一張“魚骨圖”了解加密流量檢測產品
由中國網絡安全產業聯盟(CCIA)主辦的“2021年網絡安全優秀創新成果大賽”總決賽在國家網絡安全宣傳周期間舉辦,觀成科技憑借創新產品“觀成瞰云-加密威脅智能檢測系統(ENS)”榮獲一等獎。產品的技術創新性、領先性和實用性吸引了在座的專家評委及現場觀眾,其獨創的“魚骨圖”加密流量檢測設計更是點睛之筆。我們通過“魚骨圖”一起來探索觀成瞰云-加密威脅智能檢測系統(ENS)的獨特之處。
觀成瞰云-加密威脅智能檢測系統(ENS)綜合運用人工智能和行為檢測、規則檢測、指紋檢測等安全檢測技術,解決了惡意加密流量檢測難題。但在早期產品應用過程中,因系統綜合決策體系復雜、涉及因素繁多,也給檢測結果的可解釋性造成了一定挑戰。如何將復雜的決策過程形象的進行體現,讓用戶能一眼看明白加密流量檢測的因素、結果?觀成科技經過不斷的探索,最終形成了加密流量檢測“魚骨圖”來解決上面的問題。
“魚骨圖”介紹
“魚骨圖”用于呈現加密流量的報警情況,分為魚尾、魚刺及魚頭三部分。其中魚尾部分用于呈現加密握手協商模型的檢測結果;魚刺部分用于呈現通信實體間(IP對)單次會話和多次會話的行為特征;魚頭由三部分組成,分別呈現背景流量、證書以及關聯DNS等3個模型的檢測結果。“魚骨圖”不同部分分別對應產品的各種檢測模型、檢測方法。每種檢測模型的檢測結果為0-1之間的預測值,數字越大表示異常等級越高。在“魚骨圖”中用不同的顏色表示異常的等級,分別是綠色(正常 得分小于0.5)、黃色(可疑 得分在0.5-0.7之間)、橙色(異常 得分在0.7-0.9之間)、紅色(嚴重 得分大于0.9)。
除“魚骨圖”的圖形本身之外,在魚骨圖上方的醒目位置,觀成瞰云(ENS)將系統綜合決策評分和威脅標簽進行呈現,讓用戶對檢測結果和威脅類型一目了然。在“魚骨圖”的左右兩側和下方,分別對加密握手協商、加密協議證書、單流和多流行為參數、DNS/HTTP等背景流量的關鍵參數進行展示,豐富的信息量有助于客戶直接深入了解加密流量性質、類型。
“魚骨圖”檢測舉例
觀成瞰云(ENS)對不同的加密流量進行檢測,在魚骨圖中會呈現不同的效果。我們簡單列舉以下幾種類型:
1、正常加密流量檢測結果
使用熱門瀏覽器訪問正常HTTPS網站流量的檢測結果如上圖所示。從圖中分析,客戶端、服務端、DNS、證書的檢測評分都比較低,魚頭和魚尾均顯示綠色。單流和多流行為檢測呈現一定的隨機性,因此得分也比較低。最終系統決策結果評分0.31,威脅標簽為空。
2、APT流量檢測結果:響尾蛇
上圖是“響尾蛇”APT組織加密檢測結果。從圖中可以看到,與正常加密流量相比,無論是客戶端、服務端、證書還是DNS,觀成瞰云(ENS)的各種模型得分均有顯著提高,體現模型輸出的魚尾、魚頭部分也變成了橙色、紅色。從魚刺方面看,能看到典型的上下行載荷、包數相同的情況,這與正常上網瀏覽的行為存在顯著不同,因此流量特征報警也給出了0.92的分數。經系統綜合決策,最終評分為0.77,通過規則、行為的匹配分析,系統發現該流量為響尾蛇APT組織流量,并打上了相應的威脅標簽。
3、APT流量檢測結果:海蓮花
除TLS加密流量外,觀成瞰云(ENS)也支持對利用DNS等協議進行隱蔽隧道傳輸的惡意流量。上圖是APT組織“海蓮花”使用的木馬家族“Denis”隧道流量檢測結果。該木馬利用DNS的A記錄、NS記錄進行心跳和信息回傳,從“魚骨圖”中可清晰看出隱蔽隧道中的心跳行為。系統綜合決策得分為0.97,威脅標簽為Denis。
4、黑客工具檢測結果:Cobalt Strike
Cobalt Strike是近年紅隊常用的滲透平臺。上圖是系統針對Cobalt Strike產生的TLS命令控制流量的檢測結果。從圖中分析,系統對該流量的握手協商、證書和單流、多流行為均進行了告警,綜合評分為0.93,威脅標簽為Cobalt Strike。
5、傳統木馬檢測結果:Upatre
Upatre家族為第一階段的木馬家族,主要是下載木馬進行第二階段的攻擊。一般下載者流量在“魚骨圖”整體上載荷不會太大,且下行流量大于上行。在圖中可以看到,系統對Upatre的加密握手協商、證書的流行為進行了告警,綜合得分為0.98,威脅標簽為Upatre。
6、隱蔽隧道檢測結果:DNS隧道
DNS隱蔽隧道黑客入侵、命令回傳常用的方式之一。上圖是利用Cobalt Strike搭建DNS隧道通信流量的檢測結果。從上圖分析,該流量利用DNS的A記錄傳輸信息,在短時間內進行了大量DNS請求/響應交互,這一點在魚刺部分的體現非常直觀。最終系統綜合AI、規則和行為檢測結果,判定為Cobalt Strike產生的DNS隧道流量。
“魚骨圖”的“大道至簡”
觀成瞰云(ENS)綜合使用了人工智能多模型檢測,輔之以規則檢測、行為檢測、指紋檢測等傳統檢測方法,實現對惡意加密流量檢測。雖然加密流量檢測體系復雜、因素繁多,但是并沒有影響觀成瞰云(ENS)產品向用戶闡述決策過程。我們相信智慧是認識事物本實這一道理,引導我們透過現象觀察到事物本身的目的和內在的聯系,堅持“用最簡單的呈現解釋最復雜的檢測”的“大道至簡”設計原則,用一張“魚骨圖”融合多個引擎檢測、規則檢測、行為檢測結果,結合豐富的信息呈現,完美解決了加密流量檢測結果可解釋性的問題。
觀成瞰云(ENS)簡介
觀成瞰云-加密威脅智能檢測系統(ENS)是觀成科技將人工智能與安全檢測技術相結合的創新型安全產品,可針對惡意軟件、黑客工具、非法應用等加密威脅進行有效檢測。該產品為觀成科技自主研發、具有完整的知識產權,解決了惡意加密流量檢測難題,填補了市場和技術空白。
除了獨創的“魚骨圖”加密流量檢測吸引了大家的眼球,觀成瞰云(ENS)的其他創新點也不容忽視:
1. 細粒度加密流量特征工程構建技術;
2. 惡意加密多流行為特征挖掘分析技術;
3. 面向攻防演練常見下的黑客工具加密流量識別技術;
4. 面向加密類高級威脅檢測分析技術。
與此同時,觀成瞰云(ENS)還具有使用加密通信的惡意軟件檢測、使用加密通信的黑客工具檢測、使用加密通信的非法應用檢測、未知和新型加密威脅檢測等功能。
