安全運營中的加密流量檢測技術

一. 背景介紹

隨著加密技術的廣泛應用以及數據隱私安全要求的增加，加密流量呈現爆炸式增長。根據谷歌最新的透明度報告，互聯網排名前100位的網站100%支持HTTPS加密，其中97%默認采用HTTPS加密。雖然加密技術保護了用戶的隱私，但技術的濫用也深刻地改變了網絡安全的格局，不僅使得網絡欺詐和非法在線交易變得更容易，同時黑客也更容易逃避對勒索軟件、網絡釣魚和數據泄露的檢測。根據WatchGuard的一項互聯網研究報告，有91.5%的惡意軟件被檢測到使用HTTPS協議進行加密傳輸。這意味著那些沒有檢測系統來解密和掃描HTTPS流量中惡意軟件的公司將會忽略超過百分之九十的惡意軟件威脅。Zscaler安全威脅實驗室近期發布的另一項研究報告也聲稱，截至2023年10月，全球勒索軟件攻擊數量同比增長37.75%，勒索軟件的有效攻擊載荷激增了57.50%。

二. 惡意加密流量類型

在真實攻防場景中，攻擊者在目標信息獲取、權限獲取、訪問和控制維持等惡意活動中會產生各種不同類型的加密流量，主要集中在以下三種場景：

1.惡意代碼為逃避安全產品和安全運維人員的檢測，通常使用加密通信進行偽裝或隱藏明文流量特征。

2. 加密通道中的惡意攻擊行為，主要是指攻擊者利用已創建好的加密通道進行惡意嗅探、暴力破解等攻擊行為。

3. 惡意或非法加密應用，主要是指使用加密通信的一些惡意、非法應用，如：Tor、翻墻軟件、非法VPN等。

三. 加密流量檢測方法

傳統的流量檢測技術例如基于有效載荷的深度數據包檢查（DPI）方法，以及基于端口的識別檢測技術在加密的惡意流量面前往往無能為力。因此在安全運營中研究出一套基于加密流量的檢測和防御技術勢在必行，目前加密流量檢測的方法可分為兩類。第一種主動檢測方法是通過證書解密獲取純文本，從而進行DPI或規則匹配的方式來檢測流量。第二種是基于惡意流量行為模式構建加密流量特征集，利用諸如機器學習等非解密方法來檢測和識別加密流量。由于加密流量設計初衷以及被廣泛使用的原因都是基于保護用戶隱私，且證書解密的主動檢測方法非常消耗硬件性能，因此目前的主流研究方向是在非解密的情況下進行加密流量檢測。

基于非解密的加密流量檢測和識別主要依靠機器學習技術。隨著人工智能技術的發展，機器學習（ML）和深度學習（DL）已經被引入到加密流量檢測領域。機器學習是人工智能（AI）和計算機科學的一個分支，計算機使用算法從數據中學習，完成預測或分類任務而無需被明確地編程。深度學習又是機器學習的一個專門的子集，它將算法和計算單元或神經元分層來實現人工神經網絡。深度學習使用了基于人腦模型的復雜算法結構，這使得處理如圖像、自然語言處理和情緒分析等非結構化數據成為可能。目前，對惡意加密流量檢測的研究主要集中在特征提取和機器學習及深度學習算法的選擇上。

目前業內非解密方案（機器學習）普遍維度特征較少，且一般都在內部環境訓練，從而導致真實場景下誤報較高；JA3指紋或是攻擊工具規則都需要時間積累，沒有好的AI模型輔助，很難出現量化的成果積累；而針對攻擊性更強更隱蔽的魔改或者非公開工具的專項AI模型檢測也呈匱乏之勢，且由于攻防實時對抗，除了構建模型以外還需要投入大量人力在模型優化上，導致AI模型還有時效性限制。

