да, то файл упакован?
3. А раз нет, то в файле имена секций человеческие или мусорные?
4. А раз да, то… и так далее.

Ответив на все вопросы, антивирусный движок получает от матмодели вердикт «файл чист» или наоборот, «опасен!»

Поведенческая математическая модель

Однако, поскольку мы сторонники принципа многослойности защитных технологий, наши математические модели применяются и для динамического детектирования. По сути, математическая модель может анализировать поведение исполняемого файла уже после его запуска. Строить и обучать модель можно по тем же принципам, что и матмодели статического детектирования, только в качестве «обобщающего материала» использовать логи исполнения вредоносов. Правда тут есть одно существенное отличие — все-таки мы говорим о работе в полевых условиях, так что мы не можем позволить себе дожидаться, пока код полностью отработает — решение нужно принять после анализа минимального количества действий. В данный момент такая технология, основанная на deep learning, работает у нас в пилотном режиме и показывает отличные результаты.

Экспертные знания человека

Специалисты по машинному обучению сходятся во мнении: какой бы умной ни была математическая модель, ее всегда при желании может обойти человек. Особенно если человек креативный, имеет возможность посмотреть, как эта технология устроена, или у него много времени на многочисленные опыты. Поэтому, во-первых, модель должна быть обновляемой по частям, во-вторых, инфраструктура должна работать, как часы, а в-третьих, за роботом должен присматривать человек. Именно так у нас все и устроено.

Anti-Malware Research (AMR)

Когда-то, лет 20 назад, AMR (лаборатория антивирусных исследований) работала вообще без помощи автоматических систем. Сейчас же большинство угроз детектируются экспертными системами, обученными исследователями лаборатории. Конечно, возникают случаи, когда система не может однозначно вынести вердикт. Или понимает, что объект вредоносен, но не может отнести его к какому-то уже известному семейству. В таком случае она сигнализирует дежурному аналитику из AMR, предоставляет ему полный набор индикаторов, и тот принимает решение самостоятельно.

Detection Methods Analysis Group

В рамках лаборатории антивирусных исследований (AMR) есть выделенное исследовательское подразделение, созданное в 2007-м году специально для работы над системами машинного обучения. В настоящий момент только его руководитель имеет опыт вирусного аналитика, остальные сотрудники чистые data scientist’ы.

Global Research and Analysis Team (GReAT)

И, наконец, наша команда GReAT. Исследователи из этой команды расследуют наиболее сложные угрозы – APT, кампании кибершпионажа, глобальные киберэпидемии, шифровальщиков-вымогателей. Кроме того, они следят за новейшими веяньями в подпольном киберпреступном мире. Их уникальные знания о техниках, инструментах и схемах проведения атак злоумышленниками позволяет нам разрабатывать средства защиты, способные защитить от самых изощренных угроз.

Разумеется, мы не рассказали и о половине наших технологий и отделов, которые задействованы в развитии наших решений. Есть множество других экспертов и различных методов машинного обучения, однако мы надеемся, что и этот пример хорошо иллюстрирует, в чем заключается принцип HuMachine Intelligence.»


Автор: Softodrom.ru
Дата:

28.03.2024 06:43

«Сбер» объяснил, как разморозить карту после блокировки из-за криптовалют

После выявления сомнительных операций и приостановки транзакций по картам банк направляет клиентам запросы для уточнения источника происхождения средств


13.03.2024 21:48

Глава МЧС предложил оповещать о ЧС через домофоны

Домофоны могут стать важной частью системы оповещения населения о чрезвычайных ситуациях, рассказал глава МЧС России Александр Куренков


12.03.2024 23:45

Яндекс выплатил этичным хакерам 70 млн рублей

В 2023 году компания Яндекс выплатила этичным хакерам 70 млн рублей — почти вдвое больше, чем годом ранее


09.03.2024 18:29

Студента МГУ арестовали из-за названия сети Wi-Fi

Суд в Москве арестовал студента МГУ из-за названия созданной им сети Wi-Fi


29.02.2024 22:13

Глава Пентагона допустил войну НАТО с Россией в случае поражения Украины

Слова главы Пентагона прокомментировала представитель МИД России Мария Захарова


Популярное: Безопасность
29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


15.01.2023 09:34

15 бесплатных антивирусов для компьютера на Windows (2023)

Софтодром составил подборку из 15 бесплатных антивирусных программ для компьютера на Windows


07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


29.11.2017 23:52

Как защитить файл или папку паролем в Windows

Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится


02.01.2024 09:16

Операторам ввели оборотные штрафы за неустановленное спецоборудование СОРМ

В настоящее время все работающие в РФ операторы связи обязаны сохранять в СОРМ интернет-трафик и телефонные разговоры пользователей



Ищете, где скачать бесплатные программы?

Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
Все рубрики статей (2237 / 93):


Программы для Windows | Приложения для Android | Приложения для iPhone | Программы для Linux
Статистика | Рейтинги | Авторам | Рассылки
Copyright © 1999-2024 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта