思科一組研究員認為,TLS(傳輸層安全)隧道中的惡意流量可在不解密用戶流量的情況下,被檢測并封鎖。
企業環境下,這可謂是個大好消息,因為當今的防護都依賴于終止加密來檢查流量這種爭議性的方法。
在文章中,幾位研究員解釋稱,惡意軟件會在TLS流中留下可識別的痕跡。
他們的研究涵蓋了18類惡意軟件的幾千個樣本,從某企業網絡中捕獲的數百萬加密數據流中識別出了數萬惡意流量。他們指出,這種檢測可能只企業網絡有效,而對諸如服務提供商之類的無效。
在研究人員數據集中的深度包檢測,其主要應用是嗅探出客戶端和服務器之間的聯系消息,以及識別出TLS版本,而不是用戶數據。
僅僅網絡數據本身,就足以鑒別TLS流是否屬于絕大多數惡意軟件家族。甚至在不同惡意軟件家族使用同樣的TLS參數的情況下,通常也能經由“基于流的特征”而被鑒別出來。
這些特征包括:流元數據(輸入輸出的字節、包、網絡端口號、流持續時間);包長度和時間的序列;字節分布;TLS頭信息。
研究囊括的惡意軟件家族有:bergat、Deshacop、Dridex、Dynamer、Kazy、Parite、Razy、Zedbot和Zusy等等。
研究人員認為,針對流分析的正確機器學習應用,讓他們在單獨加密流的惡意軟件歸屬問題上擁有了90.3%的準確率,而在5分鐘窗口時間對所有加密流的分析中達到了93.2%的準確率。
京公網安備 11010502049343號