入侵檢測如何處理加密流量

當入侵檢測系統檢測到加密流量后會通過基于負載隨機性檢測的方法、基于有效負載的分類方法、基于數據包分布的分類方法、基于機器學習的分類方法、基于主機行為的分類方法，以及多種策略相結合的混合方法對加密流量進行識別來確定里面沒有木馬或者病毒，因為目前加密能夠像隱藏其他信息一樣隱藏惡意流量所以入侵檢測會對加密流量進行識別以檢測。

入侵檢測系統識別加密流量：

• 加密與未加密流量，識別出哪些流量屬于加密的，剩余則是未加密的；

• 識別加密流量所采用的加密協議，如 QUIC，SSL，SSH，IPSec；

• 識別流量所屬的應用程序，如Skype，Bittorrent和YouTube。這些應用還可以進一步精細化分類，如Skype可以分為即時消息，語音通話，視頻通話和文件傳輸；

• 識別加密流量所屬的服務類型，如網頁瀏覽，流媒體，即時通訊，網絡存儲；

• 識別HTTPS協議下的網頁瀏覽，如 Facebook，YouTube，谷歌搜索，淘寶網，鳳凰網或中國銀行等；

• 異常流量識別就是識別出 DDoS，APT，Botnet 等惡意流量；

• 內容參數識別就是對應用流量從內容參數上進一步分類，如視頻清晰度，圖片格式。

回答所涉及的環境：聯想天逸510S、Windows 10。