隨著金融數(shù)字化轉(zhuǎn)型的快速發(fā)展，網(wǎng)絡(luò)攻擊持續(xù)復(fù)雜化，從企業(yè)自身數(shù)字化轉(zhuǎn)型到支撐國家數(shù)字化發(fā)展過程中，一部分防護(hù)較為薄弱的金融關(guān)鍵信息基礎(chǔ)設(shè)施暴露在互聯(lián)網(wǎng)環(huán)境，正在成為網(wǎng)絡(luò)攻擊的重點目標(biāo)。一方面，《網(wǎng)絡(luò)安全法》《密碼法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等政策法規(guī)對數(shù)據(jù)安全的相關(guān)要求，推升了加密技術(shù)在金融關(guān)鍵業(yè)務(wù)中的應(yīng)用比例；另一方面，隨著攻防雙方對抗不斷升級，為逃避傳統(tǒng)安全設(shè)備對攻擊行為的檢測，一些惡意軟件或攻擊行為轉(zhuǎn)為加密通信混雜在正常業(yè)務(wù)數(shù)據(jù)中。加密技術(shù)在提升數(shù)據(jù)安全性和隱私性的同時也為安全檢測帶來了新的挑戰(zhàn)。本文主要介紹加密流量安全檢測技術(shù)。

1.常見加密流量類型和面臨主要威脅

加密流量是使用加密協(xié)議進(jìn)行數(shù)據(jù)通信和傳輸而產(chǎn)生的網(wǎng)絡(luò)流量。加密流量可分為標(biāo)準(zhǔn)加密協(xié)議流量和隱蔽隧道流量兩類，常見的標(biāo)準(zhǔn)加密協(xié)議有提供加密通信的SSL/TLS協(xié)議、用于Web瀏覽器和Web服務(wù)器通信的HTTPS協(xié)議、支持電子郵件加密傳輸?shù)腟MTPS和POP3S等；隱蔽隧道指將其它協(xié)議封裝在常見的網(wǎng)絡(luò)協(xié)議中建立通信用于命令控制或數(shù)據(jù)泄露，如DNS隧道、ICMP隧道、HTTP隧道等。

加密流量中常見的威脅行為有數(shù)據(jù)泄露、惡意軟件傳播、命令控制。標(biāo)準(zhǔn)加密協(xié)議在保護(hù)數(shù)據(jù)傳輸和通信的同時，因加密流量難以被監(jiān)控或攔截，也可用于隱藏敏感數(shù)據(jù)泄露行為；而惡意軟件或高級威脅攻擊行為使用加密通信的情況也越來越普遍，并且加密協(xié)議或種類趨向多樣化，加密流量成為“藏污納垢”的“有效”通道。

2.加密流量采集和處理

    隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，流量威脅檢測已成為各行各業(yè)縱深防御體系中不可缺少的一環(huán)。通過網(wǎng)絡(luò)流量發(fā)現(xiàn)和分析威脅攻擊行為一般分為三個環(huán)節(jié)：流量采集、流量處理和檢測分析。下面介紹流量采集和流量處理的工作內(nèi)容。

圖1 加密流量威脅檢測過程

（一）流量采集

    為盡可能降低對業(yè)務(wù)的影響，流量采集類設(shè)備在網(wǎng)絡(luò)結(jié)構(gòu)中一般采用旁路監(jiān)聽模式部署，通過交換機(jī)與網(wǎng)絡(luò)設(shè)備鏡像功能，捕獲分析網(wǎng)絡(luò)交換機(jī)進(jìn)出口鏡像流量，完成流量采集。

（二）流量處理

    網(wǎng)絡(luò)流量的協(xié)議識別和特征提取是加密流量檢測的首要任務(wù)，主要包括鏈路層協(xié)議的識別與解封裝、IP分片數(shù)據(jù)和TCP分片數(shù)據(jù)的重組、網(wǎng)絡(luò)層和應(yīng)用層常見協(xié)議的識別、明文流量的識別。在協(xié)議識別和深度解析的基礎(chǔ)上，提取應(yīng)用報文和各類元數(shù)據(jù)。主要的元數(shù)據(jù)包括：協(xié)議字段（協(xié)議五元組信息、加密算法、HASH算法、密碼參數(shù)等）、統(tǒng)計信息（會話上行包數(shù)、下行包數(shù)、上行載荷總量、下行載荷總量）。此外，運營日志在分析中至關(guān)重要：ICMP日志、TELNET日志、DNS日志、HTTP日志、SMTP日志、RDP日志等常見通信協(xié)議數(shù)據(jù)。

