加密威胁检测:创新流量安全解决方案
作者:星期五, 五月 21, 20210

目前有超过一半的企业网络流量已经被加密了,加密流量中隐藏着大量的恶意流量。从监测分析的数据来看,每10个恶意程序中就有超过4个会使用加密通信,而像这样的使用加密通信的恶意程序每天新增的数量超过1000个。

传统的流量检测方法大多都是基于规则,或者对流量中提取的文件进行审计,可面对加密流量,这些检测方法将不再适用。不仅如此,面对变种恶意程序以及未知加密威胁则更是无能为力。像冰蝎、哥斯拉等这种WEBSHELL工具,在某些特定的场景下,还可以通过解密后再对其明文流量进行检测,但这种方案却无法有效应对加密通信的反弹马,无论是基于标准的SSL/TLS协议通信的,还是其他的加密通信类型。

如何在不解密的情况下发现恶意加密流量则成为了我们必须要面对的问题。本期发布牛品推荐第七期——观成科技:观成瞰云-智能威胁检测系统。

牛品推荐第七期

标签

加密威胁检测、恶意加密流量检测、未知威胁检测及防御、高级威胁检测及防御

用户痛点

1)流量都被加密了,到底有没有人在攻击我?

如基于SSL/TLS协议的扫描探测;加密类WEBSHELL工具如冰蝎、哥斯拉等;基于SSH、RDP等加密协议的暴力破解等。

2)每天有大量的外联加密流量,到底哪些是正常的?哪些是异常的?

超过60%的网络流量已经加密了,既有基于标准加密协议的通信如SSL/TLS,也有基于私有加密协议的通信。在这些加密的网络流量中,又隐藏着大量的恶意流量,如窃密类流量、木马命令控制类流量等等。

3)到底有哪些人在没有经过授权的情况下使用翻墙软件或者VPN?

当前的网络环境中,存在着大量的恶意或者非法的翻墙软件、VPN等。这类灰色应用如果不加以识别和管控,除了有潜在的信息泄露的风险外,还极有可能成为某些高级威胁信息传输的通道。

解决方案

加密威胁检测是一个体系化的问题,很难用单一的模型或者单一的方法来解决,不同的威胁类型,要有不同的解决方案。加密流量的内容虽然无法直接检测,但是可以从很多其他角度对加密流量进行分析,这些角度包括:

1)微观层面:两个通信主体间的单次加密会话特性;

2)中观层面:两个通信主体间的多次加密会话特性;

3)宏观层面:某固定时间段、固定网络中所有通信主体间的会话特性。

通过对微观、中观、宏观等特征进行提取、选择后,结合AI多模型、行为分析以及规则检测等,最终形成一整套针对恶意加密流量的检测体系。

观成瞰云-智能威胁检测系统充分利用人工智能优势特点,有效解决了在恶意加密流量检测的难题,弥补了市场和技术空白,可实现对恶意代码使用加密通信、加密通道中的恶意攻击行为、恶意或非法加密应用进行有效检测和防御。

产品总体技术架构如下:

观成瞰云-智能威胁检测系统主要技术架构由3大模块组成:加密通道攻击检测分析、使用加密通信的恶意软件&恶意应用检测分析、密数据挖掘分析。

加密通道攻击检测分析,主要是针对SSL、SSH、RDP等加密通道的攻击行为检测,检测方法包括:行为检测、规则检测、流签名检测、指纹检测、登录行为检测等。

使用加密通信的恶意软件&恶意应用检测分析,主要是针对使用加密通信的恶意软件、恶意应用进行检测和识别,检测方法包括:行为检测、AI多模型检测、规则检测等。

密数据挖掘分析,主要是针对网络中所有密数据进行深度挖掘、关联分析,包括对密数据的信息提取、特征提取、单流画像、多流画像,以及对SSL加密数据的基础识别、应用识别、分类识别和算法识别等。

用户反馈

某监管单位网络安全专家:

加密流量检测目前在国内大部分只是在科研阶段,发表一些文章而已。观成科技是属于最早能够落地的产品供应商之一。

某央企部门负责人:

在与观成科技开展合作时我们做了实际样本测试,有3家公司参与,观成的测试准确率误报率优于其他公司,所以我们选用了他们的产品。

某集团安全负责人:

观成科技的产品技术思路新颖,解决了其它产品无法解决的问题。目前在使用过程中,也发挥了较大的应用价值。

推荐理由

对于加密流量的威胁检测,传统的检测技术很难有效,技术门槛较高,国内在加密流量检测领域的形成产品化落地的厂商较少,观成科技目前申请的加密流量检测相关的国家发明专利已超过20篇,具备一定的技术能力;观成科技的加密流量检测方案在军工、网信、部委、央企等多个重要行业均有落地应用,仅2020年在现网中发现的加密类APT攻击事件已超过10起,实战效果突出。


相关文章