加密流量检测的中场战事|星科技•泛安全

人气：297

发表时间：2022-06-23

前沿科技

泛安全

在网络安全领域的攻防对抗日益激烈、加密手段逐渐成为主流的今天，攻防演练场景中的加密流量检测技术变得愈发重要。目前，针对攻防演练场景中的加密流量检测主要分为解密后检测和不解密检测两大类，后者逐渐受到业界重视。

加密威胁的发展趋势

恶意加密流量、基于加密通信的攻击行为，近几年被越来越多的行业客户关注，国内外的安全厂商、研究机构也纷纷入场开始研究、探索检测方案和产品化应用。实际上这类加密威胁不是一种新型的威胁，也谈不上未知威胁。

加密威胁的发展历史，可以总结归纳为三个阶段：

早期顶级APT组织的应用

目前跟踪到最早使用加密通信技术的恶意家族，大概是20年前左右的某APT组织，并且加密的技巧较为复杂，这种加密技术放在当前，也能绕过绝大多数流量安全产品。

部分威胁逐步应用

从研究分析的情况来看，至少在10年前就有一批APT组织、攻击组织开始逐步转向加密通信，不过这个阶段的加密通信大多没有经过精密设计，还比较粗糙。

大规模威胁的应用

从近三年来看，由于流量安全检测、大数据分析等技术的发展，基于明文通信的恶意流量越来越难逃监管，大量的威胁都开始逐步转向加密通信，除了顶级APT组织，实力弱一些的APT组织也基本转向加密通信；二是一些僵尸网络、勒索软件和常见木马病毒，也开始逐步使用加密通信；三是大量攻防工具、黑客工具也纷纷支持加密通信，在攻防演练场景下，使用加密通信进行隐蔽传输也成了常态。

观成科技认为，基于加密通信的威胁检测固然是一个比较难的课题，但只要对威胁有足够深的理解和认识，综合多种技术方法，绝大多数都能找到解决方案。不过还存在多种加密威胁，并且很有可能是未来威胁加密化的演进趋势，需要不断攻研才能找到较好的应对方案。

一是构思精密的加密方式设计。目前跟踪的少量顶级威胁在加密环节设计极其精密，具备较强的密码基础和工程化能力，是当前高级威胁对抗的难题之一。

二是大量的加密中转利用。目前有部分威胁利用公有云、社交软件、加密邮件等进行中转通信，这种加密应用给检测研究带来了极大挑战，也是威胁加密化的趋势之一。

三是利用各类协议建立的加密隧道。近几年利用TCP/UDP/HTTP等协议加密隧道的威胁越来越多（理论上任何协议的上层都可以构建加密隧道），已成为高级威胁选择的一个必然趋势之一。

四是TLS1.3的普及和应用。目前TLS1.3还未全面普及，所以威胁选用这种版本的不多，但一旦TLS1.3全面普及，一定会成为大量威胁选择隐蔽通信的方式之一，届时又会带来新的挑战。

攻防演练场景中的加密流量检测

在对抗日益激烈、加密手段逐渐成为主流的今天，攻防演练场景中的加密流量检测技术变得愈发重要。目前针对攻防演练场景中的加密流量检测主要分为解密后检测和不解密检测两大类，传统的解密检测拥有可以直接将加密流量转化为明文后采用完善的传统手段继续检测的优势，但也有诸如性能耗损、隐私泄露以及可以解密的流量有限等缺点，基于上述问题，不解密检测的方法逐渐受到业界重视。

观成科技是一家致力于以守护加密网络空间安全为使命、以加密流量检测为核心技术的创新型网络安全公司，目前已推出三款核心产品：瞰云-加密威胁智能检测系统（ENS）、瞰影-加密业务监控分析系统（ENA）、瞰星-密码安全评估系统（ENA）。

观成科技认为，攻防演练场景下的加密流量可以分为入联、横向、出联等三个大的类别：

1、入联加密威胁

渗透阶段

在渗透过程中，加密流量多来自对暴露在公网上资产的扫描探测与暴力破解。这部分涉及到的主流加密协议主要有HTTPS(TLS)、RDP、SSH等，一套可行的方法是通过计算TLS、RDP、SSH等协议中每一组IP对在一个时间区间内时间与空间分布的平均值、标准差等属性，结合特定数学模型进行验证，初步判断这些流量在行为特征上是否可能存在漏洞扫描、暴力破解等攻击行为。行为符合的流量作为可疑流量，再结合事先搜集、研究、整理得到的工具静态特征、协议指纹进行二次判断，确定此次是否为攻击与攻击使用工具的具体的家族信息。

后渗透阶段

在渗透阶段getshell之后，会有一系列持久化预置的动作，例如上传Webshell、正向代理等后门，从不解密加密流量检测的视角看，这一类问题的本质都是对Web服务等业务主机不合常规的访问，所以涉及的加密协议也以HTTPS(TLS)为主。

2、横向加密威胁

渗透阶段

横向渗透阶段，主要为已经进入内网后针对内网资产加密服务的扫描探测等，与入联阶段大部分相同，检测思路类似，但是由于内网渗透使用的工具与外网渗透有所不同，并且内网中的网络环境更为复杂，很可能有许多行为与扫描暴破类似的正常业务流量，所以要在二次判断上更加严格，否则就会产生海量误报。

