访谈嘉宾：于海东

记者：张安媛

分析师：沈飙

电影《黑客帝国·矩阵重启》中有个让人印象深刻的片段，在周而复始如同流水账式的平凡一天，男主角尼奥终于意识到自己可能是生活在一个虚拟的矩阵世界当中，当他的意识开始觉醒，支撑虚拟矩阵世界的数据代码便出现了变化……电影向我们展示了一个类似元宇宙理念下可能发生的超现实缩影：数据流量成为支撑庞大虚拟现实世界的砖瓦。

电影让幻想具象化，但电影也并非都是虚妄。据相关数据统计，随着通信技术的迅速发展，移动数据流量在近10年内已经增长了近300倍，或许我们距离所憧憬的、电影中的大数据搭建的虚拟场景依旧可望不可即，但行业企业，尤其是数字化企业其要管理和检测的数据流量正在呈指数级增长已经成为现实。

数据流量是数据资产的重要组成部分，也是数字化业务的核心，数据的安全检测是企业业务稳定发展绕不开的步骤，在网络攻击还未如此猖獗的过去，企业数据传输还不采用加密的形式，安全团队仅通过基于规则的明文检测即可基本实现安全防护目的。但在网络攻击事件频繁、攻击手段层出不穷的现状之下，流量加密已经愈加常态化，安全团队面临的考验也随之而来，基于明文的规则检测和针对加密流量的解密方法存在局限，因此针对加密流量的检测技术更需要突破，思路上也需要创新，故本期牛人访谈，安全牛邀请到了北京观成科技有限公司的联合创始人于海东，共同围绕加密流量安全检测的难点和技术发展进行了分析和讨论，希望能够让读者对该领域有更深一步的了解，同时为从业者提供更多检测思路上的新助力。

于海东，北京观成科技联合创始人，安全分析实战专家、CCIA技术专家库专家及CCIA理事单位代表。曾在两家安全公司负责逆向分析、安全分析、应急响应等工作，并带队参与数十起重大安全事件进行应急响应，服务过上百家重要行业客户。2015年至2019年期间，独立打造多套完整的加密流量检测、逆向分析培训课程体系，广受行业用户好评。

安全牛：流量威胁检测这一技术已经由来已久了，而加密流量威胁检测作为一项“较新”的技术为企业用户解决了哪些问题？扮演着怎样的角色？

于海东：我个人认为加密流量检测技术可以说是解决了一个“从无到有”的问题。因为在这项技术问世之前，很多企业在面对恶意加密流量时，并没有行之有效的检测手段；当然，也有很多企业会采用先解密、再检测的方式对加密流量进行检测，但该方法存在很大的局限性，比如，只能解密入联流量，无法解密出联流量，而且，解密方案对业务系统的性能、稳定性的影响也是非常大的。而利用我们现在的检测方案，可以在不解密的情况发现威胁，对业务系统没有任何的影响，有效的弥补了这一领域的空白，对助力用户在业务系统上的安全防护具有重要意义。

安全牛：既然如此，那么在不解密的情况下，加密流量检测技术是如何实现对传输过程的数据进行检测的呢？

于海东：基于观成的实际经验，我认为加密流量检测技术的实现可以概括为四个维度，即握手特征、证书特征、背景流量特征和行为特征。

第一个维度：握手特征

SSL客户端和服务端在协商阶段，所暴露出的特征，就称为握手特征。举例来说，当普通用户通过浏览器等正常应用，木马病毒通过其他非法应用访问某特定网站时，尽管其最终访问目标对象相同，但其握手特征差异迥然，这些特征直接反应了：访问者所用应用程序使用了哪种实现方式、用到了哪些底层库、用到了哪些函数、使用了哪些参数等等，握手特征能够很好的反映出应用程序的客观情况。

第二个维度：证书特征

这里的证书特征是指服务端IP地址上所部署的证书情况，具体包括该证书是否经过校验、证书的有效期、由谁签发、签发者的历史信誉度等详细信息，这些特征能够很好的反映出服务端的一些情况。 

第三个维度：背景流量

背景流量是指用户访问的服务端上的IP地址，是否存在其他的关联流量，比如DNS域名就是服务端IP的一个背景流量。

第四个维度：行为特征

也称为时空特征。主要体现在用户上网的行为上，比如用户在上传数据的时候，就会出现连续的上行流量包，且这些流量包之间的间隔都很短；类似的，用户在下载时会出现连续的下行流量包，这些包和包之间的间隔也同样很短，这是正常用户上网时进行某些操作时所显现出的正常行为特征。同样的，恶意程序下发命令或心跳包时，也会有出现一些行为特征，这些特征与正常的上网行为是明显不同的。

总的来说，加密流量检测技术就是在不清楚流量明文内容的情况下，以上述四个维度为突破口，通过这些特征及行为来进行风险检测和审计，从而在非解密的情况下识别、判断出哪些加密流量是正常的，哪些是恶意的，这是加密流量检测技术的整体思路。

安全牛：围绕您上述针对加密流量检测的四个维度，对于安全厂商来说，其在技术实现上的最大挑战是什么？结合您的实际经验，您认为目前该技术的整体发展形式如何（可以从国外和国内两个角度进行阐述）？