四. 綠盟加密流量檢測方案

綠盟科技針對傳統加密流量安全方案的問題，通過深入研究，應用機器學習算法，針對旁路鏡像流量，通過數據處理、特征工程、模型訓練、情報融合等手段，提供可落地的加密流量檢測與識別方案，進行真實環境訓練、專業比賽演練，解決不解密進行加密流量檢測的問題。不僅針對不同加密流量威脅檢測場景進行AI模型構建，更是利用SecXOps（SecXOps是一款自研的針對網絡安全數據進行建模分析，并提供各類模型全生命周期管理的平臺）進行云端模型持續運營優化，提高模型運營效率，杜絕“一次性模型”，保證持續投入，緊隨攻防對抗實時動態。具備高精度、高性能的特點，同時支持多個應用場景，可精確識別Tor、shadowsocks、v2ray等加密代理工具，以及冰蝎、哥斯拉、蟻劍等加密webshell黑客工具。

圖1 綠盟加密流量檢測方案技術路線圖

綠盟惡意流量檢測方案不僅僅停留于TLS解密，更是通過模型特征、規則、指紋等不解密手段，將大量加密攻擊工具一網打盡。以下是三大核心能力介紹：

1、規則檢測能力

綠盟惡意加密流量檢測方案支持150+加密攻擊工具檢測，覆蓋加密威脅全場景，重點針對失陷后的加密攻擊檢測（webshell、木馬回聯、反彈shell、代理、隱蔽隧道等）。

圖2 綠盟加密流量檢測方案規則能力

2、指紋檢測能力

針對常見工具，通過指紋庫深度覆蓋各種版本和安裝環境，例如Cobalt Strike指紋庫超過300種。Cobalt Strike是熟知的滲透測試利器，功能十分強大，可擴展性強，從前期載荷生成、誘餌捆綁、釣魚攻擊到載荷植入目標成功后的持續控制、后滲透階段都可以很好支持，幾乎覆蓋攻擊鏈的各個階段。并且支持多種上線方式，以及多種豐富的配置可以達到非常好的隱蔽效果。CS teamserver團隊服務器又可以使眾多CS客戶端連上它，以進行團隊協作。如此優秀的滲透測試框架自然得到了眾多黑客和APT組織的青睞，紛紛應用到真實攻擊活動中。綠盟全流量威脅檢測系統UTS內置300+CS指紋，其檢測能力毋庸置疑。

圖3 綠盟加密流量檢測方案指紋能力

3、模型檢測能力

綠盟科技657-AI模型對海量加密流量數據集合(實驗室各類翻墻工具搭建，長時間翻墻流量捕獲、以及在各個渠道收集的翻墻工具加密webshell流量)進行特征提取(多達657維)，通過高質量樣本的訓練提高模型的準確性和泛化能力并提取多維豐富特征，提升模型非線性表達能力，采用異常值剔除，數據標準化等處理，增強模型的魯棒性；同時綠盟全流量威脅檢測系統UTS為充分利用不同模型在不同場景檢測的優勢，通過多模型融合，減少單模型的局限性提高整體的準確性和魯棒性。最后為了應對生產環境中新業務上線和業務場景的不斷變化等情況導致的模型性能下降的問題，基于安全智能分析平臺SecXOps進行迭代更新，減少模型優化升級過程，降低成本，提高模型運營效率，面對非公開或者魔改工具等準確率大大提升。

圖4 綠盟加密流量檢測方案模型能力

五. 總結

近年來加密流量在攻防對抗中的使用頻率越來越高，針對攻防演練場景下的加密流量威脅，特別是資產失陷后的加密C&C通信的檢測，可以說是守護企業安全運營的最后一道防線。綠盟科技多年來專注于加密流量威脅檢測技術研究，形成了一套綜合利用多模型機器學習、指紋檢測、行為檢測、加密威脅情報的解決方案，對各種不同類型的加密威脅進行有針對性的檢測。在2023年的攻防演練中，綠盟科技多次獨家發現加密隱蔽隧道攻擊，發現失陷主機并溯源到攻擊者，做到及時發現，及時預警，為客戶最大程度減少損失做出貢獻。