3、出联威胁

加密远控木马

一次完整的攻击很大概率会以最终的远控木马上线进行收尾，而在加密流量的领域，传统方法使用的字符串特征与各种匹配规则都不再奏效，而且与渗透阶段使用的工具类型比较集中完全相反，远控木马的种类极多，可以说是千变万化各不相同。很难做到获得大多数家族的特征，且本身这个所谓的特征大部分时候人眼看不出来，所以观成科技选择了人工智能机器学习为主结合特征、行为和指纹的综合决策方法来解决这个问题。

加密隐蔽隧道

此处加密隐蔽隧道特指依托于不以加密通信为设计目的的常见标准协议之上，并自行设计加密方式通信的技术，严格来讲这种流量会出现在各个阶段。隐蔽隧道可能依托的协议分布于网络层、传输层、应用层等各个层面，设计协议也很广，常见的有TCP、UDP、HTTP、ICMP、DNS等协议。

观成科技综合利用多模型机器学习、指纹检测、特征检测、行为检测、统计检测等方法，对各种不同类型的加密流量进行有针对性的检测，在实战中对各类加密威胁、黑客工具等流量达成了较好的检出效果。检测技术简要架构如下图所示：

在上述检测方法中，都涉及到对攻防演练场景下大量黑客工具、木马等恶意软件本身的分析与特征规律的研究整理，这本身就是加密流量检测中除检测思路之外最重要也是最艰巨的步骤。攻防演练场景下加密流量增加的趋势不会改变，目前针对各类标准或非标准加密流量，观成科技进行了系统化对抗检测。

国内厂商稳步“爬坡”

安全牛曾采访观成科技联合创始人于海东，介绍了在不解密的情况下，加密流量检测技术如何对传输过程的数据进行检测。

观成科技联合创始人于海东是安全分析实战专家、CCIA技术专家库专家及CCIA理事单位代表。曾在两家安全公司负责逆向分析、安全分析、应急响应等工作，并带队参与数十起重大安全事件进行应急响应，服务过上百家重要行业客户。2015年至2019年期间，独立打造多套完整的加密流量检测、逆向分析培训课程体系，广受行业用户好评。

于海东表示，基于观成科技的实际经验，加密流量检测技术的实现可以概括为四个维度，即握手特征、证书特征、背景流量特征和行为特征。

第一个维度：握手特征

SSL客户端和服务端在协商阶段，所暴露出的特征，就称为握手特征。举例来说，当普通用户通过浏览器等正常应用，木马病毒通过其他非法应用访问某特定网站时，尽管其最终访问目标对象相同，但其握手特征差异迥然，这些特征直接反应了：访问者所用应用程序使用了哪种实现方式、用到了哪些底层库、用到了哪些函数、使用了哪些参数等等，握手特征能够很好的反映出应用程序的客观情况。

第二个维度：证书特征

这里的证书特征是指服务端IP地址上所部署的证书情况，具体包括该证书是否经过校验、证书的有效期、由谁签发、签发者的历史信誉度等详细信息，这些特征能够很好的反映出服务端的一些情况。

第三个维度：背景流量

背景流量是指用户访问的服务端上的IP地址，是否存在其他的关联流量，比如DNS域名就是服务端IP的一个背景流量。

第四个维度：行为特征

也称为时空特征。主要体现在用户上网的行为上，比如用户在上传数据的时候，就会出现连续的上行流量包，且这些流量包之间的间隔都很短；类似的，用户在下载时会出现连续的下行流量包，这些包和包之间的间隔也同样很短，这是正常用户上网时进行某些操作时所显现出的正常行为特征。同样的，恶意程序下发命令或心跳包时，也会有出现一些行为特征，这些特征与正常的上网行为是明显不同的。

总的来说，加密流量检测技术就是在不清楚流量明文内容的情况下，以上述四个维度为突破口，通过这些特征及行为来进行风险检测和审计，从而在非解密的情况下识别、判断出哪些加密流量是正常的，哪些是恶意的，这是加密流量检测技术的整体思路。

于海东对安全牛表示，目前，观成科技面对的主要是监管类用户，因为这类用户对加密类APT发现和检测的需求更高，但是近两年，政企客户也逐渐增多，并且这类客户很多是在遭到加密流量威胁攻击后，主动提出需要相关的检测技术支持，这也从侧面证明了行业整体对于该项技术的需求越来越迫切。同时在攻击角度来说，有越来越多的攻击类型都是基于加密的恶意流量进行的，因此加密流量威胁检测技术未来肯定拥有广阔的发展空间和市场前景。

但于海东认为，现阶段，加密流量威胁检测技术在国内暂时还处于爬升期。

对于安全厂商来说，技术发展难点主要体现在两方面。一是加密威胁的对抗愈加激烈；二是工程化，加密流量检测属于新的领域方向，如何将产品的可解释性、易用性、合理性做得更好，也是安全厂商需要持续努力的目标。

对此，要更加深入了解威胁、深入了解客户的业务出发，并在此基础之上，借助AI、机器学习等新兴技术手段，加强对检测结果的深入分析能力，降低用户的综合使用门槛，提升安全检测效果。

参考来源

https://mp.weixin.qq.com/s/iqPipA6jkg1MH2671hBBPA

END

相关阅读