3.加密流量威脅檢測

    由于隱私保護(hù)相關(guān)法律法規(guī)的限制以及加密攻擊手段的升級，不同于依賴明文規(guī)則和明文特征的傳統(tǒng)流量檢測方法，目前業(yè)界主要使用不解密流量的方法分析加密流量中是否存在惡意攻擊行為。主要的檢測技術(shù)有指紋法、行為分析和機(jī)器學(xué)習(xí)。

（一）指紋法

    TLS協(xié)議可以分為兩個階段：握手階段和數(shù)據(jù)傳輸階段。握手階段的目的是通信雙方約定在數(shù)據(jù)傳輸階段使用的加解密算法及密鑰，這些消息都以明文形式發(fā)送。通過對這些未加密信息提取指紋信息，與指紋庫中的惡意流量指紋進(jìn)行比對來識別惡意流量。TLS握手過程如下，啟動TLS會話時，客戶端發(fā)送ClientHello數(shù)據(jù)包，數(shù)據(jù)包包含客戶端支持的TLS協(xié)議版本以及加密算法等信息。

圖2 TLS握手過程示意圖

    在指紋檢測法中，JA3指紋是比較常見的一種方式，主要用來識別SSL/TLS客戶端。它基于客戶端與服務(wù)端TLS握手過程的參數(shù)來生成獨特的標(biāo)識，用于識別和分類不同的客戶端。例如抓取win10系統(tǒng)使用burpsuite_v2.0工具測試掃描產(chǎn)生的數(shù)據(jù)包，分析數(shù)據(jù)包中的客戶端JA3指紋，發(fā)現(xiàn)此JA3指紋是固定的，通過與指紋庫中的指紋信息進(jìn)行匹配來識別測試工具。

圖3 burpsuite_v2.0_win10 JA3指紋

（二）行為分析

    行為分析指通過分析通信流量中客戶端/服務(wù)端的交互方式、交互數(shù)據(jù)量、交互時間等方面存在的固定特點尋找流量數(shù)據(jù)的相似性和相關(guān)性，進(jìn)行特征提取，構(gòu)建惡意家族的行為檢測模型，進(jìn)而實現(xiàn)對惡意加密流量的檢測。

    以TLS協(xié)議為例，TLS協(xié)議承載的正常應(yīng)用層會話（如HTTP會話），對于每個請求和響應(yīng)，其客戶端/服務(wù)端交互方式、交互數(shù)據(jù)量、交互時間等都會有一定的行為方面的差別。通過分析遠(yuǎn)控木馬的業(yè)務(wù)類型，發(fā)現(xiàn)其行為基本不會脫離激活、上線、下發(fā)、回傳、心跳，因此在客戶端/服務(wù)端的交互方式、交互數(shù)據(jù)量、交互時間等方面都會有固定的特點。這些特點反映在TLS協(xié)議的加密數(shù)據(jù)交互，即Application Data消息（以下簡稱APPDATA）階段。行為檢測模型可從單流和多流兩個角度進(jìn)行：

?單流行為特征：單流行為從APPDATA交互階段獲取三類信息，一是方向信息，即數(shù)據(jù)包是上行還是下行；二是大小信息，即APPDATA消息載荷的長度；三是時間信息，即APPDATA消息到達(dá)的時間間隔。

?多流行為特征：僅從單流層面考察，有時候并不能反應(yīng)惡意家族的行為全貌。因此需要提取TLS多流行為特征，表現(xiàn)惡意家族多次會話行為上的特征。多流行為特征主要可分為三類：時間特征、長度特征、數(shù)量特征。時間特征主要包括多次會話持續(xù)時間、多次會話之間的間隔信息等；長度特征主要包括多次會話中每個會話上行流量、下行流量、總流量的大小等；數(shù)量特征主要包括多次會話中每個會話的上行包數(shù)、下行包數(shù)、總包數(shù)等。