于海东：早在2016年，思科就曾发表过不解密检测的相关论文，诸如这样的技术文献，观成在发展加密流量检测技术的时候都会作为参考，但是理论和实践之间存在巨大的差距。包括上述的四个检测维度，都是在实践之中不断摸索出来的，加密威胁流量检测最大的挑战源于样本不均衡，尤其对于某些APT类的恶意样本，样本数量非常有限。还有一些高级威胁，即使完全澄清了其通信方式，包括加密方式等也很难形成通用的检测方案，这些问题都是目前业内做加密流量威胁检测厂商普遍面临的难题。

在我看来，思科是比较有代表性的海外厂商，它在加密流量检测技术领域起步较早，刚刚我们提到2016年就已经开始发布论文了，发展至今，其加密流量检测方案已经在很多产品上进行了落地。国内，据我所知，华为应该是起步较早的，2018年的时候，华为在他们的AI防火墙方案增加了加密流量检测模块。

另外，从用户层面来看，国内对加密流量检测需求最迫切的用户可分为两类，第一类是网络安全行业监管类客户，第二类主要是政企客户，如政府、金融、能源等行业客户，用户分布大致如此。

安全牛：结合观成的实际经验，您认为对于上述的不同领域用户，其对加密流量检测技术的实际需求有和不同？

于海东：先说第一类监管类客户。这类客户关注的重点是高级威胁，因此如何提升发现加密类高级威胁的检测效率是这类客户的主要需求，也是安全厂商要面对的难题。

第二类客户，也就是政企类客户。这类客户的需求主要有两点，第一点就是在常态化运营期间，要提升加密流量合规性、脆弱性检查以及加密威胁的发现能力；第二点，在网络攻防演练期间，需要能够迅速、有效识别各类加密类黑客工具。这是政企类用户的主要特点。

安全牛：加密流量检测技术的发展前景如何？目前技术水平如何（处于爬升期、瓶颈期or稳定期）？您认为未来是否会出现相应的技术标准和行业标准？

于海东：在我看来，加密流量检测技术的广泛发展和使用是一种必然趋势，这是毋庸置疑的。在市场的发展角度来看，可能国外起步较早，像我们刚刚提到的思科在几年前就已经开始发展这项技术了，并且目前也已经推出了一系列的的产品；在行业发展和技术需求的角度来看，我们面对的加密流量越来越多，加密流量检测技术为业务系统的稳定和生产环境的网络安全提供了保障，包括业内知名的研究机构Ganter在2019年左右，也提到全球的加密流量已经超过60%，而且有大量的恶意流量潜伏在这些加密流量之中。

以观成的实践经验来说，以前，我们面对的主要是监管类用户，因为这类用户对加密类APT发现和检测的需求更高，但是近两年，政企客户也逐渐增多，并且这类客户很多是在遭到加密流量威胁攻击后，主动提出需要相关的检测技术支持的，这也在侧面证明了行业整体对于该项技术的需求越来越迫切。同时在攻击角度来说，有越来越多的攻击类型都是基于加密的恶意流量进行的，因此加密流量威胁检测技术未来肯定拥有广阔的发展空间和市场前景。

但我认为加密流量威胁检测技术本身，现阶段在国内暂时应该还处于爬升期。国外很多厂家在这项技术和产品落地比我们要早一些，国内这两年很多厂商、研究机构和甲方单位也在开始研究和布局，我们算是在国内较早研究这个方向的创业公司之一；同时我们也很清楚，这里面还有一些技术难点需要去突破。

至于说行业标准和技术标准，我认为肯定是会出现的。目前《密码法》等已经有了一些初步的要求，也看到很多行业客户已经将加密流量检测纳入十四五的规划建设项目，随着应用的广泛和威胁的不断升级，未来会有更加详细的行业标准和技术标准。

安全牛：您刚刚提到加密流量检测技术目前还是处于一个“爬坡”的阶段，您认为在这个阶段内，对于安全厂商来说，技术上的发展难点是什么？新的突破口是什么？

于海东：技术发展难点主要体现在两个方面。一方面是加密威胁的对抗愈加激烈，我们看到一些高级威胁在加密方式的设计、应用很巧妙，如何去解决这一类威胁的加密流量检测是需要突破的难点；另一方面就是工程化，加密流量检测属于一个新的领域方向，如何将产品的可解释性、易用性、合理性做得更好，也是安全厂商需要持续努力的目标。

至于突破口，我认为还是要从更加深入了解威胁、深入了解客户的业务出发，并在此基础之上，借助AI、机器学习等新兴技术手段，加强对检测结果的深入分析能力，降低用户的综合使用门槛，提升安全检测效果。

安全牛评

当前网络安全的发展从满足合规向实战化不断转化，要求安全领域不断提升对抗能力。但是伴随着攻击手段的提升，要求我们要不断优化网络安全防护技术。针对目前成为攻击方式主流的加密攻击，以往的检测手段已不太适用。观成科技在加密流量检测方面提供相应的技术突破，规避了传统的必须解密才能检测的困境，弥补了流量安全检测的一块短板。当然，观成科技作为新型的安全技术企业，其发展和成熟还有待市场的检验，但这并不妨碍我们对保持关注并期待他们的成功。