无需解密:在TLS加密连接中揭开恶意软件的面纱
作者: 日期:2016年07月14日 阅:2,889

思科一组研究员认为,TLS(传输层安全)隧道中的恶意流量可在不解密用户流量的情况下,被检测并封锁。

3

企业环境下,这可谓是个大好消息,因为当今的防护都依赖于终止加密来检查流量这种争议性的方法。

在文章中,几位研究员解释称,恶意软件会在TLS流中留下可识别的痕迹。

他们的研究涵盖了18类恶意软件的几千个样本,从某企业网络中捕获的数百万加密数据流中识别出了数万恶意流量。他们指出,这种检测可能只企业网络有效,而对诸如服务提供商之类的无效。

在研究人员数据集中的深度包检测,其主要应用是嗅探出客户端和服务器之间的联系消息,以及识别出TLS版本,而不是用户数据。

仅仅网络数据本身,就足以鉴别TLS流是否属于绝大多数恶意软件家族。甚至在不同恶意软件家族使用同样的TLS参数的情况下,通常也能经由“基于流的特征”而被鉴别出来。

这些特征包括:流元数据(输入输出的字节、包、网络端口号、流持续时间);包长度和时间的序列;字节分布;TLS头信息。

研究囊括的恶意软件家族有:bergat、Deshacop、Dridex、Dynamer、Kazy、Parite、Razy、Zedbot和Zusy等等。

研究人员认为,针对流分析的正确机器学习应用,让他们在单独加密流的恶意软件归属问题上拥有了90.3%的准确率,而在5分钟窗口时间对所有加密流的分析中达到了93.2%的准确率。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章