    以CobaltStrike（簡稱CS）為例，CS是一款綜合滲透工具，因其功能強大在攻防演練中被廣泛使用。CS交互行為經(jīng)歷上線、響應(yīng)、心跳、下發(fā)和回傳幾個階段。通過對心跳會話間隔等時間特征、請求體與響應(yīng)體等長度特征構(gòu)建行為檢測模型識別心跳、下發(fā)指令、數(shù)據(jù)回傳、心跳等惡意交互行為，對CS攻擊行為進(jìn)行檢測。

圖4 CS執(zhí)行過程及檢測結(jié)果

（三）機(jī)器學(xué)習(xí)

    機(jī)器學(xué)習(xí)檢測技術(shù)主要是基于以專家領(lǐng)域知識為基礎(chǔ)的特征提取和深度學(xué)習(xí)特征提取技術(shù)，采用隨機(jī)森林、一維卷積神經(jīng)網(wǎng)絡(luò)、LSTM等學(xué)習(xí)方法，對加密流量中的惡意威脅行為進(jìn)行檢測。

    在利用機(jī)器學(xué)習(xí)算法檢測的技術(shù)路線中，通過對加密流量進(jìn)行深度分析，將加密流量所能提取的特征相對獨立的分為：時空特征、握手特征、證書特征、背景流量特征，分別構(gòu)建和訓(xùn)練單獨的子模型進(jìn)行檢測。不同類型的加密流量，根據(jù)所包含的信息，調(diào)用不同子模型進(jìn)行預(yù)測，最終在子模型輸出基礎(chǔ)上，再進(jìn)行加權(quán)平均得到最終預(yù)測結(jié)果，從而識別加密威脅。

    時空特征指與協(xié)議無關(guān)的流特征，例如數(shù)據(jù)包的個數(shù)、數(shù)據(jù)包的大小、數(shù)據(jù)包到達(dá)時間、上下行包長、上下行包到達(dá)時間等；握手特征指客戶端與服務(wù)端發(fā)起加密會話后的密鑰協(xié)商過程特征，例如密碼套件、協(xié)議版本、支持的擴(kuò)展項等；證書特征指服務(wù)端提供的加密會話證書特征，例如證書鏈長度、使用者正常度、證書頒發(fā)者、證書有效期等；背景流量特征指客戶端和服務(wù)端在加密會話過程中所關(guān)聯(lián)的DNS、HTTP等其他協(xié)議元數(shù)據(jù)和基于這些元數(shù)據(jù)計算得出的特征。

圖5 機(jī)器學(xué)習(xí)檢測模型及示例

總結(jié)與展望

盡管采用不解密的技術(shù)手段對惡意加密流量的檢測已經(jīng)取得了一定的效果，但是在日常安全監(jiān)測中仍然存在誤報問題，對惡意流量識別的精準(zhǔn)率仍需進(jìn)一步提升。因此G行將緊跟前沿技術(shù)，不斷優(yōu)化流量檢測模型，提升對惡意威脅識別的準(zhǔn)確度；同時推進(jìn)加密流量檢測與現(xiàn)有網(wǎng)絡(luò)安全防御體系其它部分的聯(lián)動協(xié)同，實現(xiàn)對網(wǎng)絡(luò)威脅的感知和有效應(yīng)對。

作者：賈晶晶

微信圖片_20250308122810.jpg

    作為一名運維安全工程師，目前主要負(fù)責(zé)流量檢測設(shè)備的安全運維與威脅監(jiān)控分析。信息安全之路道長且阻，希望不斷提升自我能力，致力于成為一名合格的信息安全運營工作者。

編輯：趙星源

圖片

     業(yè)精于勤，荒于嬉；行成于思，毀于隨。新入行持續(xù)學(xué)習(xí)中的運維安全人，希望能給大家?guī)砀嗑饰恼隆?/p>